In Risk.

ธนาคารแห่งประเทศไทย (ธปท.) ได้ออกแนวนโยบายเกี่ยวกับการบริหารจัดการความเสี่ยงจากการใช้งาน AI (AI Risk Management Policy) สำหรับผู้ให้บริการทางการเงิน เมื่อวันที่ 12 กันยายน 2568 ซึ่งเป็นเรื่องที่น่าจับตามองอย่างยิ่ง เพราะนโยบายฉบับนี้ไม่ได้เป็นแค่เรื่องของเทคโนโลยี แต่ยังเกี่ยวข้องกับการกำกับดูแลที่ดีและการคุ้มครองผู้บริโภคด้วย
📌 เอกสารฉบับนี้สรุปหลักการและแนวทางสำคัญไว้ 2 ส่วนหลักๆ คือ
✨ 1. ธรรมาภิบาล
นโยบายเน้นย้ำเรื่องการมี ธรรมาภิบาลที่ดี ในการนำ AI มาใช้งาน โดยระบุว่าคณะกรรมการและผู้บริหารระดับสูงต้องมีบทบาทและความรับผิดชอบที่ชัดเจน และควรมีการกำหนดนโยบายและกรอบการทำงานให้สอดคล้องกับหลักการ
"Responsible AI" หรือ AI ที่มีความรับผิดชอบ ซึ่งประกอบด้วยหลักการสำคัญ 4 ข้อ คือ:
1. Fairness (ความเป็นธรรม)
2. Ethics (จริยธรรม)
3. Accountability (ความรับผิดชอบ)
4. Transparency (ความโปร่งใส)
นอกจากนี้ยังต้องมีการบริหารจัดการความเสี่ยงอย่างต่อเนื่อง โดยเฉพาะเมื่อนำ AI ไปใช้ในงานสำคัญที่อาจมีผลกระทบต่อลูกค้า เช่น การให้สินเชื่อ หรือการเปิดบัญชี ซึ่งอาจต้องมีคนเข้ามาดูแลหรือตัดสินใจร่วมกับระบบ AI
✨ 2. การพัฒนาและความมั่นคงปลอดภัย
นโยบายกำหนดให้มีการควบคุมความเสี่ยงใน 3 ด้าน:
1. ความเสี่ยงด้านข้อมูล: ต้องมีการประเมินคุณภาพข้อมูลที่ใช้ในการเรียนรู้ของ AI และป้องกันข้อมูลสำคัญรั่วไหล
2. ความเสี่ยงด้านการพัฒนาโมเดล: ต้องมีการกำหนดตัวชี้วัดประสิทธิภาพ ที่ชัดเจน และทดสอบโมเดลอย่างต่อเนื่อง รวมถึงมีแนวทางลดความเสี่ยงจาก AI ที่ให้ข้อมูลเท็จ (hallucination) เช่น การใช้เทคนิค Retrieval-Augmented Generation (RAG)
3. ความเสี่ยงด้านภัยคุกคามทางไซเบอร์: ต้องจัดการป้องกันการโจมตีทางไซเบอร์รูปแบบใหม่ๆ ที่เจาะจงกับระบบ AI เช่น Data Poisoning และ Prompt Injection โดยอ้างอิงจากมาตรฐานสากล เช่น OWASP และ MITRE ATLAS
📢 นโยบายนี้ไม่ได้บังคับเฉพาะสถาบันที่พัฒนา AI ขึ้นเองเท่านั้น แต่ยังรวมถึงผู้ที่นำ AI สำเร็จรูปมาใช้งานด้วย นี่คือข้อบ่งชี้ที่ชัดเจนว่าการใช้ AI จะต้องมาพร้อมกับความรัดกุมในการบริหารจัดการความเสี่ยงอย่างเป็นระบบ
🙌 หากธุรกิจของคุณกำลังใช้หรือวางแผนที่จะใช้ AI ในการดำเนินงาน นี่คือช่วงเวลาที่ดีที่จะทบทวนและวางกรอบการทำงาน โดยอาจจะใช้ตัวอย่างและแนวทางของ ธนาคารแห่งประเทศไทยเป็นตัวอย่าง
ไปอ่านนโยบายได้ที่ :https://www.bot.or.th/content/dam/bot/fipcs/documents/FOG/2568/ThaiPDF/25680178.pdf

Swiss Cheese Model : เพราะความเสี่ยงไม่ได้มาจากช่องโหว่เดียว

ก่อนจะสงสัยว่า Cheese หรือ เนยแข็ง เกี่ยวอะไรกับความเสี่ยง ?
In Risk. ขอพาทุกท่านมาทำความรู้จักกับ Swiss Cheese กันก่อน

Swiss Cheese ผลิตจากนมวัว โดยนำมาหมักจนเกิดเป็นก๊าซคาร์บอนไดออกไซด์ ทำให้ Cheese เป็น"รู" รอบตัว ส่วนใหญ่นิยมนำมาทานคู่กับไวน์และแชมเปญ

การที่ Cheese มีรูรอบตัว ศาสตราจารย์ James Reason จากมหาวิทยาลัยแมนเชสเตอร์ เจ้าของแนวคิด Swiss Cheese Model จึงนำมาใช้เปรียบเปรยว่า "รู" บน Cheese นั้นเสมือน "ช่องโหว่" ของกระบวนการในการทำงานต่างๆ หาก"รู"เหล่านี้ตรงกันทั้งหมด จะนำไปสู่ข้อผิดพลาด หรือ อุบัติการณ์ (Incident) ได้

ถ้าเราลองหั่น Cheese เป็นแผ่นๆ (เสมือนแบ่งเป็นงานของแต่ละแผนก) เราจะพบว่า รูของ Cheese จะไม่ตรงกันเลย !!!

พูดง่ายๆ ก็คือ เราเปรียบเทียบให้ "รู" คือความเสี่ยง เราจะพบว่า งานของแต่ละแผนก มีความเสี่ยงต่างกัน คือมี "รู" ไม่ตรงกัน และขนาดไม่เท่ากัน

หากกระบวนการงานใดงานหนึ่ง มี "รู" ที่ตรงกันหมด หลุดรอดไปจนถึงขอบ Cheese อีกด้าน แสดงว่า เรากำลังเจอ "ข้อผิดพลาด"

ลองคิดเล่นๆกันนะคะ ถ้า....
แผนก A มี Cheese ที่มีรู 2 รู 🧀
แผนก B มี Cheese ที่มีรู 8 รู 🧀
แผนก C มี Cheese ที่มีรู 10 รู 🧀

เดาสิคะ ว่าโอกาสที่ Cheese จะมีรูตรงกัน มากหรือน้อย?

Swiss Cheese Model ไม่ได้บอกให้เรากำจัด "รู" ให้หมดไป

แต่สอนให้เราบริหารจัดการไม่ให้ "รู" นั้นตรงกัน -- ซึ่งเป็นหลักการของ Segregation of Duties

หรือ ในอีกมุมหนึ่งคือควบคุม "รู" นั้น ไม่ให้ใหญ่เกินกว่าที่เรารับได้ -- ซึ่งจะใช้วิธีใด ต้องจัดทำ RCSA

In Risk. จึงขอฝากคำคมทิ้งท้ายไว้ ดังนี้ :)
" You can't REMOVE but You can REDUCE"

พบกันใหม่ตอนหน้า
สวัสดีค่ะ 🐭

บทความโดย คุณธีรัตม์ อภิวัฒนเสวี