The Intelligent Enterprise: ปฏิวัติธุรกิจด้วย ERP, Algorithm, และพลังขับเคลื่อนแห่ง AI/IA ตอนที่ 3

ธันวาคม 8, 2025

ตอนที่ 3: จุดสูงสุดแห่งวิวัฒนาการ: จาก Algorithm สู่ AI, Machine Learning และ IA

ในตอนที่ 1 และ 2 เราได้วางรากฐานสำคัญของการเป็น องค์กรอัจฉริยะ ด้วยการสร้าง Data ที่สะอาดและบูรณาการผ่านระบบ ERP และกำกับดูแลด้วย Algorithm ที่รองรับ GRC อย่างเข้มงวด อย่างไรก็ตาม Algorithm แบบดั้งเดิมนั้นดีเยี่ยมในการทำตามกฎเกณฑ์ที่กำหนดไว้ แต่ขาดความสามารถในการเรียนรู้หรือทำนายสถานการณ์ที่ซับซ้อนและเปลี่ยนแปลงอยู่เสมอ นี่คือจุดที่เราต้องนำพาองค์กรก้าวข้ามขีดจำกัดของ Rule-Based Logic สู่โลกของ AI (Artificial Intelligence) และ Intelligent Automation (IA) บทความนี้จะสำรวจว่าเราจะติดตั้ง ‘สมองที่เรียนรู้ได้’ เข้ากับ ‘ระบบประสาท’ ขององค์กรได้อย่างไร เพื่อสร้างคุณค่าเพิ่มและยกระดับ Governance ให้ไปอีกขั้น

เรากำลังเข้าสู่ยุคที่ซอฟต์แวร์ไม่เพียงแต่ทำตามคำสั่งเท่านั้น แต่สามารถ คิด, คาดการณ์, และตัดสินใจ ได้อย่างชาญฉลาด หัวใจของการเปลี่ยนแปลงนี้คือการเปลี่ยนจาก Algorithm แบบ If-Then (ถ้า…แล้ว…) ไปสู่ระบบที่เรียนรู้จากประสบการณ์ (Data) ด้วยตัวเองอย่าง Machine Learning (ML) แต่ความสำเร็จนี้จะเกิดขึ้นไม่ได้หากไม่มี “Clean Data” และ “Integrated GRC” จากระบบ ERP ที่เราสร้างไว้ในตอนก่อน ๆ เราจะมาดูกันว่า AI และ ML เข้ามาเสริมความสามารถของ ERP ให้ทำได้เหนือกว่าการบันทึกข้อมูลได้อย่างไร และการผสมผสานระหว่างเทคโนโลยีเหล่านี้กับระบบอัตโนมัติ (RPA) เพื่อสร้าง IA (Intelligent Automation) จะช่วยให้องค์กรสร้างคุณค่าเพิ่ม, ลดความเสี่ยง, และส่งเสริม Governance ในโลกธุรกิจที่ผันผวนได้อย่างไร พร้อมสำรวจแนวโน้มในอนาคตที่ ERP จะกลายเป็น แพลตฟอร์มอัจฉริยะ อย่างสมบูรณ์

3.1 AI และ Machine Learning: การเรียนรู้ที่เหนือกว่าตรรกะเดิม

AI (Artificial Intelligence) คือความสามารถของเครื่องจักรในการเลียนแบบสติปัญญาของมนุษย์ ในขณะที่ ML (Machine Learning) คือวิธีการที่ AI ใช้ในการเรียนรู้จากข้อมูลโดยไม่ต้องถูกโปรแกรมคำสั่งเจาะจงซ้ำแล้วซ้ำเล่า การก้าวข้ามจาก Algorithm แบบเก่าสู่ ML คือการเปลี่ยนจากการบอกระบบว่า “ทำสิ่งนี้” ไปสู่การบอกระบบว่า “นี่คือข้อมูลทั้งหมด, จงค้นหาความสัมพันธ์และบอกฉันว่าควรทำอะไรต่อไป”

การผนวกกับ ERP: ข้อมูลประวัติศาสตร์ขนาดใหญ่ (Big Data) ที่ถูกรวบรวมและทำให้สะอาดในระบบ ERP (เช่น ข้อมูลการซื้อขายย้อนหลัง 5 ปี, ข้อมูลความผันผวนของสต็อก, ข้อมูลเครดิตลูกค้า) คือ โรงเรียนฝึกสอน ชั้นดีที่สุดสำหรับโมเดล ML โมเดลเหล่านี้จะเรียนรู้จากรูปแบบในอดีตเพื่อ คาดการณ์ อนาคต เช่น การพยากรณ์ความต้องการของลูกค้า (Demand Forecasting) ที่แม่นยำกว่าการใช้สูตรสำเร็จแบบเก่า, หรือการวิเคราะห์เครดิตและพฤติกรรมลูกค้าที่มีความเสี่ยงสูงจากข้อมูลการขายใน ERP

3.2 Intelligent Automation (IA): เมื่อหุ่นยนต์และ AI ทำงานร่วมกัน

Intelligent Automation (IA) คือวิวัฒนาการขั้นต่อไปของระบบอัตโนมัติ โดยเกิดจากการรวมพลังระหว่าง RPA (Robotic Process Automation) ซึ่งเป็นหุ่นยนต์ซอฟต์แวร์ที่ทำงานซ้ำซากตามกฎเกณฑ์ (Rule-Based) เข้ากับ AI/ML ที่สามารถ ‘คิด’ และ ‘ตัดสินใจ’ ได้

การประยุกต์ใช้เพื่อ GRC และคุณค่าเพิ่ม:

  • การเงิน/บัญชี: IA ใช้ AI เพื่อ อ่าน, ทำความเข้าใจ, และตรวจสอบความถูกต้อง ของใบแจ้งหนี้จากภายนอก ก่อนจะนำไปป้อนเข้าสู่ระบบ ERP โดยอัตโนมัติ ซึ่งช่วยลดความผิดพลาด, ลดเวลาทำงานซ้ำซ้อน, และเพิ่ม Compliance (ตรวจสอบว่าข้อมูลตรงกับกฎเกณฑ์การจัดซื้อหรือไม่)
  • การผลิต: ML วิเคราะห์ข้อมูลการผลิตใน ERP (อุณหภูมิ, แรงดัน, ประสิทธิภาพเครื่องจักร) เพื่อทำนายว่าเครื่องจักรใดมีแนวโน้มจะเสียก่อนเวลา (Predictive Maintenance) ทำให้สามารถจัดตารางการซ่อมบำรุงใน ERP ได้อย่างชาญฉลาดและหลีกเลี่ยงการหยุดชะงักของสายการผลิต
  • Supply Chain: AI วิเคราะห์ข้อมูลการสั่งซื้อและสถานะสต็อกใน ERP แบบ Real-time เพื่อปรับแผนการขนส่งหรือการจัดซื้อจัดจ้างให้เหมาะสมกับสถานการณ์ที่ไม่คาดคิด

3.3 แนวโน้มในอนาคต: ERP กลายเป็นแพลตฟอร์มอัจฉริยะ

ในอนาคตอันใกล้ ระบบ ERP จะเปลี่ยนบทบาทจากแค่ ‘ระบบบันทึกและประมวลผล’ ไปเป็น ‘แพลตฟอร์มอัจฉริยะ’ (Intelligent Platform) ที่มี AI และ ML ฝังอยู่ทุกชั้นอย่างแยกไม่ออก การก้าวไปสู่ Cloud ERP และการใช้เทคโนโลยี In-Memory Computing ทำให้ระบบสามารถจัดการ Big Data และประมวลผลโมเดล AI ได้อย่างรวดเร็วและต่อเนื่อง นี่หมายความว่า ระบบ ERP จะไม่เพียงแค่บอกว่า “เกิดอะไรขึ้น” เท่านั้น แต่จะสามารถบอกได้ว่า “ทำไมถึงเกิดขึ้น” และ “ควรทำอย่างไรต่อไป”

บทสรุปสำหรับบุคลากร: ความสำเร็จในยุค IA ไม่ได้อยู่ที่การใช้ AI แทนมนุษย์ แต่เป็นการทำให้มนุษย์ทำงานร่วมกับ AI ได้อย่างมีประสิทธิภาพ ดังนั้น ความจำเป็นในการพัฒนาทักษะของบุคลากรให้มี Data Literacy (ความรู้ด้านข้อมูล) และเข้าใจถึงความสัมพันธ์ของ Data ใน ERP จึงมีความสำคัญอย่างยิ่ง เพื่อให้พวกเขาสามารถใช้ข้อมูลและเครื่องมืออัจฉริยะเหล่านี้ในการสร้างคุณค่าเพิ่มและขับเคลื่อน Governance ที่ยั่งยืนให้กับองค์กร

โดยเริ่มจากการสร้าง รากฐาน ด้วย ERP ในฐานะโครงสร้างร่างกายที่รวมทุกส่วนเข้าด้วยกัน (ตอนที่ 1), ตามมาด้วยการติดตั้ง ตรรกะและ Governance (GRC) ผ่าน Algorithm เพื่อสร้าง Data ที่ถูกต้องและเกี่ยวพันกัน (ตอนที่ 2) และมาถึงจุดสูงสุดของการพัฒนาด้วยการติดตั้ง สมองที่เรียนรู้ได้ ผ่าน AI, ML และ IA (ตอนที่ 3) ข้อสรุปที่ชัดเจนที่สุดคือ เทคโนโลยีอัจฉริยะไม่สามารถทำงานได้อย่างมีประสิทธิภาพหากไม่มีรากฐาน ERP ที่มั่นคงและข้อมูลที่เชื่อถือได้ การลงทุนใน AI โดยที่ข้อมูลยังไม่สะอาดหรือยังขาดการกำกับดูแลที่ดี (GRC) จึงเปรียบเหมือนการสร้างบ้านบนทราย การทำความเข้าใจที่ถูกต้องเกี่ยวกับ ERP, Algorithm, และความสัมพันธ์ของ Data ในทุกมิติ คือก้าวแรกและก้าวที่สำคัญที่สุดในการปฏิวัติองค์กรสู่การเป็น The Intelligent Enterprise อย่างแท้จริง

Leave a Comment » | AI กับ GRC | ติดป้ายกำกับ: , , | ลิงก์ถาวร
โพสต์โดย Metha Suvanasarn

The Intelligent Enterprise: ปฏิวัติธุรกิจด้วย ERP, Algorithm, และพลังขับเคลื่อนแห่ง AI/IA ตอนที่ 2

พฤศจิกายน 28, 2025

ตอนที่ 2: หัวใจของการคิด: GRC, Algorithm และความถูกต้องของ Data ใน ERP

ในตอนที่ 1 : รากฐานดิจิทัล นั้น เราได้สร้างความเข้าใจร่วมกันว่า ERP คือโครงสร้างร่างกายและระบบประสาทที่เชื่อมโยงทุกส่วนขององค์กรเข้าด้วยกันอย่างแยกไม่ได้ และเป็นผู้สร้าง Data ที่มีคุณภาพ แต่ข้อมูลที่ไหลเวียนในระบบนั้นจะมีความน่าเชื่อถือและนำไปสู่การบริหารความเสี่ยงได้อย่างไร? คำตอบคือ Algorithm (อัลกอริทึม) และ GRC (Governance, Risk, Compliance) บทความตอนนี้จะพาเราเจาะลึกเข้าไปใน ‘สมอง’ ของระบบ ERP เพื่อทำความเข้าใจว่าชุดคำสั่งและตรรกะเหล่านี้กำหนด ความถูกต้อง (Data Integrity) และ ความเกี่ยวพัน (Interconnectivity) ของข้อมูลทางธุรกิจและการบริหารได้อย่างไร ซึ่งเป็นหัวใจสำคัญของการกำกับดูแลองค์กรอย่างมีประสิทธิภาพ

เมื่อองค์กรมีรากฐาน ERP ที่มั่นคง ข้อมูลทั้งหมดก็ไหลรวมกันเป็นหนึ่งเดียวเหมือน ‘ระบบไหลเวียนโลหิต’ ในร่างกาย แต่การที่ข้อมูลเหล่านี้จะถูกนำไปใช้ในการตัดสินใจได้อย่างปลอดภัยและโปร่งใส ต้องอาศัยการกำกับดูแลที่เข้มงวด นั่นคือบทบาทของ GRC ที่ต้องทำงานร่วมกับ Algorithm การที่หลายองค์กรประสบปัญหาในการใช้ข้อมูลจาก ERP เป็นเพราะความไม่เข้าใจว่า Algorithm ในระบบได้กำหนด ตรรกะ และ กฎเกณฑ์ แห่งความถูกต้องทาง Data ไว้แล้วอย่างละเอียดอ่อน ปัญหานี้มักนำไปสู่ความเข้าใจที่แตกต่างกันระหว่างสายงาน ทำให้เกิดการแก้ปัญหาที่มองข้ามความสัมพันธ์ของข้อมูลในมิติอื่น ๆ เราจะมาดูกันว่า Algorithm พื้นฐานทำงานอย่างไร และมันคือพลังสำคัญในการทำให้ Data ใน ERP สามารถใช้ในการบริหารแบบ Integrated Management และรองรับ GRC ได้อย่างสมบูรณ์ได้อย่างไร

2.1 ปัญหาความเข้าใจที่ต่างกัน: ERP กับ GRC (Governance, Risk, Compliance)

หลายครั้งที่ผู้บริหารหรือผู้ปฏิบัติงานมองว่า GRC เป็นเพียง ‘ภาระ’ หรือ ‘งานเอกสาร’ ที่ต้องทำเพิ่มเติม แต่ในบริบทของ ERP นั้น GRC คือส่วนที่ถูกฝังอยู่ในกระบวนการทำงานหลัก (Embedded GRC) Governance (ธรรมาภิบาล/การกำกับดูแล) คือการที่ระบบ ERP มี Algorithm ในการควบคุมและอนุมัติธุรกรรมต่าง ๆ อย่างชัดเจนและโปร่งใส เช่น การอนุมัติการสั่งซื้อที่ต้องผ่านลำดับชั้นที่กำหนดไว้ล่วงหน้า Risk (ความเสี่ยง) คือการใช้ Data ที่ถูกบูรณาการและถูกตรวจสอบโดยระบบเพื่อประเมินความเสี่ยง เช่น การใช้ข้อมูลการเงินและสต็อกเพื่อคำนวณความเสี่ยงสภาพคล่อง Compliance (การปฏิบัติตามกฎ) คือการที่ Algorithm ในระบบถูกตั้งค่าให้ปฏิบัติตามกฎหมายหรือข้อบังคับทางธุรกิจ (เช่น ภาษี, มาตรฐานบัญชี) โดยอัตโนมัติ ปัญหาที่พบบ่อย คือความเข้าใจที่แตกต่างกันในแต่ละสายงานเกี่ยวกับ ‘กฎ’ ที่ระบบกำหนดไว้ ทำให้เมื่อเกิดปัญหา ข้อมูลที่ถูกป้อนเข้ามานั้นไม่สอดคล้องกับตรรกะที่ควรจะเป็น ส่งผลให้ระบบ GRC ที่ฝังอยู่ใน ERP ไม่สามารถทำงานได้อย่างเต็มประสิทธิภาพ

2.2 Algorithm: Logic ที่กำหนดความถูกต้องและความเกี่ยวพันของ Data

Algorithm ไม่ใช่เรื่องซับซ้อน แต่คือ ชุดคำสั่งหรือตรรกะ ที่กำหนดว่าข้อมูลที่ถูกป้อนเข้าไปควรจะถูกประมวลผล จัดเก็บ และเชื่อมโยงกับข้อมูลอื่นอย่างไรในระบบ ERP นี่คือหัวใจสำคัญของการสร้างความถูกต้องของ Data และความเกี่ยวพันในทุกมิติ ตัวอย่างเช่น: เมื่อมีการบันทึกการผลิตสินค้า (Production Order) Algorithm จะตรวจสอบทันทีว่า:

  1. มีวัตถุดิบเพียงพอในสต็อกหรือไม่ (ความถูกต้อง ของปริมาณ)
  2. หักวัตถุดิบออกจากบัญชีสต็อกและบันทึกเป็นต้นทุนการผลิตทันที (ความเกี่ยวพัน ทางบัญชี)
  3. อัปเดตสถานะของใบสั่งผลิตและแจ้งไปยังฝ่ายขาย (ความเกี่ยวพัน ทางการปฏิบัติงาน)

ข้อมูลทางธุรกิจและการบริหารทุกประเภท จะต้องผ่านกระบวนการเหล่านี้เพื่อยืนยันความถูกต้องทาง Data และความเกี่ยวพันในทุกมิติ การทำความเข้าใจ Algorithm เหล่านี้ ทำให้ผู้บริหารตระหนักว่าปัญหาข้อมูลที่ผิดพลาดมักไม่ได้เกิดจาก ‘โปรแกรมเสีย’ แต่เกิดจากการป้อนข้อมูลที่ไม่เป็นไปตาม ‘ตรรกะ’ หรือ ‘กฎ’ ที่ระบบกำหนดไว้ตั้งแต่แรก ซึ่งส่งผลกระทบต่อทั้ง Governance และการประเมิน Risk ทันที

2.3 การบริหารแบบบูรณาการ (Integrated Management) ด้วย ERP Data

เมื่อ Algorithm ทำงานได้อย่างสมบูรณ์ในการทำให้ Data มีความถูกต้องและเกี่ยวพันกันในทุกมิติ ข้อมูลทั้งหมดจะรวมกันเป็น Single Source of Truth ที่ปราศจากข้อขัดแย้ง นี่คือพลังของการบริหารแบบบูรณาการ (Integrated Management) ที่ผู้บริหารไม่จำเป็นต้องรอการรวบรวมข้อมูลจากหลายฝ่ายหรือหลายบริษัทอีกต่อไป ทุกสายงานสามารถใช้ Dashboard ชุดเดียว ในการตัดสินใจข้ามฟังก์ชัน (Cross-Functional Decisions) ตัวอย่างเช่น: การใช้ข้อมูลการผลิต (จากโมดูล Production) และข้อมูลการเงิน (จากโมดูล Finance) มาวิเคราะห์ต้นทุนการผลิตแบบ Real-time เพื่อกำหนดราคาสินค้าเชิงกลยุทธ์ได้อย่างรวดเร็ว

การแก้ปัญหาที่ต้นเหตุ: การที่ทุก Transaction ถูกบันทึกและเชื่อมโยงด้วย Algorithm ใน ERP ทำให้สามารถทำ การตรวจสอบย้อนกลับ (Traceability) ได้ง่ายและรวดเร็ว เมื่อมีปัญหา ผู้บริหารสามารถสืบหาได้ทันทีว่าความผิดพลาดของข้อมูล (เช่น ข้อมูลสต็อกไม่ตรง) เกิดขึ้นที่กระบวนการใดในระบบ และแก้ไขที่จุดเริ่มต้นนั้น ไม่ใช่การมาปรับปรุงตัวเลขในรายงานปลายทาง ซึ่งช่วยสร้างความเชื่อมั่นในข้อมูลและส่งเสริม GRC ได้อย่างยั่งยืน

ในตอนนี้ เราได้เห็นแล้วว่า Algorithm คือ ตรรกะแห่งความถูกต้องและความเกี่ยวพัน ที่ถูกฝังอยู่ในระบบ ERP และเป็นกลไกสำคัญในการขับเคลื่อน GRC และการบริหารแบบบูรณาการ ข้อมูลที่ถูกกรองและเชื่อมโยงอย่างเป็นระบบนี้คือสิ่งที่สร้างคุณค่าเพิ่มและ Governance ที่เราต้องการอย่างแท้จริง อย่างไรก็ตาม Algorithm ที่เราพูดถึงในตอนนี้ ส่วนใหญ่ยังคงเป็น ‘ตรรกะที่มนุษย์กำหนด’ (Rule-Based Logic) ซึ่งมีข้อจำกัดในการรับมือกับความซับซ้อนและความผันผวนของโลกธุรกิจสมัยใหม่ คำถามคือ: เราจะทำอย่างไรให้ระบบ ERP ของเราสามารถคิด, คาดการณ์, และเรียนรู้ได้ด้วยตนเอง? นี่คือการก้าวข้ามจาก Algorithm แบบดั้งเดิม สู่การใช้ AI (Artificial Intelligence) และ Machine Learning (ML) ในการสร้างระบบอัตโนมัติอัจฉริยะ โปรดติดตาม ‘ตอนที่ 3: จุดสูงสุดแห่งวิวัฒนาการ: จาก Algorithm สู่ AI, Machine Learning และ IA’ เพื่อสำรวจว่าเราจะนำพลังแห่ง Data และ Logic ที่สร้างไว้ใน ERP มาปลดล็อกศักยภาพของ AI/IA ได้อย่างไร

Leave a Comment » | AI กับ GRC | ติดป้ายกำกับ: , , , , , , | ลิงก์ถาวร
โพสต์โดย Metha Suvanasarn

The Intelligent Enterprise: ปฏิวัติธุรกิจด้วย ERP, Algorithm, และพลังขับเคลื่อนแห่ง AI/IA ตอนที่ 1

พฤศจิกายน 19, 2025

ตอนที่ 1: รากฐานดิจิทัล: ERP, โครงสร้างร่างกายองค์กร และความเข้าใจสำหรับทุกคน

ในยุคที่ ‘ข้อมูล’ ถูกยกให้เป็นสินทรัพย์ที่มีค่าที่สุด การสร้างระบบที่สามารถจัดการและทำให้ข้อมูลนั้นมีความถูกต้องและเกี่ยวพันกันจึงเป็นหัวใจสำคัญอย่างยิ่ง หลายองค์กรลงทุนในเทคโนโลยีอัจฉริยะอย่าง AI หรือ Machine Learning แต่กลับมองข้ามรากฐานที่มั่นคงอย่าง ERP (Enterprise Resource Planning) ไปเสียก่อน บทความตอนนี้จะพาคุณย้อนกลับไปทำความเข้าใจถึงแก่นแท้ของ ERP ว่าแท้จริงแล้วมันคืออะไร และทำไมการมีความเข้าใจที่ถูกต้องตั้งแต่ระดับคณะกรรมการไปจนถึงผู้ปฏิบัติงาน จึงเป็นกุญแจดอกแรกที่นำไปสู่การสร้างคุณค่าเพิ่มและ Governance (GRC) ที่เข้มแข็ง ก่อนที่เราจะก้าวไปถึงโลกของ Algorithm และ AI อย่างสมบูรณ์

การเดินทางสู่การเป็น ‘องค์กรอัจฉริยะ’ (Intelligent Enterprise) ไม่ได้เริ่มต้นที่การซื้อซอฟต์แวร์ AI ราคาแพง แต่เริ่มต้นที่การจัดระเบียบบ้านของตัวเองให้เรียบร้อย นั่นคือการทำความเข้าใจและใช้ประโยชน์จากระบบ ERP อย่างแท้จริง ตลอดตอนนี้ เราจะเจาะลึกว่า ERP คืออะไรในมุมมองของ Stakeholders ทุกระดับ และนำเสนอภาพเปรียบเทียบที่ทรงพลัง: องค์กรเปรียบเสมือนร่างกายมนุษย์ ที่ทุกส่วนเชื่อมโยงกันอย่างแยกไม่ได้ ความไม่เข้าใจหรือการมอง ERP เป็นแค่ระบบบัญชีเท่านั้น คือการแก้ปัญหาที่ปลายน้ำโดยไม่สนใจแหล่งกำเนิดข้อมูล (Data Source) เราจะแสดงให้เห็นว่า การมีรากฐาน ERP ที่ถูกต้อง คือการสร้าง Clean Data ซึ่งเป็นเชื้อเพลิงเดียวที่ AI ต้องการเพื่อสร้างคุณค่าเพิ่มและขับเคลื่อนการบริหารแบบ Integrated Management

1.1 ERP คืออะไรในมุมมองของ Stakeholders

ERP ไม่ใช่แค่ระบบบัญชี หรือระบบสำหรับฝ่ายผลิตเท่านั้น คำกล่าวนี้เป็นจริงอย่างยิ่ง แต่ความเข้าใจที่คลาดเคลื่อนนี้เองที่นำไปสู่ปัญหามากมายในองค์กร สำหรับ คณะกรรมการ (Board) และ ผู้บริหารระดับสูง (C-Level) ERP คือเครื่องมือในการสร้าง Governance และการตัดสินใจเชิงกลยุทธ์ เพราะมันรวมศูนย์ข้อมูลทางการเงิน ประสิทธิภาพการดำเนินงาน และความเสี่ยงไว้ในที่เดียว ทำให้การกำกับดูแลเป็นไปตามนโยบายได้อย่างชัดเจนและโปร่งใส ในขณะที่ ผู้ปฏิบัติงาน ERP คือเครื่องมือที่สร้างมาตรฐานให้กับกระบวนการทำงาน ลดความซ้ำซ้อน และลดโอกาสเกิดข้อผิดพลาด การมอง ERP เป็นเพียงซอฟต์แวร์ตัวหนึ่ง แทนที่จะมองเป็น ระบบรวมศูนย์กระบวนการ ทำให้องค์กรลงทุนอย่างหนัก แต่กลับยังคงติดอยู่กับการแก้ปัญหาเล็กๆ น้อยๆ ที่ปลายเหตุ (เช่น รายงานไม่ตรง, สต็อกผิดพลาด) โดยไม่เคยกลับไปแก้ที่ ต้นเหตุ ซึ่งคือการป้อนข้อมูลที่ไม่ถูกต้องตั้งแต่ต้น (Source Data Integrity)

1.2 องค์กรเปรียบเสมือนร่างกายมนุษย์: การบูรณาการที่แยกกันไม่ได้

ลองพิจารณาร่างกายมนุษย์ที่มีอวัยวะมากกว่า 200 ส่วน ตั้งแต่ระบบประสาท, หัวใจ, ปอด, ตับ ไปจนถึงกล้ามเนื้อและกระดูก อวัยวะทุกส่วนเหล่านี้แม้จะทำงานต่างกัน แต่ถูกเชื่อมโยงด้วย ‘ระบบประสาท’ และ ‘ระบบไหลเวียนโลหิต’ ที่ประสานงานกันอย่างสมบูรณ์แบบ หากมีส่วนใดส่วนหนึ่งทำงานผิดปกติ ย่อมส่งผลกระทบต่อส่วนอื่น ๆ ไม่ทางตรงก็ทางอ้อม องค์กรก็เช่นกัน การเงิน, การผลิต, การตลาด, และ HR เปรียบเสมือนอวัยวะสำคัญ และ ERP คือระบบประสาทและระบบไหลเวียนโลหิตขององค์กร มันคือสิ่งที่ทำให้เมื่อฝ่ายขายทำรายการสั่งซื้อ ข้อมูลจะวิ่งไปอัปเดตสต็อกในคลัง, บันทึกเป็นรายได้ในบัญชี, และแจ้งเตือนฝ่ายผลิตให้เตรียมการทันที นี่คือ ความเกี่ยวพันของ Data ในทุกมิติทุกมุมมอง ที่ระบบ ERP สร้างขึ้น การบริหารทุกสายงานจึงไม่สามารถแยกออกจากกันได้ ถ้าข้อมูลในคลังสินค้าไม่ถูกต้อง ข้อมูลทางการเงินก็จะผิดพลาดตามไปด้วย และความผิดพลาดนี้จะทวีคูณเมื่อเราพูดถึงองค์กรขนาดใหญ่ที่มีหลายบริษัท หรือแม้กระทั่งหน่วยงานที่เกี่ยวกับการบริหารประเทศ ซึ่งต้องการการบูรณาการข้อมูลเพื่อการบริหารจัดการที่มีประสิทธิภาพและสร้าง Governance ร่วมกัน

1.3 ERP และการสร้างรากฐาน Data สู่คุณค่าเพิ่ม

เป้าหมายสูงสุดของการลงทุนใน ERP คือการเปลี่ยน ข้อมูลดิบ ให้เป็น คุณค่าเพิ่ม ให้กับ Stakeholders ทุกประเภท การที่ข้อมูลทั้งหมดมีความเกี่ยวพันกันและถูกตรวจสอบโดยกฎเกณฑ์ของระบบ ทำให้ได้ข้อมูลที่มีความ ถูกต้อง (Data Integrity) และ เชื่อถือได้ (Reliable) ข้อมูลที่เชื่อถือได้นี้คือ รากฐานที่แข็งแกร่ง และเป็น วัตถุดิบคุณภาพสูง ที่พร้อมให้ผู้บริหารใช้ในการตัดสินใจเชิงกลยุทธ์ เช่น การวิเคราะห์ความสามารถในการทำกำไรของผลิตภัณฑ์แต่ละตัว หรือการพยากรณ์ความต้องการของตลาดได้อย่างแม่นยำ นี่คือการเปลี่ยนผ่านจากการใช้สัญชาตญาณในการบริหาร ไปสู่การใช้ Data-Driven Management ซึ่งเป็นพื้นฐานสำคัญที่สุดก่อนจะคิดถึงการใช้เทคโนโลยีที่ซับซ้อนอย่าง AI ถ้า Data ใน ERP ไม่ Clean, ไม่ Integrated, และไม่ Governance ดีพอ สิ่งที่เราจะนำไปป้อนให้ AI เรียนรู้ ก็จะเป็นแค่ ‘ขยะข้อมูล’ เท่านั้น

เราได้เห็นแล้วว่า ERP ไม่ใช่แค่ทางเลือก แต่เป็นรากฐานที่สำคัญในการสร้าง Data ที่มีคุณภาพ มีความเกี่ยวพันกัน และสร้าง Governance ที่ทุกคนทุกระดับต้องมีความเข้าใจที่ตรงกัน เพื่อหลีกเลี่ยงการแก้ปัญหาที่ปลายเหตุและมุ่งเน้นการสร้างคุณค่าเพิ่มให้องค์กร การทำให้องค์กรเป็นเหมือน ร่างกายมนุษย์ที่สมบูรณ์แบบ ด้วยการบูรณาการทุกฟังก์ชันเข้าด้วยกันผ่านระบบ ERP คือการเตรียมพร้อมที่สำคัญที่สุด แต่การมีข้อมูลที่เชื่อมโยงกันเพียงอย่างเดียวไม่พอ เราต้องมี ‘ตรรกะ’ ในการประมวลผลด้วย ข้อมูลใน ERP จะมีพลังอย่างแท้จริงเมื่อมันถูกขับเคลื่อนด้วย Algorithm ที่รัดกุม ซึ่งเป็นหัวใจสำคัญของ GRC ที่จะทำให้ข้อมูลมีความถูกต้องและสามารถนำไปสู่การบริหารความเสี่ยงได้อย่างแม่นยำ โปรดติดตาม ‘ตอนที่ 2: หัวใจของการคิด: GRC, Algorithm และความถูกต้องของ Data ใน ERP’ ซึ่งเราจะเจาะลึกว่า Algorithm คืออะไร และถูกนำมาใช้กำหนดตรรกะและกฎเกณฑ์ในการกำกับดูแลข้อมูลอย่างไร

Leave a Comment » | AI กับ GRC | ติดป้ายกำกับ: , , , , , | ลิงก์ถาวร
โพสต์โดย Metha Suvanasarn

กรอบการทำงานการตรวจสอบปัญญาประดิษฐ์ (Artificial Intelligence Auditing Framework) ตอนที่ 1

กันยายน 7, 2025

ตอนที่ 1: การตรวจสอบ AI: เส้นทางที่ผู้ตรวจสอบภายในต้องเรียนรู้

ปัญญาประดิษฐ์ (AI) คือศัพท์ที่ครอบคลุมเทคโนโลยีอันหลากหลาย ทั้งที่ใช้กันอยู่แล้วและที่กำลังเกิดขึ้นใหม่ แม้จะไม่มีคำจำกัดความที่ชัดเจน แต่โดยทั่วไป AI หมายถึง "ระบบที่มีกระบวนการทางปัญญาเหมือนมนุษย์ เช่น ความสามารถในการให้เหตุผล ค้นหาความหมาย สร้างความเชื่อมโยง หรือเรียนรู้จากประสบการณ์ในอดีต" การเติบโตอย่างก้าวกระโดดของแอปพลิเคชัน AI ในปัจจุบันแสดงให้เห็นถึงโอกาสมากมายที่องค์กรจะใช้ประโยชน์จากเทคโนโลยีเหล่านี้ เพื่อยกระดับวิธีการทำงานของเรา ขณะเดียวกันก็มีความเสี่ยงมากมายที่มาพร้อมกับธรรมชาติของเทคโนโลยีนี้

สำหรับผู้ตรวจสอบภายในแล้ว AI อาจเป็นเรื่องที่น่าหวั่นใจ โดยเฉพาะอย่างยิ่งเมื่อองค์กรต่าง ๆ เริ่มนำ AI มาใช้งานมากขึ้นเรื่อย ๆ ในยุคนี้ องค์กรจึงคาดหวังให้ผู้ตรวจสอบภายในเข้ามาให้คำแนะนำเกี่ยวกับ AI มากขึ้น ไม่ว่าจะเป็นบทบาทที่ปรึกษาด้านความเสี่ยงและการควบคุม หรือบทบาทผู้ให้ความเชื่อมั่นในกระบวนการที่ใช้ AI จึงเป็นเรื่องสำคัญอย่างยิ่งที่ผู้ตรวจสอบภายในจะต้องเพิ่มพูนความรู้ในเรื่องนี้

ผู้ตรวจสอบภายในมีหน้าที่ให้ความเชื่อมั่นในกิจกรรมและกระบวนการต่าง ๆ ตั้งแต่ธุรกรรมทางธุรกิจที่ไม่ซับซ้อน ไปจนถึงกระบวนการที่ซับซ้อนมาก ซึ่งต้องอาศัยความเข้าใจเชิงลึก ระดับและความลึกของความรู้ด้าน AI ที่จำเป็นต่อการสนับสนุนกิจกรรมการให้ความเชื่อมั่นนั้น สร้างความท้าทายอย่างต่อเนื่องแก่ผู้ตรวจสอบภายใน ซึ่งต้องพัฒนาความรู้เกี่ยวกับ AI อย่างสม่ำเสมอเพื่อทำความเข้าใจความเสี่ยงและบทบาทของตนเองได้อย่างครบถ้วน และเพื่อให้คำแนะนำและการให้ความเชื่อมั่นที่แม่นยำ

การตรวจสอบ AI มีความท้าทายเฉพาะตัว และด้วยวิวัฒนาการอย่างต่อเนื่อง ทำให้ผู้ตรวจสอบภายในต้องประเมินความเสี่ยงและแนวทางการบรรเทาความเสี่ยงในสภาพแวดล้อม AI ใหม่ อย่างไรก็ตาม ผู้ตรวจสอบภายในมีทักษะพื้นฐานที่สำคัญอยู่แล้ว เช่น การคิดเชิงวิพากษ์, การทำแผนที่กระบวนการ, การประเมินความเสี่ยง, การประเมินการควบคุมเทคโนโลยีสารสนเทศ, การทำความเข้าใจกลยุทธ์องค์กร และการให้ความเชื่อมั่นที่เป็นอิสระต่อหน้าที่กำกับดูแล

สถาบันผู้ตรวจสอบภายใน (The IIA) จึงได้จัดทำ IIA AI Auditing Framework ขึ้นมา เพื่อช่วยให้ผู้ตรวจสอบภายในเข้าใจความเสี่ยงและระบุแนวปฏิบัติที่ดีที่สุด รวมถึงการควบคุมภายในสำหรับ AI โดยมีจุดประสงค์เพื่อช่วยผู้ตรวจสอบภายในในการสร้างความรู้พื้นฐาน ซึ่งประกอบด้วย :

  1. ภาพรวม: ประวัติและประโยชน์ของ AI
  2. เริ่มต้น: ทำความเข้าใจว่าองค์กรใช้ AI อย่างไร
  3. กรอบการตรวจสอบ AI: การกำกับดูแล, การจัดการ และการตรวจสอบภายใน

กรอบการทำงานนี้ใช้ประโยชน์จาก The IIA’s Three Lines Model และอ้างอิงถึง The IIA’s International Professional Practices Framework (IPPF) ซึ่งเป็นพื้นฐานของข้อกำหนดที่ต้องปฏิบัติตามและหลักการสำหรับวิชาชีพผู้ตรวจสอบภายใน นอกจากนี้ยังมีการอ้างอิงถึงแนวทางอื่น ๆ ของ The IIA เช่น Global Technology Audit Guides (GTAGs) และกรอบการทำงานที่เกี่ยวข้องอื่น ๆ เช่น NIST Artificial Intelligence Risk Management Framework (AI RMF 1.0) ซึ่งเป็นแหล่งข้อมูลเพิ่มเติมสำหรับผู้ตรวจสอบภายใน

ภาพรวม: ประวัติและวิวัฒนาการ

ในฐานะที่เป็นส่วนหนึ่งของภาพรวม ผู้ตรวจสอบภายในควรทำความเข้าใจพัฒนาการทางประวัติศาสตร์ของ AI, การใช้งาน AI ในอุตสาหกรรมต่าง ๆ ในปัจจุบัน และแนวโน้ม AI ที่กำลังเกิดขึ้นใหม่ที่ควรพิจารณา

แนวคิดเรื่อง AI ย้อนกลับไปในปี 1950 เมื่อนักคณิตศาสตร์ชาวอังกฤษ Alan Turing ตั้งคำถามว่า “เครื่องจักรคิดได้หรือไม่?” ในบทความของเขา “Computing Machines and Intelligence” ซึ่งถือเป็นหนึ่งในผู้บุกเบิก AI ด้วยการเสนอว่าในที่สุดเครื่องจักรจะมีความสามารถเทียบเท่ากับสติปัญญาของมนุษย์ สองปีต่อมา Arthur Lee Samuel นักวิทยาศาสตร์คอมพิวเตอร์ชาวอเมริกันที่ IBM ได้พัฒนาโปรแกรมที่สามารถเล่นหมากฮอสได้ด้วยการใช้ค่าที่ตั้งโปรแกรมไว้เพื่อระบุการเดินที่ดีที่สุด และในปี 1956 John McCarthy ได้ใช้คำว่า “AI” เป็นครั้งแรกในโครงการวิจัย The Dartmouth Summer Research Project on Artificial Intelligence

ทศวรรษ 1960s เป็นช่วงที่ AI มีความก้าวหน้าอย่างมาก รวมถึงการใช้หุ่นยนต์, โปรแกรมแก้ปัญหา และโปรแกรมคอมพิวเตอร์แบบโต้ตอบตัวแรกที่เรียกว่า ELIZA ซึ่งถือเป็น “แชทบอท” ตัวแรกที่จำลองการสนทนากับผู้ใช้มนุษย์ ส่วนทศวรรษ 1970s มีการพัฒนาหุ่นยนต์อัจฉริยะตัวแรกชื่อ WABOT และงานวิจัยต่อเนื่องในด้าน Natural Language Processing (NLP)

ความก้าวหน้าในทศวรรษ 1980s รวมถึงการพัฒนารถ Mercedes Benz ไร้คนขับในปี 1986 และใน 1990s เราได้เห็นเทคโนโลยีที่เกี่ยวข้องกับ AI ก้าวหน้าขึ้น รวมถึงซอฟต์แวร์จดจำเสียงใน Microsoft Windows และ “Deep Blue” ของ IBM ที่สร้างความฮือฮาในปี 1997 ด้วยการเอาชนะแชมป์หมากรุกโลก Garry Kasparov

เข้าสู่ทศวรรษ 2000s AI ได้กลายเป็นส่วนหนึ่งของชีวิตประจำวันของเรา เช่น Amazon Alexa, Apple Siri และ Google Assistant และปี 2023 ถือเป็นปีที่ Large Language Models (LLMs) อย่าง ChatGPT ได้รับการยอมรับอย่างแพร่หลาย ซึ่งยกระดับความสามารถของ AI จากการพยากรณ์ผลลัพธ์ไปสู่การสร้างเนื้อหาที่หลากหลายมากขึ้น

ระดับการนำไปใช้และการจำแนกประเภท AI

รายงาน IBM’s Global AI Adoption Index 2023 ระบุว่า 42% ของบริษัทที่สำรวจมีการใช้ AI ในธุรกิจของตน และอีก 40% กำลังอยู่ในช่วงสำรวจ การใช้งาน AI ที่ขยายตัวอย่างต่อเนื่องนี้เน้นย้ำว่าทำไมผู้ตรวจสอบภายในจึงต้องผนวกความเสี่ยงที่เกี่ยวข้องกับ AI เข้าไปในการวางแผนการตรวจสอบ และพัฒนาความรู้เกี่ยวกับ AI อย่างต่อเนื่องด้วย

AI สามารถจำแนกได้หลายประเภท แต่ในที่นี้จะนำเสนอการแบ่งประเภทของ IBM ซึ่งแบ่งออกเป็น 4 ประเภทหลัก:

  1. Reactive Machine AI: เป็น AI ที่ไม่มีหน่วยความจำ ออกแบบมาเพื่อทำงานตามข้อมูลป้อนเข้าจากมนุษย์เท่านั้น ระบบเหล่านี้อาศัย “มนุษย์ในวงจร” สำหรับการเขียนโปรแกรมที่สั่งให้เครื่องจักรทำงานด้วยตัวเอง ตัวอย่างเช่น IBM Deep Blue และแอปพลิเคชัน Machine Learning บางประเภทที่วิเคราะห์ข้อมูลและสร้างผลลัพธ์จากการคาดการณ์ เช่น ระบบแนะนำสินค้าบนเว็บไซต์
  2. Limited Memory AI: AI ประเภทนี้สามารถเรียนรู้และพัฒนาตนเองได้จากชุดข้อมูลขนาดใหญ่ในอดีต ซึ่งต่างจาก Reactive Machine AI ตรงที่สามารถนำข้อมูลทั้งในอดีตและปัจจุบันมาใช้เพื่อปรับปรุงประสิทธิภาพได้ Deep Learning ซึ่งเป็นส่วนย่อยของ Machine Learning จัดอยู่ในหมวดหมู่นี้ และไม่ต้องพึ่งพาการมีปฏิสัมพันธ์กับมนุษย์มากนัก Generative AI ก็อยู่ในประเภทนี้ด้วย เช่น ChatGPT สำหรับสร้างข้อความ หรือ DALL-E สำหรับสร้างภาพ
  3. Theory of Mind AI: AI ประเภทนี้ยังไม่มีอยู่จริงในปัจจุบัน แต่เป็นการวิจัยที่มุ่งพัฒนาให้ AI เข้าใจและโต้ตอบกับปัจจัยที่ละเอียดอ่อน เช่น อารมณ์และแรงจูงใจในลักษณะเดียวกับมนุษย์
  4. Self-Aware AI: AI ประเภทนี้เป็นเพียงทฤษฎีเช่นเดียวกับ Theory of Mind AI ซึ่งยังไม่มีอยู่จริงในทางปฏิบัติ หลายคนจินตนาการว่า AI ประเภทนี้จะมีความตระหนักรู้ในตัวเองอย่างลึกซึ้ง มีจิตสำนึกภายในที่ทัดเทียมหรือเหนือกว่ามนุษย์

ในส่วนต่อไปเราจะลงรายละเอียดเพิ่มเติมเกี่ยวกับวิธีที่ผู้ตรวจสอบภายในจะสามารถเริ่มต้นทำความเข้าใจการใช้งาน AI ภายในองค์กรของตนเองได้

ผู้ตรวจสอบภายในทุกท่านอย่าลืมติดตาม ตอนที่ 2 เพื่อเจาะลึกแนวทางการเริ่มต้นการตรวจสอบ AI และทำความเข้าใจวิธีการเก็บรวบรวมข้อมูลสำคัญจากภายในและภายนอกองค์กรได้ในครั้งถัดไปครับ

อ้างอิง : THE IIA’S Artificial Intelligence Auditing Framework

1 ความเห็น | AI กับ GRC | ติดป้ายกำกับ: , , | ลิงก์ถาวร
โพสต์โดย Metha Suvanasarn

การสร้าง Cyber Resilience แบบบูรณาการและได้มาตรฐาน

กรกฎาคม 2, 2025

ในยุคดิจิทัลที่ภัยคุกคามไซเบอร์พัฒนาไปอย่างรวดเร็วและซับซ้อนขึ้นทุกวัน การพึ่งพาเพียงระบบป้องกันไม่เพียงพออีกต่อไป องค์กรจำเป็นต้องมีความสามารถในการฟื้นตัว ปรับตัว และดำเนินงานได้อย่างต่อเนื่องภายใต้สถานการณ์ที่ไม่คาดฝัน ซึ่งแนวคิดนี้ถูกเรียกว่า “Cyber Resilience” หรือ ความสามารถในการยืนหยัดท่ามกลางภัยไซเบอร์อย่างยั่งยืน โดยโพสต์นี้ผมอยากจะอธิบายแนวทางการสร้าง Cyber Resilience แบบบูรณาการและได้มาตรฐาน ด้วยกรอบแนวคิดที่เชื่อมโยงเป้าหมาย วัตถุประสงค์ เทคนิค และแนวทางปฏิบัติเข้าด้วยกันอย่างเป็นระบบ

เข้าใจ Cyber Resilience คืออะไร?

Cyber Resilience คือ ความสามารถขององค์กรในการ “ป้องกัน-ตอบสนอง-ฟื้นตัว-และปรับตัว” ต่อภัยคุกคามทางไซเบอร์ โดยยังสามารถดำเนินภารกิจหลักได้อย่างต่อเนื่อง แนวคิดนี้แตกต่างจากการรักษาความมั่นคงปลอดภัยไซเบอร์แบบเดิมที่มุ่งเน้นเฉพาะการป้องกัน (Protection) เท่านั้น

Cyber Resilience จึงไม่ใช่แค่เรื่องของเทคโนโลยี แต่รวมถึงการบริหารจัดการความเสี่ยง บุคลากร กระบวนการ และการตัดสินใจเชิงกลยุทธ์ โดยจำเป็นต้องมีการบูรณาการจากหลายมิติอย่างสอดประสาน

เป้าหมาย (Goals) ของ Cyber Resilience

เป้าหมายหลักของ Cyber Resilience มี 4 ประการ

  • Adapt (ปรับตัว): ความสามารถพัฒนาในการเปลี่ยนแปลงและปรับปรุงระบบ การทำงาน และกระบวนการอย่างต่อเนื่อง เพื่อตอบสนองต่อภัยใหม่ ๆ และพร้อมรับมือกับภัยคุกคามและสภาพแวดล้อมที่เปลี่ยนแปลงไปได้ ซึ่งการที่ระบบและกระบวนการสามารถยืดหยุ่นและปรับเปลี่ยนได้ จะช่วยลดช่วงโหว่และเพิ่มความอยู่รอดในระยะยาว
  • Recover (ฟื้นตัว): ความสามารถในการกู้คืนระบบ ข้อมูล และการดำเนินงานให้กลับสู่สภาวะปกติได้อย่างรวดเร็ว และมีประสิทธิภาพ หลังจากเกิดเหตุการณ์โจมตีหรือขัดข้อง จะช่วยลดเวลาหยุดชะงัก (Downtime) และความเสียหายที่เกิดขึ้นได้
  • Anticipate (คาดการณ์): ความสามารถในการระบุ ประเมิน และทำความเข้าใจภัยคุกคาม ช่องโหว่ และความเสี่ยงที่อาจเกิดขึ้นในอนาคต เพื่อเตรียมมาตรการป้องกันและเตรียมการรับมือ ซึ่งอาจจะเปลี่ยนจากการตอบโต้ไปสู่การเป็นฝ่ายรุกในการจัดการความเสี่ยง
  • Withstand (ทนทาน/ต้านทาน): ความสามารถของระบบและกระบวนการในการรับมือและคงประสิทธิภาพการทำงานไว้ได้ แม้จะตกอยู่ภายใต้การโจมตีหรือแรงกดดัน เพื่อป้องกันไม่ให้การโจมตีเล็กน้อยลุกลามกลายเป็นความเสียหายใหญ่

เป้าหมายเหล่านี้เป็นรากฐานที่เชื่อมโยงไปสู่การกำหนดวัตถุประสงค์เชิงกลยุทธ์และการเลือกใช้เทคนิคที่เหมาะสม

วัตถุประสงค์ (Objectives): สะพานเชื่อมเป้าหมายสู่แนวทางปฏิบัติ

วัตถุประสงค์ของการสร้าง Cyber Resilience ได้แก่:

  • Re-Architect (ออกแบบใหม่): เพื่อเป้าหมาย Adapt โดยการพิจารณาและออกแบบโครงสร้างพื้นฐาน ระบบ หรือกระบวนการใหม่ เพื่อเพิ่มความยืดหยุ่น ความปลอดภัย และความสามารถในการปรับตัว เช่น การย้ายไปใช้สถาปัตยกรรมแบบ Microservices, การออกแบบระบบแบบกระจายศูนย์
  • Transform (เปลี่ยนแปลง): เพื่อเป้าหมาย Adapt โดยการเปลี่ยนแปลงในวงกว้าง ทั้งด้านเทคโนโลยี กระบวนการ และวัฒนธรรม เพื่อให้องค์กรสามารถตอบสนองต่อภัยคุกคามและโอกาสใหม่ ๆ ได้ดีขึ้น เช่น การนำ DevSecOps มาใช้, การสร้างวัฒนธรรมความปลอดภัย
  • Prevent or Avoid (ป้องกันหรือหลีกเลี่ยง): เพื่อเป้าหมาย Anticipate, Withstand โดยการดำเนินมาตรการเชิงรุก เพื่อลดโอกาสที่เหตุการณ์ไม่พึงประสงค์จะเกิดขึ้น หรือลดผลกระทบหากเกิดขึ้น เช่น การใช้ Firewall, Antivirus, การฝึกอบรมพนักงาน
  • Reconstitute (ประกอบใหม่/ฟื้นฟู): เพื่อเป้าหมาย Recover โดยการฟื้นคืนระบบหรือข้อมูลที่เสียหายให้กลับมาใช้งานได้อีกครั้งในสถานะที่เชื่อถือได้ เช่น การกู้คืนจาก Backup, การสร้างสภาพแวดล้อมใหม่
  • Prepare (เตรียมพร้อม): เพื่อเป้าหมาย Anticipate โดยมีการวางแผน การฝึกซ้อม และการสร้างขีดความสามารถที่จำเป็นล่วงหน้า เพื่อรับมือกับเหตุการณ์ความปลอดภัย เช่น การจัดทำแผน Incident Response, การซ้อมแผนความปลอดภัยต่าง ๆ
  • Continue (ดำเนินการต่อ): เพื่อเป้าหมาย Withstand โดยการรักษาการดำเนินงานทางธุรกิจที่สำคัญให้สามารถดำเนินต่อไปได้อย่างปลอดภัย เช่น การมีระบบสำรอง, การกระจายความเสี่ยง
  • Understand (ทำความเข้าใจ): เพื่อเป้าหมาย Anticipate โดยมีการรวบรวม วิเคราะห์ และตีความข้อมูลเกี่ยวกับภัยคุกคาม ช่องโหว่ และความเสี่ยง เช่น การทำ Vulnerability Assessment, Threat Intelligence
  • Constrain (จำกัด/ควบคุม): เพื่อเป้าหมาย Withstand มีการจำกัดขอบเขตความเสียหายและผลกระทบของเหตุการณ์ความปลอดภัยไม่ให้ลุกลาม และควบคุมภัยคุกคามได้ดี เช่น การแบ่ง Segment เครือข่าย, การจำกัดสิทธิ์ผู้ใช้งาน

การบรรลุวัตถุประสงค์เหล่านี้ต้องอาศัยเทคนิคและเครื่องมือที่เหมาะสม ตามลักษณะและบริบทขององค์กร วัตถุประสงค์เหล่านี้คือขั้นตอนหรือสิ่งที่ต้องทำ เพื่อให้บรรลุเป้าหมายที่ตั้งไว้ เป็นการแปลงเป้าหมายนามธรรมให้เป็นสิ่งที่จับต้องได้

เทคนิค (Techniques): เครื่องมือสร้างภูมิคุ้มกันองค์กร

เทคนิคที่มีบทบาทสำคัญใน Cyber Resilience มีหลายรูปแบบ เช่น:

  • Realignment (การจัดแนวใหม่) เช่น การจัดลำดับความสำคัญของข้อมูล, การกระจายความรับผิดชอบ
  • Redundancy (ความซ้ำซ้อน) มีระบบสำรอง ข้อมูลสำรอง เพื่อให้ทำงานต่อเนื่องได้ เช่น การมีศูนย์ข้อมูลแบบ Active-Active หรือ Backup อัตโนมัติ
  • Adaptive Response (การตอบสนองแบบปรับตัว) สามารถปรับเปลี่ยนการรับมือได้ตามสถานการณ์
  • Coordinated Protection (การป้องกันแบบประสานงาน) ทุกฝ่ายทำงานร่วมกันในการป้องกัน
  • Segmentation (การแบ่งส่วน) การแยกส่วนเครือข่ายหรือระบบเพื่อจำกัดความเสียหาย หรือลดความเสียหายจากจุดเดียว
  • Diversity (ความหลากหลาย) การมี/การใช้ระบบหรือซอฟต์แวร์หลายรูปแบบ หรือผู้ให้บริการที่หลากหลาย เพื่อลดความเสี่ยงที่จุดเดียว ไม่ให้เกิด Single Point of Failure
  • Deception (การล่อหลอก) การสร้างกับดักเพื่อหลอกล่อผู้บุกรุก หรือแฮกเกอร์ เช่น Honeypots
  • Non-Persistence (การไม่ถาวร) การทำให้ข้อมูลหรือระบบไม่คงอยู่ถาวร เพื่อลดโอกาสที่แฮกเกอร์จะฝังตัว
  • Dynamic Positioning (การวางตำแหน่งแบบไดนามิก) เป็นการเปลี่ยนแปลงตำแหน่งของทรัพยากรเพื่อลดการคาดเดา
  • Privilege Restriction (การจำกัดสิทธิ์) การให้สิทธิ์เข้าถึงข้อมูลและระบบเท่าที่จำเป็นเท่านั้น
  • Contextual Awareness (การรับรู้บริบท) การเข้าใจสถานะของระบบ รับรู้ความเสี่ยงโดยอิงจากบริบทของธุรกิจและภัยคุกคามแบบเรียลไทม์
  • Substantiated Integrity (ความสมบูรณ์ที่ได้รับการยืนยัน) ตรวจสอบว่าข้อมูลถูกต้องและไม่มีการเปลี่ยนแปลง
  • Analytic Monitoring (การเฝ้าระวังด้วยการวิเคราะห์) การเฝ้าระวัง ตรวจสอบและวิเคราะห์กิจกรรมในระบบอย่างต่อเนื่องพร้อมแจ้งเตือนภัยแบบเรียลไทม์

เทคนิคเหล่านี้จะมีประสิทธิภาพเมื่อถูกใช้อย่างสอดคล้องกับวัตถุประสงค์และแนวทางปฏิบัติได้อย่างเหมาะสม

แนวทางปฏิบัติ (Approaches): จากทฤษฎีสู่การลงมือทำ

แนวทางปฏิบัติ (Approaches) ที่เฉพาะเจาะจงซึ่งองค์กรสามารถนำไปใช้ได้ทันที เช่น:

Purposing, Offloading, Restriction, Replacement, Specialization, Evolvability: แนวทางในการจัดสรรทรัพยากร, การโอนภาระ, การจำกัด, การเปลี่ยน, การสร้างความเชี่ยวชาญ, การพัฒนาอย่างต่อเนื่อง

Dynamic Reconfiguration, Dynamic Resource Allocation, Adaptive Management, Protected Backup and Restore, Surplus Capacity: แนวทางในการปรับโครงสร้าง, การจัดสรรทรัพยากรแบบไดนามิก, การจัดการแบบปรับตัว, การสำรองและกู้คืนข้อมูลที่มีการป้องกัน, การมีทรัพยากรสำรอง

Replication, Self-Challenge, Calibrated Defense-in-Depth, Conscious Analysis, Orchestration: แนวทางในการทำสำเนา, การท้าทายตัวเอง, การป้องกันเชิงลึก, การวิเคราะห์อย่างรอบคอบ, การจัดระเบียบ

Predefined Segmentation, Dynamic Segmentation and Isolation, Obfuscation, Disinformation, Misdirection, Tampering: แนวทางในการแบ่งส่วน, การแยกส่วนแบบไดนามิก, การทำให้เข้าใจผิด, การบิดเบือนข้อมูล, การนำทางผิด, การดัดแปลง

Architectural Diversity, Design Diversity, Synthetic Diversity, Information Diversity, Path Diversity, Supply Chain Diversity: แนวทางในการสร้างความหลากหลายในสถาปัตยกรรม, การออกแบบ, การสังเคราะห์, ข้อมูล, เส้นทาง, และห่วงโซ่อุปทาน

Functional Relocation, Deceptive Response, Functional Relocation of Cyber Resources: แนวทางในการย้ายฟังก์ชัน, การตอบสนองที่หลอกลวง, การย้ายทรัพยากรทางไซเบอร์

Temporal Unpredictability, Fragmentation, Contextual Unpredictability, Obfuscated Functionality, Non-Persistent Information, Non-Persistent Services, Non-Persistent Connectivity: แนวทางในการสร้างความไม่แน่นอนทางเวลา, การแบ่งส่วน, ความไม่แน่นอนตามบริบท, ฟังก์ชันที่ทำให้เข้าใจผิด, ข้อมูลที่ไม่คงอยู่ถาวร, บริการที่ไม่คงอยู่ถาวร, การเชื่อมต่อที่ไม่คงอยู่ถาวร

Trust-Based Privilege Management, Attribute-Based Usage Restriction, Dynamic Privileges: แนวทางในการจัดการสิทธิ์ตามความเชื่อถือ, การจำกัดการใช้งานตามคุณสมบัติ, สิทธิ์แบบไดนามิก

Dynamic Resource Awareness, Dynamic Throughput: แนวทางในการรับรู้ทรัพยากรแบบไดนามิก, ปริมาณงานแบบไดนามิก

Mission Dependency and Status Visualization, Integrity Checks, Provenance Tracking, Behavior Validation: แนวทางในการแสดงผลความสัมพันธ์ระหว่างภารกิจและสถานะ, การตรวจสอบความสมบูรณ์, การติดตามที่มา, การตรวจสอบพฤติกรรม

Monitoring and Damage Assessment, Sensor Fusion and Analysis, Forensic and Behavioral Analysis: แนวทางในการเฝ้าระวังและประเมินความเสียหาย, การหลอมรวมและการวิเคราะห์ข้อมูลจากเซ็นเซอร์, การวิเคราะห์ทางนิติวิทยาศาสตร์และพฤติกรรม

แนวทางปฏิบัติเหล่านี้สามารถผสานเข้ากับเฟรมเวิร์กมาตรฐาน เช่น NIST Cybersecurity Framework หรือ ISO/IEC 27001 เพื่อยกระดับมาตรฐานขององค์กรได้

การบูรณาการและได้มาตรฐานทำได้อย่างไร?

มองเป็นระบบ: ไม่ได้มองแค่การติดตั้งโปรแกรมป้องกันไวรัส แต่เป็นการวางแผนตั้งแต่ระดับนโยบาย ไปจนถึงการปฏิบัติงาน

ความร่วมมือ: IT, ผู้บริหาร, ฝ่ายปฏิบัติงาน, ทุกคนต้องเข้าใจบทบาทและทำงานร่วมกัน

ใช้กรอบมาตรฐาน: อาจจะอ้างอิงกรอบมาตรฐานที่เป็นที่ยอมรับ เช่น NIST Cybersecurity Framework, ISO 27001 หรือมาตรฐานอื่น ๆ ที่เกี่ยวข้อง เพื่อเป็นแนวทางในการกำหนดนโยบาย กระบวนการ และการเลือกใช้เทคนิค

ฝึกอบรมและสร้างความตระหนัก: ทุกคนในองค์กรต้องได้รับการฝึกอบรมเรื่องความปลอดภัยทางไซเบอร์ และตระหนักถึงความสำคัญของการเป็นส่วนหนึ่งของการสร้าง Cyber Resilience

ทดสอบและปรับปรุงอย่างต่อเนื่อง: ต้องมีการทดสอบแผนรับมือภัยคุกคามเป็นประจำ (เช่น การทำ Simulation, Red Team/Blue Team Exercise) และนำผลลัพธ์มาปรับปรุงแผนและกระบวนการให้ดียิ่งขึ้นเสมอ

การนำไปใช้จริง: จากแนวคิดสู่ระบบงานองค์กร

การสร้าง Cyber Resilience อย่างได้ผล ต้องเริ่มจาก…

เริ่มต้นด้วยการประเมิน: ประเมินจุดอ่อนของระบบที่มีอยู่ว่า องค์กรของคุณมีความสามารถในการรับมือภัยไซเบอร์ได้แค่ไหนในปัจจุบัน? มีจุดแข็ง จุดอ่อนตรงไหนบ้าง?

กำหนดเป้าหมายที่ชัดเจน: จากนั้นกำหนดเป้าหมายและวัตถุประสงค์ที่ชัดเจน อยากให้องค์กร “ทนทาน” แค่ไหนเมื่อเกิดภัย?

วางแผนแบบครบวงจร: เลือกเทคนิคที่สอดคล้องและออกแบบแนวทางปฏิบัติให้เหมาะสมกับทรัพยากรและความเสี่ยงเฉพาะขององค์กร โดยคิดตั้งแต่ “ป้องกัน” “ตรวจจับ” “ตอบสนอง” และ “ฟื้นตัว”

กระจายความรับผิดชอบ: ไม่ใช่แค่หน่วยงาน IT แต่ทุกคนในองค์กรต้องมีส่วนร่วม

ลงทุนในเทคโนโลยีที่เหมาะสม: เลือกใช้เครื่องมือที่ช่วยให้บรรลุเป้าหมาย เช่น ระบบสำรองข้อมูล, ระบบตรวจจับการบุกรุก, ระบบบริหารจัดการสิทธิ์

ฝึกซ้อมอยู่เสมอ: หมั่นซ้อมแผนรับมือภัยคุกคาม เพื่อให้พร้อมเสมอ

ตารางเช็คลิสต์สำหรับการสร้าง Cyber Resilience แบบบูรณาการและได้มาตรฐาน

องค์กรสามารถใช้ “ตารางเช็ค” เพื่อเป็นแนวทางในการวางแผน ประเมิน ตรวจสอบ และติดตาม การดำเนินการด้าน Cyber Resilience ให้มีความพร้อมอยู่เสมอ รวมถึงพัฒนาการดำเนินการด้าน Cyber Resilience ภายในองค์กรอย่างต่อเนื่อง ไม่ว่าจะอยู่ในภาคการเงิน ภาครัฐ หรือองค์กรเอกชน

หมวดเป้าหมาย (Goals)สิ่งที่ต้องดำเนินการ (Checklist)ดำเนินการแล้ว ✔️ความสำคัญ (1–5)
1. การป้องกันเชิงรุกPrevent / Withstand☐ มีระบบสำรอง (Redundancy) ที่ผ่านการทดสอบจริง
☐ ใช้การแบ่ง Segment เครือข่าย / ระบบที่สำคัญแยกออกจากกัน
☐ มีระบบจำกัดสิทธิ์แบบ Least Privilege (Privilege Restriction)
☐ มีระบบการหลอกล่อผู้บุกรุก (Deception เช่น honeypot)
2. การตรวจจับและเฝ้าระวังUnderstand / Anticipate☐ มีการ Monitor ความผิดปกติแบบ Real-time
☐ ใช้ Contextual Awareness วิเคราะห์ความเสี่ยงแบบมีบริบท
☐ มีการใช้ Forensic / Behavioral Analysis ในกรณีเกิดเหตุ
☐ มีระบบแจ้งเตือนล่วงหน้า (Early Warning System)
3. การตอบสนองและฟื้นตัวRecover / Reconstitute☐ มีแผนรับมือเหตุการณ์ (Incident Response Plan) ที่ซ้อมจริง
☐ สำรองข้อมูลเป็นประจำ + ทดสอบการกู้คืนข้อมูล (Backup & Restore)
☐ มีระบบ Dynamic Reconfiguration / Self-healing system
☐ มีรายชื่อบุคคลรับผิดชอบในทุกขั้นตอน
4. การเตรียมพร้อมและเรียนรู้Prepare / Adapt☐ ฝึกอบรมพนักงานด้าน Cybersecurity Awareness เป็นประจำ
☐ มีการประเมินภัยคุกคามล่วงหน้า (Threat Intelligence / Threat Modeling)
☐ บูรณาการ Cyber Resilience เข้ากับ Business Continuity Plan (BCP)
☐ สร้างวัฒนธรรม “ความยืดหยุ่น” (Resilience Culture) ในองค์กร
5. การควบคุมและติดตามผลConstrain / Continue☐ ใช้มาตรฐาน เช่น NIST CSF, ISO/IEC 27001 เป็นแนวทางหลัก
☐ มีการประเมินความเสี่ยงและทดสอบระบบอย่างสม่ำเสมอ
☐ ใช้ Dashboard / Report ติดตามความพร้อมของระบบ

วิธีการใช้ตารางเช็คลิสต์

  • กำหนดทีมงานรับผิดชอบ (IT, Security, Compliance)
  • ตรวจสอบแต่ละหัวข้อในองค์กรของคุณว่าดำเนินการแล้วหรือยัง
  • ระบุความสำคัญเร่งด่วน (ระดับ 1–5)
  • นำรายการที่ยังไม่ดำเนินการเข้าวางแผน / ลงทุน / จัดลำดับความสำคัญ

สรุป Cyber Resilience ไม่ใช่เป้าหมายที่ทำครั้งเดียวจบ แต่คือการเดินทางที่ต้องมีการบูรณาการ ปรับตัว และเรียนรู้อย่างต่อเนื่อง องค์กรที่สามารถรับมือกับภัยคุกคามได้อย่างยืดหยุ่น จะสามารถรักษาความเชื่อมั่นของลูกค้า คู่ค้า และสังคมโดยรวมไว้ได้ในระยะยาว ในโลกที่เปลี่ยนแปลงอย่างรวดเร็วเช่นนี้ การมีระบบ Cyber Resilience ที่ได้มาตรฐานจึงไม่ใช่ทางเลือก แต่เป็นความจำเป็นอย่างยิ่ง

Leave a Comment » | AI กับ GRC, ความมั่นคงปลอดภัยไซเบอร์ของชาติ | ติดป้ายกำกับ: , | ลิงก์ถาวร
โพสต์โดย Metha Suvanasarn

NRC ยุค Gen-AI เพื่อการกำกับและบริหารแบบบูรณาการอย่างยั่งยืน

มิถุนายน 17, 2025

ปรากฏการณ์ Gen-AI กับองค์กรยุคใหม่

ในช่วงไม่กี่ปีที่ผ่านมา เทคโนโลยีปัญญาประดิษฐ์ (AI) โดยเฉพาะ Generative AI หรือ Gen-AI ได้เข้ามามีบทบาทอย่างลึกซึ้งต่อการดำเนินงานขององค์กรทั้งภาครัฐและเอกชน การที่ AI สามารถสร้างเนื้อหา วิเคราะห์ข้อมูล และเรียนรู้พฤติกรรมผู้ใช้อย่างชาญฉลาด ทำให้เกิดคำถามสำคัญว่า องค์กรกำกับนโยบายอย่าง NRC (National Research Council หรือองค์กรในลักษณะคล้ายกัน) ควรปรับตัวอย่างไรท่ามกลางกระแสเทคโนโลยีที่ก้าวกระโดด

NRC ในฐานะองค์กรที่มีภารกิจด้านการส่งเสริม วิจัย พัฒนา หรือแม้แต่กำกับดูแลระดับประเทศ จำเป็นต้องก้าวสู่บทบาทใหม่ที่ไม่ได้เป็นเพียงแค่ผู้กำหนดนโยบาย แต่ต้องเป็น “ผู้นำเชิงระบบ” (System Enabler) ที่สามารถเชื่อมโยงการบริหาร กำกับ และสร้างความยั่งยืนในทุกมิติ ผ่านการใช้ศักยภาพของ AI อย่างรับผิดชอบและมีจริยธรรม

NRC ยุค Gen-AI: เมื่ออัลกอริทึมกลายเป็นส่วนหนึ่งของการตัดสินใจ

การพูดถึง NRC ยุค Gen-AI ไม่ใช่เพียงการเพิ่มเครื่องมือเทคโนโลยีเข้าไปในกระบวนการ แต่คือการ “ยกระดับบทบาท” ขององค์กร โดยมอง AI เป็นพลังสนับสนุน (enabler) ให้กับพันธกิจเดิม ได้แก่ การวิจัย การวิเคราะห์เชิงนโยบาย และการกำกับดูแล

ในยุคนี้ NRC ควรมีลักษณะสำคัญ 3 ประการ:

  1. AI-Augmented Organization: ใช้ AI เพื่อวิเคราะห์ข้อมูล วิจัยเชิงลึก และกำกับติดตามได้อย่างแม่นยำ
  2. Evidence-Based Governance: ตัดสินใจโดยอิงข้อมูลแบบ real-time จากแหล่งข้อมูลหลากหลายที่เชื่อมโยงกัน
  3. Agile Policy & Regulatory Lab: เป็นพื้นที่ทดลองเชิงนโยบายและการกำกับที่ยืดหยุ่น คล่องตัว ทันต่อการเปลี่ยนแปลง

การกำกับและบริหารแบบบูรณาการ: แนวคิดและความจำเป็น

ปัญหาในหลายองค์กรคือการบริหารที่แยกส่วน (Silo-Based) ซึ่งขัดต่อการจัดการเชิงระบบในยุคที่ปัญหามีความซับซ้อนสูง ดังนั้น NRC ควรนำแนวคิด “Integrated Governance” มาใช้ ซึ่งครอบคลุมทั้ง 5 มิติ ได้แก่:

  • Policy: เชื่อมโยงเป้าหมายเชิงนโยบายกับแผนปฏิบัติการ
  • People: ส่งเสริมทักษะดิจิทัลและ AI แก่บุคลากร
  • Platform: ลงทุนในเทคโนโลยีที่สนับสนุนการทำงานแบบเปิด
  • Process: ปรับกระบวนการให้ยืดหยุ่นและอิงข้อมูล
  • Performance: มีระบบติดตามผลแบบใกล้ชิดและต่อเนื่อง

การใช้ AI ในการผนวกมิติเหล่านี้จะช่วยให้องค์กรสามารถบริหารเชิงกลยุทธ์ได้มีประสิทธิภาพมากขึ้น

กรอบแนวคิด GRC + ESG + Digitalization

GRC (Governance, Risk, Compliance) เป็นโครงสร้างสำคัญของการบริหารองค์กรสมัยใหม่ เมื่อผนวกกับ ESG (Environment, Social, Governance) และ Digital Transformation จะเกิดเป็นแนวคิด “GRC-D” หรือ “GRC for Digital Era” ซึ่งมีองค์ประกอบดังนี้:

  • Governance: AI ต้องมีกรอบกำกับเพื่อความโปร่งใส ตรวจสอบได้ และมีจริยธรรม
  • Risk: ต้องประเมินความเสี่ยงเชิงเทคโนโลยี เช่น bias, cyber threat, model drift
  • Compliance: สอดคล้องกับข้อกำหนดทางกฎหมายและแนวทางสากล
  • Sustainability: ใช้เทคโนโลยีเพื่อสร้างผลกระทบที่ยั่งยืนต่อสังคมและสิ่งแวดล้อม

NRC ควรเป็นต้นแบบองค์กรที่สามารถประยุกต์ใช้แนวคิดนี้ในระดับยุทธศาสตร์

ตัวอย่าง Use Case: NRC ใช้ AI เพื่อการกำกับอย่างชาญฉลาด

ตัวอย่างที่เป็นไปได้ของการใช้ AI ใน NRC ได้แก่:

  • AI for Research Prioritization: วิเคราะห์เทรนด์งานวิจัยทั่วโลกเพื่อกำหนดเป้าหมายเชิงยุทธศาสตร์
  • Policy Simulation: ใช้ AI จำลองผลกระทบนโยบายต่าง ๆ ก่อนนำไปใช้จริง
  • Regulatory Monitoring: ตรวจสอบการปฏิบัติตามกฎระเบียบในแบบเรียลไทม์ผ่านระบบอัตโนมัติ
  • Knowledge Automation: สร้าง Chatbot หรือระบบสนับสนุนการตัดสินใจให้กับผู้บริหาร

การจัดการความเสี่ยงและจริยธรรมในยุค AI

แม้ AI จะทรงพลัง แต่ก็แฝงความเสี่ยง ทั้งด้านจริยธรรม ความเอนเอียงของข้อมูล และความไม่โปร่งใสในการตัดสินใจ NRC ควรมีแนวทางดังนี้:

  • กำหนด AI Governance Framework ภายใน
  • ส่งเสริมการใช้ Explainable AI (XAI) เพื่ออธิบายผลลัพธ์
  • มีระบบ AI Audit ตรวจสอบการใช้ AI ทั้งในเชิงเทคนิคและจริยธรรม

สร้าง จรรยาบรรณ AI สำหรับบุคลากร

เปลี่ยนผ่านจาก Digital Transformation สู่ Gen-AI: NRC ต้องปรับตัวอย่างไร?

Digital Transformation คือการวางรากฐานดิจิทัล เช่น ERP, Cloud และ RPA ส่วน Gen-AI คือการนำความฉลาดของข้อมูลมาใช้สร้างคุณค่า NRC ต้องเข้าใจการใช้ข้อมูลและ AI ในมุมมองของ “ศักยภาพผู้นำ” และ “ความสามารถปรับตัวต่อเทคโนโลยี” เช่น NRC ต้องเรียนรู้แนวโน้มผู้นำที่สามารถผสาน ESG และ AI ไปด้วยกัน เช่น CEO ที่ผลักดัน Carbon Neutral ด้วย Digital Twin

แผนที่ทางการเปลี่ยนผ่าน (Transformation Roadmap)

การเปลี่ยนผ่านของ NRC ไปสู่ยุค AI ไม่ใช่เพียงเรื่องเทคโนโลยี แต่เป็นการเปลี่ยนวัฒนธรรมองค์กร โดยสามารถแบ่งได้เป็น 3 ระยะ:

ระยะสั้น (1 ปี): Digitalization พื้นฐาน เช่น ระบบจัดเก็บและวิเคราะห์ข้อมูล

ระยะกลาง (2–3 ปี): AI Integration เช่น การใช้ AI ในงานวิเคราะห์และติดตามนโยบาย

ระยะยาว (4–5 ปี): สร้างระบบกำกับนโยบายและการวิจัยแบบบูรณาการด้วย AI (AI Ecosystem)

ข้อเสนอเชิงนโยบายและแนวปฏิบัติ

  • NRC ควรเป็น AI Policy Lab แห่งชาติ: พัฒนานโยบายต้นแบบโดยใช้ AI เป็นเครื่องมือ
  • สร้าง Data Sharing Platform ระหว่างหน่วยงานเพื่อเพิ่มประสิทธิภาพการกำกับ
  • ตั้งหน่วยงานย่อยด้าน AI Governance ภายใน NRC เพื่อควบคุม ตรวจสอบ และสร้างมาตรฐาน

กำหนดยุทธศาสตร์ NRC 5 ปี โดยมี AI และความยั่งยืนเป็นแกนกลาง

NRC ยุค Gen-AI: ผู้นำแห่งการสรรหา ค่าตอบแทน และคุณค่าที่ขับเคลื่อนด้วยข้อมูลและจริยธรรม

NRC กับความรับผิดชอบเชิงบูรณาการ: สร้างสมดุลระหว่างมนุษย์กับอัจฉริยะเทียม

ในยุคของ Generative AI (Gen-AI) ที่องค์กรต่างแสวงหาความสามารถของเทคโนโลยีเพื่อเพิ่มประสิทธิภาพ ความเร็ว และนวัตกรรม คณะกรรมการสรรหาและกำหนดค่าตอบแทน (Nomination and Remuneration Committee: NRC) กำลังเผชิญกับบทบาทที่ลึกซึ้งยิ่งกว่าการคัดเลือกผู้บริหารหรือการออกแบบแพ็กเกจเงินเดือน

NRC กลายเป็นฟันเฟืองสำคัญ ที่ต้องเข้าใจทั้งบริบทของ “มนุษย์” และ “อัจฉริยะเทียม” เพื่อสร้างสมดุลระหว่างการใช้ศักยภาพของ AI กับการรักษาหลักจริยธรรม ความโปร่งใส และคุณค่าทางวัฒนธรรมขององค์กร

NRC ต้องกำกับทั้งผู้นำมนุษย์และการใช้เทคโนโลยี AI อย่างมีจริยธรรม ต้องมีหลักเกณฑ์ว่าการใช้ AI ต้องไม่ละเมิดสิทธิ์ หรือทำลายคุณค่าความเป็นมนุษย์ อย่างเช่น ในการสรรหาผู้บริหารฝ่าย HR, NRC พิจารณาความสามารถในการใช้ AI คัดเลือกบุคลากรโดยไม่ลำเอียงทางเชื้อชาติหรือเพศ

เมื่อข้อมูล (Data) และความรู้ (Knowledge) คือทุนใหม่: NRC ต้องเข้าใจอย่างไร?

ในอดีต ความสามารถ ทักษะ และประสบการณ์ เป็นทรัพยากรหลักในการสรรหาผู้บริหาร แต่ในวันนี้ “ข้อมูล” (Data) และ “ความรู้” (Knowledge) ได้กลายเป็นทุนใหม่ที่มีค่า NRC ต้องพิจารณาผู้นำที่สามารถจัดการ Data Governance และนำความรู้มาใช้สร้างนวัตกรรม

NRC ต้องปรับมุมมองจากการวัดคุณสมบัติแบบเดิม มาเป็นการเข้าใจ “ศักยภาพการบริหารข้อมูล” ของผู้สมัคร เช่น การใช้ data-driven decision, การเรียนรู้จากข้อมูล (learning agility) และความสามารถในการสร้างความรู้จากข้อมูลในองค์กร สิ่งนี้ไม่เพียงแต่ส่งผลต่อการสรรหา แต่ยังรวมถึงการกำหนดค่าตอบแทนตามศักยภาพในการใช้ “ทุนข้อมูล” เพื่อสร้างคุณค่าองค์กรในอนาคต

ตัวอย่างเช่น NRC ประเมิน CEO candidate โดยดูความสามารถในการนำ ISO 30401 มาใช้จัดการความรู้ในองค์กรขนาดใหญ่

จริยธรรมของ AI ในกระบวนการสรรหา: NRC ต้องตั้งคำถามอะไรบ้าง?

แม้ AI จะช่วยให้กระบวนการสรรหาแม่นยำและรวดเร็วขึ้น แต่ NRC ต้องไม่ลืมมองผ่านแว่นของจริยธรรม (Ethics)

  • อัลกอริธึมเลือกผู้สมัครอย่างเป็นธรรมจริงหรือไม่?
  • มีอคติฝังลึกในข้อมูลที่ใช้เทรน AI หรือไม่?
  • ผู้สมัครมีสิทธิรู้ว่าตนถูกประเมินอย่างไรหรือไม่?

คำถามเหล่านี้ไม่ใช่เรื่องของ IT เท่านั้น แต่เป็นความรับผิดชอบทางธรรมาภิบาลที่ NRC ต้องตั้งขึ้นเพื่อรักษาความยุติธรรม ความเท่าเทียม และความโปร่งใสในการใช้เทคโนโลยี

เช่น AI คัดเลือกผู้สมัครโดยอคติหรือไม่? มีความโปร่งใสในการตั้งเกณฑ์หรือไม่? NRC ต้องตรวจสอบ Algorithm และตั้งคำถามอย่างมีหลักการ

ตัวอย่างเช่น NRC ขอให้ฝ่าย HR อธิบาย Training Data ของ AI ที่ใช้คัดเลือกผู้บริหารระดับสูง ว่าครอบคลุมความหลากหลายเพียงใด

AI for NRC: เครื่องมือที่ช่วยให้การสรรหามีประสิทธิภาพและโปร่งใสมากขึ้น

AI ไม่ได้เป็นเพียงวัตถุแห่งการกำกับ แต่เป็น “เครื่องมือ” ที่ NRC สามารถใช้เพื่อเพิ่มความสามารถของตนเอง

AI สามารถช่วย:

  • วิเคราะห์โปรไฟล์ผู้สมัครจากแหล่งข้อมูลหลากหลาย
  • ประเมินทักษะพฤติกรรมผ่านการวิเคราะห์การสื่อสาร
  • คัดกรองผู้สมัครที่สอดคล้องกับค่านิยมองค์กร
  • ตรวจสอบความสอดคล้องของค่าตอบแทนกับแนวโน้มตลาด

ด้วยการใช้ AI อย่างมีกลยุทธ์ NRC สามารถยกระดับมาตรฐานการสรรหาให้มีความชัดเจน ตรวจสอบได้ และตอบสนองอนาคตที่ขับเคลื่อนด้วยข้อมูล NRC ควรรู้จัก Talent Intelligence, AI Interview Analysis, Leadership Simulation ที่ใช้ AI ช่วยให้เห็นศักยภาพผู้นำได้รอบด้าน ตัวอย่าง การใช้ AI วิเคราะห์พฤติกรรมและภาษาในการสัมภาษณ์ เพื่อเสริมการตัดสินใจของคณะกรรมการแบบไม่เอนเอียง

ค่าตอบแทนแบบไหนจึงจะดึงดูดผู้นำยุค AI?

ผู้นำในยุค AI ไม่ได้มองค่าตอบแทนเพียงในรูปของเงินเดือนหรือโบนัส แต่ให้ความสำคัญกับ “ความหมายของงาน” (Purpose), “ความยืดหยุ่น” (Flexibility) และ “โอกาสในการเติบโตทางวิชาชีพ” ซึ่งหมายรวมถึง Learning Allowance, Innovation Bonus หรือแม้กระทั่ง AI Research Budget สำหรับผู้นำ

NRC ต้องออกแบบระบบค่าตอบแทนที่เป็น:

  • Value-Based Compensation: สะท้อนคุณค่าที่สร้างจริง ไม่ใช่แค่ตำแหน่ง
  • Long-Term Incentive: เชื่อมโยงเป้าหมายระยะยาวขององค์กรกับผลงาน
  • Non-Financial Rewards: เช่น การเรียนรู้ต่อเนื่อง การมีส่วนร่วมในนวัตกรรม

การดึงดูดและรักษาผู้นำที่เข้าใจโลกดิจิทัล จำเป็นต้องคิดใหม่เกี่ยวกับ “รางวัล” และ “แรงจูงใจ” ในมุมมองแบบองค์รวม ตัวอย่างเช่น บริษัทเทคใช้ระบบพิจารณา “ค่าตอบแทนตามผลลัพธ์ของ AI Initiatives” เช่น หากโครงการ AI ลดต้นทุนได้จริง ผู้นำได้ Bonus เพิ่มขึ้น

NRC ในฐานะผู้นำการสร้างวัฒนธรรมองค์กรแห่งอนาคต

การสรรหาผู้นำไม่เพียงเป็นเรื่องของทักษะ แต่คือการคัดเลือก “ผู้ถ่ายทอดวัฒนธรรม”

NRC มีบทบาทในการขับเคลื่อนวัฒนธรรมองค์กรให้ทันสมัย สอดคล้องกับโลกที่เปลี่ยนแปลง โดยคำนึงถึงความยั่งยืน ความหลากหลาย (DEI) และนวัตกรรม

NRC ยังมีบทบาทเลือกผู้นำที่สร้างวัฒนธรรมการเรียนรู้ การทดลอง และความโปร่งใส เพื่อสร้างองค์กรที่เรียนรู้ได้ด้วยตนเอง (self-adaptive)

ผู้นำที่ NRC เลือก ควรเป็นผู้สร้าง “สภาพแวดล้อมที่เอื้อต่อการเติบโตของ AI และคนร่วมกัน” ไม่ใช่คนใดคนหนึ่ง

ตัวอย่าง: NRC เลือก CFO ที่สนับสนุนระบบ Knowledge Graph เพื่อให้พนักงานทุกระดับเข้าถึงข้อมูลเชิงกลยุทธ์

ร่วมมือกับคณะกรรมการอื่นอย่างไร เพื่อการกำกับแบบ End-to-End

องค์กรไม่สามารถสร้างการกำกับที่ดีได้ด้วยคณะกรรมการชุดเดียว NRC ต้องทำงานหรือประสานงานร่วมกับ:

  • คณะกรรมการความเสี่ยง (Risk Committee) เพื่อประเมินความเสี่ยงจากการใช้ AI
  • คณะกรรมการบรรษัทธรรมาภิบาล (CG Committee) เพื่อวางกรอบจริยธรรม
  • คณะกรรมการเทคโนโลยี (Technology Committee) เพื่อเชื่อมโยงข้อมูลและนวัตกรรม

การสร้าง “การกำกับแบบ End-to-End” คือการประสานกลยุทธ์ กฎหมาย ข้อมูล และคน ให้เป็นหนึ่งเดียวภายใต้เป้าหมายองค์กร

ตัวอย่าง: NRC ทำงานร่วมกับคณะกรรมการไอที ในการกำหนดค่าตอบแทน CTO ที่สามารถทำ Digital Risk Assessment ร่วมกับทีมตรวจสอบภายใน

จาก NRC สู่องค์กรแห่งคุณค่าเพิ่ม (Value-Centric Organization)

NRC ที่เข้าใจการเปลี่ยนผ่านของโลกดิจิทัลจะไม่เพียงสรรหาคนเก่ง แต่จะสรรหาคนที่สร้าง “คุณค่าเพิ่ม”

NRC ต้องเปลี่ยนบทบาทจากแค่ “คัดเลือกและกำหนดค่าตอบแทน” ไปเป็น “ผู้ออกแบบคุณค่าองค์กรผ่านคน” โดยเฉพาะในยุคที่ AI คือผู้ช่วยสำคัญ การกำหนดค่าตอบแทนที่สะท้อนผลกระทบที่ผู้บริหารมีต่อ Stakeholder อย่างแท้จริง คือรากฐานของการขับเคลื่อนองค์กรให้เติบโตอย่างมีจริยธรรมและยั่งยืน นี่คือบทบาทของ NRC ที่ก้าวข้ามจาก “ผู้ประเมินผลงาน” ไปสู่ “ผู้สร้างผลกระทบ”

ตัวอย่าง: NRC ออกแบบค่าตอบแทนผู้นำตาม KPI ที่เกี่ยวกับ Innovation, ESG, Customer-Centricity และ AI Adoption

NRC ยุค Gen-AI: เมื่อการสรรหาไม่ใช่แค่เรื่องของคน แต่เป็นเรื่องของข้อมูลและคุณค่า

สุดท้าย NRC ในยุค Gen-AI ต้องมองการสรรหาและค่าตอบแทนไม่ใช่แค่การบริหาร “คน” แต่คือการบริหาร “ข้อมูล” และ “คุณค่า” เพราะคนที่ใช่ในตำแหน่งสำคัญ ไม่ได้ถูกเลือกแค่ด้วยเรซูเม่หรือประวัติ แต่ด้วย “หลักฐานเชิงข้อมูล” ที่มีความหมาย และ “กรอบจริยธรรม” ที่ชัดเจน องค์กรที่มี NRC ที่เข้าใจสิ่งนี้ คือองค์กรที่พร้อมก้าวสู่อนาคตด้วยความมั่นใจ โปร่งใส และยั่งยืน

ยุคนี้ NRC ต้องรู้ว่า ข้อมูลและคุณค่า (Value) นั้น เดินไปพร้อมกัน NRC ที่ดีจึงไม่ใช่แค่เลือกคนเก่ง แต่ต้องเลือกคนที่สร้างคุณค่าจากข้อมูลได้อย่างยั่งยืน ทั้งด้านธุรกิจ มนุษย์ และสังคม

สรุป NRC ในยุค Gen-AI ต้องเปลี่ยนบทบาทจากผู้กำกับหรือส่งเสริมวิจัยแบบเดิม มาเป็นผู้สร้างระบบนิเวศของการกำกับ วิจัย และพัฒนาที่ยั่งยืน โดยใช้พลังของ AI อย่างมีจริยธรรม บูรณาการ และเน้นผลลัพธ์ที่ตอบโจทย์สังคมอย่างแท้จริง

บทความหน้าจะเป็นเรื่องเกี่ยวกับอะไร โปรดติดตามกันนะครับ สวัสดีครับ

Leave a Comment » | AI กับ GRC | ติดป้ายกำกับ: , , | ลิงก์ถาวร
โพสต์โดย Metha Suvanasarn

Compliance: การปฏิบัติตามกฎหมาย มาตรฐาน และแนวทางกำกับ AI

พ.ค. 25, 2025

ในตอนที่แล้ว เราได้พูดถึงเรื่อง Risk หรือความเสี่ยงที่เกี่ยวข้องกับการใช้ AI และทำความเข้าใจถึงความเสี่ยงหลัก ๆ ที่ผู้ตรวจสอบต้องคำนึงถึงในการใช้ AI ในองค์กรไปแล้ว

วันนี้เราจะมาพูดถึงอีกส่วนสำคัญของ GRC นั่นคือ Compliance หรือ “การปฏิบัติตามกฎหมาย มาตรฐาน และแนวทางกำกับ” ที่เกี่ยวข้องกับการใช้ AI กันครับ

การใช้งาน AI ต้องสอดคล้องกับกฎหมายและมาตรฐานที่กำหนดไว้ ทั้งในระดับประเทศและระดับสากล โดยเฉพาะในเรื่องของการคุ้มครองข้อมูลส่วนบุคคล (Personal Data Protection) ความโปร่งใส และจริยธรรมในการตัดสินใจ

ความสำคัญของการปฏิบัติตามกฎหมาย (Compliance) ในการใช้ AI

AI ที่ใช้อยู่ในองค์กรต้องมีการปฏิบัติตามกฎหมาย เพื่อให้เกิดความเชื่อถือและป้องกันการกระทำที่ผิดกฎหมาย ซึ่งอาจนำมาซึ่งการฟ้องร้อง การสูญเสียชื่อเสียง หรือแม้แต่ค่าปรับทางการเงินที่สูงลิ่ว

ตัวอย่างเช่น กฎหมาย PDPA (Personal Data Protection Act) ในประเทศไทย ที่กำหนดให้ข้อมูลส่วนบุคคลต้องได้รับการคุ้มครองอย่างเข้มงวด หาก AI นำข้อมูลส่วนบุคคลมาใช้โดยไม่ได้รับความยินยอมจากเจ้าของข้อมูล อาจทำให้เกิดการละเมิดกฎหมายนี้ได้

หรือกรณีของ GDPR (General Data Protection Regulation) ของยุโรป ซึ่งมีข้อกำหนดที่เข้มงวดเกี่ยวกับการใช้ข้อมูลส่วนบุคคลในการฝึกฝน AI เช่น การต้องสามารถอธิบายได้ว่า AI ตัดสินใจอย่างไร และต้องสามารถทบทวนได้ (Explainability)

Compliance และการตรวจสอบภายใน

การปฏิบัติตามกฎหมายไม่เพียงแค่เกี่ยวข้องกับการทำตามข้อบังคับที่มีอยู่ แต่ยังเกี่ยวข้องกับการตรวจสอบเพื่อให้แน่ใจว่า AI ที่ใช้ในองค์กรมีการควบคุมที่ถูกต้องและเหมาะสม ซึ่งเป็นหน้าที่ของผู้ตรวจสอบ

ในส่วนนี้ ผู้ตรวจสอบต้องตรวจสอบทั้งในด้าน:

  1. การปฏิบัติตามกฎหมาย: เช่น การใช้ข้อมูลส่วนบุคคลตาม PDPA หรือ GDPR, การใช้เทคโนโลยีอย่าง AI อย่างโปร่งใส และยุติธรรม
  2. การปฏิบัติตามมาตรฐานอุตสาหกรรม: เช่น การปฏิบัติตามมาตรฐาน ISO/IEC หรือแนวทางที่องค์กรได้ตั้งขึ้นเองในการใช้ AI
  3. การปฏิบัติตามนโยบายภายใน: เช่น นโยบายการป้องกันการเลือกปฏิบัติ การจัดการข้อมูล และการควบคุมความเสี่ยงที่เกี่ยวข้องกับ AI

ขั้นตอนในการตรวจสอบ Compliance ในการใช้ AI

ในการตรวจสอบให้แน่ใจว่า AI ปฏิบัติตามกฎหมายและมาตรฐานที่เกี่ยวข้อง ผู้ตรวจสอบสามารถใช้กรอบการตรวจสอบต่าง ๆ เช่น:

1. ตรวจสอบการใช้ข้อมูล

  • ตรวจสอบการขออนุญาต: AI ใช้ข้อมูลส่วนบุคคลหรือไม่? หากใช่ มีการขออนุญาตจากเจ้าของข้อมูลหรือไม่?
  • ความโปร่งใสในการใช้ข้อมูล: ข้อมูลที่ AI ใช้นั้นถูกเปิดเผยให้ผู้ใช้งาน หรือเจ้าของข้อมูลทราบหรือไม่?
  • การเก็บรักษาข้อมูล: ข้อมูลที่ AI เก็บมีมาตรการในการป้องกันการรั่วไหลหรือไม่?

2. ตรวจสอบการออกแบบและการใช้งาน AI

  • Explainability: AI สามารถอธิบายการตัดสินใจได้หรือไม่? ตัวอย่างเช่น เมื่อ AI บอกว่า “ลูกค้ามีความเสี่ยงสูงในการชำระเงิน” จะสามารถอธิบายได้ว่า AI ใช้เกณฑ์อะไรในการตัดสินใจเช่นนั้น
  • การทดสอบและการตรวจสอบ AI: ระบบ AI ได้รับการทดสอบอย่างเพียงพอก่อนนำไปใช้งานหรือไม่? มีการประเมินความเสี่ยงและความถูกต้องของโมเดล AI หรือยัง?

3. ตรวจสอบการปฏิบัติตามมาตรฐานและกฎหมาย

  • PDPA, GDPR หรือกฎหมายที่เกี่ยวข้อง: ตรวจสอบให้แน่ใจว่า AI ปฏิบัติตามข้อกำหนดของกฎหมายที่เกี่ยวข้อง เช่น การใช้ข้อมูลส่วนบุคคลอย่างถูกต้อง
  • มาตรฐานอุตสาหกรรม: ตรวจสอบว่า AI สอดคล้องกับมาตรฐานที่กำหนดในอุตสาหกรรมหรือไม่ เช่น ISO/IEC 27001 สำหรับความปลอดภัยของข้อมูล

การสื่อสารผลการตรวจสอบกับผู้บริหาร

เมื่อผู้ตรวจสอบพบข้อบกพร่องหรือช่องโหว่ในด้าน Compliance ที่เกี่ยวข้องกับการใช้ AI การสื่อสารผลการตรวจสอบให้กับผู้บริหารจึงเป็นสิ่งสำคัญมาก

ผู้ตรวจสอบต้อง:

  • อธิบายผลกระทบที่อาจเกิดขึ้น: เช่น การละเมิดข้อมูลส่วนบุคคลอาจนำไปสู่การฟ้องร้องหรือการถูกปรับจากหน่วยงานกำกับดูแล
  • แนะนำแนวทางการแก้ไข: เสนอแนะวิธีการปฏิบัติที่ถูกต้อง เช่น การปรับปรุงกระบวนการเก็บและใช้งานข้อมูล, การพัฒนา AI ให้สามารถอธิบายการตัดสินใจได้

สรุป การปฏิบัติตามกฎหมายและมาตรฐานในกระบวนการใช้ AI จึงเป็นสิ่งที่ไม่สามารถมองข้ามได้ เพราะการละเมิดกฎหมายอาจนำมาซึ่งผลเสียที่ยากจะคาดเดาได้ ทั้งในเรื่องการเงิน ชื่อเสียง และความน่าเชื่อถือขององค์กร

ผู้ตรวจสอบจึงมีบทบาทสำคัญในการตรวจสอบและให้คำแนะนำให้องค์กรปฏิบัติตามกฎหมายและมาตรฐานที่เกี่ยวข้องอย่างเต็มที่ เพื่อให้การใช้ AI ในองค์กรนั้นเป็นไปอย่างปลอดภัย โปร่งใส และมีความรับผิดชอบ

Leave a Comment » | AI กับ GRC | ลิงก์ถาวร
โพสต์โดย Metha Suvanasarn

Risk: เมื่อ AI ไม่ได้สมบูรณ์แบบเสมอไป – ความเสี่ยงที่ผู้ตรวจสอบไม่ควรมองข้าม

พ.ค. 17, 2025

ในตอนที่แล้ว เราได้พูดคุยกันถึงเรื่อง Governance หรือ “ธรรมาภิบาล” ในการใช้ AI ว่าองค์กรควรมีกลไกในการกำกับดูแลให้ AI ถูกพัฒนาและใช้อย่างรับผิดชอบ ไม่ละเมิดสิทธิ ไม่สร้างความเสียหายโดยไม่รู้ตัว และผู้ตรวจสอบเองก็มีบทบาทสำคัญไม่น้อยในการเข้าไปช่วยดูแลให้กรอบ Governance นี้เป็นรูปธรรม

แต่แน่นอนว่า… Governance อย่างเดียวคงไม่พอครับ

เพราะถึงแม้ AI จะถูกพัฒนาโดยคนที่เก่งแค่ไหน ใช้ข้อมูลดีแค่ไหน ความเสี่ยง (Risk) ก็ยังคงอยู่ ไม่ว่าจะเป็นความเสี่ยงจากระบบเอง หรือจากคนที่ใช้มัน และนั่นคือสิ่งที่เราจะคุยกันในตอนนี้

AI ไม่ได้แปลว่า “ปลอดภัย” หรือ “ถูกต้องเสมอไป”

ในสายตาของใครหลายคน AI คือเทคโนโลยีอัจฉริยะที่แม่นยำ ไร้ข้อผิดพลาด แต่จริง ๆ แล้ว AI ก็เป็นเพียง โมเดลที่เรียนรู้จากข้อมูลที่คนให้มัน

ถ้าข้อมูลมีปัญหา – ผลลัพธ์ก็มีปัญหา ถ้าโมเดลถูกออกแบบโดยขาดความเข้าใจ – การตัดสินใจก็อาจผิดพลาดได้
และถ้าใช้โดยไม่ควบคุม – ความเสี่ยงก็ยิ่งขยายวงกว้างขึ้น

ดังนั้น งานของผู้ตรวจสอบจึงไม่ใช่แค่ “เชื่อในผลลัพธ์ของ AI” แต่ต้อง “กล้าตั้งคำถามว่าเบื้องหลังของผลลัพธ์นั้นปลอดภัยหรือไม่”

ประเภทของความเสี่ยงจาก AI ที่ควรจับตา

ผู้ตรวจสอบสามารถเริ่มต้นประเมินความเสี่ยงของ AI ได้จากหลากหลายมุม ในที่นี้ เราขอแบ่งความเสี่ยงออกเป็น 5 กลุ่มหลัก เพื่อให้ง่ายต่อการตรวจสอบ

1. ความเสี่ยงจากข้อมูล (Data Risk)

  • ข้อมูลที่ใช้ฝึก AI อาจ ไม่ครบถ้วน หรือ มีอคติ (bias) ซึ่งจะทำให้โมเดลตัดสินใจผิด ๆ
  • ตัวอย่างเช่น AI ประเมินความเสี่ยงของพนักงาน โดยใช้ข้อมูลพฤติกรรมการใช้คอมพิวเตอร์ แต่ละเลยบริบทของงานที่แตกต่างกัน

บทบาทของผู้ตรวจสอบ : ควรตรวจสอบแหล่งที่มาของข้อมูล ความน่าเชื่อถือ ความครอบคลุม และการควบคุมอคติที่เกิดขึ้น

2. ความเสี่ยงจากโมเดล (Model Risk)

  • AI ที่แม่นยำวันนี้ อาจไม่แม่นยำในอนาคต หากไม่มีการอัปเดตให้ทันสมัย ทันกาล
  • โมเดลอาจซับซ้อนเกินกว่าจะอธิบายได้ ทำให้ไม่สามารถตรวจสอบการทำงานได้

บทบาทของผู้ตรวจสอบ : ตรวจสอบว่าโมเดลถูกออกแบบและดูแลตามแนวทางมาตรฐานหรือไม่ เช่น มีการทดสอบซ้ำ มีบันทึกการปรับปรุง มีผู้รับผิดชอบที่ชัดเจน

3. ความเสี่ยงด้านความปลอดภัย (Security Risk)

  • AI ก็เหมือนระบบ IT อื่น ๆ ที่อาจโดนเจาะระบบ ขโมยข้อมูล หรือแม้กระทั่ง “ล่อให้คิดผิด” ได้ (เช่น ผ่านเทคนิค adversarial attack)
  • หาก AI ถูกควบคุมโดยบุคคลภายนอกที่ไม่ประสงค์ดี ผลลัพธ์ที่ออกมาก็อาจกลายเป็นเครื่องมือทำลายองค์กรได้

บทบาทของผู้ตรวจสอบ : ตรวจสอบว่า AI มีมาตรการความปลอดภัยที่เหมาะสมหรือไม่ อย่างไร เช่น การเข้ารหัสข้อมูล การควบคุมสิทธิ์เข้าถึง และการตรวจสอบเหตุการณ์ย้อนหลัง (audit log)

4. ความเสี่ยงด้านกฎหมายและจริยธรรม (Legal & Ethical Risk)

  • AI อาจละเมิดสิทธิส่วนบุคคล โดยเฉพาะในประเทศที่มีกฎหมายคุ้มครองข้อมูล (เช่น PDPA, GDPR)
  • หรืออาจก่อให้เกิดการเลือกปฏิบัติ (discrimination) หากโมเดลถูกฝึกให้ “ชอบ” หรือ “ไม่ชอบ” คนบางกลุ่มโดยไม่รู้ตัว

บทบาทของผู้ตรวจสอบ : ตรวจสอบความสอดคล้องกับกฎหมาย ตรวจสอบการมี “Explainability” หรือความสามารถในการอธิบายผลลัพธ์ และแนวทางการจัดการผลกระทบ

5. ความเสี่ยงจากผู้ใช้งาน (Human Risk)

  • ต่อให้ AI ถูกสร้างมาดีแค่ไหน ถ้า “คนใช้” ไม่เข้าใจหลักการ ก็อาจนำไปใช้ผิดจุด หรือไว้ใจเกินเหตุ
  • เช่น ใช้ AI เป็น “คำตัดสินสุดท้าย” แทนการใช้เป็น “เครื่องมือช่วยตัดสินใจ”

บทบาทของผู้ตรวจสอบ : ตรวจสอบว่ามีการอบรมผู้ใช้ มีการอธิบายขอบเขตการใช้งานที่ชัดเจน และมีมาตรการควบคุมการเข้าถึงอย่างเหมาะสมหรือไม่

เครื่องมือช่วยผู้ตรวจสอบประเมินความเสี่ยงของ AI

มีหลายแนวทางที่สามารถใช้ในการประเมินความเสี่ยงของ AI ต่อไปนี้คือกรอบที่สามารถนำไปปรับใช้ได้ทันที:

  • AI Risk Assessment Checklist: ตารางคำถามพื้นฐาน เช่น AI ใช้ข้อมูลอะไร? มีใครดูแลโมเดล? มีการ audit หรือยัง?
  • Model Risk Management Framework: แนวทางการดูแลวงจรชีวิตของโมเดล ตั้งแต่พัฒนา ทดสอบ ใช้งาน และยุติการใช้งาน
  • Ethical AI Guideline: แนวทางจริยธรรม เช่นของ OECD, ISO/IEC หรือกรอบขององค์กรระดับสากลที่สามารถอ้างอิงได้

สรุป AI มีพลังมากในการเปลี่ยนแปลงการทำงานขององค์กร แต่ “พลัง” นี้เองก็ต้องการการควบคุมที่เข้มงวด เพื่อไม่ให้กลายเป็น “ความเสี่ยงเงียบ” ที่แฝงตัวอยู่ในกระบวนการ

ผู้ตรวจสอบในยุคนี้จึงไม่ใช่แค่คนตรวจเอกสาร หรือดูรายการบัญชี แต่ต้องเป็น “ผู้ประเมินความเสี่ยงของเทคโนโลยี” ด้วย เพื่อให้มั่นใจว่า AI ทำหน้าที่ได้ดี… โดยไม่พาองค์กรหลุดจากราง

ในตอนหน้า เราจะไปต่อกันที่ตัวสุดท้ายของ GRC คือ Compliance – การปฏิบัติตามกฎหมาย มาตรฐาน และแนวทางกำกับ AI และแน่นอนว่าเราจะพาไปดูว่าเรื่องนี้เกี่ยวอะไรกับผู้ตรวจสอบ และเราจะตรวจ compliance ของ AI ได้อย่างไร แบบไม่ต้องเป็นโปรแกรมเมอร์ก็ทำได้ครับ

Leave a Comment » | AI กับ GRC | ลิงก์ถาวร
โพสต์โดย Metha Suvanasarn

Governance: ธรรมาภิบาลกับการใช้ AI อย่างมีความรับผิดชอบในงานตรวจสอบ

พ.ค. 5, 2025

สวัสดีครับ ก่อนที่เราจะพูดคุยกันต่อไป ผมขอท้าวความในตอนที่แล้วกันสักนิด เราได้เริ่มต้นปูพื้นฐานเกี่ยวกับการนำ AI (Artificial Intelligence) เข้ามาใช้ในงานตรวจสอบ ทั้งในมุมของการวิเคราะห์ข้อมูล การตรวจจับความผิดปกติ และการลดภาระงานซ้ำซาก ซึ่งช่วยให้ผู้ตรวจสอบสามารถทำงานได้ลึกขึ้นและมีประสิทธิภาพมากขึ้น

อย่างไรก็ตาม การใช้ AI อย่างไร้ทิศทางก็อาจก่อให้เกิดความเสี่ยงได้หากไม่มี กรอบคิดที่ดีในการควบคุม ซึ่งก็คือแนวคิด GRC – Governance, Risk, Compliance ที่เราได้เกริ่นไว้ในตอนก่อน

วันนี้เราจะมาต่อยอดเนื้อหา โดยเจาะลึกที่ตัวแรกของ GRC นั่นคือ Governance หรือ “ธรรมาภิบาล”
คำนี้อาจฟังดูคุ้น แต่เมื่อพูดถึงในบริบทของการใช้ AI โดยเฉพาะในสายงานตรวจสอบ หลายคนอาจยังไม่เคยมองลึกลงไปว่า…

Governance สำคัญอย่างไรกับ AI?
แล้วผู้ตรวจสอบเกี่ยวข้องกับธรรมาภิบาลในเรื่องนี้อย่างไร?

ลองไปสำรวจคำตอบด้วยกันนะครับ

Governance ในความหมายที่มากกว่า “การบริหารจัดการ”

โดยทั่วไป “Governance” คือกรอบการบริหารจัดการที่มุ่งเน้นให้การดำเนินงานขององค์กรเป็นไปอย่างมีประสิทธิภาพ โปร่งใส และสอดคล้องกับเป้าหมายระยะยาว

แต่เมื่อเราพูดถึง AI Governance โดยเฉพาะในบริบทของการตรวจสอบหรือใช้ AI ในองค์กร คำนี้จะหมายถึง

“การกำกับดูแลการพัฒนา การใช้งาน และการควบคุม AI ให้เกิดประโยชน์สูงสุดโดยไม่ละเลยความปลอดภัย ความโปร่งใส และจริยธรรม”

กล่าวอีกอย่างคือ เป็นแนวทางที่ช่วยให้ AI:

  • ไม่เป็นเครื่องมือที่ใช้อย่างไร้การควบคุม
  • ไม่ละเมิดสิทธิของบุคคล
  • ไม่ก่อให้เกิดผลกระทบที่องค์กรคาดไม่ถึง

ทำไมเราต้องมีธรรมาภิบาลกับ AI?

AI ไม่ใช่แค่เครื่องมือที่ทำตามคำสั่ง
แต่มัน “เรียนรู้” และ “ตัดสินใจ” บางอย่างได้เองจากข้อมูลที่ได้รับ ซึ่งอาจส่งผลกระทบในระดับนโยบาย กฎหมาย หรือแม้แต่มนุษย์

ลองนึกภาพระบบ AI ที่ตรวจจับความเสี่ยงทางบัญชี แล้วเกิด “flag” พนักงานบางคนว่ามีพฤติกรรมต้องสงสัย — หากโมเดลที่ใช้ไม่มีความแม่นยำ หรือถูกออกแบบโดยไม่คำนึงถึงบริบท อาจเกิดผลเสียกับชื่อเสียงและความน่าเชื่อถือของบุคคลนั้นได้

ดังนั้น AI Governance จึงเข้ามาช่วยสร้างแนวทาง เช่น:

  • การตั้งคณะทำงานกำกับดูแลการใช้ AI
  • การกำหนดหลักเกณฑ์ในการเก็บ ใช้ และแบ่งปันข้อมูล
  • การสร้างนโยบายการตรวจสอบโมเดล AI ให้เป็นกลาง ไม่เลือกปฏิบัติ
  • การสื่อสารกับ Stakeholders ว่า AI ใช้เพื่ออะไร และมีขอบเขตอย่างไร

บทบาทของผู้ตรวจสอบกับเรื่อง Governance

สำหรับผู้ตรวจสอบ โดยเฉพาะผู้ที่อาจไม่ได้มาจากสาย IT โดยตรง (Non-IT Auditors) บางคนอาจคิดว่าเรื่อง Governance ด้าน AI เป็นเรื่องของฝ่ายเทคโนโลยีอย่างเดียว แต่ความจริงแล้ว ผู้ตรวจสอบมีบทบาทสำคัญไม่น้อยเลยมาดูกันว่าผู้ตรวจสอบมีบทบาทอะไรกันบ้างครับ

1. ตรวจสอบ Framework ของ AI Governance

ผู้ตรวจสอบสามารถเข้าไปดูว่าองค์กรมีการกำกับดูแล AI อย่างเป็นระบบหรือไม่ เช่น มีการกำหนด Roles & Responsibilities อย่างชัดเจนหรือเปล่า? มีการอนุมัติโปรเจกต์ AI ตามระดับความเสี่ยงหรือไม่?

2. ตรวจสอบความโปร่งใสของ AI Model

AI ควรอธิบายการตัดสินใจได้ในระดับหนึ่ง ไม่ใช่ “Black Box” ที่ไม่มีใครรู้ว่าทำไมถึงได้ผลลัพธ์แบบนั้น
Auditor สามารถช่วยตรวจสอบได้ว่าโมเดลที่ใช้สามารถ audit ได้หรือไม่ มี log การทำงานที่ตรวจสอบย้อนหลังได้หรือเปล่า

3. ประเมินความสอดคล้องกับนโยบายองค์กร

เช่น การใช้ AI สอดคล้องกับนโยบายข้อมูลส่วนบุคคล (PDPA) หรือไม่? มีการควบคุมความเสี่ยงเรื่องอคติ (bias) หรือเปล่า?

4. สื่อสารผลกระทบในมุมที่ธุรกิจเข้าใจ

ผู้ตรวจสอบสามารถทำหน้าที่เป็น “สะพาน” เชื่อมระหว่างโลกของเทคโนโลยีและโลกของธุรกิจ ช่วยให้ผู้บริหารเข้าใจว่า Governance ของ AI ส่งผลต่อภาพลักษณ์ ความเสี่ยง และโอกาสขององค์กรอย่างไร

กรณีตัวอย่าง: AI ที่ดี ต้องอธิบายได้

องค์กรแห่งหนึ่งใช้ AI ในการประเมินความน่าเชื่อถือของซัพพลายเออร์ โดยดูจากข้อมูลการส่งของในอดีต คุณภาพสินค้า และรีวิวจากลูกค้า ปรากฏว่าซัพพลายเออร์รายหนึ่งถูกลดระดับความน่าเชื่อถืออย่างมาก โดยที่ไม่มีใครเข้าใจว่าเพราะอะไร เมื่อทีมผู้ตรวจสอบภายในเข้าไปดู พบว่า AI ให้ค่าน้ำหนักกับ “รีวิวเชิงลบ” มากเกินไป โดยไม่สนใจบริบทของช่วงโควิดที่มีปัญหาเรื่องโลจิสติกส์ทั่วทั้งอุตสาหกรรม

จากจุดนี้ทำให้ต้องมีการ:

  • ปรับโมเดล AI ให้มีเหตุผลในการตัดสินใจที่เหมาะสม
  • จัดตั้งคณะทำงานดูแล AI Model
  • เพิ่มหลักเกณฑ์การ review โมเดลแบบรายไตรมาส

สิ่งเหล่านี้เกิดจากการมีระบบ AI Governance ที่ดี และการเข้ามาช่วยเหลือของผู้ตรวจสอบที่เข้าใจธรรมาภิบาลในบริบทของเทคโนโลยี

สรุป Governance ไม่ใช่เพียงคำสวยหรูในเอกสารนโยบาย แต่คือกลไกสำคัญที่จะช่วยให้ AI ถูกใช้ในทิศทางที่สร้างประโยชน์และลดผลกระทบที่ไม่พึงประสงค์ และผู้ตรวจสอบในยุคใหม่ก็มีบทบาทสำคัญในฐานะผู้ช่วย “เฝ้าระวัง” ว่า AI ที่ถูกนำมาใช้ในองค์กรนั้น เป็นไปอย่างรับผิดชอบ โปร่งใส และสามารถตรวจสอบได้

ในตอนต่อไป เราจะเข้าสู่ตัวที่สองของ GRC คือ Risk – ความเสี่ยงที่แฝงอยู่ในการใช้ AI
เราจะไปดูว่าความเสี่ยงของ AI มีอะไรบ้าง และผู้ตรวจสอบจะเข้ามามีบทบาทในการประเมินและควบคุมความเสี่ยงเหล่านี้ได้อย่างไรครับ

Leave a Comment » | AI กับ GRC | ติดป้ายกำกับ: | ลิงก์ถาวร
โพสต์โดย Metha Suvanasarn

AI กับการตรวจสอบ IT Audit และ Non-IT Auditors โดยใช้หลักการ GRC

เมษายน 26, 2025

เรื่องที่ผมจะพูดคุยกับทุกท่านในวันนี้ เป็นเรื่องของ AI กับการตรวจสอบ IT Audit และ Non-IT Auditors โดยใช้หลักการ GRC ซึ่งจะมีหลายประเด็นที่น่าสนใจและมีประโยชน์ที่เราจะได้แบ่งปันกันในโพสต์นี้ หรืออาจจะในครั้งต่อ ๆ ไป เพื่อไม่ให้แต่ละโพสต์ยืดยาวจนเกินไป

AI กับการตรวจสอบ – จุดเปลี่ยนของวงการ Audit

การตรวจสอบในยุคที่ข้อมูลไม่เคยหยุดนิ่ง

ในอดีต การทำงานของผู้ตรวจสอบภายในหรือ External Auditor มักเกี่ยวข้องกับเอกสาร ปากกา สมุดโน้ต และแฟ้มกระดาษที่มีรายการทางการเงินเรียงรายให้ตรวจสอบ การตรวจเช็คความถูกต้องของข้อมูลตามร่องรอยที่ปรากฏในหลักฐาน (audit trail) เป็นกิจวัตรที่คุ้นชิน แต่เมื่อยุคของ “ข้อมูลมหาศาล” (Big Data) มาถึง รูปแบบการตรวจสอบแบบเดิมก็เริ่มตั้งคำถามกับตัวเองว่า “เรายังเพียงพอหรือเปล่า?”

ปัจจุบัน ข้อมูลที่องค์กรสร้างขึ้นในแต่ละวัน ไม่ว่าจะมาจากระบบ ERP, ระบบบัญชี, ข้อมูลลูกค้า หรือแม้แต่ log ของระบบเครือข่าย มีปริมาณมากเกินกว่าที่มนุษย์จะตรวจสอบทั้งหมดได้แบบ manual ตรงจุดนี้เองที่เทคโนโลยี AI (Artificial Intelligence) เริ่มเข้ามามีบทบาทมากขึ้นในสายงานตรวจสอบ แต่นั่นไม่ได้หมายความว่า AI จะมาแทนที่ผู้ตรวจสอบในเร็ววัน ตรงกันข้าม AI จะเข้ามาเป็น “ผู้ช่วยอัจฉริยะ” ที่ช่วยให้ผู้ตรวจสอบทำหน้าที่ได้ดียิ่งขึ้น
และเมื่อเราใช้งานภายใต้กรอบแนวคิด GRC อย่างเหมาะสม ก็จะช่วยให้ทั้งองค์กร ก้าวสู่การตรวจสอบยุคใหม่ได้อย่างมั่นคงและปลอดภัย

ทำความรู้จัก AI – การพัฒนาเทคโนโลยีที่ลึกซึ้งและครอบคลุม

AI (Artificial Intelligence) คือ เทคโนโลยีที่ทำให้คอมพิวเตอร์หรือเครื่องจักรสามารถ “คิด วิเคราะห์ และตัดสินใจ” ได้ในระดับหนึ่ง โดยอิงจากข้อมูลที่เรียนรู้มาหรือถูกป้อนเข้าไป ซึ่งแตกต่างจากซอฟต์แวร์ทั่วไปที่ทำงานตามคำสั่งแบบตายตัว

AI ไม่ได้เป็นเรื่องใหม่เสียทีเดียว แต่ในช่วงไม่กี่ปีที่ผ่านมา การเติบโตของ Machine Learning, Deep Learning และความสามารถในการประมวลผลข้อมูลขนาดใหญ่ ได้ผลักดันให้ AI ก้าวเข้าสู่หลายอุตสาหกรรม รวมถึงงานด้านการตรวจสอบด้วย

ตัวอย่าง AI ใกล้ตัวในชีวิตประจำวัน เช่น ระบบแนะนำวิดีโอบน YouTube หรือ Netflix, การใช้งาน Google Maps ที่แนะนำเส้นทางสั้นที่สุด , Chatbot ที่ตอบคำถามลูกค้าในเว็บไซต์ หรือ แม้แต่ระบบตรวจจับการฉ้อโกงของธนาคารก็ใช้ AI อยู่เบื้องหลัง

AI เข้ามาช่วยอะไรในงานตรวจสอบ?

AI ไม่ได้เข้ามาแทนที่ผู้ตรวจสอบ แต่ทำหน้าที่เป็น “เครื่องมือ” หรือ “คู่คิด” ที่ช่วยให้เราทำงานได้ดียิ่งขึ้น โดยเฉพาะใน 4 ด้านหลักต่อไปนี้:

1. วิเคราะห์ข้อมูลจำนวนมากได้รวดเร็ว

AI สามารถอ่านข้อมูลนับล้านรายการในไม่กี่วินาที ตรวจหาความผิดปกติ (anomaly) ได้ทันที ซึ่งหากใช้คนตรวจด้วยตา อาจต้องใช้เวลาหลายวัน

2. ตรวจจับความผิดปกติที่ซ่อนอยู่

ระบบ AI ที่เรียนรู้จากพฤติกรรมปกติของธุรกรรม สามารถจับความเปลี่ยนแปลงเล็ก ๆ ที่อาจบ่งบอกถึงการทุจริตหรือความเสี่ยงได้เร็วกว่ามนุษย์

3. ลดภาระงานซ้ำซาก

ผู้ตรวจสอบไม่จำเป็นต้องตรวจเช็กรายการเดิม ๆ ซ้ำ ๆ เพราะ AI จะคัดกรองให้เบื้องต้น ทำให้เหลือเพียงเคสที่ต้องใช้วิจารณญาณของคนจริง ๆ เท่านั้น

4. เพิ่มความแม่นยำ

เมื่อใช้ข้อมูลจำนวนมาก AI สามารถระบุความเสี่ยงหรือจุดบกพร่องได้อย่างแม่นยำมากกว่าการสุ่มตัวอย่าง (sampling) แบบดั้งเดิม

แม้ว่า AI จะทรงพลังเพียงใด หากใช้โดยไม่มีกรอบคิดและการควบคุม ก็อาจนำไปสู่ความเสี่ยงทั้งด้านจริยธรรม กฎหมาย และชื่อเสียงองค์กร และนี่เองที่ “GRC” เข้ามาเป็น Framework สำคัญ ถ้าจะให้ AI ทำงานได้ดี ต้องอยู่ในกรอบที่เหมาะสม GRC จึงเป็นคำตอบ

GRC ย่อมาจาก Governance, Risk และ Compliance เป็นแนวทางที่ช่วยให้องค์กรดำเนินงานด้านเทคโนโลยี (รวมถึง AI) ได้อย่างโปร่งใส ปลอดภัย และสอดคล้องกับกฎหมายและนโยบายองค์กร

องค์ประกอบความหมายบทบาทกับ AI
Governanceการกำกับดูแลที่ดีสร้างแนวทางการใช้งาน AI อย่างมีจริยธรรม
Riskการบริหารความเสี่ยงตรวจสอบและควบคุมความเสี่ยงจากการใช้ AI
Complianceการปฏิบัติตามกฎหมาย/กฎเกณฑ์/ระเบียบ/ข้อบังคับให้แน่ใจว่า AI สอดคล้องกับระเบียบ/กฎหมายที่เกี่ยวข้อง

การใช้ AI ในงานตรวจสอบจึงไม่ใช่เพียงเรื่องของ “เครื่องมือ” แต่คือการ “วางระบบควบคุมและแนวทางการใช้งาน” ที่สอดคล้องกับหลัก GRC ด้วยเช่นกัน

บทบาทใหม่ของผู้ตรวจสอบในโลกที่มี AI

ผู้ตรวจสอบในยุคดิจิทัลไม่จำเป็นต้องเป็นผู้เชี่ยวชาญด้านเทคนิคหรือโปรแกรมเมอร์ แต่ควรเข้าใจ “หลักการของการใช้เทคโนโลยี” และมองเห็นโอกาสในการปรับใช้เครื่องมืออย่างชาญฉลาด

สิ่งที่ยังคงเป็นบทบาทของมนุษย์และ AI ยังทำแทนไม่ได้ ได้แก่:

  • การตั้งคำถามเชิงกลยุทธ์
  • การตัดสินใจบนบริบทขององค์กร
  • การประเมินผลกระทบต่อคนและวัฒนธรรมองค์กร
  • การให้ข้อเสนอแนะที่สื่อสารได้ชัดเจนและเหมาะสม

กล่าวคือ AI ทำงานได้ดีในการ “วิเคราะห์” แต่ “การตีความ” และ “การตัดสินใจเชิงวิจารณญาณ” ยังคงเป็นของผู้ตรวจสอบเสมอ

สรุป-จุดเริ่มต้นของการยกระดับสายงานตรวจสอบ

AI และ GRC ไม่ใช่เรื่องไกลตัวหรือซับซ้อนเกินเข้าใจ หากแต่คือเครื่องมือและกรอบความคิดที่ช่วยให้ผู้ตรวจสอบทำงานได้ลึกขึ้น แม่นยำขึ้น และมีผลกระทบต่อองค์กรอย่างเป็นรูปธรรมมากขึ้น การทำความเข้าใจพื้นฐานในตอนแรกนี้ จึงเป็นก้าวสำคัญสำหรับผู้ตรวจสอบทุกคน ไม่ว่าจะมีพื้นฐานด้าน IT หรือไม่ก็ตาม

ในตอนต่อไป เราจะลงลึกในองค์ประกอบแรกของ GRC คือ “Governance – ธรรมาภิบาลในการใช้งาน AI” และบทบาทของผู้ตรวจสอบในการกำกับดูแลระบบ AI อย่างมีจริยธรรม

Leave a Comment » | AI กับ GRC | ลิงก์ถาวร
โพสต์โดย Metha Suvanasarn

กลับไปหน้าที่แล้ว