Risk: เมื่อ AI ไม่ได้สมบูรณ์แบบเสมอไป – ความเสี่ยงที่ผู้ตรวจสอบไม่ควรมองข้าม

พ.ค. 17, 2025

ในตอนที่แล้ว เราได้พูดคุยกันถึงเรื่อง Governance หรือ “ธรรมาภิบาล” ในการใช้ AI ว่าองค์กรควรมีกลไกในการกำกับดูแลให้ AI ถูกพัฒนาและใช้อย่างรับผิดชอบ ไม่ละเมิดสิทธิ ไม่สร้างความเสียหายโดยไม่รู้ตัว และผู้ตรวจสอบเองก็มีบทบาทสำคัญไม่น้อยในการเข้าไปช่วยดูแลให้กรอบ Governance นี้เป็นรูปธรรม

แต่แน่นอนว่า… Governance อย่างเดียวคงไม่พอครับ

เพราะถึงแม้ AI จะถูกพัฒนาโดยคนที่เก่งแค่ไหน ใช้ข้อมูลดีแค่ไหน ความเสี่ยง (Risk) ก็ยังคงอยู่ ไม่ว่าจะเป็นความเสี่ยงจากระบบเอง หรือจากคนที่ใช้มัน และนั่นคือสิ่งที่เราจะคุยกันในตอนนี้

AI ไม่ได้แปลว่า “ปลอดภัย” หรือ “ถูกต้องเสมอไป”

ในสายตาของใครหลายคน AI คือเทคโนโลยีอัจฉริยะที่แม่นยำ ไร้ข้อผิดพลาด แต่จริง ๆ แล้ว AI ก็เป็นเพียง โมเดลที่เรียนรู้จากข้อมูลที่คนให้มัน

ถ้าข้อมูลมีปัญหา – ผลลัพธ์ก็มีปัญหา ถ้าโมเดลถูกออกแบบโดยขาดความเข้าใจ – การตัดสินใจก็อาจผิดพลาดได้
และถ้าใช้โดยไม่ควบคุม – ความเสี่ยงก็ยิ่งขยายวงกว้างขึ้น

ดังนั้น งานของผู้ตรวจสอบจึงไม่ใช่แค่ “เชื่อในผลลัพธ์ของ AI” แต่ต้อง “กล้าตั้งคำถามว่าเบื้องหลังของผลลัพธ์นั้นปลอดภัยหรือไม่”

ประเภทของความเสี่ยงจาก AI ที่ควรจับตา

ผู้ตรวจสอบสามารถเริ่มต้นประเมินความเสี่ยงของ AI ได้จากหลากหลายมุม ในที่นี้ เราขอแบ่งความเสี่ยงออกเป็น 5 กลุ่มหลัก เพื่อให้ง่ายต่อการตรวจสอบ

1. ความเสี่ยงจากข้อมูล (Data Risk)

  • ข้อมูลที่ใช้ฝึก AI อาจ ไม่ครบถ้วน หรือ มีอคติ (bias) ซึ่งจะทำให้โมเดลตัดสินใจผิด ๆ
  • ตัวอย่างเช่น AI ประเมินความเสี่ยงของพนักงาน โดยใช้ข้อมูลพฤติกรรมการใช้คอมพิวเตอร์ แต่ละเลยบริบทของงานที่แตกต่างกัน

บทบาทของผู้ตรวจสอบ : ควรตรวจสอบแหล่งที่มาของข้อมูล ความน่าเชื่อถือ ความครอบคลุม และการควบคุมอคติที่เกิดขึ้น

2. ความเสี่ยงจากโมเดล (Model Risk)

  • AI ที่แม่นยำวันนี้ อาจไม่แม่นยำในอนาคต หากไม่มีการอัปเดตให้ทันสมัย ทันกาล
  • โมเดลอาจซับซ้อนเกินกว่าจะอธิบายได้ ทำให้ไม่สามารถตรวจสอบการทำงานได้

บทบาทของผู้ตรวจสอบ : ตรวจสอบว่าโมเดลถูกออกแบบและดูแลตามแนวทางมาตรฐานหรือไม่ เช่น มีการทดสอบซ้ำ มีบันทึกการปรับปรุง มีผู้รับผิดชอบที่ชัดเจน

3. ความเสี่ยงด้านความปลอดภัย (Security Risk)

  • AI ก็เหมือนระบบ IT อื่น ๆ ที่อาจโดนเจาะระบบ ขโมยข้อมูล หรือแม้กระทั่ง “ล่อให้คิดผิด” ได้ (เช่น ผ่านเทคนิค adversarial attack)
  • หาก AI ถูกควบคุมโดยบุคคลภายนอกที่ไม่ประสงค์ดี ผลลัพธ์ที่ออกมาก็อาจกลายเป็นเครื่องมือทำลายองค์กรได้

บทบาทของผู้ตรวจสอบ : ตรวจสอบว่า AI มีมาตรการความปลอดภัยที่เหมาะสมหรือไม่ อย่างไร เช่น การเข้ารหัสข้อมูล การควบคุมสิทธิ์เข้าถึง และการตรวจสอบเหตุการณ์ย้อนหลัง (audit log)

4. ความเสี่ยงด้านกฎหมายและจริยธรรม (Legal & Ethical Risk)

  • AI อาจละเมิดสิทธิส่วนบุคคล โดยเฉพาะในประเทศที่มีกฎหมายคุ้มครองข้อมูล (เช่น PDPA, GDPR)
  • หรืออาจก่อให้เกิดการเลือกปฏิบัติ (discrimination) หากโมเดลถูกฝึกให้ “ชอบ” หรือ “ไม่ชอบ” คนบางกลุ่มโดยไม่รู้ตัว

บทบาทของผู้ตรวจสอบ : ตรวจสอบความสอดคล้องกับกฎหมาย ตรวจสอบการมี “Explainability” หรือความสามารถในการอธิบายผลลัพธ์ และแนวทางการจัดการผลกระทบ

5. ความเสี่ยงจากผู้ใช้งาน (Human Risk)

  • ต่อให้ AI ถูกสร้างมาดีแค่ไหน ถ้า “คนใช้” ไม่เข้าใจหลักการ ก็อาจนำไปใช้ผิดจุด หรือไว้ใจเกินเหตุ
  • เช่น ใช้ AI เป็น “คำตัดสินสุดท้าย” แทนการใช้เป็น “เครื่องมือช่วยตัดสินใจ”

บทบาทของผู้ตรวจสอบ : ตรวจสอบว่ามีการอบรมผู้ใช้ มีการอธิบายขอบเขตการใช้งานที่ชัดเจน และมีมาตรการควบคุมการเข้าถึงอย่างเหมาะสมหรือไม่

เครื่องมือช่วยผู้ตรวจสอบประเมินความเสี่ยงของ AI

มีหลายแนวทางที่สามารถใช้ในการประเมินความเสี่ยงของ AI ต่อไปนี้คือกรอบที่สามารถนำไปปรับใช้ได้ทันที:

  • AI Risk Assessment Checklist: ตารางคำถามพื้นฐาน เช่น AI ใช้ข้อมูลอะไร? มีใครดูแลโมเดล? มีการ audit หรือยัง?
  • Model Risk Management Framework: แนวทางการดูแลวงจรชีวิตของโมเดล ตั้งแต่พัฒนา ทดสอบ ใช้งาน และยุติการใช้งาน
  • Ethical AI Guideline: แนวทางจริยธรรม เช่นของ OECD, ISO/IEC หรือกรอบขององค์กรระดับสากลที่สามารถอ้างอิงได้

สรุป AI มีพลังมากในการเปลี่ยนแปลงการทำงานขององค์กร แต่ “พลัง” นี้เองก็ต้องการการควบคุมที่เข้มงวด เพื่อไม่ให้กลายเป็น “ความเสี่ยงเงียบ” ที่แฝงตัวอยู่ในกระบวนการ

ผู้ตรวจสอบในยุคนี้จึงไม่ใช่แค่คนตรวจเอกสาร หรือดูรายการบัญชี แต่ต้องเป็น “ผู้ประเมินความเสี่ยงของเทคโนโลยี” ด้วย เพื่อให้มั่นใจว่า AI ทำหน้าที่ได้ดี… โดยไม่พาองค์กรหลุดจากราง

ในตอนหน้า เราจะไปต่อกันที่ตัวสุดท้ายของ GRC คือ Compliance – การปฏิบัติตามกฎหมาย มาตรฐาน และแนวทางกำกับ AI และแน่นอนว่าเราจะพาไปดูว่าเรื่องนี้เกี่ยวอะไรกับผู้ตรวจสอบ และเราจะตรวจ compliance ของ AI ได้อย่างไร แบบไม่ต้องเป็นโปรแกรมเมอร์ก็ทำได้ครับ

Leave a Comment » | AI กับ GRC | ลิงก์ถาวร
โพสต์โดย Metha Suvanasarn