แชร์บทความนี้
ส่งต่อให้เพื่อนหรือทีมงานของคุณ
ปัญหาไม่ใช่ AI เก่งเกินไป แต่คือไม่มีใครรู้ว่ามันมีสิทธิ์ทำอะไร
งาน HR เป็นพื้นที่ที่ AI ดูน่าใช้มาก เพราะมีคำถามซ้ำ เอกสารเยอะ และ workflow ข้ามหลายฝ่าย แต่ข้อมูลที่ใช้มักเกี่ยวกับคนโดยตรง เช่น ประวัติผู้สมัคร ผลประเมิน การลา ค่าตอบแทน และข้อมูลสุขภาพบางประเภท สิ่งที่ดูเหมือนการเพิ่ม productivity จึงอาจกลายเป็นการตัดสินใจที่กระทบชีวิตการทำงานได้ง่าย
เมื่อขยับจาก chatbot ไปเป็น agent ความเสี่ยงจะเปลี่ยนจากตอบผิดเป็นทำผิด เพราะ agent อาจค้นข้อมูล เรียก tool ส่งแจ้งเตือน สร้างรายการงาน หรือแนะนำการตัดสินใจหลายขั้นต่อกัน Governance จึงต้องตอบให้ได้ว่าใครเป็นเจ้าของ ใครอนุมัติ ข้อมูลมาจากไหน และเมื่อระบบไม่แน่ใจต้องหยุดตรงไหน
เริ่มจาก AI inventory และ risk register แบบ HR อ่านรู้เรื่อง
ขั้นแรกไม่ใช่เขียน policy หนายี่สิบหน้า แต่คือทำบัญชี use case ให้ครบว่า HR ใช้ AI กับเรื่องใดบ้าง เช่น สรุป resume, ตอบคำถามนโยบาย, วิเคราะห์ engagement, จัด shortlist ผู้สมัคร หรือแนะนำ learning path จากนั้นระบุเจ้าของระบบ กลุ่มคนที่ได้รับผลกระทบ แหล่งข้อมูล และผลลัพธ์ที่ระบบสร้าง
Risk register ควรแยกความเสี่ยงเป็นอย่างน้อย 5 กลุ่ม ได้แก่ fairness, privacy, security, accuracy และ accountability ถ้า use case ใดเกี่ยวกับการคัดเลือกคน เลื่อนตำแหน่ง ค่าตอบแทน หรือวินัย ให้ถือว่าเป็น high-impact ภายในองค์กร แม้กฎหมายแต่ละประเทศจะจัดประเภทไม่เหมือนกันก็ตาม
ใช้ NIST AI RMF เป็นวงจรทำงาน ไม่ใช่โปสเตอร์บนผนัง
NIST AI Risk Management Framework ช่วยให้ทีมไม่ติดกับคำว่า responsible AI แบบลอย ๆ เพราะแบ่งงานเป็นวงจร Govern, Map, Measure และ Manage สำหรับ HR แปลเป็นภาษาง่าย ๆ คือกำหนดเจ้าของและกติกา ทำความเข้าใจบริบทและผลกระทบ วัดความเสี่ยงและคุณภาพ แล้วจัดการด้วย control ที่ตรวจซ้ำได้
ตัวอย่างเช่น use case คัดกรอง resume ต้อง Map ว่าข้อมูลอะไรถูกใช้และมี proxy bias หรือไม่ ต้อง Measure ความแม่นยำและผลต่างระหว่างกลุ่ม ต้อง Manage ด้วย human review, appeal path และ logging และต้อง Govern ด้วย policy ว่า AI เป็นตัวช่วย ไม่ใช่ผู้ตัดสินสุดท้าย
ISO/IEC 42001 ช่วยแปลง governance เป็นระบบบริหารจัดการ
ISO/IEC 42001 เป็นมาตรฐาน AI management system ที่ช่วยให้องค์กรมอง AI เป็นระบบบริหารความเสี่ยงต่อเนื่อง ไม่ใช่โครงการทดลองแยกส่วน จุดที่ HR นำไปใช้ได้ทันทีคือการกำหนด policy, role, risk assessment, impact assessment, lifecycle process, supplier control และการประเมินผลหลังใช้งาน
สำหรับองค์กรที่ยังไม่พร้อมทำ certification ก็ยังใช้แนวคิดได้ เช่น สร้างแบบฟอร์ม AI Impact Assessment สำหรับ use case HR ทุกเรื่อง กำหนดเจ้าของข้อมูลและเจ้าของ process แยกกัน ตรวจ vendor claim ด้วยหลักฐาน และทำ management review รายไตรมาสว่าระบบยังเหมาะสมหรือควรหยุด
Human oversight ต้องระบุว่าใครเห็นอะไร และมีสิทธิ์หยุดเมื่อไร
คำว่า human in the loop มักฟังดีแต่ไม่พอ ต้องระบุให้ชัดว่า loop อยู่ตรงไหน คนเห็นข้อมูลอะไร เห็นเหตุผลของระบบหรือไม่ มีเวลาและอำนาจพอจะ override หรือไม่ และการตัดสินใจถูกบันทึกอย่างไร ถ้าคนมีหน้าที่แค่กด approve ในระบบที่ออกแบบมาให้ปฏิเสธยาก นั่นไม่ใช่ oversight ที่มีความหมาย
งาน HR ควรมี escalation path สำหรับผลลัพธ์ผิดปกติ เช่น คะแนนผู้สมัครต่างกันมากระหว่างกลุ่ม, recommendation ที่กระทบค่าตอบแทน, หรือ agent ที่เรียกข้อมูลนอกขอบเขต สิ่งเหล่านี้ต้องถูกบันทึกเป็น audit trail เพื่อให้ตรวจย้อนหลังได้ ไม่ใช่ฝากไว้กับความจำของทีม
เอกสารขั้นต่ำก่อนเริ่ม pilot
ก่อนเริ่มใช้ AI ใน HR หนึ่งเรื่อง ควรมีเอกสารสั้น ๆ 6 ชิ้น ได้แก่ use case card, data map, risk register, human oversight design, vendor/supplier review และ incident playbook เอกสารเหล่านี้ไม่ต้องสวย แต่ต้องใช้ตอบคำถามจริงเมื่อมีข้อผิดพลาด
แนวทางที่ปลอดภัยคือเริ่มจาก use case ที่ช่วยสรุป ค้นหา หรือเตือนงาน และยังไม่ตัดสินชะตาคนโดยตรง เมื่อทีมพิสูจน์ control, logging และ review rhythm ได้แล้ว ค่อยขยับไปงานที่มีผลกระทบสูงขึ้น พร้อมตรวจข้อกำหนดกฎหมายที่เกี่ยวข้องกับประเทศและอุตสาหกรรมขององค์กร
รายละเอียด
## ปัญหาไม่ใช่ AI เก่งเกินไป แต่คือไม่มีใครรู้ว่ามันมีสิทธิ์ทำอะไร
งาน HR เป็นพื้นที่ที่ AI ดูน่าใช้มาก เพราะมีคำถามซ้ำ เอกสารเยอะ และ workflow ข้ามหลายฝ่าย แต่ข้อมูลที่ใช้มักเกี่ยวกับคนโดยตรง เช่น ประวัติผู้สมัคร ผลประเมิน การลา ค่าตอบแทน และข้อมูลสุขภาพบางประเภท สิ่งที่ดูเหมือนการเพิ่ม productivity จึงอาจกลายเป็นการตัดสินใจที่กระทบชีวิตการทำงานได้ง่าย
เมื่อขยับจาก chatbot ไปเป็น agent ความเสี่ยงจะเปลี่ยนจากตอบผิดเป็นทำผิด เพราะ agent อาจค้นข้อมูล เรียก tool ส่งแจ้งเตือน สร้างรายการงาน หรือแนะนำการตัดสินใจหลายขั้นต่อกัน Governance จึงต้องตอบให้ได้ว่าใครเป็นเจ้าของ ใครอนุมัติ ข้อมูลมาจากไหน และเมื่อระบบไม่แน่ใจต้องหยุดตรงไหน
## เริ่มจาก AI inventory และ risk register แบบ HR อ่านรู้เรื่อง
ขั้นแรกไม่ใช่เขียน policy หนายี่สิบหน้า แต่คือทำบัญชี use case ให้ครบว่า HR ใช้ AI กับเรื่องใดบ้าง เช่น สรุป resume, ตอบคำถามนโยบาย, วิเคราะห์ engagement, จัด shortlist ผู้สมัคร หรือแนะนำ learning path จากนั้นระบุเจ้าของระบบ กลุ่มคนที่ได้รับผลกระทบ แหล่งข้อมูล และผลลัพธ์ที่ระบบสร้าง
Risk register ควรแยกความเสี่ยงเป็นอย่างน้อย 5 กลุ่ม ได้แก่ fairness, privacy, security, accuracy และ accountability ถ้า use case ใดเกี่ยวกับการคัดเลือกคน เลื่อนตำแหน่ง ค่าตอบแทน หรือวินัย ให้ถือว่าเป็น high-impact ภายในองค์กร แม้กฎหมายแต่ละประเทศจะจัดประเภทไม่เหมือนกันก็ตาม
## ใช้ NIST AI RMF เป็นวงจรทำงาน ไม่ใช่โปสเตอร์บนผนัง
NIST AI Risk Management Framework ช่วยให้ทีมไม่ติดกับคำว่า responsible AI แบบลอย ๆ เพราะแบ่งงานเป็นวงจร Govern, Map, Measure และ Manage สำหรับ HR แปลเป็นภาษาง่าย ๆ คือกำหนดเจ้าของและกติกา ทำความเข้าใจบริบทและผลกระทบ วัดความเสี่ยงและคุณภาพ แล้วจัดการด้วย control ที่ตรวจซ้ำได้
ตัวอย่างเช่น use case คัดกรอง resume ต้อง Map ว่าข้อมูลอะไรถูกใช้และมี proxy bias หรือไม่ ต้อง Measure ความแม่นยำและผลต่างระหว่างกลุ่ม ต้อง Manage ด้วย human review, appeal path และ logging และต้อง Govern ด้วย policy ว่า AI เป็นตัวช่วย ไม่ใช่ผู้ตัดสินสุดท้าย
## ISO/IEC 42001 ช่วยแปลง governance เป็นระบบบริหารจัดการ
ISO/IEC 42001 เป็นมาตรฐาน AI management system ที่ช่วยให้องค์กรมอง AI เป็นระบบบริหารความเสี่ยงต่อเนื่อง ไม่ใช่โครงการทดลองแยกส่วน จุดที่ HR นำไปใช้ได้ทันทีคือการกำหนด policy, role, risk assessment, impact assessment, lifecycle process, supplier control และการประเมินผลหลังใช้งาน
สำหรับองค์กรที่ยังไม่พร้อมทำ certification ก็ยังใช้แนวคิดได้ เช่น สร้างแบบฟอร์ม AI Impact Assessment สำหรับ use case HR ทุกเรื่อง กำหนดเจ้าของข้อมูลและเจ้าของ process แยกกัน ตรวจ vendor claim ด้วยหลักฐาน และทำ management review รายไตรมาสว่าระบบยังเหมาะสมหรือควรหยุด
## Human oversight ต้องระบุว่าใครเห็นอะไร และมีสิทธิ์หยุดเมื่อไร
คำว่า human in the loop มักฟังดีแต่ไม่พอ ต้องระบุให้ชัดว่า loop อยู่ตรงไหน คนเห็นข้อมูลอะไร เห็นเหตุผลของระบบหรือไม่ มีเวลาและอำนาจพอจะ override หรือไม่ และการตัดสินใจถูกบันทึกอย่างไร ถ้าคนมีหน้าที่แค่กด approve ในระบบที่ออกแบบมาให้ปฏิเสธยาก นั่นไม่ใช่ oversight ที่มีความหมาย
งาน HR ควรมี escalation path สำหรับผลลัพธ์ผิดปกติ เช่น คะแนนผู้สมัครต่างกันมากระหว่างกลุ่ม, recommendation ที่กระทบค่าตอบแทน, หรือ agent ที่เรียกข้อมูลนอกขอบเขต สิ่งเหล่านี้ต้องถูกบันทึกเป็น audit trail เพื่อให้ตรวจย้อนหลังได้ ไม่ใช่ฝากไว้กับความจำของทีม
## เอกสารขั้นต่ำก่อนเริ่ม pilot
ก่อนเริ่มใช้ AI ใน HR หนึ่งเรื่อง ควรมีเอกสารสั้น ๆ 6 ชิ้น ได้แก่ use case card, data map, risk register, human oversight design, vendor/supplier review และ incident playbook เอกสารเหล่านี้ไม่ต้องสวย แต่ต้องใช้ตอบคำถามจริงเมื่อมีข้อผิดพลาด
แนวทางที่ปลอดภัยคือเริ่มจาก use case ที่ช่วยสรุป ค้นหา หรือเตือนงาน และยังไม่ตัดสินชะตาคนโดยตรง เมื่อทีมพิสูจน์ control, logging และ review rhythm ได้แล้ว ค่อยขยับไปงานที่มีผลกระทบสูงขึ้น พร้อมตรวจข้อกำหนดกฎหมายที่เกี่ยวข้องกับประเทศและอุตสาหกรรมขององค์กร