Boom Leverage
บทความทั้งหมด

MAS สิงคโปร์คุมความเสี่ยง AI Agent ในแบงก์: ให้เวลาปรับตัว 12 เดือน และสิ่งที่คนทำ Model Risk ไทยต้องเตรียมปี 2026

MAS เตรียมออกแนวปฏิบัติบริหารความเสี่ยง AI ที่ครอบคลุม generative AI และ AI agent อิสระเป็นชุดแรก ๆ ของเอเชีย ให้เวลาปรับตัว 12 เดือน — คนทำ model risk แบงก์ไทยควรอ่านก่อน ธปท. ขยับตาม

Varanchai Yingkhamnueng·
newsBoom Leverage

MAS สิงคโปร์คุมความเสี่ยง AI Agent ในแบงก์: ให้เวลาปรับตัว 12 เดือน และสิ่งที่คนทำ Model Risk ไทยต้องเตรียมปี 2026

MAS เตรียมออกแนวปฏิบัติบริหารความเสี่ยง AI ที่ครอบคลุม generative AI และ AI agent อิสระเป็นชุดแรก ๆ ของเอเชีย ให้เวลาปรับตัว 12 เดือน — คนทำ model risk แบงก์ไทยควรอ่านก่อน ธปท. ขยับตาม

ในบรรดาหน่วยงานกำกับการเงินทั่วโลกที่กำลังไล่เขียนกฎเรื่อง AI มีอยู่ฉบับหนึ่งที่ผมคิดว่าคนทำสาย model risk แบงก์ไทยควรอ่านมากกว่าข่าว AI ทั่วไป — ร่างแนวปฏิบัติบริหารความเสี่ยง AI (AI Risk Management Guidelines) ของธนาคารกลางสิงคโปร์ (MAS) ที่เพิ่งปิดรับฟังความเห็นไปเมื่อต้นปี ที่มันน่าสนใจไม่ใช่เพราะสิงคโปร์ออกกฎ AI — ใคร ๆ ก็ออก — แต่เพราะมันเป็นหนึ่งในไม่กี่ฉบับที่เขียนคำว่า "AI agent" ที่ตัดสินใจเองได้ลงไปในกฎตรง ๆ และวางความคาดหวังเชิงกำกับให้มัน นี่คือรูลบุ๊กที่แบงก์ในภูมิภาคนี้ รวมถึงไทย มีโอกาสสูงจะต้องใช้ตาม

1. สิงคโปร์วางความคาดหวังเชิงกำกับ ก่อนใครในภูมิภาค

MAS เปิดรับฟังความเห็นต่อร่างแนวปฏิบัตินี้ในช่วงสั้น ๆ — "The consultation runs from 13 November 2025 to 31 January 2026." คือ 13 พฤศจิกายน 2025 ถึง 31 มกราคม 2026 — และตอนนี้กำลังอยู่ในขั้นสรุปเป็นฉบับจริง สิ่งที่ร่างนี้ทำไม่ใช่การให้คำแนะนำลอย ๆ แต่เป็นการตั้ง "ความคาดหวังเชิงกำกับ" ว่าสถาบันการเงินต้องทำอะไรบ้าง

ขอบเขตกว้างและชัด: "The draft guidelines set out MAS' supervisory expectations for how banks, insurers, capital markets firms and other financial institutions should govern, test, monitor and manage risks arising from artificial intelligence, including generative AI and autonomous AI agents." พูดง่าย ๆ คือ ครอบทั้งธนาคาร บริษัทประกัน และบริษัทหลักทรัพย์ ให้ต้อง กำกับ ทดสอบ เฝ้าระวัง และบริหารความเสี่ยง ที่มาจาก AI ทุกแบบ — รวมถึง generative AI และ AI agent ที่ทำงานเองได้

ทำไมมันสำคัญกับเรา: ตอนที่กฎเปลี่ยนคำจาก "ควรพิจารณา" เป็น "supervisory expectations" นั่นคือสัญญาณว่าผู้ตรวจจะมาถามหาหลักฐาน ไม่ใช่แค่เจตนาดี คนทำ model risk อ่านประโยคนี้แล้วต้องแปลเป็นงานทันที: ใครเป็นเจ้าของโมเดล AI แต่ละตัว ทดสอบด้วยอะไร และมีบันทึกให้ผู้ตรวจดูไหม

2. จุดที่ต่างจริง: มันเรียก "AI agent" ที่ตัดสินใจเองได้ ตรง ๆ

กฎ AI ส่วนใหญ่พูดกว้าง ๆ ว่า "AI" แล้วจบ แต่ร่างของ MAS เจาะจงถึง "emerging technologies, such as generative AI and AI agents" และที่สำคัญกว่านั้นคือมันบอกวิธีคุม agent ที่มีอิสระสูงไว้ด้วย — โจทย์คือ "constrain their unpredictability, and ensure that their autonomous decisions and actions are always within preset and safe boundaries" คือต้องบีบความไม่แน่นอนของมัน และทำให้การตัดสินใจ/การกระทำที่มันทำเองอยู่ในกรอบที่ปลอดภัยซึ่งกำหนดไว้ล่วงหน้าเสมอ

นี่คือจุดที่ผมว่าน่าจับตา เพราะหน่วยงานกำกับฝั่งสหรัฐกำลังเดินคนละทาง — แนวปฏิบัติ model risk ฉบับปรับปรุงปี 2026 ของฝั่งนั้นระบุชัดว่า generative และ agentic AI ยัง ไม่ อยู่ในขอบเขต (ผมเขียนเทียบไว้ในบทอินเดียออกกรอบ model risk คุม AI) โลกจึงกำลังแบ่งเป็นสองความเร็ว: ฝั่งที่ดึง AI agent เข้ามาอยู่ใต้กฎ กับฝั่งที่ยังกันออกไปก่อน สิงคโปร์เลือกฝั่งแรก

ทำไมมันสำคัญกับเรา: "preset and safe boundaries" คือภาษากำกับของสิ่งที่คนทำ agentic AI เรียกว่า guardrail และ blast radius — ผมเคยเขียนว่าทำไมต้องรัน AI agent ในsandbox ที่จำกัดขอบเขต ตอนนี้แนวคิดเดียวกันกำลังกลายเป็นข้อกำหนดของผู้กำกับ ใครออกแบบระบบให้ agent ทำงานในกรอบที่นิยามไว้ชัดตั้งแต่แรก จะตอบผู้ตรวจได้ง่ายกว่าคนที่ปล่อยให้มันทำอะไรก็ได้แล้วค่อยตามแก้

3. ให้เวลา 12 เดือน แลกกับการบ้านชุดใหญ่

MAS ไม่ได้บังคับให้พร้อมพรุ่งนี้ — "MAS proposes a 12-month transition period once the guidelines are finalized, acknowledging varying levels of AI maturity across the sector." และเอกสารฝั่งที่ปรึกษาก็ยืนยันตรงกันว่า "the industry will be given a 12-month transition period to adjust for and to implement the Guidelines" คือให้เวลาปรับตัว 12 เดือนนับจากวันออกฉบับจริง เพราะรู้ว่าแต่ละสถาบันพร้อมไม่เท่ากัน

แต่ 12 เดือนนั้นต้องเอาไปทำอะไรบ้าง อ่านจากร่างแล้วสรุปเป็นการบ้านได้ประมาณนี้:

  • โครงสร้างความรับผิดชอบระดับบอร์ด — "Establishing clear Board and Senior Management responsibilities, including the potential requirement for a dedicated cross-functional committee if overall AI risk exposure is deemed material." ถ้าความเสี่ยง AI รวมมีนัยสำคัญ อาจต้องตั้งคณะทำงานข้ามสายงานเฉพาะ
  • รู้ว่าตัวเองมี AI อะไรบ้าง — "Implementing robust systems for AI Identification, maintaining a comprehensive AI Inventory, and conducting consistent Risk Materiality Assessments." ต้องมีระบบระบุตัว ทำทะเบียน AI และประเมินระดับความเสี่ยงอย่างสม่ำเสมอ
  • คุมตามวงจรชีวิต — "Applying proportionate controls throughout the AI life cycle in critical areas such as Data Management, Fairness, Transparency and Explainability, Human Oversight, and Third-Party AI Management." ควบคุมตามสัดส่วนความเสี่ยง ตั้งแต่ข้อมูล ความเป็นธรรม ความโปร่งใส การมีคนกำกับ ไปจนถึงการใช้ AI จากผู้ให้บริการภายนอก
  • ของเสี่ยงสูงคุมเข้ม — "Higher-risk AI applications would be subject to stricter controls, including independent validation, stress testing, transparency obligations and enhanced human oversight." งาน AI ความเสี่ยงสูงต้องมี independent validation, stress testing และคนกำกับที่เข้มขึ้น

ทำไมมันสำคัญกับเรา: ลองอ่านการบ้านชุดนี้ซ้ำอีกที — ทะเบียนโมเดล การประเมินความเสี่ยงเป็นระดับชั้น independent validation, stress testing, third-party oversight ทั้งหมดนี้คือคำเดียวกับที่คนทำ model risk แบงก์ทำกับโมเดลเครดิตมาหลายปี ภายใต้กรอบอย่าง SR 11-7 กฎ AI ฉบับนี้ไม่ได้เรียกร้องทักษะใหม่ มันขยายทักษะเดิมของเราไปครอบของใหม่ที่ชื่อ AI agent

4. หัวใจคือ "ตรวจตลอดชีวิตของโมเดล" ไม่ใช่ครั้งเดียวก่อนปล่อย

ถ้าให้เลือกประโยคเดียวจากร่างนี้ที่อยากให้ทุกคนขีดเส้นใต้ ผมเลือกอันนี้: "AI risk management is not a one-time review before a model is launched, but rather a continuous, dynamic process throughout the life of an AI system" คือการบริหารความเสี่ยง AI ไม่ใช่การตรวจครั้งเดียวก่อนเปิดใช้ แต่เป็นกระบวนการต่อเนื่องที่เปลี่ยนแปลงตลอดอายุของระบบ

ประโยคนี้แยกคนที่เข้าใจ model risk จริงออกจากคนที่มองมันเป็นพิธีผ่านด่าน โมเดลไม่ได้พังตอน validate ครั้งแรก มันค่อย ๆ เพี้ยนเมื่อโลกจริงเปลี่ยนไปจากข้อมูลที่มันเคยเห็น — data drift, concept drift — และ AI agent ยิ่งน่ากลัวกว่าโมเดลเครดิตนิ่ง ๆ เพราะมันลงมือทำจริง ไม่ใช่แค่ให้คะแนน การเฝ้าระวังหลังปล่อยจึงไม่ใช่ทางเลือก

ทำไมมันสำคัญกับเรา: จุดที่หลายที่พลาดคือทุ่มแรงกับ validation ก่อนปล่อย แล้วปล่อยให้ monitoring หลังจากนั้นเป็นงานที่ไม่มีเจ้าของ กฎของ MAS กำลังบอกว่าอย่าทำแบบนั้นกับ AI — เพราะระบบที่ตัดสินใจเองได้ ยิ่งต้องมีคนเฝ้ามันตลอดชีวิต ไม่ใช่แค่วันเปิดตัว

5. บทเรียนสำหรับคนทำ model risk ไทย

ไทยไม่ได้เริ่มจากศูนย์ ในเดือนกันยายน 2025 ธนาคารแห่งประเทศไทยออกแนวปฏิบัติบริหารความเสี่ยง AI ของตัวเองไปแล้ว โดยมีขอบเขต — "The guidelines are targeted at all financial service providers, including financial institutions and special financial institutions under the Financial Institution Business Act, as well as payment providers under the Payment Systems Act." คือครอบสถาบันการเงินและผู้ให้บริการชำระเงินภายใต้กฎหมายที่เกี่ยวข้อง — และวางหลักความรับผิดชอบไว้ว่า "Boards and senior management assume accountability for decisions and operations involving AI systems, and are responsible for defining roles and responsibilities for AI oversight." คือให้บอร์ดและผู้บริหารระดับสูงรับผิดชอบต่อการใช้ AI โดยตรง

ทิศทางจึงชัด: หน่วยงานกำกับในภูมิภาคกำลังไปทางเดียวกัน และฉบับของสิงคโปร์ที่ลงลึกถึง AI agent คือตัวอย่างของสิ่งที่มาตรฐานเข้มขึ้นหน้าตาเป็นอย่างไร ใครทำงานกับ AI ในแบงก์ไทยตอนนี้ ไม่ต้องรอกฎฉบับสมบูรณ์ก็เริ่มการบ้านสามข้อได้เลย — ทำทะเบียนว่าองค์กรใช้ AI ตรงไหนบ้าง, นิยาม success metric และ baseline ก่อนเปิดใช้ทุกโมเดล, และแยกคนทำกับคนตรวจ (independent validation) ออกจากกัน ผมเคยลงรายละเอียดเรื่องหลังไว้ในบทเช็คลิสต์กำกับ AI agent ในงานการเงิน

ทำไมมันสำคัญกับเรา: เส้นตายกฎเป็นแรงกดดัน แต่สำหรับคนที่มีของ มันคือโอกาส เพราะทักษะที่กฎพวกนี้เรียกร้อง — ตั้งกรอบวัดผล ทำทะเบียนความเสี่ยง validate อย่างอิสระ เฝ้าระวังตลอดอายุ — คือทักษะที่คนทำ model risk มีอยู่แล้ว งานคือแปลมันจากโมเดลเครดิตไปสู่ AI agent ให้เป็น

ภาพรวม

ร่างแนวปฏิบัติของ MAS ไม่ได้บอกว่า AI อันตรายจนห้ามใช้ มันบอกว่า ถ้าจะใช้ AI ที่ตัดสินใจเองได้ในงานการเงิน ต้องกำกับมันให้ได้อย่างเป็นระบบ ด้วยภาษาที่คนทำ model risk คุ้นเคย — ทะเบียนโมเดล, validation อิสระ, stress test, การเฝ้าระวังตลอดวงจรชีวิต และให้เวลาปรับตัว 12 เดือน สิงคโปร์แค่ขยับก่อน และเมื่อ ธปท. ขยับตาม คนที่เตรียมการบ้านไว้แล้วจะได้เปรียบคนที่เพิ่งเริ่มอ่านกฎ

ถ้าอยากได้ระบบทำงานจริงที่เอา AI agent มาช่วยงาน data/risk การเงินแบบมีกรอบ กำกับได้ และตรวจสอบย้อนได้ตั้งแต่แรก — ไม่ใช่กล่องดำที่ต้องมาตามแก้ทีหลัง — ผมรวบรวมวิธีวางระบบทั้งชุดไว้ในคอร์ส Claude Code

เนื้อหานี้เพื่อการศึกษาและวิเคราะห์พร้อมอ้างอิง ไม่ใช่คำแนะนำการลงทุนหรือการปฏิบัติตามกฎหมายเฉพาะราย

ที่มา

อ่านต่อ