Một số thông lệ và mô hình quản trị rủi ro nổi bật
Trên thế giới, nhiều chuẩn mực và khung hướng dẫn đã ra đời nhằm giúp các tổ chức quản trị rủi ro công nghệ thông tin, bao gồm rủi ro từ công nghệ mới như AI.
Chẳng hạn, Viện Tiêu chuẩn và Công nghệ Quốc gia Hoa Kỳ (NIST) đã ban hành Khung quản lý rủi ro AI (AI RMF 1.0) vào tháng 1/2023. Đây là hướng dẫn tự nguyện giúp các tổ chức tích hợp các nguyên tắc “AI đáng tin cậy” (trustworthy AI) vào quá trình thiết kế, phát triển và sử dụng hệ thống AI. Khung NIST nhấn mạnh, quản lý rủi ro phải là một quá trình liên tục suốt vòng đời AI, với bốn chức năng cốt lõi: Quản trị (govern), Lập bản đồ rủi ro (Map), Đo lường (Measure) và Quản lý (Manage). Các nguyên tắc như tính minh bạch, công bằng, bảo mật, an toàn... được lồng ghép trong từng chức năng. Ví dụ, chức năng Govern yêu cầu xây dựng văn hóa quản trị rủi ro AI, thiết lập chính sách và trách nhiệm rõ ràng; Map yêu cầu xác định bối cảnh sử dụng AI, các bên liên quan và nguy cơ tiềm ẩn; Measure tập trung vào đánh giá, phân tích rủi ro (độ chính xác, độ lệch, độ an toàn); Manage hướng dẫn cách ưu tiên xử lý, giảm thiểu rủi ro đã nhận diện.
Khung NIST AI RMF được coi là nền tảng để các tổ chức kiểm soát rủi ro AI một cách có hệ thống và linh hoạt, có thể tùy biến phù hợp quy mô từng đơn vị. Nhiều ngân hàng lớn dựa trên khung này để rà soát độ an toàn của các dự án AI trước khi triển khai.
Ủy ban các Tổ chức Tài trợ (COSO) cũng đã ban hành hướng dẫn mới về AI - Khung quản trị rủi ro doanh nghiệp COSO ERM. Năm 2023, COSO phối hợp với Deloitte phát hành báo cáo “Realize the Full Potential of AI” nhằm hướng dẫn tích hợp quản trị rủi ro AI vào chiến lược và hoạt động của doanh nghiệp. Nguyên tắc COSO ERM nhấn mạnh việc gắn quản lý rủi ro với mục tiêu kinh doanh, nên với AI, doanh nghiệp cần xác định khẩu vị rủi ro cho các ứng dụng AI (chấp nhận mức rủi ro nào, lợi ích kỳ vọng ra sao) và thiết kế cơ cấu quản trị phù hợp. Báo cáo COSO khuyến nghị xây dựng hệ thống quản trị, kiểm soát và giám sát AI trong doanh nghiệp - ví dụ thành lập hội đồng AI, ban hành chính sách AI có đạo đức, đào tạo nhân viên về rủi ro AI - nhằm “nhân hòa” giữa con người và AI.
 |
Bà Nguyễn Thu Bình, Quyền giám đốc Quản trị rủi ro, Công ty cổ phần Quản lý quỹ PVI |
COSO đề cập một khái niệm mới là “algorithmic disgorgement” (tạm hiểu là hủy bỏ lợi ích thu được từ thuật toán gây hại) trong các chế tài pháp lý gần đây, cho thấy cơ quan quản lý sẵn sàng xử phạt nếu doanh nghiệp triển khai AI thiếu kiểm soát gây hậu quả. Điều này càng đòi hỏi các ngân hàng và công ty tài chính áp dụng chuẩn mực quản trị như COSO để phòng ngừa rủi ro pháp lý từ AI.
Trong khi đó, Ủy ban Basel đưa rủi ro công nghệ thông tin vào danh mục rủi ro hoạt động mà ngân hàng phải trích vốn và quản lý từ Basel II và năm 2021 ban hành Nguyên tắc về khả năng hoạt động liên tục (Operational Resilience), yêu cầu các ngân hàng tăng cường khả năng chống chịu các sự cố công nghệ, tấn công mạng.... Basel nhấn mạnh vai trò quản trị rủi ro mô hình (Model Risk Management), khuyến cáo các ngân hàng thiết lập khung quản lý cho toàn bộ mô hình định lượng, bao gồm mô hình AI/ML. Năm 2024, Chủ tịch Ủy ban Basel kêu gọi các ngân hàng đưa rủi ro AI/ML vào hệ thống quản trị thường nhật ở cả cấp vi mô và vĩ mô.
Ở các quốc gia phát triển, nhiều đạo luật mới đã ra đời như Đạo luật Dịch vụ Kỹ thuật số và Khả năng chống chịu số (DORA) của Liên minh châu Âu có hiệu lực từ tháng 1/2025, bắt buộc mọi tổ chức tài chính trong EU tuân thủ các tiêu chuẩn nghiêm ngặt về quản lý rủi ro công nghệ thông tin và truyền thông (ICT), an ninh mạng và giám sát rủi ro nhà cung cấp thứ ba. Ngân hàng Trung ương Anh và Cơ quan tiền tệ Singapore (MAS) đã ban hành hướng dẫn về rủi ro AI và quản lý nhà cung cấp đám mây, yêu cầu các tổ chức đánh giá kỹ lưỡng trước khi sử dụng công nghệ mới.
Xu hướng chung là các chuẩn mực quản trị rủi ro công nghệ thông tin ngày càng chặt chẽ và bao quát hơn, phản ánh sự quan tâm của nhà làm luật tới rủi ro công nghệ trong hệ thống tài chính.
 |
Quản trị rủi ro trong kỷ nguyên AI đòi hỏi cách tiếp cận mới, toàn diện hơn so với quản trị công nghệ thông tin truyền thống |
Hướng đi cho quản trị rủi ro công nghệ thông tin tại Việt Nam
Đối với Việt Nam, nơi hệ thống tài chính đang trong giai đoạn tăng tốc chuyển đổi số, việc nâng cấp bài toán quản trị rủi ro công nghệ thông tin là rất cấp thiết. Dưới đây là một số định hướng gợi ý.
Một là, áp dụng thông lệ quốc tế phù hợp. Các ngân hàng Việt Nam nên tham khảo và đi tắt đón đầu bằng cách áp dụng những khung quản trị tiên tiến như NIST CSF/AI RMF, COSO ERM, cũng như tuân thủ các nguyên tắc của Basel về rủi ro hoạt động và an toàn công nghệ thông tin. Ví dụ, xây dựng chính sách quản trị rủi ro AI nội bộ dựa trên NIST AI RMF - xác định rõ quy trình đánh giá rủi ro trước khi triển khai mô hình AI mới, tiêu chí chấp nhận model, kế hoạch giám sát sau triển khai. Bên cạnh đó, tuân thủ các tiêu chuẩn ISO về quản lý an ninh thông tin (ISO 27001) và quản lý rủi ro (ISO 31000), giúp tạo nền tảng vững chắc cho bảo mật hệ thống và quản trị rủi ro doanh nghiệp.
Hai là, hoàn thiện khung pháp lý và hướng dẫn từ cơ quan quản lý. Ngân hàng Nhà nước và các cơ quan quản lý nên sớm nghiên cứu ban hành hướng dẫn chuyên biệt về quản lý rủi ro công nghệ thông tin và rủi ro AI trong lĩnh vực tài chính. Hiện tại, Ngân hàng Nhà nước đã có các quy định về an toàn hệ thống thông tin (ví dụ: yêu cầu xếp hạng mức độ rủi ro hệ thống công nghệ thông tin, tuân thủ tiêu chuẩn an ninh mạng). Tuy nhiên, trước xu hướng AI, cần bổ sung những nội dung như yêu cầu thẩm định mô hình AI trước khi sử dụng trong hoạt động cấp tín dụng, giao dịch tự động; quy định về trách nhiệm khi xảy ra sự cố do hệ thống tự động; hướng dẫn lưu trữ dữ liệu và bảo vệ quyền riêng tư khi dùng AI.
Cơ quan quản lý cũng có thể xây dựng bộ tiêu chí đánh giá mức độ rủi ro của một ứng dụng AI tương tự dự thảo AI Act của EU, từ đó áp dụng biện pháp quản lý tương xứng. Sự chủ động từ phía nhà làm luật sẽ giúp định hướng cho các ngân hàng, công ty chứng khoán triển khai ứng dụng công nghệ một cách an toàn, đúng pháp luật.
Ba là, đầu tư vào con người và văn hóa rủi ro. Công nghệ chỉ an toàn khi con người vận hành nó một cách trách nhiệm. Do đó, các tổ chức tài chính cần đào tạo đội ngũ chuyên gia về quản trị rủi ro công nghệ thông tin và AI. Không chỉ là chuyên gia công nghệ, mà cả nhân sự ở tuyến đầu (giao dịch viên, nhân viên tư vấn) cũng cần hiểu những rủi ro cơ bản khi sử dụng AI để cảnh giác và phản hồi kịp thời.
Bên cạnh đó, xây dựng văn hóa quản trị rủi ro trong doanh nghiệp, khuyến khích việc chủ động nhận diện và báo cáo rủi ro. Ví dụ, khen thưởng những sáng kiến cải thiện an ninh mạng, hay tổ chức diễn tập định kỳ các kịch bản ứng phó sự cố công nghệ (tấn công mạng, sự cố hệ thống giao dịch tự động). Văn hóa này sẽ là nền tảng mềm hỗ trợ các quy trình và công cụ quản lý rủi ro cứng.
Bốn là, tận dụng giải pháp công nghệ cho quản trị rủi ro. Công nghệ (AI) có thể hỗ trợ ngược lại cho bài toán quản trị rủi ro công nghệ thông tin - cái gọi là SupTech hay RegTech. Các ngân hàng có thể triển khai AI để giám sát log hệ thống, phát hiện sớm dấu hiệu bất thường hoặc thử nghiệm mô phỏng tấn công (AI giả lập hacker để kiểm tra lỗ hổng). Nhiều tổ chức đã dùng ML để phân tích lưu lượng mạng, kịp thời cảnh báo nếu có hành vi bất thường có thể là tấn công mạng. Ngân hàng Nhà nước và Ủy ban Chứng khoán Nhà nước có thể ứng dụng SupTech để theo dõi giao dịch thị trường theo thời gian thực, phát hiện hành vi thao túng do robot giao dịch gây ra. Việc “lấy độc trị độc” - dùng AI quản lý AI có thể sẽ là xu hướng trong công tác quản lý rủi ro.
Rủi ro khi sử dụng AI đối với các doanh nghiệp tham gia đầu tư tài chính
Không chỉ các ngân hàng, công ty chứng khoán hay tổ chức quản lý quỹ, mà ngày càng nhiều doanh nghiệp ngoài ngành tài chính - đặc biệt là các tập đoàn lớn, công ty niêm yết, startup công nghệ - cũng tham gia vào hoạt động đầu tư tài chính, quản lý dòng tiền và sử dụng công nghệ như một phần không thể thiếu trong quản trị doanh nghiệp. Trong quá trình đó, nhiều công ty đã triển khai các công cụ AI, phần mềm tự động hóa để hỗ trợ phân tích tài chính, xử lý hợp đồng, thậm chí tư vấn đầu tư. Tuy nhiên, việc áp dụng công nghệ cũng mang đến không ít rủi ro nếu không được kiểm soát chặt chẽ.
Một trong những rủi ro lớn nhất là nguy cơ rò rỉ thông tin nhạy cảm. AI cần lượng lớn dữ liệu để huấn luyện và hoạt động hiệu quả. Nếu doanh nghiệp sử dụng các mô hình AI từ bên thứ ba hoặc lưu trữ dữ liệu thiếu bảo mật, các thông tin như tài khoản giao dịch, hợp đồng đầu tư, quy trình nội bộ, hay dữ liệu cá nhân của khách hàng hoàn toàn có thể bị khai thác trái phép hoặc rò rỉ ra ngoài. Đặc biệt, khi sử dụng các dịch vụ AI phổ biến như ChatGPT, Copilot, hay các công cụ tích hợp đám mây, doanh nghiệp cần thiết lập quy trình rõ ràng về phân loại dữ liệu, quyền truy cập và lưu trữ an toàn.
Một thách thức khác đến từ rủi ro pháp lý khi để AI thực hiện những hành vi mang tính ràng buộc như duyệt hợp đồng, sửa đổi điều khoản thanh toán, hoặc tự động hóa phản hồi pháp lý. Nếu AI được triển khai mà không có sự giám sát của con người tại các điểm quyết định then chốt, doanh nghiệp có thể vô tình vi phạm quy định nội bộ hoặc luật pháp bên ngoài, dẫn đến tranh chấp và thiệt hại không đáng có. Vì vậy, cần có cơ chế kiểm duyệt rõ ràng - tức là các quyết định có ảnh hưởng pháp lý hoặc tài chính cần được con người phê duyệt và chỉ nên coi AI là công cụ hỗ trợ trong quá trình chuẩn bị hoặc đề xuất.
Không thể không nhắc đến nguy cơ “thui chột” năng lực con người. Khi nhân viên phụ thuộc quá mức vào các khuyến nghị từ AI - chẳng hạn mô hình định giá tự động, phân tích rủi ro đầu tư, hay dự báo dòng tiền - họ có thể dần mất đi khả năng tự phản biện và đánh giá tình huống bằng kinh nghiệm cá nhân. Đây là điều nguy hiểm trong dài hạn, đặc biệt với các nhân sự trẻ chưa đủ nền tảng nghiệp vụ. Việc đào tạo nội bộ nên kết hợp giữa hiểu biết công nghệ và duy trì khả năng tư duy độc lập, để AI là người bạn đồng hành chứ không thay thế vai trò của con người.
Cuối cùng, các doanh nghiệp cần cảnh giác với sự phụ thuộc vào một vài nhà cung cấp công nghệ. Nếu toàn bộ hệ thống AI, dữ liệu và phân tích đều được triển khai trên một nền tảng duy nhất mà không có kế hoạch thay thế hoặc sao lưu, khi nhà cung cấp thay đổi chính sách hoặc ngừng dịch vụ, doanh nghiệp sẽ rơi vào thế bị động. Điều này đòi hỏi doanh nghiệp phải xem xét kỹ điều khoản hợp đồng công nghệ, đặc biệt về quyền sở hữu dữ liệu, khả năng xuất nhập dữ liệu và phương án thay thế trong trường hợp khẩn cấp.
Việc ứng dụng AI vào đầu tư tài chính là xu thế tất yếu với nhiều giá trị thực tiễn, nhưng để tận dụng hiệu quả mà không bị cuốn theo mặt trái, doanh nghiệp cần có nhận thức đúng đắn, thiết kế quy trình kiểm soát phù hợp và luôn đặt yếu tố bảo mật - pháp lý - con người làm nền tảng trong chiến lược công nghệ.
Khuyến nghị cho các doanh nghiệp khi sử dụng AI
Để tận dụng hiệu quả công nghệ AI mà không rơi vào các rủi ro khó kiểm soát, doanh nghiệp cần một chiến lược triển khai thận trọng và toàn diện.
Trước hết, rà soát lại toàn bộ hệ thống văn bản nội bộ, quy trình nghiệp vụ và mô hình vận hành hiện tại, nhằm xác định những điểm có thể ứng dụng AI để gia tăng hiệu quả - từ khâu xử lý dữ liệu tài chính, phân tích đầu tư, quản lý hợp đồng đến hỗ trợ quyết định. Đây là bước đi thiết yếu để tránh ứng dụng công nghệ theo kiểu phong trào hoặc rời rạc, đồng thời bảo đảm AI được tích hợp một cách hợp lý vào quy trình chuẩn.
Thứ hai, tăng cường quản trị chuyển đổi số ở cấp chiến lược. Chuyển đổi số không chỉ là bài toán kỹ thuật mà là thay đổi cách vận hành tổ chức. Doanh nghiệp nên thành lập ban chỉ đạo chuyển đổi số, lồng ghép mục tiêu công nghệ vào chiến lược kinh doanh và thiết lập cơ chế điều phối liên phòng ban. Vai trò của ban lãnh đạo là quyết định - không chỉ phê duyệt ngân sách, mà phải dẫn dắt thay đổi tư duy và ưu tiên đầu tư đúng trọng tâm.
Thứ ba, đầu tư đào tạo đội ngũ cán bộ, nhân viên (CBNV) - không chỉ ở cấp kỹ thuật, mà cả các bộ phận vận hành, tài chính, pháp chế, đầu tư - để hiểu cách thức AI hoạt động, sử dụng đúng mục đích và biết phản biện lại kết quả mà AI đưa ra. Quá trình này nên bắt đầu từ chuyển đổi tư duy con người: từ “AI là công cụ thay thế” sang “AI là trợ lý có thể kiểm soát”. Đây là yếu tố then chốt để công nghệ trở thành bạn đồng hành, thay vì rủi ro tiềm ẩn.
Thứ tư, thiết kế các chốt kiểm soát phù hợp trong từng quy trình có ứng dụng AI, đặc biệt là với những hành vi có hệ quả pháp lý, tài chính hoặc ảnh hưởng đến quyền lợi khách hàng. Những chốt kiểm soát này có thể là quy trình phê duyệt của con người trước khi AI đưa ra quyết định chính thức, cơ chế kiểm thử định kỳ, hay nhật ký theo dõi các hoạt động của hệ thống AI để phục vụ kiểm toán và phản hồi khi có sự cố.
Cuối cùng, tổ chức cần cảnh giác với rủi ro về bảo mật thông tin, pháp lý và phụ thuộc công nghệ để xây dựng một chiến lược công nghệ bền vững, không chỉ hiệu quả mà còn có khả năng kiểm soát rủi ro chặt chẽ.
