การรื้อโครงสร้างองค์กรสู่ AI-Native: เมื่อ ERP และ GRC ขับเคลื่อนองค์กรผ่านอัลกอริทึม

เมษายน 15, 2026

ในยุคที่ปัญญาประดิษฐ์ (AI) ก้าวข้ามจากการเป็นเพียงเครื่องมือช่วยงาน (Tool) ไปสู่การเป็นแกนหลักขององค์กร (Infrastructure) ความท้าทายที่สำคัญที่สุดไม่ใช่เพียงการจัดหาเทคโนโลยีที่ทันสมัย แต่คือการตั้งคำถามกับโครงสร้างการบริหารจัดการที่ใช้กันมาอย่างยาวนาน สำหรับการพูดคุยในครั้งนี้เราจะวิเคราะห์ถึงความจำเป็นในการ “รื้อ” โครงสร้างลำดับชั้นแบบเดิม เพื่อเปลี่ยนผ่านสู่องค์กรแบบ AI-Native ที่มี ERP และ GRC เป็นกลไกขับเคลื่อนในระดับอัลกอริทึม

จุดสิ้นสุดของโครงสร้างลำดับชั้น (The End of Hierarchy)

โครงสร้างองค์กรแบบพีระมิดถูกออกแบบมาเพื่อจัดการกับ “ความล่าช้าของข้อมูล” (Information Latency) ในอดีต โดยใช้มนุษย์ในระดับการจัดการทำหน้าที่ประสานงานและสรุปรายงาน แต่ในองค์กรยุคใหม่ที่ทุกกิจกรรมถูกบันทึกเป็นข้อมูลดิจิทัล (Digital Footprint) ข้อมูลเหล่านี้สามารถไหลเวียนและถูกประมวลผลได้ทันทีผ่าน AI การมีชั้นการบังคับบัญชาที่ซับซ้อน จึงกลายเป็นอุปสรรคต่อความเร็วในการตัดสินใจ การรื้อโครงสร้างจึงไม่ใช่การลดจำนวนพนักงานเพียงอย่างเดียว แต่คือการเปลี่ยน “ตัวเชื่อมข้อมูล” จากมนุษย์ไปสู่อัลกอริทึมที่ทำงานแบบ Real-time

ERP ในฐานะ Enterprise World Model

หัวใจสำคัญขององค์กร AI-Native คือการเปลี่ยนระบบ ERP จากฐานข้อมูลที่บันทึกเหตุการณ์ในอดีต ให้กลายเป็น “แบบจำลององค์กรอัจฉริยะ” (Enterprise World Model) ระบบนี้จะเชื่อมโยงข้อมูลจากทุกภาคส่วน ตั้งแต่การสื่อสารภายใน ทีมวิศวกรรม ไปจนถึงพฤติกรรมลูกค้าภายนอก เมื่อ ERP ทำงานร่วมกับ AI ระบบจะสามารถรับรู้สถานะขององค์กรได้โดยตรง และเสนอแนวทางแก้ไขปัญหาหรือคว้าโอกาสทางธุรกิจได้ทันที โดยไม่ต้องรอรายงานสรุปจากระดับจัดการ ทำให้โครงสร้างองค์กรแบนราบลงและพนักงานระดับปฏิบัติการสามารถตัดสินใจได้ภายใต้ข้อมูลชุดเดียวกัน

การกำกับดูแลด้วยอัลกอริทึม (Embedded GRC)

เมื่อโครงสร้างองค์กรถูกรื้อให้แบนราบลง กลไกการกำกับดูแล (Governance) ยิ่งมีความสำคัญมากขึ้น แต่ต้องเปลี่ยนรูปแบบจากการตรวจสอบโดยมนุษย์ (Manual Audit) มาเป็นการกำกับดูแลที่ฝังอยู่ใน Software ผ่านแนวคิด “Governance as Code” วิธีการนี้คือการแปลงนโยบายและข้อบังคับในหน้ากระดาษ ให้กลายเป็นตรรกะที่คอมพิวเตอร์สามารถอ่านและดำเนินการได้ (Machine-Readable Logic) ระบบ ERP จะทำหน้าที่ตรวจสอบเงื่อนไขความเสี่ยงและความสอดคล้อง (Compliance) ในทุกธุรกรรมแบบอัตโนมัติ เช่น การจำกัดสิทธิ์การเข้าถึงข้อมูลตามบทบาทหน้าที่ หรือการตรวจสอบเงื่อนไขการอนุมัติงบประมาณตามความเสี่ยงที่คำนวณจากข้อมูล Real-time การกำกับดูแลในระดับโค้ดช่วยให้การตรวจสอบ (Audit) เปลี่ยนจากการสุ่มตรวจเอกสารย้อนหลัง มาเป็นการตรวจสอบตรรกะและร่องรอยข้อมูลที่เกิดขึ้นจริงทันที ช่วยลดความผิดพลาดจากดุลยพินิจของบุคคลและเพิ่มความโปร่งใสสูงสุด

“GRC ระดับโค้ด” (Governance as Code หรือ GRC as Code) จึงเป็นจุดเชื่อมโยงที่สำคัญมาก ระหว่างนโยบายบริหารจัดการกับระบบเทคโนโลยี ซึ่งทำให้เห็นแนวทางปฏิบัติ (Practical Implementation) ที่ชัดเจนขึ้นได้

วิธีการของ GRC ระดับโค้ด (How it works)

วิธีการหลักคือการเปลี่ยนจาก “เอกสารนโยบาย” (Text-based Policy) ให้กลายเป็น “ตรรกะที่คอมพิวเตอร์อ่านได้” (Machine-Readable Logic) โดยมีองค์ประกอบดังนี้ครับ:

  1. Policy Encoding: การแปลงกฎระเบียบ เช่น “การอนุมัติงบเกิน 1 ล้านบาทต้องผ่านกรรมการ 2 ท่าน” ให้เป็นเงื่อนไขใน Software (If-Then Logic)
  2. Automated Enforcement: ระบบ ERP จะตรวจสอบเงื่อนไขเหล่านี้โดยอัตโนมัติในทุกธุรกรรม หากไม่ตรงตามเงื่อนไข ระบบจะไม่อนุญาตให้ดำเนินการต่อ (Block) หรือส่งสัญญาณเตือน (Alert) ทันที
  3. Continuous Monitoring & Logging: ทุกกิจกรรมจะถูกบันทึกร่องรอย (Audit Trail) ไว้ในระดับ Data Row ทำให้การตรวจสอบ (Audit) สามารถทำได้แบบ Real-time ไม่ต้องรอสุ่มตรวจรายไตรมาส
  4. Self-Service Compliance: พนักงานสามารถตรวจสอบได้เองผ่านระบบว่าการกระทำของตนสอดคล้องกับ GRC หรือไม่ เพราะระบบจะทำหน้าที่เป็น “ผู้คุมกฎ” อยู่ในเบื้องหลังตลอดเวลา

บทบาทใหม่ของมนุษย์ในโครงสร้างอัจฉริยะ

ในโครงสร้างที่ถูกรื้อใหม่ มนุษย์จะขยับบทบาทไปอยู่บริเวณ “ขอบนอกของระบบ” (The Edge) เพื่อทำหน้าที่สำคัญ 3 ประการที่เครื่องจักรทำแทนไม่ได้:

  1. การออกแบบระบบ (System Architecting): กำหนดตรรกะและเป้าหมายของ AI รวมถึงการวางกรอบ GRC ให้สอดคล้องกับกฎหมายและจริยธรรมที่เปลี่ยนไป
  2. การตัดสินใจในพื้นที่สีเทา (Ethics & Complex Decisions): ในกรณีที่ข้อมูลมีความขัดแย้งหรือต้องใช้ความเข้าอกเข้าใจ (Empathy) มนุษย์จะเป็นผู้ถืออำนาจตัดสินใจขั้นสุดท้ายเสมอ
  3. บทบาทพนักงานที่เป็นเจ้าของปัญหา (Directly Responsible Individual – DRI): พนักงานจะได้รับอำนาจการตัดสินใจสูงขึ้นผ่านการสนับสนุนข้อมูลจากระบบ โดยมีหน้าที่แก้โจทย์ธุรกิจที่ซับซ้อนร่วมกับทีมเฉพาะกิจแทนการรอรับคำสั่งตามลำดับชั้น

สรุป การรื้อโครงสร้างองค์กรสู่ AI-Native คือการยอมรับว่าการบริหารจัดการในอนาคตจะขับเคลื่อนด้วยข้อมูล และอัลกอริทึมเป็นหลัก โดยมี ERP ทำหน้าที่เป็นระบบประสาทที่เชื่อมโยงข้อมูล และ GRC ทำหน้าที่เป็นเข็มทิศควบคุมความปลอดภัย องค์กรที่สามารถปรับเปลี่ยนโครงสร้างจากการยึดโยงด้วยตำแหน่งหน้าที่ มาเป็นการยึดโยงด้วยระบบอัจฉริยะ จะไม่เพียงแค่ลดต้นทุนการจัดการ แต่จะสามารถดึงศักยภาพสูงสุดของมนุษย์ ออกมาใช้ในงานเชิงกลยุทธ์และการสร้างสรรค์ ซึ่งเป็นหัวใจสำคัญของความยั่งยืนในโลกยุคใหม่

Leave a Comment » | AI กับ GRC | ติดป้ายกำกับ: , , , , , | ลิงก์ถาวร
โพสต์โดย Metha Suvanasarn

จาก ERP สู่ AI Native Enterprise: โครงสร้างองค์กรยุคใหม่ (ตอนที่ 5)

มีนาคม 28, 2026

เมื่อ Governance ไม่ได้ควบคุมแค่ระบบ แต่กำกับ “ความคิดของระบบ”

จาก Control System สู่ Cognitive Organization

จากหลายตอนที่ผ่านมา เราได้สำรวจเส้นทางวิวัฒนาการของ Governance ในยุคดิจิทัล

  • ERP วางรากฐานของ Embedded Control
  • การไม่มี ERP ทำให้ AI Governance อ่อนแอ
  • แม้มี ERP แล้ว Shadow AI ก็ยังเป็นความเสี่ยง

คำถามจึงชัดขึ้นเรื่อย ๆ ว่า ถ้า ERP คือยุคของ Transaction Governance และ AI Governance คือยุคของ Decision Governance องค์กรควรปรับโครงสร้างอย่างไรให้ AI และ Governance เติบโตไปพร้อมกัน? คำตอบอาจไม่ใช่การเพิ่ม control layer เข้าไปเรื่อย ๆ แต่คือการออกแบบองค์กรใหม่ให้เป็น AI Native Enterprise

AI Native Enterprise คืออะไร?

AI Native Enterprise ไม่ได้หมายถึงองค์กรที่ใช้ AI เยอะที่สุด แต่คือองค์กรที่ออกแบบโครงสร้าง กระบวนการ และ Governance โดยมี AI เป็นส่วนหนึ่งของสถาปัตยกรรมตั้งแต่ต้น ต่างจากองค์กรที่:

  • มี ERP แล้วค่อย “ต่อ AI เข้าไป”
  • มี AI project แบบแยกหน่วยงาน
  • มี data science team ที่ทำงานข้าง ๆ ธุรกิจ

AI Native Enterprise จะมีคุณลักษณะสำคัญ 4 ประการ

  1. Data เป็น Infrastructure ไม่ใช่เพียง Asset
  2. AI Lifecycle ถูกกำกับด้วย Governance Framework
  3. Board เข้าใจ AI Risk ในระดับยุทธศาสตร์
  4. Human Oversight ถูกออกแบบไว้ในระบบ

จาก ERP Architecture สู่ AI Architecture

ERP ทำให้องค์กรมี:

  • Single Source of Truth
  • Standardized Workflow
  • Embedded Control

AI Native Enterprise ต้องขยายต่อไปสู่:

  • Unified Data Governance
  • Model Lifecycle Governance
  • Continuous Monitoring Framework

องค์กรที่ใช้ระบบอย่าง SAP ERP หรือ Oracle ERP อาจมี data backbone อยู่แล้ว แต่ AI Native ต้องเพิ่ม:

  • Model Registry
  • Version Control
  • Independent Validation Function
  • Bias & Fairness Testing

นี่คือการยกระดับจาก “System Control” ไปสู่ “Cognitive Control”

Governance Framework ใน AI Native Enterprise

AI Native Enterprise จะไม่แยก IT Governance ออกจาก AI Governance แต่ผสานเข้ากับกรอบที่มีอยู่ เช่น:

  • COSO สำหรับ Internal Control
  • ISO/IEC 38500 สำหรับ IT Governance
  • แนวคิด Model Risk Management จาก Basel Committee on Banking Supervision
  • Risk-Based AI Governance ตามแนวทางของ European Commission

สิ่งที่เปลี่ยนคือ Governance ไม่ได้อยู่เฉพาะในเอกสาร แต่ฝังอยู่ใน AI lifecycle เช่นเดียวกับที่ ERP เคยฝัง control ลงใน workflow

Operating Model ใหม่: จาก Functional Silos สู่ AI-Integrated Structure

องค์กรดั้งเดิมมักแบ่งเป็น:

  • IT
  • Risk
  • Compliance
  • Internal Audit
  • Business Units

AI Native Enterprise ต้องสร้างกลไกเชื่อมโยง เช่น:

  • AI Governance Committee
  • Central Model Risk Function
  • Data Stewardship Structure
  • AI Policy & Review Board

ความสำคัญไม่ใช่จำนวนคณะกรรมการ แต่คือความชัดเจนว่าใครรับผิดชอบ AI Risk

บทบาทของ Board ใน AI Native Enterprise

AI Native Enterprise ไม่สามารถเกิดขึ้นได้หาก Board มอง AI เป็นเพียงเครื่องมือ IT โดยที่ Board จะต้อง:

  • เข้าใจ AI Risk Appetite
  • กำหนด oversight structure
  • ผูก AI governance เข้ากับ strategy
  • เชื่อม AI performance กับ incentive structure

Governance ในยุค AI จึงไม่ใช่เรื่องเทคนิค แต่เป็นเรื่องยุทธศาสตร์องค์กร

วัฒนธรรมองค์กร: หัวใจที่ ERP ไม่สามารถสร้างได้เอง

ERP สามารถบังคับ workflow แต่ไม่สามารถสร้างวัฒนธรรมได้เอง

AI Native Enterprise ต้องมี:

  • Transparency Culture
  • Responsible Innovation
  • Cross-functional Collaboration
  • Continuous Learning

เพราะ AI ไม่ใช่ระบบคงที่ มันเรียนรู้ เปลี่ยนแปลง และปรับตัว

Governance จึงต้องมีความยืดหยุ่นควบคู่กับความเข้มแข็ง

ความท้าทาย: การเปลี่ยนผ่านจาก ERP-Centric สู่ AI-Centric

องค์กรจำนวนมากยังคิดแบบ ERP-centric คือ:

  • ทุกอย่างต้องผ่านระบบ
  • ทุกอย่างต้อง deterministic
  • ทุกอย่างต้องมี approval chain แบบเดิม

แต่ AI ทำงานบนความน่าจะเป็น และต้องการ agility

AI Native Enterprise ต้องหาจุดสมดุลระหว่าง Control กับ Innovation หากควบคุมมากเกินไป องค์กรจะช้า หากควบคุมน้อยเกินไป ความเสี่ยงจะสะสม

สรุป เมื่อ Governance กลายเป็นความสามารถเชิงกลยุทธ์

จากตอนแรกที่เราเริ่มต้นด้วยคำถามว่า ERP เป็นต้นกำเนิดของ Governance AI หรือไม่?

เราได้เห็นว่า ERP วางรากฐาน
การไม่มี ERP ทำให้เสี่ยง
และแม้มี ERP ก็ยังเกิด Shadow AI ได้

ตอนนี้ภาพชัดขึ้นว่า องค์กรไม่สามารถหยุดที่ ERP และไม่สามารถเพียง “เพิ่ม AI” เข้าไปในโครงสร้างเดิม

AI Native Enterprise คือการออกแบบองค์กรใหม่ให้ Governance และ AI เติบโตไปพร้อมกันตั้งแต่ต้น ในยุคที่การตัดสินใจจำนวนมากถูกขับเคลื่อนด้วยอัลกอริทึม Governance ไม่ใช่เพียงกลไกป้องกันความผิดพลาด แต่มันกลายเป็นความสามารถเชิงกลยุทธ์ (Strategic Capability) องค์กรที่เข้าใจสิ่งนี้ จะใช้ AI ได้อย่างมั่นใจ ส่วนองค์กรที่ไม่เข้าใจ อาจใช้ AI ได้เร็ว แต่เปราะบาง คำถามสุดท้ายจึงไม่ใช่ “เราจะใช้ AI อย่างไร?” แต่คือ “เราจะออกแบบองค์กรอย่างไร ให้ AI อยู่ภายใต้ Governance ที่มั่นคงและยั่งยืน?” และนี่อาจเป็นความแตกต่างระหว่างองค์กรที่ “มี AI” กับองค์กรที่ “เป็น AI Native” อย่างแท้จริง

Leave a Comment » | AI กับ GRC | ติดป้ายกำกับ: , , , | ลิงก์ถาวร
โพสต์โดย Metha Suvanasarn

Shadow AI: ความเสี่ยงเงียบในองค์กรที่มี ERP แล้วแต่ Governance ไม่ครบ (ตอนที่ 4)

มีนาคม 21, 2026

เมื่อมี ERP แล้ว ทำไมยังเสี่ยง?

ในสามตอนก่อนหน้านี้ เราได้ตั้งคำถามว่า ERP เป็นต้นกำเนิดของ Governance AI หรือไม่? และวิเคราะห์ต่อว่า AI Governance โดยไม่มี ERP มีความเสี่ยงเชิงโครงสร้างอย่างไร? ภาพที่ได้ค่อนข้างชัดเจน คือ ERP ช่วยวางรากฐานด้านข้อมูล การควบคุม และวัฒนธรรมเชิงระบบ แต่คำถามที่ซับซ้อนกว่านั้นคือ หากองค์กรมี ERP ครบถ้วน มีระบบระดับโลกอย่าง SAP ERP หรือ Oracle ERP เหตุใดความเสี่ยงด้าน AI จึงยังเกิดขึ้นได้? คำตอบอยู่ที่สิ่งที่เรียกว่า “Shadow AI” มันไม่ใช่ความล้มเหลวของเทคโนโลยี แต่มักเป็นช่องว่างของ Governance

Shadow AI คืออะไร และทำไม ERP จึงควบคุมมันไม่ได้

Shadow AI คือการใช้หรือพัฒนา AI นอกกรอบ Governance ที่องค์กรกำหนด ตัวอย่างเช่น:

  • พนักงานใช้ Generative AI ภายนอกเพื่อวิเคราะห์ข้อมูลลูกค้า
  • ฝ่ายการตลาดสร้างโมเดลทำนายยอดขายโดยไม่ผ่าน IT
  • ทีมวิเคราะห์ข้อมูลดึงข้อมูล ERP ออกไปสร้าง model ภายนอกโดยไม่มี approval
  • ผู้บริหารใช้ AI tool SaaS โดยไม่มีการประเมินความเสี่ยง

ERP ถูกออกแบบมาเพื่อควบคุม transaction และ workflow แต่ Shadow AI เกิดขึ้นใน “behavior layer” ซึ่งอยู่นอก workflow ปกติ

ERP ควบคุมว่าใครอนุมัติใบสั่งซื้อ แต่ไม่สามารถควบคุมว่าใคร copy ข้อมูลไปใส่ AI ภายนอก นี่คือ blind spot เชิงโครงสร้าง

เมื่อ Governance หยุดที่ System แต่ไม่ครอบคลุม Human Layer

กรอบอย่าง ISO/IEC 38500 พูดถึง Human Behaviour เป็นหนึ่งในหลักการสำคัญ แต่ในความเป็นจริง หลายองค์กรเน้น Governance ที่ระดับ:

  • Access Control
  • Change Management
  • Segregation of Duties

โดยละเลย governance ของ “การใช้เครื่องมืออัจฉริยะ”

Shadow AI จึงไม่ใช่เรื่องเทคนิค แต่เป็นเรื่องวัฒนธรรมการควบคุมที่ยังไม่ตามทันเทคโนโลยี

ความเสี่ยงที่เกิดขึ้นจริงจาก Shadow AI

Data Leakage แบบเงียบ

ข้อมูลจาก ERP ที่ควรอยู่ในระบบควบคุม อาจถูกส่งไปยัง AI ภายนอก แม้ไม่มีเจตนาทุจริต แต่ข้อมูลอาจถูกจัดเก็บหรือประมวลผลในสภาพแวดล้อมที่องค์กรควบคุมไม่ได้

Model Inconsistency

องค์กรอาจมี:

  • โมเดลภายในที่ผ่านการอนุมัติ
  • โมเดลเงาที่พัฒนาโดยหน่วยงาน
  • AI SaaS ที่ผู้บริหารใช้อยู่

ผลลัพธ์ที่ได้อาจไม่สอดคล้องกัน สร้างความสับสนในการตัดสินใจระดับผู้บริหาร

Reputational & Regulatory Risk

กรอบกำกับอย่าง AI Act ของ European Commission เน้นเรื่อง traceability และ documentation

  • Shadow AI ไม่มีเอกสารกำกับ
  • ไม่มี model validation
  • ไม่มี approval trail

เมื่อเกิดปัญหา องค์กรอาจไม่สามารถพิสูจน์ได้ว่ามีการกำกับดูแลเพียงพอ

ERP ไม่ล้มเหลว — แต่ Governance ยังไม่ขยาย

ต้องย้ำให้ชัดว่า Shadow AI ไม่ได้หมายความว่า ERP ไม่มีประโยชน์ ในความเป็นจริง ERP ทำหน้าที่ได้ดีมากในระดับ transaction governance ปัญหาอยู่ที่ Governance ไม่ได้ขยายจาก Transaction Governance ไปสู่ Decision Governance

ERP ควบคุม “สิ่งที่เกิดขึ้นแล้ว” แต่ AI สร้าง “สิ่งที่กำลังจะเกิดขึ้น”

หากองค์กรไม่ปรับ governance framework ให้ครอบคลุม AI lifecycle เช่น

  • Model Development
  • Data Usage
  • Deployment
  • Monitoring

Shadow AI จะเติบโตโดยอัตโนมัติ

บทบาทของ Board และผู้บริหารระดับสูง

Shadow AI ไม่ใช่ปัญหาของ IT แต่เป็นปัญหา Governance ระดับองค์กร

คณะกรรมการควรถามคำถามเช่น:

  • องค์กรมี AI inventory หรือไม่?
  • มีการกำหนด approval process สำหรับ AI tool หรือไม่?
  • ใครเป็นเจ้าของความเสี่ยงของ AI?
  • มี model validation function แยกอิสระหรือไม่?

กรอบของ Basel Committee on Banking Supervision เกี่ยวกับ Model Risk Management แสดงให้เห็นชัดว่า Model Governance ต้องมีความเป็นอิสระและตรวจสอบได้ Shadow AI จึงมักเกิดในองค์กรที่ไม่มีโครงสร้างดังกล่าว

Shadow AI: ความเสี่ยงเงียบที่อันตรายกว่าความผิดพลาดของระบบ

ความผิดพลาดใน ERP มักมีร่องรอย มี log มี transaction trace แต่ Shadow AI มักไม่มี มันอาจให้คำแนะนำที่ผิด อาจสร้างความเอนเอียง อาจทำให้ผู้บริหารตัดสินใจบนข้อมูลที่ไม่ผ่าน validation โดยที่องค์กรไม่รู้ตัวว่า governance gap กำลังขยาย และนี่คือความเสี่ยงที่เงียบ แต่สะสม

สรุป Governance ต้องก้าวให้ทันพฤติกรรม

ในตอนนี้ เราเห็นได้ชัดขึ้นว่า แม้องค์กรจะมี ERP แข็งแรง แต่หาก Governance ไม่ขยายไปครอบคลุม AI lifecycle และพฤติกรรมผู้ใช้ความเสี่ยงก็ยังเกิดขึ้นได้ Shadow AI สะท้อนความจริงประการหนึ่งคือ เทคโนโลยีอาจถูกควบคุม แต่พฤติกรรมของมนุษย์ต้องถูกกำกับด้วยกรอบที่เหมาะสม องค์กรที่ต้องการเดินหน้าเข้าสู่ยุค AI อย่างมั่นคงจำเป็นต้องขยาย Governance จากระบบไปสู่ระบบ + อัลกอริทึม + พฤติกรรม และคำถามสำคัญที่จะนำไปสู่ตอนถัดไปคือ หาก ERP ไม่เพียงพอ และ Shadow AI คือความเสี่ยงที่ต้องจัดการ แล้วโครงสร้างองค์กรแบบใด ที่จะทำให้ AI และ Governance เติบโตไปพร้อมกันได้อย่างแท้จริง? คำตอบนั้นอาจอยู่ในแนวคิดของ
AI Native Enterprise โปรดติดตามตอนต่อไปครับ

Leave a Comment » | AI กับ GRC | ติดป้ายกำกับ: , , , | ลิงก์ถาวร
โพสต์โดย Metha Suvanasarn

AI Governance โดยไม่มี ERP : ความเสี่ยงที่องค์กรไม่รู้ตัว (ตอนที่ 3)

มีนาคม 15, 2026

จากคำถามเรื่อง “ต้นกำเนิด” สู่คำถามเรื่อง “ความพร้อม”

ในตอนก่อนหน้า เราได้ตั้งคำถามว่า ERP เป็นต้นกำเนิดของ Governance AI จริงหรือไม่? และพบว่าแม้ ERP จะไม่ได้ถูกออกแบบมาเพื่อกำกับปัญญาประดิษฐ์โดยตรง แต่ได้วางรากฐานสำคัญด้าน Data Integrity, Embedded Control และวัฒนธรรมการควบคุมเชิงระบบไว้แล้ว

คำถามต่อไปจึงเข้มข้นขึ้นกว่าเดิม.. หากองค์กรเริ่มพัฒนา AI แต่ยังไม่มีโครงสร้างข้อมูลและการควบคุมแบบ ERP รองรับ
ความเสี่ยงจะเกิดขึ้นตรงไหนบ้าง?

AI Governance โดยไม่มี ERP อาจดูเหมือนไม่มีปัญหาในระยะสั้น แต่ในเชิงโครงสร้าง มันคือการสร้างระบบอัจฉริยะบนพื้นฐานที่ยังไม่มั่นคง

ปัญหาแรก: Data Fragmentation — เมื่อ AI เรียนรู้จากข้อมูลที่ไม่สอดคล้องกัน

ERP ทำหน้าที่รวมข้อมูลจากทุกหน่วยงานเข้าสู่ Single Source of Truth เมื่อไม่มี ERP หรือมีแต่ระบบแยกส่วน ข้อมูลจะกระจัดกระจายอยู่ตามระบบบัญชีคนละชุด ระบบขายคนละแพลตฟอร์ม หรือ ไฟล์ Excel ภายในหน่วยงาน รวมถึง ระบบ Legacy ที่ไม่เชื่อมต่อกัน

AI ที่ถูกพัฒนาขึ้นบนฐานข้อมูลลักษณะนี้มีความเสี่ยงอย่างน้อย 3 ประการ

1. ความไม่สอดคล้องของนิยามข้อมูล (Data Definition Conflict)
ยอดขายที่ฝ่ายการเงินใช้ อาจไม่ตรงกับยอดขายที่ฝ่ายขายใช้

2. ความไม่ครบถ้วน (Incomplete Dataset)
ข้อมูลบางส่วนอาจไม่ถูกดึงเข้าโมเดลเพราะไม่มี data pipeline ที่ชัดเจน

3. สาม ความไม่สามารถตรวจสอบย้อนกลับ (Weak Data Lineage)
เมื่อผลลัพธ์ AI ผิดพลาด องค์กรไม่สามารถย้อนกลับไปดูต้นทางข้อมูลได้ชัดเจน

นี่คือความเสี่ยงเชิงโครงสร้างที่ ERP เคยช่วยลดไว้ แต่จะกลับมาอีกครั้งเมื่อ AI เติบโตโดยไม่มีฐานข้อมูลที่บูรณาการ

Governance Framework ที่ไม่มีฐานระบบรองรับ: ช่องว่างระหว่าง Policy กับ Reality

หลายองค์กรเริ่มเขียน AI Policy หรือ AI Ethics Guideline อ้างอิงกรอบจาก OECD หรือ European Commission แต่หากไม่มีระบบที่ฝัง control ลงไปจริง ความเสี่ยงจะเกิดสิ่งที่เรียกว่า “Paper Governance” คือมีนโยบาย แต่ไม่มี system enforcement

ERP เคยทำให้ Governance จากระดับคณะกรรมการสามารถถูกบังคับใช้ผ่าน workflow ได้จริง แต่ AI Governance ที่ไม่มีโครงสร้างข้อมูลและระบบควบคุมรองรับ อาจกลายเป็นเพียงคำประกาศ

Model Risk ที่เพิ่มขึ้นแบบเงียบ ๆ

ในภาคการเงิน กรอบของ Basel Committee on Banking Supervision เน้นการบริหาร Model Risk อย่างเข้มงวด หากองค์กรไม่มีระบบข้อมูลที่เป็นมาตรฐาน การทดสอบย้อนหลัง (Backtesting) จะทำได้ยาก การตรวจสอบ bias จะไม่แม่นยำ และการวัด model drift จะไม่มี baseline ที่ชัดเจน AI จะค่อย ๆ เปลี่ยนพฤติกรรมของมัน โดยที่องค์กรไม่รู้ตัว ความเสี่ยงนี้อันตรายกว่าความผิดพลาดของ ERP เพราะมันไม่ได้เกิดจากการทำธุรกรรมผิดพลาด แต่เกิดจาก “การตัดสินใจที่ค่อย ๆ เบี่ยงเบน”

การตรวจสอบที่ทำได้ยากขึ้น: จาก IT Audit สู่ Algorithmic Blind Spot

ในยุค ERP ผู้ตรวจสอบสามารถตรวจ:

  • Access Control
  • Change Management
  • Segregation of Duties

แต่ในยุค AI หากไม่มี ERP หรือ Data Governance ที่เข้มแข็ง ผู้ตรวจสอบจะเผชิญกับ:

  • ข้อมูลฝึกที่ไม่มีเอกสารกำกับ
  • Feature Engineering ที่ไม่มี version control
  • โมเดลที่ deploy โดยไม่มี approval workflow

สิ่งที่เกิดขึ้นคือ “Algorithmic Blind Spot” องค์กรมี AI ใช้งานจริง แต่ไม่มีโครงสร้างตรวจสอบรองรับ

ความเสี่ยงเชิงจริยธรรมและชื่อเสียง (Reputational Risk)

AI ที่เรียนรู้จากข้อมูลที่ไม่ผ่านการควบคุมคุณภาพ อาจสะท้อนอคติของข้อมูลดิบ เมื่อไม่มี Data Governance ที่แข็งแรง AI อาจเลือกปฏิบัติ การตัดสินใจอาจไม่สามารถอธิบายได้ รวมทั้ง ความโปร่งใสอาจไม่เพียงพอ ในบริบทกฎหมายอย่าง AI Act ของสหภาพยุโรป ความเสี่ยงนี้ไม่ใช่แค่เรื่องภาพลักษณ์ แต่เป็นเรื่องความรับผิดทางกฎหมาย องค์กรที่ไม่มี ERP หรือโครงสร้างข้อมูลแบบบูรณาการ อาจไม่สามารถแสดงหลักฐานการควบคุมได้เมื่อถูกตรวจสอบ

AI โดยไม่มี ERP: ความเสี่ยงเชิงกลยุทธ์

อีกประเด็นที่มักถูกมองข้ามคือ Strategic Misalignment

ERP บังคับให้องค์กรต้องคิดเรื่อง:

  • Data Ownership
  • Process Standardization
  • Enterprise-wide Integration

แต่ AI ที่พัฒนาแบบกระจัดกระจายตามหน่วยงาน อาจสร้าง:

  • Shadow AI
  • โมเดลซ้ำซ้อน
  • การใช้ข้อมูลข้ามหน่วยงานโดยไม่มี governance

ในระยะยาว สิ่งนี้อาจทำให้องค์กรสูญเสียการควบคุมเชิงกลยุทธ์

สรุปเชิงโครงสร้าง: AI Governance ต้องมี “ฐาน” ก่อนมี “ปัญญา”

AI Governance ไม่ได้เริ่มต้นที่โมเดล แต่มันเริ่มต้นที่ข้อมูล กระบวนการ และวัฒนธรรมการควบคุม ERP อาจไม่ใช่คำตอบทั้งหมด
แต่การไม่มีโครงสร้างแบบ ERP เลย ทำให้ AI Governance อ่อนแอตั้งแต่ต้น องค์กรอาจคิดว่ากำลังเข้าสู่ยุค AI อย่างรวดเร็ว
แต่แท้จริงแล้วอาจกำลังเพิ่มความเสี่ยงแบบทวีคูณโดยไม่รู้ตัว

ในตอนก่อน เราตั้งคำถามว่า ERP เป็นต้นกำเนิดของ Governance AI หรือไม่? ในตอนนี้ คำถามเปลี่ยนไปเป็น AI Governance จะยั่งยืนได้หรือไม่ หากไม่มีโครงสร้างแบบ ERP รองรับ?

AI เปรียบเสมือน “สมอง” ขององค์กรยุคใหม่ แต่สมองที่ไม่มีโครงกระดูกและระบบประสาทรองรับ ย่อมไม่สามารถทำงานได้อย่างมั่นคง องค์กรที่ต้องการใช้ AI อย่างรับผิดชอบ อาจไม่จำเป็นต้องมี ERP ขนาดใหญ่แบบดั้งเดิม แต่จำเป็นต้องมีโครงสร้างข้อมูล การควบคุม และการกำกับดูแลเชิงระบบที่เทียบเท่า

คำถามสำคัญจึงไม่ใช่ “เรามี AI แล้วหรือยัง?” แต่คือ “เรามีฐาน Governance ที่มั่นคงพอให้ AI เติบโตอย่างปลอดภัยหรือยัง?” และนั่นอาจเป็นความเสี่ยงที่องค์กรจำนวนมากยังไม่รู้ตัว

ถ้ามองไปตามลำดับวิวัฒนาการของความเสี่ยงแบบนี้:

  1. ERP คือรากฐาน
  2. ไม่มี ERP มีความเสี่ยงอย่างไร
  3. มี ERP แล้วก็ยังเสี่ยงได้ (Shadow AI)
  4. แล้วสุดท้ายองค์กรควรไปทางไหน (AI Native Enterprise)

จาก “โครงสร้าง” → “ช่องโหว่” → “ความเสี่ยงเงียบ” → “อนาคต”

ในตอนที่ 1-2 ผมได้พูดถึงเรื่อง ERP คือรากฐาน ส่วนในตอนที่ 3 นี้เป็นเรื่องขององค์กรที่ไม่มี ERP จะมีความเสี่ยงอย่างไร และถึงแม้จะมี ERP แล้วองค์กรก็ยังมีความเสี่ยงได้ ซึ่งผมจะไปพูดต่อในตอนที่ 4 ก่อนที่จะไปถึงอนาคตว่าองค์กรควรไปทิศทางไหน ถ้าผมพูดแค่ว่าองค์กร มี ERP แล้วก็จบ แต่ความจริงคือไม่ใช่ องค์กรจำนวนมากมี ERP เต็มรูปแบบ เช่น SAP ERP หรือ Oracle ERP แต่พนักงานกลับใช้ ChatGPT ภายนอก, สร้าง Python model เอง, ต่อ API โดยไม่ผ่าน IT รวมทั้งใช้ SaaS AI tool แบบไม่มี approval นี่แหละคือ “Shadow AI” มันคือ AI ที่เกิดนอก Governance แม้จะมี ERP ก็ตาม ซึ่งเราจะไปคุยกันต่อในตอนหน้านะครับ

Leave a Comment » | AI กับ GRC | ติดป้ายกำกับ: , , | ลิงก์ถาวร
โพสต์โดย Metha Suvanasarn

ERP เป็นต้นกำเนิดของ Governance AI จริงหรือ? ในมุมมองการวิเคราะห์ผ่านกรอบ COSO, ISO 38500, Basel และ AI Act (ตอนที่ 2)

มีนาคม 9, 2026

จาก Governance ของธุรกรรม สู่ Governance ของการตัดสินใจ

ทุกยุคของเทคโนโลยีจะทิ้งร่องรอยบางอย่างไว้ในโครงสร้างการกำกับดูแลขององค์กร ยุค ERP ทำให้องค์กรเข้าใจว่า “การควบคุม” ไม่จำเป็นต้องเป็นเอกสารหรือการตรวจสอบย้อนหลังเท่านั้น แต่สามารถฝังอยู่ในระบบได้ ส่วนยุค AI กำลังตั้งคำถามใหม่ว่า “การตัดสินใจของเครื่องจักร” ควรถูกกำกับอย่างไร

ระบบ ERP ขนาดใหญ่อย่าง SAP ERP หรือ Oracle ERP ทำให้องค์กรมีข้อมูลแบบรวมศูนย์ มี workflow ที่ควบคุมได้ และมี Audit Trail ที่ตรวจสอบย้อนหลังได้ ในขณะที่ AI Governance ซึ่งถูกผลักดันโดยกรอบนโยบายจาก European Commission ผ่านกฎหมาย AI Act กำลังยกระดับคำถามไปสู่เรื่องความเป็นธรรม ความโปร่งใส และความรับผิดชอบของอัลกอริทึม

คำถามจึงชัดเจนขึ้นเรื่อย ๆ ว่า Governance AI คือการเริ่มต้นใหม่โดยสิ้นเชิง หรือเป็นวิวัฒนาการที่ต่อยอดจากรากฐาน ERP?

ERP กับ COSO: จุดเริ่มต้นของ Embedded Internal Control

กรอบ COSO Internal Control Framework วางโครงสร้างการควบคุมไว้ 5 องค์ประกอบ:

  1. Control Environment
  2. Risk Assessment
  3. Control Activities
  4. Information & Communication
  5. Monitoring Activities

ERP ส่งผลโดยตรงต่ออย่างน้อย 3 องค์ประกอบหลัก

1.1 Control Activities ถูกแปลงเป็น Workflow

ก่อน ERP การควบคุมจำนวนมากเป็น manual control เช่น การเซ็นอนุมัติเอกสาร
หลัง ERP การอนุมัติกลายเป็น digital approval workflow ที่บังคับใช้โดยระบบ

1.2 Information & Communication กลายเป็น Real-Time

Single Source of Truth ทำให้ข้อมูลไม่กระจัดกระจาย ลดความเสี่ยงข้อมูลขัดแย้ง

1.3 Monitoring Activities กลายเป็น System-Driven

รายงาน exception, log file, audit trail กลายเป็นเครื่องมือ monitoring อัตโนมัติ

ในแง่นี้ ERP คือการ “ทำให้ COSO ทำงานได้จริง” ในระดับปฏิบัติการ

ISO 38500 และ IT Governance: การกำกับเทคโนโลยีเชิงโครงสร้าง

มาตรฐาน ISO/IEC 38500 กำหนดหลักการกำกับดูแล IT สำหรับคณะกรรมการองค์กร โดยเน้น:

  • Responsibility
  • Strategy
  • Acquisition
  • Performance
  • Conformance
  • Human Behaviour

ERP เป็นเทคโนโลยีขนาดใหญ่ที่บังคับให้องค์กรต้องคิดเชิง Governance:

  • ใครเป็นเจ้าของข้อมูล?
  • ใครอนุมัติการเปลี่ยนแปลงระบบ?
  • ระบบสนับสนุนกลยุทธ์องค์กรหรือไม่?

ISO 38500 จึงเป็นสะพานเชื่อมจาก IT Management ไปสู่ IT Governance และเมื่อ AI กลายเป็น IT รูปแบบใหม่ หลักการเดียวกันจึงถูกยกระดับไปสู่ AI Governance

Basel และ Model Risk: สะพานเชื่อมสู่ AI Governance

ในภาคการเงิน กรอบของ Basel Committee on Banking Supervision ได้พัฒนาแนวคิด Model Risk Management (MRM) มานานก่อนยุค AI บูม MRM กำหนดให้มีการตรวจสอบความถูกต้องของโมเดล มีการทดสอบย้อนหลัง (Backtesting) มีการแยกผู้พัฒนาโมเดลออกจากผู้อนุมัติ และมีการติดตาม Model Drift แนวคิดเหล่านี้คล้ายกับ AI Governance อย่างมาก หาก ERP คือการควบคุม transaction risk ส่วน MRM คือการควบคุม model risk และ AI Governance คือการขยาย Model Risk ไปสู่ทุกอุตสาหกรรม

AI Act และ Risk-Based Governance

กฎหมาย AI Act ของสหภาพยุโรปแบ่ง AI ออกเป็นระดับความเสี่ยง:

  • Unacceptable Risk
  • High Risk
  • Limited Risk
  • Minimal Risk

สำหรับ High-Risk AI ต้องมี:

  • Risk Management System
  • Data Governance
  • Technical Documentation
  • Human Oversight
  • Accuracy & Robustness Control

สิ่งที่น่าสนใจคือ โครงสร้างนี้สะท้อนแนวคิดเดียวกับ COSO และ Basel เพียงแต่ย้ายจุดควบคุมจาก “กระบวนการธุรกิจ” ไปสู่ “ระบบอัลกอริทึม”

ความแตกต่างเชิงโครงสร้างของ ERP vs AI

มิติERPAI
ลักษณะการทำงานDeterministicProbabilistic
การควบคุมRule-basedModel-based
ความเสี่ยงหลักFraud / ErrorBias / Drift / Opaque Decision
Audit FocusAccess & ChangeData & Model Integrity
Governance ScopeTransaction GovernanceDecision Governance

ERP ควบคุม “สิ่งที่คนทำ” ส่วน AI ต้องควบคุม “สิ่งที่เครื่องเรียนรู้” นี่คือความท้าทายเชิงโครงสร้างที่ทำให้ Governance AI ซับซ้อนกว่ายุค ERP อย่างมีนัยสำคัญ

ERP เป็นต้นกำเนิดของ Governance AI หรือไม่?

คำตอบอาจแบ่งเป็น 3 ระดับ

ระดับที่ 1: เชิงเทคโนโลยี

ไม่ใช่ — ERP ไม่ได้สร้าง AI Governance

ระดับที่ 2: เชิงโครงสร้าง

ใช่ — ERP วางโครงสร้าง Embedded Control และ Data Governance

ระดับที่ 3: เชิงวัฒนธรรมองค์กร

ใช่ — ERP ทำให้องค์กรคุ้นชินกับการฝัง Governance ลงในระบบ

AI Governance จึงไม่ได้เกิดในสุญญากาศ แต่เกิดบนวัฒนธรรมการควบคุมที่ ERP ช่วยสร้างไว้

บทบาทของคณะกรรมการและ NRC ในยุค AI

เมื่อ AI กลายเป็นกลไกตัดสินใจ คณะกรรมการต้องตั้งคำถามใหม่:

  • ใครรับผิดชอบความผิดพลาดของ AI?
  • AI ส่งผลต่อความเสี่ยงเชิงจริยธรรมหรือไม่?
  • โครงสร้างค่าตอบแทนผู้บริหารสอดคล้องกับ AI Risk หรือไม่?

Governance AI จึงไม่ใช่เรื่อง IT เพียงฝ่ายเดียว แต่เป็นเรื่อง Board-Level Governance

สรุป จาก Control System สู่ Cognitive System

สำหรับ ERP คือยุคของ Control System ส่วน AI คือยุคของ Cognitive System

ERP สอนให้องค์กรควบคุมกระบวนการ ส่วน AI บังคับให้องค์กรควบคุมการเรียนรู้

Governance AI จึงไม่ใช่การปฏิวัติแบบตัดขาดอดีต แต่เป็นวิวัฒนาการของโครงสร้างกำกับดูแลที่เริ่มต้นจาก ERP

หาก ERP คือโครงกระดูกของ Governance ดิจิทัล AI Governance คือระบบประสาทที่ทำให้โครงกระดูกนั้น “ตัดสินใจได้”

คำถามที่แท้จริงจึงไม่ใช่ว่า ERP เป็นต้นกำเนิดของ Governance AI หรือไม่ แต่คือ องค์กรของเราพร้อมหรือยังที่จะขยายกรอบ Governance จาก “ความถูกต้องของธุรกรรม” ไปสู่ “ความรับผิดชอบของการตัดสินใจโดยอัลกอริทึม” และนี่อาจเป็นโจทย์ใหญ่ที่สุดขององค์กรในทศวรรษข้างหน้า

โปรดติดตามตอนต่อไปที่ผมจะพูดถึง AI Governance โดยไม่มี ERP ซึ่งองค์กรจะต้องรับความเสี่ยงอย่างไรบ้าง หากไม่มี ERP ซึ่งเป็นฐานราก

Leave a Comment » | AI กับ GRC | ติดป้ายกำกับ: , | ลิงก์ถาวร
โพสต์โดย Metha Suvanasarn

ERP เป็นต้นกำเนิดของ Governance AI จริงหรือ? (ตอนที่ 1)

มีนาคม 2, 2026

ในโลกองค์กรยุคดิจิทัล คำว่า “Governance” ไม่ได้หมายถึงเพียงการประชุมคณะกรรมการหรือการออกนโยบายอีกต่อไป แต่หมายถึงการทำให้การควบคุมเกิดขึ้นจริงในระดับระบบ กระบวนการ และข้อมูล

ตลอด 20–30 ปีที่ผ่านมา ระบบที่เปลี่ยนโครงสร้างการควบคุมองค์กรอย่างลึกซึ้งที่สุดระบบหนึ่งคือ ERP (Enterprise Resource Planning) โดยเฉพาะแพลตฟอร์มขนาดใหญ่ระดับองค์กร เช่น SAP ERP และ Oracle ERP ซึ่งทำหน้าที่รวมข้อมูลทุกฟังก์ชันธุรกิจเข้าสู่ศูนย์กลางเดียว

ขณะเดียวกัน โลกกำลังก้าวเข้าสู่ยุคของ Artificial Intelligence และ Generative AI พร้อมคำถามใหม่ว่า เราจะกำกับดูแล AI อย่างไร

Governance AI จึงกลายเป็นวาระสำคัญขององค์กรทั่วโลก แต่หากย้อนกลับไปพิจารณาอย่างจริงจัง อาจพบว่าหลักคิดหลายอย่างใน AI Governance ไม่ได้เกิดขึ้นอย่างฉับพลัน หากมีรากฐานบางส่วนฝังอยู่ในยุค ERP แล้ว เพียงแต่บริบทเปลี่ยนจาก “การควบคุมธุรกรรม” ไปสู่ “การควบคุมการตัดสินใจ” คำถามจึงน่าสนใจอย่างยิ่งว่า… ERP เป็นต้นกำเนิดของ Governance AI จริงหรือ?

ERP ในฐานะสถาปัตยกรรมของการควบคุมองค์กร

ERP ไม่ได้เป็นเพียงระบบบัญชีหรือระบบจัดซื้อจัดจ้าง หากมองในเชิงโครงสร้าง มันคือสถาปัตยกรรมของการควบคุม (Control Architecture)

ก่อนยุค ERP องค์กรมักมีระบบแยกส่วน ข้อมูลกระจัดกระจาย การตรวจสอบย้อนหลังทำได้ยาก และการควบคุมต้องพึ่งพาเอกสารหรือการตรวจสอบแบบ manual เป็นหลัก ERP เข้ามาเปลี่ยนเกมด้วย 3 กลไกสำคัญ

1. การบูรณาการข้อมูล (Data Integration)
ข้อมูลจากการเงิน การจัดซื้อ คลังสินค้า การผลิต และทรัพยากรบุคคล ถูกเชื่อมโยงเข้าสู่ฐานข้อมูลเดียว แนวคิด “Single Source of Truth” จึงเกิดขึ้นจริงในระดับระบบ

2. การทำให้กระบวนการเป็นมาตรฐาน (Process Standardization)
องค์กรไม่สามารถทำงานนอก workflow ที่กำหนดไว้ในระบบได้ง่าย ๆ การอนุมัติ การบันทึกบัญชี หรือการออกเอกสารต้องเป็นไปตามขั้นตอน

3. การฝังการควบคุมลงในระบบ (Embedded Control)
การแยกหน้าที่ (Segregation of Duties), การกำหนดสิทธิ์การเข้าถึง (Access Control), การบันทึก Audit Trail ถูกออกแบบไว้ตั้งแต่ต้น

นี่คือจุดที่ ERP เริ่มทำให้ Governance “จับต้องได้” ไม่ใช่เพียงนโยบายบนกระดาษ

ERP กับกรอบ GRC: การทำให้ Governance บังคับใช้ได้จริง

แนวคิด GRC (Governance, Risk, and Compliance) เริ่มชัดเจนมากขึ้นหลังวิกฤตการณ์ทางการเงินและกรณีอื้อฉาวทางบัญชีระดับโลก องค์กรกำกับดูแลระดับสากล เช่น OECD ได้ผลักดันหลักการกำกับดูแลกิจการที่เน้นความโปร่งใส ความรับผิดชอบ และการบริหารความเสี่ยง ERP กลายเป็นเครื่องมือสำคัญในการตอบโจทย์เหล่านี้ เพราะมันสามารถ:

  • สร้างหลักฐานการทำรายการย้อนหลัง (Audit Trail)
  • ตรวจสอบความสอดคล้องของการปฏิบัติงานกับนโยบาย
  • ลดความเสี่ยงการทุจริตผ่านการแยกหน้าที่
  • สนับสนุนการรายงานความเสี่ยงแบบรวมศูนย์

กล่าวอีกนัยหนึ่ง ERP คือกลไกที่ทำให้ Governance จากระดับ Board ถูกถ่ายทอดลงสู่ระดับ Transaction ได้จริง

AI Governance: การยกระดับจากการควบคุมธุรกรรมสู่การควบคุมอัลกอริทึม

เมื่อ AI เข้ามามีบทบาทในการตัดสินใจ เช่น การให้สินเชื่อ การคัดกรองลูกค้า หรือการคาดการณ์ความเสี่ยง คำถามด้าน Governance จึงเปลี่ยนไป องค์กรอย่าง European Commission ได้เสนอแนวทางกำกับ AI แบบ Risk-Based Approach โดยแบ่งระดับความเสี่ยงของ AI และกำหนดข้อกำกับที่แตกต่างกัน

AI Governance ครอบคลุมประเด็นใหม่ เช่น

  • ความเป็นธรรมของโมเดล (Fairness)
  • ความสามารถอธิบายได้ (Explainability)
  • ความโปร่งใสของข้อมูลฝึก (Data Transparency)
  • ความรับผิดชอบเมื่อเกิดความเสียหาย (Accountability)

ความแตกต่างสำคัญคือ ERP ทำงานบนตรรกะที่กำหนดไว้ล่วงหน้า (Rule-based, Deterministic) AI ทำงานบนความน่าจะเป็นและรูปแบบข้อมูล (Probabilistic, Pattern-based) ดังนั้น Governance จึงต้องปรับจาก “การควบคุมกระบวนการ” ไปสู่ “การควบคุมการเรียนรู้ของเครื่อง”

ERP ในฐานะรากฐานข้อมูลของ AI

แม้ ERP จะไม่ใช่ระบบ AI แต่ AI ส่วนใหญ่ในองค์กรต้องพึ่งพาข้อมูลจาก ERP

หากข้อมูลใน ERP ไม่ครบถ้วน ไม่ถูกต้อง และไม่มีการควบคุมคุณภาพ AI ที่สร้างขึ้นย่อมสะท้อนข้อบกพร่องนั้น นี่ทำให้ ERP มีบทบาทเป็น “ฐานความน่าเชื่อถือของข้อมูล” (Data Integrity Anchor) Governance AI จึงไม่สามารถแยกขาดจาก Data Governance ซึ่งมีรากฐานมาจากยุค ERP

จาก Embedded Control สู่ Algorithmic Control

ในยุค ERP การควบคุมถูกฝังไว้ในขั้นตอนการทำงาน

ในยุค AI การควบคุมต้องครอบคลุม:

  • การพัฒนาโมเดล (Model Development)
  • การทดสอบความเอนเอียง (Bias Testing)
  • การติดตาม Model Drift
  • การตรวจสอบความถูกต้องเชิงสถิติ (Model Validation)

แนวคิด Model Risk Management (MRM) ในสถาบันการเงินจึงกลายเป็นสะพานเชื่อมสำคัญระหว่าง IT Governance และ AI Governance

หาก ERP คือการฝัง Control ลงใน Workflow
AI Governance คือการฝัง Control ลงใน Algorithm

บทบาทของ IT Audit และ Internal Audit ในยุค AI

ยุค ERP ผู้ตรวจสอบมักเน้น:

  • การควบคุมสิทธิ์เข้าถึง
  • การจัดการเปลี่ยนแปลงระบบ
  • ความสมบูรณ์ของอินเทอร์เฟซข้อมูล

แต่ในยุค AI ผู้ตรวจสอบต้องขยายขอบเขตไปสู่:

  • การตรวจสอบคุณภาพข้อมูลฝึก
  • การประเมินความเสี่ยงจาก Bias
  • การทดสอบความสามารถอธิบายผลลัพธ์
  • การตรวจสอบ Governance Framework ของ AI

บทบาทจึงเปลี่ยนจาก IT Auditor ไปสู่ Algorithmic Auditor

สรุป ERP เป็นต้นกำเนิดของ Governance AI จริงหรือ?

ERP ไม่ได้ถูกออกแบบมาเพื่อควบคุมปัญญาประดิษฐ์
แต่ ERP คือระบบแรก ๆ ที่ทำให้องค์กรเข้าใจว่า Governance สามารถถูกฝังในสถาปัตยกรรมดิจิทัลได้

หากไม่มี ERP องค์กรอาจไม่มีข้อมูลที่มีโครงสร้างเพียงพอ การควบคุมอาจยังพึ่งพาเอกสาร แนวคิด Embedded Control อาจยังไม่แพร่หลาย ในมิตินี้ ERP อาจไม่ใช่ “ต้นกำเนิดโดยตรง” แต่คือ “รากฐานเชิงสถาปัตยกรรมและวัฒนธรรมการควบคุม”

โลกองค์กรกำลังเคลื่อนจากยุคที่ความเสี่ยงเกิดจาก “การทำรายการผิดพลาด” ไปสู่ยุคที่ความเสี่ยงเกิดจาก “การตัดสินใจของระบบอัตโนมัติ” ERP ทำให้องค์กรเรียนรู้วิธีควบคุมกระบวนการ แต่ AI บังคับให้องค์กรเรียนรู้วิธีควบคุมการเรียนรู้ของเครื่อง

Governance AI จึงไม่ใช่สิ่งที่เกิดขึ้นอย่างฉับพลัน แต่เป็นวิวัฒนาการต่อเนื่องจากรากฐานเดิม เพียงแต่ความซับซ้อนเพิ่มขึ้นอย่างก้าวกระโดด คำถามสำคัญจึงอาจไม่ใช่ว่า ERP เป็นต้นกำเนิดของ Governance AI หรือไม่ แต่คือ องค์กรของเรามีความพร้อมพอหรือยังที่จะยกระดับจาก Governance ของข้อมูลไปสู่ Governance ของปัญญาประดิษฐ์อย่างแท้จริง และนั่นคือโจทย์เชิงยุทธศาสตร์ของคณะกรรมการ ผู้บริหาร และผู้ตรวจสอบในยุคต่อจากนี้

ในครั้งหน้า ผมจะขอพูดต่อถึงคำถามที่ว่า ERP เป็นต้นกำเนิดของ Governance AI จริงหรือ? ในมุมมองของการวิเคราะห์ผ่านกรอบ COSO, ISO 38500, Basel และ AI Act โปรดติดตามตอนต่อไปนะครับ

Leave a Comment » | AI กับ GRC | ติดป้ายกำกับ: , , | ลิงก์ถาวร
โพสต์โดย Metha Suvanasarn

The Intelligent Enterprise: ปฏิวัติธุรกิจด้วย ERP, Algorithm, และพลังขับเคลื่อนแห่ง AI/IA ตอนที่ 3

ธันวาคม 8, 2025

ตอนที่ 3: จุดสูงสุดแห่งวิวัฒนาการ: จาก Algorithm สู่ AI, Machine Learning และ IA

ในตอนที่ 1 และ 2 เราได้วางรากฐานสำคัญของการเป็น องค์กรอัจฉริยะ ด้วยการสร้าง Data ที่สะอาดและบูรณาการผ่านระบบ ERP และกำกับดูแลด้วย Algorithm ที่รองรับ GRC อย่างเข้มงวด อย่างไรก็ตาม Algorithm แบบดั้งเดิมนั้นดีเยี่ยมในการทำตามกฎเกณฑ์ที่กำหนดไว้ แต่ขาดความสามารถในการเรียนรู้หรือทำนายสถานการณ์ที่ซับซ้อนและเปลี่ยนแปลงอยู่เสมอ นี่คือจุดที่เราต้องนำพาองค์กรก้าวข้ามขีดจำกัดของ Rule-Based Logic สู่โลกของ AI (Artificial Intelligence) และ Intelligent Automation (IA) บทความนี้จะสำรวจว่าเราจะติดตั้ง ‘สมองที่เรียนรู้ได้’ เข้ากับ ‘ระบบประสาท’ ขององค์กรได้อย่างไร เพื่อสร้างคุณค่าเพิ่มและยกระดับ Governance ให้ไปอีกขั้น

เรากำลังเข้าสู่ยุคที่ซอฟต์แวร์ไม่เพียงแต่ทำตามคำสั่งเท่านั้น แต่สามารถ คิด, คาดการณ์, และตัดสินใจ ได้อย่างชาญฉลาด หัวใจของการเปลี่ยนแปลงนี้คือการเปลี่ยนจาก Algorithm แบบ If-Then (ถ้า…แล้ว…) ไปสู่ระบบที่เรียนรู้จากประสบการณ์ (Data) ด้วยตัวเองอย่าง Machine Learning (ML) แต่ความสำเร็จนี้จะเกิดขึ้นไม่ได้หากไม่มี “Clean Data” และ “Integrated GRC” จากระบบ ERP ที่เราสร้างไว้ในตอนก่อน ๆ เราจะมาดูกันว่า AI และ ML เข้ามาเสริมความสามารถของ ERP ให้ทำได้เหนือกว่าการบันทึกข้อมูลได้อย่างไร และการผสมผสานระหว่างเทคโนโลยีเหล่านี้กับระบบอัตโนมัติ (RPA) เพื่อสร้าง IA (Intelligent Automation) จะช่วยให้องค์กรสร้างคุณค่าเพิ่ม, ลดความเสี่ยง, และส่งเสริม Governance ในโลกธุรกิจที่ผันผวนได้อย่างไร พร้อมสำรวจแนวโน้มในอนาคตที่ ERP จะกลายเป็น แพลตฟอร์มอัจฉริยะ อย่างสมบูรณ์

3.1 AI และ Machine Learning: การเรียนรู้ที่เหนือกว่าตรรกะเดิม

AI (Artificial Intelligence) คือความสามารถของเครื่องจักรในการเลียนแบบสติปัญญาของมนุษย์ ในขณะที่ ML (Machine Learning) คือวิธีการที่ AI ใช้ในการเรียนรู้จากข้อมูลโดยไม่ต้องถูกโปรแกรมคำสั่งเจาะจงซ้ำแล้วซ้ำเล่า การก้าวข้ามจาก Algorithm แบบเก่าสู่ ML คือการเปลี่ยนจากการบอกระบบว่า “ทำสิ่งนี้” ไปสู่การบอกระบบว่า “นี่คือข้อมูลทั้งหมด, จงค้นหาความสัมพันธ์และบอกฉันว่าควรทำอะไรต่อไป”

การผนวกกับ ERP: ข้อมูลประวัติศาสตร์ขนาดใหญ่ (Big Data) ที่ถูกรวบรวมและทำให้สะอาดในระบบ ERP (เช่น ข้อมูลการซื้อขายย้อนหลัง 5 ปี, ข้อมูลความผันผวนของสต็อก, ข้อมูลเครดิตลูกค้า) คือ โรงเรียนฝึกสอน ชั้นดีที่สุดสำหรับโมเดล ML โมเดลเหล่านี้จะเรียนรู้จากรูปแบบในอดีตเพื่อ คาดการณ์ อนาคต เช่น การพยากรณ์ความต้องการของลูกค้า (Demand Forecasting) ที่แม่นยำกว่าการใช้สูตรสำเร็จแบบเก่า, หรือการวิเคราะห์เครดิตและพฤติกรรมลูกค้าที่มีความเสี่ยงสูงจากข้อมูลการขายใน ERP

3.2 Intelligent Automation (IA): เมื่อหุ่นยนต์และ AI ทำงานร่วมกัน

Intelligent Automation (IA) คือวิวัฒนาการขั้นต่อไปของระบบอัตโนมัติ โดยเกิดจากการรวมพลังระหว่าง RPA (Robotic Process Automation) ซึ่งเป็นหุ่นยนต์ซอฟต์แวร์ที่ทำงานซ้ำซากตามกฎเกณฑ์ (Rule-Based) เข้ากับ AI/ML ที่สามารถ ‘คิด’ และ ‘ตัดสินใจ’ ได้

การประยุกต์ใช้เพื่อ GRC และคุณค่าเพิ่ม:

  • การเงิน/บัญชี: IA ใช้ AI เพื่อ อ่าน, ทำความเข้าใจ, และตรวจสอบความถูกต้อง ของใบแจ้งหนี้จากภายนอก ก่อนจะนำไปป้อนเข้าสู่ระบบ ERP โดยอัตโนมัติ ซึ่งช่วยลดความผิดพลาด, ลดเวลาทำงานซ้ำซ้อน, และเพิ่ม Compliance (ตรวจสอบว่าข้อมูลตรงกับกฎเกณฑ์การจัดซื้อหรือไม่)
  • การผลิต: ML วิเคราะห์ข้อมูลการผลิตใน ERP (อุณหภูมิ, แรงดัน, ประสิทธิภาพเครื่องจักร) เพื่อทำนายว่าเครื่องจักรใดมีแนวโน้มจะเสียก่อนเวลา (Predictive Maintenance) ทำให้สามารถจัดตารางการซ่อมบำรุงใน ERP ได้อย่างชาญฉลาดและหลีกเลี่ยงการหยุดชะงักของสายการผลิต
  • Supply Chain: AI วิเคราะห์ข้อมูลการสั่งซื้อและสถานะสต็อกใน ERP แบบ Real-time เพื่อปรับแผนการขนส่งหรือการจัดซื้อจัดจ้างให้เหมาะสมกับสถานการณ์ที่ไม่คาดคิด

3.3 แนวโน้มในอนาคต: ERP กลายเป็นแพลตฟอร์มอัจฉริยะ

ในอนาคตอันใกล้ ระบบ ERP จะเปลี่ยนบทบาทจากแค่ ‘ระบบบันทึกและประมวลผล’ ไปเป็น ‘แพลตฟอร์มอัจฉริยะ’ (Intelligent Platform) ที่มี AI และ ML ฝังอยู่ทุกชั้นอย่างแยกไม่ออก การก้าวไปสู่ Cloud ERP และการใช้เทคโนโลยี In-Memory Computing ทำให้ระบบสามารถจัดการ Big Data และประมวลผลโมเดล AI ได้อย่างรวดเร็วและต่อเนื่อง นี่หมายความว่า ระบบ ERP จะไม่เพียงแค่บอกว่า “เกิดอะไรขึ้น” เท่านั้น แต่จะสามารถบอกได้ว่า “ทำไมถึงเกิดขึ้น” และ “ควรทำอย่างไรต่อไป”

บทสรุปสำหรับบุคลากร: ความสำเร็จในยุค IA ไม่ได้อยู่ที่การใช้ AI แทนมนุษย์ แต่เป็นการทำให้มนุษย์ทำงานร่วมกับ AI ได้อย่างมีประสิทธิภาพ ดังนั้น ความจำเป็นในการพัฒนาทักษะของบุคลากรให้มี Data Literacy (ความรู้ด้านข้อมูล) และเข้าใจถึงความสัมพันธ์ของ Data ใน ERP จึงมีความสำคัญอย่างยิ่ง เพื่อให้พวกเขาสามารถใช้ข้อมูลและเครื่องมืออัจฉริยะเหล่านี้ในการสร้างคุณค่าเพิ่มและขับเคลื่อน Governance ที่ยั่งยืนให้กับองค์กร

โดยเริ่มจากการสร้าง รากฐาน ด้วย ERP ในฐานะโครงสร้างร่างกายที่รวมทุกส่วนเข้าด้วยกัน (ตอนที่ 1), ตามมาด้วยการติดตั้ง ตรรกะและ Governance (GRC) ผ่าน Algorithm เพื่อสร้าง Data ที่ถูกต้องและเกี่ยวพันกัน (ตอนที่ 2) และมาถึงจุดสูงสุดของการพัฒนาด้วยการติดตั้ง สมองที่เรียนรู้ได้ ผ่าน AI, ML และ IA (ตอนที่ 3) ข้อสรุปที่ชัดเจนที่สุดคือ เทคโนโลยีอัจฉริยะไม่สามารถทำงานได้อย่างมีประสิทธิภาพหากไม่มีรากฐาน ERP ที่มั่นคงและข้อมูลที่เชื่อถือได้ การลงทุนใน AI โดยที่ข้อมูลยังไม่สะอาดหรือยังขาดการกำกับดูแลที่ดี (GRC) จึงเปรียบเหมือนการสร้างบ้านบนทราย การทำความเข้าใจที่ถูกต้องเกี่ยวกับ ERP, Algorithm, และความสัมพันธ์ของ Data ในทุกมิติ คือก้าวแรกและก้าวที่สำคัญที่สุดในการปฏิวัติองค์กรสู่การเป็น The Intelligent Enterprise อย่างแท้จริง

Leave a Comment » | AI กับ GRC | ติดป้ายกำกับ: , , | ลิงก์ถาวร
โพสต์โดย Metha Suvanasarn

The Intelligent Enterprise: ปฏิวัติธุรกิจด้วย ERP, Algorithm, และพลังขับเคลื่อนแห่ง AI/IA ตอนที่ 2

พฤศจิกายน 28, 2025

ตอนที่ 2: หัวใจของการคิด: GRC, Algorithm และความถูกต้องของ Data ใน ERP

ในตอนที่ 1 : รากฐานดิจิทัล นั้น เราได้สร้างความเข้าใจร่วมกันว่า ERP คือโครงสร้างร่างกายและระบบประสาทที่เชื่อมโยงทุกส่วนขององค์กรเข้าด้วยกันอย่างแยกไม่ได้ และเป็นผู้สร้าง Data ที่มีคุณภาพ แต่ข้อมูลที่ไหลเวียนในระบบนั้นจะมีความน่าเชื่อถือและนำไปสู่การบริหารความเสี่ยงได้อย่างไร? คำตอบคือ Algorithm (อัลกอริทึม) และ GRC (Governance, Risk, Compliance) บทความตอนนี้จะพาเราเจาะลึกเข้าไปใน ‘สมอง’ ของระบบ ERP เพื่อทำความเข้าใจว่าชุดคำสั่งและตรรกะเหล่านี้กำหนด ความถูกต้อง (Data Integrity) และ ความเกี่ยวพัน (Interconnectivity) ของข้อมูลทางธุรกิจและการบริหารได้อย่างไร ซึ่งเป็นหัวใจสำคัญของการกำกับดูแลองค์กรอย่างมีประสิทธิภาพ

เมื่อองค์กรมีรากฐาน ERP ที่มั่นคง ข้อมูลทั้งหมดก็ไหลรวมกันเป็นหนึ่งเดียวเหมือน ‘ระบบไหลเวียนโลหิต’ ในร่างกาย แต่การที่ข้อมูลเหล่านี้จะถูกนำไปใช้ในการตัดสินใจได้อย่างปลอดภัยและโปร่งใส ต้องอาศัยการกำกับดูแลที่เข้มงวด นั่นคือบทบาทของ GRC ที่ต้องทำงานร่วมกับ Algorithm การที่หลายองค์กรประสบปัญหาในการใช้ข้อมูลจาก ERP เป็นเพราะความไม่เข้าใจว่า Algorithm ในระบบได้กำหนด ตรรกะ และ กฎเกณฑ์ แห่งความถูกต้องทาง Data ไว้แล้วอย่างละเอียดอ่อน ปัญหานี้มักนำไปสู่ความเข้าใจที่แตกต่างกันระหว่างสายงาน ทำให้เกิดการแก้ปัญหาที่มองข้ามความสัมพันธ์ของข้อมูลในมิติอื่น ๆ เราจะมาดูกันว่า Algorithm พื้นฐานทำงานอย่างไร และมันคือพลังสำคัญในการทำให้ Data ใน ERP สามารถใช้ในการบริหารแบบ Integrated Management และรองรับ GRC ได้อย่างสมบูรณ์ได้อย่างไร

2.1 ปัญหาความเข้าใจที่ต่างกัน: ERP กับ GRC (Governance, Risk, Compliance)

หลายครั้งที่ผู้บริหารหรือผู้ปฏิบัติงานมองว่า GRC เป็นเพียง ‘ภาระ’ หรือ ‘งานเอกสาร’ ที่ต้องทำเพิ่มเติม แต่ในบริบทของ ERP นั้น GRC คือส่วนที่ถูกฝังอยู่ในกระบวนการทำงานหลัก (Embedded GRC) Governance (ธรรมาภิบาล/การกำกับดูแล) คือการที่ระบบ ERP มี Algorithm ในการควบคุมและอนุมัติธุรกรรมต่าง ๆ อย่างชัดเจนและโปร่งใส เช่น การอนุมัติการสั่งซื้อที่ต้องผ่านลำดับชั้นที่กำหนดไว้ล่วงหน้า Risk (ความเสี่ยง) คือการใช้ Data ที่ถูกบูรณาการและถูกตรวจสอบโดยระบบเพื่อประเมินความเสี่ยง เช่น การใช้ข้อมูลการเงินและสต็อกเพื่อคำนวณความเสี่ยงสภาพคล่อง Compliance (การปฏิบัติตามกฎ) คือการที่ Algorithm ในระบบถูกตั้งค่าให้ปฏิบัติตามกฎหมายหรือข้อบังคับทางธุรกิจ (เช่น ภาษี, มาตรฐานบัญชี) โดยอัตโนมัติ ปัญหาที่พบบ่อย คือความเข้าใจที่แตกต่างกันในแต่ละสายงานเกี่ยวกับ ‘กฎ’ ที่ระบบกำหนดไว้ ทำให้เมื่อเกิดปัญหา ข้อมูลที่ถูกป้อนเข้ามานั้นไม่สอดคล้องกับตรรกะที่ควรจะเป็น ส่งผลให้ระบบ GRC ที่ฝังอยู่ใน ERP ไม่สามารถทำงานได้อย่างเต็มประสิทธิภาพ

2.2 Algorithm: Logic ที่กำหนดความถูกต้องและความเกี่ยวพันของ Data

Algorithm ไม่ใช่เรื่องซับซ้อน แต่คือ ชุดคำสั่งหรือตรรกะ ที่กำหนดว่าข้อมูลที่ถูกป้อนเข้าไปควรจะถูกประมวลผล จัดเก็บ และเชื่อมโยงกับข้อมูลอื่นอย่างไรในระบบ ERP นี่คือหัวใจสำคัญของการสร้างความถูกต้องของ Data และความเกี่ยวพันในทุกมิติ ตัวอย่างเช่น: เมื่อมีการบันทึกการผลิตสินค้า (Production Order) Algorithm จะตรวจสอบทันทีว่า:

  1. มีวัตถุดิบเพียงพอในสต็อกหรือไม่ (ความถูกต้อง ของปริมาณ)
  2. หักวัตถุดิบออกจากบัญชีสต็อกและบันทึกเป็นต้นทุนการผลิตทันที (ความเกี่ยวพัน ทางบัญชี)
  3. อัปเดตสถานะของใบสั่งผลิตและแจ้งไปยังฝ่ายขาย (ความเกี่ยวพัน ทางการปฏิบัติงาน)

ข้อมูลทางธุรกิจและการบริหารทุกประเภท จะต้องผ่านกระบวนการเหล่านี้เพื่อยืนยันความถูกต้องทาง Data และความเกี่ยวพันในทุกมิติ การทำความเข้าใจ Algorithm เหล่านี้ ทำให้ผู้บริหารตระหนักว่าปัญหาข้อมูลที่ผิดพลาดมักไม่ได้เกิดจาก ‘โปรแกรมเสีย’ แต่เกิดจากการป้อนข้อมูลที่ไม่เป็นไปตาม ‘ตรรกะ’ หรือ ‘กฎ’ ที่ระบบกำหนดไว้ตั้งแต่แรก ซึ่งส่งผลกระทบต่อทั้ง Governance และการประเมิน Risk ทันที

2.3 การบริหารแบบบูรณาการ (Integrated Management) ด้วย ERP Data

เมื่อ Algorithm ทำงานได้อย่างสมบูรณ์ในการทำให้ Data มีความถูกต้องและเกี่ยวพันกันในทุกมิติ ข้อมูลทั้งหมดจะรวมกันเป็น Single Source of Truth ที่ปราศจากข้อขัดแย้ง นี่คือพลังของการบริหารแบบบูรณาการ (Integrated Management) ที่ผู้บริหารไม่จำเป็นต้องรอการรวบรวมข้อมูลจากหลายฝ่ายหรือหลายบริษัทอีกต่อไป ทุกสายงานสามารถใช้ Dashboard ชุดเดียว ในการตัดสินใจข้ามฟังก์ชัน (Cross-Functional Decisions) ตัวอย่างเช่น: การใช้ข้อมูลการผลิต (จากโมดูล Production) และข้อมูลการเงิน (จากโมดูล Finance) มาวิเคราะห์ต้นทุนการผลิตแบบ Real-time เพื่อกำหนดราคาสินค้าเชิงกลยุทธ์ได้อย่างรวดเร็ว

การแก้ปัญหาที่ต้นเหตุ: การที่ทุก Transaction ถูกบันทึกและเชื่อมโยงด้วย Algorithm ใน ERP ทำให้สามารถทำ การตรวจสอบย้อนกลับ (Traceability) ได้ง่ายและรวดเร็ว เมื่อมีปัญหา ผู้บริหารสามารถสืบหาได้ทันทีว่าความผิดพลาดของข้อมูล (เช่น ข้อมูลสต็อกไม่ตรง) เกิดขึ้นที่กระบวนการใดในระบบ และแก้ไขที่จุดเริ่มต้นนั้น ไม่ใช่การมาปรับปรุงตัวเลขในรายงานปลายทาง ซึ่งช่วยสร้างความเชื่อมั่นในข้อมูลและส่งเสริม GRC ได้อย่างยั่งยืน

ในตอนนี้ เราได้เห็นแล้วว่า Algorithm คือ ตรรกะแห่งความถูกต้องและความเกี่ยวพัน ที่ถูกฝังอยู่ในระบบ ERP และเป็นกลไกสำคัญในการขับเคลื่อน GRC และการบริหารแบบบูรณาการ ข้อมูลที่ถูกกรองและเชื่อมโยงอย่างเป็นระบบนี้คือสิ่งที่สร้างคุณค่าเพิ่มและ Governance ที่เราต้องการอย่างแท้จริง อย่างไรก็ตาม Algorithm ที่เราพูดถึงในตอนนี้ ส่วนใหญ่ยังคงเป็น ‘ตรรกะที่มนุษย์กำหนด’ (Rule-Based Logic) ซึ่งมีข้อจำกัดในการรับมือกับความซับซ้อนและความผันผวนของโลกธุรกิจสมัยใหม่ คำถามคือ: เราจะทำอย่างไรให้ระบบ ERP ของเราสามารถคิด, คาดการณ์, และเรียนรู้ได้ด้วยตนเอง? นี่คือการก้าวข้ามจาก Algorithm แบบดั้งเดิม สู่การใช้ AI (Artificial Intelligence) และ Machine Learning (ML) ในการสร้างระบบอัตโนมัติอัจฉริยะ โปรดติดตาม ‘ตอนที่ 3: จุดสูงสุดแห่งวิวัฒนาการ: จาก Algorithm สู่ AI, Machine Learning และ IA’ เพื่อสำรวจว่าเราจะนำพลังแห่ง Data และ Logic ที่สร้างไว้ใน ERP มาปลดล็อกศักยภาพของ AI/IA ได้อย่างไร

Leave a Comment » | AI กับ GRC | ติดป้ายกำกับ: , , , , , , | ลิงก์ถาวร
โพสต์โดย Metha Suvanasarn

The Intelligent Enterprise: ปฏิวัติธุรกิจด้วย ERP, Algorithm, และพลังขับเคลื่อนแห่ง AI/IA ตอนที่ 1

พฤศจิกายน 19, 2025

ตอนที่ 1: รากฐานดิจิทัล: ERP, โครงสร้างร่างกายองค์กร และความเข้าใจสำหรับทุกคน

ในยุคที่ ‘ข้อมูล’ ถูกยกให้เป็นสินทรัพย์ที่มีค่าที่สุด การสร้างระบบที่สามารถจัดการและทำให้ข้อมูลนั้นมีความถูกต้องและเกี่ยวพันกันจึงเป็นหัวใจสำคัญอย่างยิ่ง หลายองค์กรลงทุนในเทคโนโลยีอัจฉริยะอย่าง AI หรือ Machine Learning แต่กลับมองข้ามรากฐานที่มั่นคงอย่าง ERP (Enterprise Resource Planning) ไปเสียก่อน บทความตอนนี้จะพาคุณย้อนกลับไปทำความเข้าใจถึงแก่นแท้ของ ERP ว่าแท้จริงแล้วมันคืออะไร และทำไมการมีความเข้าใจที่ถูกต้องตั้งแต่ระดับคณะกรรมการไปจนถึงผู้ปฏิบัติงาน จึงเป็นกุญแจดอกแรกที่นำไปสู่การสร้างคุณค่าเพิ่มและ Governance (GRC) ที่เข้มแข็ง ก่อนที่เราจะก้าวไปถึงโลกของ Algorithm และ AI อย่างสมบูรณ์

การเดินทางสู่การเป็น ‘องค์กรอัจฉริยะ’ (Intelligent Enterprise) ไม่ได้เริ่มต้นที่การซื้อซอฟต์แวร์ AI ราคาแพง แต่เริ่มต้นที่การจัดระเบียบบ้านของตัวเองให้เรียบร้อย นั่นคือการทำความเข้าใจและใช้ประโยชน์จากระบบ ERP อย่างแท้จริง ตลอดตอนนี้ เราจะเจาะลึกว่า ERP คืออะไรในมุมมองของ Stakeholders ทุกระดับ และนำเสนอภาพเปรียบเทียบที่ทรงพลัง: องค์กรเปรียบเสมือนร่างกายมนุษย์ ที่ทุกส่วนเชื่อมโยงกันอย่างแยกไม่ได้ ความไม่เข้าใจหรือการมอง ERP เป็นแค่ระบบบัญชีเท่านั้น คือการแก้ปัญหาที่ปลายน้ำโดยไม่สนใจแหล่งกำเนิดข้อมูล (Data Source) เราจะแสดงให้เห็นว่า การมีรากฐาน ERP ที่ถูกต้อง คือการสร้าง Clean Data ซึ่งเป็นเชื้อเพลิงเดียวที่ AI ต้องการเพื่อสร้างคุณค่าเพิ่มและขับเคลื่อนการบริหารแบบ Integrated Management

1.1 ERP คืออะไรในมุมมองของ Stakeholders

ERP ไม่ใช่แค่ระบบบัญชี หรือระบบสำหรับฝ่ายผลิตเท่านั้น คำกล่าวนี้เป็นจริงอย่างยิ่ง แต่ความเข้าใจที่คลาดเคลื่อนนี้เองที่นำไปสู่ปัญหามากมายในองค์กร สำหรับ คณะกรรมการ (Board) และ ผู้บริหารระดับสูง (C-Level) ERP คือเครื่องมือในการสร้าง Governance และการตัดสินใจเชิงกลยุทธ์ เพราะมันรวมศูนย์ข้อมูลทางการเงิน ประสิทธิภาพการดำเนินงาน และความเสี่ยงไว้ในที่เดียว ทำให้การกำกับดูแลเป็นไปตามนโยบายได้อย่างชัดเจนและโปร่งใส ในขณะที่ ผู้ปฏิบัติงาน ERP คือเครื่องมือที่สร้างมาตรฐานให้กับกระบวนการทำงาน ลดความซ้ำซ้อน และลดโอกาสเกิดข้อผิดพลาด การมอง ERP เป็นเพียงซอฟต์แวร์ตัวหนึ่ง แทนที่จะมองเป็น ระบบรวมศูนย์กระบวนการ ทำให้องค์กรลงทุนอย่างหนัก แต่กลับยังคงติดอยู่กับการแก้ปัญหาเล็กๆ น้อยๆ ที่ปลายเหตุ (เช่น รายงานไม่ตรง, สต็อกผิดพลาด) โดยไม่เคยกลับไปแก้ที่ ต้นเหตุ ซึ่งคือการป้อนข้อมูลที่ไม่ถูกต้องตั้งแต่ต้น (Source Data Integrity)

1.2 องค์กรเปรียบเสมือนร่างกายมนุษย์: การบูรณาการที่แยกกันไม่ได้

ลองพิจารณาร่างกายมนุษย์ที่มีอวัยวะมากกว่า 200 ส่วน ตั้งแต่ระบบประสาท, หัวใจ, ปอด, ตับ ไปจนถึงกล้ามเนื้อและกระดูก อวัยวะทุกส่วนเหล่านี้แม้จะทำงานต่างกัน แต่ถูกเชื่อมโยงด้วย ‘ระบบประสาท’ และ ‘ระบบไหลเวียนโลหิต’ ที่ประสานงานกันอย่างสมบูรณ์แบบ หากมีส่วนใดส่วนหนึ่งทำงานผิดปกติ ย่อมส่งผลกระทบต่อส่วนอื่น ๆ ไม่ทางตรงก็ทางอ้อม องค์กรก็เช่นกัน การเงิน, การผลิต, การตลาด, และ HR เปรียบเสมือนอวัยวะสำคัญ และ ERP คือระบบประสาทและระบบไหลเวียนโลหิตขององค์กร มันคือสิ่งที่ทำให้เมื่อฝ่ายขายทำรายการสั่งซื้อ ข้อมูลจะวิ่งไปอัปเดตสต็อกในคลัง, บันทึกเป็นรายได้ในบัญชี, และแจ้งเตือนฝ่ายผลิตให้เตรียมการทันที นี่คือ ความเกี่ยวพันของ Data ในทุกมิติทุกมุมมอง ที่ระบบ ERP สร้างขึ้น การบริหารทุกสายงานจึงไม่สามารถแยกออกจากกันได้ ถ้าข้อมูลในคลังสินค้าไม่ถูกต้อง ข้อมูลทางการเงินก็จะผิดพลาดตามไปด้วย และความผิดพลาดนี้จะทวีคูณเมื่อเราพูดถึงองค์กรขนาดใหญ่ที่มีหลายบริษัท หรือแม้กระทั่งหน่วยงานที่เกี่ยวกับการบริหารประเทศ ซึ่งต้องการการบูรณาการข้อมูลเพื่อการบริหารจัดการที่มีประสิทธิภาพและสร้าง Governance ร่วมกัน

1.3 ERP และการสร้างรากฐาน Data สู่คุณค่าเพิ่ม

เป้าหมายสูงสุดของการลงทุนใน ERP คือการเปลี่ยน ข้อมูลดิบ ให้เป็น คุณค่าเพิ่ม ให้กับ Stakeholders ทุกประเภท การที่ข้อมูลทั้งหมดมีความเกี่ยวพันกันและถูกตรวจสอบโดยกฎเกณฑ์ของระบบ ทำให้ได้ข้อมูลที่มีความ ถูกต้อง (Data Integrity) และ เชื่อถือได้ (Reliable) ข้อมูลที่เชื่อถือได้นี้คือ รากฐานที่แข็งแกร่ง และเป็น วัตถุดิบคุณภาพสูง ที่พร้อมให้ผู้บริหารใช้ในการตัดสินใจเชิงกลยุทธ์ เช่น การวิเคราะห์ความสามารถในการทำกำไรของผลิตภัณฑ์แต่ละตัว หรือการพยากรณ์ความต้องการของตลาดได้อย่างแม่นยำ นี่คือการเปลี่ยนผ่านจากการใช้สัญชาตญาณในการบริหาร ไปสู่การใช้ Data-Driven Management ซึ่งเป็นพื้นฐานสำคัญที่สุดก่อนจะคิดถึงการใช้เทคโนโลยีที่ซับซ้อนอย่าง AI ถ้า Data ใน ERP ไม่ Clean, ไม่ Integrated, และไม่ Governance ดีพอ สิ่งที่เราจะนำไปป้อนให้ AI เรียนรู้ ก็จะเป็นแค่ ‘ขยะข้อมูล’ เท่านั้น

เราได้เห็นแล้วว่า ERP ไม่ใช่แค่ทางเลือก แต่เป็นรากฐานที่สำคัญในการสร้าง Data ที่มีคุณภาพ มีความเกี่ยวพันกัน และสร้าง Governance ที่ทุกคนทุกระดับต้องมีความเข้าใจที่ตรงกัน เพื่อหลีกเลี่ยงการแก้ปัญหาที่ปลายเหตุและมุ่งเน้นการสร้างคุณค่าเพิ่มให้องค์กร การทำให้องค์กรเป็นเหมือน ร่างกายมนุษย์ที่สมบูรณ์แบบ ด้วยการบูรณาการทุกฟังก์ชันเข้าด้วยกันผ่านระบบ ERP คือการเตรียมพร้อมที่สำคัญที่สุด แต่การมีข้อมูลที่เชื่อมโยงกันเพียงอย่างเดียวไม่พอ เราต้องมี ‘ตรรกะ’ ในการประมวลผลด้วย ข้อมูลใน ERP จะมีพลังอย่างแท้จริงเมื่อมันถูกขับเคลื่อนด้วย Algorithm ที่รัดกุม ซึ่งเป็นหัวใจสำคัญของ GRC ที่จะทำให้ข้อมูลมีความถูกต้องและสามารถนำไปสู่การบริหารความเสี่ยงได้อย่างแม่นยำ โปรดติดตาม ‘ตอนที่ 2: หัวใจของการคิด: GRC, Algorithm และความถูกต้องของ Data ใน ERP’ ซึ่งเราจะเจาะลึกว่า Algorithm คืออะไร และถูกนำมาใช้กำหนดตรรกะและกฎเกณฑ์ในการกำกับดูแลข้อมูลอย่างไร

Leave a Comment » | AI กับ GRC | ติดป้ายกำกับ: , , , , , | ลิงก์ถาวร
โพสต์โดย Metha Suvanasarn

กรอบการทำงานการตรวจสอบปัญญาประดิษฐ์ (Artificial Intelligence Auditing Framework) ตอนที่ 3-2 (ตอนจบ)

ตุลาคม 3, 2025

สำหรับโพสต์นี้เป็นส่วนสุดท้ายหรือตอนจบของเนื้อหากรอบการทำงานการตรวจสอบปัญญาประดิษฐ์ (Artificial Intelligence Auditing Framework) ซึ่งเราจะมาเจาะลึกถึงรายละเอียดของการบริหารจัดการความเสี่ยงด้าน AI กันต่อครับ ท่านใดที่ยังไม่ได้ดูเนื้อหาก่อนหน้านี้ สามารถย้อนกลับไปดูได้ที่ กรอบการตรวจสอบ AI: การกำกับดูแลและการจัดการ (ตอนที่ 1) เพื่อความเข้าใจที่ต่อเนื่องครับ

ตอนที่ 3: กรอบการตรวจสอบ AI: การจัดการความเสี่ยงและการตรวจสอบ (ตอนที่ 2)

ทรัพยากรด้านไอทีเพื่อสนับสนุน AI

การใช้ AI จำเป็นต้องมีการเพิ่มประสิทธิภาพทรัพยากรด้านไอทีอย่างเหมาะสม ซึ่งฝ่ายบริหารควรจัดสรรงบประมาณไว้ด้วย เนื่องจาก AI ต้องการประสิทธิภาพของสินทรัพย์คอมพิวเตอร์ที่เข้มข้น เพื่อรองรับการประมวลผลที่น่าเชื่อถือ ตัวอย่างความสามารถของทรัพยากรด้านไอทีที่ใช้เพื่อสนับสนุนโครงการริเริ่มด้าน AI ขององค์กร ได้แก่:

  • Central Processing Units (CPU): หรือ “สมอง” ของคอมพิวเตอร์ ทำหน้าที่ประมวลผลคำสั่งหรือคำสั่ง
  • Graphics Processing Units (GPU): สมองที่มีความสามารถมากกว่า สามารถประมวลผลข้อมูลจำนวนมากพร้อมกันได้ และมีความสามารถในการคำนวณทางคณิตศาสตร์เพิ่มเติม มักใช้ในงาน AI ที่เกี่ยวกับการสร้างสรรค์ภาพ
  • Storage: พื้นที่จัดเก็บข้อมูลที่ AI ต้องการสำหรับการประมวลผล โดยทั่วไปวัดเป็นเทราไบต์ (1,000 กิกะไบต์) หรือเพตาไบต์ (1,000 เทราไบต์)
  • Memory (RAM): หรือหน่วยความจำเข้าถึงแบบสุ่ม เป็นพื้นที่จัดเก็บข้อมูลระยะสั้นที่เข้าถึงได้เร็วกว่า Storage ยิ่ง AI ที่ทำงานมีความซับซ้อนมากเท่าไหร่ ก็ยิ่งต้องใช้ RAM มากขึ้นเท่านั้น
  • Supercomputers: คอมพิวเตอร์ที่มีการประมวลผลเร็วที่สุด ใช้สำหรับการคำนวณประสิทธิภาพสูงและมี CPU หลายตัว
  • Workstations: รวมถึงคอมพิวเตอร์ตั้งโต๊ะและแล็ปท็อปที่มีข้อกำหนดทางเทคนิคที่รองรับความต้องการของ AI ที่ใช้งาน
  • Software: แพลตฟอร์ม, โปรแกรม และแอปพลิเคชันที่ใช้ในการพัฒนา, นำไปใช้ และจัดการ AI ตัวอย่างเช่น Microsoft Azure AI, IBM Watsonx.ai และ Google Cloud AI Platform
  • Networking Connectivity: เป็นหมวดหมู่กว้าง ๆ ที่รวมฮาร์ดแวร์, ซอฟต์แวร์ และบริการที่ช่วยให้ผู้ใช้สามารถแบ่งปันทรัพยากรดิจิทัลและแลกเปลี่ยนข้อมูลได้

แม้ผู้ตรวจสอบภายในไม่จำเป็นต้องรู้ข้อกำหนดทางเทคนิคและรายละเอียดทั้งหมดของ AI แต่ควรมีความรู้พื้นฐานเกี่ยวกับทรัพยากรด้านไอที

บุคลากรและการฝึกอบรม

การจัดบุคลากรที่เหมาะสมเป็นองค์ประกอบสำคัญของกลยุทธ์ AI ขององค์กร ฝ่ายทรัพยากรบุคคลควรทำงานร่วมกับฝ่ายบริหาร เพื่อให้แน่ใจว่ามีการสรรหาพนักงานที่มีประสบการณ์ด้าน AI ที่จำเป็นทั่วทั้งองค์กร โดยควรให้ความสำคัญกับประสบการณ์ด้าน AI ไม่เพียงแค่พนักงานที่รับผิดชอบการจัดการ AI ในแต่ละวัน แต่ยังรวมถึงผู้นำที่จะกำกับดูแลโครงการริเริ่มด้าน AI ด้วย

เนื่องจาก AI มีการพัฒนาอย่างรวดเร็ว องค์กรจึงต้องแน่ใจว่าพนักงานตระหนักถึงความก้าวหน้าและความเสี่ยงที่เกี่ยวข้อง ควรมีการฝึกอบรมสร้างความตระหนักรู้ทั่วไปเกี่ยวกับ AI ให้แก่พนักงานทุกคน และจัดโอกาสในการฝึกอบรมทางเทคนิคมากขึ้นสำหรับพนักงานที่มุ่งเน้นโครงการริเริ่มด้าน AI

การฝึกอบรมเกี่ยวกับนโยบายการใช้ AI อย่างเป็นทางการ, การรวมเรื่อง AI ไว้ในคู่มือพนักงาน และการปฐมนิเทศพนักงานใหม่ เป็นวิธีที่ดีในการเพิ่มความตระหนักรู้ขององค์กรเกี่ยวกับ AI รวมถึงความเสี่ยงที่อาจเกิดขึ้น การบูรณาการโครงการฝึกอบรมที่มุ่งเน้น AI, ความรู้ด้านดิจิทัล, นโยบายและขั้นตอนการปฏิบัติงานขององค์กร และโอกาสในการยกระดับทักษะ จะช่วยสนับสนุนโครงการริเริ่มด้าน AI ผ่านการลงทุนโดยตรงในพนักงานปัจจุบันและพนักงานใหม่ การนำไปใช้และผลลัพธ์ของโครงการริเริ่มเหล่านี้ ควรได้รับการตรวจสอบโดยการตรวจสอบภายใน ซึ่งเป็นส่วนหนึ่งของการควบคุม AI ขององค์กร

การดำเนินการ: การจัดการความเสี่ยงโดย First and Second Lines

ในตอนที่ 2 ได้กล่าวถึงความสำคัญของการระบุความเสี่ยงด้าน AI ที่เกี่ยวข้องกับความปลอดภัย, ความสมบูรณ์, ความเป็นส่วนตัว และการรักษาความลับของข้อมูล ซึ่งการจัดการข้อกังวลเหล่านี้ ควรเป็นจุดเน้นเมื่อองค์กรดำเนินโครงการ AI อัลกอริทึม AI อาศัยข้อมูลที่ถูกต้องและเชื่อถือได้ ดังนั้นทีมงานโครงการควรติดตามข้อมูลที่ป้อนเข้าอย่างใกล้ชิด องค์กรมีหลายวิธีในการตรวจสอบความครบถ้วนของข้อมูลที่ใช้ในโครงการ AI รวมถึงการตรวจสอบยอดรวมของบันทึกว่าตรงกันหรือไม่ และการวิเคราะห์รายงานข้อผิดพลาดเมื่อข้อมูลถูกโอนย้ายระหว่างระบบ ฝ่ายบริหารควรออกแบบและติดตามการควบคุมภายในที่สามารถตรวจจับความผิดปกติของคุณภาพ หรือความครบถ้วนของข้อมูลได้

ข้อพิจารณาที่สำคัญอื่น ๆ เกี่ยวกับข้อมูล ได้แก่ การจำกัดสิทธิ์การเข้าถึงเฉพาะพนักงานที่ทำงานในโครงการ AI รวมถึงสิทธิ์การเข้าถึงของผู้ดูแลระบบ การกำหนดบทบาทของผู้ใช้ และการแยกหน้าที่ (Segregation of Duties) ที่เหมาะสมก็เป็นสิ่งสำคัญเช่นกัน ตัวอย่างเช่น ผู้ดูแลระบบฐานข้อมูลที่ดูแลข้อมูลที่ป้อนเข้าไม่ควรมีสิทธิ์ในการแก้ไขอัลกอริทึมที่ประมวลผลข้อมูลนั้น ซึ่งเป็นหน้าที่ความรับผิดชอบของนักพัฒนา

เมื่อมีการนำโครงการ AI ไปใช้ สิ่งสำคัญคือ องค์กรต้องแน่ใจว่าโครงการนั้นมีความโปร่งใส, อธิบายได้, มีความรับผิดชอบ และตรวจสอบได้:

  • ความโปร่งใส (Transparency): สามารถเข้าใจวัตถุประสงค์ของ AI หรืออัลกอริทึมได้ง่ายในแง่ที่เรียบง่าย
  • การอธิบายได้ (Explainability): สามารถอธิบายกลไก, การคำนวณ หรือผลลัพธ์ที่ประมวลผลโดย AI หรืออัลกอริทึมได้
  • ความรับผิดชอบ (Responsibility): ใช้ AI หรืออัลกอริทึมในลักษณะที่มีจริยธรรม, ปลอดภัย, เป็นธรรม และน่าเชื่อถือ
  • การตรวจสอบได้ (Auditability): เมื่อแอปพลิเคชัน AI เริ่มเข้ามาแทนที่ หรือเสริมกระบวนการทางธุรกิจที่สำคัญ ควรมีการรักษาความสามารถในการตรวจสอบย้อนกลับ ผ่านบันทึกการตรวจสอบที่มีประสิทธิภาพ เนื่องจากอาจจำเป็นต้องมีการให้ความเชื่อมั่นในกระบวนการเหล่านี้

การจัดการโครงการ AI ควรระบุรายละเอียดดังต่อไปนี้สำหรับแต่ละโครงการ:

  • วัตถุประสงค์, บทบาท และกำหนดเวลา: โครงการนี้มีจุดมุ่งหมายเพื่อบรรลุอะไร, ใครมีส่วนร่วม และเมื่อไหร่ที่เกิดขึ้น
  • ข้อกำหนดด้านทรัพยากร: ทรัพยากรเทคโนโลยีและ/หรือบุคลากรที่จำเป็นต่อความสำเร็จ
  • ข้อกำหนดด้านข้อมูล: ข้อมูลที่ป้อนเข้าที่ AI หรืออัลกอริทึมต้องการ
  • ข้อกำหนดด้านความเป็นส่วนตัว, กฎหมาย และกฎระเบียบ: ข้อกำหนดในการปฏิบัติตามที่เกี่ยวข้อง
  • การประเมินความเสี่ยง: ความเสี่ยงที่เกี่ยวข้องที่คุกคามการบรรลุวัตถุประสงค์ของโครงการ หรือผลลัพธ์ที่ไม่พึงประสงค์ เช่น ความลำเอียง, การปฏิบัติที่ไม่เป็นธรรม หรือการใช้ในทางที่ผิด
  • ตัวชี้วัดความสำเร็จหรือ KPI: วิธีการติดตามและวัดผลความสำเร็จของโครงการ
  • ข้อกำหนดในการทดสอบ: การตรวจสอบเพื่อยืนยันว่า AI หรืออัลกอริทึมทำงานตามที่ออกแบบไว้ รวมถึงการระบุและสื่อสารปัญหาที่เกิดขึ้น

การติดตามโครงการ AI อย่างต่อเนื่อง ควรดำเนินการโดยฝ่ายบริหารเพื่อให้แน่ใจว่าโครงการดำเนินไปตามแผนและเพื่อระบุปัญหาหรือข้อกังวลใด ๆ ที่เกิดขึ้น ฝ่ายบริหารมีบทบาทสำคัญในสภาพแวดล้อมการควบคุมภายใน ด้วยการจัดให้มีระดับการดำเนินการแรกเพื่อลดความเสี่ยง การติดตามในระดับโครงการมีความสำคัญ เนื่องจากเป็นจุดแรกที่สามารถตรวจพบปัญหาได้

การสนับสนุนจาก Second Line ในการบริหารความเสี่ยง

เป้าหมายหลักของกระบวนการบริหารความเสี่ยงระดับองค์กรคือ การทำความเข้าใจว่าความเสี่ยงอาจคุกคามการบรรลุวัตถุประสงค์ได้อย่างไร จากนั้นจึงดำเนินการเพื่อลดความเสี่ยงเหล่านั้น AI มักถูกพิจารณาว่าเป็นความเสี่ยงทางเทคโนโลยี แต่สิ่งสำคัญคือต้องตระหนักว่าความเสี่ยงของ AI สามารถอยู่ในหมวดหมู่ใด ๆ ก็ได้ เช่น ความเสี่ยงเชิงกลยุทธ์, การเงิน, สังคม, จริยธรรม, กฎหมาย และการกำกับดูแล

กรอบการตรวจสอบ AI ของ IIA ให้ข้อพิจารณาด้านการจัดการความเสี่ยง เพื่อสนับสนุนโครงการ AI ขององค์กรในการปฏิบัติตามแนวทางที่ดีที่สุดเกี่ยวกับ AI ซึ่งรวมถึงการพิจารณาใช้กรอบการทำงานอื่น ๆ ที่มีอยู่ เช่น NIST’s Artificial Intelligence Risk Management Framework ผู้ตรวจสอบภายในมักจะทำงานร่วมกับผู้เชี่ยวชาญด้านการบริหารความเสี่ยงในกิจกรรมต่าง ๆ เช่น กระบวนการประเมินความเสี่ยงประจำปีขององค์กร ดังนั้นจึงเป็นสิ่งสำคัญอย่างยิ่งที่ผู้ตรวจสอบภายในต้องเข้าใจความเสี่ยงที่เกี่ยวข้องกับ AI และเพิ่มฐานความรู้อย่างต่อเนื่อง

การระบุความเสี่ยง

การระบุความเสี่ยงที่เกี่ยวข้องกับ AI อาจเป็นงานใหม่สำหรับหลายองค์กร โดยในอุดมคติแล้ว การบริหารความเสี่ยงระดับองค์กร (รวมถึงการตรวจสอบภายใน, การปฏิบัติตามกฎระเบียบ และฝ่ายกฎหมาย) จะมีส่วนร่วมในการหารือเริ่มต้นของโครงการริเริ่มด้าน AI ทั้งหมด เพื่อช่วยกำหนดกรอบความเสี่ยงที่เกี่ยวข้องกับโครงการ AI

องค์กรที่มีกระบวนการประเมินความเสี่ยงทั่วทั้งองค์กรที่มั่นคงแล้ว ควรพิจารณาทำการประเมินความเสี่ยงที่มุ่งเน้น AI เป็นครั้งแรก หากไม่สามารถทำการประเมินความเสี่ยง AI แยกต่างหากได้ อย่างน้อยที่สุดองค์กรควรแน่ใจว่าได้รวม AI ไว้ในกระบวนการประเมินความเสี่ยงโดยรวม

สำหรับองค์กรที่มีกลยุทธ์ AI ที่ชัดเจน พร้อมด้วยวัตถุประสงค์และเป้าหมายที่กำหนดไว้ จะเป็นบริบทที่ฝ่ายบริหารความเสี่ยงระดับองค์กรต้องการเพื่อช่วยในการระบุความเสี่ยง AI บริบทนี้ช่วยให้ฝ่ายบริหารความเสี่ยงระดับองค์กรสามารถจัดทำรายการความเสี่ยงที่คุกคามการบรรลุวัตถุประสงค์และเป้าหมายเหล่านั้นได้ ทำให้องค์กรสามารถฝังมาตรการป้องกันอันตรายที่อาจเกิดขึ้นจากการใช้ AI ไว้ในแผนกลยุทธ์ของตนได้

อย่างไรก็ตาม สิ่งสำคัญคือต้องตระหนักว่าภูมิทัศน์ความเสี่ยงเกี่ยวกับ AI ยังคงเปลี่ยนแปลงอย่างรวดเร็ว ทำให้เกิดผลลัพธ์เชิงลบที่ไม่พึงประสงค์จากความเสี่ยงที่ไม่ได้คำนึงถึง ซึ่งอาจรวมถึง:

  • ผลลัพธ์ที่มีอคติหรือเลือกปฏิบัติที่อาจส่งผลกระทบอย่างไม่เป็นธรรมต่อบางส่วนของประชากร
  • การประนีประนอมความเป็นส่วนตัวหรือการรักษาความลับ
  • การขาดความรับผิดชอบ
  • การขาดความโปร่งใสและการอธิบายได้
  • อันตรายทางการเงินหรือความเหลื่อมล้ำทางเศรษฐกิจ
  • อันตรายต่อสิ่งแวดล้อม
  • ข้อมูลที่ผิดหรือการบิดเบือน
  • การละเมิดลิขสิทธิ์

“กล่องดำ” (The Black Box)

แม้ว่ากระบวนการระบุ, ประเมิน และลดความเสี่ยงส่วนใหญ่สำหรับโครงการ AI จะปฏิบัติตามแนวทางที่ดีที่สุดที่มีอยู่ แต่สิ่งสำคัญคือต้องทราบว่า “กล่องดำ” (Black Box) ของ AI ก่อให้เกิดความเสี่ยงที่แตกต่างกัน คำนี้หมายถึงการขาดความโปร่งใสในระบบ AI และวิธีการตัดสินใจของมัน โดยเฉพาะอย่างยิ่งในโมเดล Deep Learning ซึ่งอาจเป็นเรื่องยากที่จะทำความเข้าใจเนื่องจากการประมวลผลที่ซับซ้อนโดยอัลกอริทึม

ผู้เชี่ยวชาญด้านความเสี่ยงและผู้ตรวจสอบภายในสามารถจัดการกับ “กล่องดำ” ได้โดยตรงด้วยการ:

  • ระบุและสื่อสารอย่างชัดเจนในจุดที่อาจมีข้อมูลที่ขาดหายไปหรือไม่สมบูรณ์ภายในโครงการ AI ตัวอย่างเช่น หากองค์กรใช้ผู้ขาย AI จากภายนอกที่ไม่ให้ข้อมูลโดยละเอียดเกี่ยวกับข้อมูลการฝึกอบรมอัลกอริทึม ควรบันทึกและเปิดเผยสิ่งนี้เป็นความเสี่ยงที่อาจเกิดขึ้น
  • ประเมินและแจ้งให้คณะกรรมการทราบอย่างต่อเนื่องเกี่ยวกับผลกระทบที่อาจเกิดขึ้นจากช่องว่างข้อมูลที่ระบุไว้ ตัวอย่างเช่น เมื่อการขาดเอกสารของผู้ขายในชุดข้อมูลการฝึกอบรมได้รับการบันทึกแล้ว ผู้ตรวจสอบภายในควรแจ้งให้คณะกรรมการทราบเมื่อเผชิญกับผลลัพธ์ที่เกี่ยวข้องกับความเสี่ยง
  • นำเสนอแนวทางในการลดความเสี่ยงที่เกี่ยวข้องกับช่องว่างความรู้ของ “กล่องดำ” ที่ได้บันทึกและประเมินไว้ก่อนหน้านี้ ตัวอย่างเช่น จากการประเมินและผลที่ตามมาที่นำเสนอ องค์กรตัดสินใจที่จะเปลี่ยนไปใช้ผู้ขาย AI รายใหม่ที่มีเอกสารข้อมูลที่โปร่งใสมากขึ้น

การประเมินความเสี่ยง

การประเมินและวิเคราะห์ความเสี่ยงที่เกี่ยวข้องกับ AI ควรเป็นไปตามกระบวนการที่คล้ายคลึงกับที่องค์กรใช้ในการทบทวนความเสี่ยงอื่น ๆ โดยควรพิจารณา ผลกระทบ (Impact) และ โอกาสที่จะเกิดขึ้น (Likelihood) ก่อน ผลกระทบของความเสี่ยงที่เกี่ยวข้องกับ AI อาจเป็นเรื่องยากที่จะวัดปริมาณได้ เนื่องจากมีข้อพิจารณามากมาย เช่น ผลกระทบทางกฎหมาย, กฎระเบียบ, สังคม, การเงิน, สิ่งแวดล้อม และจริยธรรม ความเสียหายต่อชื่อเสียงของแบรนด์ก็เป็นข้อพิจารณาสำหรับผลกระทบเช่นกัน

การรวมกันของผลกระทบและโอกาสที่จะเกิดขึ้นจะส่งผลให้เกิด ความเสี่ยงโดยธรรมชาติ (Inherent Risk) ซึ่งเป็นการวัดความเสี่ยงที่มีอยู่โดยไม่มีการพิจารณาการควบคุมภายใน หลังจากประเมินความเสี่ยงโดยธรรมชาติแล้ว ขั้นตอนต่อไปคือการกำหนด ความเสี่ยงคงเหลือ (Residual Risk) ซึ่งรวมถึงการพิจารณาว่าความเสี่ยงได้รับการบรรเทาได้ดีเพียงใด

การจัดลำดับความสำคัญของความเสี่ยง เป็นกระบวนการที่องค์กรใช้ เพื่อจัดอันดับความเสี่ยงตามลำดับความสำคัญ กล่าวคือ ความเสี่ยงที่ส่งผลกระทบมากที่สุดจะได้รับการจัดการก่อน องค์กรมีทรัพยากรที่จำกัด แต่เผชิญกับความเสี่ยงที่ไม่จำกัด ดังนั้นการจัดลำดับความสำคัญของความเสี่ยงที่เกี่ยวข้องกับ AI ภายใน กรอบการวิเคราะห์ความเสี่ยงทั่วทั้งองค์กรจึงเป็นสิ่งสำคัญ

การลดความเสี่ยง

การลดความเสี่ยง (Risk Mitigation) เป็นการกระทำที่ฝ่ายบริหารดำเนินการ เพื่อลดความเสี่ยงให้อยู่ในระดับที่ยอมรับได้ ในหลายกรณี องค์กรเลือกที่จะจัดการความเสี่ยงที่เกี่ยวข้องกับ AI ด้วยการกระทำเพื่อลดความเสี่ยง เช่น การเพิ่มการควบคุมภายใน อย่างไรก็ตาม มีการตอบสนองความเสี่ยงที่เป็นไปได้อื่น ๆ อีกหลายประการ

มีหลายปัจจัยที่มีอิทธิพลต่อวิธีที่องค์กรกำหนดว่าจะตอบสนองต่อความเสี่ยงที่เกี่ยวข้องกับ AI อย่างไร ดังนั้นการมีกระบวนการตอบสนองความเสี่ยงที่กำหนดไว้และสามารถทำซ้ำได้จึงเป็นสิ่งสำคัญ ความเสี่ยงที่เกี่ยวข้องกับ AI อาจเปลี่ยนแปลงได้ในระหว่างโครงการ ดังนั้นองค์กรควรทบทวนอย่างต่อเนื่องว่าจะตอบสนองและลดความเสี่ยงอย่างไร

การตรวจสอบภายใน: กิจกรรมที่ปรึกษาและให้ความเชื่อมั่น

หลังจากที่ได้อธิบายถึงแนวทางที่องค์กรควรใช้ในการจัดการ AI ในสองส่วนแรกของกรอบการทำงานแล้ว ส่วนสุดท้ายที่เหลืออยู่คือ การตรวจสอบภายใน (Internal Audit)

สองส่วนแรกของกรอบการทำงานนี้เป็นพื้นฐานสำหรับการที่การตรวจสอบภายใน จะสามารถให้บริการทั้งด้านการให้คำปรึกษาและการตรวจสอบแก่องค์กรได้ ส่วน การกำกับดูแล (Governance) และ การจัดการ (Management) มีรายละเอียดที่ผู้ตรวจสอบภายใน ควรนำไปใช้ในการแนะนำองค์กรให้ปรับปรุงแนวทางปฏิบัติ หรือใช้เป็นพื้นฐานในการประเมินว่าองค์กรกำลังเข้าถึง, ใช้, จัดการ และติดตาม AI อย่างไร

คำว่า “ความเชื่อมั่นที่สมเหตุสมผล” (Reasonable Assurance) มักถูกอ้างถึงในวิชาชีพการตรวจสอบภายใน จากมุมมองของการควบคุมภายใน ความเชื่อมั่นที่สมเหตุสมผลหมายถึงมีความเป็นไปได้สูงที่การควบคุมจะสามารถลดความเสี่ยงได้ แต่ก็ไม่ถึงกับเป็นความแน่นอนแบบสมบูรณ์ (absolute) หลักการเดียวกันนี้ควรถูกนำมาพิจารณาสำหรับผู้ตรวจสอบภายในที่ได้รับมอบหมายให้ทำหน้าที่ให้ความเชื่อมั่นเกี่ยวกับ AI

ความท้าทาย

หลายแง่มุมของ AI ทำให้กิจกรรมการให้ความเชื่อมั่นเป็นเรื่องยากสำหรับผู้ตรวจสอบภายใน ซึ่งรวมถึง:

  • ความซับซ้อนโดยธรรมชาติ: AI (หรือเฉพาะเจาะจงลงไปคืออัลกอริทึม) มีความซับซ้อนสูง ซึ่งเป็นปัญหา “กล่องดำ (Black Box)” ที่ยากขึ้นไปอีก
  • การเพิ่มขึ้นอย่างรวดเร็วของความสามารถและความเสี่ยง: ความสามารถและความเสี่ยงของ AI เพิ่มจำนวนขึ้นอย่างรวดเร็ว
  • การขาดเครื่องมือและแนวทางที่ยอมรับกันอย่างกว้างขวาง: AI ยังเป็นหัวข้อการตรวจสอบที่กำลังพัฒนา และมีเครื่องมือหรือแนวทางที่ใช้กันอย่างแพร่หลายอย่างจำกัด
  • โอกาสในการฝึกอบรมที่มีจำกัด: โอกาสในการฝึกอบรมเพื่อเพิ่มพูนทักษะการตรวจสอบ AI ยังมีอยู่อย่างจำกัด

AI ในฐานะหัวข้อการตรวจสอบอาจดูน่าหนักใจ แต่การมุ่งเน้นไปที่ข้อพิจารณาต่อไปนี้ จะช่วยให้ผู้ตรวจสอบภายในมีทัศนคติเชิงบวกและมีความมั่นใจ:

  • ไม่คาดหวังว่าจะเป็นผู้เชี่ยวชาญ: ผู้ตรวจสอบภายในไม่จำเป็นต้องเป็นผู้เชี่ยวชาญในทุกหัวข้อการตรวจสอบ แต่ควรมีแนวทางที่เป็นระบบ, มีระเบียบวินัย และมุ่งเน้นการคิดเชิงวิพากษ์ และการระบุความเสี่ยงเป็นวัตถุประสงค์หลักสำหรับทุกการตรวจสอบ ไม่ใช่แค่ AI การมีความคุ้นเคยและความรู้ในเชิงปฏิบัติเกี่ยวกับ AI เป็นสิ่งสำคัญอย่างยิ่ง แต่การรู้ในทุกแง่มุมทางเทคนิคของ AI อาจไม่ใช่เรื่องที่จำเป็น และอาจต้องอาศัยผู้เชี่ยวชาญทางเทคนิคจากภายนอกมาช่วยในแง่มุมที่ซับซ้อนมากขึ้น เช่น การแกะรหัสอัลกอริทึม
  • มองการตรวจสอบ AI เป็นความก้าวหน้า ไม่ใช่จุดหมายปลายทาง: เนื่องจาก AI มีความซับซ้อนและเปลี่ยนแปลงอย่างรวดเร็ว จึงไม่น่าเป็นไปได้ที่ผู้ตรวจสอบภายในจะมีความรู้ในเรื่องนี้อย่างสมบูรณ์แบบ ดังนั้นควรเพิ่มพูนความเข้าใจเกี่ยวกับ AI เมื่อเวลาผ่านไป
  • กล้าที่จะถามคำถามที่เกี่ยวข้องเกี่ยวกับ AI ภายในองค์กร:
    • AI ช่วยให้องค์กรบรรลุเป้าหมายเชิงกลยุทธ์ได้อย่างไร?
    • มีความเสี่ยงอะไรที่เกี่ยวข้องและเรากำลังลดความเสี่ยงเหล่านั้นอย่างไร?
    • มีการควบคุมภายในที่เพียงพอสำหรับกระบวนการที่เกี่ยวข้องกับ AI หรือไม่?
    • ข้อมูลที่ใช้สำหรับ AI มีความครบถ้วน, แม่นยำ และเชื่อถือได้หรือไม่?
    • มีการทดสอบ AI ก่อนนำไปใช้งานอย่างไรเพื่อให้แน่ใจว่าไม่มีความลำเอียง?
    • มีการทดสอบ AI หลังการใช้งานอย่างไรเพื่อให้แน่ใจว่าไม่มีความลำเอียง?
    • มีการกำกับดูแล AI อย่างไร?
    • องค์กรรับประกันได้อย่างไรว่า มีการฝึกอบรมและสร้างความตระหนักรู้ด้าน AI ที่เพียงพอ?

ดังที่ได้อธิบายไว้ในตอนที่ 2 การทำความเข้าใจการใช้งาน AI ขององค์กรเริ่มต้นจากการค้นคว้าและพูดคุย สิ่งสำคัญคือผู้ตรวจสอบภายในต้องใช้ประโยชน์จากความสัมพันธ์ทางวิชาชีพที่ได้สร้างไว้ การมีความโปร่งใสกับทั้งฝ่ายบริหารและคณะกรรมการกำกับดูแลเป็นสิ่งสำคัญ ควรใช้ภาษาที่เรียบง่ายเพื่ออธิบายว่าเราคิดอย่างไรเกี่ยวกับหัวข้อ AI และวางแผนที่จะมีส่วนร่วมกับองค์กรอย่างไรเพื่อเรียนรู้เพิ่มเติม

การตรวจสอบ AI ถือเป็นความรับผิดชอบที่ค่อนข้างใหม่สำหรับหลายองค์กร ในฐานะผู้ให้ความเชื่อมั่น ผู้ตรวจสอบภายในไม่จำเป็นต้องเป็นผู้เชี่ยวชาญในหัวข้อ AI แต่ต้องระบุโอกาสในการเพิ่มพูนความรู้และความตระหนักในเรื่องนี้ การทำความเข้าใจแง่มุมทางเทคนิคของ AI ให้ดียิ่งขึ้น เช่น อัลกอริทึม จะมีความสำคัญต่อการพัฒนาวิชาชีพในอนาคต

แม้ว่า AI จะมีองค์ประกอบที่ซับซ้อน แต่สิ่งสำคัญคือต้องจำไว้ว่ามันสร้างผลลัพธ์บางอย่างจากข้อมูลที่ได้รับ ในมุมมองของการให้ความเชื่อมั่น ผู้ตรวจสอบภายในอาจไม่เคยมีความรู้ที่สมบูรณ์แบบเกี่ยวกับกลไกภายในทั้งหมดของ AI แต่การช่วยองค์กร 1) ประเมินสิ่งที่พวกเขากำลังทำเพื่อให้แน่ใจว่าข้อมูลที่ป้อนเข้ามีความแม่นยำที่สุดเท่าที่จะเป็นไปได้ และ 2) ทำความเข้าใจวิธีการตรวจสอบผลลัพธ์นั้น ควรเป็นวัตถุประสงค์หลักของผู้ปฏิบัติงาน ผู้ตรวจสอบภายในนำแนวคิดเหล่านี้มาใช้ในปัจจุบันเมื่อทำการตรวจสอบระบบไอทีของแอปพลิเคชันทางธุรกิจ และหัวใจสำคัญร่วมกันคือแนวคิดเรื่อง “การตรวจสอบย้อนกลับ (Traceability)” ซึ่งหมายถึงการทำให้แน่ใจว่าข้อมูลและผลลัพธ์สอดคล้องกับวัตถุประสงค์ทางธุรกิจและข้อกำหนดของกรณีการใช้งาน AI นั้น ๆ

โดยสรุปแล้ว การตรวจสอบ AI ไม่ใช่เรื่องที่เป็นไปไม่ได้ แต่เป็นวิวัฒนาการที่ต้องอาศัยการปรับตัวของผู้ตรวจสอบภายใน ด้วยกรอบการทำงานนี้ ผู้ตรวจสอบภายในสามารถเริ่มต้นการเดินทาง เพื่อเป็นส่วนสำคัญในการสร้างความเชื่อมั่นให้กับองค์กร ในยุคที่ขับเคลื่อนด้วยปัญญาประดิษฐ์ได้อย่างมั่นคงและมีประสิทธิภาพ

Leave a Comment » | AI กับการตรวจสอบ | ลิงก์ถาวร
โพสต์โดย Metha Suvanasarn

กลับไปหน้าที่แล้ว