Những gì hội đồng quản trị nên yêu cầu từ AI: đánh giá, kiểm toán và đảm bảo

Bởi Erika Fille T. Legara

TRONG MỘT BÀI BÁO BusinessWorld TRƯỚC ĐÂY, tôi đã lập luận rằng quản trị AI Agent vượt xa việc giám sát một số ít dự án công nghệ và giờ đây bao gồm việc đảm bảo rằng các quyết định Hỗ trợ bởi AI trên toàn tổ chức vẫn phù hợp với chiến lược, khẩu vị rủi ro và các tiêu chuẩn đạo đức. Một câu hỏi tiếp theo tự nhiên đối với hội đồng quản trị là: ngoài việc đặt ra kỳ vọng, làm thế nào một tổ chức xác minh rằng các hệ thống AI Agent của mình thực sự hoạt động như dự định, có trách nhiệm và trong các ranh giới được xác định?

Câu trả lời nằm ở ba ngành liên quan nhưng khác biệt: đánh giá rủi ro AI Agent, kiểm toán AI Agent và đảm bảo AI Agent. Các hội đồng quản trị quen thuộc với giám sát tài chính sẽ thấy logic này trực quan. Thách thức, và cơ hội, là áp dụng cùng một kỷ luật đó cho AI Agent.

3 KHÁI NIỆM KHÁC BIỆT NHƯNG LIÊN QUAN
Việc chính xác về ý nghĩa của từng thuật ngữ là hữu ích, bởi vì chúng thường được sử dụng thay thế cho nhau khi không nên như vậy.

Đánh giá rủi ro AI Agent là quy trình nội bộ mà một tổ chức xác định, đánh giá và ưu tiên các rủi ro liên quan đến các hệ thống AI Agent của mình. Nó đặt câu hỏi điều gì có thể xảy ra sai, khả năng xảy ra như thế nào và tác động sẽ là gì. Đây là nền tảng mà mọi thứ khác dựa vào. Không có đánh giá rủi ro đáng tin cậy, cả kiểm toán hay đảm bảo đều không có đường cơ sở có ý nghĩa để làm việc. Các hệ thống AI Agent quan trọng tồn tại trong mọi lĩnh vực: một mô hình chấm điểm tín dụng trong ngân hàng, một công cụ phân loại bệnh nhân trong bệnh viện, một công cụ dự đoán hiệu suất sinh viên trong trường đại học, một hệ thống ưu tiên trường hợp trong cơ quan chính phủ. Điều chúng có chung là hậu quả, bao gồm các đầu ra ảnh hưởng đến người thật theo những cách có ý nghĩa.

Đối với bất kỳ hệ thống như vậy, đánh giá rủi ro nên có hệ thống, được ghi chép và xem xét lại thường xuyên khi mô hình phát triển và khi môi trường hoạt động thay đổi.

Kiểm toán AI Agent là việc kiểm tra độc lập xem một hệ thống AI Agent, hoặc khung quản trị xung quanh nó, có tuân thủ các tiêu chuẩn, chính sách hoặc yêu cầu được xác định hay không. Đây là một quy trình dựa trên bằng chứng được thực hiện bởi một bên đủ độc lập với những người chịu trách nhiệm về hệ thống đang được xem xét. Một cuộc kiểm toán AI Agent có thể đánh giá xem các thực tiễn quản lý AI Agent của một tổ chức có tuân thủ tiêu chuẩn được công nhận quốc tế hay không, chẳng hạn như ISO/IEC 42001, tiêu chuẩn hệ thống quản lý AI Agent đầu tiên trên thế giới được công bố vào năm 2023, hoặc liệu một mô hình cụ thể có hoạt động trong các thông số được phê duyệt và không có sự thiên vị không mong muốn hay không. Quan trọng là, tiêu chuẩn quản lý chính các kiểm toán viên, ISO/IEC 42006, được công bố vào tháng 7 năm 2025, hiện nay đặt ra năng lực và sự nghiêm ngặt cần thiết của các cơ quan kiểm toán và chứng nhận hệ thống quản lý AI Agent. Nói cách khác, nghề kiểm toán đang bắt đầu chính thức hóa trách nhiệm giải trình của chính nó đối với các cam kết AI Agent.

Đảm bảo AI Agent là kết luận chính thức, hướng đến các bên liên quan xuất hiện từ quy trình kiểm toán đó. Đó là ý kiến chuyên môn, được đưa ra bởi một bên đủ năng lực và độc lập, mang lại cho hội đồng quản trị, cơ quan quản lý, nhà đầu tư và công chúng sự tin tưởng rằng một hệ thống AI Agent hoặc khung quản lý AI Agent đáp ứng một tiêu chuẩn xác định. Đảm bảo là điều biến đổi một đánh giá nội bộ thành một tín hiệu bên ngoài đáng tin cậy.

NỀN TẢNG ĐẢM BẢO AI AGENT
Khái niệm đảm bảo độc lập không mới đối với hội đồng quản trị. Hàng năm, các kiểm toán viên bên ngoài kiểm tra báo cáo tài chính của một tổ chức và đưa ra ý kiến; một kết luận dựa trên bằng chứng, được thực hiện theo các tiêu chuẩn được công nhận quốc tế và được hỗ trợ bởi tính độc lập chuyên nghiệp của kiểm toán viên. Ý kiến đó có trọng lượng chính xác vì khung quản lý nó nghiêm ngặt và được thiết lập tốt. Logic này áp dụng bất kể ngành nghề; cho dù tổ chức là ngân hàng, bệnh viện, tập đoàn hay cơ quan công cộng, kiểm toán tài chính là một cơ chế quen thuộc và đáng tin cậy.

Cùng logic hiện áp dụng cho AI Agent. Khi một tổ chức đưa ra tuyên bố công khai hoặc quy định về các hệ thống AI Agent của mình, rằng chúng công bằng, minh bạch, tuân thủ một tiêu chuẩn xác định hoặc không có sự thiên vị đáng kể, câu hỏi là: ai xác nhận độc lập tuyên bố đó và dưới khung chuyên nghiệp nào?

Câu trả lời, đối với nghề kế toán và kiểm toán, là ISAE 3000, Tiêu chuẩn Quốc tế về Cam kết Đảm bảo được ban hành bởi Hội đồng Tiêu chuẩn Kiểm toán và Đảm bảo Quốc tế (IAASB). ISAE 3000 quản lý các cam kết đảm bảo về các vấn đề khác ngoài thông tin tài chính lịch sử, khiến nó trở thành nơi tự nhiên cho đảm bảo AI Agent. Theo tiêu chuẩn này, một chuyên gia có thể thực hiện cam kết đảm bảo hợp lý, tiêu chuẩn cao hơn tương tự như kiểm toán tài chính, hoặc cam kết đảm bảo hạn chế, gần hơn về độ sâu với đánh giá. Sự lựa chọn mức độ quan trọng và nên cân nhắc kỹ lưỡng, được hiệu chỉnh theo tính trọng yếu và rủi ro của hệ thống AI Agent được đề cập.

Một điểm tương đồng đương đại gần gũi là đảm bảo bền vững hoặc ESG. Nhiều công ty niêm yết Philippines đã đặt hàng đảm bảo độc lập về các tiết lộ bền vững của họ, thường theo ISAE 3000. Cơ chế hoàn toàn giống nhau: một chuyên gia độc lập kiểm tra một tập hợp các tuyên bố dựa trên các tiêu chí được xác định và đưa ra kết luận chính thức. Chủ đề khác nhau; kỷ luật chuyên nghiệp thì không.

ĐIỀU NÀY CÓ Ý NGHĨA GÌ ĐỐI VỚI HỘI ĐỒNG QUẢN TRỊ
Ba hàm ý thực tế xuất phát từ khung này.

Thứ nhất, hội đồng quản trị nên hỏi liệu tổ chức của họ đã tiến hành đánh giá rủi ro AI Agent nghiêm ngặt trên các hệ thống quan trọng chưa. Không phải là một bài tập một lần, mà là một quy trình sống được cập nhật khi các mô hình được đào tạo lại, các trường hợp sử dụng mở rộng và môi trường quy định phát triển. Chất lượng của công việc kiểm toán và đảm bảo hạ nguồn chỉ tốt bằng đánh giá rủi ro đi trước nó.

Thứ hai, hội đồng quản trị nên phân biệt giữa kiểm toán AI Agent nội bộ và bên ngoài. Các chức năng kiểm toán nội bộ đóng vai trò quan trọng trong việc cung cấp đảm bảo rằng các kiểm soát AI Agent hoạt động như được thiết kế. Tuy nhiên, hội đồng quản trị cũng nên xem xét liệu kiểm toán độc lập, Bên thứ ba của các hệ thống AI Agent quan trọng có được bảo đảm hay không, đặc biệt đối với các hệ thống ảnh hưởng đến khách hàng, nhân viên hoặc công chúng theo những cách có hậu quả. Như với kiểm toán tài chính, tính độc lập củng cố độ tin cậy.

Thứ ba, khi các tổ chức ngày càng đưa ra cam kết công khai về các thực tiễn AI Agent của họ đối với cơ quan quản lý, nhà đầu tư và các cộng đồng họ phục vụ, hội đồng quản trị nên hỏi liệu những cam kết đó có được hỗ trợ bởi đảm bảo đáng tin cậy hay không. Các khẳng định không có Xác minh bổ sung độc lập, trong trường hợp tốt nhất, là một rủi ro về danh tiếng đang chờ hiện thực hóa.

MỘT NGHỀ VẪN ĐANG XÂY DỰNG NĂNG LỰC CỦA MÌNH
Sẽ không đầy đủ khi trình bày bối cảnh này mà không thừa nhận những hạn chế hiện tại của nó. Cơ sở hạ tầng cho đảm bảo AI Agent vẫn đang được xây dựng. Các tiêu chuẩn chuyên nghiệp đang nổi lên. Năng lực kiểm toán viên trong AI Agent, trải rộng từ học máy, thiên vị thuật toán, quản trị dữ liệu và tính minh bạch của mô hình, chưa được phát triển đồng đều trên toàn nghề. ISAE 3000 cung cấp khung đảm bảo, nhưng các phương pháp cụ thể cho AI Agent nằm trong đó vẫn đang trưởng thành.

Đối với các tổ chức chưa sẵn sàng theo đuổi đảm bảo chính thức, đây không phải là lý do để đứng yên. Một đánh giá có cấu trúc, thường xuyên về các hệ thống AI Agent quan trọng là bước đầu tiên có ý nghĩa và thực tế. Nó xây dựng kỷ luật nội bộ, tài liệu và thói quen quản trị mà sự sẵn sàng đảm bảo cuối cùng yêu cầu. Các hội đồng quản trị đặt hàng các đánh giá như vậy ngày hôm nay, ngay cả một cách không chính thức, đang phát triển cơ bắp thể chế sẽ quan trọng khi kỳ vọng quy định trở nên cứng rắn và sự giám sát của các bên liên quan tăng cường.

Quan điểm này là một trong những điều tôi đã khám phá sâu hơn trong nghiên cứu mà tôi đang phát triển cùng các đồng nghiệp xem xét quản trị AI Agent tạo sinh trong các nền kinh tế nơi quy định vẫn chưa theo kịp công nghệ. Lập luận trung tâm là các công ty đã là các tác nhân đạo đức với các nghĩa vụ đạo đức hiện có đối với các bên liên quan của họ; chờ đợi luật AI Agent tùy chỉnh không cần thiết cũng như không đủ cho quản trị có trách nhiệm. Nghĩa vụ hành động đã có ở đó. Điều cần thiết là ý chí tổ chức để vận hành nó.

Đây không phải là lý do để hội đồng quản trị chờ đợi chương trình nghị sự rộng hơn. Đó là lý do để đặt các câu hỏi có hiểu biết ngay bây giờ, về các kiểm toán viên bên ngoài của họ, các chức năng kiểm toán nội bộ của họ và các nhóm quản lý của họ, để khi năng lực của nghề bắt kịp với nhu cầu, các tổ chức của họ sẵn sàng tham gia một cách có ý nghĩa.

Kiểm toán tài chính không xuất hiện đầy đủ ngay từ đầu. Phải mất nhiều thập kỷ thiết lập tiêu chuẩn, phát triển chuyên môn và bài học khó khăn từ thất bại của doanh nghiệp để kiểm toán độc lập trở thành tổ chức đáng tin cậy như ngày nay. Đảm bảo AI Agent đang ở một điểm uốn sớm tương đương. Các hội đồng quản trị tham gia với nó ngay bây giờ, đặt câu hỏi sắc bén hơn cho các kiểm toán viên của họ, yêu cầu nhiều hơn các khẳng định quản lý và xây dựng năng lực nội bộ trước khi cơ quan quản lý yêu cầu họ làm như vậy, sẽ không chỉ giảm rủi ro của chính họ. Họ sẽ giúp hình thành trách nhiệm giải trình AI Agent có trách nhiệm trông như thế nào đối với các tổ chức Philippines và khu vực rộng lớn hơn.

Erika Fille T. Legara là một nhà vật lý, nhà giáo dục và chuyên gia thực hành khoa học dữ liệu và AI Agent làm việc trên chính phủ, học viện và ngành công nghiệp. Bà là giám đốc điều hành khai mạc và giám đốc AI Agent và dữ liệu trưởng của Trung tâm Giáo dục Nghiên cứu AI Agent, và là phó giáo sư và chủ tịch Aboitiz về Khoa học Dữ liệu tại Viện Quản lý Châu Á, nơi bà thành lập và lãnh đạo chương trình MSc về Khoa học Dữ liệu đầu tiên của quốc gia từ năm 2017 đến năm 2024. Bà phục vụ trong các hội đồng quản trị doanh nghiệp, là thành viên của Viện Giám đốc Doanh nghiệp, một chuyên gia Quản trị AI Agent được IAPP chứng nhận và là đồng sáng lập của CorteX Innovations.