Tác giả: Richard Caven
Ngày phát hành: 30 JAN 2026
Chuyên mục: Amazon Bedrock Guardrails, Financial Services, Industries

Giới thiệu

Vào năm 2022, chúng tôi đã xuất bản một bài blog có tiêu đề “Khung quản lý rủi ro doanh nghiệp của bạn đã sẵn sàng cho Cloud chưa?” trong đó trình bày cách thức và lý do Khung quản lý rủi ro doanh nghiệp (ERMFs) cần thay đổi để phù hợp với việc áp dụng công nghệ Cloud. Trong ba năm qua, chúng tôi đã nhận thấy rằng những khách hàng đang đạt được nhiều tiến bộ nhất trong quá trình chuyển đổi kỹ thuật số của họ thực sự đã suy nghĩ khác về rủi ro công nghệ và điều chỉnh ERMFs của họ để phản ánh điều này. Trong số những điều khác, nó đã mang lại cho các nhà ra quyết định kinh doanh cấp cao và các bên liên quan (tức là những người bên ngoài chức năng công nghệ) sự tự tin hơn để sử dụng Cloud để đổi mới và xây dựng khả năng phục hồi cho tổ chức của họ vì bản chất rủi ro công nghệ mà họ đang chấp nhận được hiểu rõ hơn và do đó được quản lý tốt hơn.

Điều đáng quay lại chủ đề này dưới ánh sáng của những phát triển trong AI tạo sinh và gần đây hơn là AI tác nhân để làm nổi bật cách các công nghệ này thay đổi bản chất của rủi ro vận hành và những gì có thể được thực hiện để khai thác giá trị mà chúng tạo ra trong khi quản lý các rủi ro vận hành mà chúng tạo ra.

Việc sử dụng AI không phải là mới

Các ngân hàng và các tổ chức tài chính khác đã sử dụng machine learning và AI trong ít nhất một thập kỷ nay. Ví dụ, các ngân hàng và Fintech sử dụng các mô hình suy luận cho các trường hợp sử dụng kinh doanh, chẳng hạn như đánh giá rủi ro tín dụng và phát hiện và ngăn chặn gian lận. Các chiến lược quản lý rủi ro đã phát triển song song với điều này để quản lý và giảm thiểu các rủi ro vận hành như sai lệch mô hình.

Kết quả phi xác định không phải là rủi ro duy nhất cần xem xét

Tuy nhiên, sự phát triển của AI tạo sinh đã thay đổi bản chất của rủi ro vận hành, và không chỉ vì các đầu ra của nó là phi xác định. Khả năng của nó cũng đã thay đổi cách các ngân hàng và khách hàng dịch vụ tài chính sử dụng công nghệ, và điều này cũng có những tác động. Bảng dưới đây nêu bật một số khác biệt giữa machine learning truyền thống hơn và AI tạo sinh.

So sánh bản chất khác biệt của rủi ro vận hành, AI/ML truyền thống và AI tạo sinh:

Hình 1: Các cân nhắc về rủi ro vận hành của AI

Trong khi AI tác nhân sử dụng các Foundation Model của AI tạo sinh, công nghệ này mở rộng đáng kể phạm vi các thách thức kinh doanh mà AI có thể giải quyết. Tốc độ thay đổi trong lĩnh vực này rất nhanh, và chúng ta đang thấy nó có tác động biến đổi trong nhiều ngành. Tiềm năng trong lĩnh vực ngân hàng và dịch vụ tài chính là rất lớn. Tuy nhiên, AI tác nhân sẽ có tác động trực tiếp hơn đến cách quản lý rủi ro vận hành so với AI tạo sinh đơn thuần. Ví dụ, trong hệ thống tác nhân của bạn có thể có:

• Các quyết định hoặc hành động mâu thuẫn được thực hiện bởi các tác nhân khác nhau
• Trải nghiệm khách hàng không nhất quán được cung cấp bởi các tác nhân trên các kênh hoặc sản phẩm
• Các vi phạm quy định không mong muốn do các lựa chọn thiết kế cục bộ trong một hệ thống doanh nghiệp rộng lớn hơn
• Mất khả năng giải thích và kiểm soát các kết quả tự động

AI tác nhân không chỉ là một sự thay đổi công nghệ. AI tác nhân yêu cầu một thiết kế lại vận hành để đảm bảo sự giám sát phù hợp. AI tác nhân hoạt động trên các chức năng như vận hành, rủi ro, tuân thủ và dịch vụ khách hàng vì nó tuân theo các mục tiêu từ đầu đến cuối thay vì các tác vụ bị cô lập hoặc tuần tự. AI tác nhân không thực thi các quy tắc; nó diễn giải, suy luận và chủ động. Đây là một vấn đề rủi ro kinh doanh vì AI tác nhân, nếu không được quản lý hiệu quả, có thể:

• Diễn đạt lại thông tin không chính xác
• Áp dụng phán đoán không tuân thủ
• Bỏ lỡ các yếu tố kích hoạt leo thang để kích hoạt các biện pháp bảo vệ “human in the loop”
• Tạo ra các kết quả không nhất quán

Ở quy mô lớn, rủi ro vận hành chuyển từ lỗi thực thi sang lỗi giám sát.

Làm thế nào chúng ta có thể hiểu rõ hơn và quản lý các rủi ro mới nổi này?

“Nếu một cỗ máy được kỳ vọng là không thể sai lầm, nó cũng không thể thông minh” – Alan Turing.

Trong khi giá trị tiềm năng mà tất cả các hình thức AI có thể tạo ra là đáng kể, giá trị đó đi kèm với rủi ro. Cách rủi ro đó được đánh giá và quản lý sẽ quyết định giá trị mà khách hàng thu được từ nó. Vậy làm thế nào chúng ta quản lý rủi ro vận hành của AI, khác biệt với các rủi ro công nghệ của việc xây dựng và quản lý các hệ thống/giải pháp AI?

Con người so với AI

Cả con người và AI đều mắc lỗi, nhưng họ làm điều đó khác nhau. Giải pháp thay thế cho việc sử dụng AI không phải là không có rủi ro. Cả con người và AI đều cần sự giám sát, quản trị và kiểm soát.

Hình 2: Con người so với AI

• Cả hai đều có thể gây tổn hại danh tiếng, vi phạm tuân thủ và gây hại cho khách hàng nếu không được quản lý.
• Cả hai đều tạo ra lỗi yêu cầu xem xét, leo thang và kiểm soát QA.
• Cả hai đều có thể suy luận sai, cả hai đều có thể hành xử sai, cả hai đều có thể vi phạm lòng tin.

Tại sao điều này lại quan trọng?

Cách rủi ro vận hành được quản lý và sự tự tin mà các giám đốc điều hành có được từ việc quản trị và kiểm soát nó sẽ quyết định giá trị mà AI có thể mang lại trong một tổ chức. Bản chất phức tạp và xác suất của các hệ thống AI có thể dẫn đến sai lệch, đối xử không công bằng, vi phạm bảo mật hoặc tuân thủ (ví dụ: theo các nguyên tắc GDPR, DORA, SR 11-7, SS1/23). Quan trọng hơn, rủi ro vận hành, dù là thực tế hay tưởng tượng, cũng làm suy yếu lòng tin của các giám đốc điều hành vào việc triển khai AI, điều này có thể cản trở việc thực hiện và giá trị kinh doanh mục tiêu. Nếu không có các phương tiện giám sát và kiểm soát việc sử dụng AI hiệu quả, các chính sách AI có trách nhiệm sẽ khó thực thi. Các mô hình hoạt động kém cũng có thể dẫn đến kết quả khách hàng kém và ra quyết định không hiệu quả.

“40% các dự án AI tác nhân sẽ bị hủy bỏ vào cuối năm 2027, do chi phí leo thang, giá trị kinh doanh không rõ ràng hoặc kiểm soát rủi ro không đầy đủ” – Gartner, tháng 6 năm 2025

INNOVATION: Mỗi thách thức hàng đầu mà chúng tôi thấy khách hàng của mình phải đối mặt khi vận hành AI/ML đều có ý nghĩa về rủi ro và quản trị.

1. Thiếu sự hợp tác đa chức năng – Các nhóm thường làm việc trong các silo, dẫn đến sự trùng lặp và thời gian đạt được giá trị chậm. Thiếu sự hợp tác và các cách tiếp cận không nhất quán đối với các tác vụ thường dẫn đến sự gia tăng các tiêu chuẩn và quy trình khác nhau khó quản lý – dẫn đến rủi ro vận hành không cần thiết.
2. Công cụ không hiệu quả – Thiếu các nền tảng AIOps mạnh mẽ để theo dõi thử nghiệm tập trung, quản lý phiên bản mô hình và CI/CD có thể dẫn đến các quy trình thủ công/tùy tiện làm chậm quá trình lặp lại và đổi mới. Các quy trình xây dựng và triển khai không hiệu quả tạo ra các cách tiếp cận không nhất quán, dẫn đến rủi ro vận hành không cần thiết.
3. Quản trị dữ liệu và AI kém – Khách hàng có thể gặp khó khăn với các silo dữ liệu, khả năng khám phá và chất lượng. Thiếu quản trị và nguồn gốc làm xói mòn lòng tin vào việc sử dụng dữ liệu tuân thủ. Quản trị dữ liệu và mô hình, guardrails, bảo mật và tuân thủ thường không rõ ràng và các tiêu chuẩn khó thực thi – dẫn đến rủi ro vận hành không cần thiết.

GOVERNANCE: Ngoài ra, bản thân ERMFs cần thích nghi để phù hợp với sự thay đổi về bản chất của rủi ro do việc sử dụng AI:

• Nhu cầu phát triển từ đánh giá rủi ro tĩnh, định kỳ sang cách tiếp cận giám sát liên tục, năng động hơn để phù hợp với cách công nghệ được sử dụng
• Không giống như các quy trình do con người điều khiển, AI tạo sinh dễ dàng mở rộng quy mô nhanh chóng hơn, quản trị và kiểm soát cũng cần mở rộng quy mô.
• Chỉ các nhà quản lý rủi ro công nghệ không thể quản lý đầy đủ rủi ro vận hành. Quản trị và kiểm soát nên ánh xạ tới cấu trúc quản lý hiện có trong doanh nghiệp để điều chỉnh mức độ chấp nhận rủi ro trong từng trường hợp và lợi nhuận kỳ vọng.

Quản trị và kiểm soát rủi ro hiệu quả nên cho phép đổi mới bằng cách sử dụng công nghệ một cách bền vững lâu dài và phản ánh cách công nghệ được sử dụng.

Hầu hết các ERMFs được phát triển trước AI tạo sinh. Do đó, chúng thường có thể hạn chế đổi mới được hỗ trợ bởi công nghệ vì:

• Chúng không phản ánh bản chất đã thay đổi của rủi ro, dẫn đến xếp hạng rủi ro mặc định cao hơn
• Chúng dựa vào các quy trình phê duyệt tuyến tính không phù hợp với sự phát triển công nghệ nhanh chóng/lặp đi lặp lại
• Các nhóm rủi ro có thể thiếu kiến thức về AI
• Chúng không được thiết kế cho các mô hình AI đa năng có thể được triển khai cho nhiều mục đích kinh doanh mà không cần đào tạo lại.

Thay vì thêm một phần “Rủi ro AI tạo sinh”, các khách hàng áp dụng công nghệ này thành công nhất đang nhúng AI tạo sinh vào các danh mục rủi ro vận hành hiện có của họ và cập nhật phân loại rủi ro, KRIs và các biện pháp kiểm soát của họ cho phù hợp. Để minh họa, bảng dưới đây nêu bật tác động tiềm tàng mà việc sử dụng AI tạo sinh ở quy mô doanh nghiệp có thể có đối với các danh mục rủi ro vận hành điển hình.

Hình 3: Phân loại rủi ro vận hành

Hiểu cách các công cụ và tính năng dịch vụ AI tạo sinh có thể được tận dụng để khuyến khích đổi mới giúp giảm đáng kể chi phí và tăng tốc độ ra thị trường. Không quản lý rủi ro vận hành khi nó xuất hiện sẽ dẫn đến tăng chi phí và, quan trọng không kém, làm giảm khả năng đổi mới của một tổ chức. Nó cũng có thể dẫn đến sự mất mát nhân sự đáng tiếc khi những người có kỹ năng liên quan đến AI tìm kiếm cơ hội khác để phát triển sự nghiệp của họ.

Rủi ro mới, công cụ mới để quản lý chúng

Mục đích của bài blog này là làm nổi bật một số khía cạnh ít được xem xét hơn của công nghệ thú vị này và lưu ý rằng bản chất thay đổi của rủi ro vận hành không nhất thiết là tăng dần nếu được quản lý cẩn thận. Công việc của các tổ chức như FINOS đang giúp phát triển các khung quản trị AI để xác định rủi ro và các biện pháp giảm thiểu nhằm giúp việc áp dụng dễ dàng hơn.

Các công nghệ mới cũng có tiềm năng giảm rủi ro một cách chủ động. Chúng ta thấy điều này trong việc giảm tỷ lệ tử vong do đi lại bằng đường hàng không trên mỗi triệu hành khách, chẳng hạn. Các công nghệ mới cũng mang đến các công cụ mới để giúp quản lý rủi ro. Chúng ta biết từ việc áp dụng cơ sở hạ tầng Cloud rằng tự động hóa theo thời gian thường dẫn đến rủi ro thấp hơn khi các quy trình quản trị và kiểm soát được tích hợp và ‘tuân thủ theo thiết kế’.

Tại AWS, chúng tôi đã và đang đổi mới và đơn giản hóa thay mặt khách hàng để cung cấp cho họ các công cụ để quản lý hiệu quả các rủi ro vận hành có thể được tạo ra bởi AI. Ví dụ:

• Amazon Bedrock Guardrails – Guardrails cho phép các nhà phân tích kinh doanh (sử dụng các lời nhắc ngôn ngữ tự nhiên) đặt các điều kiện về cách AI tạo sinh phản hồi các lời nhắc để nó có thể được điều chỉnh, ví dụ, không cung cấp ‘lời khuyên tài chính’ theo quy định, hoặc phản hồi bằng các thuật ngữ thô lỗ hoặc xúc phạm khác. Chúng cũng có thể được sử dụng cho các kết quả tích cực hơn, chẳng hạn như giọng điệu và giọng nói thương hiệu. Chúng giúp phát hiện và ngăn chặn các ảo giác và cung cấp nhật ký có thể kiểm toán về việc sử dụng mô hình để xác minh – hữu ích cho các trường hợp báo cáo quy định hoặc điều tra.
• Amazon Bedrock Automated Reasoning kiểm tra nội dung ngôn ngữ tự nhiên dựa trên các chính sách đã xác định của công ty, đảm bảo tuân thủ nghiêm ngặt các guardrails đã xác định của bạn (các giải thích có thể kiểm toán, có thể xác minh bằng toán học cho các quyết định xác thực với độ chính xác 99%). Các kiểm tra này giúp chặn một cách có hệ thống nội dung có hại hoặc không tuân thủ trước khi nó đến tay người dùng. Không giống như các cách tiếp cận khớp mẫu, Automated Reasoning mang lại độ chính xác cao hơn với ít lỗi dương tính giả hơn, đặc biệt đối với các yêu cầu chính sách phức tạp.
• Amazon Bedrock AgentCore Identity quản lý tập trung danh tính tác nhân theo các quy tắc đã xác định của từng khách hàng, đảm bảo rằng họ có quyền truy cập dữ liệu với đặc quyền tối thiểu, nhật ký kiểm toán đầy đủ và kiểm soát thông tin xác thực mạnh mẽ để thực thi phân tách nhiệm vụ, kiểm soát quyền truy cập công cụ và giảm thiểu rủi ro liên quan đến truy cập trái phép hoặc rò rỉ dữ liệu PII.
• Amazon Bedrock AgentCore Observability cung cấp khả năng hiển thị từng bước, theo thời gian thực về cách các tác nhân hoạt động trong môi trường sản xuất. Điều này giúp dễ dàng phát hiện lỗi, kiểm soát chi phí, chứng minh các biện pháp kiểm soát và điều tra sự cố theo cách mà một chức năng tuân thủ hoặc kiểm toán nội bộ có thể thực hiện đối với một quy trình thủ công.
• Amazon Bedrock AgentCore Gateway Policy and Evaluations chủ động chặn các hành động tác nhân trái phép thông qua các kiểm soát xác định, theo thời gian thực hoạt động bên ngoài mã tác nhân và giúp các nhà phát triển liên tục kiểm tra chất lượng của một tác nhân dựa trên hành vi của nó.

Nhìn chung, Amazon Bedrock Guardrails, Automated Reasoning và các tính năng khác nhau của Amazon Bedrock AgentCore cho phép AI ít giống ‘hộp đen’ hơn và trở thành các quy trình có thể theo dõi, đo lường được nằm trong mô hình ba tuyến phòng thủ với các KPI, SLOs và nhật ký kiểm toán rõ ràng mà các khung và chức năng quản lý rủi ro vận hành yêu cầu.

Kêu gọi hành động/Các bước tiếp theo

Kinh nghiệm của chúng tôi khuyến nghị các ưu tiên điều hành sau đây khi suy nghĩ về việc quản lý hiệu quả các rủi ro vận hành được tạo ra bằng cách sử dụng AI để mang lại giá trị kinh doanh:

• Thiết lập sự lãnh đạo và trách nhiệm rõ ràng
  • Bổ nhiệm một Trưởng nhóm Vận hành Mô hình AI chuyên trách, người phối hợp với Quản lý Rủi ro Mô hình
  • Thành lập một hội đồng quản trị AI với đại diện từ các đơn vị kinh doanh chính và các chức năng rủi ro
• Đầu tư vào cơ sở hạ tầng mạnh mẽ
  • Triển khai khả năng giám sát và tối ưu hóa toàn diện ngay từ ngày đầu tiên
  • Xây dựng các thực hành MLOps có thể mở rộng hỗ trợ triển khai nhanh chóng, có kiểm soát
• Đảm bảo tính bền vững tài chính
  • Thực hiện các biện pháp theo dõi và tối ưu hóa chi phí ngay từ đầu
  • Duy trì các số liệu rõ ràng liên kết các khoản đầu tư AI với giá trị kinh doanh
• Xây dựng năng lực tổ chức dài hạn
  • Đầu tư vào đào tạo và nâng cao kỹ năng trên tất cả các cấp của tổ chức
• Thúc đẩy ra quyết định dựa trên dữ liệu
  • Triển khai các bảng điều khiển thời gian thực theo dõi các số liệu vận hành và kinh doanh chính
  • Sử dụng các tiêu chuẩn hiệu suất để hướng dẫn các quyết định đầu tư
  • Thiết lập các KPI và KRI rõ ràng cho hiệu suất mô hình và tác động kinh doanh
• Duy trì sự sẵn sàng về quy định
  • Đảm bảo khả năng kiểm toán và tính minh bạch của các hệ thống AI
  • Duy trì tài liệu và kiểm soát đáp ứng các yêu cầu quy định
• Lập kế hoạch mở rộng quy mô
  • Thiết kế các khung quản trị phát triển cùng với việc áp dụng AI
  • Tạo các thành phần có thể tái sử dụng và các thực hành tốt nhất cho việc triển khai và quản lý AI

Nhóm tài khoản AWS của bạn có thể giúp bạn liên hệ với các chuyên gia và Solution Architect của AWS, những người có thể giúp bạn xây dựng cơ sở hạ tầng AI để bạn có thể quản lý rủi ro vận hành hiệu quả hơn bằng cách sử dụng các dịch vụ và tính năng của AWS. Chúng tôi cũng khuyến khích khách hàng tham khảo Generative AI Lens – AWS Well-Architected Framework và nói chuyện với kiến trúc sư giải pháp của họ để được hướng dẫn kỹ thuật chi tiết hơn về cách xây dựng một cách an toàn và tuân thủ với AWS.

Về tác giả

Richard Caven
Richard Caven là Chuyên gia Ngân hàng Toàn cầu tại AWS. Ông chịu trách nhiệm phát triển và thực hiện các sáng kiến chiến lược để giúp khách hàng di chuyển lên Cloud và thúc đẩy hành trình chuyển đổi kỹ thuật số của họ. Richard gia nhập AWS vào năm 2018 từ Barclays, nơi ông là Giám đốc điều hành và COO cho chức năng Kho bạc Toàn cầu.