Vordenker

Jeder will künstliche Intelligenz im Risikomanagement. Wenige sind darauf vorbereitet

mm
Published
Updated

Jeder rast daran, künstliche Intelligenz (KI) einzusetzen. Doch im Risikomanagement von Drittanbietern (Third-Party Risk Management, TPRM) könnte dieser Wettlauf das größte Risiko von allen sein.

KI basiert auf Struktur: sauberen Daten, standardisierten Prozessen und konsistenten Ergebnissen. Dennoch fehlen den meisten TPRM-Programmen diese Grundlagen. Einige Organisationen haben dedizierte Risikoführer, definierte Programme und digitalisierte Daten. Andere verwalten Risiken ad hoc über Tabellenkalkulationen und gemeinsam genutzte Laufwerke. Einige operieren unter strenger regulatorischer Aufsicht, während andere ein größeres Risiko akzeptieren. Kein zwei Programme sind gleich, und die Reife variiert noch immer stark nach 15 Jahren Bemühungen.

Diese Variabilität bedeutet, dass die Einführung von KI in TPRM nicht durch Geschwindigkeit oder Einheitlichkeit geschehen wird. Sie wird durch Disziplin geschehen, und diese Disziplin beginnt damit, realistisch über den aktuellen Zustand, die Ziele und das Risikoprofil Ihres Programms nachzudenken.

Wie man erkennt, ob Ihr Programm für KI bereit ist

Nicht jede Organisation ist für KI bereit, und das ist in Ordnung. Eine kürzlich von MIT durchgeführte Studie fand heraus, dass 95% der GenAI-Projekte scheitern. Und laut Gartner sagen 79% der Technologieeinkäufer, dass sie ihre letzte Kaufentscheidung bereuen, weil das Projekt nicht ordnungsgemäß geplant wurde.

Im TPRM ist die Bereitschaft für KI kein Schalter, den man umlegt. Es ist ein Prozess und ein Spiegelbild davon, wie strukturiert, vernetzt und reguliert Ihr Programm ist. Die meisten Organisationen befinden sich irgendwo auf einer Reifekurve, die von ad hoc bis agil reicht, und es ist wichtig, zu wissen, wo man sich befindet, um KI effektiv und verantwortungsvoll einzusetzen.

In den frühen Stadien sind Risikoprogramme größtenteils manuell, abhängig von Tabellenkalkulationen, institutionellem Gedächtnis und fragmentierter Eigentümerschaft. Es gibt wenig formale Methodik oder konsistente Aufsicht über das Risiko von Drittanbietern. Informationen über Lieferanten können in E-Mail-Threads oder im Kopf einiger weniger Schlüsselpersonen leben, und der Prozess funktioniert, bis er nicht mehr funktioniert. In dieser Umgebung wird KI Schwierigkeiten haben, Rauschen von Erkenntnissen zu trennen, und die Technologie wird Inkonsistenzen eher verstärken als beseitigen.

Wenn Programme reifer werden, beginnt Struktur zu entstehen: Workflows werden standardisiert, Daten werden digitalisiert und die Verantwortung wird auf mehrere Abteilungen ausgeweitet. Hier beginnt KI, echten Wert zu erbringen. Aber auch gut definierte Programme bleiben oft in Silos, was die Sichtbarkeit und Erkenntnisse einschränkt.

Wahre Bereitschaft entsteht, wenn diese Silos zusammenbrechen und die Regulierung gemeinsam wird. Integrierte und agile Programme verbinden Daten, Automatisierung und Verantwortung über das gesamte Unternehmen, was es KI ermöglicht, Fuß zu fassen – unverbundene Informationen in Erkenntnisse umzuwandeln und transparentere, schnellere Entscheidungen zu unterstützen.

Indem man versteht, wo man ist und wohin man will, kann man die Grundlage schaffen, die KI von einem leeren Versprechen in einen echten Multiplikator verwandelt.

Warum eine Größe nicht für alle passt, trotz der Reife des Programms

Selbst wenn zwei Unternehmen beide agile Risikoprogramme haben, werden sie nicht den gleichen Kurs für die Einführung von KI verfolgen, noch werden sie die gleichen Ergebnisse sehen. Jedes Unternehmen verwaltet ein anderes Netzwerk von Drittanbietern, operiert unter einzigartigen Vorschriften und akzeptiert unterschiedliche Risikostufen.

Banken beispielsweise stehen vor strengen regulatorischen Anforderungen im Hinblick auf Datenschutz und Schutz der von Drittanbietern erbrachten Dienstleistungen. Ihre Risikotoleranz für Fehler, Ausfälle oder Verletzungen ist nahe Null. Hersteller von Konsumgütern hingegen könnten ein größeres operatives Risiko in Kauf nehmen, um Flexibilität oder Geschwindigkeit zu erzielen, aber sie können keine Unterbrechungen dulden, die die kritischen Lieferzeiten beeinträchtigen.

Jedes Unternehmen definiert seine Risikotoleranz, die bestimmt, wie viel Unsicherheit es akzeptieren will, um seine Ziele zu erreichen, und im TPRM bewegt sich diese Grenze ständig. Deshalb funktionieren fertige KI-Modelle selten. Die Anwendung eines generischen Modells in einem so variablen Bereich schafft Blindpunkte anstelle von Klarheit – was den Bedarf an maßgeschneiderten, konfigurierbaren Lösungen schafft.

Der intelligentere Ansatz für KI ist modular. Setzen Sie KI dort ein, wo die Daten stark und die Ziele klar sind, und skalieren Sie von dort aus. Gängige Anwendungsfälle umfassen:

  • Lieferantenforschung: Verwenden Sie KI, um Tausende von potenziellen Lieferanten zu durchsuchen und die risikoärmsten, fähigsten oder nachhaltigsten Partner für ein bevorstehendes Projekt zu identifizieren.
  • Bewertung: Wenden Sie KI an, um Lieferantendokumentation, Zertifikate und Prüfnachweise zu bewerten. Modelle können Inkonsistenzen oder Anomalien flaggen, die auf ein Risiko hindeuten, und Analysten können sich auf das konzentrieren, was am wichtigsten ist.
  • Resilienzplanung: Verwenden Sie KI, um die Welleneffekte von Unterbrechungen zu simulieren. Wie würde eine Sanktion in einer Region oder ein regulatorisches Verbot eines Materials Ihre Lieferkette beeinträchtigen? KI kann komplexe Handels-, geografische und Abhängigkeitsdaten verarbeiten, um Ergebnisse zu modellieren und Notfallpläne zu stärken.

Jeder dieser Anwendungsfälle liefert Wert, wenn er absichtlich und durch Regulierung unterstützt wird. Die Organisationen, die mit KI im Risiko- und Lieferkettenmanagement Erfolg haben, sind nicht diejenigen, die am meisten automatisieren. Sie sind diejenigen, die klein anfangen, absichtlich automatisieren und häufig anpassen.

Aufbau von verantwortungsvoller KI im TPRM

Wenn Organisationen beginnen, mit KI im TPRM zu experimentieren, sind die effektivsten Programme diejenigen, die Innovation mit Verantwortung in Einklang bringen. KI sollte die Aufsicht stärken, nicht ersetzen.

Im Risikomanagement von Drittanbietern wird der Erfolg nicht nur daran gemessen, wie schnell man einen Lieferanten bewerten kann; er wird daran gemessen, wie genau Risiken identifiziert und wie effektiv Korrekturmaßnahmen umgesetzt werden. Wenn ein Lieferant scheitert oder ein Compliance-Problem Schlagzeilen macht, fragt niemand, wie effizient der Prozess war. Man fragt, wie er reguliert wurde.

Diese Frage, “Wie wird es reguliert“, wird schnell global. Wenn die Einführung von KI beschleunigt wird, definieren Regulierungsbehörden auf der ganzen Welt, was “verantwortungsvoll” in sehr unterschiedlichen Weisen bedeutet. Der EU-KI-Gesetz hat den Ton mit einem risikobasierten Rahmen angegeben, der Transparenz und Rechenschaftspflicht für Hochrisikosysteme fordert. Im Gegensatz dazu verfolgt die Vereinigten Staaten einen dezentraleren Weg, der Innovation neben freiwilligen Standards wie dem NIST-KI-Risikomanagement-Framework betont. Andere Regionen, einschließlich Japan, China und Brasilien, entwickeln ihre eigenen Variationen, die Menschenrechte, Aufsicht und nationale Prioritäten in unterschiedliche Modelle der KI-Regulierung einbeziehen.

Für globale Unternehmen führen diese divergierenden Ansätze neue Schichten der Komplexität ein. Ein Lieferant, der in Europa tätig ist, muss strenge Berichtspflichten erfüllen, während ein Lieferant in den USA lockerere, aber immer noch sich entwickelnde Erwartungen hat. Jede Definition von “verantwortungsvoller KI” fügt Nuancen hinzu, wie Risiken bewertet, überwacht und erklärt werden müssen.

Risikoführer benötigen anpassungsfähige Aufsichtsstrukturen, die sich mit wechselnden Vorschriften flexibel anpassen können, während sie Transparenz und Kontrolle aufrechterhalten. Die fortschrittlichsten Programme integrieren die Regulierung direkt in ihre TPRM-Betrieb, um sicherzustellen, dass jede KI-getriebene Entscheidung erklärt, nachverfolgt und verteidigt werden kann – unabhängig von der Gerichtsbarkeit.

Wie man beginnt

Die Umsetzung von verantwortungsvoller KI in die Realität erfordert mehr als nur politische Erklärungen. Es bedeutet, die richtigen Grundlagen zu schaffen: saubere Daten, klare Verantwortung und kontinuierliche Aufsicht. Hier ist, wie das aussieht.

  • Standardisieren Sie von Anfang an. Stellen Sie saubere, konsistente Daten und ausgerichtete Prozesse her, bevor Sie die Automatisierung vornehmen. Implementieren Sie einen schrittweisen Ansatz, der KI schrittweise in Ihr Risikoprogramm integriert, testet, validiert und verfeinert, bevor Sie es skalieren. Machen Sie Datenintegrität, Datenschutz und Transparenz von Anfang an unverhandelbar. KI, die ihre Argumentation nicht erklären kann oder auf unverifizierten Eingaben basiert, schafft Risiken, anstatt sie zu reduzieren.
  • Fangen Sie klein an und experimentieren Sie oft. Erfolg ist nicht nur eine Frage der Geschwindigkeit. Starten Sie kontrollierte Pilotprojekte, die KI auf spezifische, gut verstandene Probleme anwenden. Dokumentieren Sie, wie Modelle performen, wie Entscheidungen getroffen werden und wer für sie verantwortlich ist. Identifizieren und mildern Sie die kritischen Herausforderungen, einschließlich Datenqualität, Datenschutz und regulatorischen Hürden, die die meisten generativen KI-Projekte daran hindern, Geschäftswert zu liefern.
  • Regulieren Sie immer. KI sollte helfen, Unterbrechungen vorherzusagen, nicht mehr davon verursachen. Behandeln Sie KI wie jedes andere Risiko. Stellen Sie klare Richtlinien und interne Expertise für die Bewertung auf, wie Ihr Unternehmen und seine Drittanbieter KI nutzen. Wenn die Vorschriften weltweit evolvieren, muss Transparenz konstant bleiben. Risikoführer sollten in der Lage sein, jede KI-getriebene Erkenntnis auf ihre Datenquellen und Logik zurückzuverfolgen, um sicherzustellen, dass Entscheidungen der Prüfung durch Regulierungsbehörden, Vorstände und die Öffentlichkeit standhalten.

Es gibt kein universelles Vorgehen für KI im TPRM. Jedes Unternehmensreife, regulatorische Umgebung und Risikotoleranz werden bestimmen, wie KI implementiert wird und welchen Wert sie liefert, aber alle Programme sollten mit Absicht aufgebaut werden. Automatisieren Sie, was bereit ist, regulieren Sie, was automatisiert wird, und passen Sie sich kontinuierlich an, wenn die Technologie und die Regeln darum herum evolvieren.

mm

Dave Rusher ist Chief Customer Officer bei Aravo, wo er globale Organisationen bei der Verwaltung von Risiken durch Dritte und der verantwortungsvollen Einführung von KI berät. Er verfügt über mehr als 30 Jahre Erfahrung in der Branche für Unternehmenssoftware und ist leidenschaftlich daran interessiert, Kunden bei der Lösung kritischer Geschäftsprobleme mit Lösungen zu helfen, die ihren langfristigen Erfolg und strategischen Zielen unterstützen.