Information Technology Governance

ในตอนที่แล้ว เราได้พูดถึงเรื่อง Risk หรือความเสี่ยงที่เกี่ยวข้องกับการใช้ AI และทำความเข้าใจถึงความเสี่ยงหลัก ๆ ที่ผู้ตรวจสอบต้องคำนึงถึงในการใช้ AI ในองค์กรไปแล้ว

วันนี้เราจะมาพูดถึงอีกส่วนสำคัญของ GRC นั่นคือ Compliance หรือ “การปฏิบัติตามกฎหมาย มาตรฐาน และแนวทางกำกับ” ที่เกี่ยวข้องกับการใช้ AI กันครับ

การใช้งาน AI ต้องสอดคล้องกับกฎหมายและมาตรฐานที่กำหนดไว้ ทั้งในระดับประเทศและระดับสากล โดยเฉพาะในเรื่องของการคุ้มครองข้อมูลส่วนบุคคล (Personal Data Protection) ความโปร่งใส และจริยธรรมในการตัดสินใจ

ความสำคัญของการปฏิบัติตามกฎหมาย (Compliance) ในการใช้ AI

AI ที่ใช้อยู่ในองค์กรต้องมีการปฏิบัติตามกฎหมาย เพื่อให้เกิดความเชื่อถือและป้องกันการกระทำที่ผิดกฎหมาย ซึ่งอาจนำมาซึ่งการฟ้องร้อง การสูญเสียชื่อเสียง หรือแม้แต่ค่าปรับทางการเงินที่สูงลิ่ว

ตัวอย่างเช่น กฎหมาย PDPA (Personal Data Protection Act) ในประเทศไทย ที่กำหนดให้ข้อมูลส่วนบุคคลต้องได้รับการคุ้มครองอย่างเข้มงวด หาก AI นำข้อมูลส่วนบุคคลมาใช้โดยไม่ได้รับความยินยอมจากเจ้าของข้อมูล อาจทำให้เกิดการละเมิดกฎหมายนี้ได้

หรือกรณีของ GDPR (General Data Protection Regulation) ของยุโรป ซึ่งมีข้อกำหนดที่เข้มงวดเกี่ยวกับการใช้ข้อมูลส่วนบุคคลในการฝึกฝน AI เช่น การต้องสามารถอธิบายได้ว่า AI ตัดสินใจอย่างไร และต้องสามารถทบทวนได้ (Explainability)

Compliance และการตรวจสอบภายใน

การปฏิบัติตามกฎหมายไม่เพียงแค่เกี่ยวข้องกับการทำตามข้อบังคับที่มีอยู่ แต่ยังเกี่ยวข้องกับการตรวจสอบเพื่อให้แน่ใจว่า AI ที่ใช้ในองค์กรมีการควบคุมที่ถูกต้องและเหมาะสม ซึ่งเป็นหน้าที่ของผู้ตรวจสอบ

ในส่วนนี้ ผู้ตรวจสอบต้องตรวจสอบทั้งในด้าน:

1. การปฏิบัติตามกฎหมาย: เช่น การใช้ข้อมูลส่วนบุคคลตาม PDPA หรือ GDPR, การใช้เทคโนโลยีอย่าง AI อย่างโปร่งใส และยุติธรรม
2. การปฏิบัติตามมาตรฐานอุตสาหกรรม: เช่น การปฏิบัติตามมาตรฐาน ISO/IEC หรือแนวทางที่องค์กรได้ตั้งขึ้นเองในการใช้ AI
3. การปฏิบัติตามนโยบายภายใน: เช่น นโยบายการป้องกันการเลือกปฏิบัติ การจัดการข้อมูล และการควบคุมความเสี่ยงที่เกี่ยวข้องกับ AI

ขั้นตอนในการตรวจสอบ Compliance ในการใช้ AI

ในการตรวจสอบให้แน่ใจว่า AI ปฏิบัติตามกฎหมายและมาตรฐานที่เกี่ยวข้อง ผู้ตรวจสอบสามารถใช้กรอบการตรวจสอบต่าง ๆ เช่น:

1. ตรวจสอบการใช้ข้อมูล

• ตรวจสอบการขออนุญาต: AI ใช้ข้อมูลส่วนบุคคลหรือไม่? หากใช่ มีการขออนุญาตจากเจ้าของข้อมูลหรือไม่?
• ความโปร่งใสในการใช้ข้อมูล: ข้อมูลที่ AI ใช้นั้นถูกเปิดเผยให้ผู้ใช้งาน หรือเจ้าของข้อมูลทราบหรือไม่?
• การเก็บรักษาข้อมูล: ข้อมูลที่ AI เก็บมีมาตรการในการป้องกันการรั่วไหลหรือไม่?

2. ตรวจสอบการออกแบบและการใช้งาน AI

• Explainability: AI สามารถอธิบายการตัดสินใจได้หรือไม่? ตัวอย่างเช่น เมื่อ AI บอกว่า “ลูกค้ามีความเสี่ยงสูงในการชำระเงิน” จะสามารถอธิบายได้ว่า AI ใช้เกณฑ์อะไรในการตัดสินใจเช่นนั้น
• การทดสอบและการตรวจสอบ AI: ระบบ AI ได้รับการทดสอบอย่างเพียงพอก่อนนำไปใช้งานหรือไม่? มีการประเมินความเสี่ยงและความถูกต้องของโมเดล AI หรือยัง?

3. ตรวจสอบการปฏิบัติตามมาตรฐานและกฎหมาย

• PDPA, GDPR หรือกฎหมายที่เกี่ยวข้อง: ตรวจสอบให้แน่ใจว่า AI ปฏิบัติตามข้อกำหนดของกฎหมายที่เกี่ยวข้อง เช่น การใช้ข้อมูลส่วนบุคคลอย่างถูกต้อง
• มาตรฐานอุตสาหกรรม: ตรวจสอบว่า AI สอดคล้องกับมาตรฐานที่กำหนดในอุตสาหกรรมหรือไม่ เช่น ISO/IEC 27001 สำหรับความปลอดภัยของข้อมูล

การสื่อสารผลการตรวจสอบกับผู้บริหาร

เมื่อผู้ตรวจสอบพบข้อบกพร่องหรือช่องโหว่ในด้าน Compliance ที่เกี่ยวข้องกับการใช้ AI การสื่อสารผลการตรวจสอบให้กับผู้บริหารจึงเป็นสิ่งสำคัญมาก

ผู้ตรวจสอบต้อง:

• อธิบายผลกระทบที่อาจเกิดขึ้น: เช่น การละเมิดข้อมูลส่วนบุคคลอาจนำไปสู่การฟ้องร้องหรือการถูกปรับจากหน่วยงานกำกับดูแล
• แนะนำแนวทางการแก้ไข: เสนอแนะวิธีการปฏิบัติที่ถูกต้อง เช่น การปรับปรุงกระบวนการเก็บและใช้งานข้อมูล, การพัฒนา AI ให้สามารถอธิบายการตัดสินใจได้

สรุป การปฏิบัติตามกฎหมายและมาตรฐานในกระบวนการใช้ AI จึงเป็นสิ่งที่ไม่สามารถมองข้ามได้ เพราะการละเมิดกฎหมายอาจนำมาซึ่งผลเสียที่ยากจะคาดเดาได้ ทั้งในเรื่องการเงิน ชื่อเสียง และความน่าเชื่อถือขององค์กร

ผู้ตรวจสอบจึงมีบทบาทสำคัญในการตรวจสอบและให้คำแนะนำให้องค์กรปฏิบัติตามกฎหมายและมาตรฐานที่เกี่ยวข้องอย่างเต็มที่ เพื่อให้การใช้ AI ในองค์กรนั้นเป็นไปอย่างปลอดภัย โปร่งใส และมีความรับผิดชอบ

ในตอนที่แล้ว เราได้พูดคุยกันถึงเรื่อง Governance หรือ “ธรรมาภิบาล” ในการใช้ AI ว่าองค์กรควรมีกลไกในการกำกับดูแลให้ AI ถูกพัฒนาและใช้อย่างรับผิดชอบ ไม่ละเมิดสิทธิ ไม่สร้างความเสียหายโดยไม่รู้ตัว และผู้ตรวจสอบเองก็มีบทบาทสำคัญไม่น้อยในการเข้าไปช่วยดูแลให้กรอบ Governance นี้เป็นรูปธรรม

แต่แน่นอนว่า… Governance อย่างเดียวคงไม่พอครับ

เพราะถึงแม้ AI จะถูกพัฒนาโดยคนที่เก่งแค่ไหน ใช้ข้อมูลดีแค่ไหน ความเสี่ยง (Risk) ก็ยังคงอยู่ ไม่ว่าจะเป็นความเสี่ยงจากระบบเอง หรือจากคนที่ใช้มัน และนั่นคือสิ่งที่เราจะคุยกันในตอนนี้

AI ไม่ได้แปลว่า “ปลอดภัย” หรือ “ถูกต้องเสมอไป”

ในสายตาของใครหลายคน AI คือเทคโนโลยีอัจฉริยะที่แม่นยำ ไร้ข้อผิดพลาด แต่จริง ๆ แล้ว AI ก็เป็นเพียง โมเดลที่เรียนรู้จากข้อมูลที่คนให้มัน

ถ้าข้อมูลมีปัญหา – ผลลัพธ์ก็มีปัญหา ถ้าโมเดลถูกออกแบบโดยขาดความเข้าใจ – การตัดสินใจก็อาจผิดพลาดได้
และถ้าใช้โดยไม่ควบคุม – ความเสี่ยงก็ยิ่งขยายวงกว้างขึ้น

ดังนั้น งานของผู้ตรวจสอบจึงไม่ใช่แค่ “เชื่อในผลลัพธ์ของ AI” แต่ต้อง “กล้าตั้งคำถามว่าเบื้องหลังของผลลัพธ์นั้นปลอดภัยหรือไม่”

ประเภทของความเสี่ยงจาก AI ที่ควรจับตา

ผู้ตรวจสอบสามารถเริ่มต้นประเมินความเสี่ยงของ AI ได้จากหลากหลายมุม ในที่นี้ เราขอแบ่งความเสี่ยงออกเป็น 5 กลุ่มหลัก เพื่อให้ง่ายต่อการตรวจสอบ

1. ความเสี่ยงจากข้อมูล (Data Risk)

• ข้อมูลที่ใช้ฝึก AI อาจ ไม่ครบถ้วน หรือ มีอคติ (bias) ซึ่งจะทำให้โมเดลตัดสินใจผิด ๆ
• ตัวอย่างเช่น AI ประเมินความเสี่ยงของพนักงาน โดยใช้ข้อมูลพฤติกรรมการใช้คอมพิวเตอร์ แต่ละเลยบริบทของงานที่แตกต่างกัน

บทบาทของผู้ตรวจสอบ : ควรตรวจสอบแหล่งที่มาของข้อมูล ความน่าเชื่อถือ ความครอบคลุม และการควบคุมอคติที่เกิดขึ้น

2. ความเสี่ยงจากโมเดล (Model Risk)

• AI ที่แม่นยำวันนี้ อาจไม่แม่นยำในอนาคต หากไม่มีการอัปเดตให้ทันสมัย ทันกาล
• โมเดลอาจซับซ้อนเกินกว่าจะอธิบายได้ ทำให้ไม่สามารถตรวจสอบการทำงานได้

บทบาทของผู้ตรวจสอบ : ตรวจสอบว่าโมเดลถูกออกแบบและดูแลตามแนวทางมาตรฐานหรือไม่ เช่น มีการทดสอบซ้ำ มีบันทึกการปรับปรุง มีผู้รับผิดชอบที่ชัดเจน

3. ความเสี่ยงด้านความปลอดภัย (Security Risk)

• AI ก็เหมือนระบบ IT อื่น ๆ ที่อาจโดนเจาะระบบ ขโมยข้อมูล หรือแม้กระทั่ง “ล่อให้คิดผิด” ได้ (เช่น ผ่านเทคนิค adversarial attack)
• หาก AI ถูกควบคุมโดยบุคคลภายนอกที่ไม่ประสงค์ดี ผลลัพธ์ที่ออกมาก็อาจกลายเป็นเครื่องมือทำลายองค์กรได้

บทบาทของผู้ตรวจสอบ : ตรวจสอบว่า AI มีมาตรการความปลอดภัยที่เหมาะสมหรือไม่ อย่างไร เช่น การเข้ารหัสข้อมูล การควบคุมสิทธิ์เข้าถึง และการตรวจสอบเหตุการณ์ย้อนหลัง (audit log)

4. ความเสี่ยงด้านกฎหมายและจริยธรรม (Legal & Ethical Risk)

• AI อาจละเมิดสิทธิส่วนบุคคล โดยเฉพาะในประเทศที่มีกฎหมายคุ้มครองข้อมูล (เช่น PDPA, GDPR)
• หรืออาจก่อให้เกิดการเลือกปฏิบัติ (discrimination) หากโมเดลถูกฝึกให้ “ชอบ” หรือ “ไม่ชอบ” คนบางกลุ่มโดยไม่รู้ตัว

บทบาทของผู้ตรวจสอบ : ตรวจสอบความสอดคล้องกับกฎหมาย ตรวจสอบการมี “Explainability” หรือความสามารถในการอธิบายผลลัพธ์ และแนวทางการจัดการผลกระทบ

5. ความเสี่ยงจากผู้ใช้งาน (Human Risk)

• ต่อให้ AI ถูกสร้างมาดีแค่ไหน ถ้า “คนใช้” ไม่เข้าใจหลักการ ก็อาจนำไปใช้ผิดจุด หรือไว้ใจเกินเหตุ
• เช่น ใช้ AI เป็น “คำตัดสินสุดท้าย” แทนการใช้เป็น “เครื่องมือช่วยตัดสินใจ”

บทบาทของผู้ตรวจสอบ : ตรวจสอบว่ามีการอบรมผู้ใช้ มีการอธิบายขอบเขตการใช้งานที่ชัดเจน และมีมาตรการควบคุมการเข้าถึงอย่างเหมาะสมหรือไม่

เครื่องมือช่วยผู้ตรวจสอบประเมินความเสี่ยงของ AI

มีหลายแนวทางที่สามารถใช้ในการประเมินความเสี่ยงของ AI ต่อไปนี้คือกรอบที่สามารถนำไปปรับใช้ได้ทันที:

• AI Risk Assessment Checklist: ตารางคำถามพื้นฐาน เช่น AI ใช้ข้อมูลอะไร? มีใครดูแลโมเดล? มีการ audit หรือยัง?
• Model Risk Management Framework: แนวทางการดูแลวงจรชีวิตของโมเดล ตั้งแต่พัฒนา ทดสอบ ใช้งาน และยุติการใช้งาน
• Ethical AI Guideline: แนวทางจริยธรรม เช่นของ OECD, ISO/IEC หรือกรอบขององค์กรระดับสากลที่สามารถอ้างอิงได้

สรุป AI มีพลังมากในการเปลี่ยนแปลงการทำงานขององค์กร แต่ “พลัง” นี้เองก็ต้องการการควบคุมที่เข้มงวด เพื่อไม่ให้กลายเป็น “ความเสี่ยงเงียบ” ที่แฝงตัวอยู่ในกระบวนการ

ผู้ตรวจสอบในยุคนี้จึงไม่ใช่แค่คนตรวจเอกสาร หรือดูรายการบัญชี แต่ต้องเป็น “ผู้ประเมินความเสี่ยงของเทคโนโลยี” ด้วย เพื่อให้มั่นใจว่า AI ทำหน้าที่ได้ดี… โดยไม่พาองค์กรหลุดจากราง

ในตอนหน้า เราจะไปต่อกันที่ตัวสุดท้ายของ GRC คือ Compliance – การปฏิบัติตามกฎหมาย มาตรฐาน และแนวทางกำกับ AI และแน่นอนว่าเราจะพาไปดูว่าเรื่องนี้เกี่ยวอะไรกับผู้ตรวจสอบ และเราจะตรวจ compliance ของ AI ได้อย่างไร แบบไม่ต้องเป็นโปรแกรมเมอร์ก็ทำได้ครับ