ได้เคยเขียนเกี่ยวกับทักษะสำคัญของคนที่ทำงานด้านความเสี่ยงว่าต้องเป็นคนที่ชอบคิดถึงอนาคต (Futuristic) หรือกล่าวอีกนัยหนึ่งก็คือ การบริหารความเสี่ยงให้มีประสิทธิภาพ งานด้านนี้ต้องจับกระแสอนาคตให้ได้ เช่นก่อนหน้านั้น โลกดิจิทัลมาแรง สายงานบริหารความเสี่ยงก็ต้องไปวิเคราะห์และทำความเข้าใจเกี่ยวกับ Digital Risk แต่ปีสองปีนี้ คงไม่มีอะไรมาแรงกว่า คำว่า
1) ความยั่งยืน (ESG) กับ
2) AI
นักบริหารความเสี่ยงก็ต้องมีความรู้เกี่ยวกับ ESG Risk และ AI Risk หากอยากศึกษาเกี่ยวกับ ESG ผมโพสไว้เยอะแล้วใน Blog หาอ่านได้เลยครับ วันนี้ขอมาพูดเรื่อง AI Risk โดยเฉพาะ
AI Risk Managment Framework
การรู้เพียงแค่ framework การบริหารความเสี่ยงปกติอย่างเดียวคงไม่สู้ดี ผมรู้เลยว่า "ทักษะตัว T" นั่นสำคัญ เพื่อให้เกิดประสิทธิภาพในการทำงานได้ดีต้อง รู้กว้างและรู้ลึกในเรื่องนั้นๆ พอสมควรถึงคุยกับเขารู้เรื่อง หลายครั้งที่เวลาผมไปบรรยายนอกสถานที่หรือพูดคุยกับนักศึกษาที่คณะ การเข้าใจบริบทของเรื่องนอกเหนือจาก framework risk management ทั่วไป จะทำให้บทสนทนามีประสิทธิภาพและช่วยให้ผู้ถามเข้าใจมากยิ่งขึ้น
เข้าเรื่องเลยครับวันนั้นตั้งใจมาสรุป AI Risk Management Framework โดยอ้างอิงจาก Framework ที่โด่งดังและมีชื่อเสียงที่สุดคงหนีไม่พ้น NIST AI Risk Management Framework (AI RMF) ซึ่งเป็น Framework ของ NIST (National Institute of Standards and Technology) หรือสถาบันเทคโนโลยีแห่งชาติของ USA
โดย NIST AI Risk Management Framework (AI RMF) มีเนื้อหาประมาณ 48 หน้า มีความน่าเชื่อถือเพราะสังเคราะห์ขึ้นจาก Framework หลายมาตรฐาน เนื้อหาของ NIST AI Risk Management Framework (AI RMF) แบ่งเป็น 2
1) Foundation
เริ่มจากการอธิบายนิยามของ AI Risk ซึ่งไม่ได้ต่างจากความหมายของ Risk ประเภทอื่น ซึ่งต้องประกอบไปด้วยองค์ประกอบ 2 ประการคือ โอกาสเกิดกับผลกระทบ
มากไปกว่านั้นส่วนนี้ยังพูดถึงความท้าทายของ AI Risk Management อันได้แก่ Risk Measurement, Risk Measurement, Risk Prioritization และ Organizational Integration and Management of Risk อ่านรายละเอียดใน NIST AI Risk Management Framework (AI RMF)
2) Core
ส่วนนี้เเหละครับคือเนื้อหาสำคัญของวันนี้ที่จะมาสังเคราะห์ AI Risk Management Framework
เชื่อมโยงกับ Risk Management Framework ทั่วไปกันว่า เหมือนหรือต่างกันอย่างไร
ทาง NIST น่ารักมากเลยทำเป็น Playbook ไว้อ่านง่าย โดย Core Process ของ NIST AI Risk Management Framework ประกอบไปด้วย 4 ขั้นตอน ในแบบวงซ้ำ ประกอบไปด้วย
ขั้นตอน 1 Governance (ประกอบไปด้วย 5 หัวข้อหลัก 17 หัวข้อย่อย)
หากเทียบเคียงกับ COSO ERM 2017 ก็ไม่ต้่างกันคือขั้นตอนเเรกที่สำคัญคือ Governance & Culture
ขั้นตอน 2 Map (ประกอบไปด้วย 5 หัวข้อหลัก 18 หัวข้อย่อย)
คือการทำความเข้าใจบริบทองค์กรเชื่อมโยงกับการเอา AI เข้ามาใช้ว่าเกี่ยวข้องกับบริบทองค์กรอย่างไร รวมทั้งต้องเริ่มเข้าใจหรือ Mapping "Risks and benefits for all components of the AI system" รวมทั้งวิเคราะห์พวกผลกระทบของ AI Risks หากเชื่อมโยงกับ COSO ERM 2017 คล้ายกับขั้นตอน Strategy & Objective Setting กับช่วงต้น ๆ ของ ขั้นตอน Performance นั้นคือการระบุความเสี่ยง (Identify Risk)
ขั้นตอน 3 Measure (ประกอบไปด้วย 3 หัวข้อหลัก 19 หัวข้อย่อย)
พูดง่าย ๆ ก็คือการหาวิธีการทั้งเชิงปริมาณและเชิงคุณภาพในการวัดความเสี่ยงนั่นเอง รวมทั่้งการ กำหนด trustworthy characteristics / รวมทั้งเรื่องการ tracking/monitoring AI Risk หากเชื่อมโยงกับ COSO ERM 2017 คล้ายกับขั้นตอน Performance และขั้นตอน Review & Revision
ขั้นตอน 4 Management (ประกอบไปด้วย 4 หัวข้อหลัก 13 หัวข้อย่อย)
หลังจากระบุ วัด ประเมิน ขั้นตอนนี้ก็หาแนวทางการจัดการ/ แผน Treatment ต่าง ๆ
สรุปว่า AI Risk Managment Framework VS Risk Management Framework ทั่วไปเป็นอย่างไร
จากที่ผมได้ศึกษา สรุปได้ว่าไม่ต่างกันครับ กรอบการบริหารความเสี่ยงแท้ที่จริงแล้วก็มีแค่นั่น ไม่พ้น Governance, Identify, Assess, Manage, Monitor Risk ที่ปรากฎใน COSO ERM 2017 เท่านั้นเอง
แต่แค่นั้นไม่พอครับ จากที่ผมอ่าน NIST AI Risk Management Framework พบว่ามี Technical Term ด้าน AI หลายอย่างที่ต้องรู้ อ่านรู้เรื่องบ้าง ไม่รู้เรื่องบ้าง ทำให้รู้ว่าการทำงานด้าน AI Risk สายงานความเสี่ยงทำคนเดียวคงไม่ได้แน่ จำเป็นต้องอาศัยทีม AI ช่วยด้วย ยิ่งทำให้รู้ว่า การทำงานด้านบริหารความเสี่ยงเป็นทั้งศาสตร์และศิลป์ บางอย่างทำเองไม่ได้ ก็ต้องมีศิลปะในการไปร้องขอ/ชักจูงให้ใครมาช่วย เพื่อให้งานลุลวงไปได้ด้วยดี
วันนี้เท่านี้ก่อนนะครับ
อ. หน่ง
กรอบการบริหารความเสี่ยงด้าน AI (AI Risk Management Framework)
1 มี.ค. 2568