Information Technology Governance

ตอนที่ 1: การตรวจสอบ AI: เส้นทางที่ผู้ตรวจสอบภายในต้องเรียนรู้

ปัญญาประดิษฐ์ (AI) คือศัพท์ที่ครอบคลุมเทคโนโลยีอันหลากหลาย ทั้งที่ใช้กันอยู่แล้วและที่กำลังเกิดขึ้นใหม่ แม้จะไม่มีคำจำกัดความที่ชัดเจน แต่โดยทั่วไป AI หมายถึง "ระบบที่มีกระบวนการทางปัญญาเหมือนมนุษย์ เช่น ความสามารถในการให้เหตุผล ค้นหาความหมาย สร้างความเชื่อมโยง หรือเรียนรู้จากประสบการณ์ในอดีต" การเติบโตอย่างก้าวกระโดดของแอปพลิเคชัน AI ในปัจจุบันแสดงให้เห็นถึงโอกาสมากมายที่องค์กรจะใช้ประโยชน์จากเทคโนโลยีเหล่านี้ เพื่อยกระดับวิธีการทำงานของเรา ขณะเดียวกันก็มีความเสี่ยงมากมายที่มาพร้อมกับธรรมชาติของเทคโนโลยีนี้

สำหรับผู้ตรวจสอบภายในแล้ว AI อาจเป็นเรื่องที่น่าหวั่นใจ โดยเฉพาะอย่างยิ่งเมื่อองค์กรต่าง ๆ เริ่มนำ AI มาใช้งานมากขึ้นเรื่อย ๆ ในยุคนี้ องค์กรจึงคาดหวังให้ผู้ตรวจสอบภายในเข้ามาให้คำแนะนำเกี่ยวกับ AI มากขึ้น ไม่ว่าจะเป็นบทบาทที่ปรึกษาด้านความเสี่ยงและการควบคุม หรือบทบาทผู้ให้ความเชื่อมั่นในกระบวนการที่ใช้ AI จึงเป็นเรื่องสำคัญอย่างยิ่งที่ผู้ตรวจสอบภายในจะต้องเพิ่มพูนความรู้ในเรื่องนี้

ผู้ตรวจสอบภายในมีหน้าที่ให้ความเชื่อมั่นในกิจกรรมและกระบวนการต่าง ๆ ตั้งแต่ธุรกรรมทางธุรกิจที่ไม่ซับซ้อน ไปจนถึงกระบวนการที่ซับซ้อนมาก ซึ่งต้องอาศัยความเข้าใจเชิงลึก ระดับและความลึกของความรู้ด้าน AI ที่จำเป็นต่อการสนับสนุนกิจกรรมการให้ความเชื่อมั่นนั้น สร้างความท้าทายอย่างต่อเนื่องแก่ผู้ตรวจสอบภายใน ซึ่งต้องพัฒนาความรู้เกี่ยวกับ AI อย่างสม่ำเสมอเพื่อทำความเข้าใจความเสี่ยงและบทบาทของตนเองได้อย่างครบถ้วน และเพื่อให้คำแนะนำและการให้ความเชื่อมั่นที่แม่นยำ

การตรวจสอบ AI มีความท้าทายเฉพาะตัว และด้วยวิวัฒนาการอย่างต่อเนื่อง ทำให้ผู้ตรวจสอบภายในต้องประเมินความเสี่ยงและแนวทางการบรรเทาความเสี่ยงในสภาพแวดล้อม AI ใหม่ อย่างไรก็ตาม ผู้ตรวจสอบภายในมีทักษะพื้นฐานที่สำคัญอยู่แล้ว เช่น การคิดเชิงวิพากษ์, การทำแผนที่กระบวนการ, การประเมินความเสี่ยง, การประเมินการควบคุมเทคโนโลยีสารสนเทศ, การทำความเข้าใจกลยุทธ์องค์กร และการให้ความเชื่อมั่นที่เป็นอิสระต่อหน้าที่กำกับดูแล

สถาบันผู้ตรวจสอบภายใน (The IIA) จึงได้จัดทำ IIA AI Auditing Framework ขึ้นมา เพื่อช่วยให้ผู้ตรวจสอบภายในเข้าใจความเสี่ยงและระบุแนวปฏิบัติที่ดีที่สุด รวมถึงการควบคุมภายในสำหรับ AI โดยมีจุดประสงค์เพื่อช่วยผู้ตรวจสอบภายในในการสร้างความรู้พื้นฐาน ซึ่งประกอบด้วย :

1. ภาพรวม: ประวัติและประโยชน์ของ AI
2. เริ่มต้น: ทำความเข้าใจว่าองค์กรใช้ AI อย่างไร
3. กรอบการตรวจสอบ AI: การกำกับดูแล, การจัดการ และการตรวจสอบภายใน

กรอบการทำงานนี้ใช้ประโยชน์จาก The IIA’s Three Lines Model และอ้างอิงถึง The IIA’s International Professional Practices Framework (IPPF) ซึ่งเป็นพื้นฐานของข้อกำหนดที่ต้องปฏิบัติตามและหลักการสำหรับวิชาชีพผู้ตรวจสอบภายใน นอกจากนี้ยังมีการอ้างอิงถึงแนวทางอื่น ๆ ของ The IIA เช่น Global Technology Audit Guides (GTAGs) และกรอบการทำงานที่เกี่ยวข้องอื่น ๆ เช่น NIST Artificial Intelligence Risk Management Framework (AI RMF 1.0) ซึ่งเป็นแหล่งข้อมูลเพิ่มเติมสำหรับผู้ตรวจสอบภายใน

ภาพรวม: ประวัติและวิวัฒนาการ

ในฐานะที่เป็นส่วนหนึ่งของภาพรวม ผู้ตรวจสอบภายในควรทำความเข้าใจพัฒนาการทางประวัติศาสตร์ของ AI, การใช้งาน AI ในอุตสาหกรรมต่าง ๆ ในปัจจุบัน และแนวโน้ม AI ที่กำลังเกิดขึ้นใหม่ที่ควรพิจารณา

แนวคิดเรื่อง AI ย้อนกลับไปในปี 1950 เมื่อนักคณิตศาสตร์ชาวอังกฤษ Alan Turing ตั้งคำถามว่า “เครื่องจักรคิดได้หรือไม่?” ในบทความของเขา “Computing Machines and Intelligence” ซึ่งถือเป็นหนึ่งในผู้บุกเบิก AI ด้วยการเสนอว่าในที่สุดเครื่องจักรจะมีความสามารถเทียบเท่ากับสติปัญญาของมนุษย์ สองปีต่อมา Arthur Lee Samuel นักวิทยาศาสตร์คอมพิวเตอร์ชาวอเมริกันที่ IBM ได้พัฒนาโปรแกรมที่สามารถเล่นหมากฮอสได้ด้วยการใช้ค่าที่ตั้งโปรแกรมไว้เพื่อระบุการเดินที่ดีที่สุด และในปี 1956 John McCarthy ได้ใช้คำว่า “AI” เป็นครั้งแรกในโครงการวิจัย The Dartmouth Summer Research Project on Artificial Intelligence

ทศวรรษ 1960s เป็นช่วงที่ AI มีความก้าวหน้าอย่างมาก รวมถึงการใช้หุ่นยนต์, โปรแกรมแก้ปัญหา และโปรแกรมคอมพิวเตอร์แบบโต้ตอบตัวแรกที่เรียกว่า ELIZA ซึ่งถือเป็น “แชทบอท” ตัวแรกที่จำลองการสนทนากับผู้ใช้มนุษย์ ส่วนทศวรรษ 1970s มีการพัฒนาหุ่นยนต์อัจฉริยะตัวแรกชื่อ WABOT และงานวิจัยต่อเนื่องในด้าน Natural Language Processing (NLP)

ความก้าวหน้าในทศวรรษ 1980s รวมถึงการพัฒนารถ Mercedes Benz ไร้คนขับในปี 1986 และใน 1990s เราได้เห็นเทคโนโลยีที่เกี่ยวข้องกับ AI ก้าวหน้าขึ้น รวมถึงซอฟต์แวร์จดจำเสียงใน Microsoft Windows และ “Deep Blue” ของ IBM ที่สร้างความฮือฮาในปี 1997 ด้วยการเอาชนะแชมป์หมากรุกโลก Garry Kasparov

เข้าสู่ทศวรรษ 2000s AI ได้กลายเป็นส่วนหนึ่งของชีวิตประจำวันของเรา เช่น Amazon Alexa, Apple Siri และ Google Assistant และปี 2023 ถือเป็นปีที่ Large Language Models (LLMs) อย่าง ChatGPT ได้รับการยอมรับอย่างแพร่หลาย ซึ่งยกระดับความสามารถของ AI จากการพยากรณ์ผลลัพธ์ไปสู่การสร้างเนื้อหาที่หลากหลายมากขึ้น

ระดับการนำไปใช้และการจำแนกประเภท AI

รายงาน IBM’s Global AI Adoption Index 2023 ระบุว่า 42% ของบริษัทที่สำรวจมีการใช้ AI ในธุรกิจของตน และอีก 40% กำลังอยู่ในช่วงสำรวจ การใช้งาน AI ที่ขยายตัวอย่างต่อเนื่องนี้เน้นย้ำว่าทำไมผู้ตรวจสอบภายในจึงต้องผนวกความเสี่ยงที่เกี่ยวข้องกับ AI เข้าไปในการวางแผนการตรวจสอบ และพัฒนาความรู้เกี่ยวกับ AI อย่างต่อเนื่องด้วย

AI สามารถจำแนกได้หลายประเภท แต่ในที่นี้จะนำเสนอการแบ่งประเภทของ IBM ซึ่งแบ่งออกเป็น 4 ประเภทหลัก:

1. Reactive Machine AI: เป็น AI ที่ไม่มีหน่วยความจำ ออกแบบมาเพื่อทำงานตามข้อมูลป้อนเข้าจากมนุษย์เท่านั้น ระบบเหล่านี้อาศัย “มนุษย์ในวงจร” สำหรับการเขียนโปรแกรมที่สั่งให้เครื่องจักรทำงานด้วยตัวเอง ตัวอย่างเช่น IBM Deep Blue และแอปพลิเคชัน Machine Learning บางประเภทที่วิเคราะห์ข้อมูลและสร้างผลลัพธ์จากการคาดการณ์ เช่น ระบบแนะนำสินค้าบนเว็บไซต์
2. Limited Memory AI: AI ประเภทนี้สามารถเรียนรู้และพัฒนาตนเองได้จากชุดข้อมูลขนาดใหญ่ในอดีต ซึ่งต่างจาก Reactive Machine AI ตรงที่สามารถนำข้อมูลทั้งในอดีตและปัจจุบันมาใช้เพื่อปรับปรุงประสิทธิภาพได้ Deep Learning ซึ่งเป็นส่วนย่อยของ Machine Learning จัดอยู่ในหมวดหมู่นี้ และไม่ต้องพึ่งพาการมีปฏิสัมพันธ์กับมนุษย์มากนัก Generative AI ก็อยู่ในประเภทนี้ด้วย เช่น ChatGPT สำหรับสร้างข้อความ หรือ DALL-E สำหรับสร้างภาพ
3. Theory of Mind AI: AI ประเภทนี้ยังไม่มีอยู่จริงในปัจจุบัน แต่เป็นการวิจัยที่มุ่งพัฒนาให้ AI เข้าใจและโต้ตอบกับปัจจัยที่ละเอียดอ่อน เช่น อารมณ์และแรงจูงใจในลักษณะเดียวกับมนุษย์
4. Self-Aware AI: AI ประเภทนี้เป็นเพียงทฤษฎีเช่นเดียวกับ Theory of Mind AI ซึ่งยังไม่มีอยู่จริงในทางปฏิบัติ หลายคนจินตนาการว่า AI ประเภทนี้จะมีความตระหนักรู้ในตัวเองอย่างลึกซึ้ง มีจิตสำนึกภายในที่ทัดเทียมหรือเหนือกว่ามนุษย์

ในส่วนต่อไปเราจะลงรายละเอียดเพิ่มเติมเกี่ยวกับวิธีที่ผู้ตรวจสอบภายในจะสามารถเริ่มต้นทำความเข้าใจการใช้งาน AI ภายในองค์กรของตนเองได้

ผู้ตรวจสอบภายในทุกท่านอย่าลืมติดตาม ตอนที่ 2 เพื่อเจาะลึกแนวทางการเริ่มต้นการตรวจสอบ AI และทำความเข้าใจวิธีการเก็บรวบรวมข้อมูลสำคัญจากภายในและภายนอกองค์กรได้ในครั้งถัดไปครับ

อ้างอิง : THE IIA’S Artificial Intelligence Auditing Framework

This entry was posted on วันอาทิตย์ที่ 7 กันยายน 2025 at 11:44 am and is filed under AI กับ GRC. You can follow any responses to this entry through the RSS 2.0 feed. You can leave a response, or trackback from your own site.