Mỹ công bố cẩm nang quản lý rủi ro AI cho ngành tài chính

Bộ Ngân khố Hoa Kỳ (United States Department of the Treasury) vừa công bố một loạt tài liệu nhằm hỗ trợ ngành dịch vụ tài chính tại Mỹ quản lý rủi ro khi triển khai trí tuệ nhân tạo (AI). Những tài liệu này đề xuất một cách tiếp cận có hệ thống để các tổ chức tài chính đánh giá và kiểm soát rủi ro AI trong hoạt động và chính sách của mình.

Trung tâm của bộ tài liệu là Khung quản lý rủi ro AI cho ngành dịch vụ tài chính (FS AI RMF), đi kèm một Guidebook giải thích chi tiết cách áp dụng. Khung này được xây dựng thông qua sự hợp tác của hơn 100 tổ chức tài chính và hiệp hội trong ngành, với sự tham gia tư vấn từ các cơ quan quản lý và tổ chức kỹ thuật.

Mục tiêu của FS AI RMF là giúp các tổ chức tài chính nhận diện, đánh giá, quản lý và giám sát rủi ro liên quan đến các hệ thống AI, đồng thời cho phép họ tiếp tục áp dụng công nghệ này một cách có trách nhiệm.

Khung quản lý dành riêng cho ngành tài chính

Sự xuất hiện của AI đã tạo ra nhiều loại rủi ro mà các mô hình quản trị công nghệ truyền thống chưa giải quyết đầy đủ.

Trong đó có những vấn đề như thiên vị thuật toán, thiếu minh bạch trong quá trình ra quyết định, lỗ hổng an ninh mạng, cũng như sự phụ thuộc phức tạp giữa hệ thống, dữ liệu và mô hình.

Các mô hình ngôn ngữ lớn (LLM) càng làm tăng mối lo này. Không giống phần mềm truyền thống có hành vi xác định rõ ràng, kết quả do AI tạo ra có thể thay đổi tùy theo bối cảnh, khiến việc dự đoán hoặc giải thích trở nên khó khăn hơn.

Ngành tài chính vốn đã hoạt động trong môi trường quản lý rất chặt chẽ, và trước đây đã có nhiều hướng dẫn chung như khung quản lý rủi ro AI của National Institute of Standards and Technology. Tuy nhiên, các khung chung này thường thiếu chi tiết để phản ánh đầy đủ đặc thù hoạt động và yêu cầu pháp lý của lĩnh vực tài chính.

FS AI RMF vì vậy được xem như một phần mở rộng của khung NIST, bổ sung các biện pháp kiểm soát chuyên biệt và hướng dẫn triển khai thực tế cho các tổ chức tài chính.

Cẩm nang đi kèm giúp các doanh nghiệp đánh giá mức độ trưởng thành trong việc ứng dụng AI và thiết lập các biện pháp kiểm soát nhằm giảm thiểu rủi ro, đồng thời thúc đẩy việc áp dụng AI một cách nhất quán và có trách nhiệm trong toàn ngành.

Cấu trúc chính của khung quản lý

FS AI RMF được thiết kế để kết nối việc quản trị AI với các quy trình quản trị, quản lý rủi ro và tuân thủ vốn đã tồn tại trong các tổ chức tài chính.

Khung này gồm bốn thành phần chính. Đầu tiên là bảng câu hỏi đánh giá mức độ áp dụng AI, cho phép tổ chức xác định mức trưởng thành trong việc sử dụng công nghệ này. Thành phần thứ hai là ma trận rủi ro và kiểm soát, bao gồm các tuyên bố rủi ro và mục tiêu kiểm soát phù hợp với từng giai đoạn áp dụng AI.

Cẩm nang hướng dẫn cách triển khai khung quản lý, trong khi tài liệu tham chiếu riêng cung cấp các ví dụ về biện pháp kiểm soát và loại bằng chứng cần thiết để chứng minh việc tuân thủ.

Tổng cộng, khung FS AI RMF xác định 230 mục tiêu kiểm soát, được tổ chức theo bốn chức năng chính, dựa trên mô hình của khung quản lý rủi ro AI của NIST: quản trị, lập bản đồ rủi ro, đo lường và quản lý.

Mỗi chức năng lại được chia thành nhiều danh mục và tiểu danh mục mô tả các yếu tố cần thiết để xây dựng hệ thống quản trị và quản lý rủi ro AI hiệu quả.

Một phần quan trọng của khung là bảng câu hỏi giúp xác định mức độ tổ chức đang sử dụng AI.

Một số doanh nghiệp chỉ sử dụng các mô hình dự đoán truyền thống trong phạm vi hạn chế. Một số khác triển khai AI trong các quy trình kinh doanh cốt lõi, hoặc ứng dụng AI trong các dịch vụ trực tiếp với khách hàng.

Bảng đánh giá giúp xác định vị trí của tổ chức trong phổ ứng dụng AI, dựa trên các yếu tố như tác động kinh doanh của AI, cơ chế quản trị, mô hình triển khai, việc sử dụng nhà cung cấp AI bên thứ ba, mục tiêu tổ chức và mức độ nhạy cảm của dữ liệu.

Từ đó, các tổ chức được phân thành bốn giai đoạn phát triển.

Ở giai đoạn đầu, AI hầu như chưa được triển khai trong hoạt động thực tế và chỉ mới được xem xét. Ở giai đoạn tối thiểu, AI được sử dụng trong một số lĩnh vực có rủi ro thấp hoặc các hệ thống riêng lẻ.

Khi bước sang giai đoạn phát triển, các tổ chức bắt đầu vận hành các hệ thống AI phức tạp hơn, bao gồm những ứng dụng xử lý dữ liệu nhạy cảm hoặc phụ thuộc vào dịch vụ bên ngoài. Giai đoạn cuối cùng là khi AI đã được tích hợp sâu vào hoạt động kinh doanh và đóng vai trò quan trọng trong quá trình ra quyết định.

Việc phân loại này giúp các tổ chức tập trung triển khai các biện pháp kiểm soát phù hợp với mức độ trưởng thành của mình. Những doanh nghiệp ở giai đoạn đầu không cần áp dụng toàn bộ các kiểm soát ngay lập tức, nhưng khi AI được tích hợp sâu hơn, khung quản lý sẽ bổ sung thêm các biện pháp để xử lý rủi ro gia tăng.

Kiểm soát rủi ro trong hệ thống AI

Các mục tiêu kiểm soát trong từng giai đoạn ứng dụng AI bao gồm nhiều khía cạnh như quản trị dữ liệu, giám sát thiên vị thuật toán, bảo mật hệ thống, tính minh bạch trong quá trình ra quyết định và khả năng duy trì hoạt động ổn định.

Cẩm nang cũng đưa ra các ví dụ về biện pháp kiểm soát và loại bằng chứng mà các tổ chức có thể sử dụng để chứng minh rằng họ đang tuân thủ quy định. Tuy nhiên, mỗi doanh nghiệp vẫn cần lựa chọn những biện pháp phù hợp nhất với hệ thống của mình.

Khung quản lý cũng khuyến nghị xây dựng quy trình ứng phó sự cố riêng cho các hệ thống AI, đồng thời tạo một cơ sở dữ liệu trung tâm để theo dõi các sự cố liên quan đến AI. Những biện pháp này giúp tổ chức phát hiện sớm lỗi hệ thống và cải thiện quy trình quản trị theo thời gian.

Nguyên tắc xây dựng AI đáng tin cậy

FS AI RMF tích hợp các nguyên tắc về AI đáng tin cậy, bao gồm tính chính xác và độ tin cậy, an toàn, bảo mật và khả năng phục hồi, trách nhiệm giải trình, minh bạch, khả năng giải thích, bảo vệ quyền riêng tư và tính công bằng.

Những nguyên tắc này tạo nền tảng để đánh giá hệ thống AI trong toàn bộ vòng đời của chúng. Nói cách đơn giản, các tổ chức tài chính cần đảm bảo rằng kết quả do AI tạo ra là đáng tin cậy, hệ thống được bảo vệ trước các mối đe dọa mạng và các quyết định quan trọng có thể được giải thích khi cần thiết.

Đối với lãnh đạo các tổ chức tài chính, FS AI RMF cung cấp một hướng dẫn để tích hợp AI vào các hệ thống quản trị rủi ro hiện có.

Khung này nhấn mạnh rằng việc quản trị AI không thể chỉ do một bộ phận phụ trách. Các nhóm công nghệ, chuyên gia quản lý rủi ro, bộ phận tuân thủ và các đơn vị kinh doanh đều cần tham gia vào quá trình quản trị AI.

Nếu triển khai AI mà không củng cố hệ thống quản trị, các tổ chức có thể phải đối mặt với sự cố vận hành, rủi ro pháp lý hoặc tổn hại danh tiếng. Ngược lại, những doanh nghiệp xây dựng được cơ chế quản trị rõ ràng sẽ tự tin hơn trong việc triển khai công nghệ này.

Cẩm nang cũng nhấn mạnh rằng quản lý rủi ro AI là một quá trình liên tục. Khi công nghệ phát triển và các yêu cầu pháp lý thay đổi, các tổ chức cần cập nhật phương pháp quản trị và đánh giá rủi ro của mình.

Đối với ngành tài chính, thông điệp rất rõ ràng: việc ứng dụng AI phải luôn đi cùng với hệ thống quản trị rủi ro tương ứng, và một khung quản lý có cấu trúc như FS AI RMF sẽ giúp các tổ chức có chung ngôn ngữ và phương pháp để thích ứng với sự thay đổi đó.