Governance: ธรรมาภิบาลกับการใช้ AI อย่างมีความรับผิดชอบในงานตรวจสอบ

พ.ค. 5, 2025

สวัสดีครับ ก่อนที่เราจะพูดคุยกันต่อไป ผมขอท้าวความในตอนที่แล้วกันสักนิด เราได้เริ่มต้นปูพื้นฐานเกี่ยวกับการนำ AI (Artificial Intelligence) เข้ามาใช้ในงานตรวจสอบ ทั้งในมุมของการวิเคราะห์ข้อมูล การตรวจจับความผิดปกติ และการลดภาระงานซ้ำซาก ซึ่งช่วยให้ผู้ตรวจสอบสามารถทำงานได้ลึกขึ้นและมีประสิทธิภาพมากขึ้น

อย่างไรก็ตาม การใช้ AI อย่างไร้ทิศทางก็อาจก่อให้เกิดความเสี่ยงได้หากไม่มี กรอบคิดที่ดีในการควบคุม ซึ่งก็คือแนวคิด GRC – Governance, Risk, Compliance ที่เราได้เกริ่นไว้ในตอนก่อน

วันนี้เราจะมาต่อยอดเนื้อหา โดยเจาะลึกที่ตัวแรกของ GRC นั่นคือ Governance หรือ “ธรรมาภิบาล”
คำนี้อาจฟังดูคุ้น แต่เมื่อพูดถึงในบริบทของการใช้ AI โดยเฉพาะในสายงานตรวจสอบ หลายคนอาจยังไม่เคยมองลึกลงไปว่า…

Governance สำคัญอย่างไรกับ AI?
แล้วผู้ตรวจสอบเกี่ยวข้องกับธรรมาภิบาลในเรื่องนี้อย่างไร?

ลองไปสำรวจคำตอบด้วยกันนะครับ

Governance ในความหมายที่มากกว่า “การบริหารจัดการ”

โดยทั่วไป “Governance” คือกรอบการบริหารจัดการที่มุ่งเน้นให้การดำเนินงานขององค์กรเป็นไปอย่างมีประสิทธิภาพ โปร่งใส และสอดคล้องกับเป้าหมายระยะยาว

แต่เมื่อเราพูดถึง AI Governance โดยเฉพาะในบริบทของการตรวจสอบหรือใช้ AI ในองค์กร คำนี้จะหมายถึง

“การกำกับดูแลการพัฒนา การใช้งาน และการควบคุม AI ให้เกิดประโยชน์สูงสุดโดยไม่ละเลยความปลอดภัย ความโปร่งใส และจริยธรรม”

กล่าวอีกอย่างคือ เป็นแนวทางที่ช่วยให้ AI:

  • ไม่เป็นเครื่องมือที่ใช้อย่างไร้การควบคุม
  • ไม่ละเมิดสิทธิของบุคคล
  • ไม่ก่อให้เกิดผลกระทบที่องค์กรคาดไม่ถึง

ทำไมเราต้องมีธรรมาภิบาลกับ AI?

AI ไม่ใช่แค่เครื่องมือที่ทำตามคำสั่ง
แต่มัน “เรียนรู้” และ “ตัดสินใจ” บางอย่างได้เองจากข้อมูลที่ได้รับ ซึ่งอาจส่งผลกระทบในระดับนโยบาย กฎหมาย หรือแม้แต่มนุษย์

ลองนึกภาพระบบ AI ที่ตรวจจับความเสี่ยงทางบัญชี แล้วเกิด “flag” พนักงานบางคนว่ามีพฤติกรรมต้องสงสัย — หากโมเดลที่ใช้ไม่มีความแม่นยำ หรือถูกออกแบบโดยไม่คำนึงถึงบริบท อาจเกิดผลเสียกับชื่อเสียงและความน่าเชื่อถือของบุคคลนั้นได้

ดังนั้น AI Governance จึงเข้ามาช่วยสร้างแนวทาง เช่น:

  • การตั้งคณะทำงานกำกับดูแลการใช้ AI
  • การกำหนดหลักเกณฑ์ในการเก็บ ใช้ และแบ่งปันข้อมูล
  • การสร้างนโยบายการตรวจสอบโมเดล AI ให้เป็นกลาง ไม่เลือกปฏิบัติ
  • การสื่อสารกับ Stakeholders ว่า AI ใช้เพื่ออะไร และมีขอบเขตอย่างไร

บทบาทของผู้ตรวจสอบกับเรื่อง Governance

สำหรับผู้ตรวจสอบ โดยเฉพาะผู้ที่อาจไม่ได้มาจากสาย IT โดยตรง (Non-IT Auditors) บางคนอาจคิดว่าเรื่อง Governance ด้าน AI เป็นเรื่องของฝ่ายเทคโนโลยีอย่างเดียว แต่ความจริงแล้ว ผู้ตรวจสอบมีบทบาทสำคัญไม่น้อยเลยมาดูกันว่าผู้ตรวจสอบมีบทบาทอะไรกันบ้างครับ

1. ตรวจสอบ Framework ของ AI Governance

ผู้ตรวจสอบสามารถเข้าไปดูว่าองค์กรมีการกำกับดูแล AI อย่างเป็นระบบหรือไม่ เช่น มีการกำหนด Roles & Responsibilities อย่างชัดเจนหรือเปล่า? มีการอนุมัติโปรเจกต์ AI ตามระดับความเสี่ยงหรือไม่?

2. ตรวจสอบความโปร่งใสของ AI Model

AI ควรอธิบายการตัดสินใจได้ในระดับหนึ่ง ไม่ใช่ “Black Box” ที่ไม่มีใครรู้ว่าทำไมถึงได้ผลลัพธ์แบบนั้น
Auditor สามารถช่วยตรวจสอบได้ว่าโมเดลที่ใช้สามารถ audit ได้หรือไม่ มี log การทำงานที่ตรวจสอบย้อนหลังได้หรือเปล่า

3. ประเมินความสอดคล้องกับนโยบายองค์กร

เช่น การใช้ AI สอดคล้องกับนโยบายข้อมูลส่วนบุคคล (PDPA) หรือไม่? มีการควบคุมความเสี่ยงเรื่องอคติ (bias) หรือเปล่า?

4. สื่อสารผลกระทบในมุมที่ธุรกิจเข้าใจ

ผู้ตรวจสอบสามารถทำหน้าที่เป็น “สะพาน” เชื่อมระหว่างโลกของเทคโนโลยีและโลกของธุรกิจ ช่วยให้ผู้บริหารเข้าใจว่า Governance ของ AI ส่งผลต่อภาพลักษณ์ ความเสี่ยง และโอกาสขององค์กรอย่างไร

กรณีตัวอย่าง: AI ที่ดี ต้องอธิบายได้

องค์กรแห่งหนึ่งใช้ AI ในการประเมินความน่าเชื่อถือของซัพพลายเออร์ โดยดูจากข้อมูลการส่งของในอดีต คุณภาพสินค้า และรีวิวจากลูกค้า ปรากฏว่าซัพพลายเออร์รายหนึ่งถูกลดระดับความน่าเชื่อถืออย่างมาก โดยที่ไม่มีใครเข้าใจว่าเพราะอะไร เมื่อทีมผู้ตรวจสอบภายในเข้าไปดู พบว่า AI ให้ค่าน้ำหนักกับ “รีวิวเชิงลบ” มากเกินไป โดยไม่สนใจบริบทของช่วงโควิดที่มีปัญหาเรื่องโลจิสติกส์ทั่วทั้งอุตสาหกรรม

จากจุดนี้ทำให้ต้องมีการ:

  • ปรับโมเดล AI ให้มีเหตุผลในการตัดสินใจที่เหมาะสม
  • จัดตั้งคณะทำงานดูแล AI Model
  • เพิ่มหลักเกณฑ์การ review โมเดลแบบรายไตรมาส

สิ่งเหล่านี้เกิดจากการมีระบบ AI Governance ที่ดี และการเข้ามาช่วยเหลือของผู้ตรวจสอบที่เข้าใจธรรมาภิบาลในบริบทของเทคโนโลยี

สรุป Governance ไม่ใช่เพียงคำสวยหรูในเอกสารนโยบาย แต่คือกลไกสำคัญที่จะช่วยให้ AI ถูกใช้ในทิศทางที่สร้างประโยชน์และลดผลกระทบที่ไม่พึงประสงค์ และผู้ตรวจสอบในยุคใหม่ก็มีบทบาทสำคัญในฐานะผู้ช่วย “เฝ้าระวัง” ว่า AI ที่ถูกนำมาใช้ในองค์กรนั้น เป็นไปอย่างรับผิดชอบ โปร่งใส และสามารถตรวจสอบได้

ในตอนต่อไป เราจะเข้าสู่ตัวที่สองของ GRC คือ Risk – ความเสี่ยงที่แฝงอยู่ในการใช้ AI
เราจะไปดูว่าความเสี่ยงของ AI มีอะไรบ้าง และผู้ตรวจสอบจะเข้ามามีบทบาทในการประเมินและควบคุมความเสี่ยงเหล่านี้ได้อย่างไรครับ

Leave a Comment » | AI กับ GRC | ติดป้ายกำกับ: | ลิงก์ถาวร
โพสต์โดย Metha Suvanasarn