Shadow AI: ความเสี่ยงเงียบในองค์กรที่มี ERP แล้วแต่ Governance ไม่ครบ (ตอนที่ 4)

มีนาคม 21, 2026

เมื่อมี ERP แล้ว ทำไมยังเสี่ยง?

ในสามตอนก่อนหน้านี้ เราได้ตั้งคำถามว่า ERP เป็นต้นกำเนิดของ Governance AI หรือไม่? และวิเคราะห์ต่อว่า AI Governance โดยไม่มี ERP มีความเสี่ยงเชิงโครงสร้างอย่างไร? ภาพที่ได้ค่อนข้างชัดเจน คือ ERP ช่วยวางรากฐานด้านข้อมูล การควบคุม และวัฒนธรรมเชิงระบบ แต่คำถามที่ซับซ้อนกว่านั้นคือ หากองค์กรมี ERP ครบถ้วน มีระบบระดับโลกอย่าง SAP ERP หรือ Oracle ERP เหตุใดความเสี่ยงด้าน AI จึงยังเกิดขึ้นได้? คำตอบอยู่ที่สิ่งที่เรียกว่า “Shadow AI” มันไม่ใช่ความล้มเหลวของเทคโนโลยี แต่มักเป็นช่องว่างของ Governance

Shadow AI คืออะไร และทำไม ERP จึงควบคุมมันไม่ได้

Shadow AI คือการใช้หรือพัฒนา AI นอกกรอบ Governance ที่องค์กรกำหนด ตัวอย่างเช่น:

  • พนักงานใช้ Generative AI ภายนอกเพื่อวิเคราะห์ข้อมูลลูกค้า
  • ฝ่ายการตลาดสร้างโมเดลทำนายยอดขายโดยไม่ผ่าน IT
  • ทีมวิเคราะห์ข้อมูลดึงข้อมูล ERP ออกไปสร้าง model ภายนอกโดยไม่มี approval
  • ผู้บริหารใช้ AI tool SaaS โดยไม่มีการประเมินความเสี่ยง

ERP ถูกออกแบบมาเพื่อควบคุม transaction และ workflow แต่ Shadow AI เกิดขึ้นใน “behavior layer” ซึ่งอยู่นอก workflow ปกติ

ERP ควบคุมว่าใครอนุมัติใบสั่งซื้อ แต่ไม่สามารถควบคุมว่าใคร copy ข้อมูลไปใส่ AI ภายนอก นี่คือ blind spot เชิงโครงสร้าง

เมื่อ Governance หยุดที่ System แต่ไม่ครอบคลุม Human Layer

กรอบอย่าง ISO/IEC 38500 พูดถึง Human Behaviour เป็นหนึ่งในหลักการสำคัญ แต่ในความเป็นจริง หลายองค์กรเน้น Governance ที่ระดับ:

  • Access Control
  • Change Management
  • Segregation of Duties

โดยละเลย governance ของ “การใช้เครื่องมืออัจฉริยะ”

Shadow AI จึงไม่ใช่เรื่องเทคนิค แต่เป็นเรื่องวัฒนธรรมการควบคุมที่ยังไม่ตามทันเทคโนโลยี

ความเสี่ยงที่เกิดขึ้นจริงจาก Shadow AI

Data Leakage แบบเงียบ

ข้อมูลจาก ERP ที่ควรอยู่ในระบบควบคุม อาจถูกส่งไปยัง AI ภายนอก แม้ไม่มีเจตนาทุจริต แต่ข้อมูลอาจถูกจัดเก็บหรือประมวลผลในสภาพแวดล้อมที่องค์กรควบคุมไม่ได้

Model Inconsistency

องค์กรอาจมี:

  • โมเดลภายในที่ผ่านการอนุมัติ
  • โมเดลเงาที่พัฒนาโดยหน่วยงาน
  • AI SaaS ที่ผู้บริหารใช้อยู่

ผลลัพธ์ที่ได้อาจไม่สอดคล้องกัน สร้างความสับสนในการตัดสินใจระดับผู้บริหาร

Reputational & Regulatory Risk

กรอบกำกับอย่าง AI Act ของ European Commission เน้นเรื่อง traceability และ documentation

  • Shadow AI ไม่มีเอกสารกำกับ
  • ไม่มี model validation
  • ไม่มี approval trail

เมื่อเกิดปัญหา องค์กรอาจไม่สามารถพิสูจน์ได้ว่ามีการกำกับดูแลเพียงพอ

ERP ไม่ล้มเหลว — แต่ Governance ยังไม่ขยาย

ต้องย้ำให้ชัดว่า Shadow AI ไม่ได้หมายความว่า ERP ไม่มีประโยชน์ ในความเป็นจริง ERP ทำหน้าที่ได้ดีมากในระดับ transaction governance ปัญหาอยู่ที่ Governance ไม่ได้ขยายจาก Transaction Governance ไปสู่ Decision Governance

ERP ควบคุม “สิ่งที่เกิดขึ้นแล้ว” แต่ AI สร้าง “สิ่งที่กำลังจะเกิดขึ้น”

หากองค์กรไม่ปรับ governance framework ให้ครอบคลุม AI lifecycle เช่น

  • Model Development
  • Data Usage
  • Deployment
  • Monitoring

Shadow AI จะเติบโตโดยอัตโนมัติ

บทบาทของ Board และผู้บริหารระดับสูง

Shadow AI ไม่ใช่ปัญหาของ IT แต่เป็นปัญหา Governance ระดับองค์กร

คณะกรรมการควรถามคำถามเช่น:

  • องค์กรมี AI inventory หรือไม่?
  • มีการกำหนด approval process สำหรับ AI tool หรือไม่?
  • ใครเป็นเจ้าของความเสี่ยงของ AI?
  • มี model validation function แยกอิสระหรือไม่?

กรอบของ Basel Committee on Banking Supervision เกี่ยวกับ Model Risk Management แสดงให้เห็นชัดว่า Model Governance ต้องมีความเป็นอิสระและตรวจสอบได้ Shadow AI จึงมักเกิดในองค์กรที่ไม่มีโครงสร้างดังกล่าว

Shadow AI: ความเสี่ยงเงียบที่อันตรายกว่าความผิดพลาดของระบบ

ความผิดพลาดใน ERP มักมีร่องรอย มี log มี transaction trace แต่ Shadow AI มักไม่มี มันอาจให้คำแนะนำที่ผิด อาจสร้างความเอนเอียง อาจทำให้ผู้บริหารตัดสินใจบนข้อมูลที่ไม่ผ่าน validation โดยที่องค์กรไม่รู้ตัวว่า governance gap กำลังขยาย และนี่คือความเสี่ยงที่เงียบ แต่สะสม

สรุป Governance ต้องก้าวให้ทันพฤติกรรม

ในตอนนี้ เราเห็นได้ชัดขึ้นว่า แม้องค์กรจะมี ERP แข็งแรง แต่หาก Governance ไม่ขยายไปครอบคลุม AI lifecycle และพฤติกรรมผู้ใช้ความเสี่ยงก็ยังเกิดขึ้นได้ Shadow AI สะท้อนความจริงประการหนึ่งคือ เทคโนโลยีอาจถูกควบคุม แต่พฤติกรรมของมนุษย์ต้องถูกกำกับด้วยกรอบที่เหมาะสม องค์กรที่ต้องการเดินหน้าเข้าสู่ยุค AI อย่างมั่นคงจำเป็นต้องขยาย Governance จากระบบไปสู่ระบบ + อัลกอริทึม + พฤติกรรม และคำถามสำคัญที่จะนำไปสู่ตอนถัดไปคือ หาก ERP ไม่เพียงพอ และ Shadow AI คือความเสี่ยงที่ต้องจัดการ แล้วโครงสร้างองค์กรแบบใด ที่จะทำให้ AI และ Governance เติบโตไปพร้อมกันได้อย่างแท้จริง? คำตอบนั้นอาจอยู่ในแนวคิดของ
AI Native Enterprise โปรดติดตามตอนต่อไปครับ

Leave a Comment » | AI กับ GRC | ติดป้ายกำกับ: , , , | ลิงก์ถาวร
โพสต์โดย Metha Suvanasarn

AI Governance โดยไม่มี ERP : ความเสี่ยงที่องค์กรไม่รู้ตัว (ตอนที่ 3)

มีนาคม 15, 2026

จากคำถามเรื่อง “ต้นกำเนิด” สู่คำถามเรื่อง “ความพร้อม”

ในตอนก่อนหน้า เราได้ตั้งคำถามว่า ERP เป็นต้นกำเนิดของ Governance AI จริงหรือไม่? และพบว่าแม้ ERP จะไม่ได้ถูกออกแบบมาเพื่อกำกับปัญญาประดิษฐ์โดยตรง แต่ได้วางรากฐานสำคัญด้าน Data Integrity, Embedded Control และวัฒนธรรมการควบคุมเชิงระบบไว้แล้ว

คำถามต่อไปจึงเข้มข้นขึ้นกว่าเดิม.. หากองค์กรเริ่มพัฒนา AI แต่ยังไม่มีโครงสร้างข้อมูลและการควบคุมแบบ ERP รองรับ
ความเสี่ยงจะเกิดขึ้นตรงไหนบ้าง?

AI Governance โดยไม่มี ERP อาจดูเหมือนไม่มีปัญหาในระยะสั้น แต่ในเชิงโครงสร้าง มันคือการสร้างระบบอัจฉริยะบนพื้นฐานที่ยังไม่มั่นคง

ปัญหาแรก: Data Fragmentation — เมื่อ AI เรียนรู้จากข้อมูลที่ไม่สอดคล้องกัน

ERP ทำหน้าที่รวมข้อมูลจากทุกหน่วยงานเข้าสู่ Single Source of Truth เมื่อไม่มี ERP หรือมีแต่ระบบแยกส่วน ข้อมูลจะกระจัดกระจายอยู่ตามระบบบัญชีคนละชุด ระบบขายคนละแพลตฟอร์ม หรือ ไฟล์ Excel ภายในหน่วยงาน รวมถึง ระบบ Legacy ที่ไม่เชื่อมต่อกัน

AI ที่ถูกพัฒนาขึ้นบนฐานข้อมูลลักษณะนี้มีความเสี่ยงอย่างน้อย 3 ประการ

1. ความไม่สอดคล้องของนิยามข้อมูล (Data Definition Conflict)
ยอดขายที่ฝ่ายการเงินใช้ อาจไม่ตรงกับยอดขายที่ฝ่ายขายใช้

2. ความไม่ครบถ้วน (Incomplete Dataset)
ข้อมูลบางส่วนอาจไม่ถูกดึงเข้าโมเดลเพราะไม่มี data pipeline ที่ชัดเจน

3. สาม ความไม่สามารถตรวจสอบย้อนกลับ (Weak Data Lineage)
เมื่อผลลัพธ์ AI ผิดพลาด องค์กรไม่สามารถย้อนกลับไปดูต้นทางข้อมูลได้ชัดเจน

นี่คือความเสี่ยงเชิงโครงสร้างที่ ERP เคยช่วยลดไว้ แต่จะกลับมาอีกครั้งเมื่อ AI เติบโตโดยไม่มีฐานข้อมูลที่บูรณาการ

Governance Framework ที่ไม่มีฐานระบบรองรับ: ช่องว่างระหว่าง Policy กับ Reality

หลายองค์กรเริ่มเขียน AI Policy หรือ AI Ethics Guideline อ้างอิงกรอบจาก OECD หรือ European Commission แต่หากไม่มีระบบที่ฝัง control ลงไปจริง ความเสี่ยงจะเกิดสิ่งที่เรียกว่า “Paper Governance” คือมีนโยบาย แต่ไม่มี system enforcement

ERP เคยทำให้ Governance จากระดับคณะกรรมการสามารถถูกบังคับใช้ผ่าน workflow ได้จริง แต่ AI Governance ที่ไม่มีโครงสร้างข้อมูลและระบบควบคุมรองรับ อาจกลายเป็นเพียงคำประกาศ

Model Risk ที่เพิ่มขึ้นแบบเงียบ ๆ

ในภาคการเงิน กรอบของ Basel Committee on Banking Supervision เน้นการบริหาร Model Risk อย่างเข้มงวด หากองค์กรไม่มีระบบข้อมูลที่เป็นมาตรฐาน การทดสอบย้อนหลัง (Backtesting) จะทำได้ยาก การตรวจสอบ bias จะไม่แม่นยำ และการวัด model drift จะไม่มี baseline ที่ชัดเจน AI จะค่อย ๆ เปลี่ยนพฤติกรรมของมัน โดยที่องค์กรไม่รู้ตัว ความเสี่ยงนี้อันตรายกว่าความผิดพลาดของ ERP เพราะมันไม่ได้เกิดจากการทำธุรกรรมผิดพลาด แต่เกิดจาก “การตัดสินใจที่ค่อย ๆ เบี่ยงเบน”

การตรวจสอบที่ทำได้ยากขึ้น: จาก IT Audit สู่ Algorithmic Blind Spot

ในยุค ERP ผู้ตรวจสอบสามารถตรวจ:

  • Access Control
  • Change Management
  • Segregation of Duties

แต่ในยุค AI หากไม่มี ERP หรือ Data Governance ที่เข้มแข็ง ผู้ตรวจสอบจะเผชิญกับ:

  • ข้อมูลฝึกที่ไม่มีเอกสารกำกับ
  • Feature Engineering ที่ไม่มี version control
  • โมเดลที่ deploy โดยไม่มี approval workflow

สิ่งที่เกิดขึ้นคือ “Algorithmic Blind Spot” องค์กรมี AI ใช้งานจริง แต่ไม่มีโครงสร้างตรวจสอบรองรับ

ความเสี่ยงเชิงจริยธรรมและชื่อเสียง (Reputational Risk)

AI ที่เรียนรู้จากข้อมูลที่ไม่ผ่านการควบคุมคุณภาพ อาจสะท้อนอคติของข้อมูลดิบ เมื่อไม่มี Data Governance ที่แข็งแรง AI อาจเลือกปฏิบัติ การตัดสินใจอาจไม่สามารถอธิบายได้ รวมทั้ง ความโปร่งใสอาจไม่เพียงพอ ในบริบทกฎหมายอย่าง AI Act ของสหภาพยุโรป ความเสี่ยงนี้ไม่ใช่แค่เรื่องภาพลักษณ์ แต่เป็นเรื่องความรับผิดทางกฎหมาย องค์กรที่ไม่มี ERP หรือโครงสร้างข้อมูลแบบบูรณาการ อาจไม่สามารถแสดงหลักฐานการควบคุมได้เมื่อถูกตรวจสอบ

AI โดยไม่มี ERP: ความเสี่ยงเชิงกลยุทธ์

อีกประเด็นที่มักถูกมองข้ามคือ Strategic Misalignment

ERP บังคับให้องค์กรต้องคิดเรื่อง:

  • Data Ownership
  • Process Standardization
  • Enterprise-wide Integration

แต่ AI ที่พัฒนาแบบกระจัดกระจายตามหน่วยงาน อาจสร้าง:

  • Shadow AI
  • โมเดลซ้ำซ้อน
  • การใช้ข้อมูลข้ามหน่วยงานโดยไม่มี governance

ในระยะยาว สิ่งนี้อาจทำให้องค์กรสูญเสียการควบคุมเชิงกลยุทธ์

สรุปเชิงโครงสร้าง: AI Governance ต้องมี “ฐาน” ก่อนมี “ปัญญา”

AI Governance ไม่ได้เริ่มต้นที่โมเดล แต่มันเริ่มต้นที่ข้อมูล กระบวนการ และวัฒนธรรมการควบคุม ERP อาจไม่ใช่คำตอบทั้งหมด
แต่การไม่มีโครงสร้างแบบ ERP เลย ทำให้ AI Governance อ่อนแอตั้งแต่ต้น องค์กรอาจคิดว่ากำลังเข้าสู่ยุค AI อย่างรวดเร็ว
แต่แท้จริงแล้วอาจกำลังเพิ่มความเสี่ยงแบบทวีคูณโดยไม่รู้ตัว

ในตอนก่อน เราตั้งคำถามว่า ERP เป็นต้นกำเนิดของ Governance AI หรือไม่? ในตอนนี้ คำถามเปลี่ยนไปเป็น AI Governance จะยั่งยืนได้หรือไม่ หากไม่มีโครงสร้างแบบ ERP รองรับ?

AI เปรียบเสมือน “สมอง” ขององค์กรยุคใหม่ แต่สมองที่ไม่มีโครงกระดูกและระบบประสาทรองรับ ย่อมไม่สามารถทำงานได้อย่างมั่นคง องค์กรที่ต้องการใช้ AI อย่างรับผิดชอบ อาจไม่จำเป็นต้องมี ERP ขนาดใหญ่แบบดั้งเดิม แต่จำเป็นต้องมีโครงสร้างข้อมูล การควบคุม และการกำกับดูแลเชิงระบบที่เทียบเท่า

คำถามสำคัญจึงไม่ใช่ “เรามี AI แล้วหรือยัง?” แต่คือ “เรามีฐาน Governance ที่มั่นคงพอให้ AI เติบโตอย่างปลอดภัยหรือยัง?” และนั่นอาจเป็นความเสี่ยงที่องค์กรจำนวนมากยังไม่รู้ตัว

ถ้ามองไปตามลำดับวิวัฒนาการของความเสี่ยงแบบนี้:

  1. ERP คือรากฐาน
  2. ไม่มี ERP มีความเสี่ยงอย่างไร
  3. มี ERP แล้วก็ยังเสี่ยงได้ (Shadow AI)
  4. แล้วสุดท้ายองค์กรควรไปทางไหน (AI Native Enterprise)

จาก “โครงสร้าง” → “ช่องโหว่” → “ความเสี่ยงเงียบ” → “อนาคต”

ในตอนที่ 1-2 ผมได้พูดถึงเรื่อง ERP คือรากฐาน ส่วนในตอนที่ 3 นี้เป็นเรื่องขององค์กรที่ไม่มี ERP จะมีความเสี่ยงอย่างไร และถึงแม้จะมี ERP แล้วองค์กรก็ยังมีความเสี่ยงได้ ซึ่งผมจะไปพูดต่อในตอนที่ 4 ก่อนที่จะไปถึงอนาคตว่าองค์กรควรไปทิศทางไหน ถ้าผมพูดแค่ว่าองค์กร มี ERP แล้วก็จบ แต่ความจริงคือไม่ใช่ องค์กรจำนวนมากมี ERP เต็มรูปแบบ เช่น SAP ERP หรือ Oracle ERP แต่พนักงานกลับใช้ ChatGPT ภายนอก, สร้าง Python model เอง, ต่อ API โดยไม่ผ่าน IT รวมทั้งใช้ SaaS AI tool แบบไม่มี approval นี่แหละคือ “Shadow AI” มันคือ AI ที่เกิดนอก Governance แม้จะมี ERP ก็ตาม ซึ่งเราจะไปคุยกันต่อในตอนหน้านะครับ

Leave a Comment » | AI กับ GRC | ติดป้ายกำกับ: , , | ลิงก์ถาวร
โพสต์โดย Metha Suvanasarn