รายงานฉบับนี้จัดทำโดย IMDA (Infocomm Media Development Authority) ซึ่งเป็นหน่วยงานภาครัฐของประเทศสิงคโปร์ที่ทำหน้าที่กำกับ ดูแล และขับเคลื่อนนโยบายด้านดิจิทัล เทคโนโลยีสารสนเทศ สื่อ และเศรษฐกิจดิจิทัลของประเทศ โดย IMDA ถือเป็นหนึ่งในหน่วยงานที่มีบทบาทสำคัญระดับโลกในการผลักดันแนวทางด้าน AI Governance และ Responsible AI
ตลอดหลายปีที่ผ่านมา สิงคโปร์ถูกมองว่าเป็นหนึ่งในประเทศที่มีความก้าวหน้ามากที่สุดในเอเชียด้านการกำกับดูแล AI ทั้งในมิติของภาครัฐ ภาคธุรกิจ และการสร้าง ecosystem ด้าน AI อย่างเป็นระบบ
" จุดสำคัญคือ สิงคโปร์ไม่ได้มอง AI Governance เป็นเพียง “กฎระเบียบ” แต่เป็น “โครงสร้างพื้นฐานแห่งความไว้วางใจ” (Trust Infrastructure) ที่ช่วยให้องค์กรและประเทศสามารถใช้ AI ได้อย่างมั่นใจ ปลอดภัย และแข่งขันได้ในระดับโลก "
ทำไมองค์กรไทยควรจับตาแนวทางของสิงคโปร์
สำหรับองค์กรไทย แนวทางของสิงคโปร์จึงมีความน่าสนใจเป็นพิเศษ เพราะมีบริบทหลายด้านที่ใกล้เคียงกัน ทั้งในแง่เศรษฐกิจดิจิทัล การพึ่งพาเทคโนโลยีจากต่างประเทศ การเร่งใช้ AI ในภาคธุรกิจ และความจำเป็นในการสร้างความเชื่อมั่นด้านการกำกับดูแล AI ให้สอดคล้องกับมาตรฐานสากล
ในช่วงที่องค์กรไทยจำนวนมากกำลังเริ่มทดลองใช้ AI agents, copilots และ workflow automation รายงานของ IMDA จึงถือเป็น “early blueprint” สำคัญ ที่ช่วยให้ผู้บริหารเห็นว่าการกำกับดูแล AI ในยุค Agentic AI ต้องเปลี่ยนจากการดูแล “content” ไปสู่การกำกับดูแล “actions, autonomy, access และ accountability” ของ AI systems อย่างไรบ้าง
IMDA ใช้กรณี OpenClaw ซึ่งเป็น open-source AI agent platform ที่ทำงานผ่าน Telegram และ Slack เพื่ออธิบายการนำ 4 มิติของ framework ไปใช้จริงกับ AI agents ที่สามารถช่วยงาน เช่น research, customer enquiries และ debugging code รายงานเน้นว่าการ deploy OpenClaw ต้องจำกัดสิทธิ์ ไม่ใช้ใน mission-critical systems และต้องมี human approval, logging และ training เพราะตัวระบบมีความเสี่ยงด้าน access control, sensitive data, third-party skills และ memory poisoning
OCBC และ Bank of Singapore ใช้ agentic AI ช่วยสรุปเอกสารทางการเงินของลูกค้าเพื่อสร้าง draft Source of Wealth memo โดยมีเป้าหมายเพื่อเพิ่มความสม่ำเสมอ ความครบถ้วน และลดงาน manual review กรณีนี้เน้น bounded autonomy คือ agent ทำเฉพาะ extraction, drafting และ checking แต่ไม่มีอำนาจตัดสินใจเรื่อง credit, onboarding หรือ risk decision โดยการตรวจสอบและอนุมัติขั้นสุดท้ายยังอยู่กับมนุษย์
PwC Singapore พัฒนา agentic application ผ่าน AI Factory เพื่อช่วยร่างส่วน research และ analysis ของ internal reports โดยระบบใช้ templates, source materials และ agents หลายตัวเพื่อสร้าง draft content ได้รวดเร็วขึ้น กรณีนี้เน้นการแบ่ง accountability ภายในองค์กร เช่น use case owner, technology risk management team, AI Factory และ subject matter specialists ที่ต้อง review และ approve output ก่อนนำไปใช้จริง
Tencent Cloud ใช้ CodeBuddy เป็น agentic AI coding system ที่ช่วยวิศวกร plan, write, test และ deploy code ผ่าน natural language instruction พร้อมเข้าถึง filesystems, terminal commands, external APIs และ MCP tools รายงานใช้กรณีนี้เพื่ออธิบาย meaningful human oversight โดยกำหนดว่า action บางประเภท เช่น read ไม่ต้องขออนุมัติ แต่ edit, bash command, WebFetch และ MCP tool invocation ต้องมี approval หรือ permission rules ตามระดับความเสี่ยง
X0PA ใช้ AI Agentic Platform ใน recruitment workflows โดยเน้นให้ AI ช่วยสนับสนุน ไม่ใช่แทนที่การตัดสินใจของมนุษย์ เพราะ recruitment เป็น high-impact domain รายงานชี้ว่าระบบมี human approval checkpoints ในขั้น shortlisting และ final selection พร้อม explainable outputs, training, user override และ feedback loop เพื่อให้ hiring decisions ยังอยู่ภายใต้การกำกับของ recruiter และ hiring manager
Google, CSA, GovTech และ IMDA ทำ sandbox เพื่อทดสอบ computer-use agents สำหรับ use cases ภาครัฐ เช่น automated QA testing, AI safety testing และการช่วยประชาชนสมัคร social assistance programmes รายงานใช้กรณีนี้เพื่อเน้นความสำคัญของ realistic testing data, realistic environments, logging agent reasoning และการทดสอบว่า agent สามารถแยกข้อมูลที่เกี่ยวข้องออกจากข้อมูลส่วนตัวที่ไม่จำเป็นได้หรือไม่
GovTech Singapore rollout agentic coding assistants เช่น Windsurf, GitHub Copilot Agent Mode และ Claude Code แบบเป็นระยะ หลังจากทดสอบความเสี่ยงด้าน manipulation, hallucination และ compromise ของ MCP servers รายงานใช้กรณีนี้เพื่อแสดงแนวทาง gradual deployment โดยจำกัดกลุ่มผู้ใช้ จำกัด MCP access และเริ่มกับ low-risk systems เพื่อลด blast radius ขณะค่อย ๆ พัฒนา controls เพิ่มเติม
Ant International ใช้ AI agents ภายในด้าน data quality assurance และ cybersecurity และกำลังทดลอง High-Order Program (HOP) framework เพื่อให้ผู้ใช้สามารถออกแบบ agentic workflows ด้วยภาษาธรรมชาติ ก่อนให้ agent builder แปลงเป็น code รายงานใช้กรณีนี้เพื่อแสดง end-user responsibility โดยผู้ใช้สามารถเขียน/ทบทวน workflow specs, iterate กับ agent builder และมี built-in verification เพื่อลด cascading errors.
ก่อนนำ AI agents มาใช้ องค์กรต้องประเมินก่อนว่า agent ตัวนั้นจะ “ทำอะไรได้บ้าง” และ “ไม่ควรทำอะไร” ความเสี่ยงไม่ได้ขึ้นอยู่กับโมเดล AI เพียงอย่างเดียว แต่ขึ้นอยู่กับ action-space หรือขอบเขตการกระทำของ agent เช่น อ่านข้อมูลได้อย่างเดียวหรือแก้ไขข้อมูลได้ด้วย เข้าถึงระบบภายในหรือระบบภายนอกได้หรือไม่ และการกระทำนั้นย้อนกลับได้หรือไม่ IMDA แนะนำให้องค์กรจำกัดขอบเขตความเสี่ยงตั้งแต่ขั้นออกแบบ เช่น จำกัดการเข้าถึง tools, external systems, sensitive data และใช้ identity management กับ access controls สำหรับ agents
สำหรับผู้บริหารไทย ประเด็นนี้สำคัญมาก เพราะหลายองค์กรเริ่มทดลองใช้ AI เชื่อมกับเอกสาร อีเมล CRM ERP หรือระบบภายใน หากไม่มีการกำหนด permission และ approval workflow ที่ชัดเจน AI อาจกลายเป็น “พนักงานดิจิทัล” ที่มีสิทธิ์มากเกินไปโดยไม่มีผู้รับผิดชอบที่ชัดเจน
IMDA เน้นว่า แม้ AI agents จะมี autonomy มากขึ้น แต่มนุษย์ยังต้องเป็นผู้รับผิดชอบต่อการออกแบบ การใช้งาน และผลลัพธ์ของระบบอยู่เสมอ โดยเฉพาะในงานที่มีผลกระทบสูงหรือย้อนกลับไม่ได้ เช่น การอนุมัติธุรกรรม การตัดสินใจเกี่ยวกับลูกค้า การเปลี่ยนข้อมูลสำคัญ หรือการดำเนินการที่กระทบต่อสิทธิของบุคคล
คำว่า “human-in-the-loop” ในยุค Agentic AI จึงไม่ใช่แค่ให้คนกดอนุมัติแบบผิวเผิน แต่ต้องออกแบบให้มนุษย์มีบทบาทอย่างมีความหมาย เช่น รู้ว่า agent กำลังทำอะไร เข้าใจความเสี่ยง เห็นเหตุผลของการตัดสินใจ และสามารถหยุด แก้ไข หรือ override ได้จริง
Agentic AI ต้องมี technical controls ตลอด lifecycle ตั้งแต่การออกแบบ การทดสอบก่อน deploy การ roll out ทีละขั้น ไปจนถึง monitoring หลังใช้งานจริง IMDA ระบุว่าองค์กรควรทดสอบ agents ในมิติใหม่ ๆ เช่น execution accuracy, policy adherence และ tool use รวมถึงต้องมี continuous monitoring เพราะ agentic systems มีปฏิสัมพันธ์กับสภาพแวดล้อมแบบ dynamic และไม่สามารถคาดการณ์ความเสี่ยงทั้งหมดล่วงหน้าได้
สำหรับองค์กรไทย สิ่งนี้แปลว่า AI governance ไม่ควรหยุดอยู่ที่การมี policy แต่ต้องมีระบบจริง เช่น logs, audit trail, monitoring dashboard, escalation process, incident response และ change management เมื่อมีการปรับ prompt, model, tools หรือ workflow
การกำกับดูแล Agentic AI ไม่ใช่หน้าที่ของทีม IT หรือทีม AI เท่านั้น แต่รวมถึงผู้ใช้งานปลายทางด้วย IMDA ระบุว่าผู้ใช้ควรได้รับข้อมูลว่า agent ทำอะไรได้ เข้าถึงข้อมูลใดได้ และผู้ใช้มีความรับผิดชอบอะไรบ้าง รวมถึงควรได้รับ training เพื่อบริหาร human-agent interaction และยังคงรักษาทักษะพื้นฐานของตนเอง ไม่พึ่งพา agents จนสูญเสียความสามารถในการตรวจสอบหรือควบคุมงาน
นี่เป็นประเด็นที่สำคัญมากในบริบทไทย เพราะองค์กรจำนวนมากเริ่มให้พนักงานใช้ AI tools แต่ยังไม่ได้กำหนดแนวปฏิบัติที่ชัดเจนว่า ข้อมูลแบบใดห้ามใส่ใน AI, คำตอบของ AI ต้องตรวจสอบอย่างไร, และใครต้องรับผิดชอบหากนำ output ไปใช้ผิดพลาด
ในยุค Generative AI ความเสี่ยงหลักมักอยู่ที่ “คำตอบผิด” หรือ “ข้อมูลรั่วไหลจากการใช้งานไม่เหมาะสม” แต่ในยุค Agentic AI ความเสี่ยงจะขยับจาก wrong answer ไปสู่ wrong action กล่าวคือ AI ไม่ได้แค่สร้างข้อความผิด แต่สามารถทำงานผิด แก้ไขข้อมูลผิด ส่งคำสั่งผิด หรือดำเนินการแทนองค์กรผิดได้
นี่คือเหตุผลที่ governance ต้องเปลี่ยนจากการกำกับดูแล content ไปสู่การกำกับดูแล action, access, accountability และ autonomy กล่าวให้ชัดคือ ผู้บริหารต้องรู้ว่า AI agents ในองค์กรมีสิทธิ์ทำอะไร ใครเป็นเจ้าของระบบ ใครอนุมัติ action ใคร monitor ความผิดปกติ และใครรับผิดชอบหากเกิดผลกระทบ
รายงานของ IMDA จึงเป็นมากกว่าเอกสารด้านเทคนิค แต่เป็นกรอบสำหรับผู้บริหารในการตั้งคำถามเชิง governance ก่อนที่องค์กรจะขยายการใช้ AI agents ในระดับ enterprise
สำหรับองค์กรไทย รายงานนี้มีประโยชน์อย่างน้อย 5 ด้าน
หนึ่ง ช่วยให้ผู้บริหารเข้าใจว่า Agentic AI ไม่ใช่แค่ chatbot ที่ฉลาดขึ้น แต่เป็นระบบที่อาจมีสิทธิ์เข้าถึงข้อมูล เครื่องมือ และระบบงานจริง จึงต้องออกแบบ governance ตั้งแต่ก่อน deploy
สอง ช่วยให้องค์กรแยกความแตกต่างระหว่าง AI policy กับ AI operational controls การมีนโยบาย AI เป็นเพียงจุดเริ่มต้น แต่การใช้ agents อย่างปลอดภัยต้องมี access control, approval checkpoint, logging, monitoring และ incident response
สาม ช่วยลดความเสี่ยงจาก vendor และ third-party AI solutions เพราะองค์กรไทยจำนวนมากอาจไม่ได้พัฒนา AI agents เอง แต่ใช้ platform หรือ solution จากภายนอก จึงต้องกำหนดความรับผิดชอบระหว่าง internal owner, vendor, system provider และ end user ให้ชัดเจน
สี่ ช่วยยกระดับการกำกับดูแลให้สอดคล้องกับมาตรฐานสากล โดยเฉพาะแนวทางที่เชื่อมโยงกับ AI management system, lifecycle risk management, monitoring และ continuous improvement ซึ่งสอดคล้องกับทิศทางของ ISO/IEC 42001:2023
ห้า ช่วยให้องค์กรไทยเตรียมพร้อมจาก AI adoption ไปสู่ Agentic Enterprise กล่าวคือ ไม่ใช่แค่ “ใช้ AI ได้” แต่ต้อง “กำกับดูแล AI ที่ลงมือทำงานแทนคนได้” อย่างเป็นระบบ
ประเด็นนี้สอดคล้องกับงานวิจัยเรื่อง “AI Governance and the Assessment of AI Governance of Organizations in Thailand” ซึ่งมอง AI governance เป็นความสามารถระดับองค์กร ไม่ใช่เพียง compliance และพัฒนาเครื่องมือประเมิน 10 มิติ ครอบคลุม governance structures, leadership, data governance, safety, transparency, accountability, fairness, human oversight, monitoring และ continuous improvement
บทเรียนสำคัญจากรายงาน IMDA คือ องค์กรไม่ควรรอให้เกิด incident ก่อนจึงค่อยออกแบบ AI governance เพราะในยุค Agentic AI ความเสียหายอาจเกิดขึ้นเร็วกว่าเดิม และอาจขยายผลผ่านระบบหลายส่วนขององค์กร
ผู้บริหารจึงควรเริ่มจากคำถาม 7 ข้อ
องค์กรมี AI agents หรือ workflow automation ที่สามารถลงมือทำงานแทนมนุษย์แล้วหรือยัง
Agent แต่ละตัวเข้าถึงข้อมูล ระบบ และ tools อะไรได้บ้าง
งานใดต้องมี human approval ก่อนดำเนินการ
มี logs และ audit trail เพียงพอหรือไม่
หาก agent ทำงานผิด ใครเป็นเจ้าของความรับผิดชอบ
มีการ monitor และทดสอบ agent หลัง deploy อย่างต่อเนื่องหรือไม่
ผู้ใช้งานเข้าใจหน้าที่ ความเสี่ยง และความรับผิดชอบของตนเองหรือไม่
หากองค์กรยังตอบคำถามเหล่านี้ไม่ได้ชัดเจน แปลว่าองค์กรอาจยังไม่พร้อมสำหรับ Agentic AI ในระดับ enterprise แม้จะเริ่มใช้ Generative AI แล้วก็ตาม
รายงานของ IMDA ช่วยชี้ให้เห็นว่า AI Governance กำลังเข้าสู่ขั้นใหม่ จากเดิมที่เน้นหลักการ เช่น transparency, accountability, fairness และ human oversight ไปสู่การออกแบบ governance ที่ลงลึกกว่าเดิม เช่น action boundaries, tool permissions, agent identity, approval checkpoints, audit trails, continuous monitoring และ end-user responsibility
สำหรับองค์กรไทย นี่คือโอกาสในการยกระดับจากการใช้ AI แบบกระจัดกระจาย ไปสู่การสร้าง Trust Infrastructure หรือโครงสร้างพื้นฐานแห่งความไว้วางใจ ที่ทำให้องค์กรสามารถใช้ AI และ AI agents ได้อย่างมั่นใจ ปลอดภัย โปร่งใส ตรวจสอบได้ และแข่งขันได้ในระดับสากล
ในยุคต่อไป องค์กรที่ได้เปรียบจะไม่ใช่เพียงองค์กรที่ใช้ AI ได้เร็วที่สุด แต่คือองค์กรที่สามารถกำกับดูแล AI ได้ดีที่สุด โดยเฉพาะเมื่อ AI เริ่มมีความสามารถในการตัดสินใจและลงมือทำงานแทนมนุษย์มากขึ้น
เพื่อตอบโจทย์นี้ AI Governance Center จึงอยู่ระหว่างการเตรียมเผยแพร่งานวิจัยเรื่อง “ธรรมาภิบาล AI และการประเมินธรรมาภิบาลการใช้ AI ขององค์กรในประเทศไทย” ซึ่งมุ่งพัฒนาแนวทางและเครื่องมือประเมินธรรมาภิบาล AI ระดับองค์กรที่เหมาะสมกับบริบทขององค์กรไทย และเชื่อมโยงกับแนวทางสากล เช่น ISO/IEC 42001:2023
ผู้สนใจสามารถลงทะเบียนเพื่อรับข่าวสาร รายละเอียดการเข้าถึงบทความทางวิชาการ Executive Briefing ภาษาไทย และกิจกรรมเผยแพร่ผลงานวิจัยที่เกี่ยวข้องได้ที่ www.aigovernancecenter.org/register-ai-governance-report
