top of page

จัดการความเสี่ยง AI (AI Risk) อย่างมีประสิทธิภาพสำหรับองค์กรยุคดิจิทัล


จัดการความเสี่ยง AI (AI Risk) อย่างมีประสิทธิภาพสำหรับองค์กรยุคดิจิทัล
จัดการความเสี่ยง AI (AI Risk) อย่างมีประสิทธิภาพสำหรับองค์กรยุคดิจิทัล

การจัดการความเสี่ยงด้าน AI (AI Risk Management) สำหรับองค์กรยุคดิจิทัล

ในยุคที่เทคโนโลยีปัญญาประดิษฐ์หรือ AI กำลังเปลี่ยนแปลงโลกธุรกิจอย่างรวดเร็ว องค์กรต่างๆ กำลังเผชิญกับความท้าทายใหม่ นั่นคือ การบริหารจัดการความเสี่ยงที่เกิดจาก AI หรือที่เรียกว่า "AI Risk" บทความนี้จะนำเสนอแนวทางการจัดการความเสี่ยงด้าน AI ที่มีประสิทธิภาพตามกรอบมาตรฐานสากล


ความสำคัญของการจัดการความเสี่ยงด้าน AI (AI Risk Management)

เป้าหมายหลักของการจัดการความเสี่ยงด้าน AI คือการลดผลกระทบเชิงลบที่อาจเกิดขึ้นจากการใช้ AI ต่อผู้คน องค์กร และระบบนิเวศโดยรวม นักพัฒนาและผู้ใช้ควรจัดการความเสี่ยงด้าน AI อย่างเชิงรุกตั้งแต่เริ่มต้นกระบวนการพัฒนาและตลอดวงจรชีวิตทั้งหมดของโซลูชัน AI


ปัจจุบันมีกรอบการจัดการความเสี่ยง (Risk Management Framework) ที่เกี่ยวข้องกับ AI หลายรูปแบบ องค์กรควรพิจารณาแนวทางเฉพาะของอุตสาหกรรมหรือประเทศเมื่อเลือกกรอบการจัดการความเสี่ยง หนึ่งในตัวอย่างที่ได้รับการยอมรับคือ กรอบการจัดการความเสี่ยงด้าน AI (AI Risk Management Framework หรือ AI RMF) ของสถาบันมาตรฐานและเทคโนโลยีแห่งชาติสหรัฐอเมริกา (NIST)



กรอบการจัดการความเสี่ยง AI ของ NIST
กรอบการจัดการความเสี่ยง AI ของ NIST

กรอบการจัดการความเสี่ยง AI ของ NIST

กรอบการจัดการความเสี่ยง AI ของ NIST ประกอบด้วยฟังก์ชันหลัก 4 ประการ:


1. การกำกับดูแล (Govern)

การสร้างวัฒนธรรมการจัดการความเสี่ยงที่มีการปลูกฝังและดำเนินการอย่างต่อเนื่อง เป็นศูนย์กลางของการจัดการความเสี่ยง AI ที่มีประสิทธิภาพ

2. การระบุความเสี่ยง (Map)

ในขั้นตอนนี้ บริบทจะถูกระบุและความเสี่ยงที่เกี่ยวข้องกับบริบทจะถูกระบุด้วย เป็นการทำความเข้าใจสภาพแวดล้อมและความเสี่ยงที่อาจเกิดขึ้น

3. การวัดความเสี่ยง (Measure)

ความเสี่ยงที่ระบุจะถูกประเมิน วิเคราะห์ หรือติดตาม เพื่อให้เข้าใจระดับความรุนแรงและความน่าจะเป็นที่จะเกิดขึ้น

4. การจัดการความเสี่ยง (Manage)

ความเสี่ยงจะถูกจัดลำดับความสำคัญและดำเนินการตามผลกระทบที่คาดการณ์ไว้ เพื่อลดโอกาสหรือผลกระทบของความเสี่ยง


ประเภทของภัยคุกคามจาก AI (AI Threat Landscape)

ภัยคุกคามจาก AI ครอบคลุมความเสี่ยง ความท้าทาย และข้อกังวลด้านความปลอดภัย/ความเป็นส่วนตัวที่เกี่ยวข้องกับการพัฒนาและการใช้ AI ภัยคุกคามนี้มีหลายแง่มุมและเกี่ยวข้องกับผู้กระทำภัยคุกคามที่หลากหลายที่พยายามหาประโยชน์จากช่องโหว่ในเทคโนโลยีใหม่ที่มีความสามารถในการประมวลผลแบบทวีคูณ


ตัวอย่างของผู้กระทำภัยคุกคามและสถานการณ์ที่เกี่ยวข้องกับ AI ได้แก่:

1. ภัยคุกคามภายใน (Insider Threats)

พนักงานในองค์กรสามารถใช้ระบบ AI โดยเจตนาหรือไม่เจตนาเพื่อก่อให้เกิดความเสียหายต่อองค์กรได้ เช่น:

  • พนักงานป้อนข้อมูลลับเข้าสู่โซลูชัน AI สาธารณะ

  • พนักงานใช้ AI ภายในองค์กรเพื่อดึงข้อมูลที่มีความอ่อนไหวเพื่อผลประโยชน์ทางการเงิน

2. รัฐชาติ (Nation States)

รัฐชาติอาจใช้ AI เพื่อขับเคลื่อนผลประโยชน์เชิงกลยุทธ์ เช่น การสอดแนม การเซ็นเซอร์ การทำสงคราม เช่น:

  • ประเทศหนึ่งใช้ AI เพื่อการเฝ้าระวัง การเซ็นเซอร์ หรือการติดตามพลเมืองและอาจละเมิดสิทธิของพวกเขา

3. อาชญากรไซเบอร์ (Cybercriminals)

อาชญากรไซเบอร์อาจใช้ AI เพื่อทำให้การโจมตีของตนมีประสิทธิภาพมากขึ้นและยากต่อการตรวจจับ เช่น:

  • อาชญากรไซเบอร์ใช้ระบบ AI เพื่อสร้างอีเมลฟิชชิ่งที่น่าเชื่อถือมากขึ้น

  • อาชญากรไซเบอร์ใช้ AI เพื่อพัฒนามัลแวร์ขั้นสูงเพื่อช่วยในการโจมตีทางไซเบอร์

4. นักพัฒนา AI (AI Developers)

นักพัฒนา AI อาจสร้างโซลูชัน AI ที่ขาดความสอดคล้องกับมาตรฐานจริยธรรมที่ได้รับการยอมรับโดยทั่วไป เช่น:

  • นักพัฒนา AI ของหน่วยงานจัดอันดับเครดิตออกแบบอัลกอริทึมที่มีอคติหรือไม่เป็นธรรม ซึ่งนำไปสู่การปฏิเสธเครดิตโดยไม่มีเหตุผลสำหรับผู้บริโภค


ความเสี่ยงจาก AI (AI Risk)

AI สร้างความเสี่ยงทางเทคโนโลยีและที่เกี่ยวข้องกับมนุษย์ที่ไม่เหมือนใครให้กับองค์กรที่พัฒนาหรือใช้ AI ธรรมชาติของ AI ทำให้การระบุความเสี่ยงเป็นเรื่องยาก เนื่องจากโซลูชัน AI จำนวนมากไม่สามารถอธิบายได้อย่างง่ายดาย นี่คือเหตุผลที่การเข้าใจและจัดการความเสี่ยงตั้งแต่เนิ่นๆ ในกระบวนการมีความสำคัญเพื่อให้แน่ใจว่าผลกระทบเชิงลบจะถูกจำกัดและหลีกเลี่ยงอันตรายต่อผู้คน องค์กร และระบบนิเวศ


อันตรายที่อาจเกิดขึ้นจาก AI
อันตรายที่อาจเกิดขึ้นจาก AI

AI สามารถก่อให้เกิดอันตรายได้ในหลายระดับ:

1. อันตรายต่อผู้คน (Harm to People)

  • ระดับบุคคล - อันตรายต่อเสรีภาพของพลเมือง สิทธิ ความปลอดภัยทางกายภาพหรือจิตใจ หรือโอกาสทางเศรษฐกิจ

  • ระดับกลุ่ม/ชุมชน - อันตรายต่อกลุ่ม เช่น การเลือกปฏิบัติต่อกลุ่มประชากรย่อย

  • ระดับสังคม - อันตรายต่อการมีส่วนร่วมประชาธิปไตยหรือการเข้าถึงการศึกษา

2. อันตรายต่อองค์กร (Harm to an Organization)

  • อันตรายต่อการดำเนินธุรกิจขององค์กร

  • อันตรายต่อองค์กรจากการละเมิดความปลอดภัยหรือการสูญเสียทางการเงิน

  • อันตรายต่อชื่อเสียงขององค์กร

3. อันตรายต่อระบบนิเวศ (Harm to an Ecosystem)

  • อันตรายต่อองค์ประกอบและทรัพยากรที่เชื่อมโยงและพึ่งพากันระหว่างกัน

  • อันตรายต่อระบบการเงินโลก ห่วงโซ่อุปทาน หรือระบบที่ผสานรวมกัน

  • อันตรายต่อทรัพยากรธรรมชาติ สิ่งแวดล้อม และโลก


Lifecycle and Key Dimensions of an AI System
Lifecycle and Key Dimensions of an AI System


ระดับความเสี่ยงของ AI ตาม EU AI Act

พระราชบัญญัติ AI ของสหภาพยุโรป (EU AI Act) สร้างหมวดหมู่ความเสี่ยงสำหรับระบบ AI 4 ประเภท ระดับความเสี่ยงเหล่านี้สอดคล้องกับระดับการควบคุมที่จำเป็นสำหรับโซลูชัน AI:


Categories of risk defined by the EU AI Act
Categories of risk defined by the EU AI Act

1. ความเสี่ยงที่ยอมรับไม่ได้ (Unacceptable Risk)

ตัวอย่างเช่น ระบบที่เกี่ยวกับข้อมูลไบโอเมตริกซ์ การให้คะแนนทางสังคม

2. ความเสี่ยงสูง (High Risk)

ตัวอย่างเช่น ระบบที่เกี่ยวกับโครงสร้างพื้นฐานสำคัญ การบังคับใช้กฎหมาย

3. ความเสี่ยงจำกัด (Limited Risk)

ตัวอย่างเช่น แชทบอท

4. ความเสี่ยงน้อย (Minimal Risk)

ตัวอย่างเช่น เกม ตัวกรองสแปม


ความท้าทายในการจัดการความเสี่ยงด้าน AI

ความเสี่ยงของ AI ยังไม่ได้รับการนิยามที่ดีหรือเข้าใจอย่างเพียงพอโดยอุตสาหกรรมที่กว้างขึ้น การพิจารณาความเสี่ยงที่ระบบ AI มีต่อผู้คน องค์กร หรือระบบนิเวศโดยทั่วไปตกอยู่กับผู้เชี่ยวชาญด้านการจัดการความเสี่ยงซึ่งอาจไม่ใช่ผู้เชี่ยวชาญในสาขา AI นี่คือเหตุผลที่การสร้างโครงสร้างการกำกับดูแลที่แข็งแกร่งเพื่ออำนวยความสะดวกในการทำงานร่วมกันระหว่างนักพัฒนา ผู้เชี่ยวชาญด้านการจัดการความเสี่ยง และผู้ตรวจสอบมีความสำคัญเพื่อจำกัดอันตรายที่ไม่ได้ตั้งใจ

ความท้าทายเฉพาะสำหรับการจัดการความเสี่ยงด้าน AI และการระบุความเสี่ยงรวมถึง:

1. โซลูชันจากบุคคลที่สาม (Third-party Solutions)

เมื่อใช้โซลูชันจากบุคคลที่สาม อาจมีการนำปัจจัยความเสี่ยงหลายอย่างที่เกี่ยวข้องกับทั้งโซลูชันและข้อมูลที่ใช้

2. วงจรชีวิตของ AI (AI Life Cycle)

ผลลัพธ์การระบุและประเมินความเสี่ยงอาจแตกต่างกันมากในขั้นตอนต่างๆ ของวงจรชีวิตโซลูชัน AI

3. ความพร้อมของเมตริกที่เชื่อถือได้ (Availability of Reliable Metrics)

การขาดความเห็นพ้องในวิธีการวัดสำหรับความเสี่ยงและความน่าเชื่อถือกำลังบังคับให้นักพัฒนา AI ระบุเมตริกที่อาจให้ความสำคัญกับผลประโยชน์ของนักพัฒนา AI มากกว่าผู้อื่น ผลกระทบที่เป็นอันตรายอาจไม่ปรากฏชัดเจนต่อนักพัฒนา AI ที่อาจไม่ทราบถึงกรณีการใช้งานทั้งหมดที่ผู้ใช้ AI กำลังใช้โซลูชันของตน

4. การตั้งค่าในโลกจริง (Real-world Setting)

การทดสอบในสภาพแวดล้อมที่ควบคุมไม่ได้พิจารณาความเสี่ยงที่อาจเกิดขึ้นในสภาพแวดล้อมโลกจริง

5. ความไม่สามารถตรวจสอบได้ (Inscrutability)

ความสามารถในการอธิบายหรือการตีความที่จำกัดอาจนำไปสู่ความไม่แน่นอนที่มีอยู่ในโซลูชัน AI

6. เกณฑ์มาตรฐานของมนุษย์ (Human Baseline)

โซลูชันที่มีเจตนาเพื่อเพิ่มหรือแทนที่กิจกรรมของมนุษย์ต้องการเมตริกพื้นฐานบางรูปแบบสำหรับการเปรียบเทียบ


การประเมินความเสี่ยงด้าน AI (AI Risk Assessment)

AI ไม่ควรถูกพิจารณาแยกจากกระบวนการประเมินความเสี่ยงโดยรวมขององค์กร กระบวนการประเมินความเสี่ยงด้าน AI ควรถูกรวมเข้ากับกระบวนการประเมินความเสี่ยงโดยรวมขององค์กรทั้งหมดที่เลือกพัฒนาหรือใช้โซลูชัน AI


1. การประเมินความเสี่ยง (Risk Assessment)

การประเมินความเสี่ยงควรดำเนินการเป็นประจำและระหว่างการเปลี่ยนแปลงของโซลูชัน AI การใช้คำจำกัดความความเสี่ยงปัจจุบันขององค์กรสามารถเป็นจุดเริ่มต้นที่ดีในการประเมินความน่าจะเป็นและผลกระทบของความเสี่ยงที่ระบุต่อองค์กร การพิจารณาเฉพาะสำหรับคุณลักษณะพิเศษของโซลูชัน AI ควรได้รับการบันทึกภายในกระบวนการ

ข้อพิจารณาการประเมินความเสี่ยงเฉพาะสำหรับโซลูชัน AI รวมถึง:


วิธีการและเมตริก (Methods and Metrics)

บันทึกเมตริกอย่างชัดเจนสำหรับการวัดความเสี่ยงด้าน AI และลักษณะความน่าเชื่อถือที่ระบุระหว่างขั้นตอนการระบุความเสี่ยง ตรวจสอบให้แน่ใจว่ามีการปรึกษาผู้เชี่ยวชาญอิสระเพื่อประเมินข้อสรุปของนักพัฒนาแนวหน้า


การประเมินลักษณะที่น่าเชื่อถือ (Evaluation of Trustworthy Characteristics)

ประเมินลักษณะที่น่าเชื่อถือของโซลูชัน AI (เช่น การใช้อย่างมีจริยธรรม อคติและความเป็นธรรม ความโปร่งใสและความสามารถในการอธิบาย ความไว้วางใจและความปลอดภัย ข้อพิจารณาด้านความปลอดภัยของข้อมูล [ทรัพย์สินทางปัญญา] สิทธิมนุษยชน และผลกระทบต่อสิ่งแวดล้อม)


กลไกการติดตามความเสี่ยงด้าน AI (AI Risk Tracking Mechanisms)

ระบุแนวทางเชิงรุกเพื่อติดตามความเสี่ยงด้าน AI ที่มีอยู่ ที่ไม่คาดคิด และที่กำลังเกิดขึ้น


ข้อเสนอแนะเกี่ยวกับประสิทธิภาพของการวัด (Feedback About Efficacy of Measurements)

ตรวจสอบให้แน่ใจว่ามีการพิจารณาการอำนวยความสะดวกในการรับข้อเสนอแนะจากผู้มีส่วนได้ส่วนเสียในเมตริกการประเมิน


2. ความอยากรับความเสี่ยงและความทนต่อความเสี่ยง (Risk Appetite and Tolerance)

ความอยากรับความเสี่ยงคือปริมาณความเสี่ยงที่องค์กรเต็มใจที่จะรับเพื่อบรรลุวัตถุประสงค์เชิงกลยุทธ์ การยอมรับความเสี่ยงเป็นการตัดสินใจที่เจตนาที่ทำโดยผู้บริหารระดับสูงขององค์กร ความทนต่อความเสี่ยงคือการเบี่ยงเบนที่ยอมรับได้จากความอยากรับความเสี่ยงขององค์กร เป็นจำนวนความเสี่ยงที่องค์กรสามารถทนได้โดยไม่กระทบต่อความสามารถในการบรรลุวัตถุประสงค์เชิงกลยุทธ์ (เช่น โดยทั่วไปแล้ว จำนวนเงินที่องค์กรเต็มใจที่จะเสี่ยง)


ทั้งนักพัฒนาและผู้ใช้ AI ต้องกำหนดความอยากรับความเสี่ยงและความทนต่อความเสี่ยงโดยรวมสำหรับการใช้โซลูชัน AI คำจำกัดความเหล่านี้ควรขับเคลื่อนโดยวัตถุประสงค์ทางธุรกิจและพิจารณาข้อกำหนดทางกฎหมายและระเบียบข้อบังคับ ทั้งการพัฒนาและการใช้โซลูชัน AI โดยทั่วไปเกี่ยวข้องกับองค์กรที่มีความอยากรับความเสี่ยงและความทนต่อความเสี่ยงที่ค่อนข้างสูงกว่า


3. การตอบสนองต่อความเสี่ยงและการจัดลำดับความสำคัญ (Risk Response and Prioritization)

ต้องจัดการความเสี่ยง (ผ่านการบำบัดความเสี่ยง) ให้อยู่ในระดับที่ยอมรับได้ตามความอยากรับความเสี่ยงและความทนต่อความเสี่ยงขององค์กร เป้าหมายของการบรรเทาความเสี่ยงคือการให้ความเสี่ยงคงเหลือ (ความเสี่ยงที่เหลืออยู่หลังการบำบัดความเสี่ยง) อยู่ในระดับที่ยอมรับได้เพื่อให้เป็นไปตามความอยากรับความเสี่ยงและความทนต่อความเสี่ยงขององค์กร

องค์กรสามารถใช้ตัวเลือกการบำบัดความเสี่ยงต่างๆ รวมถึง:


หลีกเลี่ยง (Avoid)

การหลีกเลี่ยงมุ่งที่จะขจัดการเปิดรับความเสี่ยงโดยไม่ดำเนินกิจกรรม กระบวนการ ความสัมพันธ์ทางธุรกิจ หรือการลงทุนที่จะก่อให้เกิดความเสี่ยง (เช่น องค์กรเลือกที่จะไม่ใช้โซลูชัน AI ใดๆ สำหรับการพัฒนาผลิตภัณฑ์เนื่องจากข้อกังวลด้านระเบียบข้อบังคับ)

บรรเทา (Mitigate)

การบรรเทาลดความน่าจะเป็นของเหตุการณ์ความเสี่ยงหรือผลกระทบของความเสี่ยงต่อองค์กรโดยการกำหนด การนำไปใช้ และการติดตามการควบคุมที่เหมาะสม (เช่น องค์กรสร้างนโยบาย AI ที่แข็งแกร่งและตรวจสอบให้แน่ใจว่าข้อพิจารณาด้าน AI ถูกรวมเข้ากับการควบคุมความปลอดภัยที่มีอยู่)

แบ่งปันหรือถ่ายโอน (Share or Transfer)

การแบ่งปันความเสี่ยงกระจายผลกระทบของความเสี่ยงไปยังหลายองค์กรผ่านการเป็นพันธมิตร เช่นเดียวกับการแบ่งปัน การถ่ายโอนความเสี่ยงวางผลกระทบให้กับบุคคลที่สามผ่านความคุ้มครองจากการประกัน ข้อตกลงตามสัญญา หรือวิธีการอื่น (เช่น องค์กรเข้าสู่ข้อตกลงความรับผิดชอบร่วมกับผู้ขาย AI เพื่อใช้โซลูชันจากบุคคลที่สาม)

ยอมรับ (Accept)

ด้วยการยอมรับ ผู้บริหารยอมรับการมีอยู่ของความเสี่ยงและตกลงที่จะดำเนินการตามแผนของตนแม้จะมีผลกระทบที่อาจเกิดขึ้น การยอมรับบางครั้งเกิดขึ้นเมื่อความเสี่ยงถูกมองว่าหลีกเลี่ยงไม่ได้ ภายในระดับความทนต่อความเสี่ยง ผู้บริหารเชื่อว่าธุรกิจสามารถดูดซับความเสี่ยงได้อย่างอิสระ ในกรณีนี้ มีการนำการติดตามอย่างเป็นทางการมาใช้เพื่อให้แน่ใจว่าองค์กรตอบสนองอย่างเหมาะสมหากความเสี่ยงเพิ่มขึ้น (เช่น องค์กรดำเนินการตามแผนในการนำแชทบอทมาใช้ แม้จะมีความคิดเห็นเชิงลบของลูกค้าเกี่ยวกับ AI)


การพยายามที่จะจัดการความเสี่ยงทั้งหมดที่เกิดจากโซลูชัน AI อาจไม่สามารถเป็นไปได้หรือมีประสิทธิภาพด้านต้นทุน ดังนั้น องค์กรที่พัฒนาหรือใช้โซลูชัน AI ควรจัดลำดับความสำคัญของความพยายามในการบรรเทาความเสี่ยงของตน การจัดลำดับความสำคัญควรอยู่บนพื้นฐานของชุดเกณฑ์ที่กำหนดไว้ (เช่น ระดับของความเสี่ยง) และปฏิบัติตามนโยบายและขั้นตอนการจัดการความเสี่ยงขององค์กร


4. แผนการแก้ไข/แนวปฏิบัติที่ดีที่สุด (Remediation Plans/Best Practices)

การแก้ไขความเสี่ยงด้าน AI ควรบูรณาการกับฟังก์ชันการจัดการความเสี่ยงขององค์กรและพิจารณาความเสี่ยงที่เกี่ยวข้องทั้งหมดต่อองค์กร โซลูชัน AI โดยทั่วไปมีผลกระทบต่อหน่วยงานหลายหน่วยภายในองค์กร ทำให้การสร้างความรับผิดชอบและความเป็นเจ้าของความพยายามในการแก้ไขมีความสำคัญต่อความสำเร็จของความพยายามในการแก้ไขความเสี่ยง


ควรสร้างแผนการแก้ไขที่กำหนดไว้อย่างชัดเจนพร้อมขั้นตอนที่ชัดเจนและข้อมูลสรุปที่คาดหวังสำหรับความเสี่ยงที่ระบุทั้งหมดที่เกินความอยากรับความเสี่ยงและความทนต่อความเสี่ยงขององค์กร แผนการแก้ไขเหล่านี้ควรได้รับมอบหมายให้กับเจ้าของความเสี่ยง ซึ่งรับผิดชอบในการดำเนินการตามแผนการแก้ไขและรายงานต่อฟังก์ชันการกำกับดูแลขององค์กร เจ้าของความเสี่ยงควรทำงานร่วมกับฟังก์ชันการจัดการความเสี่ยงขององค์กรเพื่อเข้าใจการจัดลำดับความสำคัญและตรวจสอบให้แน่ใจว่ามีการจัดสรรทรัพยากรที่เหมาะสม


ในบางกรณี การแก้ไขอาจใช้เวลานานเมื่อนำโซลูชัน AI มาใช้ ควรพิจารณาการควบคุมเพื่อชดเชยเมื่อระยะเวลาการแก้ไขเกินขีดจำกัดที่ยอมรับได้ของความทนต่อความเสี่ยงขององค์กร กลยุทธ์บางอย่างสำหรับสิ่งนี้รวมถึงการทยอยนำไปใช้กับผู้ใช้ที่มีความเสี่ยงต่ำกว่า การนำนโยบายใหม่มาใช้ การฝึกอบรมผู้ใช้ปลายทาง หรือโซลูชันการควบคุมความปลอดภัยทางเทคนิคอื่น ๆ


แผนการแก้ไขความเสี่ยงต้องได้รับการติดตามและได้รับการกำกับดูแลที่เหมาะสม ฟังก์ชันอิสระขององค์กรควรรักษาความรับผิดชอบของเจ้าของแผนการแก้ไขผ่านการรายงานสถานะอย่างสม่ำเสมอ เมื่อแผนการแก้ไขเสร็จสิ้น องค์กรควรให้มีการตรวจสอบความพยายามเหล่านั้นอย่างอิสระ


การติดตามความเสี่ยงด้าน AI (AI Risk Monitoring)

การติดตามความเสี่ยงด้าน AI รวมถึงกระบวนการต่อเนื่องของการจัดการความเสี่ยงที่ระบุและการตอบสนองตามแผนการแก้ไขความเสี่ยงที่ยอมรับ ซึ่งรวมถึงกระบวนการประเมินความเสี่ยงที่เกิดขึ้นพร้อมกับกลไกเพื่ออำนวยความสะดวกในการปรับปรุงอย่างต่อเนื่อง การติดตามความเสี่ยงด้าน AI ยังรวมถึงข้อพิจารณาในการตอบสนองต่อเหตุการณ์และข้อผิดพลาดในโซลูชัน AI ที่อาจเกิดขึ้น

1. การปรับปรุงอย่างต่อเนื่อง (Continuous Improvement)

AI มีการพัฒนาอย่างต่อเนื่อง และอัตราที่โซลูชันและฟังก์ชัน AI ใหม่ถูกนำมาใช้ต้องการให้องค์กรที่พัฒนาหรือใช้โซลูชัน AI แก้ไขศักยภาพในการเปลี่ยนแปลงอย่างเชิงรุก กระบวนการสำหรับการประเมินความเสี่ยงที่เกิดขึ้นต้องอยู่ในที่ที่มีกลไกสำหรับการปรับปรุงอย่างต่อเนื่อง การปรับปรุงอย่างต่อเนื่องสามารถดึงข้อมูลจากแหล่งต่อไปนี้:

ความพยายามในการบรรเทาความเสี่ยง (Risk Mitigation Efforts)

แผนการแก้ไขควรได้รับการแก้ไขตามกรอบเวลาที่ตกลงกันไว้ ระหว่างกระบวนการแก้ไข ควรพิจารณาความเสี่ยง (หรือโอกาส) AI ใหม่และที่กำลังพัฒนาเพื่ออัปเดตแผนการแก้ไขที่มีศักยภาพ

ตัวชี้วัดประสิทธิภาพ (Performance Indicators)

ในกรณีที่มีการเรียกการทำงานหรือประสบการณ์ของผู้ใช้มาในคำถาม องค์กรควรทบทวนระบบ AI เพื่อการยกเลิกหรือการเปลี่ยนแทน

บุคคลที่สาม (Third Parties)

องค์กรควรติดตามบุคคลที่สามที่ให้บริการหรือสนับสนุนโซลูชัน AI อย่างต่อเนื่อง บุคคลที่สามที่ไม่ปฏิบัติตามข้อกำหนดตามสัญญาสำหรับการทำงานหรือความปลอดภัยควรถูกแทนที่

การแก้ไขเหตุการณ์ (Incident Resolution)

บทเรียนที่ได้เรียนรู้จากเหตุการณ์หรือเหตุการณ์ความต่อเนื่องควรได้รับการบูรณาการเข้ากับความพยายามในการปรับปรุงอย่างต่อเนื่อง

ความพยายามในการปรับปรุงอย่างต่อเนื่องควรได้รับการบันทึกและติดตาม ในกรณีส่วนใหญ่ ความพยายามเหล่านี้จะรวมอยู่ในทะเบียนความเสี่ยงกลางที่บูรณาการกับกระบวนการจัดการความเสี่ยงทั่วไปขององค์กร


2. ตัวชี้วัดความเสี่ยงและประสิทธิภาพ (Risk and Performance Metrics)

ตัวชี้วัดความเสี่ยงหลัก (KRIs) ให้การเตือนล่วงหน้าสำหรับเหตุการณ์ที่อาจเกิดขึ้น ช่วยให้องค์กรระบุการเปิดรับเหตุการณ์ความเสี่ยงที่อาจเป็นอันตรายต่อประสิทธิภาพทางธุรกิจ โดยทั่วไป KRIs รวมถึงเกณฑ์ที่เกินกว่าการแจ้งเตือนที่ส่งไปยังบุคคลที่ได้รับมอบหมายให้ติดตามความเสี่ยง


KRIs ขึ้นอยู่กับว่าโซลูชัน AI ที่เป็นปัญหานั้นถูกพัฒนาโดยองค์กรหรือซื้อมาใช้จากบุคคลที่สาม โซลูชัน AI ที่ซื้อมาสามารถปรับกระบวนการการตั้งค่า KRI มาตรฐานที่ติดตามผลลัพธ์ของกระบวนการทางธุรกิจที่คาดหวัง ตัวอย่างเช่น หากองค์กรกำลังพิจารณาการนำแชทบอทที่ออกแบบมาสำหรับการบริการลูกค้ามาใช้ ความเสี่ยงหลักที่พวกเขาอาจต้องการหลีกเลี่ยงคือคะแนนความพึงพอใจของลูกค้าที่ต่ำกว่า ในกรณีนี้ การประสานงานกับตัวชี้วัดประสิทธิภาพหลัก (KPIs) มีแนวโน้มที่จะเกี่ยวข้อง


ตัวอย่างของตัวชี้วัดประสิทธิภาพหลักสำหรับแชทบอท:

  • คะแนนความพึงพอใจของลูกค้า: การวัดความพึงพอใจของลูกค้าโดยรวมกับการโต้ตอบกับแชทบอท (เป้าหมาย: อัตราความพึงพอใจ 95% หรือสูงกว่า)

  • อัตราการแก้ไขปัญหา: เปอร์เซ็นต์ของการสอบถามจากลูกค้าที่ได้รับการแก้ไขโดยแชทบอทโดยไม่ต้องมีการแทรกแซงของมนุษย์ (เป้าหมาย: อัตราการแก้ไขปัญหาอย่างน้อย 90%)

  • อัตราการเข้าใจผิด: เปอร์เซ็นต์ของการโต้ตอบที่แชทบอทไม่เข้าใจหรือตอบสนองอย่างถูกต้อง (เป้าหมาย: การเข้าใจผิดน้อยกว่า 1%)

  • อัตราการยกระดับ: เปอร์เซ็นต์ของเซสชันแชทที่ยกระดับไปยังการสนับสนุนของมนุษย์เนื่องจากข้อจำกัดของแชทบอท (เป้าหมาย: น้อยกว่า 10% ของการโต้ตอบ)


โซลูชัน AI ที่พัฒนาแล้วมีความท้าทายและข้อพิจารณาเพิ่มเติมในแง่ของการระบุ KRIs KRIs เหล่านี้โดยทั่วไปพึ่งพาการวิเคราะห์ทางสถิติและต้องการข้อมูลจากทีมข้ามสายงาน (เช่น การจัดการความเสี่ยง การตรวจสอบ นักสถิติ) ตัวอย่างหนึ่งของกรอบงานที่จัดการ KRIs ใน AI คือกรอบงานตัวชี้วัดความเสี่ยงปัญญาประดิษฐ์หลัก (KAIRI)



ตัวอย่างของ KRI ของ SAFE
ตัวอย่างของ KRI ของ SAFE

ตัวอย่างของ KRI ของ SAFE (ความยั่งยืน ความแม่นยำ ความเป็นธรรม ความสามารถในการอธิบาย):

  • ความยั่งยืน (Sustainability): มุ่งเน้นที่ความแข็งแกร่งและความมั่นคงต่อความผิดปกติหรือการจัดการทางไซเบอร์

  • ความแม่นยำ (Accuracy): วัดความแม่นยำในการทำนายโดยเปรียบเทียบการทำนายกับหลักฐานที่สังเกตได้

  • ความเป็นธรรม (Fairness): ตรวจสอบการปฏิบัติที่เท่าเทียมกันของกลุ่มประชากรที่หลากหลายในแอปพลิเคชัน AI

  • ความสามารถในการอธิบาย (Explainability): ตรวจสอบให้แน่ใจว่าโมเดลสามารถตีความได้โดยผู้มีส่วนได้ส่วนเสียหลัก

KRI สำหรับโซลูชัน AI ที่พัฒนาแล้วจะขึ้นอยู่กับว่าโซลูชันเป็นกล่องขาวหรือกล่องดำและวิธีที่โมเดลทำงาน (เช่น การถดถอย การจำแนกประเภท) มาตรวัด SAFE สำหรับ KRIs พร้อมการทดสอบที่เกี่ยวข้องสามารถใช้ได้


บทสรุป

การจัดการความเสี่ยงด้าน AI เป็นองค์ประกอบสำคัญในการใช้เทคโนโลยี AI อย่างรับผิดชอบ เมื่อองค์กรต่างๆ ยังคงใช้ AI เพื่อขับเคลื่อนนวัตกรรมและประสิทธิภาพ การนำกรอบการจัดการความเสี่ยงที่มั่นคงมาใช้จะช่วยให้แน่ใจว่าความเสี่ยงได้รับการระบุ ประเมิน และจัดการอย่างมีประสิทธิภาพ

แนวทางปฏิบัติที่ดีที่สุดในการจัดการความเสี่ยงด้าน AI รวมถึง:

  1. การบูรณาการการจัดการความเสี่ยงด้าน AI เข้ากับกระบวนการจัดการความเสี่ยงทั่วไปขององค์กร

  2. การทำความเข้าใจและจัดการวงจรชีวิตของ AI และผู้มีส่วนได้ส่วนเสียที่เกี่ยวข้องในแต่ละขั้นตอน

  3. การประเมินความเสี่ยงด้าน AI เป็นประจำและในระหว่างการเปลี่ยนแปลงของโซลูชัน AI

  4. การกำหนดมาตรการและเมตริกที่ชัดเจนสำหรับการวัดความเสี่ยงด้าน AI และลักษณะความน่าเชื่อถือ

  5. การนำแผนการแก้ไขที่กำหนดไว้อย่างชัดเจนมาใช้สำหรับความเสี่ยงที่ระบุทั้งหมดที่เกินความอยากรับความเสี่ยงและความทนต่อความเสี่ยงขององค์กร

  6. การติดตามความเสี่ยงด้าน AI อย่างต่อเนื่องและการรักษากลไกสำหรับการปรับปรุงอย่างต่อเนื่อง

โดยการจัดการความเสี่ยงด้าน AI อย่างเชิงรุก องค์กรสามารถใช้ประโยชน์จากพลังของ AI ในขณะที่ลดผลกระทบที่อาจเกิดขึ้นต่อผู้คน องค์กร และระบบนิเวศโดยรวม


แหล่งข้อมูลอ้างอิงและอ่านเพิ่มเติม

  1. NIST, "Artificial Intelligence Risk Management Framework (AI RMF 1.0)," January 2023, https://nvlpubs.nist.gov/nistpubs/ai/nist.ai.100-1.pdf

  2. OECD, "OECD Framework for the Classification of AI Systems," 22 February 2022, https://www.oecd.org/en/publications/oecd-framework-for-the-classification-of-ai-systems_cb6d9eca-en.html

  3. Future of Life Institute, "EU AI Act Compliance Checker," https://artificialintelligenceact.eu/assessment/eu-ai-act-compliance-checker/

  4. ISACA, Keeping Pace with the Rise of AI: Your Guide to Policies, Ethics, and Risk, 1 November 2024, https://www.isaca.org/resources/ebook-keeping-pace-with-ai

  5. Giudici, P.; Centurelli, M.; et al., "Artificial Intelligence Risk Measurement," Expert Systems with Applications, vol. 235, January 2024, https://www.sciencedirect.com/science/article/pii/S0957417423017220


 
 
bottom of page