กรอบการทำงานการตรวจสอบปัญญาประดิษฐ์ (Artificial Intelligence Auditing Framework) ตอนที่ 3-1

กันยายน 25, 2025

สวัสดีครับ สำหรับโพสต์นี้เรามาต่อกันในตอนที่ 3 ซึ่งเป็นแก่นสำคัญของ AI Auditing Framework เนื้อหาค่อนข้างยาวและมีหลายประเด็นสำคัญ ดังนั้นผมจะแบ่งออกเป็น 2 ตอนย่อย เพื่อให้ผู้อ่านสามารถติดตามและทำความเข้าใจได้อย่างลึกซึ้งนะครับ

ตอนที่ 3: กรอบการตรวจสอบ AI: การกำกับดูแลและการจัดการ (ตอนที่ 1)

The IIA’s AI Auditing Framework ฉบับแรกได้เผยแพร่ในปี 2017 โดยมีจุดประสงค์เพื่อให้ผู้ตรวจสอบภายในมีแนวทางในการให้บริการที่ปรึกษาและให้ความเชื่อมั่นด้าน AI อย่างเป็นระบบและมีระเบียบวินัย ส่วนฉบับปรับปรุงนี้ได้นำเสนอเนื้อหาที่ทันสมัยยิ่งขึ้น พร้อมตัวอย่างจากสภาพแวดล้อม AI ในปัจจุบัน และให้รายละเอียดเพิ่มเติมเพื่อช่วยผู้ตรวจสอบภายในทั้งในบทบาทที่ปรึกษาและผู้ให้ความเชื่อมั่น

กรอบการทำงานนี้มี 3 ส่วนหลัก (Domains):

  1. การกำกับดูแล (Governance)
  2. การจัดการ (Management)
  3. การตรวจสอบภายใน (Internal Audit)

กรอบการทำงานนี้เชื่อมโยงกับ The IIA’s Three Lines Model โดยที่ องค์กรที่กำกับดูแล (Governing Body) (Governance) จะกำกับดูแล ฝ่ายบริหาร (Management) (First and Second Lines) ในขณะที่บทบาทของ การตรวจสอบภายใน (Internal Audit) จะครอบคลุมอยู่ในส่วนที่สาม ซึ่งรวมถึงทั้งการให้ความเชื่อมั่นที่เป็นอิสระ (Third Line) และกิจกรรมการให้คำปรึกษา

วัตถุประสงค์หลักของกรอบการทำงานนี้คือการเสริมสร้างความรู้พื้นฐานที่จำเป็นเกี่ยวกับ AI ให้แก่ผู้ตรวจสอบภายใน เพื่อให้สามารถรับใช้องค์กรได้ใน 2 บทบาท:

  1. ที่ปรึกษา: ให้คำปรึกษาแก่ฝ่ายบริหารเกี่ยวกับแนวทางโดยรวมในการจัดการ, ดำเนินการ และติดตาม AI
  2. ผู้ให้ความเชื่อมั่น: ตรวจสอบกระบวนการและการควบคุมที่ฝ่ายบริหารได้จัดตั้งขึ้นเพื่อจัดการ, ดำเนินการ และติดตาม AI

ระดับความพร้อมขององค์กรในการนำ AI มาใช้งาน (Organizational maturity of AI) จะมีผลต่อการใช้งานผู้ตรวจสอบภายใน ตัวอย่างเช่น องค์กรที่ยังไม่พร้อมด้าน AI อาจต้องการให้ผู้ตรวจสอบภายในทำหน้าที่เป็นที่ปรึกษาในขั้นตอนการสำรวจ AI ในช่วงแรก ในขณะที่องค์กรที่มีความพร้อมมากกว่า มักจะใช้ผู้ตรวจสอบภายในเพื่อจัดกิจกรรมการให้ความเชื่อมั่น เช่น การประเมินประสิทธิภาพของกระบวนการและการควบคุมภายในที่จัดตั้งขึ้น เพื่อให้ปฏิบัติหน้าที่ทั้งสองได้สำเร็จ ผู้ตรวจสอบภายในจำเป็นต้องมีความเข้าใจอย่างถ่องแท้ว่า ควรจัดการ AI อย่างไร และองค์กรกำลังจัดการอยู่แล้วอย่างไร

อ้างอิง : Institute of Internal Auditors

ส่วนที่ 1: การกำกับดูแล (Governance)

การกำกับดูแล AI หมายถึงโครงสร้าง, กระบวนการ, และขั้นตอนการปฏิบัติงานที่ถูกนำมาใช้เพื่อชี้นำ, จัดการ, และติดตามกิจกรรม AI ขององค์กร รวมถึงการช่วยให้แน่ใจว่ากิจกรรม, การตัดสินใจ และการดำเนินการด้าน AI สอดคล้องกับค่านิยมขององค์กร รวมถึงความรับผิดชอบทางจริยธรรม, สังคม และกฎหมาย นอกจากนี้ยังรวมถึงการกำกับดูแลเพื่อให้แน่ใจว่าพนักงานที่มีหน้าที่รับผิดชอบด้าน AI มีทักษะและความเชี่ยวชาญที่จำเป็น

ดังที่สะท้อนใน Three Lines Model การตรวจสอบภายในทำหน้าที่เป็น “Third Line” โดยให้ความเชื่อมั่นที่เป็นอิสระและเป็นกลางต่อความถูกต้องของการควบคุมภายในที่องค์กรใช้ในการจัดการความเสี่ยง รวมถึงทุกแง่มุมของ AI ผู้ตรวจสอบภายในสามารถให้บริการที่ปรึกษาด้าน AI แก่องค์กรได้ แต่จากมุมมองด้านการกำกับดูแลแล้ว คณะกรรมการกำกับดูแลจะพึ่งพากิจกรรมการให้ความเชื่อมั่นที่จัดทำโดยการตรวจสอบภายในเป็นอย่างมาก เพื่อทำความเข้าใจประสิทธิภาพการดำเนินงานขององค์กรได้ดียิ่งขึ้น

การกำกับดูแล AI เป็นสิ่งสำคัญอย่างยิ่ง สองบทบาทที่สำคัญที่สุดของการกำกับดูแลคือการประเมินว่าองค์กรจัดการการดำเนินงานด้าน AI ได้ดีเพียงใด และเป้าหมายและวัตถุประสงค์เชิงกลยุทธ์ของ AI ขององค์กรบรรลุผลในลักษณะที่สอดคล้องกับค่านิยมที่กำหนดไว้หรือไม่ แม้จะมีความเสี่ยงเฉพาะทางด้าน AI จำนวนมากตามที่ได้นำเสนอไปในส่วนก่อนหน้า แต่ข้อพิจารณาหลักประการหนึ่งคือการกำกับดูแลเพื่อให้แน่ใจว่า AI ถูกนำไปใช้ในลักษณะที่จะไม่ก่อให้เกิดอันตราย

กลยุทธ์ (Strategy)

แผนกลยุทธ์ช่วยให้องค์กรชี้แจงและสื่อสารทิศทางและวิสัยทัศน์ที่จำเป็นต่อการบรรลุเป้าหมาย เช่นเดียวกับกลยุทธ์ AI กลยุทธ์ AI ของแต่ละองค์กรควรมีความเป็นเอกลักษณ์ โดยพิจารณาจากแนวทางในการใช้ประโยชน์จากโอกาสที่ AI มอบให้ พร้อมทั้งคำนึงถึงสถานการณ์เฉพาะขององค์กร เช่น รายละเอียดของบริการเทคโนโลยีในปัจจุบัน หรือโครงการริเริ่มการกำกับดูแลข้อมูลที่กำลังดำเนินอยู่ แนวทางการวางแผนกลยุทธ์ AI ที่รอบคอบและเป็นระบบจะช่วยสนับสนุนความสามารถขององค์กรในการมุ่งเน้นทรัพยากร และส่งเสริมการทำงานร่วมกันในหมู่พนักงานทุกคนพร้อมทั้งลดความเสี่ยงที่อาจเกิดขึ้น

ข้อควรจำที่สำคัญ 2 ประการ:

  1. การวางแผนกลยุทธ์ AI ไม่ใช่เหตุการณ์ที่เกิดขึ้นครั้งเดียว แต่เป็นกระบวนการซ้ำไปซ้ำมาที่ควรดำเนินการเป็นระยะ ผู้ตรวจสอบภายในควรทำงานร่วมกับฝ่ายบริหารเพื่อกำหนดตารางเวลาสำหรับการทบทวนกลยุทธ์ AI
  2. กลยุทธ์ AI ไม่ควรวางแผนอย่างโดดเดี่ยว เมื่อพิจารณาจากแหล่งข้อมูลและกรณีการใช้งานที่หลากหลาย กลยุทธ์ AI ขององค์กรควรเป็นแบบข้ามสายงาน (Cross-functional) ด้วยความสำคัญที่เพิ่มขึ้นของ AI การมีส่วนร่วมและการกำกับดูแลในระดับคณะกรรมการจึงน่าจะเกิดขึ้น เนื่องจาก AI มีศักยภาพที่จะเปลี่ยนแปลงหรือปรับเปลี่ยนกลยุทธ์ทางธุรกิจได้อย่างมาก

การจัดการกับประเด็นเหล่านี้จะช่วยให้แน่ใจว่าโครงการริเริ่มด้าน AI สนับสนุนวัตถุประสงค์โดยรวมขององค์กร และสอดคล้องกับค่านิยมที่ระบุไว้ การกำหนดเป้าหมายสำหรับ AI ช่วยให้องค์กรสามารถกำหนดข้อพิจารณาเชิงกลยุทธ์ที่สำคัญ รวมถึงคำตอบสำหรับคำถามพื้นฐาน เช่น “ทำไมเราถึงใช้ AI?” และ “เรากำลังพยายามบรรลุอะไร?” เป้าหมายของ AI ควรได้รับการพัฒนาเหมือนกับเป้าหมาย “SMART” อื่น ๆ ขององค์กร ได้แก่ Specific (จำเพาะเจาะจง), Measurable (วัดผลได้), Achievable (บรรลุผลได้), Relevant (เกี่ยวข้อง), และ Time-based (มีกรอบเวลา) เพื่อหลีกเลี่ยงการนำเครื่องมือและบริการ AI มาใช้โดยไม่มีขอบเขตที่ชัดเจนว่าองค์กรใช้ไปเพื่อเหตุผลใด

ทัศนคติและแนวทางโดยรวมขององค์กรต่อความเสี่ยงและการจัดการความเสี่ยงควรเป็นข้อพิจารณาหลักในการพัฒนาหรือปรับปรุงแผนและเป้าหมายเชิงกลยุทธ์ของ AI การมีทัศนคติที่ยอมรับความเสี่ยงที่สูงขึ้นในการบรรลุเป้าหมาย AI อาจไม่เหมาะสมสำหรับองค์กรที่ไม่ยอมรับความเสี่ยงในด้านอื่น ๆ ในขณะที่องค์กรที่มีความอดทนต่อความเสี่ยงสูงในอดีตอาจเต็มใจที่จะยอมรับความเสี่ยงที่เกี่ยวข้องกับ AI มากขึ้น อย่างไรก็ตาม ไม่ว่าองค์กรจะมีความอดทนต่อความเสี่ยงในระดับใด การรับรู้และจัดทำแผนที่ความเสี่ยง AI ระหว่างการวางแผนเชิงกลยุทธ์ด้าน AI ก็เป็นสิ่งจำเป็น

การจัดการ (Management) – First and Second Lines

ในการพัฒนากลยุทธ์ AI ฝ่ายบริหารมีหน้าที่รับผิดชอบในการตรวจสอบให้แน่ใจว่า การควบคุมภายในได้รับการออกแบบอย่างเหมาะสม และทำงานได้อย่างมีประสิทธิภาพเพื่อลดความเสี่ยง การควบคุมภายในที่มีประสิทธิภาพถือเป็นข้อกำหนดที่สำคัญของ AI ซึ่งหลายองค์กรมีการทดสอบและรายงานผลการควบคุมด้านไอทีเป็นรายไตรมาส และ/หรือรายปี ฝ่ายบริหารควรตระหนักถึงปัญหาการควบคุมภายในที่อาจส่งผลกระทบต่อการใช้ AI โดยเฉพาะอย่างยิ่งในพื้นที่ของสภาพแวดล้อมการควบคุมภายในที่ได้รับการประเมินอยู่แล้ว เช่น:

  • ความสมบูรณ์ของการจัดการข้อมูล (Data Integrity and Data Governance)
  • การเข้าถึงของผู้ใช้งาน (User Access)
  • ความมั่นคงปลอดภัยทางไซเบอร์ (Cybersecurity)
  • วงจรการพัฒนาระบบ (System Development Life Cycle)
  • การจัดการการเปลี่ยนแปลง (Change Management)
  • การควบคุมการสำรองข้อมูล/การกู้คืนข้อมูล (Back-up/Recovery Controls)

COBIT และ COSO เป็นตัวอย่างของกรอบการควบคุมภายในที่องค์กรสามารถใช้เพื่อช่วยในการวางแนวทาง และประเมินสภาพแวดล้อมการควบคุมภายในได้

การจัดการระดับ First Line

ภาวะผู้นำ การกำหนดบทบาทและหน้าที่ความรับผิดชอบที่เกี่ยวข้องกับโครงการริเริ่มด้าน AI จะช่วยให้องค์กรสามารถกำหนดทรัพยากรที่จำเป็นต่อการดำเนินงานได้อย่างมีประสิทธิภาพ การระบุผู้บริหารระดับสูงที่เป็นเจ้าของโครงการ พร้อมทั้งรับฟังความคิดเห็นจากสมาชิกคนอื่น ๆ ในกลุ่ม C-suite จะช่วยให้แน่ใจว่ามีการรับผิดชอบ

การจัดตั้ง ทีมผู้นำ AI (AI Leadership Team) ซึ่งประกอบด้วยสมาชิกจากหลากหลายสายงาน เป็นอีกวิธีที่องค์กรสามารถใช้เพื่อติดตามและสื่อสารโครงการริเริ่มด้าน AI และสนับสนุนความรับผิดชอบได้ ทีมดังกล่าวควรประกอบด้วย:

  • ผู้จัดการด้าน AI และ/หรือวิทยาศาสตร์ข้อมูล
  • CISO ขององค์กร
  • บุคลากรไอทีที่สำคัญ
  • ฝ่ายกฎหมาย (เพื่อให้คำแนะนำเกี่ยวกับข้อพิจารณาด้านกฎระเบียบ)
  • ฝ่ายการเงิน/บัญชีเพื่อติดตามต้นทุนและผลตอบแทนจากการลงทุนของโครงการ AI
  • การบริหารความเสี่ยง
  • การปฏิบัติตามกฎระเบียบ

การตรวจสอบภายใน ซึ่งมีความรู้ที่กว้างขวางเกี่ยวกับองค์กร อยู่ในตำแหน่งที่เหมาะสมอย่างยิ่งที่จะทำหน้าที่เป็นที่ปรึกษาเพื่อสนับสนุนโครงการริเริ่มด้าน AI และควรได้รับการพิจารณาให้เป็นสมาชิกของทีมผู้นำ AI ด้วย อย่างไรก็ตาม การมีส่วนร่วมของการตรวจสอบภายในควรมีโครงสร้างที่ชัดเจนเพื่อให้แน่ใจว่าความเป็นอิสระในฐานะผู้ให้ความเชื่อมั่นจะไม่ถูกกระทบ

กระบวนการวางแผนที่รอบคอบจะช่วยสนับสนุนองค์กรเมื่อดำเนินโครงการ AI พนักงานที่เกี่ยวข้องกับการดำเนินโครงการจำเป็นต้องตระหนักถึงความเสี่ยงที่สำคัญที่สุด รวมถึงผลลัพธ์ที่ไม่พึงประสงค์ การเน้นย้ำและทำให้แน่ใจว่าการดำเนินโครงการในแต่ละวันมีความตระหนักรู้เกี่ยวกับแง่มุมทางสังคม, จริยธรรม, สิ่งแวดล้อม และเศรษฐกิจเป็นสิ่งสำคัญ นอกจากนี้ การส่งเสริมสภาพแวดล้อมที่กระตุ้นให้พนักงานเปิดเผยหารือเกี่ยวกับความคิดเห็นและข้อกังวลที่เกี่ยวข้องกับโครงการริเริ่มด้าน AI สามารถช่วยสร้างวัฒนธรรมของความโปร่งใส, การตระหนักรู้ และความรับผิดชอบร่วมกันเพื่อสนับสนุนโครงการ AI ที่มีความทะเยอทะยานได้

นโยบายและขั้นตอนการปฏิบัติงาน – การใช้งานภายในและแอปพลิเคชันทางธุรกิจ

การกำหนด, การนำมาใช้ และการเผยแพร่นโยบายและขั้นตอนการปฏิบัติงานขององค์กรที่เข้มงวดเกี่ยวกับการใช้ AI ภายในองค์กร เป็นอีกแง่มุมที่สำคัญของกลยุทธ์ AI ขององค์กร นโยบายและขั้นตอนการปฏิบัติงานที่ชัดเจนให้แนวทางแก่พนักงานที่เกี่ยวข้องโดยตรงกับโครงการริเริ่มด้าน AI และพนักงานที่อาจใช้ AI เป็นส่วนหนึ่งของความรับผิดชอบในงานประจำวัน

การพัฒนานโยบายการใช้งาน AI ที่ยอมรับได้ (AI acceptable use policy) ควรเป็นลำดับความสำคัญสูงสุดขององค์กร ควรครอบคลุมแง่มุมของแนวทางปฏิบัติที่ดีที่สุดด้านความมั่นคงทางไซเบอร์, ทรัพย์สินทางปัญญา/ข้อพิจารณาทางกฎหมาย และความเสี่ยงที่เกี่ยวข้องกับเครื่องมือ AI ต่าง ๆ นโยบายควรได้รับการเสริมด้วยกระบวนการที่มีการบันทึกไว้ซึ่งผู้ใช้ต้องปฏิบัติตามเมื่อร้องขอการใช้ AI การใช้กระบวนการอนุมัติที่เป็นทางการสำหรับการใช้ AI จะช่วยสนับสนุนความพยายามขององค์กรในการรักษารายการข้อมูลของผู้ใช้หรือแผนกที่ใช้ AI ด้วย

นโยบายและขั้นตอนการปฏิบัติงานที่ชี้แจงแนวทางและข้อคาดหวังที่ใช้ในการพัฒนา, การนำไปใช้งาน และการติดตามโครงการริเริ่มด้าน AI จะทำให้กระบวนการเป็นทางการมากขึ้น พวกเขาให้พื้นฐานในการตรวจสอบว่า โครงการถูกดำเนินการในลักษณะที่สอดคล้องกับนโยบายที่ได้รับอนุมัติ, จริยธรรม และวัฒนธรรมความเสี่ยงโดยรวมขององค์กรหรือไม่ ผู้ตรวจสอบภายในอยู่ในตำแหน่งที่เหมาะสมอย่างยิ่งที่จะให้ข้อเสนอแนะในทันทีเกี่ยวกับเรื่องนี้ เนื่องจากมีความรู้และประสบการณ์ในการให้ความเชื่อมั่นในเรื่องนโยบายและขั้นตอนการปฏิบัติงานที่สำคัญ ในหลายกรณี นโยบายและขั้นตอนการปฏิบัติงานที่มีอยู่แล้ว อาจเป็นจุดเริ่มต้นในการใช้มาตรการที่มีประสิทธิผลพอสมควร เพื่อลดความเสี่ยงที่เกิดจากการพัฒนา AI ตัวอย่างเช่น ระบบ AI ที่อยู่ระหว่างการพัฒนาอาจอยู่ภายใต้กระบวนการควบคุมวงจรการพัฒนาระบบ (SDLC) หรือการจัดการการเปลี่ยนแปลงที่มีอยู่แล้ว เมื่อเวลาผ่านไปและองค์กรมีการยกระดับกรณีการใช้งาน AI ที่มากขึ้น ก็จำเป็นต้องพิจารณาการควบคุมที่ใหม่กว่าหรือมีความพร้อมมากกว่าอย่างแน่นอน

ดังนั้น นโยบายและขั้นตอนการปฏิบัติงานที่ชี้แจงข้อคาดหวัง และแนวทางสำหรับบุคคลที่สามที่เกี่ยวข้องกับโครงการริเริ่มด้าน AI ก็เป็นสิ่งสำคัญเช่นกัน การประสานงานระหว่างทีมที่จัดการ AI และกลุ่มขององค์กรที่จัดการความสัมพันธ์กับบุคคลที่สาม (เช่น ฝ่ายกฎหมาย) จะส่งเสริมความสัมพันธ์กับผู้ขาย AI ที่สอดคล้องกัน เนื่องจากบุคคลที่สามเป็นส่วนเสริมของกระบวนการขององค์กร การทำความเข้าใจสภาพแวดล้อมการควบคุมของผู้ขายจึงเป็นสิ่งสำคัญยิ่ง หากมีรายงาน SOC (Service Organization Company) ของผู้ขาย AI ฝ่ายบริหารควรจัดหามาเพื่อทำความเข้าใจกระบวนการควบคุมของพวกเขา และตระหนักถึงข้อกังวลใด ๆ เช่น ข้อค้นพบจากการตรวจสอบ การใช้บุคคลที่สามที่เกี่ยวข้องกับการพัฒนาความสามารถของ AI หรือการสนับสนุนอย่างต่อเนื่องในโครงการริเริ่มด้าน AI ควรได้รับการกำหนดและติดตามอย่างชัดเจน รวมถึง SLA ที่มี “สิทธิ์ในการตรวจสอบ” ด้วย

เมื่อนโยบายและขั้นตอนการปฏิบัติงานเหล่านี้ได้รับการกำหนดแล้ว องค์กรสามารถส่งเสริมการมีส่วนร่วมของพนักงานจากหลากหลายสายงาน ด้วยการแบ่งปันเอกสารนโยบายองค์กรที่ร่างขึ้น เช่น นโยบายการใช้งานที่ยอมรับได้ไปยังพนักงานทุกคน และเปิดรับความคิดเห็นในช่วงเวลาที่กำหนด องค์กรควรวางแผนทรัพยากรที่จำเป็น สำหรับการฝึกอบรมพนักงานเกี่ยวกับนโยบายใหม่เหล่านี้ เพื่อให้แน่ใจว่าพนักงานพร้อมที่จะนำไปใช้และปฏิบัติตามบทบาท, การควบคุม และความรับผิดชอบที่กำหนดขึ้นใหม่เกี่ยวกับการใช้ AI

ในตอนต่อไป เราจะเจาะลึกถึงการบริหารจัดการความเสี่ยงด้าน AI ในระดับ First and Second Lines, การระบุความเสี่ยง และความท้าทายของ “กล่องดำ (Black Box)” ของ AI ที่เป็นเอกลักษณ์เฉพาะตัว โปรดติดตามครับ

Leave a Comment » | AI กับการตรวจสอบ | ลิงก์ถาวร
โพสต์โดย Metha Suvanasarn

กรอบการทำงานการตรวจสอบปัญญาประดิษฐ์ (Artificial Intelligence Auditing Framework) ตอนที่ 2

กันยายน 18, 2025

ตอนที่ 2: เริ่มต้นการตรวจสอบ AI: แนวทางปฏิบัติสำหรับผู้ตรวจสอบภายใน

ในขณะที่องค์กรต่าง ๆ ยังคงนำ AI ไปใช้งานในรูปแบบที่หลากหลายอย่างต่อเนื่อง ผู้ตรวจสอบภายในต้องมีบทบาทเชิงรุกและทำงานร่วมกับฝ่ายบริหารอย่างใกล้ชิด เพื่อทำความเข้าใจกลยุทธ์โดยรวมขององค์กรเกี่ยวกับ AI, วิธีการใช้งานในปัจจุบัน และแผนการใช้งานในอนาคต โดยเฉพาะอย่างยิ่งในระหว่างกระบวนการวางแผน ผู้ตรวจสอบภายในควรเริ่มต้นด้วยการค้นคว้าและรวบรวมข้อมูลที่เกี่ยวข้องกับการใช้งาน AI ที่อยู่ระหว่างการตรวจสอบจากแหล่งข้อมูลทั้งภายในและภายนอก

การรวบรวมข้อมูล: แหล่งข้อมูลภายในและภายนอก

ข้อมูลภายในองค์กรที่สำคัญสามารถรวมถึง:

  • นโยบายและขั้นตอนการปฏิบัติงาน: เอกสารที่อ้างอิงถึง AI ซึ่งสามารถรวบรวมและตรวจสอบเพื่อทำความเข้าใจกระบวนการขององค์กรได้ดียิ่งขึ้น
  • แผนยุทธศาสตร์: เอกสารที่บันทึกไว้เกี่ยวกับโครงการริเริ่มเชิงกลยุทธ์หรือแผนกลยุทธ์ขององค์กร รวมถึงส่วนที่เกี่ยวข้องกับ AI
  • รายงานคณะกรรมการล่าสุด: รายงานที่มีวิสัยทัศน์และข้อมูลว่าผู้นำและคณะกรรมการหารือเกี่ยวกับเรื่องการใช้ AI และความเสี่ยงที่เกี่ยวข้องอย่างไร
  • ข้อมูลที่ได้รับจากการประชุมประเมินความเสี่ยงอย่างต่อเนื่อง: ข้อมูลที่ได้จากผู้มีส่วนได้ส่วนเสีย

ทรัพยากรภายนอก: ทรัพยากรภายนอกสามารถให้ข้อมูลอ้างอิงเพิ่มเติมในขณะที่ผู้ตรวจสอบภายในเริ่มทบทวนกลยุทธ์ AI ขององค์กรได้ ซึ่งรวมถึง:

  • The IIA’s three-part Global Perspectives & Insights: The Artificial Intelligence Revolution
  • The IIA’s Artificial Intelligence 101 Series
  • The IIA’s Analytics, Automation, and AI Virtual Conference
  • เอกสารการตรวจสอบด้านไอทีและความมั่นคงทางไซเบอร์ เช่น The IIA’s Certificates on Auditing the Cybersecurity Program และ IT General Controls
  • The IIA’s Practice Guides และ Global Technology Audit Guides (GTAGs)
  • NIST’s AI Risk Management Framework (AI RMF 1.0)
  • National Cybersecurity Centre’s Guidelines for Secure AI System Development
  • White House’s AI executive order of October 2023
  • IBM’s AI governance eBook

การควบคุมระดับองค์กร: การปฏิบัติงานและกลยุทธ์

เมื่อผู้ตรวจสอบมีความพร้อมด้วยทรัพยากรเหล่านี้แล้ว การตั้งคำถามว่า “องค์กรกำลังใช้ AI อย่างไร?” ถือเป็นคำถามเริ่มต้นที่เรียบง่ายแต่มีประสิทธิภาพในการรวบรวมข้อมูล คำตอบของคำถามนี้มักจะต้องสอบถามจากหลายบุคคลหรือหลายแผนก เนื่องจากองค์กรจำนวนมากยังไม่มีการจัดการ AI แบบรวมศูนย์ หรือยังไม่มีนโยบาย, ขั้นตอนการปฏิบัติงาน, หรือกลยุทธ์ที่ชัดเจนเกี่ยวกับการใช้งาน AI ที่ยอมรับได้

สำหรับองค์กรที่มีการพัฒนาและนำ AI มาใช้งานแล้ว ผู้ตรวจสอบภายในควรพูดคุยกับทีม AI หรือทีมวิทยาศาสตร์ข้อมูล (Data Science) การพูดคุยควรครอบคลุมถึงการขอให้พวกเขาอธิบายว่ามีการใช้ AI หรืออัลกอริทึมใดบ้าง รวมถึงหน้าที่การทำงาน, แหล่งข้อมูลที่ใช้, การนำไปใช้, ข้อจำกัด, ความเสี่ยง และผลกระทบทางจริยธรรม นอกจากนี้ ผู้ตรวจสอบภายใน ควรเริ่มทำความเข้าใจว่ามีการควบคุมใดบ้างที่ใช้เพื่อจัดการความเสี่ยงจาก AI หรือหากฝ่ายบริหารได้นำการควบคุมใหม่ ๆ มาใช้เพื่อการใช้งานและการนำระบบ AI ไปปฏิบัติ การทำความเข้าใจเบื้องต้นเกี่ยวกับการออกแบบการควบคุมเหล่านี้ถือเป็นขั้นตอนสำคัญที่สามารถทำควบคู่ไปกับการหารือเบื้องต้นเหล่านี้ได้

สำหรับองค์กรที่ยังไม่แน่ชัดว่ามีการใช้ AI อย่างเป็นทางการหรือไม่ แผนกไอทีถือเป็นจุดเริ่มต้นที่ดี เนื่องจากผู้นำด้านเทคโนโลยีมักจะทดลองและใช้ AI ในแผนกของตนเองมากกว่า หากไอทียืนยันว่ามีการใช้ AI หรือหากการสอบถามเบื้องต้นพบว่ามีการใช้ AI ในองค์กร คำถามถัดไปที่ควรจะถามคือ “มีการใช้ AI ในระดับใด?”

แม้ว่าการสนทนากับทีม AI/ทีมวิทยาศาสตร์ข้อมูล หรือฝ่ายบริหารไอทีจะเป็นขั้นตอนแรกที่ดี แต่การหารือไม่ควรจำกัดอยู่แค่กลุ่มเหล่านั้น จากการหารือเบื้องต้นนี้ ผู้ตรวจสอบภายในอาจทราบว่าแผนกอื่น ๆ หรือผู้ใช้รายบุคคลกำลังใช้ AI สำหรับหน้าที่เฉพาะของตน ซึ่งจำเป็นต้องมีการพูดคุยเพิ่มเติม ควรทำงานร่วมกับฝ่ายบริหารเพื่อจัดทำหรือทบทวนรายการข้อมูล (Inventory) ที่ระบุว่าแผนกใดบ้างที่กำลังใช้ AI อยู่ในปัจจุบัน และควรปรับปรุงรายการนี้บ่อยครั้ง รายการควรมีข้อมูลสำคัญอื่น ๆ เช่น เป้าหมายหรือวัตถุประสงค์ของ AI, ผู้ใช้งาน, ผู้จัดการ, เครื่องมือ AI ที่ใช้, ข้อควรพิจารณาด้านความเสี่ยง และผู้ที่กำกับดูแล กระบวนการทบทวนหรือการทำงานร่วมกับฝ่ายบริหารเพื่อพัฒนาข้อมูลรายการ AI ยังสามารถทำได้ระหว่างกระบวนการประเมินความเสี่ยงประจำปี

ผู้ตรวจสอบภายในส่วนใหญ่ทำงานอย่างใกล้ชิดกับผู้บริหารระดับสูง เช่น ประธานเจ้าหน้าที่ฝ่ายการเงิน (CFO), ประธานเจ้าหน้าที่ฝ่ายความมั่นคงสารสนเทศ (CISO) หรือประธานเจ้าหน้าที่ฝ่ายสารสนเทศ (CIO) ซึ่งความสัมพันธ์ทางวิชาชีพเหล่านี้จะเป็นโอกาสที่ดีสำหรับการพูดคุยเรื่อง AI คำถามสำคัญที่ผู้ตรวจสอบภายในสามารถถามผู้บริหารได้แก่:

  • “องค์กรได้กำหนดกลยุทธ์ AI แล้วหรือไม่? ถ้ามี รายละเอียดของกลยุทธ์นั้นคืออะไร (รวมถึงการใช้ AI เพื่อเพิ่มประสิทธิภาพการดำเนินงานหรือลดต้นทุน)?”
  • “ผู้บริหารระดับสูงได้กำหนดแล้วหรือยังว่าใครเป็นผู้รับผิดชอบในการจัดการความเสี่ยงที่เกี่ยวข้องกับ AI?”
  • “ผู้บริหารระดับสูงมีบทบาทอย่างไรในการประสานงานกับคณะกรรมการบริหาร (หรือเทียบเท่า) เพื่อพิจารณาการกำกับดูแล AI?”

เมื่อทำตามขั้นตอนเหล่านี้แล้ว ผู้ตรวจสอบภายในจะ:

  • ได้ค้นคว้าข้อมูลเกี่ยวกับ AI ในองค์กรและทบทวนทรัพยากรภายนอก
  • ได้พูดคุยเบื้องต้นเกี่ยวกับ AI กับฝ่ายบริหาร รวมถึงทีม AI/ทีมวิทยาศาสตร์ข้อมูล หรือฝ่ายบริหารไอที และทีมผู้นำระดับผู้บริหาร
  • ได้ทำงานร่วมกับฝ่ายบริหารในการทบทวนหรือจัดทำรายการข้อมูลเพื่อรวบรวมว่า AI ถูกนำไปใช้อย่างไร (หรือวางแผนจะใช้อย่างไรในอนาคต)
  • ได้เริ่มต้นทำความเข้าใจว่ามีการกำกับดูแล AI ในองค์กรอย่างไร

การทำภารกิจทั้งสี่นี้จะแสดงให้เห็นว่าการตรวจสอบภายในได้ดำเนินการตามขั้นตอนแรกในการสร้างความรู้พื้นฐานเกี่ยวกับ AI ในองค์กรแล้ว และยังเป็นโอกาสที่ผู้ตรวจสอบภายในจะสามารถนำเสนอข้อสังเกตที่ต้องสื่อสารกับฝ่ายบริหารอย่างทันท่วงทีอีกด้วย

ข้อมูล (Data)

หลังจากที่ผู้ตรวจสอบภายในมีความเข้าใจพื้นฐานว่า AI ถูกนำไปใช้อย่างไรแล้ว พวกเขาควรพัฒนาความรู้เกี่ยวกับการใช้ AI ภายในองค์กรให้แข็งแกร่งยิ่งขึ้น เนื่องจากอัลกอริทึมที่ขับเคลื่อน AI ต้องพึ่งพาข้อมูลปริมาณมหาศาล (หรือที่เรียกว่า “Big Data”) ดังนั้น การระบุว่าข้อมูลขององค์กรใดถูกใช้ในแอปพลิเคชัน AI และมีการจัดการข้อมูลนั้นอย่างไรจึงเป็นเรื่องสำคัญอย่างยิ่ง

อัลกอริทึมคือชุดของกฎที่ AI ต้องปฏิบัติตาม ซึ่งทำให้เครื่องจักรสามารถประมวลผลข้อมูลจำนวนมหาศาลได้อย่างรวดเร็ว ซึ่งมนุษย์ไม่สามารถทำได้ด้วยความง่ายและความเร็วเท่ากัน เมื่อพิจารณาจากความสามารถของ AI ในการรับและตอบสนองต่อชุดข้อมูลที่หลากหลายจำนวนมากแล้ว สถาปัตยกรรม, ประสิทธิภาพ, และความถูกต้องของอัลกอริทึมที่เกี่ยวข้องจึงเป็นสิ่งสำคัญอย่างยิ่ง

อัลกอริทึมถูกพัฒนาโดยมนุษย์ในขั้นต้น ดังนั้นความผิดพลาดและความลำเอียงของมนุษย์ (ทั้งโดยตั้งใจและไม่ได้ตั้งใจ) อาจส่งผลกระทบต่อประสิทธิภาพของอัลกอริทึมได้ ซึ่งในตอนที่ 3 จะให้รายละเอียดเพิ่มเติมเกี่ยวกับความเสี่ยงที่เกี่ยวข้องกับข้อผิดพลาดและความลำเอียงของอัลกอริทึม

นอกเหนือจาก AI องค์กรหลายแห่งมีกลยุทธ์ในการรวบรวม, จัดเก็บ, ใช้งาน, จัดการ และปกป้องข้อมูลอยู่แล้ว AI ก็เช่นเดียวกับแอปพลิเคชันที่ขับเคลื่อนด้วยข้อมูลอื่น ๆ ที่มีแง่มุมที่สำคัญเกี่ยวกับข้อมูลที่เกี่ยวข้องและควรพิจารณา ซึ่งรวมถึงความสมบูรณ์, ความเป็นส่วนตัว, การรักษาความลับ, ความถูกต้อง, ความแม่นยำ และความครบถ้วนสมบูรณ์

ข้อมูลขนาดใหญ่ (Big Data) มีความหมายมากกว่าแค่ข้อมูลปริมาณมาก แต่หมายถึงข้อมูลที่มีปริมาณ, ความหลากหลาย, ความเร็ว และความแปรปรวนที่สูงมาก จนองค์กรต้องลงทุนในสถาปัตยกรรมระบบ, เครื่องมือ และแนวทางปฏิบัติที่ออกแบบมาเพื่อจัดการข้อมูลโดยเฉพาะ ข้อมูลจำนวนมากนี้อาจถูกสร้างขึ้นโดยองค์กรเอง ในขณะที่บางส่วนอาจเป็นข้อมูลสาธารณะหรือซื้อมาจากแหล่งภายนอก สำหรับคำแนะนำที่ครอบคลุมเกี่ยวกับการทำความเข้าใจและการตรวจสอบข้อมูลขนาดใหญ่ สามารถดูได้จาก The IIA’s “GTAG: Understanding and Auditing Big Data”

อีกแง่มุมที่สำคัญของการใช้ข้อมูลและแอปพลิเคชัน AI ที่เกี่ยวข้องคือ ข้อมูลนั้นถูกโฮสต์หรือประมวลผลโดยบุคคลภายนอกองค์กรหรือไม่ ผู้ตรวจสอบภายในต้องพิจารณาความเสี่ยงที่เกี่ยวข้องกับธุรกรรมกับบุคคลที่สาม (และสี่) เสมอ เนื่องจากสภาพแวดล้อมการควบคุมภายในของผู้ขายอาจไม่ครอบคลุมเท่ากับสภาพแวดล้อมขององค์กร The IIA’s Practice Guide “Auditing Third-party Risk Management” ให้แนวทางเชิงลึกเกี่ยวกับความเสี่ยงที่เกี่ยวข้องกับการใช้ผู้ขายภายนอก

อีกประเด็นสำคัญของข้อมูลคือ การเข้าถึงของผู้ใช้ การทำความเข้าใจว่าใครสามารถแก้ไขหรือเปลี่ยนแปลงข้อมูลได้เป็นสิ่งสำคัญ เนื่องจากข้อมูลที่ป้อนเข้าย่อมส่งผลกระทบต่อผลลัพธ์ของ AI อย่างแน่นอน การทำความเข้าใจและบันทึกการเข้าถึงของผู้ดูแลระบบสำหรับข้อมูลที่เกี่ยวข้องกับ AI ก็เป็นเรื่องจำเป็น The IIA’s “GTAG: Auditing Identity and Access Management” จะช่วยให้ผู้ตรวจสอบภายในพิจารณาว่าองค์กรมั่นใจได้อย่างไรว่าผู้ใช้มีสิทธิ์เข้าถึงทรัพยากรไอทีที่เหมาะสม

ความมั่นคงปลอดภัยทางไซเบอร์ (Cybersecurity)

ความมั่นคงปลอดภัยทางไซเบอร์ก็ต้องถูกนำมาพิจารณาเช่นกัน เนื่องจากเกี่ยวข้องกับการจำกัดผู้ใช้ที่ไม่ได้รับอนุญาตไม่ให้เข้าถึงข้อมูล และการรับรองความเป็นส่วนตัว, การรักษาความลับ, และการปกป้องข้อมูล การนำ AI มาใช้และวิวัฒนาการของมันกำลังบีบให้องค์กรต้องให้ความสำคัญกับความสามารถในการฟื้นตัวทางไซเบอร์อีกครั้ง เนื่องจาก AI มีพลังมากขึ้น และมีการตัดสินใจที่ถูกส่งต่อให้อัลกอริทึมใหม่ ๆ ที่ซับซ้อนและไม่โปร่งใส การปกป้องระบบเหล่านี้จากแรงภายนอกที่เป็นอันตรายจึงเป็นสิ่งสำคัญต่อความสำเร็จขององค์กร

ผู้ตรวจสอบภายในมักจะเกี่ยวข้องกับการทดสอบประสิทธิภาพของการควบคุมภายในด้านไอที ความคุ้นเคยกับการควบคุมที่เกี่ยวข้องกับความมั่นคงทางไซเบอร์ที่องค์กรได้นำมาใช้ จะช่วยให้ผู้ตรวจสอบภายในสามารถตรวจสอบได้ว่า การควบคุมเดียวกันนี้ถูกนำมาใช้เพื่อปกป้องข้อมูลที่เกี่ยวข้องกับ AI หรือไม่ ตัวอย่างของการควบคุมความมั่นคงทางไซเบอร์ ได้แก่:

  • การใช้การเข้ารหัส (Encryption)
  • การมีซอฟต์แวร์ป้องกันไวรัส
  • การใช้ระบบป้องกัน/ตรวจจับการบุกรุก
  • การบันทึกเหตุการณ์ความปลอดภัยของทั้งข้อมูลป้อนเข้าและข้อมูลตอบกลับ
  • การทดสอบเจาะระบบ (Penetration Test) เป็นระยะเพื่อหาช่องโหว่เชิงรุก
  • การฝึกอบรมพนักงานเกี่ยวกับแนวปฏิบัติที่ดีที่สุดในการตรวจจับและหลีกเลี่ยงการโจมตีแบบฟิชชิง, สมิชชิง หรือแผนการวิศวกรรมทางสังคมอื่น ๆ

สำหรับรายละเอียดเพิ่มเติม สามารถดูได้จาก The IIA’s “GTAG: Auditing Cybersecurity Operations: Prevention and Detection”

ผู้ตรวจสอบภายในจำเป็นต้องระบุว่าข้อมูลที่เกี่ยวข้องกับ AI ถูกจัดเก็บไว้ที่ใด (ภายใน, ภายนอก หรือทั้งสองแห่ง) และพิจารณาว่ามีการควบคุมความมั่นคงปลอดภัยทางไซเบอร์ใดบ้าง หากข้อมูลถูกจัดเก็บภายนอก ควรขอรายงาน Service Organization Company (SOC) เพื่อเรียนรู้เกี่ยวกับสภาพแวดล้อมการควบคุมของผู้ขาย และฝ่ายบริหารควรรับทราบถึงข้อบกพร่องในการควบคุมใด ๆ ที่พบในรายงาน SOC และตรวจสอบให้แน่ใจว่าข้อบกพร่องเหล่านั้นไม่ทำให้ข้อมูลที่เกี่ยวข้องกับ AI ตกอยู่ในความเสี่ยง นอกจากนี้ ข้อตกลงระดับการบริการ (SLAs) กับผู้ขายควรมีข้อความระบุ “สิทธิ์ในการตรวจสอบ” ด้วย

ในตอนต่อไปเราจะเจาะลึกเข้าไปใน “กรอบการตรวจสอบ AI” ซึ่งเป็นแก่นสำคัญของบทความนี้ พร้อมทั้งรายละเอียดเกี่ยวกับการกำกับดูแล (Governance) การจัดการ (Management) และบทบาทของการตรวจสอบภายใน (Internal Audit) กันครับ

อ้างอิง : THE IIA’S Artificial Intelligence Auditing Framework

Leave a Comment » | AI กับการตรวจสอบ | ลิงก์ถาวร
โพสต์โดย Metha Suvanasarn

กรอบการทำงานการตรวจสอบปัญญาประดิษฐ์ (Artificial Intelligence Auditing Framework) ตอนที่ 1

กันยายน 7, 2025

ตอนที่ 1: การตรวจสอบ AI: เส้นทางที่ผู้ตรวจสอบภายในต้องเรียนรู้

ปัญญาประดิษฐ์ (AI) คือศัพท์ที่ครอบคลุมเทคโนโลยีอันหลากหลาย ทั้งที่ใช้กันอยู่แล้วและที่กำลังเกิดขึ้นใหม่ แม้จะไม่มีคำจำกัดความที่ชัดเจน แต่โดยทั่วไป AI หมายถึง "ระบบที่มีกระบวนการทางปัญญาเหมือนมนุษย์ เช่น ความสามารถในการให้เหตุผล ค้นหาความหมาย สร้างความเชื่อมโยง หรือเรียนรู้จากประสบการณ์ในอดีต" การเติบโตอย่างก้าวกระโดดของแอปพลิเคชัน AI ในปัจจุบันแสดงให้เห็นถึงโอกาสมากมายที่องค์กรจะใช้ประโยชน์จากเทคโนโลยีเหล่านี้ เพื่อยกระดับวิธีการทำงานของเรา ขณะเดียวกันก็มีความเสี่ยงมากมายที่มาพร้อมกับธรรมชาติของเทคโนโลยีนี้

สำหรับผู้ตรวจสอบภายในแล้ว AI อาจเป็นเรื่องที่น่าหวั่นใจ โดยเฉพาะอย่างยิ่งเมื่อองค์กรต่าง ๆ เริ่มนำ AI มาใช้งานมากขึ้นเรื่อย ๆ ในยุคนี้ องค์กรจึงคาดหวังให้ผู้ตรวจสอบภายในเข้ามาให้คำแนะนำเกี่ยวกับ AI มากขึ้น ไม่ว่าจะเป็นบทบาทที่ปรึกษาด้านความเสี่ยงและการควบคุม หรือบทบาทผู้ให้ความเชื่อมั่นในกระบวนการที่ใช้ AI จึงเป็นเรื่องสำคัญอย่างยิ่งที่ผู้ตรวจสอบภายในจะต้องเพิ่มพูนความรู้ในเรื่องนี้

ผู้ตรวจสอบภายในมีหน้าที่ให้ความเชื่อมั่นในกิจกรรมและกระบวนการต่าง ๆ ตั้งแต่ธุรกรรมทางธุรกิจที่ไม่ซับซ้อน ไปจนถึงกระบวนการที่ซับซ้อนมาก ซึ่งต้องอาศัยความเข้าใจเชิงลึก ระดับและความลึกของความรู้ด้าน AI ที่จำเป็นต่อการสนับสนุนกิจกรรมการให้ความเชื่อมั่นนั้น สร้างความท้าทายอย่างต่อเนื่องแก่ผู้ตรวจสอบภายใน ซึ่งต้องพัฒนาความรู้เกี่ยวกับ AI อย่างสม่ำเสมอเพื่อทำความเข้าใจความเสี่ยงและบทบาทของตนเองได้อย่างครบถ้วน และเพื่อให้คำแนะนำและการให้ความเชื่อมั่นที่แม่นยำ

การตรวจสอบ AI มีความท้าทายเฉพาะตัว และด้วยวิวัฒนาการอย่างต่อเนื่อง ทำให้ผู้ตรวจสอบภายในต้องประเมินความเสี่ยงและแนวทางการบรรเทาความเสี่ยงในสภาพแวดล้อม AI ใหม่ อย่างไรก็ตาม ผู้ตรวจสอบภายในมีทักษะพื้นฐานที่สำคัญอยู่แล้ว เช่น การคิดเชิงวิพากษ์, การทำแผนที่กระบวนการ, การประเมินความเสี่ยง, การประเมินการควบคุมเทคโนโลยีสารสนเทศ, การทำความเข้าใจกลยุทธ์องค์กร และการให้ความเชื่อมั่นที่เป็นอิสระต่อหน้าที่กำกับดูแล

สถาบันผู้ตรวจสอบภายใน (The IIA) จึงได้จัดทำ IIA AI Auditing Framework ขึ้นมา เพื่อช่วยให้ผู้ตรวจสอบภายในเข้าใจความเสี่ยงและระบุแนวปฏิบัติที่ดีที่สุด รวมถึงการควบคุมภายในสำหรับ AI โดยมีจุดประสงค์เพื่อช่วยผู้ตรวจสอบภายในในการสร้างความรู้พื้นฐาน ซึ่งประกอบด้วย :

  1. ภาพรวม: ประวัติและประโยชน์ของ AI
  2. เริ่มต้น: ทำความเข้าใจว่าองค์กรใช้ AI อย่างไร
  3. กรอบการตรวจสอบ AI: การกำกับดูแล, การจัดการ และการตรวจสอบภายใน

กรอบการทำงานนี้ใช้ประโยชน์จาก The IIA’s Three Lines Model และอ้างอิงถึง The IIA’s International Professional Practices Framework (IPPF) ซึ่งเป็นพื้นฐานของข้อกำหนดที่ต้องปฏิบัติตามและหลักการสำหรับวิชาชีพผู้ตรวจสอบภายใน นอกจากนี้ยังมีการอ้างอิงถึงแนวทางอื่น ๆ ของ The IIA เช่น Global Technology Audit Guides (GTAGs) และกรอบการทำงานที่เกี่ยวข้องอื่น ๆ เช่น NIST Artificial Intelligence Risk Management Framework (AI RMF 1.0) ซึ่งเป็นแหล่งข้อมูลเพิ่มเติมสำหรับผู้ตรวจสอบภายใน

ภาพรวม: ประวัติและวิวัฒนาการ

ในฐานะที่เป็นส่วนหนึ่งของภาพรวม ผู้ตรวจสอบภายในควรทำความเข้าใจพัฒนาการทางประวัติศาสตร์ของ AI, การใช้งาน AI ในอุตสาหกรรมต่าง ๆ ในปัจจุบัน และแนวโน้ม AI ที่กำลังเกิดขึ้นใหม่ที่ควรพิจารณา

แนวคิดเรื่อง AI ย้อนกลับไปในปี 1950 เมื่อนักคณิตศาสตร์ชาวอังกฤษ Alan Turing ตั้งคำถามว่า “เครื่องจักรคิดได้หรือไม่?” ในบทความของเขา “Computing Machines and Intelligence” ซึ่งถือเป็นหนึ่งในผู้บุกเบิก AI ด้วยการเสนอว่าในที่สุดเครื่องจักรจะมีความสามารถเทียบเท่ากับสติปัญญาของมนุษย์ สองปีต่อมา Arthur Lee Samuel นักวิทยาศาสตร์คอมพิวเตอร์ชาวอเมริกันที่ IBM ได้พัฒนาโปรแกรมที่สามารถเล่นหมากฮอสได้ด้วยการใช้ค่าที่ตั้งโปรแกรมไว้เพื่อระบุการเดินที่ดีที่สุด และในปี 1956 John McCarthy ได้ใช้คำว่า “AI” เป็นครั้งแรกในโครงการวิจัย The Dartmouth Summer Research Project on Artificial Intelligence

ทศวรรษ 1960s เป็นช่วงที่ AI มีความก้าวหน้าอย่างมาก รวมถึงการใช้หุ่นยนต์, โปรแกรมแก้ปัญหา และโปรแกรมคอมพิวเตอร์แบบโต้ตอบตัวแรกที่เรียกว่า ELIZA ซึ่งถือเป็น “แชทบอท” ตัวแรกที่จำลองการสนทนากับผู้ใช้มนุษย์ ส่วนทศวรรษ 1970s มีการพัฒนาหุ่นยนต์อัจฉริยะตัวแรกชื่อ WABOT และงานวิจัยต่อเนื่องในด้าน Natural Language Processing (NLP)

ความก้าวหน้าในทศวรรษ 1980s รวมถึงการพัฒนารถ Mercedes Benz ไร้คนขับในปี 1986 และใน 1990s เราได้เห็นเทคโนโลยีที่เกี่ยวข้องกับ AI ก้าวหน้าขึ้น รวมถึงซอฟต์แวร์จดจำเสียงใน Microsoft Windows และ “Deep Blue” ของ IBM ที่สร้างความฮือฮาในปี 1997 ด้วยการเอาชนะแชมป์หมากรุกโลก Garry Kasparov

เข้าสู่ทศวรรษ 2000s AI ได้กลายเป็นส่วนหนึ่งของชีวิตประจำวันของเรา เช่น Amazon Alexa, Apple Siri และ Google Assistant และปี 2023 ถือเป็นปีที่ Large Language Models (LLMs) อย่าง ChatGPT ได้รับการยอมรับอย่างแพร่หลาย ซึ่งยกระดับความสามารถของ AI จากการพยากรณ์ผลลัพธ์ไปสู่การสร้างเนื้อหาที่หลากหลายมากขึ้น

ระดับการนำไปใช้และการจำแนกประเภท AI

รายงาน IBM’s Global AI Adoption Index 2023 ระบุว่า 42% ของบริษัทที่สำรวจมีการใช้ AI ในธุรกิจของตน และอีก 40% กำลังอยู่ในช่วงสำรวจ การใช้งาน AI ที่ขยายตัวอย่างต่อเนื่องนี้เน้นย้ำว่าทำไมผู้ตรวจสอบภายในจึงต้องผนวกความเสี่ยงที่เกี่ยวข้องกับ AI เข้าไปในการวางแผนการตรวจสอบ และพัฒนาความรู้เกี่ยวกับ AI อย่างต่อเนื่องด้วย

AI สามารถจำแนกได้หลายประเภท แต่ในที่นี้จะนำเสนอการแบ่งประเภทของ IBM ซึ่งแบ่งออกเป็น 4 ประเภทหลัก:

  1. Reactive Machine AI: เป็น AI ที่ไม่มีหน่วยความจำ ออกแบบมาเพื่อทำงานตามข้อมูลป้อนเข้าจากมนุษย์เท่านั้น ระบบเหล่านี้อาศัย “มนุษย์ในวงจร” สำหรับการเขียนโปรแกรมที่สั่งให้เครื่องจักรทำงานด้วยตัวเอง ตัวอย่างเช่น IBM Deep Blue และแอปพลิเคชัน Machine Learning บางประเภทที่วิเคราะห์ข้อมูลและสร้างผลลัพธ์จากการคาดการณ์ เช่น ระบบแนะนำสินค้าบนเว็บไซต์
  2. Limited Memory AI: AI ประเภทนี้สามารถเรียนรู้และพัฒนาตนเองได้จากชุดข้อมูลขนาดใหญ่ในอดีต ซึ่งต่างจาก Reactive Machine AI ตรงที่สามารถนำข้อมูลทั้งในอดีตและปัจจุบันมาใช้เพื่อปรับปรุงประสิทธิภาพได้ Deep Learning ซึ่งเป็นส่วนย่อยของ Machine Learning จัดอยู่ในหมวดหมู่นี้ และไม่ต้องพึ่งพาการมีปฏิสัมพันธ์กับมนุษย์มากนัก Generative AI ก็อยู่ในประเภทนี้ด้วย เช่น ChatGPT สำหรับสร้างข้อความ หรือ DALL-E สำหรับสร้างภาพ
  3. Theory of Mind AI: AI ประเภทนี้ยังไม่มีอยู่จริงในปัจจุบัน แต่เป็นการวิจัยที่มุ่งพัฒนาให้ AI เข้าใจและโต้ตอบกับปัจจัยที่ละเอียดอ่อน เช่น อารมณ์และแรงจูงใจในลักษณะเดียวกับมนุษย์
  4. Self-Aware AI: AI ประเภทนี้เป็นเพียงทฤษฎีเช่นเดียวกับ Theory of Mind AI ซึ่งยังไม่มีอยู่จริงในทางปฏิบัติ หลายคนจินตนาการว่า AI ประเภทนี้จะมีความตระหนักรู้ในตัวเองอย่างลึกซึ้ง มีจิตสำนึกภายในที่ทัดเทียมหรือเหนือกว่ามนุษย์

ในส่วนต่อไปเราจะลงรายละเอียดเพิ่มเติมเกี่ยวกับวิธีที่ผู้ตรวจสอบภายในจะสามารถเริ่มต้นทำความเข้าใจการใช้งาน AI ภายในองค์กรของตนเองได้

ผู้ตรวจสอบภายในทุกท่านอย่าลืมติดตาม ตอนที่ 2 เพื่อเจาะลึกแนวทางการเริ่มต้นการตรวจสอบ AI และทำความเข้าใจวิธีการเก็บรวบรวมข้อมูลสำคัญจากภายในและภายนอกองค์กรได้ในครั้งถัดไปครับ

อ้างอิง : THE IIA’S Artificial Intelligence Auditing Framework

1 ความเห็น | AI กับ GRC | ติดป้ายกำกับ: , , | ลิงก์ถาวร
โพสต์โดย Metha Suvanasarn