AIガバナンス体制とは、組織がAIを安全かつ責任ある形で活用するために、方針・責任分担・リスク管理・監視の仕組みを一体として整えた管理体制のことである。AIの業務利用が広がるなかで、こうした体制を持たないまま運用を続けることは、規制違反やデータ漏えいといった事業リスクに直結する。

本記事は、ASEANの複数国で事業を展開する企業の経営企画・法務・IT・コンプライアンス担当者を対象に、AIガバナンス体制をゼロから構築する手順を解説する。体制が必要な理由と前提条件、3ステップの構築手順、推進体制と期間の目安、よくある失敗とその回避策、そして体制を定着・拡張させる方法までを順に取り上げる。読み終えたとき、自社で何から着手すべきかを具体的に描ける状態を目指す。

คำแปลภาษาไทย:

AI Governance (AIガバナンス) คือระบบการจัดการที่องค์กรจัดตั้งขึ้นเพื่อใช้ AI อย่างปลอดภัยและมีความรับผิดชอบ โดยเป็นการบูรณาการนโยบาย การแบ่งความรับผิดชอบ การบริหารจัดการความเสี่ยง และกลไกการกำกับดูแลเข้าด้วยกัน ในขณะที่การใช้งาน AI ในการดำเนินธุรกิจขยายตัวขึ้น การดำเนินงานต่อไปโดยปราศจากระบบดังกล่าวจะนำไปสู่ความเสี่ยงทางธุรกิจโดยตรง เช่น การละเมิดกฎระเบียบและการรั่วไหลของข้อมูล

บทความนี้จัดทำขึ้นสำหรับผู้รับผิดชอบด้านการวางแผนกลยุทธ์องค์กร กฎหมาย ไอที และการปฏิบัติตามกฎระเบียบ (Compliance) ของบริษัทที่ดำเนินธุรกิจในหลายประเทศในกลุ่ม ASEAN เพื่ออธิบายขั้นตอนการสร้างระบบ AI Governance ตั้งแต่เริ่มต้น โดยจะกล่าวถึงเหตุผลที่จำเป็นต้องมีระบบและเงื่อนไขเบื้องต้น ขั้นตอนการสร้าง 3 ขั้นตอน แนวทางการจัดตั้งทีมงานและระยะเวลาโดยประมาณ ข้อผิดพลาดที่พบบ่อยและวิธีหลีกเลี่ยง รวมถึงวิธีการทำให้ระบบมีความยั่งยืนและขยายผลได้ เพื่อให้ผู้อ่านสามารถเห็นภาพชัดเจนว่าควรเริ่มต้นดำเนินการอย่างไรในองค์กรของตนเมื่ออ่านจบ

สำหรับบริษัทที่ดำเนินธุรกิจครอบคลุมหลายประเทศใน ASEAN ระบบธรรมาภิบาล AI (AI Governance) กำลังกลายเป็น "เงื่อนไขพื้นฐานในการดำเนินธุรกิจ" ไม่ใช่แค่ "สิ่งที่มีไว้ก็ดี" อีกต่อไป เหตุผลสำคัญคือความซับซ้อนของกฎระเบียบในแต่ละประเทศ และความเสี่ยงมหาศาลที่เกิดจากการขาดธรรมาภิบาล

ในเบื้องต้น เราจะมาสรุปประเด็นเกี่ยวกับความยากลำบากในการขยายธุรกิจสู่หลายประเทศ อันตรายจากการไม่มีระบบรองรับ และมุมมองในการเปลี่ยนธรรมาภิบาลให้กลายเป็นความได้เปรียบในการแข่งขัน

ประเทศต่างๆ ในกลุ่มอาเซียนกำลังพัฒนาระบบกฎหมายเกี่ยวกับการคุ้มครองข้อมูลและการใช้ AI ของตนเอง ไม่ว่าจะเป็น PDPA ของไทย, กฎหมายคุ้มครองข้อมูลส่วนบุคคลของเวียดนาม หรือกฎหมาย PDP ของอินโดนีเซีย ซึ่งขอบเขตการบังคับใช้ ข้อกำหนดเรื่องความยินยอม และกฎระเบียบการโอนข้อมูลข้ามพรมแดนนั้นมีความแตกต่างกันไปในแต่ละประเทศ

หากบริษัทดำเนินธุรกิจเพียงประเทศเดียว การปฏิบัติตามกฎระเบียบของประเทศนั้นก็เพียงพอแล้ว แต่สำหรับบริษัทที่มีฐานการดำเนินงานในหลายประเทศ จำเป็นต้องปฏิบัติตามข้อกำหนดที่แตกต่างกันของแต่ละประเทศไปพร้อมๆ กัน ซึ่งอาจเกิดกรณีที่การใช้งาน AI ในประเทศหนึ่งไม่ถือเป็นปัญหา แต่กลับขัดต่อกฎระเบียบในอีกประเทศหนึ่งได้ ยิ่งไปกว่านั้น กฎระเบียบเหล่านี้จะมีการอัปเดตอยู่ตลอดเวลา การดำเนินการเพียงครั้งเดียวจึงไม่ถือว่าสิ้นสุด

ความซับซ้อนนี้เกินกว่าที่เจ้าหน้าที่ในระดับปฏิบัติการจะสามารถตัดสินใจและรับมือได้ด้วยตนเอง จึงจำเป็นต้องมีกรอบการทำงานโดยรวมเพื่อรวบรวมแนวโน้มกฎระเบียบของแต่ละประเทศและนำมาปรับใช้กับการดำเนินงานของบริษัท ทั้งนี้ สำหรับข้อมูลเกี่ยวกับความแตกต่างของกฎระเบียบในแต่ละประเทศอาเซียน โปรดดูเพิ่มเติมที่ แนวโน้มกฎระเบียบด้าน AI ในกลุ่มประเทศอาเซียน และ การเปรียบเทียบกฎหมายคุ้มครองข้อมูลส่วนบุคคลของอาเซียน

หากการใช้งาน AI แพร่กระจายไปทั่วองค์กรโดยปราศจากระบบธรรมาภิบาล (Governance) ความเสี่ยงทั่วไปหลายประการจะเริ่มปรากฏชัดเจนขึ้น

ประการแรกคือการใช้งาน AI ที่ไม่อยู่ภายใต้การควบคุม หรือที่เรียกว่า Shadow AI พนักงานอาจป้อนข้อมูลที่เป็นความลับลงในเครื่องมือที่บริษัทไม่ได้รับรอง ซึ่งอาจกลายเป็นช่องทางให้ข้อมูลรั่วไหลออกสู่ภายนอกได้ ประการต่อมาคือการละเมิดกฎระเบียบ หากปล่อยให้ AI จัดการข้อมูลส่วนบุคคลในลักษณะที่ขัดต่อกฎหมายคุ้มครองข้อมูลของแต่ละประเทศ อาจนำไปสู่บทลงโทษหรือการถูกสั่งการจากหน่วยงานกำกับดูแล นอกจากนี้ ยังมีความเสี่ยงจากการนำผลลัพธ์ที่ผิดพลาดไปใช้ในการตัดสินใจทางธุรกิจโดยตรง ซึ่งอาจก่อให้เกิดความเสียหาย รวมถึงการสูญเสียความเชื่อมั่นจากคู่ค้าและลูกค้าเมื่อปัญหาถูกเปิดเผยออกมา

บริษัทวิจัยและบริษัทที่ปรึกษาหลายแห่งชี้ให้เห็นว่า ระบบธรรมาภิบาล AI กำลังเปลี่ยนสถานะจาก "ความสมัครใจ" ไปสู่ "โครงสร้างพื้นฐานที่จำเป็น" ยิ่งเป็นบริษัทที่มีการดำเนินงานในหลายประเทศ ขอบเขตผลกระทบเมื่อความเสี่ยงเกิดขึ้นจริงก็จะยิ่งกว้างขวางขึ้น ความเสี่ยงที่เกิดจากการใช้งาน AI ที่ไม่อยู่ภายใต้การควบคุมนั้น ได้รับการอธิบายไว้อย่างละเอียดใน Shadow AI คืออะไร? ความเสี่ยงที่แฝงอยู่ในองค์กรและวิธีการจัดการ

AIガバナンス体制は、リスクを抑えるための「守り」だけの取り組みではない。整備された体制は、AI活用そのものを前に進める「攻め」の基盤にもなる。

ルールと判断の拠り所が曖昧なままだと、現場は「使ってよいのか分からない」とAI活用に踏み出せず、逆に管理外の利用が広がる。明確なポリシーと承認プロセスがあれば、現場は安心して許可された範囲でAIを使えるようになり、結果として活用のスピードが上がる。

ASEANで多国展開する企業にとっては、ガバナンス体制が整っていること自体が、取引先や規制当局に対する信頼の証にもなる。AIガバナンスを「コスト」ではなく「責任あるAI活用を支える投資」と捉えることが、体制構築を社内で推進するうえでも有効な視点になる。

โครงสร้างการกำกับดูแล AI (AI Governance) ไม่ใช่เพียงแค่ความพยายามในเชิง "ตั้งรับ" เพื่อลดความเสี่ยงเท่านั้น แต่โครงสร้างที่ได้รับการจัดเตรียมไว้อย่างดีจะเป็นรากฐานในเชิง "รุก" ที่ช่วยผลักดันการใช้งาน AI ให้ก้าวไปข้างหน้าได้จริง

หากกฎเกณฑ์และเกณฑ์การตัดสินใจยังคงคลุมเครือ ฝ่ายปฏิบัติการจะไม่สามารถเริ่มต้นใช้งาน AI ได้เพราะ "ไม่แน่ใจว่าใช้ได้หรือไม่" ซึ่งในทางกลับกันจะนำไปสู่การใช้งานนอกเหนือการควบคุม หากมีนโยบายและกระบวนการอนุมัติที่ชัดเจน ฝ่ายปฏิบัติการจะสามารถใช้งาน AI ภายในขอบเขตที่ได้รับอนุญาตได้อย่างมั่นใจ ส่งผลให้ความเร็วในการใช้งานเพิ่มขึ้น

สำหรับบริษัทที่มีการดำเนินงานหลายประเทศใน ASEAN การมีโครงสร้างการกำกับดูแลที่พร้อมถือเป็นเครื่องพิสูจน์ถึงความน่าเชื่อถือต่อคู่ค้าและหน่วยงานกำกับดูแล การมองว่า AI Governance ไม่ใช่ "ต้นทุน" แต่เป็น "การลงทุนเพื่อสนับสนุนการใช้งาน AI อย่างมีความรับผิดชอบ" จะเป็นมุมมองที่มีประสิทธิภาพในการผลักดันการสร้างโครงสร้างดังกล่าวภายในองค์กร

ก่อนจะเข้าสู่ขั้นตอนการดำเนินงาน จำเป็นต้องสร้างรากฐานสำคัญสองประการให้มั่นคงเสียก่อน ได้แก่ การให้คำมั่นสัญญาจากฝ่ายบริหารและการแต่งตั้งผู้รับผิดชอบ รวมถึงการสำรวจสถานะการใช้งาน AI ภายในบริษัท หากขาดสิ่งเหล่านี้ไป การจัดตั้งโครงสร้างองค์กรก็มักจะเป็นเพียงแค่รูปแบบที่ไร้ผลในทางปฏิบัติ

โครงสร้างการกำกับดูแล AI (AI Governance) เป็นความพยายามที่ต้องอาศัยความร่วมมือข้ามแผนกและผู้มีส่วนได้ส่วนเสียจำนวนมาก เนื่องจากเกี่ยวข้องกับฝ่ายกฎหมาย ฝ่ายไอที แผนกธุรกิจต่างๆ และบริษัทลูกในต่างประเทศ การขับเคลื่อนจากระดับปฏิบัติการเพียงอย่างเดียวจึงไม่เพียงพอ จุดเริ่มต้นที่สำคัญคือการที่ฝ่ายบริหารต้องเข้าใจถึงความจำเป็นและให้การสนับสนุนอย่างชัดเจน

การแต่งตั้งผู้รับผิดชอบงานในทางปฏิบัติก็เป็นสิ่งที่ขาดไม่ได้ แม้ว่าการเลือกว่าจะสร้างตำแหน่งใหม่โดยเฉพาะหรือให้ผู้บริหารที่มีอยู่ควบตำแหน่งนั้นจะขึ้นอยู่กับขนาดขององค์กร แต่สิ่งที่ไม่ควรปล่อยให้คลุมเครือคือ "ใครเป็นผู้รับผิดชอบด้าน AI Governance" หากจัดตั้งเพียงคณะกรรมการโดยไม่มีผู้รับผิดชอบที่ชัดเจน การตัดสินใจจะล่าช้าและกิจกรรมต่างๆ จะหยุดชะงัก

ในช่วงไม่กี่ปีที่ผ่านมา บริษัทจำนวนมากที่เริ่มนำ AI มาใช้จริงจังได้กำหนดให้การกำกับดูแลเป็นโปรแกรมระดับองค์กรที่ผู้นำระดับสูงเป็นผู้ผลักดัน สำหรับข้อมูลเกี่ยวกับการออกแบบองค์กรที่เน้น AI เป็นหลักและบทบาทของผู้รับผิดชอบ สามารถดูเพิ่มเติมได้ที่ AIネイティブ組織とは?Chief AI Officerの役割

ถัดมาคือการสำรวจว่าปัจจุบันมีการใช้ AI ในบริษัทอย่างไรบ้าง นี่เป็นงานที่เป็นรากฐานของการออกแบบโครงสร้างองค์กร

สิ่งที่ต้องตรวจสอบคือ แผนกไหน สาขาไหน ใช้เครื่องมือ AI อะไร กับงานประเภทใด และใช้ข้อมูลอะไรบ้าง โดยต้องครอบคลุมไปถึงบริษัทลูกในต่างประเทศ ไม่ใช่แค่สำนักงานใหญ่เท่านั้น หากจัดทำนโยบายโดยไม่ทราบสถานะความเป็นจริง ก็อาจไม่สอดคล้องกับการปฏิบัติงานจริงและกลายเป็นเพียงทฤษฎีบนหน้ากระดาษ

ในระหว่างกระบวนการสำรวจ มักจะพบการใช้งาน AI ที่คาดไม่ถึงอยู่บ่อยครั้ง ซึ่งนั่นเป็นหลักฐานยืนยันว่าจำเป็นต้องมีระบบธรรมาภิบาล (Governance) ข้อมูลการใช้งานที่รวบรวมได้จะถูกนำไปใช้อ้างอิงซ้ำๆ ในการประเมินความเสี่ยงและการกำหนดนโยบายในภายหลัง แนวคิดเกี่ยวกับการจัดการการดำเนินงานของ AI Agent อย่างเป็นระบบ ได้มีการสรุปไว้ใน AgentOps คืออะไร — การออกแบบองค์กรเพื่อการดำเนินงาน AI Agent แล้ว

ต่อจากนี้จะขออธิบายขั้นตอนการสร้างระบบ AI Governance จริงโดยแบ่งเป็น 3 ขั้นตอน ได้แก่ การจัดตั้งคณะกรรมการและกำหนดนโยบาย, การประเมินความเสี่ยงและการทำ Mapping กฎระเบียบของแต่ละประเทศ และการผนวกระบบการติดตามตรวจสอบ (Monitoring) และการตรวจสอบ (Audit) เข้าไปในกระบวนการทำงาน

ขั้นตอนแรกคือการจัดตั้งคณะกรรมการกำกับดูแล AI (AI Governance Committee) และกำหนดนโยบายการใช้งาน AI

คณะกรรมการควรประกอบด้วยตัวแทนจากหลากหลายแผนก ทั้งฝ่ายบริหาร ฝ่ายกฎหมาย ฝ่ายไอที และแผนกธุรกิจหลัก นอกจากนี้ หากมีฐานการดำเนินงานในประเทศกลุ่มอาเซียน ควรมีตัวแทนจากบริษัทในท้องถิ่นเข้าร่วมด้วย เนื่องจากกฎเกณฑ์ที่กำหนดโดยสำนักงานใหญ่เพียงฝ่ายเดียวอาจไม่สะท้อนความเป็นจริงในพื้นที่และกลายเป็นเพียงกฎที่ไร้ผลในทางปฏิบัติ บทบาทของคณะกรรมการคือการอนุมัตินโยบาย การตรวจสอบโครงการใช้งาน AI ที่สำคัญ และการกำหนดแนวทางรับมือต่อการเปลี่ยนแปลงของกฎระเบียบ

ในนโยบายการใช้งาน AI ควรระบุการใช้งานที่อนุญาต การใช้งานที่ห้าม และการใช้งานที่ต้องขออนุมัติล่วงหน้าไว้อย่างชัดเจน ตัวอย่างเช่น กฎระเบียบในการป้อนข้อมูลที่เป็นความลับหรือข้อมูลส่วนบุคคลลงในบริการ AI ภายนอก และขั้นตอนการตรวจสอบเมื่อนำผลลัพธ์จาก AI มาใช้ในการตัดสินใจทางธุรกิจ สิ่งสำคัญคือต้องไม่เพียงแค่ระบุหลักการที่เป็นนามธรรม แต่ต้องมีความชัดเจนเพียงพอที่หน้างานจะสามารถนำไปใช้ตัดสินใจได้จริง

ถัดมา คือการประเมินความเสี่ยงที่มาพร้อมกับการใช้งาน AI และนำไปเชื่อมโยงกับข้อกำหนดด้านกฎระเบียบของแต่ละประเทศ

ขั้นแรก ให้ระบุความเสี่ยงที่เกิดจากการใช้งาน AI ของบริษัทและจัดทำเป็นทะเบียนความเสี่ยง (Risk Register) โดยประเมินโอกาสที่จะเกิดขึ้นและระดับผลกระทบในแง่มุมต่างๆ เช่น การรั่วไหลของข้อมูล, การละเมิดกฎระเบียบ, ความเสียหายที่เกิดจากผลลัพธ์ที่ผิดพลาด รวมถึงผลลัพธ์ที่เลือกปฏิบัติหรือไม่เป็นธรรม

จากนั้น ให้สร้างการจับคู่ (Mapping) ระหว่างข้อกำหนดด้านกฎระเบียบของแต่ละประเทศที่บริษัทเข้าไปดำเนินธุรกิจ กับมาตรการที่บริษัทควรนำมาใช้ ตัวอย่างเช่น ในประเทศที่มีข้อจำกัดเรื่องการโอนย้ายข้อมูลข้ามพรมแดน ให้กำหนดแนวทางปฏิบัติในการจัดการข้อมูลของประเทศนั้นๆ หรือในประเทศที่มีข้อกำหนดเรื่องการขอความยินยอมที่เข้มงวด ให้วางระบบกระบวนการขอความยินยอมก่อนที่จะนำข้อมูลส่วนบุคคลไปใช้กับ AI ทั้งนี้ ควรใช้ ASEANデータ保護法の比較 เป็นจุดเริ่มต้นในการรวบรวมเนื้อหาเฉพาะของกฎระเบียบในแต่ละประเทศ ซึ่งการจับคู่นี้จะเป็นหลักยึดให้ฝ่ายปฏิบัติงานสามารถตัดสินใจได้ว่า "ในประเทศนี้ควรทำอย่างไร"

ขั้นตอนที่ 3 คือการสร้างกลไกการติดตามตรวจสอบ (Monitoring) และการตรวจสอบ (Audit) เพื่อยืนยันอย่างต่อเนื่องว่ามีการปฏิบัติตามกฎที่กำหนดไว้หรือไม่

นโยบายและการรับมือความเสี่ยงจะไม่มีความหมายหากไม่ได้นำไปปฏิบัติจริง แม้ว่าจะสร้างขึ้นมาอย่างถูกต้องแล้วก็ตาม ควรมีการจัดเตรียมกลไกบันทึก Log การใช้งาน AI, การตรวจสอบภายในตามระยะเวลาที่กำหนด รวมถึงขั้นตอนการรายงานและการตอบสนองเมื่อเกิดการละเมิดนโยบายหรือเหตุการณ์ไม่พึงประสงค์ (Incident) เพื่อให้สามารถตรวจพบปัญหาและดำเนินการแก้ไขได้อย่างรวดเร็ว

นอกจากนี้ สิ่งสำคัญคือการทบทวนโครงสร้างการดำเนินงานอย่างสม่ำเสมอ กฎระเบียบในประเทศต่างๆ ของ ASEAN จะมีการเปลี่ยนแปลงอยู่ตลอดเวลา และจะมีเครื่องมือ AI ใหม่ๆ ออกมาอย่างต่อเนื่อง คณะกรรมการควรปรับปรุงนโยบายและทะเบียนความเสี่ยง (Risk Register) ตามความถี่ที่เหมาะสม เพื่อให้การดำเนินงานสามารถปรับตัวตามการเปลี่ยนแปลงของกฎระเบียบและเครื่องมือต่างๆ ได้ทันท่วงที AI Governance ไม่ใช่สิ่งที่ทำครั้งเดียวจบ แต่เป็นกลไกที่ต้องขับเคลื่อนอย่างต่อเนื่อง

ในการดำเนินการตาม 3 ขั้นตอนนี้จริง ควรมีการกำหนดโครงสร้างองค์กรว่าใครจะเป็นผู้รับผิดชอบและดำเนินการอย่างไร รวมถึงลำดับความสำคัญว่าจะเริ่มจากส่วนใดก่อน เพื่อให้การสร้างระบบดำเนินไปได้อย่างต่อเนื่องโดยไม่หยุดชะงัก

การสร้างระบบ AI Governance ไม่ใช่สิ่งที่ทำแบบขอไปทีได้ เริ่มต้นจากการจัดตั้งผู้รับผิดชอบหรือทีมงานหลักที่สำนักงานใหญ่ เพื่อทำหน้าที่เป็นตัวกลางประสานงานระหว่างคณะกรรมการและฝ่ายปฏิบัติการ

นอกจากนี้ ควรตัดสินใจตั้งแต่เนิ่นๆ ว่าจะดึงฐานปฏิบัติการในประเทศต่างๆ ของ ASEAN เข้ามามีส่วนร่วมอย่างไร เนื่องจากภาระงานจะหนักเกินไปหากต้องขับเคลื่อนทุกสาขาพร้อมกัน จึงควรเริ่มจากสาขาหลักก่อนแล้วใช้สาขานั้นเป็นต้นแบบในการขยายผลไปยังประเทศอื่นๆ โดยกำหนดให้แต่ละสาขามีผู้รับผิดชอบเป็นจุดติดต่อหลัก เพื่อสร้างช่องทางในการแลกเปลี่ยนข้อมูลกับทีมงานที่สำนักงานใหญ่อย่างสม่ำเสมอ

ข้อผิดพลาดที่มักเกิดขึ้นในการสร้างระบบนี้คือ การมองว่าเป็นเพียงโปรเจกต์ชั่วคราวเฉพาะช่วงการสร้างระบบเท่านั้น เนื่องจากระบบจำเป็นต้องดำเนินต่อไปแม้จะเข้าสู่ช่วงการใช้งานจริงแล้ว จึงต้องกำหนดให้ชัดเจนตั้งแต่ต้นว่าใครจะเป็นผู้รับผิดชอบในการดูแลรักษาหลังจากสร้างระบบเสร็จสิ้นแล้ว

การพยายามนำ 3 ขั้นตอนไปใช้กับทุกประเทศและทุกธุรกิจพร้อมกันนั้นมีภาระงานสูงและมักจะล้มเหลวได้ง่าย การกำหนดลำดับความสำคัญและเริ่มต้นจากจุดเล็กๆ (Small Start) จึงเป็นแนวทางที่สมจริงกว่า

การกำหนดลำดับความสำคัญควรพิจารณาจากระดับความเสี่ยง โดยควรเริ่มจากธุรกิจที่มีการจัดการข้อมูลส่วนบุคคลจำนวนมาก สาขาในประเทศที่มีกฎระเบียบเข้มงวด หรือแผนกที่มีการใช้งาน AI อย่างแพร่หลายอยู่แล้ว ซึ่งจะทำให้เห็นผลลัพธ์ได้ชัดเจนกว่า ในทางกลับกัน พื้นที่ที่ยังมีการใช้งาน AI น้อยสามารถเก็บไว้ทำในภายหลังได้

ขั้นแรก ให้สร้างโครงร่างของคณะกรรมการ นโยบาย และการติดตามผลที่สำนักงานใหญ่และสาขาหลักให้เรียบร้อยก่อน จากนั้นจึงนำองค์ความรู้ที่ได้รับไปปรับใช้กับสาขาอื่นๆ ไม่จำเป็นต้องตั้งเป้าหมายให้สมบูรณ์แบบตั้งแต่ต้น แต่ให้เริ่มจากจุดเล็กๆ นำไปปฏิบัติ ปรับปรุง และขยายผลออกไป วิธีการนี้จะช่วยให้สามารถรับมือกับการเปลี่ยนแปลงของกฎระเบียบหรือเครื่องมือต่างๆ ได้อย่างยืดหยุ่นในระหว่างทาง

ระบบธรรมาภิบาล AI (AI Governance) ไม่ได้มีความหมายเพียงแค่การสร้างขึ้นมาแล้วจบไป แต่จะมีความหมายก็ต่อเมื่อมีการนำไปใช้งานจริงเท่านั้น เราควรทำความเข้าใจรูปแบบความล้มเหลวสองประการที่มักพบเห็นได้บ่อยในบริษัทที่มีการดำเนินงานในหลายประเทศ

ความล้มเหลวที่พบบ่อยที่สุดคือการที่นโยบายกลายเป็นเพียงสิ่งที่ไร้ความหมายในทางปฏิบัติ

แม้จะจัดทำเอกสารนโยบายที่ยอดเยี่ยมขึ้นมา แต่หากไม่ได้สื่อสารให้หน้างานรับทราบ หรือมีเนื้อหาที่เป็นนามธรรมเกินกว่าจะนำไปใช้ตัดสินใจในสถานการณ์จริงได้ ก็จะไม่มีใครอ้างอิงถึงนโยบายนั้นอีก หากไม่มีกลไกตรวจสอบว่ามีการปฏิบัติตามหรือไม่ ก็จะไม่สามารถรับรู้ได้เลยเมื่อมีการละเมิดเกิดขึ้น

วิธีป้องกันมีสองประการ ประการแรกคือการเขียนนโยบายให้มีความเฉพาะเจาะจงในระดับที่หน้างานสามารถนำไปใช้ได้จริง โดยเปลี่ยนจากคำว่า "จัดการอย่างเหมาะสม" เป็นระดับที่ชัดเจนอย่าง "ห้ามป้อนข้อมูลประเภทนี้ลงในเครื่องมือนี้" ประการที่สองคือการสื่อสารนโยบายไปยังหน้างานอย่างต่อเนื่องผ่านการฝึกอบรมและการติดตามผล พร้อมทั้งตรวจสอบสถานะการดำเนินงานอยู่เสมอ เราควรให้ความสำคัญกับประสิทธิผลในการปฏิบัติงานจริงมากกว่าความสมบูรณ์แบบของตัวเอกสาร

ความล้มเหลวที่มักพบได้บ่อยในบริษัทข้ามชาติ คือการที่การดำเนินงานในบริษัทลูกแต่ละประเทศมีความแตกต่างกันออกไป

นโยบายที่สำนักงานใหญ่กำหนดไว้อาจไม่สามารถหยั่งรากลึกในระดับท้องถิ่นได้อย่างเต็มที่ เนื่องจากความแตกต่างทางภาษา วัฒนธรรม และระบบกฎหมาย ส่งผลให้เกิดการใช้งาน AI ในรูปแบบเฉพาะของแต่ละพื้นที่โดยที่ผู้รับผิดชอบในสำนักงานใหญ่ไม่ได้รับทราบ ซึ่งนำไปสู่การเกิดช่องว่างด้านธรรมาภิบาล (Governance)

แนวทางแก้ไขที่มีประสิทธิภาพคือ การแต่งตั้งผู้รับผิดชอบด้านธรรมาภิบาลประจำท้องถิ่นในแต่ละสาขา เพื่อทำหน้าที่เป็นตัวกลางเชื่อมโยงระหว่างสำนักงานใหญ่กับสาขาในประเทศนั้นๆ โดยต้องมีการแปลนโยบายและเอกสารการฝึกอบรมเป็นภาษาท้องถิ่น พร้อมทั้งเพิ่มเติมรายละเอียดให้สอดคล้องกับกฎระเบียบของแต่ละประเทศ แนวทางที่สมเหตุสมผลที่สุดคือแนวคิด "กรอบการทำงานร่วมกัน + การปรับใช้ในท้องถิ่น" (Common Framework + Local Adaptation) ซึ่งเป็นการรักษาโครงสร้างที่เป็นมาตรฐานเดียวกันไว้ โดยไม่ใช้วิธีการบังคับใช้นโยบายจากสำนักงานใหญ่แบบเดียวกันทั้งหมด แต่เป็นการปรับการดำเนินงานให้เข้ากับบริบทของแต่ละประเทศ

การทำให้ระบบไม่เป็นเพียงแค่เรื่องชั่วคราว แต่สามารถหยั่งรากลึกและขยายผลต่อไปได้นั้น กุญแจสำคัญคือการสร้างวัฒนธรรมธรรมาภิบาลผ่านการศึกษา รวมถึงการใช้ประโยชน์จากเครื่องมือและแพลตฟอร์มต่างๆ

บทบาทของการศึกษาถือเป็นสิ่งสำคัญในการสร้างธรรมาภิบาล AI (AI Governance) ให้หยั่งรากลึก หากพนักงานเข้าใจถึงเหตุผลที่ต้องมีกฎระเบียบนั้นๆ แทนที่จะเป็นเพียงการบังคับใช้ นโยบายก็จะเปลี่ยนจากสิ่งที่ "ถูกบังคับให้ทำ" กลายเป็นสิ่งที่ "ทำโดยธรรมชาติ"

ในทางปฏิบัติ สามารถแบ่งโปรแกรมการฝึกอบรมออกเป็นระดับต่างๆ ได้แก่ การฝึกอบรมความรู้เท่าทัน AI (AI Literacy) สำหรับพนักงานทุกคน, การฝึกอบรมการประเมินความเสี่ยงสำหรับผู้บริหาร และการฝึกอบรมเชิงปฏิบัติสำหรับผู้ที่ต้องทำงานกับ AI โดยตรง ในกรณีที่มีการดำเนินธุรกิจในหลายประเทศในภูมิภาค ASEAN ควรจัดเตรียมการฝึกอบรมเป็นภาษาท้องถิ่นและบรรจุเนื้อหาที่เกี่ยวข้องกับกฎระเบียบของแต่ละประเทศไว้ด้วย

ในช่วงไม่กี่ปีที่ผ่านมา บริษัทจำนวนมากที่กำลังเดินหน้าใช้ประโยชน์จาก AI ได้ให้ความสำคัญกับ "การศึกษา" เป็นหัวใจหลักของกลยุทธ์ด้านบุคลากร เพราะต่อให้มีการนำเครื่องมือหรือกฎระเบียบมาใช้ แต่หากผู้ใช้งานขาดความเข้าใจ ระบบก็จะไม่สามารถหยั่งรากลึกได้ การสร้างวัฒนธรรมธรรมาภิบาลอาจต้องใช้เวลา แต่จะเป็นรากฐานที่ช่วยให้ระบบมีความยั่งยืน

เพื่อลดภาระในการดำเนินงานขององค์กร ยังมีทางเลือกในการใช้เครื่องมือหรือแพลตฟอร์มที่ช่วยสนับสนุนด้าน AI Governance อีกด้วย

ปัจจุบันมีเครื่องมือที่มาพร้อมกับฟังก์ชันต่างๆ เช่น การเก็บรวบรวมบันทึกการใช้งาน AI, การตรวจจับการละเมิดนโยบาย, การจัดการการประเมินความเสี่ยง และการแสดงสถานะการปฏิบัติตามกฎระเบียบของแต่ละประเทศ หากองค์กรมีขนาดใหญ่จนยากต่อการจัดการด้วยตนเอง การพิจารณานำแพลตฟอร์มเหล่านี้มาใช้ก็ถือว่าคุ้มค่า

อย่างไรก็ตาม เครื่องมือเป็นเพียงวิธีการเท่านั้น หากนำเครื่องมือมาใช้โดยที่ยังไม่มีโครงสร้างพื้นฐานขององค์กร เช่น คณะกรรมการ นโยบาย หรือการแบ่งความรับผิดชอบที่ชัดเจน ประสิทธิภาพที่ได้รับก็จะจำกัด ลำดับที่ถูกต้องคือการสร้างรากฐานขององค์กรตามขั้นตอนที่อธิบายไว้ในบทความนี้ให้มั่นคงเสียก่อน แล้วจึงนำเครื่องมือมาใช้เป็นตัวช่วยเพื่อเพิ่มประสิทธิภาพในการดำเนินงาน

สรุป 3 คำถามที่พบบ่อยเกี่ยวกับการสร้างระบบ AI Governance

การสร้างระบบ AI Governance ใน ASEAN ต้องใช้เวลานานเท่าใด?

เนื่องจากระยะเวลาขึ้นอยู่กับขนาดขององค์กรและจำนวนสาขา จึงไม่สามารถระบุได้อย่างชัดเจน แต่หากรวมขั้นตอนตั้งแต่การเตรียมเงื่อนไขพื้นฐาน การจัดตั้งคณะกรรมการ การกำหนดนโยบาย ไปจนถึงการทำ Mapping กฎระเบียบของแต่ละประเทศ จำเป็นต้องเผื่อเวลาสำหรับการเตรียมการที่เหมาะสม แทนที่จะตั้งเป้าให้ระบบสมบูรณ์แบบในคราวเดียว การสร้างโครงสร้างหลักที่สำนักงานใหญ่และสาขาหลักก่อน แล้วค่อยๆ ขยายขอบเขตไปยังประเทศหรือธุรกิจอื่นๆ ในภายหลังจะเป็นแนวทางที่สมจริงกว่า

สาขาขนาดเล็กใน ASEAN จำเป็นต้องมีระบบ Governance หรือไม่?

แม้จะเป็นสาขาขนาดเล็ก แต่กฎหมายคุ้มครองข้อมูลของประเทศนั้นๆ ก็ยังคงมีผลบังคับใช้ ในแง่ของการปฏิบัติตามกฎระเบียบ ขนาดของสาขาไม่ใช่ข้ออ้าง อย่างไรก็ตาม สามารถปรับความเข้มข้นของระบบให้เหมาะสมกับขนาดได้ สำหรับสาขาขนาดเล็ก อาจเริ่มต้นด้วยรูปแบบที่เรียบง่าย เช่น การใช้นโยบายของสำนักงานใหญ่เป็นกรอบการทำงานร่วมกัน และแต่งตั้งผู้รับผิดชอบในพื้นที่เพียงหนึ่งคนเพื่อดูแลการดำเนินงาน

หากกฎระเบียบของแต่ละประเทศเปลี่ยนแปลงไป ควรรับมืออย่างไร?

สิ่งสำคัญคือการผนวกการรับมือกับการเปลี่ยนแปลงของกฎระเบียบเข้าไว้ในระบบตั้งแต่ต้น โดยเฉพาะอย่างยิ่ง ควรมีการกำหนดขั้นตอนการดำเนินงานให้คณะกรรมการ Governance ทบทวนแนวโน้มกฎระเบียบของแต่ละประเทศเป็นระยะ และปรับปรุงนโยบายรวมถึงทะเบียนความเสี่ยง (Risk Register) ตามความจำเป็น ควรออกแบบระบบโดยตั้งอยู่บนสมมติฐานว่าการเปลี่ยนแปลงของกฎระเบียบไม่ใช่เหตุการณ์ยกเว้น แต่เป็นสิ่งที่เกิดขึ้นอย่างต่อเนื่อง

สำหรับบริษัทที่ดำเนินธุรกิจในหลายประเทศใน ASEAN โครงสร้างการกำกับดูแล AI (AI Governance) ถือเป็นรากฐานสำคัญที่เป็นเงื่อนไขเบื้องต้นสำหรับการดำเนินธุรกิจอย่างต่อเนื่อง ในสภาวะที่กฎระเบียบของแต่ละประเทศมีความแตกต่างกันและความเสี่ยงจากการขาดการกำกับดูแลมีสูง การสร้างโครงสร้างดังกล่าวจึงเป็นประเด็นที่ไม่สามารถผัดวันประกันพรุ่งได้

การสร้างโครงสร้างการกำกับดูแลสามารถดำเนินการได้ใน 3 ขั้นตอน หลังจากที่ได้วางเงื่อนไขเบื้องต้น ได้แก่ ความมุ่งมั่นของฝ่ายบริหาร การแต่งตั้งผู้รับผิดชอบ และการสำรวจสถานะการใช้งาน AI แล้ว ได้แก่ การจัดตั้งคณะกรรมการและการกำหนดนโยบาย, การประเมินความเสี่ยงและการทำ Mapping กฎระเบียบของแต่ละประเทศ, และการผนวกระบบการติดตามตรวจสอบและการตรวจสอบ (Monitoring and Audit) เข้าไป เมื่อจัดเตรียมโครงสร้างการขับเคลื่อนแล้ว ให้เริ่มจากจุดเล็กๆ โดยจัดลำดับความสำคัญ เพื่อหลีกเลี่ยงความล้มเหลว เช่น นโยบายที่ไม่มีผลในทางปฏิบัติหรือความไม่สม่ำเสมอในการดำเนินงานในแต่ละประเทศ จากนั้นจึงทำให้โครงสร้างดังกล่าวหยั่งรากลึกและขยายผลผ่านการให้ความรู้และการใช้เครื่องมือต่างๆ

สิ่งสำคัญคือ AI Governance ไม่ใช่สิ่งที่ทำครั้งเดียวจบ แต่เป็นกลไกที่ต้องหมุนเวียนอย่างต่อเนื่องตามการเปลี่ยนแปลงของกฎระเบียบและเครื่องมือ การมีทัศนคติที่มุ่งเน้นการสร้างโครงร่างแล้วค่อยๆ พัฒนาไปพร้อมกับการใช้งานจริง แทนที่จะมุ่งหวังโครงสร้างที่สมบูรณ์แบบในทันที จะนำไปสู่โครงสร้างที่มีประสิทธิผลในท้ายที่สุด

หากท่านมีข้อสงสัยเกี่ยวกับการสร้างโครงสร้าง AI Governance ในประเทศต่างๆ ใน ASEAN หรือการบริหารจัดการความเสี่ยงในการใช้งาน AI สามารถ ติดต่อเราได้ที่นี่