Information Technology Governance

สำหรับโพสต์นี้เป็นส่วนสุดท้ายหรือตอนจบของเนื้อหากรอบการทำงานการตรวจสอบปัญญาประดิษฐ์ (Artificial Intelligence Auditing Framework) ซึ่งเราจะมาเจาะลึกถึงรายละเอียดของการบริหารจัดการความเสี่ยงด้าน AI กันต่อครับ ท่านใดที่ยังไม่ได้ดูเนื้อหาก่อนหน้านี้ สามารถย้อนกลับไปดูได้ที่ กรอบการตรวจสอบ AI: การกำกับดูแลและการจัดการ (ตอนที่ 1) เพื่อความเข้าใจที่ต่อเนื่องครับ

ตอนที่ 3: กรอบการตรวจสอบ AI: การจัดการความเสี่ยงและการตรวจสอบ (ตอนที่ 2)

ทรัพยากรด้านไอทีเพื่อสนับสนุน AI

การใช้ AI จำเป็นต้องมีการเพิ่มประสิทธิภาพทรัพยากรด้านไอทีอย่างเหมาะสม ซึ่งฝ่ายบริหารควรจัดสรรงบประมาณไว้ด้วย เนื่องจาก AI ต้องการประสิทธิภาพของสินทรัพย์คอมพิวเตอร์ที่เข้มข้น เพื่อรองรับการประมวลผลที่น่าเชื่อถือ ตัวอย่างความสามารถของทรัพยากรด้านไอทีที่ใช้เพื่อสนับสนุนโครงการริเริ่มด้าน AI ขององค์กร ได้แก่:

• Central Processing Units (CPU): หรือ “สมอง” ของคอมพิวเตอร์ ทำหน้าที่ประมวลผลคำสั่งหรือคำสั่ง
• Graphics Processing Units (GPU): สมองที่มีความสามารถมากกว่า สามารถประมวลผลข้อมูลจำนวนมากพร้อมกันได้ และมีความสามารถในการคำนวณทางคณิตศาสตร์เพิ่มเติม มักใช้ในงาน AI ที่เกี่ยวกับการสร้างสรรค์ภาพ
• Storage: พื้นที่จัดเก็บข้อมูลที่ AI ต้องการสำหรับการประมวลผล โดยทั่วไปวัดเป็นเทราไบต์ (1,000 กิกะไบต์) หรือเพตาไบต์ (1,000 เทราไบต์)
• Memory (RAM): หรือหน่วยความจำเข้าถึงแบบสุ่ม เป็นพื้นที่จัดเก็บข้อมูลระยะสั้นที่เข้าถึงได้เร็วกว่า Storage ยิ่ง AI ที่ทำงานมีความซับซ้อนมากเท่าไหร่ ก็ยิ่งต้องใช้ RAM มากขึ้นเท่านั้น
• Supercomputers: คอมพิวเตอร์ที่มีการประมวลผลเร็วที่สุด ใช้สำหรับการคำนวณประสิทธิภาพสูงและมี CPU หลายตัว
• Workstations: รวมถึงคอมพิวเตอร์ตั้งโต๊ะและแล็ปท็อปที่มีข้อกำหนดทางเทคนิคที่รองรับความต้องการของ AI ที่ใช้งาน
• Software: แพลตฟอร์ม, โปรแกรม และแอปพลิเคชันที่ใช้ในการพัฒนา, นำไปใช้ และจัดการ AI ตัวอย่างเช่น Microsoft Azure AI, IBM Watsonx.ai และ Google Cloud AI Platform
• Networking Connectivity: เป็นหมวดหมู่กว้าง ๆ ที่รวมฮาร์ดแวร์, ซอฟต์แวร์ และบริการที่ช่วยให้ผู้ใช้สามารถแบ่งปันทรัพยากรดิจิทัลและแลกเปลี่ยนข้อมูลได้

แม้ผู้ตรวจสอบภายในไม่จำเป็นต้องรู้ข้อกำหนดทางเทคนิคและรายละเอียดทั้งหมดของ AI แต่ควรมีความรู้พื้นฐานเกี่ยวกับทรัพยากรด้านไอที

บุคลากรและการฝึกอบรม

การจัดบุคลากรที่เหมาะสมเป็นองค์ประกอบสำคัญของกลยุทธ์ AI ขององค์กร ฝ่ายทรัพยากรบุคคลควรทำงานร่วมกับฝ่ายบริหาร เพื่อให้แน่ใจว่ามีการสรรหาพนักงานที่มีประสบการณ์ด้าน AI ที่จำเป็นทั่วทั้งองค์กร โดยควรให้ความสำคัญกับประสบการณ์ด้าน AI ไม่เพียงแค่พนักงานที่รับผิดชอบการจัดการ AI ในแต่ละวัน แต่ยังรวมถึงผู้นำที่จะกำกับดูแลโครงการริเริ่มด้าน AI ด้วย

เนื่องจาก AI มีการพัฒนาอย่างรวดเร็ว องค์กรจึงต้องแน่ใจว่าพนักงานตระหนักถึงความก้าวหน้าและความเสี่ยงที่เกี่ยวข้อง ควรมีการฝึกอบรมสร้างความตระหนักรู้ทั่วไปเกี่ยวกับ AI ให้แก่พนักงานทุกคน และจัดโอกาสในการฝึกอบรมทางเทคนิคมากขึ้นสำหรับพนักงานที่มุ่งเน้นโครงการริเริ่มด้าน AI

การฝึกอบรมเกี่ยวกับนโยบายการใช้ AI อย่างเป็นทางการ, การรวมเรื่อง AI ไว้ในคู่มือพนักงาน และการปฐมนิเทศพนักงานใหม่ เป็นวิธีที่ดีในการเพิ่มความตระหนักรู้ขององค์กรเกี่ยวกับ AI รวมถึงความเสี่ยงที่อาจเกิดขึ้น การบูรณาการโครงการฝึกอบรมที่มุ่งเน้น AI, ความรู้ด้านดิจิทัล, นโยบายและขั้นตอนการปฏิบัติงานขององค์กร และโอกาสในการยกระดับทักษะ จะช่วยสนับสนุนโครงการริเริ่มด้าน AI ผ่านการลงทุนโดยตรงในพนักงานปัจจุบันและพนักงานใหม่ การนำไปใช้และผลลัพธ์ของโครงการริเริ่มเหล่านี้ ควรได้รับการตรวจสอบโดยการตรวจสอบภายใน ซึ่งเป็นส่วนหนึ่งของการควบคุม AI ขององค์กร

การดำเนินการ: การจัดการความเสี่ยงโดย First and Second Lines

ในตอนที่ 2 ได้กล่าวถึงความสำคัญของการระบุความเสี่ยงด้าน AI ที่เกี่ยวข้องกับความปลอดภัย, ความสมบูรณ์, ความเป็นส่วนตัว และการรักษาความลับของข้อมูล ซึ่งการจัดการข้อกังวลเหล่านี้ ควรเป็นจุดเน้นเมื่อองค์กรดำเนินโครงการ AI อัลกอริทึม AI อาศัยข้อมูลที่ถูกต้องและเชื่อถือได้ ดังนั้นทีมงานโครงการควรติดตามข้อมูลที่ป้อนเข้าอย่างใกล้ชิด องค์กรมีหลายวิธีในการตรวจสอบความครบถ้วนของข้อมูลที่ใช้ในโครงการ AI รวมถึงการตรวจสอบยอดรวมของบันทึกว่าตรงกันหรือไม่ และการวิเคราะห์รายงานข้อผิดพลาดเมื่อข้อมูลถูกโอนย้ายระหว่างระบบ ฝ่ายบริหารควรออกแบบและติดตามการควบคุมภายในที่สามารถตรวจจับความผิดปกติของคุณภาพ หรือความครบถ้วนของข้อมูลได้

ข้อพิจารณาที่สำคัญอื่น ๆ เกี่ยวกับข้อมูล ได้แก่ การจำกัดสิทธิ์การเข้าถึงเฉพาะพนักงานที่ทำงานในโครงการ AI รวมถึงสิทธิ์การเข้าถึงของผู้ดูแลระบบ การกำหนดบทบาทของผู้ใช้ และการแยกหน้าที่ (Segregation of Duties) ที่เหมาะสมก็เป็นสิ่งสำคัญเช่นกัน ตัวอย่างเช่น ผู้ดูแลระบบฐานข้อมูลที่ดูแลข้อมูลที่ป้อนเข้าไม่ควรมีสิทธิ์ในการแก้ไขอัลกอริทึมที่ประมวลผลข้อมูลนั้น ซึ่งเป็นหน้าที่ความรับผิดชอบของนักพัฒนา

เมื่อมีการนำโครงการ AI ไปใช้ สิ่งสำคัญคือ องค์กรต้องแน่ใจว่าโครงการนั้นมีความโปร่งใส, อธิบายได้, มีความรับผิดชอบ และตรวจสอบได้:

• ความโปร่งใส (Transparency): สามารถเข้าใจวัตถุประสงค์ของ AI หรืออัลกอริทึมได้ง่ายในแง่ที่เรียบง่าย
• การอธิบายได้ (Explainability): สามารถอธิบายกลไก, การคำนวณ หรือผลลัพธ์ที่ประมวลผลโดย AI หรืออัลกอริทึมได้
• ความรับผิดชอบ (Responsibility): ใช้ AI หรืออัลกอริทึมในลักษณะที่มีจริยธรรม, ปลอดภัย, เป็นธรรม และน่าเชื่อถือ
• การตรวจสอบได้ (Auditability): เมื่อแอปพลิเคชัน AI เริ่มเข้ามาแทนที่ หรือเสริมกระบวนการทางธุรกิจที่สำคัญ ควรมีการรักษาความสามารถในการตรวจสอบย้อนกลับ ผ่านบันทึกการตรวจสอบที่มีประสิทธิภาพ เนื่องจากอาจจำเป็นต้องมีการให้ความเชื่อมั่นในกระบวนการเหล่านี้

การจัดการโครงการ AI ควรระบุรายละเอียดดังต่อไปนี้สำหรับแต่ละโครงการ:

• วัตถุประสงค์, บทบาท และกำหนดเวลา: โครงการนี้มีจุดมุ่งหมายเพื่อบรรลุอะไร, ใครมีส่วนร่วม และเมื่อไหร่ที่เกิดขึ้น
• ข้อกำหนดด้านทรัพยากร: ทรัพยากรเทคโนโลยีและ/หรือบุคลากรที่จำเป็นต่อความสำเร็จ
• ข้อกำหนดด้านข้อมูล: ข้อมูลที่ป้อนเข้าที่ AI หรืออัลกอริทึมต้องการ
• ข้อกำหนดด้านความเป็นส่วนตัว, กฎหมาย และกฎระเบียบ: ข้อกำหนดในการปฏิบัติตามที่เกี่ยวข้อง
• การประเมินความเสี่ยง: ความเสี่ยงที่เกี่ยวข้องที่คุกคามการบรรลุวัตถุประสงค์ของโครงการ หรือผลลัพธ์ที่ไม่พึงประสงค์ เช่น ความลำเอียง, การปฏิบัติที่ไม่เป็นธรรม หรือการใช้ในทางที่ผิด
• ตัวชี้วัดความสำเร็จหรือ KPI: วิธีการติดตามและวัดผลความสำเร็จของโครงการ
• ข้อกำหนดในการทดสอบ: การตรวจสอบเพื่อยืนยันว่า AI หรืออัลกอริทึมทำงานตามที่ออกแบบไว้ รวมถึงการระบุและสื่อสารปัญหาที่เกิดขึ้น

การติดตามโครงการ AI อย่างต่อเนื่อง ควรดำเนินการโดยฝ่ายบริหารเพื่อให้แน่ใจว่าโครงการดำเนินไปตามแผนและเพื่อระบุปัญหาหรือข้อกังวลใด ๆ ที่เกิดขึ้น ฝ่ายบริหารมีบทบาทสำคัญในสภาพแวดล้อมการควบคุมภายใน ด้วยการจัดให้มีระดับการดำเนินการแรกเพื่อลดความเสี่ยง การติดตามในระดับโครงการมีความสำคัญ เนื่องจากเป็นจุดแรกที่สามารถตรวจพบปัญหาได้

การสนับสนุนจาก Second Line ในการบริหารความเสี่ยง

เป้าหมายหลักของกระบวนการบริหารความเสี่ยงระดับองค์กรคือ การทำความเข้าใจว่าความเสี่ยงอาจคุกคามการบรรลุวัตถุประสงค์ได้อย่างไร จากนั้นจึงดำเนินการเพื่อลดความเสี่ยงเหล่านั้น AI มักถูกพิจารณาว่าเป็นความเสี่ยงทางเทคโนโลยี แต่สิ่งสำคัญคือต้องตระหนักว่าความเสี่ยงของ AI สามารถอยู่ในหมวดหมู่ใด ๆ ก็ได้ เช่น ความเสี่ยงเชิงกลยุทธ์, การเงิน, สังคม, จริยธรรม, กฎหมาย และการกำกับดูแล

กรอบการตรวจสอบ AI ของ IIA ให้ข้อพิจารณาด้านการจัดการความเสี่ยง เพื่อสนับสนุนโครงการ AI ขององค์กรในการปฏิบัติตามแนวทางที่ดีที่สุดเกี่ยวกับ AI ซึ่งรวมถึงการพิจารณาใช้กรอบการทำงานอื่น ๆ ที่มีอยู่ เช่น NIST’s Artificial Intelligence Risk Management Framework ผู้ตรวจสอบภายในมักจะทำงานร่วมกับผู้เชี่ยวชาญด้านการบริหารความเสี่ยงในกิจกรรมต่าง ๆ เช่น กระบวนการประเมินความเสี่ยงประจำปีขององค์กร ดังนั้นจึงเป็นสิ่งสำคัญอย่างยิ่งที่ผู้ตรวจสอบภายในต้องเข้าใจความเสี่ยงที่เกี่ยวข้องกับ AI และเพิ่มฐานความรู้อย่างต่อเนื่อง

การระบุความเสี่ยง

การระบุความเสี่ยงที่เกี่ยวข้องกับ AI อาจเป็นงานใหม่สำหรับหลายองค์กร โดยในอุดมคติแล้ว การบริหารความเสี่ยงระดับองค์กร (รวมถึงการตรวจสอบภายใน, การปฏิบัติตามกฎระเบียบ และฝ่ายกฎหมาย) จะมีส่วนร่วมในการหารือเริ่มต้นของโครงการริเริ่มด้าน AI ทั้งหมด เพื่อช่วยกำหนดกรอบความเสี่ยงที่เกี่ยวข้องกับโครงการ AI

องค์กรที่มีกระบวนการประเมินความเสี่ยงทั่วทั้งองค์กรที่มั่นคงแล้ว ควรพิจารณาทำการประเมินความเสี่ยงที่มุ่งเน้น AI เป็นครั้งแรก หากไม่สามารถทำการประเมินความเสี่ยง AI แยกต่างหากได้ อย่างน้อยที่สุดองค์กรควรแน่ใจว่าได้รวม AI ไว้ในกระบวนการประเมินความเสี่ยงโดยรวม

สำหรับองค์กรที่มีกลยุทธ์ AI ที่ชัดเจน พร้อมด้วยวัตถุประสงค์และเป้าหมายที่กำหนดไว้ จะเป็นบริบทที่ฝ่ายบริหารความเสี่ยงระดับองค์กรต้องการเพื่อช่วยในการระบุความเสี่ยง AI บริบทนี้ช่วยให้ฝ่ายบริหารความเสี่ยงระดับองค์กรสามารถจัดทำรายการความเสี่ยงที่คุกคามการบรรลุวัตถุประสงค์และเป้าหมายเหล่านั้นได้ ทำให้องค์กรสามารถฝังมาตรการป้องกันอันตรายที่อาจเกิดขึ้นจากการใช้ AI ไว้ในแผนกลยุทธ์ของตนได้

อย่างไรก็ตาม สิ่งสำคัญคือต้องตระหนักว่าภูมิทัศน์ความเสี่ยงเกี่ยวกับ AI ยังคงเปลี่ยนแปลงอย่างรวดเร็ว ทำให้เกิดผลลัพธ์เชิงลบที่ไม่พึงประสงค์จากความเสี่ยงที่ไม่ได้คำนึงถึง ซึ่งอาจรวมถึง:

• ผลลัพธ์ที่มีอคติหรือเลือกปฏิบัติที่อาจส่งผลกระทบอย่างไม่เป็นธรรมต่อบางส่วนของประชากร
• การประนีประนอมความเป็นส่วนตัวหรือการรักษาความลับ
• การขาดความรับผิดชอบ
• การขาดความโปร่งใสและการอธิบายได้
• อันตรายทางการเงินหรือความเหลื่อมล้ำทางเศรษฐกิจ
• อันตรายต่อสิ่งแวดล้อม
• ข้อมูลที่ผิดหรือการบิดเบือน
• การละเมิดลิขสิทธิ์

“กล่องดำ” (The Black Box)

แม้ว่ากระบวนการระบุ, ประเมิน และลดความเสี่ยงส่วนใหญ่สำหรับโครงการ AI จะปฏิบัติตามแนวทางที่ดีที่สุดที่มีอยู่ แต่สิ่งสำคัญคือต้องทราบว่า “กล่องดำ” (Black Box) ของ AI ก่อให้เกิดความเสี่ยงที่แตกต่างกัน คำนี้หมายถึงการขาดความโปร่งใสในระบบ AI และวิธีการตัดสินใจของมัน โดยเฉพาะอย่างยิ่งในโมเดล Deep Learning ซึ่งอาจเป็นเรื่องยากที่จะทำความเข้าใจเนื่องจากการประมวลผลที่ซับซ้อนโดยอัลกอริทึม

ผู้เชี่ยวชาญด้านความเสี่ยงและผู้ตรวจสอบภายในสามารถจัดการกับ “กล่องดำ” ได้โดยตรงด้วยการ:

• ระบุและสื่อสารอย่างชัดเจนในจุดที่อาจมีข้อมูลที่ขาดหายไปหรือไม่สมบูรณ์ภายในโครงการ AI ตัวอย่างเช่น หากองค์กรใช้ผู้ขาย AI จากภายนอกที่ไม่ให้ข้อมูลโดยละเอียดเกี่ยวกับข้อมูลการฝึกอบรมอัลกอริทึม ควรบันทึกและเปิดเผยสิ่งนี้เป็นความเสี่ยงที่อาจเกิดขึ้น
• ประเมินและแจ้งให้คณะกรรมการทราบอย่างต่อเนื่องเกี่ยวกับผลกระทบที่อาจเกิดขึ้นจากช่องว่างข้อมูลที่ระบุไว้ ตัวอย่างเช่น เมื่อการขาดเอกสารของผู้ขายในชุดข้อมูลการฝึกอบรมได้รับการบันทึกแล้ว ผู้ตรวจสอบภายในควรแจ้งให้คณะกรรมการทราบเมื่อเผชิญกับผลลัพธ์ที่เกี่ยวข้องกับความเสี่ยง
• นำเสนอแนวทางในการลดความเสี่ยงที่เกี่ยวข้องกับช่องว่างความรู้ของ “กล่องดำ” ที่ได้บันทึกและประเมินไว้ก่อนหน้านี้ ตัวอย่างเช่น จากการประเมินและผลที่ตามมาที่นำเสนอ องค์กรตัดสินใจที่จะเปลี่ยนไปใช้ผู้ขาย AI รายใหม่ที่มีเอกสารข้อมูลที่โปร่งใสมากขึ้น

การประเมินความเสี่ยง

การประเมินและวิเคราะห์ความเสี่ยงที่เกี่ยวข้องกับ AI ควรเป็นไปตามกระบวนการที่คล้ายคลึงกับที่องค์กรใช้ในการทบทวนความเสี่ยงอื่น ๆ โดยควรพิจารณา ผลกระทบ (Impact) และ โอกาสที่จะเกิดขึ้น (Likelihood) ก่อน ผลกระทบของความเสี่ยงที่เกี่ยวข้องกับ AI อาจเป็นเรื่องยากที่จะวัดปริมาณได้ เนื่องจากมีข้อพิจารณามากมาย เช่น ผลกระทบทางกฎหมาย, กฎระเบียบ, สังคม, การเงิน, สิ่งแวดล้อม และจริยธรรม ความเสียหายต่อชื่อเสียงของแบรนด์ก็เป็นข้อพิจารณาสำหรับผลกระทบเช่นกัน

การรวมกันของผลกระทบและโอกาสที่จะเกิดขึ้นจะส่งผลให้เกิด ความเสี่ยงโดยธรรมชาติ (Inherent Risk) ซึ่งเป็นการวัดความเสี่ยงที่มีอยู่โดยไม่มีการพิจารณาการควบคุมภายใน หลังจากประเมินความเสี่ยงโดยธรรมชาติแล้ว ขั้นตอนต่อไปคือการกำหนด ความเสี่ยงคงเหลือ (Residual Risk) ซึ่งรวมถึงการพิจารณาว่าความเสี่ยงได้รับการบรรเทาได้ดีเพียงใด

การจัดลำดับความสำคัญของความเสี่ยง เป็นกระบวนการที่องค์กรใช้ เพื่อจัดอันดับความเสี่ยงตามลำดับความสำคัญ กล่าวคือ ความเสี่ยงที่ส่งผลกระทบมากที่สุดจะได้รับการจัดการก่อน องค์กรมีทรัพยากรที่จำกัด แต่เผชิญกับความเสี่ยงที่ไม่จำกัด ดังนั้นการจัดลำดับความสำคัญของความเสี่ยงที่เกี่ยวข้องกับ AI ภายใน กรอบการวิเคราะห์ความเสี่ยงทั่วทั้งองค์กรจึงเป็นสิ่งสำคัญ

การลดความเสี่ยง

การลดความเสี่ยง (Risk Mitigation) เป็นการกระทำที่ฝ่ายบริหารดำเนินการ เพื่อลดความเสี่ยงให้อยู่ในระดับที่ยอมรับได้ ในหลายกรณี องค์กรเลือกที่จะจัดการความเสี่ยงที่เกี่ยวข้องกับ AI ด้วยการกระทำเพื่อลดความเสี่ยง เช่น การเพิ่มการควบคุมภายใน อย่างไรก็ตาม มีการตอบสนองความเสี่ยงที่เป็นไปได้อื่น ๆ อีกหลายประการ

มีหลายปัจจัยที่มีอิทธิพลต่อวิธีที่องค์กรกำหนดว่าจะตอบสนองต่อความเสี่ยงที่เกี่ยวข้องกับ AI อย่างไร ดังนั้นการมีกระบวนการตอบสนองความเสี่ยงที่กำหนดไว้และสามารถทำซ้ำได้จึงเป็นสิ่งสำคัญ ความเสี่ยงที่เกี่ยวข้องกับ AI อาจเปลี่ยนแปลงได้ในระหว่างโครงการ ดังนั้นองค์กรควรทบทวนอย่างต่อเนื่องว่าจะตอบสนองและลดความเสี่ยงอย่างไร

การตรวจสอบภายใน: กิจกรรมที่ปรึกษาและให้ความเชื่อมั่น

หลังจากที่ได้อธิบายถึงแนวทางที่องค์กรควรใช้ในการจัดการ AI ในสองส่วนแรกของกรอบการทำงานแล้ว ส่วนสุดท้ายที่เหลืออยู่คือ การตรวจสอบภายใน (Internal Audit)

สองส่วนแรกของกรอบการทำงานนี้เป็นพื้นฐานสำหรับการที่การตรวจสอบภายใน จะสามารถให้บริการทั้งด้านการให้คำปรึกษาและการตรวจสอบแก่องค์กรได้ ส่วน การกำกับดูแล (Governance) และ การจัดการ (Management) มีรายละเอียดที่ผู้ตรวจสอบภายใน ควรนำไปใช้ในการแนะนำองค์กรให้ปรับปรุงแนวทางปฏิบัติ หรือใช้เป็นพื้นฐานในการประเมินว่าองค์กรกำลังเข้าถึง, ใช้, จัดการ และติดตาม AI อย่างไร

คำว่า “ความเชื่อมั่นที่สมเหตุสมผล” (Reasonable Assurance) มักถูกอ้างถึงในวิชาชีพการตรวจสอบภายใน จากมุมมองของการควบคุมภายใน ความเชื่อมั่นที่สมเหตุสมผลหมายถึงมีความเป็นไปได้สูงที่การควบคุมจะสามารถลดความเสี่ยงได้ แต่ก็ไม่ถึงกับเป็นความแน่นอนแบบสมบูรณ์ (absolute) หลักการเดียวกันนี้ควรถูกนำมาพิจารณาสำหรับผู้ตรวจสอบภายในที่ได้รับมอบหมายให้ทำหน้าที่ให้ความเชื่อมั่นเกี่ยวกับ AI

ความท้าทาย

หลายแง่มุมของ AI ทำให้กิจกรรมการให้ความเชื่อมั่นเป็นเรื่องยากสำหรับผู้ตรวจสอบภายใน ซึ่งรวมถึง:

• ความซับซ้อนโดยธรรมชาติ: AI (หรือเฉพาะเจาะจงลงไปคืออัลกอริทึม) มีความซับซ้อนสูง ซึ่งเป็นปัญหา “กล่องดำ (Black Box)” ที่ยากขึ้นไปอีก
• การเพิ่มขึ้นอย่างรวดเร็วของความสามารถและความเสี่ยง: ความสามารถและความเสี่ยงของ AI เพิ่มจำนวนขึ้นอย่างรวดเร็ว
• การขาดเครื่องมือและแนวทางที่ยอมรับกันอย่างกว้างขวาง: AI ยังเป็นหัวข้อการตรวจสอบที่กำลังพัฒนา และมีเครื่องมือหรือแนวทางที่ใช้กันอย่างแพร่หลายอย่างจำกัด
• โอกาสในการฝึกอบรมที่มีจำกัด: โอกาสในการฝึกอบรมเพื่อเพิ่มพูนทักษะการตรวจสอบ AI ยังมีอยู่อย่างจำกัด

AI ในฐานะหัวข้อการตรวจสอบอาจดูน่าหนักใจ แต่การมุ่งเน้นไปที่ข้อพิจารณาต่อไปนี้ จะช่วยให้ผู้ตรวจสอบภายในมีทัศนคติเชิงบวกและมีความมั่นใจ:

• ไม่คาดหวังว่าจะเป็นผู้เชี่ยวชาญ: ผู้ตรวจสอบภายในไม่จำเป็นต้องเป็นผู้เชี่ยวชาญในทุกหัวข้อการตรวจสอบ แต่ควรมีแนวทางที่เป็นระบบ, มีระเบียบวินัย และมุ่งเน้นการคิดเชิงวิพากษ์ และการระบุความเสี่ยงเป็นวัตถุประสงค์หลักสำหรับทุกการตรวจสอบ ไม่ใช่แค่ AI การมีความคุ้นเคยและความรู้ในเชิงปฏิบัติเกี่ยวกับ AI เป็นสิ่งสำคัญอย่างยิ่ง แต่การรู้ในทุกแง่มุมทางเทคนิคของ AI อาจไม่ใช่เรื่องที่จำเป็น และอาจต้องอาศัยผู้เชี่ยวชาญทางเทคนิคจากภายนอกมาช่วยในแง่มุมที่ซับซ้อนมากขึ้น เช่น การแกะรหัสอัลกอริทึม
• มองการตรวจสอบ AI เป็นความก้าวหน้า ไม่ใช่จุดหมายปลายทาง: เนื่องจาก AI มีความซับซ้อนและเปลี่ยนแปลงอย่างรวดเร็ว จึงไม่น่าเป็นไปได้ที่ผู้ตรวจสอบภายในจะมีความรู้ในเรื่องนี้อย่างสมบูรณ์แบบ ดังนั้นควรเพิ่มพูนความเข้าใจเกี่ยวกับ AI เมื่อเวลาผ่านไป
• กล้าที่จะถามคำถามที่เกี่ยวข้องเกี่ยวกับ AI ภายในองค์กร:
  • AI ช่วยให้องค์กรบรรลุเป้าหมายเชิงกลยุทธ์ได้อย่างไร?
  • มีความเสี่ยงอะไรที่เกี่ยวข้องและเรากำลังลดความเสี่ยงเหล่านั้นอย่างไร?
  • มีการควบคุมภายในที่เพียงพอสำหรับกระบวนการที่เกี่ยวข้องกับ AI หรือไม่?
  • ข้อมูลที่ใช้สำหรับ AI มีความครบถ้วน, แม่นยำ และเชื่อถือได้หรือไม่?
  • มีการทดสอบ AI ก่อนนำไปใช้งานอย่างไรเพื่อให้แน่ใจว่าไม่มีความลำเอียง?
  • มีการทดสอบ AI หลังการใช้งานอย่างไรเพื่อให้แน่ใจว่าไม่มีความลำเอียง?
  • มีการกำกับดูแล AI อย่างไร?
  • องค์กรรับประกันได้อย่างไรว่า มีการฝึกอบรมและสร้างความตระหนักรู้ด้าน AI ที่เพียงพอ?

ดังที่ได้อธิบายไว้ในตอนที่ 2 การทำความเข้าใจการใช้งาน AI ขององค์กรเริ่มต้นจากการค้นคว้าและพูดคุย สิ่งสำคัญคือผู้ตรวจสอบภายในต้องใช้ประโยชน์จากความสัมพันธ์ทางวิชาชีพที่ได้สร้างไว้ การมีความโปร่งใสกับทั้งฝ่ายบริหารและคณะกรรมการกำกับดูแลเป็นสิ่งสำคัญ ควรใช้ภาษาที่เรียบง่ายเพื่ออธิบายว่าเราคิดอย่างไรเกี่ยวกับหัวข้อ AI และวางแผนที่จะมีส่วนร่วมกับองค์กรอย่างไรเพื่อเรียนรู้เพิ่มเติม

การตรวจสอบ AI ถือเป็นความรับผิดชอบที่ค่อนข้างใหม่สำหรับหลายองค์กร ในฐานะผู้ให้ความเชื่อมั่น ผู้ตรวจสอบภายในไม่จำเป็นต้องเป็นผู้เชี่ยวชาญในหัวข้อ AI แต่ต้องระบุโอกาสในการเพิ่มพูนความรู้และความตระหนักในเรื่องนี้ การทำความเข้าใจแง่มุมทางเทคนิคของ AI ให้ดียิ่งขึ้น เช่น อัลกอริทึม จะมีความสำคัญต่อการพัฒนาวิชาชีพในอนาคต

แม้ว่า AI จะมีองค์ประกอบที่ซับซ้อน แต่สิ่งสำคัญคือต้องจำไว้ว่ามันสร้างผลลัพธ์บางอย่างจากข้อมูลที่ได้รับ ในมุมมองของการให้ความเชื่อมั่น ผู้ตรวจสอบภายในอาจไม่เคยมีความรู้ที่สมบูรณ์แบบเกี่ยวกับกลไกภายในทั้งหมดของ AI แต่การช่วยองค์กร 1) ประเมินสิ่งที่พวกเขากำลังทำเพื่อให้แน่ใจว่าข้อมูลที่ป้อนเข้ามีความแม่นยำที่สุดเท่าที่จะเป็นไปได้ และ 2) ทำความเข้าใจวิธีการตรวจสอบผลลัพธ์นั้น ควรเป็นวัตถุประสงค์หลักของผู้ปฏิบัติงาน ผู้ตรวจสอบภายในนำแนวคิดเหล่านี้มาใช้ในปัจจุบันเมื่อทำการตรวจสอบระบบไอทีของแอปพลิเคชันทางธุรกิจ และหัวใจสำคัญร่วมกันคือแนวคิดเรื่อง “การตรวจสอบย้อนกลับ (Traceability)” ซึ่งหมายถึงการทำให้แน่ใจว่าข้อมูลและผลลัพธ์สอดคล้องกับวัตถุประสงค์ทางธุรกิจและข้อกำหนดของกรณีการใช้งาน AI นั้น ๆ

โดยสรุปแล้ว การตรวจสอบ AI ไม่ใช่เรื่องที่เป็นไปไม่ได้ แต่เป็นวิวัฒนาการที่ต้องอาศัยการปรับตัวของผู้ตรวจสอบภายใน ด้วยกรอบการทำงานนี้ ผู้ตรวจสอบภายในสามารถเริ่มต้นการเดินทาง เพื่อเป็นส่วนสำคัญในการสร้างความเชื่อมั่นให้กับองค์กร ในยุคที่ขับเคลื่อนด้วยปัญญาประดิษฐ์ได้อย่างมั่นคงและมีประสิทธิภาพ

สวัสดีครับ สำหรับโพสต์นี้เรามาต่อกันในตอนที่ 3 ซึ่งเป็นแก่นสำคัญของ AI Auditing Framework เนื้อหาค่อนข้างยาวและมีหลายประเด็นสำคัญ ดังนั้นผมจะแบ่งออกเป็น 2 ตอนย่อย เพื่อให้ผู้อ่านสามารถติดตามและทำความเข้าใจได้อย่างลึกซึ้งนะครับ

ตอนที่ 3: กรอบการตรวจสอบ AI: การกำกับดูแลและการจัดการ (ตอนที่ 1)

The IIA’s AI Auditing Framework ฉบับแรกได้เผยแพร่ในปี 2017 โดยมีจุดประสงค์เพื่อให้ผู้ตรวจสอบภายในมีแนวทางในการให้บริการที่ปรึกษาและให้ความเชื่อมั่นด้าน AI อย่างเป็นระบบและมีระเบียบวินัย ส่วนฉบับปรับปรุงนี้ได้นำเสนอเนื้อหาที่ทันสมัยยิ่งขึ้น พร้อมตัวอย่างจากสภาพแวดล้อม AI ในปัจจุบัน และให้รายละเอียดเพิ่มเติมเพื่อช่วยผู้ตรวจสอบภายในทั้งในบทบาทที่ปรึกษาและผู้ให้ความเชื่อมั่น

กรอบการทำงานนี้มี 3 ส่วนหลัก (Domains):

1. การกำกับดูแล (Governance)
2. การจัดการ (Management)
3. การตรวจสอบภายใน (Internal Audit)

กรอบการทำงานนี้เชื่อมโยงกับ The IIA’s Three Lines Model โดยที่ องค์กรที่กำกับดูแล (Governing Body) (Governance) จะกำกับดูแล ฝ่ายบริหาร (Management) (First and Second Lines) ในขณะที่บทบาทของ การตรวจสอบภายใน (Internal Audit) จะครอบคลุมอยู่ในส่วนที่สาม ซึ่งรวมถึงทั้งการให้ความเชื่อมั่นที่เป็นอิสระ (Third Line) และกิจกรรมการให้คำปรึกษา

วัตถุประสงค์หลักของกรอบการทำงานนี้คือการเสริมสร้างความรู้พื้นฐานที่จำเป็นเกี่ยวกับ AI ให้แก่ผู้ตรวจสอบภายใน เพื่อให้สามารถรับใช้องค์กรได้ใน 2 บทบาท:

1. ที่ปรึกษา: ให้คำปรึกษาแก่ฝ่ายบริหารเกี่ยวกับแนวทางโดยรวมในการจัดการ, ดำเนินการ และติดตาม AI
2. ผู้ให้ความเชื่อมั่น: ตรวจสอบกระบวนการและการควบคุมที่ฝ่ายบริหารได้จัดตั้งขึ้นเพื่อจัดการ, ดำเนินการ และติดตาม AI

ระดับความพร้อมขององค์กรในการนำ AI มาใช้งาน (Organizational maturity of AI) จะมีผลต่อการใช้งานผู้ตรวจสอบภายใน ตัวอย่างเช่น องค์กรที่ยังไม่พร้อมด้าน AI อาจต้องการให้ผู้ตรวจสอบภายในทำหน้าที่เป็นที่ปรึกษาในขั้นตอนการสำรวจ AI ในช่วงแรก ในขณะที่องค์กรที่มีความพร้อมมากกว่า มักจะใช้ผู้ตรวจสอบภายในเพื่อจัดกิจกรรมการให้ความเชื่อมั่น เช่น การประเมินประสิทธิภาพของกระบวนการและการควบคุมภายในที่จัดตั้งขึ้น เพื่อให้ปฏิบัติหน้าที่ทั้งสองได้สำเร็จ ผู้ตรวจสอบภายในจำเป็นต้องมีความเข้าใจอย่างถ่องแท้ว่า ควรจัดการ AI อย่างไร และองค์กรกำลังจัดการอยู่แล้วอย่างไร

ส่วนที่ 1: การกำกับดูแล (Governance)

การกำกับดูแล AI หมายถึงโครงสร้าง, กระบวนการ, และขั้นตอนการปฏิบัติงานที่ถูกนำมาใช้เพื่อชี้นำ, จัดการ, และติดตามกิจกรรม AI ขององค์กร รวมถึงการช่วยให้แน่ใจว่ากิจกรรม, การตัดสินใจ และการดำเนินการด้าน AI สอดคล้องกับค่านิยมขององค์กร รวมถึงความรับผิดชอบทางจริยธรรม, สังคม และกฎหมาย นอกจากนี้ยังรวมถึงการกำกับดูแลเพื่อให้แน่ใจว่าพนักงานที่มีหน้าที่รับผิดชอบด้าน AI มีทักษะและความเชี่ยวชาญที่จำเป็น

ดังที่สะท้อนใน Three Lines Model การตรวจสอบภายในทำหน้าที่เป็น “Third Line” โดยให้ความเชื่อมั่นที่เป็นอิสระและเป็นกลางต่อความถูกต้องของการควบคุมภายในที่องค์กรใช้ในการจัดการความเสี่ยง รวมถึงทุกแง่มุมของ AI ผู้ตรวจสอบภายในสามารถให้บริการที่ปรึกษาด้าน AI แก่องค์กรได้ แต่จากมุมมองด้านการกำกับดูแลแล้ว คณะกรรมการกำกับดูแลจะพึ่งพากิจกรรมการให้ความเชื่อมั่นที่จัดทำโดยการตรวจสอบภายในเป็นอย่างมาก เพื่อทำความเข้าใจประสิทธิภาพการดำเนินงานขององค์กรได้ดียิ่งขึ้น

การกำกับดูแล AI เป็นสิ่งสำคัญอย่างยิ่ง สองบทบาทที่สำคัญที่สุดของการกำกับดูแลคือการประเมินว่าองค์กรจัดการการดำเนินงานด้าน AI ได้ดีเพียงใด และเป้าหมายและวัตถุประสงค์เชิงกลยุทธ์ของ AI ขององค์กรบรรลุผลในลักษณะที่สอดคล้องกับค่านิยมที่กำหนดไว้หรือไม่ แม้จะมีความเสี่ยงเฉพาะทางด้าน AI จำนวนมากตามที่ได้นำเสนอไปในส่วนก่อนหน้า แต่ข้อพิจารณาหลักประการหนึ่งคือการกำกับดูแลเพื่อให้แน่ใจว่า AI ถูกนำไปใช้ในลักษณะที่จะไม่ก่อให้เกิดอันตราย

กลยุทธ์ (Strategy)

แผนกลยุทธ์ช่วยให้องค์กรชี้แจงและสื่อสารทิศทางและวิสัยทัศน์ที่จำเป็นต่อการบรรลุเป้าหมาย เช่นเดียวกับกลยุทธ์ AI กลยุทธ์ AI ของแต่ละองค์กรควรมีความเป็นเอกลักษณ์ โดยพิจารณาจากแนวทางในการใช้ประโยชน์จากโอกาสที่ AI มอบให้ พร้อมทั้งคำนึงถึงสถานการณ์เฉพาะขององค์กร เช่น รายละเอียดของบริการเทคโนโลยีในปัจจุบัน หรือโครงการริเริ่มการกำกับดูแลข้อมูลที่กำลังดำเนินอยู่ แนวทางการวางแผนกลยุทธ์ AI ที่รอบคอบและเป็นระบบจะช่วยสนับสนุนความสามารถขององค์กรในการมุ่งเน้นทรัพยากร และส่งเสริมการทำงานร่วมกันในหมู่พนักงานทุกคนพร้อมทั้งลดความเสี่ยงที่อาจเกิดขึ้น

ข้อควรจำที่สำคัญ 2 ประการ:

1. การวางแผนกลยุทธ์ AI ไม่ใช่เหตุการณ์ที่เกิดขึ้นครั้งเดียว แต่เป็นกระบวนการซ้ำไปซ้ำมาที่ควรดำเนินการเป็นระยะ ผู้ตรวจสอบภายในควรทำงานร่วมกับฝ่ายบริหารเพื่อกำหนดตารางเวลาสำหรับการทบทวนกลยุทธ์ AI
2. กลยุทธ์ AI ไม่ควรวางแผนอย่างโดดเดี่ยว เมื่อพิจารณาจากแหล่งข้อมูลและกรณีการใช้งานที่หลากหลาย กลยุทธ์ AI ขององค์กรควรเป็นแบบข้ามสายงาน (Cross-functional) ด้วยความสำคัญที่เพิ่มขึ้นของ AI การมีส่วนร่วมและการกำกับดูแลในระดับคณะกรรมการจึงน่าจะเกิดขึ้น เนื่องจาก AI มีศักยภาพที่จะเปลี่ยนแปลงหรือปรับเปลี่ยนกลยุทธ์ทางธุรกิจได้อย่างมาก

การจัดการกับประเด็นเหล่านี้จะช่วยให้แน่ใจว่าโครงการริเริ่มด้าน AI สนับสนุนวัตถุประสงค์โดยรวมขององค์กร และสอดคล้องกับค่านิยมที่ระบุไว้ การกำหนดเป้าหมายสำหรับ AI ช่วยให้องค์กรสามารถกำหนดข้อพิจารณาเชิงกลยุทธ์ที่สำคัญ รวมถึงคำตอบสำหรับคำถามพื้นฐาน เช่น “ทำไมเราถึงใช้ AI?” และ “เรากำลังพยายามบรรลุอะไร?” เป้าหมายของ AI ควรได้รับการพัฒนาเหมือนกับเป้าหมาย “SMART” อื่น ๆ ขององค์กร ได้แก่ Specific (จำเพาะเจาะจง), Measurable (วัดผลได้), Achievable (บรรลุผลได้), Relevant (เกี่ยวข้อง), และ Time-based (มีกรอบเวลา) เพื่อหลีกเลี่ยงการนำเครื่องมือและบริการ AI มาใช้โดยไม่มีขอบเขตที่ชัดเจนว่าองค์กรใช้ไปเพื่อเหตุผลใด

ทัศนคติและแนวทางโดยรวมขององค์กรต่อความเสี่ยงและการจัดการความเสี่ยงควรเป็นข้อพิจารณาหลักในการพัฒนาหรือปรับปรุงแผนและเป้าหมายเชิงกลยุทธ์ของ AI การมีทัศนคติที่ยอมรับความเสี่ยงที่สูงขึ้นในการบรรลุเป้าหมาย AI อาจไม่เหมาะสมสำหรับองค์กรที่ไม่ยอมรับความเสี่ยงในด้านอื่น ๆ ในขณะที่องค์กรที่มีความอดทนต่อความเสี่ยงสูงในอดีตอาจเต็มใจที่จะยอมรับความเสี่ยงที่เกี่ยวข้องกับ AI มากขึ้น อย่างไรก็ตาม ไม่ว่าองค์กรจะมีความอดทนต่อความเสี่ยงในระดับใด การรับรู้และจัดทำแผนที่ความเสี่ยง AI ระหว่างการวางแผนเชิงกลยุทธ์ด้าน AI ก็เป็นสิ่งจำเป็น

การจัดการ (Management) – First and Second Lines

ในการพัฒนากลยุทธ์ AI ฝ่ายบริหารมีหน้าที่รับผิดชอบในการตรวจสอบให้แน่ใจว่า การควบคุมภายในได้รับการออกแบบอย่างเหมาะสม และทำงานได้อย่างมีประสิทธิภาพเพื่อลดความเสี่ยง การควบคุมภายในที่มีประสิทธิภาพถือเป็นข้อกำหนดที่สำคัญของ AI ซึ่งหลายองค์กรมีการทดสอบและรายงานผลการควบคุมด้านไอทีเป็นรายไตรมาส และ/หรือรายปี ฝ่ายบริหารควรตระหนักถึงปัญหาการควบคุมภายในที่อาจส่งผลกระทบต่อการใช้ AI โดยเฉพาะอย่างยิ่งในพื้นที่ของสภาพแวดล้อมการควบคุมภายในที่ได้รับการประเมินอยู่แล้ว เช่น:

• ความสมบูรณ์ของการจัดการข้อมูล (Data Integrity and Data Governance)
• การเข้าถึงของผู้ใช้งาน (User Access)
• ความมั่นคงปลอดภัยทางไซเบอร์ (Cybersecurity)
• วงจรการพัฒนาระบบ (System Development Life Cycle)
• การจัดการการเปลี่ยนแปลง (Change Management)
• การควบคุมการสำรองข้อมูล/การกู้คืนข้อมูล (Back-up/Recovery Controls)

COBIT และ COSO เป็นตัวอย่างของกรอบการควบคุมภายในที่องค์กรสามารถใช้เพื่อช่วยในการวางแนวทาง และประเมินสภาพแวดล้อมการควบคุมภายในได้

การจัดการระดับ First Line

ภาวะผู้นำ การกำหนดบทบาทและหน้าที่ความรับผิดชอบที่เกี่ยวข้องกับโครงการริเริ่มด้าน AI จะช่วยให้องค์กรสามารถกำหนดทรัพยากรที่จำเป็นต่อการดำเนินงานได้อย่างมีประสิทธิภาพ การระบุผู้บริหารระดับสูงที่เป็นเจ้าของโครงการ พร้อมทั้งรับฟังความคิดเห็นจากสมาชิกคนอื่น ๆ ในกลุ่ม C-suite จะช่วยให้แน่ใจว่ามีการรับผิดชอบ

การจัดตั้ง ทีมผู้นำ AI (AI Leadership Team) ซึ่งประกอบด้วยสมาชิกจากหลากหลายสายงาน เป็นอีกวิธีที่องค์กรสามารถใช้เพื่อติดตามและสื่อสารโครงการริเริ่มด้าน AI และสนับสนุนความรับผิดชอบได้ ทีมดังกล่าวควรประกอบด้วย:

• ผู้จัดการด้าน AI และ/หรือวิทยาศาสตร์ข้อมูล
• CISO ขององค์กร
• บุคลากรไอทีที่สำคัญ
• ฝ่ายกฎหมาย (เพื่อให้คำแนะนำเกี่ยวกับข้อพิจารณาด้านกฎระเบียบ)
• ฝ่ายการเงิน/บัญชีเพื่อติดตามต้นทุนและผลตอบแทนจากการลงทุนของโครงการ AI
• การบริหารความเสี่ยง
• การปฏิบัติตามกฎระเบียบ

การตรวจสอบภายใน ซึ่งมีความรู้ที่กว้างขวางเกี่ยวกับองค์กร อยู่ในตำแหน่งที่เหมาะสมอย่างยิ่งที่จะทำหน้าที่เป็นที่ปรึกษาเพื่อสนับสนุนโครงการริเริ่มด้าน AI และควรได้รับการพิจารณาให้เป็นสมาชิกของทีมผู้นำ AI ด้วย อย่างไรก็ตาม การมีส่วนร่วมของการตรวจสอบภายในควรมีโครงสร้างที่ชัดเจนเพื่อให้แน่ใจว่าความเป็นอิสระในฐานะผู้ให้ความเชื่อมั่นจะไม่ถูกกระทบ

กระบวนการวางแผนที่รอบคอบจะช่วยสนับสนุนองค์กรเมื่อดำเนินโครงการ AI พนักงานที่เกี่ยวข้องกับการดำเนินโครงการจำเป็นต้องตระหนักถึงความเสี่ยงที่สำคัญที่สุด รวมถึงผลลัพธ์ที่ไม่พึงประสงค์ การเน้นย้ำและทำให้แน่ใจว่าการดำเนินโครงการในแต่ละวันมีความตระหนักรู้เกี่ยวกับแง่มุมทางสังคม, จริยธรรม, สิ่งแวดล้อม และเศรษฐกิจเป็นสิ่งสำคัญ นอกจากนี้ การส่งเสริมสภาพแวดล้อมที่กระตุ้นให้พนักงานเปิดเผยหารือเกี่ยวกับความคิดเห็นและข้อกังวลที่เกี่ยวข้องกับโครงการริเริ่มด้าน AI สามารถช่วยสร้างวัฒนธรรมของความโปร่งใส, การตระหนักรู้ และความรับผิดชอบร่วมกันเพื่อสนับสนุนโครงการ AI ที่มีความทะเยอทะยานได้

นโยบายและขั้นตอนการปฏิบัติงาน – การใช้งานภายในและแอปพลิเคชันทางธุรกิจ

การกำหนด, การนำมาใช้ และการเผยแพร่นโยบายและขั้นตอนการปฏิบัติงานขององค์กรที่เข้มงวดเกี่ยวกับการใช้ AI ภายในองค์กร เป็นอีกแง่มุมที่สำคัญของกลยุทธ์ AI ขององค์กร นโยบายและขั้นตอนการปฏิบัติงานที่ชัดเจนให้แนวทางแก่พนักงานที่เกี่ยวข้องโดยตรงกับโครงการริเริ่มด้าน AI และพนักงานที่อาจใช้ AI เป็นส่วนหนึ่งของความรับผิดชอบในงานประจำวัน

การพัฒนานโยบายการใช้งาน AI ที่ยอมรับได้ (AI acceptable use policy) ควรเป็นลำดับความสำคัญสูงสุดขององค์กร ควรครอบคลุมแง่มุมของแนวทางปฏิบัติที่ดีที่สุดด้านความมั่นคงทางไซเบอร์, ทรัพย์สินทางปัญญา/ข้อพิจารณาทางกฎหมาย และความเสี่ยงที่เกี่ยวข้องกับเครื่องมือ AI ต่าง ๆ นโยบายควรได้รับการเสริมด้วยกระบวนการที่มีการบันทึกไว้ซึ่งผู้ใช้ต้องปฏิบัติตามเมื่อร้องขอการใช้ AI การใช้กระบวนการอนุมัติที่เป็นทางการสำหรับการใช้ AI จะช่วยสนับสนุนความพยายามขององค์กรในการรักษารายการข้อมูลของผู้ใช้หรือแผนกที่ใช้ AI ด้วย

นโยบายและขั้นตอนการปฏิบัติงานที่ชี้แจงแนวทางและข้อคาดหวังที่ใช้ในการพัฒนา, การนำไปใช้งาน และการติดตามโครงการริเริ่มด้าน AI จะทำให้กระบวนการเป็นทางการมากขึ้น พวกเขาให้พื้นฐานในการตรวจสอบว่า โครงการถูกดำเนินการในลักษณะที่สอดคล้องกับนโยบายที่ได้รับอนุมัติ, จริยธรรม และวัฒนธรรมความเสี่ยงโดยรวมขององค์กรหรือไม่ ผู้ตรวจสอบภายในอยู่ในตำแหน่งที่เหมาะสมอย่างยิ่งที่จะให้ข้อเสนอแนะในทันทีเกี่ยวกับเรื่องนี้ เนื่องจากมีความรู้และประสบการณ์ในการให้ความเชื่อมั่นในเรื่องนโยบายและขั้นตอนการปฏิบัติงานที่สำคัญ ในหลายกรณี นโยบายและขั้นตอนการปฏิบัติงานที่มีอยู่แล้ว อาจเป็นจุดเริ่มต้นในการใช้มาตรการที่มีประสิทธิผลพอสมควร เพื่อลดความเสี่ยงที่เกิดจากการพัฒนา AI ตัวอย่างเช่น ระบบ AI ที่อยู่ระหว่างการพัฒนาอาจอยู่ภายใต้กระบวนการควบคุมวงจรการพัฒนาระบบ (SDLC) หรือการจัดการการเปลี่ยนแปลงที่มีอยู่แล้ว เมื่อเวลาผ่านไปและองค์กรมีการยกระดับกรณีการใช้งาน AI ที่มากขึ้น ก็จำเป็นต้องพิจารณาการควบคุมที่ใหม่กว่าหรือมีความพร้อมมากกว่าอย่างแน่นอน

ดังนั้น นโยบายและขั้นตอนการปฏิบัติงานที่ชี้แจงข้อคาดหวัง และแนวทางสำหรับบุคคลที่สามที่เกี่ยวข้องกับโครงการริเริ่มด้าน AI ก็เป็นสิ่งสำคัญเช่นกัน การประสานงานระหว่างทีมที่จัดการ AI และกลุ่มขององค์กรที่จัดการความสัมพันธ์กับบุคคลที่สาม (เช่น ฝ่ายกฎหมาย) จะส่งเสริมความสัมพันธ์กับผู้ขาย AI ที่สอดคล้องกัน เนื่องจากบุคคลที่สามเป็นส่วนเสริมของกระบวนการขององค์กร การทำความเข้าใจสภาพแวดล้อมการควบคุมของผู้ขายจึงเป็นสิ่งสำคัญยิ่ง หากมีรายงาน SOC (Service Organization Company) ของผู้ขาย AI ฝ่ายบริหารควรจัดหามาเพื่อทำความเข้าใจกระบวนการควบคุมของพวกเขา และตระหนักถึงข้อกังวลใด ๆ เช่น ข้อค้นพบจากการตรวจสอบ การใช้บุคคลที่สามที่เกี่ยวข้องกับการพัฒนาความสามารถของ AI หรือการสนับสนุนอย่างต่อเนื่องในโครงการริเริ่มด้าน AI ควรได้รับการกำหนดและติดตามอย่างชัดเจน รวมถึง SLA ที่มี “สิทธิ์ในการตรวจสอบ” ด้วย

เมื่อนโยบายและขั้นตอนการปฏิบัติงานเหล่านี้ได้รับการกำหนดแล้ว องค์กรสามารถส่งเสริมการมีส่วนร่วมของพนักงานจากหลากหลายสายงาน ด้วยการแบ่งปันเอกสารนโยบายองค์กรที่ร่างขึ้น เช่น นโยบายการใช้งานที่ยอมรับได้ไปยังพนักงานทุกคน และเปิดรับความคิดเห็นในช่วงเวลาที่กำหนด องค์กรควรวางแผนทรัพยากรที่จำเป็น สำหรับการฝึกอบรมพนักงานเกี่ยวกับนโยบายใหม่เหล่านี้ เพื่อให้แน่ใจว่าพนักงานพร้อมที่จะนำไปใช้และปฏิบัติตามบทบาท, การควบคุม และความรับผิดชอบที่กำหนดขึ้นใหม่เกี่ยวกับการใช้ AI

ในตอนต่อไป เราจะเจาะลึกถึงการบริหารจัดการความเสี่ยงด้าน AI ในระดับ First and Second Lines, การระบุความเสี่ยง และความท้าทายของ “กล่องดำ (Black Box)” ของ AI ที่เป็นเอกลักษณ์เฉพาะตัว โปรดติดตามครับ

ตอนที่ 2: เริ่มต้นการตรวจสอบ AI: แนวทางปฏิบัติสำหรับผู้ตรวจสอบภายใน

ในขณะที่องค์กรต่าง ๆ ยังคงนำ AI ไปใช้งานในรูปแบบที่หลากหลายอย่างต่อเนื่อง ผู้ตรวจสอบภายในต้องมีบทบาทเชิงรุกและทำงานร่วมกับฝ่ายบริหารอย่างใกล้ชิด เพื่อทำความเข้าใจกลยุทธ์โดยรวมขององค์กรเกี่ยวกับ AI, วิธีการใช้งานในปัจจุบัน และแผนการใช้งานในอนาคต โดยเฉพาะอย่างยิ่งในระหว่างกระบวนการวางแผน ผู้ตรวจสอบภายในควรเริ่มต้นด้วยการค้นคว้าและรวบรวมข้อมูลที่เกี่ยวข้องกับการใช้งาน AI ที่อยู่ระหว่างการตรวจสอบจากแหล่งข้อมูลทั้งภายในและภายนอก

การรวบรวมข้อมูล: แหล่งข้อมูลภายในและภายนอก

ข้อมูลภายในองค์กรที่สำคัญสามารถรวมถึง:

• นโยบายและขั้นตอนการปฏิบัติงาน: เอกสารที่อ้างอิงถึง AI ซึ่งสามารถรวบรวมและตรวจสอบเพื่อทำความเข้าใจกระบวนการขององค์กรได้ดียิ่งขึ้น
• แผนยุทธศาสตร์: เอกสารที่บันทึกไว้เกี่ยวกับโครงการริเริ่มเชิงกลยุทธ์หรือแผนกลยุทธ์ขององค์กร รวมถึงส่วนที่เกี่ยวข้องกับ AI
• รายงานคณะกรรมการล่าสุด: รายงานที่มีวิสัยทัศน์และข้อมูลว่าผู้นำและคณะกรรมการหารือเกี่ยวกับเรื่องการใช้ AI และความเสี่ยงที่เกี่ยวข้องอย่างไร
• ข้อมูลที่ได้รับจากการประชุมประเมินความเสี่ยงอย่างต่อเนื่อง: ข้อมูลที่ได้จากผู้มีส่วนได้ส่วนเสีย

ทรัพยากรภายนอก: ทรัพยากรภายนอกสามารถให้ข้อมูลอ้างอิงเพิ่มเติมในขณะที่ผู้ตรวจสอบภายในเริ่มทบทวนกลยุทธ์ AI ขององค์กรได้ ซึ่งรวมถึง:

• The IIA’s three-part Global Perspectives & Insights: The Artificial Intelligence Revolution
• The IIA’s Artificial Intelligence 101 Series
• The IIA’s Analytics, Automation, and AI Virtual Conference
• เอกสารการตรวจสอบด้านไอทีและความมั่นคงทางไซเบอร์ เช่น The IIA’s Certificates on Auditing the Cybersecurity Program และ IT General Controls
• The IIA’s Practice Guides และ Global Technology Audit Guides (GTAGs)
• NIST’s AI Risk Management Framework (AI RMF 1.0)
• National Cybersecurity Centre’s Guidelines for Secure AI System Development
• White House’s AI executive order of October 2023
• IBM’s AI governance eBook

การควบคุมระดับองค์กร: การปฏิบัติงานและกลยุทธ์

เมื่อผู้ตรวจสอบมีความพร้อมด้วยทรัพยากรเหล่านี้แล้ว การตั้งคำถามว่า “องค์กรกำลังใช้ AI อย่างไร?” ถือเป็นคำถามเริ่มต้นที่เรียบง่ายแต่มีประสิทธิภาพในการรวบรวมข้อมูล คำตอบของคำถามนี้มักจะต้องสอบถามจากหลายบุคคลหรือหลายแผนก เนื่องจากองค์กรจำนวนมากยังไม่มีการจัดการ AI แบบรวมศูนย์ หรือยังไม่มีนโยบาย, ขั้นตอนการปฏิบัติงาน, หรือกลยุทธ์ที่ชัดเจนเกี่ยวกับการใช้งาน AI ที่ยอมรับได้

สำหรับองค์กรที่มีการพัฒนาและนำ AI มาใช้งานแล้ว ผู้ตรวจสอบภายในควรพูดคุยกับทีม AI หรือทีมวิทยาศาสตร์ข้อมูล (Data Science) การพูดคุยควรครอบคลุมถึงการขอให้พวกเขาอธิบายว่ามีการใช้ AI หรืออัลกอริทึมใดบ้าง รวมถึงหน้าที่การทำงาน, แหล่งข้อมูลที่ใช้, การนำไปใช้, ข้อจำกัด, ความเสี่ยง และผลกระทบทางจริยธรรม นอกจากนี้ ผู้ตรวจสอบภายใน ควรเริ่มทำความเข้าใจว่ามีการควบคุมใดบ้างที่ใช้เพื่อจัดการความเสี่ยงจาก AI หรือหากฝ่ายบริหารได้นำการควบคุมใหม่ ๆ มาใช้เพื่อการใช้งานและการนำระบบ AI ไปปฏิบัติ การทำความเข้าใจเบื้องต้นเกี่ยวกับการออกแบบการควบคุมเหล่านี้ถือเป็นขั้นตอนสำคัญที่สามารถทำควบคู่ไปกับการหารือเบื้องต้นเหล่านี้ได้

สำหรับองค์กรที่ยังไม่แน่ชัดว่ามีการใช้ AI อย่างเป็นทางการหรือไม่ แผนกไอทีถือเป็นจุดเริ่มต้นที่ดี เนื่องจากผู้นำด้านเทคโนโลยีมักจะทดลองและใช้ AI ในแผนกของตนเองมากกว่า หากไอทียืนยันว่ามีการใช้ AI หรือหากการสอบถามเบื้องต้นพบว่ามีการใช้ AI ในองค์กร คำถามถัดไปที่ควรจะถามคือ “มีการใช้ AI ในระดับใด?”

แม้ว่าการสนทนากับทีม AI/ทีมวิทยาศาสตร์ข้อมูล หรือฝ่ายบริหารไอทีจะเป็นขั้นตอนแรกที่ดี แต่การหารือไม่ควรจำกัดอยู่แค่กลุ่มเหล่านั้น จากการหารือเบื้องต้นนี้ ผู้ตรวจสอบภายในอาจทราบว่าแผนกอื่น ๆ หรือผู้ใช้รายบุคคลกำลังใช้ AI สำหรับหน้าที่เฉพาะของตน ซึ่งจำเป็นต้องมีการพูดคุยเพิ่มเติม ควรทำงานร่วมกับฝ่ายบริหารเพื่อจัดทำหรือทบทวนรายการข้อมูล (Inventory) ที่ระบุว่าแผนกใดบ้างที่กำลังใช้ AI อยู่ในปัจจุบัน และควรปรับปรุงรายการนี้บ่อยครั้ง รายการควรมีข้อมูลสำคัญอื่น ๆ เช่น เป้าหมายหรือวัตถุประสงค์ของ AI, ผู้ใช้งาน, ผู้จัดการ, เครื่องมือ AI ที่ใช้, ข้อควรพิจารณาด้านความเสี่ยง และผู้ที่กำกับดูแล กระบวนการทบทวนหรือการทำงานร่วมกับฝ่ายบริหารเพื่อพัฒนาข้อมูลรายการ AI ยังสามารถทำได้ระหว่างกระบวนการประเมินความเสี่ยงประจำปี

ผู้ตรวจสอบภายในส่วนใหญ่ทำงานอย่างใกล้ชิดกับผู้บริหารระดับสูง เช่น ประธานเจ้าหน้าที่ฝ่ายการเงิน (CFO), ประธานเจ้าหน้าที่ฝ่ายความมั่นคงสารสนเทศ (CISO) หรือประธานเจ้าหน้าที่ฝ่ายสารสนเทศ (CIO) ซึ่งความสัมพันธ์ทางวิชาชีพเหล่านี้จะเป็นโอกาสที่ดีสำหรับการพูดคุยเรื่อง AI คำถามสำคัญที่ผู้ตรวจสอบภายในสามารถถามผู้บริหารได้แก่:

• “องค์กรได้กำหนดกลยุทธ์ AI แล้วหรือไม่? ถ้ามี รายละเอียดของกลยุทธ์นั้นคืออะไร (รวมถึงการใช้ AI เพื่อเพิ่มประสิทธิภาพการดำเนินงานหรือลดต้นทุน)?”
• “ผู้บริหารระดับสูงได้กำหนดแล้วหรือยังว่าใครเป็นผู้รับผิดชอบในการจัดการความเสี่ยงที่เกี่ยวข้องกับ AI?”
• “ผู้บริหารระดับสูงมีบทบาทอย่างไรในการประสานงานกับคณะกรรมการบริหาร (หรือเทียบเท่า) เพื่อพิจารณาการกำกับดูแล AI?”

เมื่อทำตามขั้นตอนเหล่านี้แล้ว ผู้ตรวจสอบภายในจะ:

• ได้ค้นคว้าข้อมูลเกี่ยวกับ AI ในองค์กรและทบทวนทรัพยากรภายนอก
• ได้พูดคุยเบื้องต้นเกี่ยวกับ AI กับฝ่ายบริหาร รวมถึงทีม AI/ทีมวิทยาศาสตร์ข้อมูล หรือฝ่ายบริหารไอที และทีมผู้นำระดับผู้บริหาร
• ได้ทำงานร่วมกับฝ่ายบริหารในการทบทวนหรือจัดทำรายการข้อมูลเพื่อรวบรวมว่า AI ถูกนำไปใช้อย่างไร (หรือวางแผนจะใช้อย่างไรในอนาคต)
• ได้เริ่มต้นทำความเข้าใจว่ามีการกำกับดูแล AI ในองค์กรอย่างไร

การทำภารกิจทั้งสี่นี้จะแสดงให้เห็นว่าการตรวจสอบภายในได้ดำเนินการตามขั้นตอนแรกในการสร้างความรู้พื้นฐานเกี่ยวกับ AI ในองค์กรแล้ว และยังเป็นโอกาสที่ผู้ตรวจสอบภายในจะสามารถนำเสนอข้อสังเกตที่ต้องสื่อสารกับฝ่ายบริหารอย่างทันท่วงทีอีกด้วย

ข้อมูล (Data)

หลังจากที่ผู้ตรวจสอบภายในมีความเข้าใจพื้นฐานว่า AI ถูกนำไปใช้อย่างไรแล้ว พวกเขาควรพัฒนาความรู้เกี่ยวกับการใช้ AI ภายในองค์กรให้แข็งแกร่งยิ่งขึ้น เนื่องจากอัลกอริทึมที่ขับเคลื่อน AI ต้องพึ่งพาข้อมูลปริมาณมหาศาล (หรือที่เรียกว่า “Big Data”) ดังนั้น การระบุว่าข้อมูลขององค์กรใดถูกใช้ในแอปพลิเคชัน AI และมีการจัดการข้อมูลนั้นอย่างไรจึงเป็นเรื่องสำคัญอย่างยิ่ง

อัลกอริทึมคือชุดของกฎที่ AI ต้องปฏิบัติตาม ซึ่งทำให้เครื่องจักรสามารถประมวลผลข้อมูลจำนวนมหาศาลได้อย่างรวดเร็ว ซึ่งมนุษย์ไม่สามารถทำได้ด้วยความง่ายและความเร็วเท่ากัน เมื่อพิจารณาจากความสามารถของ AI ในการรับและตอบสนองต่อชุดข้อมูลที่หลากหลายจำนวนมากแล้ว สถาปัตยกรรม, ประสิทธิภาพ, และความถูกต้องของอัลกอริทึมที่เกี่ยวข้องจึงเป็นสิ่งสำคัญอย่างยิ่ง

อัลกอริทึมถูกพัฒนาโดยมนุษย์ในขั้นต้น ดังนั้นความผิดพลาดและความลำเอียงของมนุษย์ (ทั้งโดยตั้งใจและไม่ได้ตั้งใจ) อาจส่งผลกระทบต่อประสิทธิภาพของอัลกอริทึมได้ ซึ่งในตอนที่ 3 จะให้รายละเอียดเพิ่มเติมเกี่ยวกับความเสี่ยงที่เกี่ยวข้องกับข้อผิดพลาดและความลำเอียงของอัลกอริทึม

นอกเหนือจาก AI องค์กรหลายแห่งมีกลยุทธ์ในการรวบรวม, จัดเก็บ, ใช้งาน, จัดการ และปกป้องข้อมูลอยู่แล้ว AI ก็เช่นเดียวกับแอปพลิเคชันที่ขับเคลื่อนด้วยข้อมูลอื่น ๆ ที่มีแง่มุมที่สำคัญเกี่ยวกับข้อมูลที่เกี่ยวข้องและควรพิจารณา ซึ่งรวมถึงความสมบูรณ์, ความเป็นส่วนตัว, การรักษาความลับ, ความถูกต้อง, ความแม่นยำ และความครบถ้วนสมบูรณ์

ข้อมูลขนาดใหญ่ (Big Data) มีความหมายมากกว่าแค่ข้อมูลปริมาณมาก แต่หมายถึงข้อมูลที่มีปริมาณ, ความหลากหลาย, ความเร็ว และความแปรปรวนที่สูงมาก จนองค์กรต้องลงทุนในสถาปัตยกรรมระบบ, เครื่องมือ และแนวทางปฏิบัติที่ออกแบบมาเพื่อจัดการข้อมูลโดยเฉพาะ ข้อมูลจำนวนมากนี้อาจถูกสร้างขึ้นโดยองค์กรเอง ในขณะที่บางส่วนอาจเป็นข้อมูลสาธารณะหรือซื้อมาจากแหล่งภายนอก สำหรับคำแนะนำที่ครอบคลุมเกี่ยวกับการทำความเข้าใจและการตรวจสอบข้อมูลขนาดใหญ่ สามารถดูได้จาก The IIA’s “GTAG: Understanding and Auditing Big Data”

อีกแง่มุมที่สำคัญของการใช้ข้อมูลและแอปพลิเคชัน AI ที่เกี่ยวข้องคือ ข้อมูลนั้นถูกโฮสต์หรือประมวลผลโดยบุคคลภายนอกองค์กรหรือไม่ ผู้ตรวจสอบภายในต้องพิจารณาความเสี่ยงที่เกี่ยวข้องกับธุรกรรมกับบุคคลที่สาม (และสี่) เสมอ เนื่องจากสภาพแวดล้อมการควบคุมภายในของผู้ขายอาจไม่ครอบคลุมเท่ากับสภาพแวดล้อมขององค์กร The IIA’s Practice Guide “Auditing Third-party Risk Management” ให้แนวทางเชิงลึกเกี่ยวกับความเสี่ยงที่เกี่ยวข้องกับการใช้ผู้ขายภายนอก

อีกประเด็นสำคัญของข้อมูลคือ การเข้าถึงของผู้ใช้ การทำความเข้าใจว่าใครสามารถแก้ไขหรือเปลี่ยนแปลงข้อมูลได้เป็นสิ่งสำคัญ เนื่องจากข้อมูลที่ป้อนเข้าย่อมส่งผลกระทบต่อผลลัพธ์ของ AI อย่างแน่นอน การทำความเข้าใจและบันทึกการเข้าถึงของผู้ดูแลระบบสำหรับข้อมูลที่เกี่ยวข้องกับ AI ก็เป็นเรื่องจำเป็น The IIA’s “GTAG: Auditing Identity and Access Management” จะช่วยให้ผู้ตรวจสอบภายในพิจารณาว่าองค์กรมั่นใจได้อย่างไรว่าผู้ใช้มีสิทธิ์เข้าถึงทรัพยากรไอทีที่เหมาะสม

ความมั่นคงปลอดภัยทางไซเบอร์ (Cybersecurity)

ความมั่นคงปลอดภัยทางไซเบอร์ก็ต้องถูกนำมาพิจารณาเช่นกัน เนื่องจากเกี่ยวข้องกับการจำกัดผู้ใช้ที่ไม่ได้รับอนุญาตไม่ให้เข้าถึงข้อมูล และการรับรองความเป็นส่วนตัว, การรักษาความลับ, และการปกป้องข้อมูล การนำ AI มาใช้และวิวัฒนาการของมันกำลังบีบให้องค์กรต้องให้ความสำคัญกับความสามารถในการฟื้นตัวทางไซเบอร์อีกครั้ง เนื่องจาก AI มีพลังมากขึ้น และมีการตัดสินใจที่ถูกส่งต่อให้อัลกอริทึมใหม่ ๆ ที่ซับซ้อนและไม่โปร่งใส การปกป้องระบบเหล่านี้จากแรงภายนอกที่เป็นอันตรายจึงเป็นสิ่งสำคัญต่อความสำเร็จขององค์กร

ผู้ตรวจสอบภายในมักจะเกี่ยวข้องกับการทดสอบประสิทธิภาพของการควบคุมภายในด้านไอที ความคุ้นเคยกับการควบคุมที่เกี่ยวข้องกับความมั่นคงทางไซเบอร์ที่องค์กรได้นำมาใช้ จะช่วยให้ผู้ตรวจสอบภายในสามารถตรวจสอบได้ว่า การควบคุมเดียวกันนี้ถูกนำมาใช้เพื่อปกป้องข้อมูลที่เกี่ยวข้องกับ AI หรือไม่ ตัวอย่างของการควบคุมความมั่นคงทางไซเบอร์ ได้แก่:

• การใช้การเข้ารหัส (Encryption)
• การมีซอฟต์แวร์ป้องกันไวรัส
• การใช้ระบบป้องกัน/ตรวจจับการบุกรุก
• การบันทึกเหตุการณ์ความปลอดภัยของทั้งข้อมูลป้อนเข้าและข้อมูลตอบกลับ
• การทดสอบเจาะระบบ (Penetration Test) เป็นระยะเพื่อหาช่องโหว่เชิงรุก
• การฝึกอบรมพนักงานเกี่ยวกับแนวปฏิบัติที่ดีที่สุดในการตรวจจับและหลีกเลี่ยงการโจมตีแบบฟิชชิง, สมิชชิง หรือแผนการวิศวกรรมทางสังคมอื่น ๆ

สำหรับรายละเอียดเพิ่มเติม สามารถดูได้จาก The IIA’s “GTAG: Auditing Cybersecurity Operations: Prevention and Detection”

ผู้ตรวจสอบภายในจำเป็นต้องระบุว่าข้อมูลที่เกี่ยวข้องกับ AI ถูกจัดเก็บไว้ที่ใด (ภายใน, ภายนอก หรือทั้งสองแห่ง) และพิจารณาว่ามีการควบคุมความมั่นคงปลอดภัยทางไซเบอร์ใดบ้าง หากข้อมูลถูกจัดเก็บภายนอก ควรขอรายงาน Service Organization Company (SOC) เพื่อเรียนรู้เกี่ยวกับสภาพแวดล้อมการควบคุมของผู้ขาย และฝ่ายบริหารควรรับทราบถึงข้อบกพร่องในการควบคุมใด ๆ ที่พบในรายงาน SOC และตรวจสอบให้แน่ใจว่าข้อบกพร่องเหล่านั้นไม่ทำให้ข้อมูลที่เกี่ยวข้องกับ AI ตกอยู่ในความเสี่ยง นอกจากนี้ ข้อตกลงระดับการบริการ (SLAs) กับผู้ขายควรมีข้อความระบุ “สิทธิ์ในการตรวจสอบ” ด้วย

ในตอนต่อไปเราจะเจาะลึกเข้าไปใน “กรอบการตรวจสอบ AI” ซึ่งเป็นแก่นสำคัญของบทความนี้ พร้อมทั้งรายละเอียดเกี่ยวกับการกำกับดูแล (Governance) การจัดการ (Management) และบทบาทของการตรวจสอบภายใน (Internal Audit) กันครับ

อ้างอิง : THE IIA’S Artificial Intelligence Auditing Framework