สรุปสาระสำคัญจากการเสวนา ความท้าทายของผู้ตรวจสอบกับ เทคโนโลยี AI และ Blockchain ตอนที่ 2

            สวัสดีท่านผู้อ่านและเพื่อนสมาชิกทุกท่าน กลับมาพบกันอีกครั้งกับสรุปสาระสำคัญจากการเสวนา “ความท้าทายของผู้ตรวจสอบกับเทคโนโลยี AI และ Blockchain” ซึ่งถือเป็นโครงการความร่วมมือทางวิชาการระหว่าง สภาวิชาชีพบัญชี ในพระบรมราชูปถัมภ์ และสมาคม ISACA Bangkok Chapter ที่ได้ร่วมกันจัดขึ้นอย่างต่อเนื่องเป็นประจำทุกปี โดยในปีนี้ได้มุ่งเน้นประเด็นความท้าทายของสองเทคโนโลยีที่จะเข้ามาขับเคลื่อนการพัฒนาเศรษฐกิจ และสังคมโลกในยุคดิจิทัล ซึ่งผู้ตรวจสอบ และนักบัญชีควรตระหนักถึงอิทธิพลและผลกระทบของเทคโนโลยีดังกล่าว เมื่อถูกนำมาใช้งานอย่างเต็มรูปแบบ โดยในฉบับนี้ดิฉันขอสรุปสาระสำคัญของการบรรยายพิเศษในหัวข้อ “การปรับตัวของผู้ตรวจสอบภายในต่อเทคโนโลยี AI และ BLOCKCHAIN” โดย ดร.ภูมิ ภูมิรัตน์ที่ปรึกษาด้านเทคโนโลยี สำนักงานคณะกรรมการกำกับหลักทรัพย์และตลาดหลักทรัพย์ เพื่อเพื่อนสมาชิกทุกท่านสามารถนำความรู้ที่ได้รับไปประยุกต์ให้เกิดประโยชน์ต่อไปนะคะ

            ดร.ภูมิ ได้เริ่มต้นการบรรยายโดยกล่าวว่า อยากให้บรรยากาศของการสัมมนาในวันนี้ เป็นการพูดคุยกันอย่างสนุกสนาน กับสองเทคโนโลยีที่เชื่อได้ว่า สถาบันการเงินได้นำมาใช้อย่างแน่นอน และองค์การต่าง ๆ คงนำมาใช้มากขึ้นในอนาคต โดยสิ่งที่ ดร.ภูมิบรรยายแบ่งออกเป็น 3 ประเด็น ดังนี้

• นิยามของ AI คืออะไร และมีความสำคัญต่อผู้ตรวจสอบภายในอย่างไร
• ผู้ตรวจสอบภายใน (IA) จะตรวจสอบ AI อย่างไร
• ผู้ตรวจสอบภายในควรรับมือกับ Blockchain อย่างไร

นิยามของ AI คืออะไร และมีความสำคัญต่อผู้ตรวจสอบภายในอย่างไร
            ในความเป็นจริง AI เป็นสิ่งที่นิยามได้ยาก และปัจจุบัน AI ยังไม่มีคำนิยามอย่างชัดเจน ซึ่งต่อไปจะมีมาตรฐานมารองรับ หากจะอธิบายให้เข้าใจได้โดยง่าย “AI คือ สาขาของวิทยาศาสตร์คอมพิวเตอร์ ที่ต้องการเลียนแบบปัญญาของมนุษย์ในระบบ IT” ตัวอย่างของ AI คือ เทคโนโลยีการพิมพ์ด้วยเสียง เทคโนโลยีตรวจสอบและจดจำใบหน้า(Face Recognition) และโปรแกรมตอบกลับการสนทนา (Chatbot) เป็นต้น โดยผู้ตรวจสอบสามารถใช้ AI เป็นเครื่องมือช่วยตรวจสอบความผิดปกติที่เกิดขึ้นในองค์กร เนื่องจากปัจจุบันองค์กรต่าง ๆ มีการใช้ระบบดิจิทัลค่อนข้างมากจึงมีข้อมูลเกิดขึ้นจำนวนมาก ซึ่ง Natural Language AI สามารถเข้าไปฟัง อ่านเอกสาร และเรียนรู้ข้อมูลทั้งหมด ผู้ตรวจสอบจึงสามารถสั่งการได้ว่าต้องการข้อมูลใด และให้ AI วิเคราะห์ข้อมูล โดยผู้ตรวจสอบทำการยืนยันข้อมูลนั้นอีกครั้ง

ผู้ตรวจสอบภายใน (IA) จะตรวจสอบ AI อย่างไร
            ดร.ภูมิ กล่าวว่า AI ต้องเข้ามามีอิทธิพลต่อระบบธุรกิจอย่างแน่นอน ผู้ตรวจสอบภายใน หรือ IA จึงต้องหาวิธีอยู่ร่วมกับ AI ให้ได้ โดยมีข้อมูลทางสถิติที่น่าสนใจในปี 2017 และ 2018 พบว่า เหล่า Startup ในยุโรปจำนวนมาก (ร้อยละ 40) ที่อ้างว่ามีการลงทุนในเทคโนโลยี AI แต่แท้จริงแล้วมิใช่เทคโนโลยี AI ดังนั้น ผู้ตรวจสอบจึงจำเป็นต้องทราบก่อนว่า Product นั้น คือ AI จริงหรือไม่ ? เนื่องจากหากหน่วยงานกำกับดูแลกำหนดให้ผู้ใช้ AI ต้องมีการรายงาน องค์กรจำเป็นต้องรายงานให้สอดคล้องตามข้อกำหนดดังกล่าว มิฉะนั้นจะเกิดปัญหา ในทางตรงกันข้ามหาก Product นั้น มิใช่ AI แต่กลับรายงานว่าเป็น AI ก็จะเกิดปัญหาตามมาเช่นกัน

            จากผลการวิจัยของ ISACA พบว่า ความท้าทายของผู้ตรวจสอบ คือ ปัจจุบันยังไม่มีกรอบแนวทาง (Framework) ในการตรวจสอบ AI อย่างชัดเจน จึงอาจต้องประยุกต์จากกรอบแนวทางที่มีอยู่ในปัจจุบัน นอกจากนี้ยังไม่มีคำนิยาม และขอบเขตความสามารถของ AI ที่ชัดเจนว่าคืออะไร ผู้ตรวจสอบจึงต้องมองว่า AI is a black box คือ ทราบผลลัพธ์แต่ไม่ทราบวิธีการได้มาซึ่งผลลัพธ์ ดังเช่น โปรแกรมแปลภาษาของกูเกิล หรือ Google Translate ที่จะทำความเข้าใจทุกภาษา โดยมีภาษากลางของตนเอง ซึ่งแม้กระทั่งผู้พัฒนาก็ยังไม่ทราบว่าได้ผลลัพธ์มาอย่างไร และถึงแม้ว่าจะมี Source Code ก็ไม่สามารถเข้าใจได้ ดังนั้นวิธีการตรวจสอบ AI จึงเป็นเชิงเทคนิคค่อนข้างมาก ซึ่งผู้ตรวจสอบอาจมอบหมายให้ผู้ที่มีความรู้และทักษะเชิงเทคนิคปฏิบัติงานแทน แต่ผู้ตรวจสอบต้องเข้าใจ ประเภท คุณสมบัติ ข้อดีและข้อเสียของ AI แต่ละประเภท ที่มีทั้งแบบ Supervised Learning และ Unsupervised Learning ซึ่งเหมาะกับโจทย์ที่แตกต่างกัน หากเป็น AI ประเภทแรกจะใช้ได้ผลค่อนข้างดีกับการตรวจสอบความผิดปกติ นอกจากนี้ผู้ตรวจสอบควรทราบว่าการ Train AI มีกี่รูปแบบ รวมถึงประโยชน์ของ AI และนำมาพัฒนากรอบแนวทางในการตรวจสอบ (Test Framework) โดยวิธีการทดสอบจะมีหลายวิธี ซึ่งอาจศึกษาเพิ่มเติมจากเอกสารทางวิชาการ และผลงานวิจัยเพื่อเลือกวิธีทดสอบได้อย่างถูกต้องและเหมาะสมกับประเภทของ AI หรืออาจให้วิศวกรคอมพิวเตอร์หาอัลกอริทึม (Algorithm) หรือกรรมวิธีที่จะทดสอบ หากเป็นอัลกอริทึมที่องค์กรซื้อมา หรือเป็น Cloud Service ที่องค์กรซื้อมา ผู้ตรวจสอบควรสื่อสารกับองค์กรและผู้ขาย ว่าผู้ขายมีการทดสอบในประเด็นดังกล่าวข้างต้นหรือไม่ และองค์กรมีความเข้าใจ AI ที่จัดซื้อมามากน้อยเพียงใด ซึ่งผู้ตรวจสอบสามารถทำได้เท่านี้ ไม่สามารถทำได้มากกว่านี้

ผู้ตรวจสอบภายในต้องรับมือกับ Blockchain อย่างไร
            ก่อนตอบคำถามนี้ ดร.ภูมิ ได้อธิบาย Blockchain ให้เข้าใจได้โดยง่าย ดังนี้ 1) Blockchain เป็นโปรแกรมประเภทระบบเครือข่ายคอมพิวเตอร์ (Computer Network) ซึ่งต้องทำงานร่วมกับเครื่องอื่น 2) เมื่อ Blockchain เก็บข้อมูลแล้ว ข้อมูลทั้งเครือข่ายจะเปลี่ยนแปลงไม่ได้ แต่ข้อมูลที่อยู่ในเครื่องของเราอาจจะโดนแฮก และถูกเปลี่ยนแปลงแก้ไขได้ 3) Blockchain Network จะล่มยากมาก 4) การประมวลผลของ Blockchain ควรประมวลผลในหลายเครื่อง และควรตรวจสอบได้ ขึ้นกับ Blockchain ที่ใช้ ซึ่งผู้ตรวจสอบสามารถรับทราบผล แต่ไม่สามารถเข้าไปร่วม Validate ได้จุดเด่นของ Blockchain คือ โดนแฮกยากมาก ข้อเสีย คือการจัดการคีย์ (Key Management) เป็นเรื่องที่สำคัญมาก องค์กรจึงต้องให้ความสำคัญกับเรื่องนี้ และถึงแม้ Blockchain จะมีจุดเด่นคือแฮกข้อมูลได้ยากมาก แต่ไม่ได้หมายความว่าจะเกิดขึ้นไม่ได้ ความเสี่ยงของ Blockchain เกิดขึ้นได้หลายจุดได้แก่ Blockchain Infrastructure Security, Account Security and Smart contract Security ดังนี้

• Blockchain Infrastructure Security
            สิ่งที่ผู้ตรวจสอบต้องเข้าใจ เพื่อสามารถระบุความเสี่ยงเกี่ยวกับ Blockchain คือ พารามิเตอร์ (Parameter) หรือช่องโหว่ที่อาจจะถูกแฮกคืออะไร เครือข่ายโปรโตคอล (Network Protocol) ซึ่งหมายถึงข้อกำหนดในการสื่อสารระหว่างคอมพิวเตอร์แต่ละเครื่องในเครือข่าย (Node) คืออะไร ผู้ทำหน้าที่ดูแลมีการตั้งค่า Firewall และการป้องกันความผิดปกติ (Anomalies Detection) เหมาะสมเพียงพอหรือไม่ เครือข่ายมีขีดความสามารถอย่างไร Blockchain นี้ สามารถประมวลผลผิดพลาดได้โดยไม่ล่ม และสามารถกู้ตัวเองกลับคืนมาได้ที่เรียกว่า Fork หรือไม่ หาก Blockchain นั้นไม่สามารถกู้ตัวเองกลับคืนมาได้ แสดงว่ามีความสามารถที่จะล่ม ถ้าเครื่องคอมพิวเตอร์ในเครือข่ายจำนวนมากพอเกิดล่ม ซึ่งกรณีดังกล่าวจะต้องทดสอบว่ามีโอกาสที่จะทำงานผิดพลาดมากน้อยแค่ไหน โอกาสที่ Concencus Protocol จะโดนแฮกคืออะไร รูปแบบการเก็บฐานข้อมูลของ Blockchain รับประกันความถูกต้องของข้อมูลในอดีตหรือไม่ ซึ่งหากเป็น Bitcoin ฐานข้อมูลจะเช็คได้ว่า ข้อมูลย้อนหลังจะถูกต้องอยู่เสมอ
  
• Account Security
            Blockchain เป็นแอพลิเคชันหนึ่ง แอพลิเคชันใดจะสื่อสารกับ Blockchain จะต้องยืนยันตัวตน (Authenticate) กับ Blockchain ซึ่งโดยส่วนใหญ่มักจะยืนยันตัวตนด้วย Public Key Cryptography หมายความว่า แอพลิเคชันที่จะสื่อสารกับ Blockchain จะมีเทคโนโลยีจัดการคีย์ (Key Management Technology) มาเกี่ยวข้อง ดังนั้นความปลอดภัยของ Blockchain ย่อมขึ้นกับความสามารถในการจัดการคีย์ขององค์กร ผู้ตรวจสอบควรมุ่งเน้นจุดนี้ เนื่องจากเป็นความเสี่ยงที่สำคัญของ Blockchain
  
• Smart Contract Security
            สัญญาอัจฉริยะ (Smart Contract) คือ แอพลิเคชันที่เขียนบน Blockchain ซึ่งมีความเสี่ยงที่จะโดนแฮก โดยมีตัวอย่างเหตุการณ์ที่เกิดขึ้นระหว่างปี 2014 ถึง 2015 กรณีแรกคือ Smart Contract หนึ่ง ซึ่งเป็น Cloud Funding Platform บน Blockchain ได้มีผู้ส่งคำสั่งขอกู้ยืมเงินเข้าไป ซึ่งเจ้าของเงินจะส่งคำสั่งไปที่แอพลิเคชันนี้ เพื่อออกเสียงร่วมกันว่าจะให้กู้ยืมเงินหรือไม่ หากเจ้าของเงินอนุญาต เงินจะโอนไปยังบัญชีผู้กู้ยืม สิ่งที่เกิดขึ้น คือ Smart Contract มีจุดบกพร่อง ทำให้มีคนร้ายส่งคำสั่งไปที่ Smart Contract นี้ โดยทุกครั้งที่มีการส่งคำสั่งจะมีเงินไหลออก โดยไม่สามารถหยุดยั้งได้ กรณีที่สองเป็นตัวอย่าง Smart Contract บน Blockchain ที่ผู้สร้างมิได้กำหนดว่าใครเป็นเจ้าของ คนร้ายจึงส่งคำสั่งกำหนดความเป็นเจ้าของ พร้อมกับลบแอพลิเคชันนี้ ทำให้เงินสูญหายไปโดยสิ้นเชิง ซึ่งกรณีแรกเป็น Programming Error และกรณีที่สองเป็น Deployment Error จึงควรมีแบบประเมิน (Checklist) ว่าองค์กรมีการทำตามขั้นตอนการปรับใช้งาน (Deployment Step) ครบถ้วนหรือไม่ นอกจากความเสี่ยงทั้งสามดังกล่าวข้างต้นยังมี Non-Technical Risk อื่นอีก นอกจากนี้ Blockchain จะมีความสามารถในการรักษาความลับแตกต่างกัน หากการออกแบบไม่ดี จะทำให้องค์กรอื่นบนแพลตฟอร์มเดียวกันเห็นข้อมูลได้ผู้ตรวจสอบจะต้องหารือร่วมกับวิศวกรคอมพิวเตอร์ว่าปัจจัยใดที่จะทำให้ผู้อื่นเห็นข้อมูลได้
  

ในช่วงสุดท้าย ดร.ภูมิ ได้กล่าวว่า ขณะนี้ประเทศไทยมีพระราชบัญญัติข้อมูลส่วนบุคคลแล้ว จึงขอฝากประเด็นที่อาจเกิดเป็นความเสี่ยงไว้ว่า ในยุโรปหากบุคคลใดนำข้อมูลส่วนบุคคลที่เข้ารหัสไปไว้ใน Blockchain และบุคคลดังกล่าวเพียงคนเดียวที่มีคีย์ ข้อมูลดังกล่าวจะเป็นข้อมูลของบุคคลนั้น แต่หากบุคคลใดนำข้อมูลส่วนบุคคลที่มิได้เข้ารหัสไปไว้บน Blockchain บุคคลอื่นสามารถเป็นเจ้าของข้อมูล (Data Controller) ร่วมด้วย และถ้าบุคคลใดนำข้อมูลที่เข้ารหัสไปไว้บน Blockchain และให้คีย์กับบุคคลอื่น เขาจะเป็นเจ้าของข้อมูลด้วยทันทีจึงเป็นสิ่งที่พึงระวังกรณีที่คีย์รั่วไหลไปยังบุคคลอื่นอย่างยิ่ง
            “การจะพัฒนาทุกสิ่งทุกอย่างให้เจริญนั้น จะต้องสร้างและเสริมขึ้น จากพื้นฐานเดิมที่มีอยู่ก่อนทั้งสิ้น ถ้าพื้นฐานไม่ดีหรือคลอนแคลน ที่จะเพิ่มเติมเสริมต่อให้เจริญขึ้นไปอีกนั้นก็ยากนักที่จะทำได้ เราจึงควรจะเข้าใจให้แจ้งชัดว่า นอกจากจะมุ่งสร้างความเจริญแล้วยังต้องพยายามรักษาพื้นฐานให้มั่นคงไปพร้อม ๆ กัน” นี่คือพระราชดำรัสของในหลวงรัชกาลที่ 9 ที่ชี้ให้เห็นว่า เราควรใช้ความก้าวหน้าของเทคโนโลยี มาเพิ่มเติมเสริมต่องานของผู้ตรวจสอบให้มีคุณภาพพร้อม ๆ กับความพยายามรักษาพื้นฐานให้มั่นคง คือ การเพิ่มคุณค่า ปรับปรุงการดำเนินงาน และช่วยให้องค์การบรรลุเป้าหมายนะคะ กลับมาพบกันใหม่ กับสรุปสาระสำคัญจากการเสวนา ความท้าทายของผู้ตรวจสอบกับเทคโนโลยี AI และ Blockchain ตอนสุดท้ายในฉบับถัดไป แล้วพบกันค่ะ

โดย..ผศ.ขวัญหทัย มิตรภานนท์ คณะทำงานและเลขานุการ โครงการพัฒนาหลักสูตรการอบรมด้านการตรวจสอบภายใน