Boom Leverage
บทความทั้งหมด

ธนาคารกลางอินเดียออกร่างกรอบ Model Risk Management 2026 คุมโมเดล AI ในแบงก์ — ปิดรับความเห็น 24 กรกฎาคม

RBI ร่างกฎ MRM ที่เขียนถึง AI/ML ตรง ๆ ทั้ง kill switch และความรับผิดที่โอนให้ vendor ไม่ได้ ขณะที่ US OCC ยังกัน gen AI ออกนอกขอบเขต — มุมคนทำ model risk

Varanchai Yingkhamnueng·
newsBoom Leverage

ธนาคารกลางอินเดียออกร่างกรอบ Model Risk Management 2026 คุมโมเดล AI ในแบงก์ — ปิดรับความเห็น 24 กรกฎาคม

RBI ร่างกฎ MRM ที่เขียนถึง AI/ML ตรง ๆ ทั้ง kill switch และความรับผิดที่โอนให้ vendor ไม่ได้ ขณะที่ US OCC ยังกัน gen AI ออกนอกขอบเขต — มุมคนทำ model risk

มีเอกสารกำกับฉบับหนึ่งที่ออกมาเงียบ ๆ เมื่อปลายเดือนมิถุนายน แต่ผมคิดว่าคนทำสาย data/risk การเงินควรอ่านมากกว่าข่าว AI ที่เล่นใหญ่กว่านี้หลายเท่า — ธนาคารกลางอินเดีย (Reserve Bank of India) ออก ร่าง "Guidance on Regulatory Principles for Model Risk Management, 2026" เป็นครั้งแรกที่หน่วยงานกำกับเขียนวินัยที่ผมทำอยู่ทุกวัน — การวัดความเสี่ยงของโมเดล (model risk management) — ให้กลายเป็นกฎ แล้วลากเส้นต่อไปถึงโมเดล AI/ML โดยตรง น่าสนใจตรงที่จังหวะเดียวกัน ฝั่งสหรัฐกลับเลือกเดินคนละทาง

1. RBI ร่างอะไรออกมา

ร่างฉบับนี้ไม่ใช่แค่ principle ลอย ๆ มันบังคับโครงสร้างการกำกับตั้งแต่ระดับบอร์ด "Every regulated entity must establish a Board-approved Model Risk Management Framework covering model development, validation, deployment, monitoring, modification, and retirement." พูดง่าย ๆ คือทุกสถาบันที่อยู่ใต้กำกับต้องมีกรอบ MRM ที่บอร์ดอนุมัติ ครอบทั้งวงจรชีวิตโมเดล ตั้งแต่พัฒนา ทดสอบ ใช้งานจริง เฝ้าระวัง แก้ไข ไปจนถึงปลดระวาง — ไม่ใช่แค่ตอนสร้างเสร็จแล้วปล่อยผ่าน

หัวใจของงาน validation อยู่ในประโยคเดียว "Models should undergo independent validation before deployment and continue to be monitored throughout their operational life." คือโมเดลต้องผ่านการตรวจสอบโดยหน่วยงานอิสระ (ไม่ใช่คนสร้างตรวจเอง) ก่อนขึ้น production แล้วต้องเฝ้าดูต่อตลอดอายุการใช้งาน นี่คือหลักการเดียวกับ three-lines-of-defence ที่คนทำ MRM ในแบงก์คุ้นเคย เพียงแต่คราวนี้มันถูกเขียนเป็นข้อกำกับ ไม่ใช่ best practice ที่ทำก็ได้ไม่ทำก็ได้

ร่างประกาศออกมาแล้วเปิดทาง — "The draft was published on 24 June 2026" และ "open for public comments until 24 July 2026" คือเผยแพร่ 24 มิถุนายน 2026 เปิดรับความเห็นถึง 24 กรกฎาคม 2026 ยังเป็นร่างเพื่อรับฟัง ไม่ใช่ประกาศบังคับ

ทำไมมันสำคัญกับเรา: เวลาหน่วยงานกำกับหยิบ "independent validation before deployment" มาเขียนเป็นข้อบังคับ มันแปลว่าทักษะที่คนทำ model risk ทำอยู่กำลังกลายเป็นของที่ ต้องมี ตามกฎ ไม่ใช่ของ nice-to-have นี่คือปัญหาเดียวกับที่ผมเจอในงาน model validation มาตลอด — ใครวางกรอบตรวจโมเดลเป็น คนนั้นได้เปรียบเมื่อกฎแบบนี้มาถึง

2. จุดที่ทำให้ร่างนี้ต่างจากกรอบ MRM เดิม: มันเขียนถึง AI ตรง ๆ

กรอบ MRM แบบเดิมเขียนไว้สำหรับโมเดลสถิติ/เครดิตสกอร์ริ่ง แต่ร่าง RBI ฉบับนี้ลากเส้นครอบ AI/ML ชัดเจน "Every RE must put in place a Board-approved MRMF applicable to all models — including AI/ML models" — กรอบที่บอร์ดอนุมัติต้องใช้กับ ทุก โมเดล รวมถึงโมเดล AI/ML ด้วย

และจุดที่ผมคิดว่าคนสายกำกับ AI ควรขีดเส้นใต้คือเรื่องปุ่มหยุด ร่างกำหนดให้มี "Override, suspension, and deactivation mechanisms — including kill-switch arrangements for AI models" คือต้องมีกลไก override ระงับ และปิดการทำงาน รวมถึง kill switch สำหรับโมเดล AI — แนวคิดเดียวกับที่ผมเคยเขียนถึงในช่องว่างเรื่อง kill switch ในธรรมาภิบาล AI ของแบงก์ เพียงแต่ตอนนี้มันขยับจาก "ควรมี" มาเป็น "ต้องมี"

การกำกับ AI ยังไม่จบแค่ปุ่มหยุด ร่างระบุให้ต้องมีคนคุมเป็นชั้น ๆ "Human-in-command arrangements — human-in-the-loop, human-on-the-loop, or other equivalent oversight mechanisms" — คนต้องอยู่ในสายบังคับบัญชาของโมเดลเสมอ ไม่ว่าจะเป็น human-in-the-loop (คนอนุมัติทุกครั้ง) หรือ human-on-the-loop (คนเฝ้าดูและแทรกได้) นอกจากนี้ยังบังคับให้กำหนดเกณฑ์ความโปร่งใสของ AI โดยใช้เกณฑ์เข้มกับโมเดลที่ตัดสินใจเรื่องสำคัญ — สำหรับงานอย่างอนุมัติสินเชื่อหรือตรวจจับทุจริต คำอธิบายได้ว่าโมเดลตัดสินใจอย่างไรเป็นเรื่องบังคับ ไม่ใช่ทางเลือก

ทำไมมันสำคัญกับเรา: ความเสี่ยงที่ร่างนี้เพิ่มเข้ามาสำหรับ AI — hallucination, bias, data drift, อธิบายไม่ได้ — คือความเสี่ยงที่โมเดลเครดิตแบบเก่าไม่มี พอ regulator เขียนมันลงกระดาษ งานของคนทำ model validation จะหนักขึ้นและมีค่ามากขึ้นพร้อมกัน เพราะต้องตอบให้ได้ว่าโมเดล gen AI ที่แบงก์เอามาใช้ มัน "หลอน" บ่อยแค่ไหน และถ้าหลอนตอนอนุมัติสินเชื่อ ใครจับได้ นี่ต่อยอดจากปัญหาที่รายงานภาคการเงินระดับโลกชี้ไว้ว่าหลายองค์กรใช้ AI กันแล้วแต่ยังวัดคุณค่ามันไม่ได้ — เมื่อกฎบังคับให้ต้องพิสูจน์ การวัดผลไม่ใช่ทางเลือกอีกต่อไป

3. จ้าง vendor มาทำ ไม่ได้แปลว่าโอนความรับผิดไปด้วย

ประเด็นที่กระทบธุรกิจตรง ๆ ที่สุดคือเรื่องความรับผิดชอบ ร่างเขียนชัดว่า "An RE is accountable for the outcomes of all models used by it — irrespective of whether those models are developed internally, sourced from third parties, or a combination thereof." คือสถาบันต้องรับผิดชอบผลของ ทุก โมเดลที่ใช้ ไม่ว่าจะสร้างเอง ซื้อจากภายนอก หรือผสมกัน

และประโยคต่อมาปิดช่องโหว่ที่หลายคนชอบใช้ "Delegation to a vendor does not transfer or dilute the RE's regulatory accountability." — มอบงานให้ vendor ไม่ได้โอนหรือทำให้ความรับผิดตามกฎเจือจางลง ต่อให้คุณซื้อโมเดล AI สำเร็จรูปจากผู้ให้บริการรายใหญ่ ความรับผิดชอบต่อผู้กำกับยังอยู่กับแบงก์เต็ม ๆ

ทำไมมันสำคัญกับเรา: ข้อนี้เปลี่ยนวิธีที่แบงก์ควรคุยกับผู้ขาย AI ทันที คำถามไม่ใช่แค่ "โมเดลนี้แม่นไหม" แต่เป็น "ถ้าโมเดลของคุณตัดสินใจผิดแล้วเราโดนปรับ เราตรวจสอบย้อนกลับได้แค่ไหน คุณเปิด log อะไรให้เราบ้าง" นี่คือเหตุผลที่ผมยึดหลักว่าอะไรที่ตรวจสอบไม่ได้ ทำซ้ำไม่ได้ อย่าเพิ่งเอาเข้า production — พอความรับผิดโอนไม่ได้ กล่องดำจากภายนอกกลายเป็นความเสี่ยงของคุณเอง

4. สหรัฐเดินคนละจังหวะ: OCC ยังกัน gen AI ออกนอกขอบเขต

สิ่งที่ทำให้ร่าง RBI น่าสนใจขึ้นอีก คือมันสวนทางกับสหรัฐในสัปดาห์ไล่เลี่ยกัน สำนักงานผู้ควบคุมเงินตรา (OCC) ออกฉบับปรับปรุงแนวทาง model risk management ของตัวเอง — "OCC Bulletin 2026-13 | April 17, 2026" — แต่เลือกกันโมเดล AI สมัยใหม่ออกไปก่อน

ในเอกสารเขียนไว้ตรง ๆ ว่า "Generative AI and agentic AI models are novel and rapidly evolving. As such, they are not within the scope of this guidance." คือมองว่า generative AI และ agentic AI ยังใหม่และเปลี่ยนเร็วเกินไป จึงยังไม่อยู่ในขอบเขตของแนวทางฉบับนี้ แต่ก็ไม่ได้ปิดประตู — "The agencies plan to issue in the near future a request for information that addresses model risk management generally and considers, in particular, banks' use of AI, including generative AI and agentic AI and AI-based models." คือหน่วยงานสหรัฐวางแผนจะออกหนังสือขอข้อมูล (RFI) เรื่อง MRM ที่ครอบคลุมการใช้ AI ของแบงก์ในอนาคตอันใกล้

เท่ากับตอนนี้เรามีสองแนวทางกำกับที่คนละความเร็ว: อินเดียเลือกเขียนกฎ AI/ML ลงในกรอบ MRM ทันที (ทิศทางเดียวกับที่สิงคโปร์ออกร่างกฎครอบ AI agent ในแบงก์โดยตรง) ส่วนสหรัฐเลือกกันไว้นอกขอบเขตก่อนแล้วค่อยถามตลาด — คล้ายกับที่ฝั่งยุโรปก็ยืดเวลาบางส่วนออกไป อย่างที่ผมเคยเล่าเรื่องการเลื่อนบังคับใช้ EU AI Act กับเครดิตสกอร์ริ่ง

ทำไมมันสำคัญกับเรา: ความเร็วที่ต่างกันของแต่ละ regulator ไม่ใช่เรื่องไกลตัว แบงก์ข้ามชาติต้องเจอทั้งสองมาตรฐานพร้อมกัน และธนาคารในประเทศที่กฎยังไม่มา (รวมถึงไทย) ได้เปรียบตรงที่มี "ตัวอย่างข้อสอบ" ให้ดูล่วงหน้า — ใครเตรียม MRM framework ที่รองรับ AI ไว้ก่อน ตอนกฎมาถึงจะไม่ต้องรีบสร้างจากศูนย์

5. แล้วคนทำ data/risk ในไทยควรอ่านร่างนี้อย่างไร

ธปท. ยังไม่ได้ออกกรอบ MRM ที่เขียนถึง AI ตรง ๆ แบบ RBI แต่ทิศทางชัดว่าโลกกำลังไปทางเดียวกัน — เอา discipline ของ model risk ที่ใช้กับโมเดลเครดิตมาครอบ AI ร่างอินเดียจึงใช้เป็น checklist ตั้งต้นได้ดี ถ้าผมนั่งอ่านในฐานะคนทำ model validation ผมจะถอดมันออกมาเป็นคำถามกับระบบ AI ทุกตัวที่แบงก์กำลังจะใช้:

  • ใครเป็นเจ้าของความรับผิด — ถ้าโมเดลนี้ตัดสินใจผิด ใครในองค์กรตอบผู้กำกับได้ และเราไล่ย้อนได้ถึงไหน (ไม่ว่าจะซื้อมาหรือสร้างเอง)
  • ปุ่มหยุดอยู่ตรงไหน — เรามีกลไก override/kill switch ที่กดได้จริงและมีคนซ้อมกดไหม หรือมันเป็นแค่บรรทัดในเอกสาร
  • คนคุมอยู่ชั้นไหน — งานนี้ควรเป็น human-in-the-loop (คนอนุมัติทุกครั้ง) หรือ human-on-the-loop (คนเฝ้าและแทรกได้) พอ และคนคุมมีความรู้พอจะ challenge output ได้จริงหรือเปล่า
  • เราวัด drift/hallucination ได้ไหม — มี baseline และ metric ตั้งแต่วันแรกไหม หรือจะรู้ว่าโมเดลเพี้ยนก็ต่อเมื่อมีเรื่อง

นี่คือชุดคำถามเดียวกับที่ผมใช้กรองงานทุกอย่างที่ทำงานอัตโนมัติ — อย่าถามแค่ว่ามันจะพลาดไหม เพราะทุกอย่างพลาดได้ ให้ถามว่าถ้ามันพลาด วงความเสียหายกว้างแค่ไหน และเรากู้กลับได้เร็วแค่ไหน ร่าง RBI เพียงแค่หยิบคำถามพวกนี้ไปเขียนเป็นภาษากฎหมาย

ทำไมมันสำคัญกับเรา: governance ที่ดีไม่ได้เริ่มที่ซื้อเครื่องมือแพง ๆ มันเริ่มที่ตอบคำถามสี่ข้อนี้ให้ได้ก่อน — และนั่นคือทักษะ MRM ล้วน ๆ ไม่ใช่ทักษะ AI เวลากฎแบบ RBI มาถึงไทย คนที่ได้เปรียบคือคนที่ตอบคำถามพวกนี้เป็น ไม่ใช่คนที่มี AI เยอะสุด

ภาพรวม

ร่าง MRM 2026 ของ RBI ไม่ได้บอกว่าห้ามใช้ AI มันบอกว่าถ้าจะใช้ AI ในงานที่กระทบคน ต้องมีกรอบตรวจสอบระดับบอร์ด มี independent validation มีปุ่มหยุด มีคนคุม และความรับผิดโอนให้ vendor ไม่ได้ ขณะที่ OCC ของสหรัฐเลือกกัน gen AI ออกไปก่อนแล้วค่อยขอข้อมูล สองจังหวะนี้บอกทิศทางเดียวกันว่า model risk management กำลังกลายเป็นภาษากลางของการกำกับ AI ในภาคการเงิน และประเทศที่กฎยังไม่มาถึงมีเวลาเตรียมตัวจากตัวอย่างที่คนอื่นเขียนไว้ให้แล้ว

ถ้าอยากได้ระบบทำงานจริงที่เอา AI มาช่วยงาน data/risk การเงินแบบตรวจสอบได้ คุมได้ และวางกรอบ governance ตั้งแต่ต้น ผมรวบรวมวิธีทำทั้งหมด — ตั้งแต่ออกแบบ guardrail ไปจนถึง QC output ก่อนขึ้น production — ไว้ในคอร์ส Claude Code และถ้าอยากเห็นเช็กลิสต์กำกับ AI agent แบบลงมือทำ ลองอ่านเช็กลิสต์ธรรมาภิบาล AI agent ในงานการเงิน ต่อได้

เนื้อหานี้เพื่อการศึกษาและวิเคราะห์พร้อมอ้างอิง ไม่ใช่คำแนะนำการลงทุนหรือการตีความข้อกฎหมาย

ที่มา

อ่านต่อ