ISO/IEC 38507:2022 – Quản Trị Công Nghệ Thông Tin: Hệ Quả Quản Trị Khi Sử Dụng Trí Tuệ Nhân Tạo

1 ISO/IEC 38507:2022 là gì?

Trong bối cảnh trí tuệ nhân tạo (AI) đang được ứng dụng rộng rãi trong quản lý, sản xuất, tài chính, chăm sóc sức khỏe và dịch vụ công, các tổ chức không chỉ đối mặt với các thách thức kỹ thuật mà còn phải giải quyết các vấn đề liên quan đến quản trị, trách nhiệm và giám sát AI.

Nhiều doanh nghiệp hiện nay xem AI như một công cụ công nghệ đơn thuần. Tuy nhiên, việc sử dụng AI có thể tạo ra các tác động đáng kể đến hoạt động điều hành, quản lý rủi ro, tuân thủ pháp luật, đạo đức và trách nhiệm giải trình của tổ chức.

Để hỗ trợ các tổ chức quản trị AI một cách hiệu quả, ISO và IEC đã ban hành ISO/IEC 38507:2022 – Information Technology — Governance of IT — Governance implications of the use of artificial intelligence by organizations. Đây là tiêu chuẩn quốc tế đầu tiên tập trung vào các hệ quả quản trị phát sinh từ việc sử dụng AI trong tổ chức.

2 Tại sao quản trị AI trở thành yêu cầu bắt buộc?

AI ngày càng tham gia vào các quyết định quan trọng như:

• Phê duyệt tín dụng.

• Đánh giá khách hàng.

• Tuyển dụng nhân sự.

• Chẩn đoán y khoa.

• Kiểm soát chất lượng sản xuất.

• Quản lý chuỗi cung ứng.

Khi các quyết định được hỗ trợ hoặc tự động hóa bởi AI, ban lãnh đạo cần đảm bảo rằng hệ thống AI:

• Phù hợp với mục tiêu tổ chức.

• Hoạt động minh bạch.

• Có khả năng giải trình.

• Được kiểm soát rủi ro.

• Tuân thủ quy định pháp luật và yêu cầu đạo đức.

ISO/IEC 38507 được xây dựng nhằm giúp các tổ chức quản trị AI ở cấp chiến lược thay vì chỉ tập trung vào khía cạnh kỹ thuật.

3 Mục tiêu của ISO/IEC 38507:2022

Tiêu chuẩn cung cấp hướng dẫn cho các cơ quan quản trị, hội đồng quản trị, ban điều hành và lãnh đạo cấp cao nhằm:

• Hiểu các tác động của AI đối với tổ chức.

• Đưa ra quyết định phù hợp khi triển khai AI.

• Quản lý rủi ro liên quan đến AI.

• Đảm bảo AI được sử dụng hiệu quả và có trách nhiệm.

• Tăng cường tính minh bạch và khả năng giải trình.

• Bảo vệ lợi ích của tổ chức và các bên liên quan.

4 ISO/IEC 38507 khác gì so với các tiêu chuẩn AI khác?

Nhiều tiêu chuẩn AI tập trung vào:

• Chất lượng dữ liệu.

• Phát triển mô hình.

• Quản lý rủi ro.

• Kiểm tra hệ thống AI.

Trong khi đó, ISO/IEC 38507 tập trung vào:

Vai trò của lãnh đạo và cơ chế quản trị AI ở cấp tổ chức.

Tiêu chuẩn không hướng dẫn cách xây dựng AI mà hướng dẫn:

• Ai chịu trách nhiệm.

• Ai giám sát.

• Ai phê duyệt.

• Ai đánh giá hiệu quả và rủi ro của AI.

Đây là lý do ISO/IEC 38507 thường được xem là tiêu chuẩn AI Governance ở cấp cao nhất.

5 Những hệ quả quản trị khi sử dụng AI

5.1. Trách nhiệm giải trình (Accountability)

Một trong những thách thức lớn nhất của AI là xác định trách nhiệm khi xảy ra sai sót.

Ví dụ:

• AI từ chối khách hàng đủ điều kiện vay vốn.

• AI chẩn đoán sai bệnh.

• AI đưa ra quyết định mang tính thiên vị.

ISO/IEC 38507 nhấn mạnh rằng trách nhiệm cuối cùng vẫn thuộc về tổ chức và lãnh đạo, không phải hệ thống AI.

5.2. Minh bạch và khả năng giải thích

Tổ chức cần đảm bảo rằng:

• Mục đích sử dụng AI được xác định rõ.

• Quy trình vận hành được kiểm soát.

• Các quyết định quan trọng có thể được giải thích.

Điều này giúp nâng cao niềm tin của khách hàng, đối tác và cơ quan quản lý.

5.3. Quản lý rủi ro AI

AI có thể tạo ra nhiều loại rủi ro:

• Rủi ro vận hành.

• Rủi ro pháp lý.

• Rủi ro bảo mật.

• Rủi ro đạo đức.

• Rủi ro uy tín thương hiệu.

ISO/IEC 38507 yêu cầu ban lãnh đạo phải hiểu và giám sát các rủi ro này trong toàn bộ vòng đời AI.

5.4. Tác động đến con người

Việc triển khai AI có thể ảnh hưởng đến:

• Nhân viên.

• Khách hàng.

• Nhà cung cấp.

• Cộng đồng.

Tiêu chuẩn yêu cầu tổ chức xem xét các tác động xã hội và hành vi con người khi sử dụng AI.

6 Các nguyên tắc quản trị AI theo ISO/IEC 38507

Tiêu chuẩn kế thừa các nguyên tắc quản trị CNTT từ ISO/IEC 38500 và mở rộng cho môi trường AI.

Trách nhiệm (Responsibility)

Xác định rõ trách nhiệm của các cá nhân và bộ phận liên quan đến AI.

Chiến lược (Strategy)

Đảm bảo AI phục vụ mục tiêu chiến lược của tổ chức.

Mua sắm và đầu tư (Acquisition)

Đánh giá các khoản đầu tư AI dựa trên giá trị, rủi ro và lợi ích.

Hiệu suất (Performance)

Theo dõi hiệu quả hoạt động của hệ thống AI.

Tuân thủ (Conformance)

Đảm bảo AI đáp ứng yêu cầu pháp luật, quy định và tiêu chuẩn áp dụng.

Hành vi con người (Human Behaviour)

Đánh giá tác động của AI đối với con người và xã hội.

7 Vai trò của Hội đồng quản trị và Ban lãnh đạo

ISO/IEC 38507 xác định rằng AI không phải chỉ là trách nhiệm của bộ phận CNTT.

Ban lãnh đạo cần:

• Thiết lập chính sách AI.

• Xác định mức độ chấp nhận rủi ro.

• Giám sát hiệu quả sử dụng AI.

• Đánh giá các tác động đạo đức.

• Phê duyệt các ứng dụng AI có mức độ rủi ro cao.

• Đảm bảo nguồn lực cần thiết cho quản trị AI.

8 Lợi ích khi áp dụng ISO/IEC 38507:2022

Nâng cao năng lực quản trị AI

Giúp lãnh đạo hiểu rõ trách nhiệm và vai trò trong việc sử dụng AI.

Tăng cường khả năng kiểm soát rủi ro

Đảm bảo các rủi ro AI được nhận diện và quản lý hiệu quả.

Hỗ trợ tuân thủ quy định

Tạo nền tảng cho việc đáp ứng các yêu cầu pháp lý và tiêu chuẩn AI đang phát triển trên toàn cầu.

Tăng niềm tin của các bên liên quan

Khách hàng, nhà đầu tư và đối tác có thể tin tưởng hơn vào việc sử dụng AI của tổ chức.

Hỗ trợ triển khai AI bền vững

Đảm bảo AI mang lại giá trị dài hạn thay vì chỉ là một giải pháp công nghệ ngắn hạn.

9 Doanh nghiệp nào nên quan tâm đến ISO/IEC 38507?

Tiêu chuẩn phù hợp với:

• Doanh nghiệp đang triển khai AI.

• Tổ chức xây dựng hệ thống quản lý AI theo ISO/IEC 42001.

• Ngân hàng và tổ chức tài chính.

• Doanh nghiệp sản xuất ứng dụng AI.

• Tổ chức y tế sử dụng AI.

• Đơn vị cung cấp giải pháp AI.

• Cơ quan nhà nước và tổ chức công.