สารบัญ
AAISM Series — คู่มือคุม AI ในมุมคนบริหาร (ไม่ใช่มุมผู้ตรวจ) ตอนที่ 02 / Domain 1 — AI Governance & Program Management ซีรีส์นี้เล่าจากมุม “เจ้าของกิจการ / CISO ที่เอา AI มาใช้จริง” ว่าต้องตัดสินใจอะไรบ้าง (สารบัญเต็มจะตามมา)
📚 ตอนนี้ผมจะ ไม่ อธิบายตั้งแต่ศูนย์ว่า “governance พื้นฐานในองค์กรคืออะไร” — ใครกำกับใคร, board ทำหน้าที่อะไร, committee เกิดมาทำไม, ทำไมต้องมีคนรับผิดชอบเป็นชั้นๆ เพราะเล่าไว้ครบแล้วในมินิซีรีส์ Organization Anatomy 101 — บริษัทใหญ่ทำงานยังไง ใครยังไม่แน่ใจว่า “governance” แปลว่าอะไรกันแน่ แวะไปปูพื้นก่อนได้ครับ ตอนนี้เราจะเอาแนวคิดเดิมนั่นแหละ มาครอบกับของใหม่ที่ชื่อ AI แล้วดูว่าเจ้าของกิจการต้องคิดอะไรเพิ่ม
ลองนึกภาพบริษัทขนาดกลางแห่งหนึ่งนะครับ (สมมติขึ้นมาให้เห็นภาพ) ปีนี้เถ้าแก่ตัดสินใจเอา AI เข้ามาใช้เต็มตัว ฝ่ายการตลาดใช้ AI ร่างโฆษณา ฝ่ายบุคคลใช้ AI ช่วยคัดใบสมัคร ฝ่ายบริการต่อแชทบอทตอบลูกค้า ทุกอย่างดูเร็วขึ้น ดีขึ้น เถ้าแก่ก็ปลื้ม
จนวันหนึ่งมีลูกค้าโทรมาต่อว่า ว่าแชทบอทตอบข้อมูลผิดจนเขาตัดสินใจซื้อพลาด เถ้าแก่จะโทษใครดี? โทษ AI เหรอ มันก็ไม่มีตัวตนให้โทษ จะโทษน้องที่เปิดใช้งานเหรอ น้องก็บอกว่า “ก็พี่สั่งให้เอามาใช้” สุดท้ายคำถามมันวนกลับมาที่เถ้าแก่อยู่ดีว่า “ตกลงใครกำกับเจ้านี่อยู่กันแน่?”
คำถามนี้แหละครับคือหัวใจของคำว่า AI Governance และเป็นเรื่องของตอนนี้
AI = พนักงานใหม่เก่งสุดๆ ที่ต้องกำกับ
ทั้งซีรีส์นี้ผมชวนมองภาพเดียวกันตลอด คือ AI ก็เหมือนพนักงานใหม่ที่เก่งมากๆ คนหนึ่ง เก่งจนน่าตกใจ ทำงานเร็ว ไม่บ่น ไม่ลา ไม่ป่วย แต่ก็มีนิสัยแปลกๆ ที่เราต้องระวัง
ลองคิดดูครับ เวลาเรารับพนักงานเก่งๆ เข้ามาคนหนึ่ง เราไม่ได้แค่ “จ้างแล้วปล่อยให้ทำอะไรก็ได้” ใช่ไหม เราต้อง:
- ตั้งกฎ ว่าเขาทำอะไรได้ ทำอะไรไม่ได้ ข้อมูลไหนแตะได้ ข้อมูลไหนห้ามแตะ
- มองความเสี่ยง ว่าถ้าเขาทำพลาด จะกระทบใคร เสียหายแค่ไหน
- คุมงาน มีคนคอยตรวจผลงาน ไม่ใช่เซ็นอนุมัติตามที่เขาเสนอแบบหลับหูหลับตา
AI ก็เป๊ะแบบนั้นเลยครับ AI Governance ก็คือ “ระบบกำกับพนักงานที่ชื่อ AI” นั่นเอง ตั้งกฎ แล้วมองความเสี่ยง แล้วก็คุมงาน วนแบบนี้ไปเรื่อยๆ
ความต่างอยู่ตรงที่ พนักงาน AI คนนี้มันเก่งและเร็วกว่ามนุษย์มาก แต่ดันมีจุดอ่อนที่มนุษย์ไม่ค่อยมี และนั่นคือเหตุผลว่าทำไมเราถึง “ปล่อยให้มันทำงานเองโดยไม่กำกับ” ไม่ได้
AI Governance คืออะไรกันแน่ (ภาษาคน)
ถ้าจะให้นิยามแบบเป็นทางการหน่อย AI Governance คือการกำกับดูแลระดับบนสุด (senior oversight) บวกกับ กระบวนการ มาตรฐาน และเครื่องกันชน (safeguards) ทั้งหมดที่ทำให้มั่นใจว่าองค์กรเราใช้ AI อย่าง ปลอดภัยและมีจริยธรรม
ฟังดูเป็นนามธรรม ผมขอแตกเป็นภาษาคนว่ามันคุมอะไรบ้าง
1. คุมไม่ให้ AI สืบทอด “นิสัยเสีย” ของคนสร้าง
จุดที่หลายคนลืมคือ AI ไม่ได้เกิดมาเอง มันเป็นโค้ดที่มนุษย์เขียน ฝึกจากข้อมูลที่มนุษย์ป้อน เพราะฉะนั้นถ้าคนสร้างมีอคติ หรือข้อมูลที่เอามาฝึกมันเอนเอียง AI ก็จะ สืบทอดอคตินั้นมาเต็มๆ แถมขยายให้ใหญ่ขึ้นด้วยความเร็วของเครื่องจักร
ลองนึกภาพ AI คัดใบสมัครงาน (สมมติ) ที่ถูกฝึกจากประวัติพนักงานเก่าของบริษัทที่บังเอิญเป็นผู้ชายเกือบทั้งหมด ผลคือ AI อาจ “เรียนรู้” ว่าผู้ชายเหมาะกับงานนี้มากกว่า แล้วคัดผู้หญิงทิ้งโดยไม่มีใครสั่งให้มันทำ นี่แหละคือการเลือกปฏิบัติที่เกิดขึ้นเงียบๆ governance คือสิ่งที่ทำให้เราจับได้และแก้ทัน
2. คุมให้ AI “อธิบายได้” ว่าทำไมมันตัดสินใจแบบนั้น
นี่คือคำว่า Transparency (ความโปร่งใส) กับ Explainability (ความสามารถในการอธิบาย) ที่จะเจอบ่อยมากในเรื่อง AI
ทุกวันนี้ AI ตัดสินใจเรื่องที่กระทบชีวิตคนเยอะมาก ตั้งแต่เรื่องเล็กอย่าง “จะโชว์โฆษณาไหนให้คุณ” ไปจนถึงเรื่องใหญ่อย่าง “อนุมัติสินเชื่อให้คุณไหม” หรือแม้แต่ “วินิจฉัยโรคนี้ว่าอะไร” ปัญหาคือถ้าวันหนึ่งลูกค้าถามว่า “ทำไมฉันถึงโดนปฏิเสธสินเชื่อ” แล้วบริษัทตอบได้แค่ “ก็ AI มันว่างั้น” อันนี้มีปัญหาแน่นอน ทั้งกับลูกค้า ทั้งกับกฎหมาย
governance ที่ดีต้องทำให้องค์กร เข้าใจและอธิบายได้ ว่า AI ตัดสินใจยังไง เพื่อให้มั่นใจว่ามันตัดสินอย่างเป็นธรรม มีจริยธรรม และมีคนรับผิดชอบกับผลลัพธ์นั้น
3. คุมต่อเนื่อง ไม่ใช่ทำครั้งเดียวจบ
ข้อนี้สำคัญและคนชอบมองข้าม AI ไม่นิ่ง มันมีอาการที่เรียกว่า:
- Drift (โมเดลค่อยๆ เพี้ยน) — AI ที่เคยแม่น พอโลกเปลี่ยน ข้อมูลเปลี่ยน มันก็เริ่มทำงานเพี้ยนไปทีละนิดโดยไม่มีสัญญาณเตือนชัดๆ
- Hallucination (การมั่ว) — AI โดยเฉพาะพวกที่สร้างข้อความ มันสามารถ “มั่วอย่างมั่นใจ” คือตอบผิดด้วยน้ำเสียงที่ฟังดูน่าเชื่อถือมาก
เพราะมันไม่นิ่งแบบนี้ governance จึงไม่ใช่ “ตั้งกฎครั้งเดียวแล้วเลิกยุ่ง” แต่ต้องคอยดู คอยวัด คอยอัปเดตตลอด เหมือนเราไม่ได้ประเมินพนักงานแค่ตอนสัมภาษณ์เข้างานวันแรก แต่ประเมินทุกปี
4. คุมเลยไปถึง “ความรับผิดชอบต่อสังคม” ไม่ใช่แค่ทำตามกฎหมาย
เทรนด์ของ governance ยุคนี้ขยับจาก “ทำให้ถูกกฎหมายพอ” ไปสู่ “AI ของเราต้องรับผิดชอบต่อสังคมด้วย” เพราะสุดท้ายมันคือการปกป้องบริษัทจากความเสียหายทั้งทางการเงิน ทางกฎหมาย และที่เจ็บที่สุดคือ ชื่อเสียง ของที่สร้างมาเป็นสิบปีแต่พังได้ในวันเดียว
ทั้งหมดนี้รวมกันแล้วมีคำเรียกสั้นๆ ว่า RAI — Responsible AI (การใช้ AI อย่างรับผิดชอบ) ซึ่งจะเป็นคำที่ร้อยอยู่ในทุกตอนของซีรีส์นี้
มุมผู้บริหาร: ถ้าวันนี้มีคนถามคุณกลางที่ประชุมว่า “AI ที่บริษัทเราใช้ ใครเป็นคนกำกับ และเขากำกับยังไง” แล้วคุณตอบไม่ได้ทันที นั่นแปลว่าบริษัทคุณ ยังไม่มี AI governance ครับ ไม่ใช่ว่า governance มันยาก แต่เพราะยังไม่มีใครถูกแต่งตั้งให้ทำ และนั่นคือสิ่งแรกที่เจ้าของกิจการแก้ได้เลยวันนี้
ทำไมเอา governance เดิมมาใช้ตรงๆ ไม่ได้ — AI มันต่างตรงไหน
หลายคนคิดว่า “ก็บริษัทฉันมีระบบกำกับ IT อยู่แล้วนี่ เอา AI ไปใส่ในนั้นก็จบ” ก็ใช่ส่วนหนึ่งนะ แต่ AI มันมีนิสัยใหม่ๆ ที่ระบบเดิมไม่เคยต้องรับมือ ขอเทียบให้เห็นว่า “พนักงาน AI” มันต่างจากเครื่องมือ IT ทั่วไปยังไง
| เรื่อง | เครื่องมือ IT ทั่วไป (เช่น โปรแกรมบัญชี) | พนักงาน AI |
|---|---|---|
| ทำงานยังไง | ทำตามกฎที่เขียนไว้เป๊ะ ป้อนเหมือนกัน ได้ผลเหมือนกันทุกครั้ง | ใช้การ “เรียนรู้” จากข้อมูล ป้อนคล้ายๆ กันอาจได้ผลต่างกัน |
| อธิบายได้ไหม | อธิบายได้หมด เพราะคนเขียนกฎเอง | บางทีอธิบายยาก แม้แต่คนสร้างก็ตอบไม่ได้เต็มปากว่าทำไมมันตอบแบบนี้ |
| เปลี่ยนแปลงไหม | นิ่ง จนกว่าจะมีคนไปแก้โค้ด | เพี้ยนเอง (drift) ได้ตามเวลาและข้อมูลที่เปลี่ยน |
| ความเร็ว | เร็วตามที่ออกแบบ | เร็วมากจน “คนคุม” ตามแทบไม่ทัน |
| ความเสี่ยงหลัก | บั๊ก, ระบบล่ม | อคติแฝง, มั่วอย่างมั่นใจ, ตัดสินใจกระทบสิทธิคน |
จุดที่อันตรายที่สุดคือบรรทัดสุดท้ายของคอลัมน์ AI นั่นคือ ความเร็วของ AI วิ่งเร็วกว่าความเร็วที่มนุษย์จะตามไปคุมได้ ในตำราเรียกช่องว่างนี้ว่า “ระยะห่างระหว่างความเร็วของระบบที่เรียนรู้เอง กับความเร็วของคนที่คอยตรวจสอบ” พูดง่ายๆ คือ AI ตัดสินใจไปแล้วร้อยเรื่อง กว่าคนจะตรวจทันเรื่องเดียว นี่คือเหตุผลที่ governance ของ AI ต้องคิดเรื่อง “การคุมแบบอัตโนมัติ” และ “คนคุมที่จุดสำคัญ” ไม่ใช่คุมทุกอย่างด้วยมือเหมือนเดิม
ของใหม่ที่ AI พาเข้ามา — เจ้าของกิจการต้องชั่งน้ำหนัก 2 ด้าน
พอเอา AI เข้าบริษัท มันไม่ได้มาแค่ “ข้อดี” หรือ “ข้อเสีย” อย่างเดียว มันพาเรื่องใหม่ๆ เข้ามาให้เราต้องคิด ทั้งด้านที่น่าตื่นเต้นและด้านที่น่ากังวล ผมขอจัดเป็นตารางสองด้านให้เห็นภาพว่าเจ้าของกิจการต้อง “ชั่งน้ำหนัก” อะไรบ้าง
ด้านที่ AI ช่วยเรา (แต่ต้องกำกับ)
| สิ่งที่ AI ให้ | คำถามที่ผู้บริหารต้องถาม |
|---|---|
| ปลดคนจากงานซ้ำซาก ทำงานน่าเบื่อ/อันตราย/ทำซ้ำ ให้ AI แทน คนมีเวลาไปคิดงานสร้างสรรค์ | งานไหนควรโยนให้ AI งานไหนยังต้องใช้คน? |
| ลดความเสี่ยงบางอย่าง เช่น ให้ AI ช่วยมนุษย์ทำงานซ้ำๆ ที่คนมักพลาด หรือเฝ้าระวังเหตุผิดปกติที่นานๆ เกิดที (เช่น เสริมงานของ รปภ.) | เอา AI ไปลดจุดที่คนพลาดบ่อยตรงไหนได้บ้าง? |
| ได้เปรียบคู่แข่ง เพราะถ้าเราไม่ใช้ คู่แข่งที่ใช้จะเร็วและถูกกว่า | ถ้าเราไม่ขยับ คู่แข่งที่ใช้ AI จะแซงเราตรงไหน? |
| มั่นใจในข้อมูลและคุณภาพมากขึ้น ถ้าจัดการข้อมูลดีๆ | ข้อมูลของเราดีพอจะป้อน AI ไหม? |
ด้านที่ AI สร้างความเสี่ยง (ต้องวางกันชน)
| ความเสี่ยงที่ AI พามา | คำถามที่ผู้บริหารต้องถาม |
|---|---|
| อคติ ความผิดพลาด และความเสียหายจากการตัดสินใจของ AI | ถ้า AI ตัดสินผิด ใครเดือดร้อน เสียหายแค่ไหน? |
| ความโปร่งใส/อธิบายได้ เวลาเอา AI ไปแทนงานที่คนเคยทำ (เช่น ให้เครดิตเรตติ้ง) | ถ้าลูกค้าถามว่า “ทำไม AI ตัดสินแบบนี้” เราตอบได้ไหม? |
| ผลกระทบต่อพนักงาน ทั้งกลัวตกงาน ถูกเลือกปฏิบัติ และที่ลึกกว่านั้นคือ ความรู้ขององค์กรหายไป เมื่อคนออก/งานถูกแทน | คนของเราจะรู้สึกยังไง และเราจะไม่สูญความรู้สำคัญไปกับการแทนคนด้วย AI อย่างไร? |
| ช่องว่างความเร็ว AI เปลี่ยนเร็วกว่าระบบควบคุมของคน | เราตามคุม AI ทันไหม หรือมันวิ่งหนีเราไปแล้ว? |
| กระทบการค้าและชื่อเสียงแบรนด์ | เหตุการณ์ AI พลาดครั้งเดียว จะกระทบแบรนด์เราแค่ไหน? |
จุดที่ผมอยากเน้นคือ “คำสั่งที่คนเข้าใจ แต่ AI ไม่เข้าใจ” ตำรายกตัวอย่างไว้น่าคิดมาก สมมติเจ้านายบอกลูกน้องว่า “เลื่อนการเก็บเงินค่าผ่อนไปหลังเทศกาลละกัน” คนฟังแล้วเข้าใจทันที รู้ว่าเทศกาลไหน เลื่อนกี่วัน ใช้สามัญสำนึกเติมช่องว่างได้ แต่ถ้าสั่ง AI แบบนี้ตรงๆ มันจะงง เพราะมันต้องการคำสั่งที่ แม่นและชัด กว่านั้นมาก
บทเรียนสำหรับเจ้าของกิจการคือ อย่าคิดว่า AI “เข้าใจเรา” แบบที่ลูกน้องเก่าๆ เข้าใจ มันเก่งคนละแบบ และต้องการการสั่งงานที่ชัดกว่ามนุษย์มาก
บริษัทเราพร้อมใช้ AI รึยัง — เรื่องที่ต้องเช็คก่อนกระโดด
มาถึงครึ่งหลังของตอน ซึ่งเป็นคำถามที่เจ้าของกิจการถามบ่อยที่สุดเลย “ตกลงบริษัทเราพร้อมเอา AI มาใช้รึยัง?”
ตำราพูดตรงๆ ครับว่าทุกวันนี้บริษัทถูก “กดดัน” ให้รีบเอา AI มาใช้ กลัวตกขบวน กลัวคู่แข่งแซง แต่ขั้นแรกที่สำคัญที่สุดกลับไม่ใช่ “รีบเอามาใช้” มันคือ การประเมินว่าตอนนี้บริษัทเราพร้อมแค่ไหนที่จะใช้ AI อย่างมีการกำกับที่ดีพอ
คำว่า “พร้อม” ในที่นี้ไม่ได้แปลว่า “มีเงินซื้อ” หรือ”มีคนรู้จัก ChatGPT” นะครับ มันลึกกว่านั้น เป็นเรื่องที่ผู้นำองค์กรต้องนั่งถามตัวเองให้ครบ 3 ด้าน
ด้านที่ 1 — ประโยชน์ (เราจะได้อะไร และวัดผลยังไง)
ก่อนจะเอา AI มาใช้ ต้องตอบให้ได้ก่อนว่า “เอามาทำไม” และ “รู้ได้ยังไงว่าคุ้ม” ไม่ใช่เอามาเพราะคนอื่นเขามีกัน คำถามในด้านนี้เช่น:
- วัดความสำเร็จและความคุ้ม (ROI) ของ AI ยังไง AI ที่ลงทุนไปให้ผลตามที่หวังไหม
- มันสอดคล้องกับเป้าหมายระยะยาวของบริษัทรึเปล่า หรือเอามาใช้เพราะมันเท่
- บริษัทพร้อมทั้งวัฒนธรรมและการทำงานจริงไหม มีคนที่มีทักษะ และมีแผนรับมือการเปลี่ยนแปลง (change management) ไหม
- AI ตรงกับวิสัยทัศน์และความต้องการขององค์กรไหม สร้างคุณค่าให้สินค้า บริการ และผู้มีส่วนได้เสียยังไง
- ตัวเลขที่คาดหวังไว้สมจริงไหม และติดตามวัดผลยังไง
ด้านที่ 2 — ความเสี่ยง (อะไรจะพังได้บ้าง)
ด้านนี้คือด้านที่คนชอบข้าม เพราะมันไม่สนุก แต่เป็นด้านที่ governance สนใจที่สุด คำถามสำคัญเช่น:
- AI ที่จะเอามาใช้มีความเสี่ยงอะไรบ้าง เราจัดการความเสี่ยงด้านจริยธรรม ความปลอดภัย และชื่อเสียง ได้ดีแค่ไหน
- ความเสี่ยง AI ถูกใส่เข้าไปใน “บัญชีความเสี่ยง” ของบริษัทรึยัง (risk register — ทะเบียนรวมความเสี่ยงทั้งหมดของบริษัทที่กรรมการดูได้) หรือมันลอยอยู่นอกระบบ ไม่มีใครเห็นภาพรวม
- เราตามกฎ AI ที่เปลี่ยนตลอดทันไหม และมีกระบวนการดูแลให้ถูกกฎหมายต่อเนื่องไหม
- มีกรอบให้ AI ทำงานอย่างมีจริยธรรมไหม — เป็นธรรม โปร่งใส มีคนรับผิดชอบ
- ปกป้องข้อมูลอ่อนไหวที่ AI เข้าถึงดีพอไหม ทั้งข้อมูลภายในและภายนอก
- ทำอะไรอยู่เพื่อกัน “อคติ” ของ AI ไม่ให้ตัดสินใจเลือกปฏิบัติ
- กระทบสัญญาและภาระทางกฎหมายที่มีอยู่ไหม
- มีกรอบกำกับ AI (AI governance framework) ในบริษัทแล้วรึยัง
ด้านที่ 3 — ทรัพยากร (เรามีของพร้อมไหม)
ด้านสุดท้าย เป็นเรื่อง “ของจริง” ที่ต้องมีถึงจะทำได้ ไม่ใช่แค่อยากแล้วได้:
- จัดสรรคน เวลา และงบ ให้ AI ในระดับที่เหมาะสมรึยัง (เรื่องเงินต้องมีฝ่ายการเงินร่วมด้วย)
- เห็นภาพรวมไหมว่าทรัพยากรถูกใช้ไปกับอะไร และได้ผลอะไรกลับมา
- มีคนเก่งพอ มีไกด์ มีกันชน (guardrails) และมีคนนอก (เช่น vendor) ช่วยรึยัง
- บริษัทพัฒนาทักษะ/แพลตฟอร์มของตัวเองพอจะ “ยืนได้เอง” ไหม หรือต้องพึ่งคนนอกตลอดไป (ข้อนี้สำคัญเรื่องการไม่ติดกับ vendor รายเดียว)
- ตั้งตัวชี้วัด (KPI) และคอยติดตามมันไหม
ผมสรุปทั้ง 3 ด้านนี้ให้เป็นตารางเดียวสำหรับเอาไปคุยในที่ประชุม มองเป็น “ใบเช็คความพร้อม” ก็ได้ครับ
| ด้าน | หัวข้อที่ต้องเช็ค | คำถามหลักที่ต้องตอบให้ได้ |
|---|---|---|
| ประโยชน์ | ความคุ้ม (ROI), ความสอดคล้องกับกลยุทธ์, ความพร้อมของคน/วัฒนธรรม, คุณค่าที่สร้าง | ”เอามาแล้วได้อะไร และเรารู้ได้ยังไงว่าได้?” |
| ความเสี่ยง | ความเสี่ยงรวม, การเข้าทะเบียนความเสี่ยง, การตามกฎหมาย, จริยธรรม, ความเป็นส่วนตัว, อคติ, ภาระสัญญา, มีกรอบกำกับไหม | ”อะไรพังได้บ้าง และใครรับผิดชอบเมื่อมันพัง?” |
| ทรัพยากร | คน/เวลา/งบ, ภาพรวมการใช้ทรัพยากร, คนเก่ง+guardrails, ทักษะที่ยืนเองได้, KPI | ”เรามีของพร้อมทำจริงไหม หรือแค่อยากทำ?” |
มุมผู้บริหาร: เวลาเจ้าของกิจการอ่านลิสต์ยาวๆ แบบนี้แล้วท้อ ผมอยากให้จับหลักง่ายๆ ว่าถ้าตอบ “ด้านความเสี่ยง” ไม่ได้สักข้อ ให้ชะลอการขยายการใช้ AI ไว้ก่อน เพราะ “ประโยชน์” ที่ยังไม่มี “กันชนความเสี่ยง” รองรับ มันคือหลุมที่ขุดเตรียมตกเอาไว้ ของที่ดูคุ้มวันนี้ อาจกลายเป็นค่าปรับและข่าวเสียในวันหน้า
”พร้อม” แล้วยังไม่พอ — ต้องมี 4 เสาหลักนี้ถึงจะกำกับ AI ได้จริง
ตรงนี้สำคัญและคนชอบเข้าใจผิด แค่ “ประเมินว่าพร้อม” แล้วก็ใช่ว่าจะมีระบบกำกับ AI ที่ใช้ได้จริง ตำราบอกว่าองค์กรต้องมี องค์ประกอบหลัก 4 อย่าง เป็นฐานก่อน ขอเล่าด้วยภาษาคน
เสาที่ 1 — มีระบบกำกับ IT (I&T governance) ที่โตพอเป็นฐานอยู่แล้ว
คือบริษัทต้องมีกระบวนการกำกับเทคโนโลยีที่ทำงานเป็น รู้ว่าผู้มีส่วนได้เสียต้องการอะไร ตั้งเป้าที่ตกลงกันแล้ว จัดลำดับความสำคัญและตัดสินใจเป็น แล้วก็คอยวัดผลกับเป้า ถ้าระบบกำกับ IT พื้นฐานยังไม่มี การจะไปกำกับ AI ซึ่งซับซ้อนกว่า ก็เหมือนสร้างบ้านบนทรายครับ (พื้นฐานเรื่อง governance นี้คือสิ่งที่ผมลิงก์ไว้ใน Organization Anatomy 101 ตอนต้นบท)
เสาที่ 2 — มีกระบวนการจัดการนวัตกรรม พอร์ต และการตามกฎภายนอก ที่โตพอ
แปลเป็นภาษาคน คือบริษัทต้องเคย “บริหารของใหม่ๆ” เป็น รู้วิธีเลือกว่าจะลงทุนโปรเจกต์ไหน (portfolio management) จัดการนวัตกรรมเป็น และตามกฎเกณฑ์ภายนอกเป็น ถ้าบริษัทยังจัดการโปรเจกต์ IT ธรรมดาให้เสร็จตรงเวลายังไม่ค่อยได้ การโดดไปทำ AI ก็จะยิ่งวุ่น
เสาที่ 3 — มีโครงสร้างกำกับที่เหมาะสม
เช่น มีคณะกรรมการกำกับ (governance committee), มีบอร์ด, มีคณะกรรมการกลยุทธ์ IT, มีคณะกรรมการความเสี่ยงและตรวจสอบ ฯลฯ พูดง่ายๆ คือต้องมี “คนที่ถูกแต่งตั้งให้รับผิดชอบ” เป็นชั้นๆ ไม่ใช่ปล่อยให้ AI เป็นของใครก็ไม่รู้ (เรื่องคณะกรรมการชุดต่างๆ นี้ ผมเล่าไว้ละเอียดใน Organization Anatomy 101 — ตอนนี้แค่เอาแนวคิดเดิมมาครอบ AI)
เสาที่ 4 — มีคนที่มีความรู้พอจะตัดสินใจเรื่อง AI ได้จริง
ข้อนี้ตรงไปตรงมา ต้องมีคนที่ “รู้พอ” จะตัดสินใจเรื่อง AI ได้ ไม่ใช่ตัดสินใจด้วยกระแสหรือคำขายของ vendor มีทรัพยากรและความรู้พร้อมจะลงมือทำ
มุมผู้บริหาร: สังเกตไหมครับว่า 4 เสานี้ เกือบทั้งหมดไม่ได้เกี่ยวกับ “เทคโนโลยี AI” เลย มันเกี่ยวกับ “บริษัทเราจัดระเบียบตัวเองเป็นรึเปล่า” ทั้งสิ้น นี่คือข้อความที่ผมว่าสำคัญที่สุดของตอนนี้ AI governance 80% คือเรื่องการจัดบ้านให้เรียบร้อย ไม่ใช่เรื่องเทคนิคล้ำๆ ถ้าบ้านยังรก เอา AI เข้ามาก็ยิ่งรกเร็วขึ้นเท่านั้นเอง
เครื่องมือจริง — แบบสอบถามประเมินความพร้อม
ทีนี้พอจะเอาไปทำจริง เจ้าของกิจการมักถามว่า “แล้วจะเริ่มเช็คยังไงให้เป็นรูปธรรม?” วิธีที่ตำราแนะนำคือใช้ แบบสอบถามประเมินความพร้อม (governance questionnaire) — เป็นชุดคำถามที่ให้แต่ละข้อตอบว่าบริษัทเราทำได้ระดับไหน
ผมขอเรียบเรียงคำถามหลักๆ ออกมาเป็นภาษาคน แล้วจัดให้ตอบเป็นระดับ ลองให้ทีมแต่ละฝ่ายช่วยกันให้คะแนนดูครับ ระดับที่ใช้คือ ครบถ้วน / เกือบครบ / บางส่วน / ยังไม่มี / ไม่รู้ (ข้อที่ตอบ “ไม่รู้” เยอะๆ บอกอะไรบางอย่างเกี่ยวกับบริษัทเราเองนะครับ)
| # | คำถามประเมินความพร้อม | ตอบระดับไหน? |
|---|---|---|
| 1 | การใช้ AI ในงานของเรา สอดคล้องกับ “ค่านิยมและวิสัยทัศน์” ของบริษัทแค่ไหน | ครบ / เกือบ / บางส่วน / ยังไม่มี / ไม่รู้ |
| 2 | เราระบุ “ประโยชน์ที่ตั้งใจจะได้” จาก AI ไว้ชัดไหม และวัดเป็นตัวเลขต่อเนื่องเพื่อทำ business case ไหม | ครบ / เกือบ / บางส่วน / ยังไม่มี / ไม่รู้ |
| 3 | เราใช้ “ตัวชี้วัด” อะไรวัดประโยชน์ที่ได้จาก AI | ครบ / เกือบ / บางส่วน / ยังไม่มี / ไม่รู้ |
| 4 | เรามีกระบวนการ “ตามดู” ว่าได้ประโยชน์ตามที่หวังจริงไหม | ครบ / เกือบ / บางส่วน / ยังไม่มี / ไม่รู้ |
| 5 | เราระบุ “ความเสี่ยง” จากการใช้ AI ไว้แล้วไหม | ครบ / เกือบ / บางส่วน / ยังไม่มี / ไม่รู้ |
| 6 | เราประเมินความเสี่ยงนั้นเป็น “ปริมาณ” (เป็นตัวเลข/ระดับ) แล้วไหม | ครบ / เกือบ / บางส่วน / ยังไม่มี / ไม่รู้ |
| 7 | แต่ละความเสี่ยงเรากำหนด “วิธีรับมือ” ไว้ไหม (หมายเหตุ: เลือก “ยอมรับความเสี่ยง” ก็เป็นคำตอบที่ถูกต้อง) | ครบ / เกือบ / บางส่วน / ยังไม่มี / ไม่รู้ |
| 8 | เรามีทรัพยากร (ทั้งคนในและคนนอก) พอจะพัฒนา/ใช้งาน AI ไหม | ครบ / เกือบ / บางส่วน / ยังไม่มี / ไม่รู้ |
| 9 | เราตั้ง “คณะทำงานกำกับ AI ข้ามฝ่าย” (cross-functional steering committee) แล้วไหม | ครบ / เกือบ / บางส่วน / ยังไม่มี / ไม่รู้ |
| 10 | คณะทำงานนั้นได้ให้ “แนวทางและขอบเขต” การใช้ AI กับทั้งองค์กรไหม | ครบ / เกือบ / บางส่วน / ยังไม่มี / ไม่รู้ |
| 11 | เรามีการ “เฝ้าดู” ว่าการใช้ AI ยังถูกกฎหมายและกฎเกณฑ์ที่เกี่ยวข้องไหม | ครบ / เกือบ / บางส่วน / ยังไม่มี / ไม่รู้ |
ข้อ 7 ผมอยากเน้นเป็นพิเศษ เพราะคนชอบเข้าใจผิด “ยอมรับความเสี่ยง” (accept) เป็นคำตอบที่ถูกต้อง ครับ governance ที่ดีไม่ได้แปลว่าต้องกำจัดความเสี่ยงทุกอย่างให้หมด (เป็นไปไม่ได้และแพงเกิน) แต่แปลว่า เรารู้ตัวว่ามีความเสี่ยงอะไร แล้วตัดสินใจอย่างมีสติว่าจะทำยังไงกับมัน — จะแก้ จะลด จะโยนให้คนอื่น (เช่นซื้อประกัน) หรือจะยอมรับมัน ก็ได้ทั้งนั้น ตราบใดที่เป็นการตัดสินใจที่ “รู้ตัว” ไม่ใช่ “ไม่รู้ว่ามี”
กับดักที่เจ้าของกิจการมักตกตอนเริ่มทำ AI governance
ก่อนจบ ผมขอรวบกับดักที่เจอบ่อย เผื่อใครกำลังจะเริ่ม จะได้ไม่พลาดแบบเดียวกัน
- กับดักที่ 1 — “เรามี ChatGPT ใช้แล้ว = เราพร้อม” ไม่ใช่เลยครับ การมี เครื่องมือ กับการมี ระบบกำกับ คนละเรื่องกัน เครื่องมือซื้อได้ในห้านาที ระบบกำกับต้องสร้าง
- กับดักที่ 2 — รีบเอามาใช้เพราะกลัวตกขบวน ความกดดันนี้มีจริง แต่การกระโดดโดยไม่ประเมินความพร้อม มักจบที่โปรเจกต์ล้มและเสียเงินฟรี (เดี๋ยวตอนหลังๆ จะเล่าว่าทำไมโปรเจกต์ AI ถึงล้มกันเยอะ)
- กับดักที่ 3 — คิดว่า governance คือเรื่องของฝ่าย IT ไม่ใช่นะ มันเริ่มจากเจ้าของ/ผู้บริหารที่ต้อง “ตั้งโทนจากข้างบน” (tone at the top) ถ้าผู้นำไม่เอาด้วย ฝ่าย IT ทำไปก็ไม่มีอำนาจพอ
- กับดักที่ 4 — มองข้ามคนของตัวเอง กลัวพนักงานต่อต้าน เลยไม่บอก สุดท้ายพนักงานแอบใช้ AI กันเองแบบไม่มีกฎ (ซึ่งเสี่ยงกว่าเดิม) governance ที่ดีต้องคิดเรื่อง change management และความรู้สึกของคนด้วย
- กับดักที่ 5 — ทำครั้งเดียวแล้วเก็บขึ้นหิ้ง อย่าลืมว่า AI ไม่นิ่ง (drift/hallucination) แบบสอบถามความพร้อมนี้ควรหยิบมาทบทวนเป็นระยะ ไม่ใช่ทำตอนเริ่มแล้วลืม
สรุปสั้นๆ ให้ตัวเองจำได้
อ่านมาถึงตรงนี้ ขอจดกันลืมไว้สามอย่างครับ
อย่างแรก — AI คือพนักงานใหม่ที่ต้องกำกับ ไม่ใช่เครื่องวิเศษ AI Governance ก็คือระบบ “ตั้งกฎ มองความเสี่ยง แล้วคุมงาน” สำหรับพนักงานที่ชื่อ AI นี่แหละ และเพราะมันเก่งเร็วแต่มีนิสัยแปลก (อคติแฝง, มั่วอย่างมั่นใจ, เพี้ยนเอง) เราจึงปล่อยให้มันทำงานเองโดยไม่กำกับไม่ได้
อย่างที่สอง — “พร้อม” ไม่ได้แปลว่า “มีของ” แต่แปลว่า “จัดบ้านเป็น” ก่อนกระโดดเข้า AI ให้เช็คความพร้อม 3 ด้าน (ประโยชน์ / ความเสี่ยง / ทรัพยากร) และต้องมี 4 เสาหลัก ซึ่งเกือบทั้งหมดเป็นเรื่อง “บริษัทเราจัดระเบียบตัวเองเป็นไหม” ไม่ใช่เรื่องเทคนิค AI
อย่างที่สาม — เริ่มจากคำถามเดียวก่อนว่า “ใครเป็นเจ้าของเรื่องนี้?” ถ้าวันนี้ยังตอบไม่ได้ ให้แก้ข้อนี้ก่อนข้ออื่นทั้งหมด เพราะ governance ที่ไม่มีคนรับผิดชอบ ก็คือไม่มี governance
ถ้าจะสรุปแบบที่เจ้าของกิจการหลายคนน่าจะพยักหน้าตามก็คือ “งั้นก็ไม่ต้องเป็นกูรู AI ใช่มะ แค่จัดบ้านให้เรียบ ตั้งคนรับผิดชอบให้ชัด แล้วถามตัวเองให้ครบก่อนกระโดด” ใช่เลยครับ นั่นแหละคือจุดเริ่มของ AI governance
ตอนหน้าเราจะเจาะลงไปที่คำถามที่ค้างไว้ “ใครกำกับ AI กันแน่ในบริษัท?” เรื่องบทบาทและความรับผิดชอบ ตั้งแต่เจ้าของ/บอร์ด ลงมาถึงคนใช้งาน ใครต้องทำอะไร แล้วทำไมต้องมี “คณะกรรมการกำกับ AI” ไว้เจอกันครับ
อ้างอิงเนื้อหา: AAISM — Domain 1: Section 1.1 (AI Governance Concepts) และ 1.1.1 (AI Readiness) แหล่งสาธารณะที่อ้างถึงโดยตรง: ISACA, Artificial Intelligence Governance Brief, 2024 (isaca.org)
