Všichni chtějí AI ve správě rizik. Málo z nich je na to připraveno

Všichni se závodí v nasazení AI. Ale ve správě rizik třetích stran (TPRM) by tento závod mohl být největším rizikem ze všech.

AI závisí na struktuře: čistá data, standardizované procesy a konzistentní výsledky. Přesto většina programů TPRM postrádá tyto základy. Některé organizace mají věnované lídry ve správě rizik, definované programy a digitalizovaná data. Jiné spravují rizika ad hoc prostřednictvím tabulek a sdílených disků. Některé operují pod přísnou regulatorní kontrolou, zatímco jiné přijímají daleko větší riziko. Žádné dva programy nejsou stejné a zralost se stále značně liší po 15 letech úsilí.

Tato variabilita znamená, že přijetí AI ve správě rizik třetích stran se nebude dít prostřednictvím rychlosti nebo uniformity. Bude se dít prostřednictvím disciplíny a tato disciplína začíná realistickým přístupem k současnému stavu, cílům a apetitu k riziku vašeho programu.

Jak vědět, zda je váš program připraven na AI

Ne každá organizace je připravena na AI a to je v pořádku. Nedávná studie MIT zjistila , že 95 % projektů GenAI selhává. A podle Gartneru 79 % kupujících technologií říká, že lituje svého posledního nákupu, protože projekt nebyl řádně naplánován.

Ve správě rizik třetích stran není připravenost na AI přepínač, který se přepíná. Je to progrese a odraz toho, jak strukturovaný, propojený a řízený je váš program. Most organizací se nachází někde na křivce zralosti, která se pohybuje od ad hoc po agilní a vědět, kde jste, je prvním krokem k efektivnímu a odpovědnému využití AI.

Na počátečních fázích jsou programy rizik většinou manuální, závislé na tabulkách, institucionální paměti a fragmentované vlastnictví. Existuje málo formální metodologie nebo konzistentního dohledu nad riziky třetích stran. Informace o dodavatelích mohou žít v e-mailových vláknech nebo v hlavách několika klíčových lidí a proces funguje, dokud nefunguje. V tomto prostředí bude AI mít problém oddělit hluk od vhledu a technologie bude zesilovat nekonzistenci místo toho, aby ji eliminovala.

Jak programy zrají, začíná se tvořit struktura: pracovní postupy se standardizují, data se digitalizují a odpovědnost se rozšiřuje napříč odděleními. Zde AI začíná přidávat skutečnou hodnotu. Ale i dobře definované programy často zůstávají izolované, omezující viditelnost a vhled.

Skutečná připravenost se objevuje, když tyto izolace prasknou a řízení se stává sdíleným. Integrované a agilní programy propojují data, automatizaci a odpovědnost napříč podnikem, umožňující AI najít své místo — převádějících nesouvisející informace na inteligenci a podporujících rychlejší a transparentnější rozhodování.

Pochopením, kde jste a kam chcete jít, můžete vytvořit základ, který změní AI z lesklého slibu na skutečný násobič síly.

Proč jeden velikost nevyhovuje všem, navzdory zralosti programu

I když dvě společnosti mají obě agilní programy rizik, nebudou mít stejnou cestu pro implementaci AI, ani neuvidí stejné výsledky. Každá společnost spravuje jinou síť třetích stran, operuje pod jedinečnými regulacemi a přijímá jiná úroveň rizika.

Banky, například, čelí přísným regulatorním požadavkům kolem ochrany dat a soukromí ve službách poskytovaných třetími stranami. Jejich tolerance k chybám, výpadkům nebo porušením je téměř nulová. Výrobci spotřebního zboží mohou přijmout větší provozní riziko za účelem flexibility nebo rychlosti, ale nemohou si dovolit přerušení, která ovlivňují kritické dodací lhůty.

Každá organizace definuje svou toleranci k riziku, kolik nejistoty je ochotna přijmout, aby dosáhla svých cílů a ve správě rizik třetích stran se tato hranice neustále mění. To je důvod, proč obecné modely AI zřídka fungují. Použití generického modelu v tak proměnlivém prostoru vytváří slepá místa místo jasnosti — vytváří potřebu více účelově postavených, konfigurovatelných řešení.

Chytrý přístup k AI je modulární. Nasazení AI tam, kde jsou data silná a cíle jsou jasná, a poté škálovat z toho. Společné případy použití zahrnují:

• Výzkum dodavatelů: Použití AI k prohledání tisíců potenciálních dodavatelů, identifikaci těch s nejnižším rizikem, nejvíce schopných nebo nejvíce udržitelných partnerů pro nadcházející projekt.
• Hodnocení: Použití AI k hodnocení dokumentace dodavatelů, certifikátů a auditních důkazů. Modely mohou označit nekonzistence nebo anomálie, které mohou naznačovat riziko, uvolňující analytiky, aby se soustředili na to, co je nejvíc důležité.
• Plánování odolnosti: Použití AI k simulaci vlnových efektů přerušení. Jak by sankce v regionu nebo regulatorní zákaz materiálu ovlivnily vaši dodavatelskou základnu? AI může zpracovat komplexní obchodní, geografická a závislostní data k modelování výsledků a posílení plánů na kontinuitu.

Každý z těchto případů použití dodává hodnotu, když je nasazen záměrně a podporován řízením. Organizace, které vidí skutečný úspěch s AI ve správě rizik a řízení dodavatelského řetězce, nejsou ty, které automatizují nejvíce. Jsou to ty, které začínají malé, automatizují s úmyslem a přizpůsobují se často.

Stavba směrem k odpovědnému AI ve správě rizik třetích stran

Jak organizace začínají experimentovat s AI ve správě rizik třetích stran, nejúčinnější programy vyvažují inovace s odpovědností. AI by mělo posílit dohled, ne nahradit ho.

Ve správě rizik třetích stran se úspěch neměří pouze tím, jak rychle můžete vyhodnotit dodavatele; měří se tím, jak přesně jsou identifikována rizika a jak účinně jsou implementována nápravná opatření. Když dodavatel selže nebo problém s dodržením předpisů udělá titulky, nikdo se neptá, jak efektivní byl proces. Ptají se, jak byl řízen.

Tato otázka, „jak je to řízeno“, se rychle stává globální. Jak přijetí AI zrychluje, regulátoři po celém světě definují, co znamená „odpovědné“ ve velmi různých způsobech. EU AI Act nastavil tón s rámcem založeným na riziku, který vyžaduje transparentnost a odpovědnost za systémy s vysokým rizikem. Naopak Spojené státy následují více decentralizovanou cestu, zdůrazňující inovace spolu s dobrovolnými standardy, jako je NIST AI Risk Management Framework. Další regiony, včetně Japonska, Číny a Brazílie, vyvíjejí své vlastní varianty, které kombinují lidská práva, dohled a národní priority do různých modelů řízení AI.

Pro globální podniky zavedení těchto rozdílných přístupů přidává nové vrstvy složitosti. Dodavatel operující v Evropě může čelit přísným požadavkům na reportování, zatímco ten v USA může mít volnější, ale stále se vyvíjející očekávání. Každá definice „odpovědného AI“ přidává nuance k tomu, jak riziko musí být hodnoceno, monitorováno a vysvětlováno.

Lídry ve správě rizik potřebují přizpůsobitelné struktury dohledu, které mohou flexibilně reagovat na měnící se regulace, zatímco zachovávají transparentnost a kontrolu. Nejrozvinutější programy přímo začleňují řízení do svých operací ve správě rizik třetích stran, zajišťují, že každé rozhodnutí řízené AI lze vysvětlit, vystopovat a obhájit — bez ohledu na jurisdikci.

Jak začít

Proměna odpovědného AI ve realitu vyžaduje více než prohlášení o politice. Znamená to umístění správných základů: čistá data, jasná odpovědnost a nepřetržitý dohled. Zde je to, co to znamená.

• Standardizovat od začátku. Zavedení čistých, konzistentních dat a sladěných procesů před automatizací. Implementace fázového přístupu, který integruje AI do vašeho programu rizik krok za krokem, testuje, ověřuje a rafinuje každou fázi, než škáluje. Zajištění integrity dat, soukromí a transparentnosti jakožto nezbytných od samého začátku. AI, které nemůže vysvětlit své zdůvodnění nebo které spoléhá na neověřené vstupy, zavádí riziko místo toho, aby je snižovalo.
• Začít malé a experimentovat často. Úspěch není o rychlosti. Spuštění řízených pilotů, které aplikují AI na specifické, dobře pochopené problémy. Dokumentování, jak modely fungují, jak se dělají rozhodnutí a kdo je zodpovědný za ně. Identifikace a zmírnění kritických výzev, včetně kvality dat, soukromí a regulatorních překážek, které brání většině projektů generativní AI v dodání obchodní hodnoty.
• Vždy řídit. AI by mělo pomoci předvídat přerušení, ne způsobit více z nich. Léčit AI jako jakoukoli jinou formu rizika. Zavedení jasných politik a vnitřní odbornosti pro hodnocení, jak vaše organizace a její třetí strany používají AI. Jak se regulace po celém světě vyvíjejí, transparentnost musí zůstat konstantní. Lídry ve správě rizik by měli být schopni vystopovat každé rozhodnutí řízené AI zpět k jeho zdrojům dat a logice, zajišťují, že rozhodnutí vydrží pod tlakem regulatorů, správních rad a veřejnosti.

Neexistuje žádný univerzální plán pro AI ve správě rizik třetích stran. Každá společnost bude mít svou zralost, regulatorní prostředí a toleranci k riziku, které budou formovat, jak AI implementuje a dodává hodnotu, ale všechny programy by měly být postaveny s úmyslem. Automatizovat to, co je připraveno, řídit to, co je automatizováno, a nepřetržitě přizpůsobovat se, jak se technologie a pravidla kolem ní vyvíjejí.