สารบัญ
AAISM Series — คู่มือคุม AI ในมุมคนบริหาร (ไม่ใช่มุมผู้ตรวจ) ตอนที่ 07 / Domain 1 — AI Governance & Program Management ซีรีส์นี้เล่าจากมุม “เจ้าของกิจการ / CISO ที่เอา AI มาใช้จริง” ว่าต้องตัดสินใจอะไรบ้าง (สารบัญเต็มจะตามมา)
📚 ตอนนี้ผมจะ ไม่ อธิบายตั้งแต่ศูนย์ว่า “policy / standard / procedure ต่างกันยังไง” หรือ “ลำดับชั้นของเอกสารกำกับองค์กรมันซ้อนกันแบบไหน” เพราะเล่าไว้ละเอียดแล้วในซีรีส์ CyberSecurity Foundation ตอนที่ 48 — Policy / Standard / Procedure ใครยังงงว่า “นโยบาย” กับ “ขั้นตอนปฏิบัติ” มันคนละชั้นกันยังไง แวะไปอ่านปูพื้นก่อนได้ครับ ตอนนี้เราจะโฟกัสเฉพาะ เอกสารกำกับ AI โดยเฉพาะ กับคำถามที่เจ้าของกิจการต้องตอบจริงๆ ว่า “จะออกกติกาใช้ AI ยังไงให้คนทำตามได้ ไม่ใช่แค่แปะไว้บนผนัง”
ลองนึกภาพบริษัทรับทำการตลาดออนไลน์ขนาดกลางแห่งหนึ่ง (สมมติขึ้นมาให้เห็นภาพนะครับ) เจ้าของไม่เคยประกาศอะไรเกี่ยวกับ AI เลย แต่อยู่มาวันหนึ่งบังเอิญเดินไปเห็นจอคอมของทีมงาน แล้วก็เลยรู้ว่าคนหนึ่งกำลังก๊อปสัญญาลูกค้าฉบับเต็ม (ที่มีชื่อ ที่อยู่ ราคา เงื่อนไขลับ) วางลงไปใน ChatGPT เพื่อให้ช่วยสรุป อีกคนเอารูปงานออกแบบของลูกค้าไปให้ AI ปรับสีโดยไม่ได้ขออนุญาตใคร แล้วอีกคนก็เพิ่งส่งอีเมลที่ AI ร่างให้ทั้งฉบับไปหาลูกค้าโดยไม่ได้อ่านทวนเลย
เจ้าของยืนนิ่งไปแป๊บ แล้วคิดในใจว่า ”…เอ๊ะ แล้วเราเคยบอกรึยังว่าอะไรทำได้ อะไรทำไม่ได้?”
คำตอบคือ ไม่เคย ครับ และนั่นแหละคือปัญหา
นี่คือความจริงข้อแรกที่ผมอยากให้เจ้าของกิจการทุกคนยอมรับก่อนเข้าเรื่อง พนักงานจะใช้ AI อยู่แล้ว ไม่ว่าคุณจะมีกฎหรือไม่มี เครื่องมือพวกนี้มันฟรี เปิดมือถือก็ใช้ได้ คุณห้ามไม่ได้หรอกครับ คำถามจึงไม่ใช่ “จะให้ใช้ไหม” แต่เป็น “จะปล่อยให้ใช้กันมั่วๆ แบบไม่มีกติกา หรือจะวางกรอบให้ชัดก่อนที่ความเสียหายจะเกิด”
ตอนนี้เราจะคุยกันสามชั้นพอดี เรียงจากเบาไปหนัก:
- AI Acceptable Use Policy (AUP) — “ใบกติกาสั้นๆ” ที่บอกพนักงานว่าอะไรทำได้ อะไรทำไม่ได้
- AI Policy ตัวเต็ม — นโยบายแม่ที่วางหลักการทั้งบริษัท พร้อมเรื่อง “ใช้ AI อย่างรับผิดชอบ” (Responsible AI)
- SOP / คู่มือ / playbook — ขั้นตอนปฏิบัติจริงที่เอาไปทำตามได้ทีละสเต็ป
สามอันนี้ไม่ใช่ของซ้ำกันนะครับ มันคือสามชั้นที่ต่อกันลงมา ผมจะอธิบายให้เห็นว่ามันต่างชั้นกันยังไง แล้วเจ้าของกิจการต้องตัดสินใจอะไรในแต่ละชั้น
พนักงานใหม่ที่ชื่อ AI — ทำไมต้องมี “คู่มือพนักงาน”
ทั้งซีรีส์นี้ผมชวนมองว่า AI = พนักงานใหม่เก่งๆ คนหนึ่งที่เราต้องกำกับ ไม่ใช่เครื่องมือวิเศษที่เสกแล้วจบ
ลองคิดแบบนี้ครับ สมมติคุณรับเด็กจบใหม่ที่เก่งมากเข้ามาทำงาน หัวไวสุดๆ ทำงานเร็ว แต่… ไม่รู้กติกาบริษัทเลยสักข้อ ไม่รู้ว่าข้อมูลไหนเป็นความลับ ไม่รู้ว่างานไหนต้องให้หัวหน้าเซ็นก่อน ไม่รู้ด้วยซ้ำว่าพูดกับลูกค้ายังไงถึงจะไม่ทำบริษัทเสียหาย
ถ้าคุณปล่อยเด็กคนนี้ทำงานโดยไม่มี คู่มือพนักงาน เลย จะเกิดอะไรขึ้น? มันก็เก่งจริง แต่ก็พร้อมจะทำเรื่องพังได้ตลอดเวลา เพราะมันไม่รู้ขอบเขต
AI ก็เป๊ะเลยครับ มันเก่ง มันเร็ว แต่มันไม่รู้กติกาบริษัทคุณ และที่แย่กว่าคือ พนักงานคนจริงที่เอา AI ไปใช้ก็ไม่รู้กติกาเหมือนกัน เพราะคุณยังไม่เคยเขียนมันออกมา
เอกสารสามชั้นที่เราจะคุยกันวันนี้ ก็คือ “คู่มือพนักงาน” สำหรับพนักงานใหม่ที่ชื่อ AI นั่นเอง — และที่จริงมันก็คือคู่มือสำหรับ คนจริง ที่เอา AI ไปใช้ด้วย
| ชั้นเอกสาร | เทียบกับคู่มือพนักงานคนจริง | ตอบคำถามว่า |
|---|---|---|
| AUP (กติกาใช้งาน) | “ข้อห้าม-ข้ออนุญาต” ที่ติดไว้หน้าออฟฟิศ | ทำอะไรได้ ทำอะไรไม่ได้ |
| AI Policy (นโยบายเต็ม) | คู่มือพนักงานเล่มหลัก + ค่านิยมบริษัท | เราเชื่อในหลักการอะไร ใครรับผิดชอบ |
| SOP / คู่มือ | ขั้นตอนทำงานทีละสเต็ป | ทำ “ยังไง” ให้ถูกต้อง |
เริ่มจากชั้นบนสุด ที่เบาที่สุดและทำก่อนได้เลย — AUP
ชั้นที่ 1 — AI Acceptable Use Policy (AUP): ใบกติกาที่บอกว่าอะไรทำได้
AI Acceptable Use Policy หรือ AUP คือเอกสารที่บอกตรงๆ ว่า บริษัทตัดสินใจแล้วว่า “การใช้ AI แบบไหน = ยอมรับได้ แบบไหน = ห้าม” พูดให้เห็นภาพคือมันเป็นเครื่องมือสำหรับ บอกพนักงานว่าเราคาดหวังอะไรเวลาเขาใช้ AI ไม่มากไปกว่านั้น ไม่น้อยไปกว่านั้น
ยกตัวอย่างที่ AUP มักพูดถึง เช่น “ข้อมูลประเภทไหนเอาไปป้อนให้ AI ฝึก/ประมวลผลได้บ้าง” — ข้อมูลลูกค้าได้ไหม? ความลับทางการค้าได้ไหม? เรื่องพวกนี้แหละครับที่ AUP ตอบ
จุดที่ผมอยากเน้นคือ AUP มันไม่ได้ลึกซึ้งซับซ้อน มันคือ “กฎกติกาหน้าออฟฟิศ” สั้นๆ ที่พนักงานอ่านแล้วเข้าใจทันทีว่าทำอะไรได้ ทำอะไรไม่ได้ ความซับซ้อนมันจะไปอยู่ในชั้นถัดๆ ไป (Policy เต็ม กับ SOP)
ก่อนจะเขียน AUP — 8 การบ้านที่เจ้าของต้องทำก่อน
ตรงนี้สำคัญ และเป็นมุมที่หนังสือเขียนไว้ดี — อย่าเพิ่งกระโดดไปเขียนกฎเลย เพราะกฎที่เขียนโดยไม่เข้าใจสถานการณ์ตัวเอง จะออกมาเป็นกฎที่ไม่มีใครทำตาม หรือกฎที่ห้ามจนทำงานไม่ได้ AAISM แนะนำว่าก่อนร่าง AUP เจ้าของควรทำการบ้าน 8 อย่างก่อน ผมขอเล่าด้วยภาษาคนในมุม “เจ้าของต้องตัดสินใจอะไร”:
| การบ้านก่อนเขียน AUP | แปลเป็นคำถามที่เจ้าของต้องตอบ |
|---|---|
| 1. เข้าใจตัวเทคโนโลยี AI ก่อน | เราจะใช้ AI แบบไหน? (GenAI อย่าง ChatGPT/DALL·E/Grok หรืออื่นๆ) มันเก่ง/ไม่เก่งอะไร มีอคติแฝงไหม ควรใช้ตัว public ที่ใครก็เข้าถึง หรือตัว private ที่ปิดในบริษัท |
| 2. ประเมินว่าองค์กรจะใช้ AI ทำอะไร | เราจะเอา AI ไปใช้กับงานไหนบ้างจริงๆ? เพราะคำตอบนี้จะกำหนดว่ากติกาต้องครอบอะไร และอุตสาหกรรมเรามีกฎหมาย/ข้อบังคับเฉพาะอะไรไหม |
| 3. ประเมินความเสี่ยง | ถ้าปล่อยให้ใช้ AI จะพังได้ตรงไหน? ทั้งความเสี่ยงทางเทคนิค (เช่น AI ตอบมั่ว) และทางจริยธรรม (เช่น ให้ข้อมูลที่ทำให้คนเข้าใจผิด) |
| 4. ระบุวัตถุประสงค์และขอบเขตให้ชัด | กติกานี้ทำไปเพื่ออะไร? คุมแค่ GenAI หรือคุม AI ทุกแบบ? เส้นแบ่งอยู่ตรงไหน |
| 5. ดูนโยบาย IT/ความมั่นคงเดิมที่มีอยู่ | เรามีนโยบายเก่าที่พูดเรื่องนี้อยู่แล้วไหม? อย่าเขียนใหม่ทั้งหมดถ้ายืมของเดิมได้ จะได้ไม่ขัดกันเอง |
| 6. ดึงผู้มีส่วนได้ส่วนเสียมาร่วมร่าง | ใครต้องมีส่วนร่วม? (ทีมเทคนิค กฎหมาย คนหน้างาน) เพื่อให้กติกาทำตามได้จริง ไม่ใช่นั่งเทียนเขียนคนเดียว |
| 7. เลือก governance framework มายึด | เราจะอิงกรอบไหนเป็นหลัก? เพื่อให้การตัดสินใจมีระบบ โปร่งใส มีคนรับผิดชอบชัด |
| 8. เตรียมแผนสื่อสารทั้งใน-นอก | จะบอกพนักงานยังไง? จะบอกลูกค้า/หน่วยงานกำกับยังไง? เพราะนโยบายต้องเป็น “เอกสารที่มีชีวิต” สื่อสารต่อเนื่อง ไม่ใช่เขียนเสร็จแล้วทิ้ง |
ข้อ 5 ผมอยากขยายหน่อย เพราะเจ้าของกิจการชอบพลาด — อย่าเพิ่งคิดว่าต้องเขียนนโยบาย AI ขึ้นมาใหม่หมดจากศูนย์ หลายบริษัทมีนโยบายความปลอดภัยข้อมูล นโยบายการใช้คอมพิวเตอร์ของบริษัท หรือ AUP ของระบบ IT อยู่แล้ว ภาษาและความรับผิดชอบหลายอย่างยืมมาใช้ได้เลย ทำให้ไม่ต้องเริ่มจากกระดาษเปล่า และที่สำคัญคือกติกาใหม่จะไม่ขัดกับของเก่า
มุมผู้บริหาร: ก่อนสั่งให้ใครไปร่าง AUP ลองถามตัวเอง 3 ข้อนี้ก่อน ข้อแรก “เรารู้จริงๆ รึยังว่าพนักงานเราเอา AI ไปใช้ทำงานอะไรบ้างตอนนี้?” ถ้ายังไม่รู้ ให้ไปสำรวจก่อน เพราะคุณจะเขียนกฎคุมสิ่งที่คุณไม่รู้ว่ามีอยู่ไม่ได้ ข้อสอง “งานไหนคือ ‘ห้ามเด็ดขาด’ งานไหน ‘ทำได้แต่ต้องขออนุญาตก่อน’ งานไหน ‘ทำได้เลย’?” และข้อสาม “ใครจะเป็นคนเซ็นอนุมัติกติกานี้ แล้วเวลาพนักงานสงสัยใครจะเป็นคนตอบ?”
ชั้นที่ 2 — AI Policy ตัวเต็ม: นโยบายแม่ของทั้งบริษัท
ถ้า AUP คือ “กฎหน้าออฟฟิศ” ตัว AI Policy เต็มๆ คือ “คู่มือพนักงานเล่มหลัก” ที่วางหลักการ ค่านิยม และกติกาทั้งหมดของบริษัทเรื่อง AI
ทำไมต้องมีนโยบายเป็นเล่ม? เพราะนโยบายขององค์กรคือกลไกหลักที่ทำให้ทุกคน ตัดสินใจไปในทางเดียวกัน — มันทำให้เกณฑ์การตัดสินใจเหมือนกันทั้งบริษัท สื่อสารกลยุทธ์ออกไป และบอกทั้งพนักงานและลูกค้าว่าบริษัทเรายึดค่านิยมอะไร เวลาพนักงานเจอสถานการณ์ที่ AUP สั้นๆ ไม่ได้ครอบคลุม เขาจะกลับมาดูได้ว่า “หลักการของบริษัทคืออะไร” แล้วตัดสินใจตามนั้น
6 ปัจจัยที่ทำให้นโยบาย AI “มีชีวิต” จริง ไม่ใช่ไฟล์ที่ไม่มีใครเปิด
หนังสือ AAISM ชี้ปัจจัยที่ทำให้นโยบาย AI ถูกนำไปใช้จริง ไม่ใช่แค่เขียนเสร็จแล้วนอนนิ่งในไดรฟ์ ผมเรียบเรียงเป็นมุมเจ้าของ:
| ปัจจัยความสำเร็จ | เจ้าของต้องทำอะไร / ทำไมสำคัญ |
|---|---|
| ผู้บริหารหนุนหลังจริง | ตัวเจ้าของ/ผู้บริหารต้อง commit และ ใส่ลงในตัวนโยบายให้เห็นชัด ว่าผู้บริหารหนุนเรื่องนี้ พนักงานถึงจะเชื่อว่ามันเอาจริง ไม่ใช่นโยบายลอยๆ |
| สอดคล้องกับกลยุทธ์บริษัท | นโยบาย AI ต้องไปทางเดียวกับเป้าหมายธุรกิจและวัฒนธรรมองค์กร ไม่ใช่กติกาที่สวนทางกับสิ่งที่บริษัททำ |
| ชัดเจนและเส้นเดียวกัน | เขียนให้สั้น กระชับ คนทั้งบริษัทอ่านเข้าใจตรงกัน ใช้แนวเดียวกับที่บริษัทเขียนนโยบายอื่นๆ อยู่แล้ว |
| เปิดให้ feedback จนได้ฉันทามติ | ส่งร่างให้ผู้เกี่ยวข้องช่วยดูก่อนประกาศ เพื่อให้ทุกคนรู้สึกเป็นเจ้าของ → พอประกาศจริงคนถึงทำตาม |
| สื่อสาร + อบรม | พอนโยบายอนุมัติแล้ว ต้องสื่อสารทั้งบริษัท พร้อมแผนอบรม และต้อง พูดซ้ำหลายรอบ เพราะบอกครั้งเดียวคนไม่จำ |
| ทบทวนเป็นระยะ | กฎ AI และความเสี่ยงเปลี่ยนเร็วมาก ควรทบทวน อย่างน้อยปีละครั้ง หรือทุกครั้งที่บริษัทมีการเปลี่ยนแปลงใหญ่ |
มุมผู้บริหาร: ปัจจัยที่เจ้าของกิจการมองข้ามบ่อยที่สุดคือข้อ “สื่อสาร + พูดซ้ำ” ครับ หลายคนคิดว่าเขียนนโยบายเสร็จ ส่งอีเมลแจ้งครั้งเดียวแล้วจบ ไม่จบครับ คนไม่อ่าน คนลืม ของแบบนี้ต้องย้ำในที่ประชุม ในการอบรม ในการ onboard พนักงานใหม่ ซ้ำๆ จนมันกลายเป็นวัฒนธรรม ไม่งั้นนโยบายดีแค่ไหนก็เท่ากับไม่มี
โครงสร้างนโยบาย AI — 6 ส่วนที่ควรมี
ทีนี้พอจะลงมือเขียนนโยบายจริง มันมีโครงมาตรฐานที่ควรมีอยู่ ผมขอไล่ทั้ง 6 ส่วน พร้อมแปลว่าแต่ละส่วนตอบอะไร:
- บทนำ (Introduction) — อธิบายว่าทำไมบริษัทถึงต้องมีนโยบายนี้ และ บอกชัดว่าผู้บริหารหนุนหลัง พร้อมเชื่อมกับกลยุทธ์บริษัท นี่คือส่วนที่ทำให้พนักงานรู้ว่า “นี่เรื่องจริงจัง”
- อภิธานศัพท์ (Glossary) — รวบรวมศัพท์ AI และตัวย่อมาอธิบายให้ชัด เพื่อลดความสับสน ข้อนี้สำคัญกว่าที่คิด เพราะคนในบริษัทเข้าใจคำว่า “AI” “โมเดล” “prompt” ไม่เหมือนกันเลย
- วัตถุประสงค์ (Purpose) — บอกว่านโยบายนี้มีไว้เพื่ออะไร พร้อมหลักการและแนวปฏิบัติที่กำกับการใช้ AI อย่างรับผิดชอบและปลอดภัย ตัวอย่างถ้อยคำที่ใช้ได้คือทำนองว่า “นโยบายนี้วางแนวทางให้พนักงานใช้ AI อย่างรับผิดชอบ โปร่งใส ปลอดภัย และสอดคล้องกับค่านิยมขององค์กร รวมถึงกฎหมายและข้อบังคับที่เกี่ยวข้อง”
- ขอบเขต (Scope) — กำหนดให้ชัดว่านโยบายนี้ครอบใคร ครอบกระบวนการ/แผนกไหน และจุดที่คนชอบลืม — มันครอบแค่พนักงาน หรือครอบ vendor/ผู้รับเหมา/พาร์ตเนอร์ด้วย? ปกติจะตั้งในระดับทั้งกลุ่มบริษัทเพื่อให้ทุกคนเดินเส้นเดียวกัน
- หลักการ (Principles) — นี่คือ หัวใจของนโยบาย เป็นส่วนที่วางเกณฑ์และหลักการใช้ AI ทั้งหมด (ผมจะแตกให้ดูข้างล่าง)
- วันที่ทบทวนล่าสุด — ฟังดูเล็กแต่สำคัญ เพราะมันบอกว่านโยบายนี้ “สดอยู่ไหม” ใครหยิบมาอ่านจะรู้ทันทีว่าอัปเดตครั้งสุดท้ายเมื่อไหร่
ส่วน “หลักการ” (ข้อ 5) คือเนื้อจริง มันควรครอบคลุมเรื่องเหล่านี้:
- การใช้งานที่ได้รับอนุญาต — ตรงนี้เป็นหัวใจของหัวใจเลยครับ ควรแบ่งเป็น 3 ระดับให้ชัด:
- ใช้ได้เลย ไม่ต้องขอใคร (เช่น สมมติ — ให้ AI ช่วยร่างอีเมลภายในทีม แล้วคนอ่านทวนก่อนส่ง)
- ใช้ได้แต่ต้องขออนุญาตก่อน (เช่น สมมติ — เอาข้อมูลที่จัดชั้นว่า “ภายใน” ไปให้ AI ประมวลผล)
- ห้ามเด็ดขาด (เช่น สมมติ — ก๊อปสัญญาลูกค้าที่มีข้อมูลลับวางลงเครื่องมือ AI สาธารณะ)
- การใช้ AI อย่างรับผิดชอบ (Responsible AI — เดี๋ยวขยายข้างล่าง)
- ความโปร่งใสในการตัดสินใจ — ถ้า AI มีส่วนในการตัดสินใจ ต้องอธิบายได้ว่าตัดสินจากอะไร
- ความเป็นธรรมและเรื่องอคติ (bias) — ระวังไม่ให้ AI เลือกปฏิบัติ
- เรื่อง third party — ถ้าใช้ AI จากภายนอก ต้องคุมยังไง
- การกำกับและควบคุมระบบ AI
- การอบรมและสร้างความตระหนัก
- เรื่องความปลอดภัย
- การติดตามการปฏิบัติตาม (compliance monitoring)
- การทบทวน/ดูแลรักษานโยบาย
มุมผู้บริหาร: ถ้าคุณมีเวลาเขียนแค่ส่วนเดียวให้ดี ให้ลงแรงกับ “การใช้งานที่ได้รับอนุญาต — 3 ระดับ” ครับ เพราะนี่คือส่วนที่พนักงานเปิดมาดูบ่อยที่สุด และเป็นส่วนที่ป้องกันเหตุการณ์ “เอาความลับลูกค้าไปวางใน ChatGPT” ได้ตรงจุดที่สุด ส่วนหลักการสวยๆ อย่างความโปร่งใส ความเป็นธรรม สำคัญก็จริง แต่ถ้าไม่มีเส้นแบ่ง “ทำได้/ขอก่อน/ห้าม” ที่ชัด พนักงานหน้างานก็ไม่รู้จะทำตัวยังไงอยู่ดี
Responsible AI — “ใช้ AI อย่างรับผิดชอบ” ที่พูดง่ายแต่ทำยาก
มีคำหนึ่งที่จะโผล่ตลอดในเรื่องนโยบาย AI คือ Responsible AI (RAI) หรือ “การใช้ AI อย่างรับผิดชอบ” — หมายถึงการใช้ AI อย่างมีจริยธรรม สอดคล้องกับมาตรฐานองค์กร และ หลีกเลี่ยงสิ่งที่อาจทำร้ายลูกค้า บุคคลภายนอก หรือตัวบริษัทเอง
ทำไมเจ้าของต้องแคร์? เพราะถ้าใช้ AI แบบไม่รับผิดชอบ ผลที่ตามมามันเจ็บจริง ทั้งชื่อเสียงเสียหาย โดนฟ้อง โดนปรับ ละเมิดความเป็นส่วนตัว และที่ร้ายคือ พนักงานกับลูกค้าหมดความเชื่อใจ ซึ่งเรียกกลับมายาก
แต่นี่คือจุดที่หนังสือพูดตรงดี — “อยากทำ RAI” กับ “ทำ RAI ได้จริง” มันคนละเรื่องกัน หลายบริษัทประกาศว่าจะใช้ AI อย่างรับผิดชอบ แต่พอลงมือจริงกลับทำไม่ได้ ตัวที่ทำให้มันเกิดจริงคือ วัฒนธรรมองค์กร + การอบรมและสร้างความตระหนักที่เหมาะสม ให้พนักงานเข้าใจนโยบายและขอบเขตการใช้งานจริงๆ ไม่ใช่แค่มีเอกสาร
หนังสือวางลำดับการ “เริ่มโปรแกรม RAI” ไว้เป็น 7 จังหวะ ผมขอเล่าด้วยภาษาคนว่าแต่ละจังหวะเจ้าของต้องทำอะไร:
| จังหวะ | แปลเป็นภาษาเจ้าของ |
|---|---|
| 1. วางโทน (Set Tone) | ผู้บริหารส่งสัญญาณชัดว่า “เราเอาจริงเรื่องใช้ AI อย่างรับผิดชอบ” |
| 2. ให้อำนาจผู้นำ (Empower Leadership) | ตั้งคน/ทีมที่รับผิดชอบเรื่องนี้จริงๆ มีอำนาจตัดสินใจ |
| 3. สร้างวัฒนธรรม (Establish Culture) | ทำให้เรื่องนี้เป็นค่านิยม ไม่ใช่กฎที่คนแอบเลี่ยง |
| 4. วางเส้นฐาน (Establish a Baseline) | สำรวจว่าตอนนี้บริษัทอยู่ตรงไหน ทำอะไรไปแล้วบ้าง |
| 5. วางเครื่องมือและกระบวนการ (Tools & Process) | มีเครื่องมือ มีขั้นตอนให้คนทำตามได้จริง |
| 6. คนต้องอยู่ในวงจรเสมอ (Keep Humans in the Loop) | AI เสนอได้ แต่คนต้องเป็นคนตัดสินใจ/ตรวจทานสุดท้าย |
| 7. ประเมินและเฝ้าระวัง (Assess & Monitor) | วัดผลและติดตามต่อเนื่อง ไม่ใช่ทำครั้งเดียวจบ |
จังหวะที่ 6 “Keep Humans in the Loop” คือหัวใจที่ผมอยากย้ำ — กลับไปที่เปรียบเทียบ “พนักงานใหม่ที่ชื่อ AI” ครับ เด็กเก่งแค่ไหนเราก็ไม่ปล่อยให้เซ็นสัญญาเองโดยไม่มีหัวหน้าดู AI ก็เหมือนกัน มันร่างได้ เสนอได้ แต่การตัดสินใจสุดท้ายต้องมีคนจริงรับผิดชอบเสมอ
แล้วจะรู้ได้ไงว่าโปรแกรม RAI ของเรา “โตถึงไหนแล้ว”? หนังสือมีตารางวัดระดับความสุกงอม (maturity) ไว้ ผมสรุปเป็นบันได 5 ขั้นแบบเข้าใจง่าย:
| ระดับ | บริษัทอยู่ตรงนี้แปลว่า |
|---|---|
| Baseline (เริ่มต้น) | แทบไม่เข้าใจ RAI ยังไม่มีนโยบาย/กระบวนการเป็นเอกสาร เริ่มจากเรื่องข้อมูลและความเป็นส่วนตัวก่อน |
| Emerging (เริ่มก่อตัว) | เริ่มเข้าใจ RAI มีนโยบาย/กระบวนการพื้นฐาน เริ่มประเมินความเสี่ยงระบบที่อยู่ในขอบเขต |
| Developing (กำลังพัฒนา) | ทั้งองค์กรเข้าใจ RAI ดีพอควร คิดครบเรื่องความเป็นธรรม/ความเป็นส่วนตัว/ความปลอดภัย/ความแม่นยำ/การกำกับดูแล/ความโปร่งใส/ความรับผิด และประเมินความเสี่ยงต่อเนื่อง |
| Realizing (เห็นผล) | เข้าใจลึก มีการอบรมพนักงาน รับฟัง feedback จากหลายฝ่าย เริ่มใช้ best practice |
| Leading (นำหน้า) | เข้าใจลึกพร้อมอบรมเจาะจง ทำ best practice ทั้งโปรแกรม รับ feedback หลากหลาย และตั้งเป้า “ทำให้ดีขึ้นเรื่อยๆ” |
ตารางนี้มีประโยชน์ตรงที่เจ้าของกิจการเอาไป “วัดตัวเอง” ได้ — ส่วนใหญ่ SME ไทยตอนนี้จะอยู่แถว Baseline ถึง Emerging ครับ ซึ่งไม่ใช่เรื่องน่าอาย แค่รู้ว่าตัวเองอยู่ตรงไหนแล้วค่อยๆ ขยับขึ้นก็พอ ไม่ต้องกระโดดไป Leading ในวันเดียว
ชั้นที่ 3 — SOP / คู่มือ / playbook: ขั้นตอนที่เอาไปทำตามได้จริง
มาถึงชั้นล่างสุด ที่ลงรายละเอียดที่สุด SOP (Standard Operating Procedure — ขั้นตอนปฏิบัติมาตรฐาน), คู่มือ (manual), และ playbook คือของที่บอก “ทำยังไง” ทีละสเต็ป ต่างจากนโยบายที่บอกแค่ “ทำอะไร/ยึดหลักอะไร”
เปรียบเทียบง่ายๆ: นโยบายบอกว่า “ห้ามเอาข้อมูลลับลูกค้าไปป้อน AI สาธารณะ” — แต่ SOP บอกว่า “ถ้าจะใช้ AI ช่วยสรุปเอกสารลูกค้า ให้ทำตามขั้นตอนนี้: 1) ลบชื่อ/เลขบัตร/ข้อมูลระบุตัวตนออกก่อน 2) ใช้เครื่องมือตัวที่บริษัทอนุมัติเท่านั้น 3) อ่านทวนผลลัพธ์ก่อนใช้” — เห็นความต่างไหมครับ อันบนคือ “หลัก” อันล่างคือ “วิธี”
AI ไม่ใช่ระบบ IT ธรรมดา — อย่าเอา SOP เก่ามาใช้ทื่อๆ
จุดที่หนังสือเตือนและผมเห็นด้วยมากคือ — อย่าคิดว่า AI เป็นแค่ระบบ IT อีกตัวหนึ่ง SOP ของ IT เดิมหลายอันใช้ได้ก็จริง แต่ AI มันมีลักษณะเฉพาะที่ระบบ IT ทั่วไปไม่มี
ตัวอย่างที่ชัดสุดคือ เรื่องข้อมูล — AI กินข้อมูลมหาศาลในการฝึกและทำงาน ฉะนั้น SOP ของ AI ต้องมีขั้นตอนเรื่อง “เก็บ-จัดการ-ปกป้อง-ทำความสะอาดข้อมูล” ที่ระบบ IT ปกติไม่ต้องคิดละเอียดขนาดนั้น เพราะข้อมูลที่ป้อนเข้าไปมันส่งผลโดยตรงต่อผลลัพธ์ที่ออกมา (ถ้าข้อมูลขยะเข้าไป ผลก็ขยะออกมา)
นอกจากนั้น SOP ของ AI ยังต้องครอบเรื่อง จริยธรรมและสิทธิมนุษยชน ด้วย ซึ่งเป็นพื้นที่ที่ทีมความปลอดภัยเดิมอาจไม่เคยคิดมาก่อน
และที่สำคัญสุด — SOP ของ AI ต้องไม่จำกัดอยู่แค่ในแผนก IT เพราะทั้งบริษัทใช้ AI ไม่ใช่แค่ IT ฝ่ายขาย ฝ่ายการตลาด ฝ่ายบุคคล ก็ใช้กันหมด SOP ทุกตัวต้องสอดคล้องกับ AUP และหลักการ RAI ที่เราวางไว้ในสองชั้นบน เพื่อให้ทั้งบริษัทใช้ AI ไปในทางเดียวกัน
มุมผู้บริหาร: ข้อผิดพลาดคลาสสิกคือมอบหมายให้ฝ่าย IT เขียน SOP เรื่อง AI ตัวเดียวจบ แล้วคิดว่าครอบคลุมทั้งบริษัท — ไม่ครอบครับ เพราะคนที่เอา AI ไปใช้เสี่ยงที่สุดมักไม่ใช่ IT แต่เป็นฝ่ายที่แตะข้อมูลลูกค้าโดยตรง เช่น ฝ่ายขายหรือฝ่ายบริการลูกค้า เจ้าของควรถามว่า “SOP เรื่อง AI ของเราครอบทุกฝ่ายที่ใช้ AI จริงๆ ไหม หรือครอบแค่ IT?”
ใช้ AI ช่วยเขียน SOP เอง — ได้ แต่มีกับดัก
มีมุมที่สนุกและเจ้าของกิจการชอบ คือ — เราเอา AI มาช่วยเขียน SOP/คู่มือเองได้ด้วย ไม่ใช่แค่เขียน SOP เรื่อง AI แต่ใช้ AI ช่วยร่าง SOP ของทุกแผนกได้เลย เครื่องมืออย่าง GenAI และ NLP (Natural Language Processing — เทคนิคให้คอมเข้าใจภาษาคน) ช่วยทุ่นแรงงานเขียนเอกสารพวกนี้ได้เยอะ
แต่ — และนี่คือกับดักใหญ่ — มันไม่ง่ายแค่พิมพ์ว่า “ChatGPT ช่วยเขียนขั้นตอนการสแกนเครือข่ายให้หน่อย” แล้วได้ของดีออกมา หนังสือใช้คำว่า “garbage in, garbage out” — ป้อนขยะเข้าไป ก็ได้ขยะออกมา ก่อนจะให้ AI ช่วย ต้องทำการบ้านก่อน:
- กำหนดให้ชัดว่าต้องการ SOP เรื่องอะไรบ้าง — ระบุ “โจทย์” ให้ชัดก่อน เพื่อตั้ง prompt ให้ตรง และจะได้ตรวจสอบผลลัพธ์ได้ก่อนเอาไปประกาศใช้ทั้งบริษัท คนที่ดูแลควรทำให้ทุกฝ่ายเข้าใจว่าต้องอธิบายกระบวนการให้ AI ละเอียดแค่ไหน
- ใช้ NLP วิเคราะห์เอกสารเดิมที่มีอยู่ — เอาเอกสารกระบวนการเก่ามาให้ AI ช่วยดึงข้อมูล จัดรูปแบบ SOP ให้สม่ำเสมอ ดึง keyword และ best practice ออกมา (ใช้โปรแกรมพิมพ์ตามเสียงพูดป้อน prompt ก็ช่วยได้)
จุดที่ต้องจำให้ขึ้นใจ — ผลที่ AI ร่างออกมาเป็นแค่ “จุดเริ่มต้น” ไม่ใช่ของจบ ต้องมีคนตรวจทาน ต้องเอาร่างไปเวียนให้คนที่เกี่ยวข้องดู แล้วตรวจสอบด้วยกระบวนการปกติก่อนใช้จริง (กลับมาที่ “คนต้องอยู่ในวงจรเสมอ” อีกแล้วครับ) นอกจากนี้ template ที่ทำเองหรือเอามาจากภายนอก ก็ช่วยให้ AI ผลิตผลงานสม่ำเสมอและทุ่นแรงได้
ที่เจ๋งกว่านั้นคือ AI ยังช่วย ปรับปรุง SOP ต่อเนื่อง ได้ด้วย — เช่น ใช้ AI วิเคราะห์ feedback ของคนใช้งาน วัดอารมณ์ความรู้สึก (sentiment) หาจุดที่เป็นคอขวด แล้วเตือนให้บริษัทไปปรับปรุง พูดง่ายๆ คือ AI ช่วยทั้ง “เขียน” และ “ดูแลให้ SOP ดีขึ้นเรื่อยๆ”
มุมผู้บริหาร: เวลาทีมมาเสนอว่า “ใช้ AI ช่วยร่างคู่มือบริษัทเลยดีกว่า เร็วดี” — เห็นด้วยได้ครับ แต่ต้องตั้งกติกาก่อนหนึ่งข้อ: ของที่ AI ร่าง ห้ามเอาไปประกาศใช้ตรงๆ ต้องมีคนรับผิดชอบอ่านทวนและเซ็นรับรองก่อนเสมอ เพราะถ้า SOP ผิด (เช่น ขั้นตอนความปลอดภัยตกหล่น) ความเสียหายตกที่บริษัท ไม่ใช่ที่ AI การประหยัดเวลาเป็นเรื่องดี แต่อย่าประหยัดขั้นตอนตรวจสอบ
ภาพรวม — สามชั้นนี้ต่อกันยังไง
ก่อนปิด ขอวางภาพให้เห็นว่าสามชั้นเชื่อมกันเป็นชุดเดียว ไม่ใช่ของแยกกัน:
ค่านิยม + กลยุทธ์บริษัท │ ┌─────────▼─────────┐ │ AI Policy (เต็ม) │ ← หลักการ + RAI + ใครรับผิดชอบ └─────────┬─────────┘ │ ┌─────────▼─────────┐ │ AUP (กติกาใช้) │ ← ทำได้ / ขอก่อน / ห้าม └─────────┬─────────┘ │ ┌─────────▼─────────┐ │ SOP / คู่มือ │ ← ทำ "ยังไง" ทีละสเต็ป └───────────────────┘ │ พนักงานหน้างาน (+ พนักงานใหม่ที่ชื่อ AI)หลักคิดคือ ของชั้นล่างต้องไม่ขัดกับชั้นบน — SOP ต้องสอดคล้องกับ AUP, AUP ต้องสอดคล้องกับนโยบายแม่, และนโยบายแม่ต้องสอดคล้องกับค่านิยมและกลยุทธ์บริษัท ถ้าชั้นไหนขัดกัน พนักงานจะสับสนทันทีว่าจะเชื่ออันไหน
สรุปสั้นๆ ให้ตัวเองจำได้
อ่านมาถึงตรงนี้ ขอจดกันลืมไว้สามอย่างครับ
อย่างแรก — พนักงานใช้ AI อยู่แล้ว คำถามคือมีกติกาหรือไม่มี อย่ารอให้เกิดเหตุ “ความลับลูกค้าหลุดไปใน ChatGPT” ก่อนแล้วค่อยเขียนกฎ วางกรอบไว้ก่อนดีกว่าตามแก้ทีหลัง และของที่ทำก่อนได้เลยคือ AUP สั้นๆ ที่บอกชัดว่า “ทำได้ / ขอก่อน / ห้าม”
อย่างที่สอง — เอกสารมีสามชั้น อย่าทำชั้นเดียวแล้วคิดว่าครบ AUP (กติกาใช้) → Policy เต็ม (หลักการ + RAI + คนรับผิดชอบ) → SOP (ทำยังไงทีละสเต็ป) สามชั้นต่อกันลงมา และต้องไม่ขัดกันเอง ที่สำคัญคือ SOP ต้องครอบทุกฝ่ายที่ใช้ AI ไม่ใช่แค่ IT
อย่างที่สาม — เขียนเสร็จไม่ใช่จบ ต้องสื่อสารซ้ำและคนต้องอยู่ในวงจรเสมอ นโยบายดีแค่ไหนถ้าไม่สื่อสาร พูดซ้ำ และอบรม ก็เท่ากับไม่มี และไม่ว่าจะใช้ AI ช่วยเขียน SOP หรือให้ AI ตัดสินใจอะไร ต้องมีคนจริงตรวจทานและรับผิดชอบสุดท้ายเสมอ เพราะพนักงานใหม่ที่ชื่อ AI เก่งแค่ไหน เราก็ไม่ปล่อยให้เซ็นเองโดยไม่มีหัวหน้าดู
ตอนหน้าเราจะขยับจากเรื่อง “กติกาและเอกสาร” ไปสู่คำถามที่ลึกขึ้น และมักทำให้เจ้าของกิจการอึดอัดด้วย คือ “ใช้ AI แบบไหนถึงเรียกว่า ‘มีจริยธรรม’? แล้วเรื่องอคติ ความเป็นธรรม ความโปร่งใส กับสิทธิมนุษยชน เจ้าของต้องดูแลถึงไหน?” เรื่อง Ethical Considerations ของ AI ไว้เจอกันครับ
อ้างอิงเนื้อหา: AAISM — Domain 1: Section 1.7 (AI Acceptable Use Policy), Section 1.8 (AI Policy Development รวม 1.8.1 Components of an AI Policy และ 1.8.2 Responsible Use of AI Systems), Section 1.9 (AI Procedures and Manuals รวม 1.9.1 Using AI to Create Procedures and Manuals) แหล่งสาธารณะที่อ้างถึงโดยตรง: Scarpino, J. “Deploying Responsible AI,” ISACA Journal vol. 1, 2024 (isaca.org) · เครื่องมือ GenAI ที่อ้างถึงเป็นชื่อทั่วไปในตลาด เช่น ChatGPT, DALL·E, Grok
