AI กลายเป็นวาระถาวรในการตรวจแบงก์สหรัฐ — แต่ Guidance ใหม่เว้น Generative/Agentic AI ไว้นอกกรอบ
OCC และ Fed เริ่มถาม AI ทุกการตรวจแบงก์ ส่วน Model Risk Guidance ฉบับใหม่ 17 เม.ย. 2026 จงใจไม่ครอบ generative/agentic AI — คนทำ risk ต้องเตรียมอะไร
AI เข้าทุกการตรวจแบงก์สหรัฐ — แต่ guidance เว้น gen/agentic
- OCC + Fed
- ถาม AI ทุกการสอบทาน
- 17 เม.ย. 2026
- MRM guidance ใหม่
- Gen/Agentic AI
- อยู่นอก scope
- ตอนนี้
- fact-finding ไม่บังคับ
ช่วงนี้ถ้าแบงก์สหรัฐโดนตรวจ (examination) มีหัวข้อใหม่ที่หลีกไม่พ้นแล้ว นั่นคือ "คุณใช้ AI ทำอะไร และคุมมันยังไง" ผมในฐานะคนทำ model risk ในแบงก์อ่านข่าวนี้แล้วสะดุดสองจุด: ผู้คุมกฎเริ่ม ถาม AI เป็นวาระประจำทุกการตรวจ และในเดือนเดียวกัน หน่วยงานกำกับสามแห่งก็ออก guidance เรื่อง model risk ฉบับใหม่ — แต่ จงใจเว้น generative AI กับ agentic AI ไว้นอกกรอบ ช่องว่างตรงนี้แหละที่คนทำงาน data/risk ต้องเข้าใจก่อนใคร
1. AI กลายเป็นคำถามประจำในห้องตรวจ
รายงานข่าวระบุชัดว่าผู้ตรวจการจากสองหน่วยงานหลักกำลังซักเข้มเรื่องการคุม AI ของแบงก์ — "Supervisors from the Office of the Comptroller of the Currency and the Federal Reserve are asking detailed questions about banks' controls" และอีกสำนักสรุปตรงกันว่าทั้ง OCC และ Fed "have elevated AI to a permanent agenda item during their periodic reviews" พูดง่าย ๆ คือไม่มีการตรวจครั้งไหนที่ไม่แตะเรื่อง AI อีกแล้ว
คำถามที่ผู้ตรวจยิงไม่ใช่เรื่องผิวเผิน แต่เจาะไปที่หัวใจของการกำกับโมเดล เช่น "whether AI systems can access or infer data beyond their authorized limits, whether banks can shut down the systems if necessary" — แปลเป็นภาษาคนทำงานคือ ระบบ AI ของคุณเข้าถึงหรืออนุมานข้อมูลเกินสิทธิ์ได้ไหม และถ้ามันเริ่มเพี้ยน คุณกดปิด (kill switch) ได้จริงหรือเปล่า
ทำไมมันสำคัญกับเรา: คำถามพวกนี้คือสิ่งที่คนทำ model validation ถามโมเดลเครดิตหรือ market risk มานานแล้ว — แต่ตอนนี้มันถูกยกมาใช้กับ AI ทั้งระบบ ถ้าทีมคุณตอบไม่ได้ว่า "ใครคุม ขอบเขตข้อมูลแค่ไหน ปิดยังไง" คุณกำลังมีช่องว่างที่ผู้ตรวจเห็นก่อนคุณ
2. Guidance ใหม่ 17 เม.ย. 2026 — แต่เว้น generative/agentic AI
ในเดือนเมษายนที่ผ่านมา หน่วยงานกำกับออกของสำคัญ: สำนักข่าวอ้างว่าหน่วยงานทั้งสาม "released updated model risk management guidance on April 17, 2026" และตัว OCC เองยืนยันหลักการว่า "model risk management practices should be risk-based, tailored, and commensurate with a banking organization's size, complexity, and extent of model use" — คือกรอบการคุมโมเดลต้องปรับตามขนาดและความซับซ้อนของแต่ละแบงก์ ไม่ใช่สูตรเดียวใช้ทุกที่
แต่จุดที่ผมคิดว่าคนทำ risk ต้องขีดเส้นใต้คือประโยคนี้จาก OCC โดยตรง: "generative AI and agentic AI models are novel and rapidly evolving. As such, they are not within the scope of this guidance." กล่าวคือ guidance ฉบับใหม่ ไม่ครอบ โมเดลกลุ่ม generative และ agentic เพราะมองว่ายังใหม่และเปลี่ยนเร็วเกินไป
หน่วยงานไม่ได้ปล่อยช่องว่างนี้ลอย ๆ — มีแผนตามมาว่า "plan to issue in the near future a request for information that addresses model risk management generally and considers, in particular, banks' use of AI, including generative AI and agentic AI and AI-based models." นั่นคือจะออกเอกสารขอความเห็น (RFI) เรื่องการใช้ AI กลุ่มนี้โดยเฉพาะในอนาคต
ทำไมมันสำคัญกับเรา: นี่คือ "ช่องว่างเชิงนโยบาย" ที่ชัดมาก — โมเดลเครดิต/สถิติเดิมมีกรอบคุม แต่ตัว LLM และ agent ที่กำลังเข้ามาทำงานจริงในแบงก์กลับยังไม่มีกรอบเฉพาะ ระหว่างที่ยังไม่มี RFI ออกมา ภาระพิสูจน์ว่า "คุมได้" ตกอยู่ที่ทีม risk ของแต่ละแบงก์เอง
3. ยังเป็น "fact-finding" ไม่ใช่ข้อบังคับ — อย่าตีความผิด
จุดที่ต้องระวังคืออย่าเพิ่งตื่นตูม รายงานย้ำว่าตอนนี้หน่วยงาน "have thus far avoided prescribing specific procedures, instead treating the effort largely as an information-gathering mission" และที่สำคัญ "The guidance does not establish enforceable requirements, and failure to comply will not trigger supervisory criticism" — แปลว่ายังเป็นการเก็บข้อมูล/ทำความเข้าใจ ไม่ใช่กฎที่ผิดแล้วโดนปรับ
นี่ไม่ใช่เรื่องใหม่เอี่ยมด้วยซ้ำ ในรายงานยังอ้างว่า "The GAO said in May 2025 that regulators told it that they were conducting AI-focused examinations" — แปลว่าทิศทางการตรวจที่เน้น AI เริ่มมาตั้งแต่ปีก่อนแล้ว สิ่งที่เปลี่ยนคือมันกลายเป็น "ทุกการตรวจ" ไม่ใช่เคสพิเศษอีกต่อไป
ทำไมมันสำคัญกับเรา: "ยังไม่บังคับ" คือหน้าต่างเวลา ไม่ใช่ใบผ่าน — ช่วงที่ผู้ตรวจยังถามเพื่อเก็บข้อมูล คือช่วงที่คุณได้เปรียบถ้าเตรียมคำตอบไว้ก่อน เพราะ RFI ที่จะตามมามักกลายเป็นกรอบจริงในรอบถัดไป
4. คนทำ data/risk ควรเตรียมอะไรตั้งแต่วันนี้
ผมไม่ได้มองข่าวนี้เป็นเรื่องอเมริกาไกลตัว เพราะกรอบกำกับแบบนี้มักไหลมาถึงแบงก์ไทยในอีกไม่กี่ปี สิ่งที่ทำได้เลยโดยไม่ต้องรอใครสั่ง:
- ทำ inventory ของ AI/โมเดลให้ครบ — ไม่ใช่แค่โมเดลเครดิต/ECL แต่รวม LLM และ agent ที่แอบใช้ในงานจริง (เขียนรายงาน สรุปเอกสาร ดึงข้อมูล) ของที่ไม่อยู่ในทะเบียน = ของที่คุมไม่ได้
- เขียนคำตอบสามข้อให้ได้: ใครรีวิวโดยมนุษย์ / ขอบเขตข้อมูลที่ระบบเข้าถึงได้แค่ไหน / กดปิดยังไงถ้าเพี้ยน — ตรงกับสิ่งที่ผู้ตรวจถามเป๊ะ
- ไล่ vendor + subcontractor: ผู้ให้บริการ AI ที่คุณใช้ และผู้รับช่วงต่อของเขา อยู่ภายใต้มาตรฐาน governance เดียวกับแบงก์ไหม
- แยกให้ออกว่าอะไรอยู่ในกรอบเดิม อะไรอยู่ในช่องว่าง — โมเดลสถิติเดิมใช้กรอบ MRM ที่อัปเดตแล้ว ส่วน generative/agentic ต้องตั้ง control เองไปก่อนจนกว่า RFI จะออก
ใครที่อยากเห็นภาพว่า model risk เปลี่ยนไปอย่างไรในยุค AI agent ผมเคยเขียนแยกไว้ใน Model Risk ในยุค AI Agent: 3 ความเสี่ยงที่คนชอบมองข้าม และเรื่องที่ใกล้ตัวกว่านั้น — AI agent เริ่มขยับเงินจริงในแบงก์แล้ว แต่ระบบกันโกงยังตามไม่ทัน — สองชิ้นนี้ต่อกับข่าววันนี้โดยตรง และถ้าอยากเห็นภาพระดับมาตรฐานโลก ฝั่ง FSB เพิ่งออกร่างแนวปฏิบัติ AI 12 ข้อสำหรับภาคการเงิน ที่ยอมรับว่าต้องใช้ AI คุม AI — ต้นน้ำที่ผู้กำกับไทยมักนำไปปรับใช้ต่อ ส่วนฝั่งยุโรปก็เพิ่งเลื่อนเส้นตายกำกับ AI ให้คะแนนเครดิตไป ธ.ค. 2027 ผ่าน Digital Omnibus — คนละจังหวะกับสหรัฐแต่ทิศทางเดียวกัน และถ้าอยากได้กรอบลงมือจริง ผมทำเช็คลิสต์ know-your-agent สำหรับกำกับ AI agent การเงินไว้ให้ใช้เป็นจุดตั้งต้น
ทำไมมันสำคัญกับเรา: งานพวกนี้ไม่ต้องรอ budget หรือโปรเจกต์ใหญ่ — เป็นงาน documentation + governance ที่ทีมเล็กทำได้ และเป็นสิ่งแรกที่ผู้ตรวจ (และผู้บริหารความเสี่ยงของคุณเอง) จะถามหา
ภาพรวม
ข่าวนี้บอกทิศทางชัดเจน: AI ถูกดึงเข้ามาอยู่ในกระบวนการกำกับแบงก์อย่างเป็นทางการแล้ว แต่กรอบที่เป็นรูปธรรมยังตามไม่ทันเทคโนโลยี โดยเฉพาะ generative และ agentic AI ที่ถูกเว้นไว้นอก guidance ฉบับล่าสุด ช่วงเปลี่ยนผ่านนี้ — ที่ยังเป็น fact-finding ไม่ใช่ข้อบังคับ — คือเวลาที่ทีม risk ควรใช้สร้างคำตอบเรื่อง governance, ขอบเขตข้อมูล และ kill switch ให้พร้อม ก่อนที่ RFI จะกลายเป็นกฎจริง
ถ้าอยากให้ Claude Code ช่วยทำงาน data/risk แบบมีร่องรอยตรวจสอบได้ (audit trail) — ตั้งแต่ดึงข้อมูล จัดทำเอกสาร ไปจนถึงทำรายงานที่ผู้ตรวจอ่านรู้เรื่อง — ผมรวบรวมวิธีที่ใช้จริงไว้ใน คอร์ส Claude Code
เนื้อหานี้เพื่อการศึกษาและสรุปข่าวเชิงวิเคราะห์ ไม่ใช่คำแนะนำการลงทุนหรือคำแนะนำด้านกฎหมาย/การกำกับเฉพาะกรณี
ที่มา
อ่านต่อ
MAS สิงคโปร์คุมความเสี่ยง AI Agent ในแบงก์: ให้เวลาปรับตัว 12 เดือน และสิ่งที่คนทำ Model Risk ไทยต้องเตรียมปี 2026
อ่านต่อ newsธนาคารกลางอินเดียออกร่างกรอบ Model Risk Management 2026 คุมโมเดล AI ในแบงก์ — ปิดรับความเห็น 24 กรกฎาคม
อ่านต่อ news'Basis trade' พันธบัตรสหรัฐฯ: เลเวอเรจ 10–20 เท่าที่ทำให้ผู้กำกับหวั่น และกฎ clearing ใหม่ ธ.ค. 2026
อ่านต่อ