สารบัญ
AAISM Series — บริหารการใช้ AI ในธุรกิจ (มุมคนใช้ ไม่ใช่คนสร้าง) นี่คือ EP.00 บทเปิดซีรีส์ บันทึกการเรียนเรื่องการกำกับดูแล AI ในองค์กร ในมุมของเจ้าของกิจการที่เอา AI มาใช้จริง ไม่ใช่ตำราวิชาการ (สารบัญเต็มจะตามมา)
ลองนึกภาพตามนะครับ
เช้าวันจันทร์ในออฟฟิศบริษัทขนาดกลางแห่งหนึ่ง ฝ่ายการตลาดเปิด ChatGPT เขียนแคปชั่นโพสต์โฆษณา ฝ่ายบัญชีเอา AI ช่วยสรุปใบเสร็จเป็นปึกๆ ฝ่ายบุคคลใช้ AI คัดกรองใบสมัครงานที่ส่งเข้ามาเป็นร้อย ฝ่ายบริการลูกค้าต่อแชทบอทไว้ตอบลูกค้าตอนกลางคืน แล้วก็มีน้องโปรแกรมเมอร์คนหนึ่งที่แอบเอาโค้ดของบริษัทไปวางใน AI ตัวหนึ่งให้มันช่วยหาบั๊ก โดยที่ไม่มีใครรู้
ทุกคนทำเพราะมันช่วยงานได้จริง เร็วขึ้น สบายขึ้น เถ้าแก่เองก็ชอบ เพราะงานเดินเร็วดี
แล้ววันหนึ่งก็มีคำถามโผล่ขึ้นมาในหัว “เออ แล้วใครกำกับดูแลมันในบริษัทวะ?”
ใครเป็นคนตัดสินว่า AI ตัวไหนเอามาใช้ในบริษัทได้ ตัวไหนห้าม? ข้อมูลลูกค้าที่ฝ่ายขายก๊อปไปวางใน AI เนี่ย มันไหลไปไหนต่อ? ถ้า AI คัดใบสมัครงานแล้วมันลำเอียง เอนเอียงเหยียดคนบางกลุ่มโดยที่เราไม่รู้ตัว ใครรับผิดชอบ? แล้วถ้าวันหนึ่งแชทบอทไปตอบลูกค้าผิดจนบริษัทเสียหาย เราจะโทษใคร โทษ AI เหรอ? มันไม่มีตัวตนให้โทษด้วยซ้ำ
คำถามพวกนี้แหละครับที่ทำให้ผมเริ่มสนใจสิ่งที่เรียกว่า AAISM
AAISM คืออะไรในประโยคเดียว
AAISM = ISACA Advanced in AI Security Management เป็นวุฒิบัตรของ ISACA (องค์กรเดียวกับที่ออก CISA ที่ผมเขียนถึงในซีรีส์ก่อนหน้านี้นั่นแหละครับ) ที่ว่าด้วยเรื่อง การบริหารและกำกับดูแลความปลอดภัยของ AI ในองค์กร
พูดให้เห็นภาพคือมันไม่ใช่วุฒิบัตรสอนให้ “สร้าง AI” หรือ “เขียนโมเดล” นะครับ แต่มันสอนคนที่ต้อง ตัดสินใจ ออกแบบ และกำกับ ว่าองค์กรจะเอา AI มาใช้ยังไงให้ปลอดภัย ไม่ให้มันสร้างปัญหาทีหลัง
นี่คือจุดที่ผมว่ามันน่าสนใจมากสำหรับคนทำธุรกิจในยุคนี้ เพราะตอนนี้ทุกบริษัทกำลังเอา AI เข้ามาใช้แบบไม่ทันตั้งตัว แต่แทบไม่มีใครพูดถึงเรื่อง “แล้วใครจะคุมมัน” เลย
ทำไม “ผม” ถึงอยากเรียน — ทั้งที่อาจไม่ได้สอบ
ขอเปิดอกตรงๆ ก่อนเลยครับ ว่าผมไม่ได้เรียนตัวนี้เพื่อจะไปสอบเอาใบ
เพราะ AAISM มันมีเงื่อนไขว่า ก่อนจะสมัครสอบได้ ต้องมีวุฒิบัตรด้านความปลอดภัยข้อมูลระดับสูงอยู่ก่อน อย่าง CISM หรือ CISSP (สองตัวนี้คือวุฒิบัตรสาย security ที่ต้องมีประสบการณ์หลายปีกว่าจะได้) ซึ่งตอนนี้ผมยังไม่มี แล้วก็อาจจะไม่ได้ไปไล่เก็บมันในเร็วๆ นี้ด้วย
แปลว่า ใบ AAISM จริงๆ ผมอาจจะไม่ได้นั่งสอบมันเลยก็ได้ครับ
แล้วเรียนทำไม? ก็เพราะผมสนใจ เนื้อหา มากกว่า ใบเซอร์
ผมเป็นเจ้าของกิจการที่ เอา AI มาใช้ ในงานจริงทุกวัน ไม่ได้เป็นคนสร้าง AI ขายใคร ในภาษาของวงการนี้เขาเรียกคนแบบผมว่า “Deployer” (คนที่เอา AI ไปใช้งาน) ตรงข้ามกับ “Provider” (คนที่สร้างโมเดล AI ขึ้นมาขาย เช่นพวกบริษัทใหญ่ที่ทำ ChatGPT หรือ Gemini)
และเรื่องตลกคือทั้งเล่มของ AAISM เขาเขียนจากมุม Deployer พอดีเป๊ะกับผมเลย คือมันสอนคนที่ “เอา AI ของคนอื่นมาใช้ในบริษัทตัวเอง” ว่าต้องคิดอะไรบ้าง ระวังอะไรบ้าง วางกฎยังไง ไม่ได้สอนวิธีเทรนโมเดลให้ปวดหัวเลย
ผมเลยคิดว่า ต่อให้ไม่ได้สอบ ความรู้ตรงนี้มันก็มีค่ากับผมในฐานะคนที่ต้องตัดสินใจเรื่อง AI ในบริษัทตัวเองอยู่แล้ว มันคือความรู้ที่ผมเอามาใช้ได้จริงในวันพรุ่งนี้เลย ส่วนใบประกาศเนี่ย ถ้ามีโอกาสในอนาคตค่อยว่ากัน ไม่มีก็ไม่เป็นไรครับ
มุมผู้บริหาร: เวลาเราจะเอาความรู้สักเรื่องมาใช้ในธุรกิจ บางทีเราไม่จำเป็นต้องได้ใบรับรองของมันก็ได้ครับ สิ่งที่สำคัญกว่าคือ “เราตัดสินใจได้ดีขึ้นไหม” หลังจากที่รู้เรื่องนั้น AAISM กับผมก็แบบนั้นแหละ ผมไม่ได้อยากเป็น “ผู้เชี่ยวชาญ AI security” (ผมไม่ใช่ และจะไม่อ้างว่าเป็น) ผมแค่อยากเป็นเจ้าของกิจการที่ตัดสินใจเรื่อง AI ได้อย่างไม่โง่
วางตำแหน่งซีรีส์นี้ — “คนทำ” คู่กับ “คนตรวจ”
ใครที่ตามผมมาจากซีรีส์ CISA จะจำได้ว่า CISA คือมุมของ Auditor หรือคนตรวจ ก็คือคนที่เดินเข้าไปในบริษัท แล้วถามว่า “ระบบ IT ที่คุณวางไว้เนี่ย มันรัดกุมพอไหม มีช่องโหว่ตรงไหน” แล้วก็ออกความเห็นว่าผ่านหรือไม่ผ่าน
AAISM คือ อีกฝั่งของโต๊ะเดียวกัน ครับ
ถ้า CISA คือคนตรวจ AAISM ก็คือ คนทำ คนสร้าง คนรันระบบ คือคนที่นั่งอยู่ในตำแหน่งผู้บริหาร (เขาเรียกว่า CISO หรือผู้ที่ดูแลความปลอดภัยข้อมูลขององค์กร) แล้วต้อง ออกแบบและกำกับ ว่าบริษัทจะคุม AI ยังไง ไม่ใช่คนที่เดินมาตรวจทีหลังว่าทำดีหรือเปล่า
ลองเทียบให้เห็นชัดๆ ครับ
| CISA (ซีรีส์เดิม) | AAISM (ซีรีส์ใหม่) | |
|---|---|---|
| บทบาท | Auditor — คน ตรวจ | Manager / CISO — คน สร้างและกำกับ |
| คำถามหลัก | ”เขาวางระบบไว้รัดกุมไหม?" | "ฉันจะวางระบบ AI ให้รัดกุมยังไง?” |
| คำกริยาประจำตัว | ตรวจสอบ ประเมิน ออกความเห็น | ตัดสินใจ ออกแบบ กำกับ บริหาร |
| คนอ่าน | คนที่จะไปสอบสาย audit | เจ้าของกิจการ / ผู้บริหารที่เอา AI มาใช้ |
สองคนนี้อยู่ในโลกเดียวกัน นั่งโต๊ะเดียวกัน แค่คนละเก้าอี้ คนหนึ่งสร้างกับดูแลระบบ อีกคนเดินมาตรวจว่าระบบนั้นดีพอไหม
และซีรีส์ AAISM นี้ ผมจะเล่าในมุม คนทำ ตลอดทั้งซีรีส์ครับ ไม่ใช่มุมคนตรวจ คือเราจะถามตัวเองว่า “ในฐานะคนที่ต้องตัดสินใจ เราจะออกแบบมันยังไง” ไม่ใช่ “เราจะไปจับผิดคนอื่นยังไง”
ที่มาของซีรีส์นี้
เล่าที่มานิดนึงครับ ผม ซื้อคู่มือ AAISM มาอ่านเอง แล้วเอามาเล่าใหม่ด้วยภาษาและมุมมองของผม ในฐานะเจ้าของกิจการคนไทยที่เอา AI มาใช้จริง ตัวอย่างต่างๆ ในซีรีส์ผมแต่งขึ้นเองให้เป็นบริบทไทยที่นึกภาพออก ส่วนมาตรฐานกับกฎหมายที่เป็นข้อมูลสาธารณะ (อย่าง NIST AI RMF หรือ EU AI Act) ก็หยิบมาเล่าตรงๆ ได้เลย
วิธีคิดเหมือนตอนเขียนซีรีส์ CISA ครับ คือเล่าด้วยความเข้าใจของตัวเอง ในแบบของผม
พระเอกของซีรีส์ — AI คือพนักงานใหม่ที่เก่งสุดๆ แต่ต้องกำกับ
ตลอดทั้งซีรีส์นี้ ผมอยากให้คุณนึกภาพ AI เป็นแบบนี้ครับ AI ก็เหมือนพนักงานใหม่ที่เก่งสุดๆ แต่ยังต้องมีคนกำกับ
(อันนี้ยังเป็นภาพเปรียบเทียบที่ผมลองวางไว้ก่อนนะครับ อาจปรับเปลี่ยนได้ระหว่างทาง แต่ตอนนี้ผมว่ามันช่วยให้เห็นภาพดี)
ลองคิดดูว่า วันหนึ่งคุณรับเด็กฝึกงานเข้ามาคนหนึ่ง ฉลาดมาก เรียนรู้ไว ทำงานเร็วกว่าคนทั้งทีมรวมกัน อ่านเอกสารพันหน้าจบในวินาทีเดียว เขียนรายงานปุบปับ ตอบลูกค้าได้ตลอด 24 ชั่วโมงไม่มีบ่น
ฟังดูดีใช่ไหมครับ แต่เด็กคนนี้มันมีปัญหาอยู่อย่างหนึ่งคือ มันมั่นใจในตัวเองสูงมาก บางทีมันก็ตอบมั่วแบบหน้าตาเฉยเหมือนมันรู้จริง (อันนี้ในวงการ AI เรียกว่า “hallucination” หรืออาการมโนของ AI) มันไม่รู้ว่าข้อมูลไหนเป็นความลับห้ามพูด มันไม่เข้าใจว่ากฎหมายบ้านเราห้ามทำอะไรบ้าง และถ้าคุณปล่อยมันทำงานเองโดยไม่มีใครดูเลย วันดีคืนดีมันอาจสร้างความเสียหายให้บริษัทแบบที่คุณคาดไม่ถึง
แล้วเราจะจัดการเด็กฝึกงานเทพแต่ไร้เดียงสาคนนี้ยังไง?
คำตอบมันก็ตรงไปตรงมาเหมือนการดูแลพนักงานใหม่จริงๆ นั่นแหละครับ และมันแบ่งออกเป็น 3 เรื่องใหญ่ๆ พอดี ซึ่งบังเอิญตรงกับ 3 บทของ AAISM เป๊ะ:
- ตั้งกฎให้มันก่อนว่าทำอะไรได้ ทำอะไรไม่ได้ — ใครเป็นหัวหน้ามัน ใครรับผิดชอบถ้ามันพลาด (เรื่องนี้คือ “การกำกับดูแล”)
- คอยมองว่ามันอาจทำอะไรพังได้บ้าง — แล้วเตรียมรับมือไว้ก่อน (เรื่องนี้คือ “การบริหารความเสี่ยง”)
- คุมการทำงานของมันจริงๆ ในแต่ละวัน — ใส่เครื่องมือ ใส่ระบบตรวจสอบ เพื่อให้รู้ว่ามันทำอะไรอยู่ (เรื่องนี้คือ “การควบคุมทางเทคนิค”)
3 ข้อนี้แหละครับ คือแกนของซีรีส์ทั้งหมด
แผนที่ของซีรีส์ — 3 บท 3 เรื่องใหญ่
คู่มือ AAISM แบ่งออกเป็น 3 บท 3 เรื่องใหญ่ ผมจะเดินตามโครงนี้ครับ มาดูคร่าวๆ ว่าแต่ละบทเราจะได้อะไรบ้าง
บทที่ 1 — การกำกับดูแลและบริหารโครงการ AI
นี่คือบท “ตั้งกฎให้พนักงานใหม่” ครับ เราจะคุยกันว่า ก่อนที่บริษัทจะเอา AI มาใช้จริงจัง มันต้องมีอะไรพร้อมบ้าง ใครเป็นคนตัดสินใจ ใครเป็นเจ้าของเรื่อง AI ในบริษัท (บางบริษัทตั้งคณะกรรมการขึ้นมาดูแลโดยเฉพาะเลย) ต้องเขียนกฎการใช้ AI ออกมาเป็นลายลักษณ์อักษรยังไง พนักงานเอา AI ไปใช้แบบไหนได้แบบไหนห้าม แล้วก็เรื่องจริยธรรม เช่น ทำยังไงไม่ให้ AI ของเราลำเอียง ไม่ละเมิดลิขสิทธิ์ ไม่ละเมิดความเป็นส่วนตัวของคน บทนี้คือรากฐานของทั้งหมด ถ้าวางตรงนี้ไม่ดี ที่เหลือก็พังตามครับ
บทที่ 2 — การบริหารความเสี่ยงและโอกาสของ AI
บทนี้คือ “มองว่าพนักงานใหม่อาจทำอะไรพังได้บ้าง” ครับ เราจะคุยกันว่า AI มันมีความเสี่ยงแบบไหนที่ระบบ IT เดิมๆ ไม่เคยมี เช่น มีคนแอบป้อนข้อมูลพิษให้ AI เรียนรู้ผิดๆ หรือมีคนหลอกให้ AI ทำในสิ่งที่มันไม่ควรทำ แล้วเราจะประเมินความเสี่ยงพวกนี้ยังไง อันไหนรับได้ อันไหนรับไม่ได้ ตัวเลือกในการรับมือมีอะไรบ้าง (จะหลีกเลี่ยง จะลดความเสี่ยง จะยอมรับ หรือจะโยนความเสี่ยงไปให้คนอื่น) และที่สำคัญสำหรับคนแบบเรา เวลาใช้ AI ของเจ้าอื่น (เช่นต่อ ChatGPT มาใช้) ใครรับผิดชอบส่วนไหน เส้นแบ่งความรับผิดมันอยู่ตรงไหน
บทที่ 3 — เทคโนโลยีและการควบคุม AI (บทใหญ่สุด)
บทนี้คือ “คุมการทำงานจริงๆ ในแต่ละวัน” ครับ และเป็นบทที่ใหญ่ที่สุด เราจะลงลึกขึ้นนิดนึงในเรื่องเทคนิค แต่ยังเล่าในมุมผู้บริหารนะครับ ไม่ได้ให้ไปเขียนโค้ด เราจะคุยกันว่า AI มีกี่ประเภท แต่ละประเภทต้องคุมต่างกันยังไง วงจรชีวิตของระบบ AI ตั้งแต่เริ่มสร้างจนปลดระวางเป็นยังไง ต้องวางการ์ดอะไรไว้บ้างเรื่องข้อมูล (เพราะข้อมูลคือเชื้อเพลิงของ AI) แล้วก็เครื่องมือกับระบบควบคุมต่างๆ ที่เอาไว้เฝ้าระวังว่า AI กำลังทำอะไรอยู่ มันเริ่มเพี้ยนไปจากเดิมหรือยัง
สามบทนี้ต่อกันเป็นเรื่องเดียวครับ เริ่มจากตั้งกฎในบทแรก พอมีกฎแล้วก็มองว่ามันจะพังตรงไหนได้บ้างในบทสอง แล้วค่อยลงมือคุมมันจริงๆ ในบทสาม เหมือนการดูแลพนักงานใหม่ตั้งแต่วันแรกที่รับเข้ามา จนถึงวันที่มันทำงานเก่งจนเราวางใจได้
ใครควรอ่าน — และจะอ่านมันยังไง
ซีรีส์นี้ผมเขียนให้ เจ้าของกิจการ ผู้บริหาร หัวหน้าทีม หรือใครก็ตามที่กำลังเอา AI เข้ามาใช้ในองค์กร แล้วเริ่มรู้สึกว่า “เฮ้ย เราใช้มันเยอะขึ้นเรื่อยๆ นะ แต่เราคุมมันอยู่จริงเหรอ”
ผมตั้งใจเขียนให้ คนที่ไม่ได้จบสายคอม สายไอที ก็อ่านรู้เรื่อง ครับ ตั้งเป้าไว้เลยว่าเจ้าของร้านที่ขายของอยู่ดีๆ แล้วเริ่มเอา AI มาช่วยงาน ต้องอ่านแล้วตามทันได้ ศัพท์เทคนิคที่เลี่ยงไม่ได้ ผมจะอธิบายเป็นภาษาคนทุกครั้งที่มันโผล่มาครั้งแรก
และเหมือนเดิมครับ ซีรีส์นี้คือ “บันทึกการเรียน” ไม่ใช่ตำรา ผมไม่ใช่ผู้เชี่ยวชาญด้าน AI หรือด้านความปลอดภัยข้อมูลนะครับ ผมเป็นแค่เจ้าของกิจการขี้สงสัยคนหนึ่งที่อยากเข้าใจเรื่องนี้ให้ลึกพอจะตัดสินใจเองได้ แล้วก็จดบันทึกไว้กันลืม เผื่อมันมีประโยชน์กับคนอื่นด้วย ถ้าผมเข้าใจตรงไหนผิด หรือคุณเห็นต่าง ก็คุยกันได้เลยครับ ผมเองก็กำลังเรียนไปพร้อมๆ กับคนอ่านนี่แหละ
ผมไม่ได้สัญญาว่าจะเขียนครบทุกหัวข้อตามตารางเป๊ะนะครับ (รู้จักตัวเองดี 555+) แต่ที่แน่ๆ คือจะค่อยๆ เล่าไปตามที่ตัวเองอ่านไปถึงไหน เข้าใจอะไรแล้วก็เอามาเล่าต่อ
บทถัดไป
ตอนหน้า EP.01 ผมจะเปิดบทที่ 1 ด้วยฉากจริงครับ ในตอน “วันที่บริษัทเริ่มใช้ AI จริงจัง ใครดูแลอะไร”
เราจะตามดูบริษัทสมมติแห่งหนึ่ง ตั้งแต่วันที่ยังไม่มี AI เลย จนถึงวันที่ AI แทรกซึมเข้าไปอยู่ทุกแผนกแบบไม่มีใครวางแผน แล้วมาดูกันว่า ตำแหน่งไหนในบริษัทควรลุกขึ้นมารับผิดชอบเรื่องนี้ ก่อนที่มันจะสายเกินไป
เด็กฝึกงานเทพคนนี้กำลังจะเริ่มงานวันแรกแล้วครับ มาดูกันว่าใครจะเป็นพี่เลี้ยงมัน
แล้วเจอกันตอนหน้าครับ 🚀
