Trong bối cảnh Trí tuệ nhân tạo (AI - Artificial Intellegence) đang bùng nổ và trở thành động lực tăng trưởng chính, việc thiết lập một khung quản trị an toàn, minh bạch và có đạo đức cho AI không còn là lựa chọn mà là yêu cầu cấp thiết. 

Tiêu chuẩn quốc tế ISO/IEC 42001:2023 ra đời như một "kim chỉ nam" giúp doanh nghiệp kiến tạo hệ sinh thái AI trách nhiệm, đáp ứng các yêu cầu khắt khe của Luật Trí tuệ nhân tạo Việt Nam ban hành năm 2025 (Luật số 134/2025/QH15) và các yêu cầu thực tế từ các Tổ chức, Doanh nghiệp.

1. Trí tuệ nhân tạo: Cơ hội đi kèm thách thức quản trị

• Sự phát triển mạnh mẽ của AI mang đến những lợi ích vượt trội về hiệu suất nhưng cũng đặt ra những thách thức lớn về Định kiến thuật toán, Bảo mật dữ liệu và Trách nhiệm giải trình:

• Định kiến thuật toán (Algorithmic Bias) trong AI: Đây là hiện tượng hệ thống AI đưa ra kết quả thiên lệch, bất công đối với một số nhóm người nhất định, thường do dữ liệu huấn luyện, cách thiết kế mô hình, hoặc cách áp dụng hệ thống (ví dụ: hệ thống nhận diện khuôn mặt có tỷ lệ nhận diện sai cao hơn đáng kể, khi nhận diện phụ nữ và người da màu so với nam giới da trắng)

• Mất bảo mật dữ liệu trong phát triển và sử dụng AI: do Rò rỉ dữ liệu huấn luyện (Training Data Leakage) hoặc lỗi trong thư viện mã nguồn mở của hệ thống AI khiến một số người dùng công cụ AI thấy tiêu đề lịch sử trò chuyện của người dùng khác hoặc có những hệ thống AI thu thập hàng tỷ ảnh khuôn mặt từ mạng xã hội (Facebook, Instagram...) không có sự đồng ý của người dùng để xây dựng cơ sở dữ liệu nhận diện khuôn mặt.

• Trách nhiệm giải trình của AI (AI Accountability): gồm khả năng giải thích cách AI ra quyết định, ai chịu trách nhiệm khi có sai sót, và cơ chế khắc phục/bồi thường khi AI gây hại, ví dụ: ngân hàng dùng AI để từ chối khoản vay nhưng không thể giải thích lý do cụ thể (vì mô hình quá phức tạp, kiểu "black box"), người bị từ chối không có cách nào khiếu nại.

• Tại Việt Nam, Luật Trí tuệ nhân tạo 2025 đã thiết lập khung pháp lý nghiêm ngặt, yêu cầu các tổ chức phải kiểm soát chặt chẽ rủi ro và thực hiện đánh giá tác động AI, đặc biệt những lĩnh vực trước mắt được đánh giá là có rủi ro cao và phạm vi tác động lớn như y tế, giáo dục,... 

• Trước áp lực đó, Hệ thống quản lý trí tuệ nhân tạo (Artificial Intellegence Management System - AIMS) theo tiêu chuẩn ISO/IEC 42001:2023 (tương đương TCVN ISO/IEC 42001:2025) đã trở thành tiêu chuẩn mực đầu tiên trên thế giới cung cấp hướng dẫn xây dựng, vận hành và cải tiến hệ thống AI một cách hiệu quả.

2. Lợi ích vàng khi áp dụng AIMS theo ISO/IEC 42001

Việc áp dụng AIMS không chỉ là tuân thủ kỹ thuật mà còn là chiến lược nâng tầm giá trị doanh nghiệp:

• Định hình Khung Quản trị rõ ràng: Quản lý nhất quán hệ thống AI từ khâu nghiên cứu, thiết kế đến triển khai và vận hành thực tế.

• Tối ưu hóa và kiểm soát rủi ro: Chủ động nhận diện, cô lập và xử lý các lỗi thuật toán hoặc sự cố trước khi gây ra hậu quả tiêu cực cho cá nhân và xã hội.

• Xây dựng niềm tin tuyệt đối: Khẳng định với khách hàng và đối tác về tính minh bạch, sự công bằng và cam kết bảo vệ quyền riêng tư trong các quyết định tự động của AI.

• Tiết kiệm nguồn lực: Chuẩn hóa quy trình dữ liệu và mô hình huấn luyện giúp giảm thiểu sai sót, tiết kiệm tài nguyên tính toán và chi phí vận hành.

• "Hộ chiếu" hội nhập toàn cầu: Giúp doanh nghiệp sẵn sàng đáp ứng không chỉ luật pháp trong nước mà còn các đạo luật AI khắt khe trên thế giới như EU AI Act.

3. Cấu trúc chung của Tiêu chuẩn ISO/IEC 42001:2023 (tương đương TCVN ISO/IEC 42001:2025)

Cấu trúc của tiêu chuẩn ISO/IEC 42001:2023 được thiết kế theo cấu trúc hài hòa hóa (Harmonized Structure) của Tổ chức tiêu chuẩn hóa quốc tế ISO dành cho các tiêu chuẩn hệ thống quản lý (Management System Standard - MSS), giúp tổ chức dễ dàng tích hợp với các hệ thống khác như ISO 9001, ISO/IEC 20001 hay ISO/IEC 27001,..

Khung cấu trúc chung của tiêu chuẩn gồm:

1. Các điều khoản cốt lõi của Hệ thống quản lý (AIMS)

Tiêu chuẩn bao gồm 10 điều khoản chính, trong đó các yêu cầu vận hành nằm từ Điều 4 đến Điều 10:

• Điều 1 đến 3: Phạm vi áp dụng, Tài liệu viện dẫn và Thuật ngữ/Định nghĩa.

• Điều 4 - Bối cảnh của tổ chức: Xác định các vấn đề nội bộ/bên ngoài, nhu cầu của các bên quan tâm và phạm vi của hệ thống quản lý AI.

• Điều 5 - Lãnh đạo: Cam kết của lãnh đạo cao nhất, ban hành Chính sách AI và phân định vai trò, trách nhiệm trong tổ chức.

• Điều 6 - Hoạch định: Tập trung vào hành động giải quyết rủi ro, cơ hội và thiết lập các mục tiêu AI.

• Điều 7 - Hỗ trợ: Quản lý các nguồn lực (nhân sự, hạ tầng, dữ liệu), năng lực, nhận thức, trao đổi thông tin và thông tin dạng văn bản.

• Điều 8 - Hoạt động: Lập kế hoạch vận hành, thực hiện đánh giá rủi ro AI, xử lý rủi ro và Đánh giá tác động hệ thống AI (AI SIA).

• Điều 9 - Đánh giá kết quả thực hiện: Giám sát, đo lường, phân tích hệ thống AI, thực hiện đánh giá nội bộ và xem xét của lãnh đạo.

• Điều 10 - Cải tiến: Xử lý sự không phù hợp, thực hiện hành động khắc phục và cải tiến liên tục hệ thống.

2. Các Phụ lục quan trọng

Đây là phần tạo nên sự khác biệt và giá trị thực thi cao của tiêu chuẩn,:

• Phụ lục A (Quy định) - Mục tiêu và biện pháp kiểm soát tham chiếu: Cung cấp danh mục 38 biện pháp kiểm soát chia thành 9 nhóm lĩnh vực (như Chính sách AI, Vòng đời hệ thống AI, Quản trị dữ liệu, Mối quan hệ với bên thứ ba...) để tổ chức lựa chọn áp dụng,.

• Phụ lục B (Quy định) - Hướng dẫn triển khai: Đưa ra các hướng dẫn chi tiết về cách thực hiện từng biện pháp kiểm soát nêu trong Phụ lục A,.

• Phụ lục C (Tham khảo) - Nguồn rủi ro và Mục tiêu: Liệt kê các nguồn rủi ro tiềm ẩn đặc thù của AI và các mục tiêu quản lý rủi ro để tổ chức tham khảo,.

• Phụ lục D (Tham khảo) - Sử dụng AIMS trên các miền hoặc lĩnh vực: Hướng dẫn cách áp dụng tiêu chuẩn này cho các lĩnh vực khác nhau như Y tế, Tài chính, Giáo dục hoặc Sản xuất,.

3. Chương trình chứng nhận AIMS theo ISO/IEC 42001 của QUACERT

Trung tâm Chứng nhận Phù hợp (QUACERT) – Tổ chức chứng nhận quốc gia thuộc Ủy ban Tiêu chuẩn Đo lường Chất lượng Quốc gia (Bộ Khoa học và Công nghệ) là Đơn vị tiên phong được chỉ định năng lực chứng nhận ISO/IEC 42001 tại Việt Nam.

Hình 1: Giấy chứng nhận đăng ký hoạt động của QUACERT và phụ lục kèm theo

Khi được QUACERT chứng nhận, doanh nghiệp nhận được những giá trị khác biệt:

• Uy tín Quốc gia: Chứng chỉ do QUACERT cấp là minh chứng mạnh mẽ nhất cho năng lực và sự tuân thủ chuẩn mực quốc tế của doanh nghiệp trước các cơ quan quản lý và đối tác quốc tế.

• Đội ngũ chuyên gia hàng đầu: Các chuyên gia đánh giá của QUACERT không chỉ am hiểu sâu về hệ thống quản lý mà còn có kiến thức kỹ thuật chuyên sâu về các mô hình AI (Học máy, NLP, nhận diện hình ảnh...).

• Quy trình đánh giá khoa học: Thủ tục được thực hiện khách quan, minh bạch và tối ưu hóa thời gian, chi phí cho doanh nghiệp.

• Hỗ trợ hội nhập: Giúp doanh nghiệp khẳng định vị thế tiên phong trong kỷ nguyên AI trách nhiệm.

   

4. Trình tự 8 bước để đạt được Giấy chứng nhận AIMS

Quy trình chứng nhận gồm các bước chính sau:

1. Thiết lập hệ thống: Doanh nghiệp thuê đơn vị tư vấn hoặc tự xây dựng AIMS đáp ứng đầy đủ yêu cầu ISO/IEC 42001.

2. Đăng ký chứng nhận: Gửi hồ sơ đăng ký theo mẫu quy định của QUACERT.

3. Xem xét và ký hợp đồng: Hai bên thống nhất các điều khoản đánh giá.

4. Đánh giá Giai đoạn 1: Đánh giá hồ sơ tài liệu và mức độ sẵn sàng của hệ thống.

5. Đánh giá Giai đoạn 2: Đánh giá thực tế việc tuân thủ tại hiện trường.

6. Thẩm xét hồ sơ: Hội đồng độc lập kiểm tra kết quả đánh giá để đảm bảo tính khách quan.

7. Cấp giấy chứng nhận: Chứng chỉ có hiệu lực 03 năm sẽ được trao cho đơn vị đạt yêu cầu.

8. Giám sát định kỳ: QUACERT thực hiện 02 cuộc đánh giá giám sát trong chu kỳ 3 năm để đảm bảo hệ thống duy trì hiệu lực.

   

   Hình 2: mẫu giấy chứng nhận AIMS theo ISO/IEC 42001 của QUACERT 

    

5. Kết luận

Trong kỷ nguyên số, trí tuệ nhân tạo là "đòn bẩy" nhưng quản trị AI chính là "điểm tựa" vững chắc. Chứng nhận ISO/IEC 42001 bởi QUACERT không chỉ giúp Tổ chức, Doanh nghiệp quản lý rủi ro mà còn là lời cam kết mạnh mẽ về việc Phát triển và Sử dụng AI nhân văn, đáng tin cậy, đáp ứng các yêu cầu của luật định, chế định và yêu cầu của các bên quan tâm.