Vernetzen Sie sich mit uns

Vordenker

Alle wollen KI im Risikomanagement. Nur wenige sind bereit dafür.

mm
Veröffentlicht

Alle wetteifern darum, KI einzusetzen. Doch im Bereich des Drittparteienrisikomanagements (TPRM) könnte genau dieser Wettlauf das größte Risiko von allen darstellen.

Künstliche Intelligenz (KI) basiert auf Struktur: sauberen Daten, standardisierten Prozessen und konsistenten Ergebnissen. Doch den meisten Programmen für Risikomanagement (TPRM) fehlen diese Grundlagen. Einige Organisationen verfügen über dedizierte Risikomanager, definierte Programme und digitalisierte Daten. Andere managen Risiken ad hoc mithilfe von Tabellenkalkulationen und gemeinsam genutzten Laufwerken. Manche unterliegen strengen regulatorischen Auflagen, während andere deutlich höhere Risiken eingehen. Kein Programm gleicht dem anderen, und der Reifegrad variiert auch nach 15 Jahren noch stark.

Diese Variabilität bedeutet, dass die Einführung von KI im TPRM nicht durch Schnelligkeit oder Einheitlichkeit erfolgen wird. Sie wird durch Disziplin erreicht, und diese Disziplin beginnt mit einer realistischen Einschätzung des aktuellen Zustands, der Ziele und der Risikobereitschaft des eigenen Programms.

Wie Sie feststellen, ob Ihr Programm bereit für KI ist

Nicht jede Organisation ist bereit für KI, und das ist in Ordnung. Eine aktuelle Studie des MIT ergab Folgendes: 95 % der GenAI-Projekte scheitern.Und laut Gartner, 79 % der Technologiekäufer Sie geben an, ihren letzten Kauf zu bereuen, weil das Projekt nicht richtig geplant war.

Im TPRM-Modell ist KI-Bereitschaft kein Schalter, den man einfach umlegt. Sie ist ein fortlaufender Prozess und spiegelt wider, wie strukturiert, vernetzt und gesteuert Ihr Programm ist. Die meisten Organisationen befinden sich irgendwo auf einer Reifegradskala, die von ad hoc bis agil reicht. Zu wissen, wo man steht, ist der erste Schritt zu einem effektiven und verantwortungsvollen KI-Einsatz.

In der Anfangsphase sind Risikomanagementprogramme weitgehend manuell und basieren auf Tabellenkalkulationen, institutionellem Wissen und fragmentierter Zuständigkeit. Es gibt kaum formale Methodik oder eine durchgängige Überwachung von Drittparteirisiken. Informationen über Lieferanten befinden sich oft in E-Mail-Verläufen oder im Wissen einiger weniger Schlüsselpersonen, und der Prozess funktioniert – bis er es nicht mehr tut. In diesem Umfeld wird es KI schwerfallen, irrelevante Informationen von relevanten Erkenntnissen zu trennen, und die Technologie wird Inkonsistenzen eher verstärken als beseitigen.

Mit zunehmender Reife von Programmen bildet sich eine Struktur heraus: Arbeitsabläufe werden standardisiert, Daten digitalisiert und die Verantwortlichkeit abteilungsübergreifend. Hier beginnt KI, echten Mehrwert zu schaffen. Doch selbst gut definierte Programme bleiben oft isoliert, was Transparenz und Erkenntnisse einschränkt.

Echte Bereitschaft entsteht, wenn diese Silos aufgebrochen und die Steuerung geteilt wird. Integrierte und agile Programme vernetzen Daten, Automatisierung und Verantwortlichkeit im gesamten Unternehmen und ermöglichen es der KI, sich zu etablieren – indem sie unzusammenhängende Informationen in Erkenntnisse umwandeln und schnellere, transparentere Entscheidungsfindung unterstützen.

Indem Sie verstehen, wo Sie stehen und wo Sie hinwollen, können Sie die Grundlage schaffen, die KI von einem glänzenden Versprechen in einen echten Kraftmultiplikator verwandelt.

Warum trotz ausgereifter Programme keine Einheitslösung funktioniert

Selbst wenn zwei Unternehmen über agile Risikomanagementprogramme verfügen, werden sie bei der KI-Implementierung nicht denselben Weg beschreiten und auch nicht dieselben Ergebnisse erzielen. Jedes Unternehmen verwaltet ein anderes Netzwerk von Drittanbietern, unterliegt individuellen regulatorischen Vorgaben und akzeptiert unterschiedliche Risikostufen.

Banken beispielsweise unterliegen strengen regulatorischen Anforderungen hinsichtlich Datenschutz und Datensicherheit bei den von externen Dienstleistern erbrachten Dienstleistungen. Ihre Risikotoleranz für Fehler, Ausfälle oder Datenschutzverletzungen ist nahezu null. Konsumgüterhersteller hingegen akzeptieren unter Umständen ein höheres operatives Risiko im Austausch für Flexibilität oder Geschwindigkeit, können sich aber keine Unterbrechungen leisten, die kritische Liefertermine gefährden.

Die Risikotoleranz einer Organisation definiert, wie viel Unsicherheit sie bereit ist zu akzeptieren, um ihre Ziele zu erreichen. Im TPRM (Target Risk Management) ist diese Grenze ständig im Wandel. Daher funktionieren Standard-KI-Modelle selten. Die Anwendung eines generischen Modells in einem so variablen Umfeld erzeugt blinde Flecken statt Klarheit – und damit den Bedarf an maßgeschneiderten, konfigurierbaren Lösungen.

Der intelligentere Ansatz für KI ist modular. Setzen Sie KI dort ein, wo ausreichend Daten vorhanden und die Ziele klar definiert sind, und skalieren Sie sie dann von dort aus. Typische Anwendungsfälle sind:

  • Lieferantenrecherche: Setzen Sie KI ein, um Tausende potenzieller Anbieter zu durchsuchen und die risikoärmsten, leistungsfähigsten oder nachhaltigsten Partner für ein bevorstehendes Projekt zu identifizieren.
  • Bewertung: Setzen Sie KI ein, um Lieferantendokumentationen, Zertifizierungen und Auditnachweise zu bewerten. Modelle können Inkonsistenzen oder Anomalien aufdecken, die auf Risiken hinweisen, sodass sich Analysten auf das Wesentliche konzentrieren können.
  • Resilienzplanung: Nutzen Sie KI, um die Folgewirkungen von Störungen zu simulieren. Wie würden Sanktionen in einer Region oder ein regulatorisches Verbot eines Rohstoffs Ihre Lieferkette beeinflussen? KI kann komplexe Handels-, geografische und Abhängigkeitsdaten verarbeiten, um Ergebnisse zu modellieren und Notfallpläne zu stärken.

Jeder dieser Anwendungsfälle bietet Mehrwert, wenn er gezielt eingesetzt und durch entsprechende Governance-Strukturen unterstützt wird. Die Organisationen, die mit KI im Risiko- und Lieferkettenmanagement wirklich erfolgreich sind, sind nicht diejenigen, die am meisten automatisieren. Sie sind diejenigen, die klein anfangen, gezielt automatisieren und sich regelmäßig anpassen.

Aufbau einer verantwortungsvollen KI im TPRM

Da Unternehmen beginnen, mit KI im Bereich des TPRM zu experimentieren, sind die effektivsten Programme darauf ausgelegt, Innovation und Verantwortlichkeit in Einklang zu bringen. KI sollte die Aufsicht stärken, nicht ersetzen.

Im Drittanbieter-Risikomanagement bemisst sich der Erfolg nicht allein an der Geschwindigkeit der Lieferantenbewertung, sondern auch an der Genauigkeit der Risikoidentifizierung und der Wirksamkeit der umgesetzten Korrekturmaßnahmen. Wenn ein Lieferant ausfällt oder ein Compliance-Verstoß Schlagzeilen macht, fragt niemand nach der Effizienz des Prozesses, sondern nach dessen Steuerung.

Diese Frage, „Wie wird es geregelt?„Verantwortung“ gewinnt rasant an globaler Bedeutung. Mit der zunehmenden Verbreitung von KI definieren Regulierungsbehörden weltweit den Begriff „verantwortungsvoll“ auf sehr unterschiedliche Weise. EU-KI-Gesetz hat mit einem risikobasierten Rahmenwerk, das Transparenz und Rechenschaftspflicht für Hochrisikosysteme fordert, den Ton angegeben. Im Gegensatz dazu Die Vereinigten Staaten verfolgen einen dezentraleren Weg.wobei Innovationen neben freiwilligen Standards wie dem NIST AI Risk Management FrameworkAndere Regionen, darunter Japan, China und Brasilien, entwickeln ihre eigenen Varianten, die Menschenrechte, Aufsicht und nationale Prioritäten in unterschiedliche Modelle der KI-Governance einfließen lassen.

Für global agierende Unternehmen bringen diese unterschiedlichen Ansätze neue Komplexitätsebenen mit sich. Ein in Europa tätiger Anbieter unterliegt möglicherweise strengen Berichtspflichten, während für einen in den USA weniger strenge, aber dennoch sich entwickelnde Anforderungen gelten. Jede Definition von „verantwortungsvoller KI“ trägt zu den Nuancen bei, die bei der Bewertung, Überwachung und Erläuterung von Risiken zu berücksichtigen sind.

Risikomanagementverantwortliche benötigen flexible Aufsichtsstrukturen, die sich an veränderte regulatorische Vorgaben anpassen und gleichzeitig Transparenz und Kontrolle gewährleisten. Die fortschrittlichsten Programme integrieren Governance direkt in ihre TPRM-Prozesse und stellen so sicher, dass jede KI-gestützte Entscheidung – unabhängig von der jeweiligen Gerichtsbarkeit – nachvollziehbar, begründet und verteidigt werden kann.

Wie man anfängt

Um verantwortungsvolle KI in die Realität umzusetzen, braucht es mehr als nur politische Erklärungen. Es gilt, die richtigen Grundlagen zu schaffen: saubere Daten, klare Verantwortlichkeiten und kontinuierliche Überwachung. So sieht das konkret aus.

  • Standardisieren Sie von Anfang an. Sorgen Sie vor der Automatisierung für saubere, konsistente Daten und abgestimmte Prozesse. Implementieren Sie einen stufenweisen Ansatz, der KI schrittweise in Ihr Risikomanagement integriert. Testen, validieren und optimieren Sie jede Phase, bevor Sie sie skalieren. Datenintegrität, Datenschutz und Transparenz müssen von Anfang an unabdingbar sein. KI, die ihre Vorgehensweise nicht nachvollziehbar erklärt oder auf unbestätigten Eingaben basiert, birgt Risiken, anstatt sie zu reduzieren.
  • Fang klein an und experimentiere oft. Erfolg hängt nicht von der Geschwindigkeit ab. Starten Sie kontrollierte Pilotprojekte, die KI auf spezifische, gut verstandene Probleme anwenden. Dokumentieren Sie die Funktionsweise der Modelle, die Entscheidungsfindung und die Verantwortlichkeiten. Identifizieren und minimieren Sie die kritischen Herausforderungen, darunter Datenqualität, Datenschutz und regulatorische Hürden, die die meisten generativen KI-Projekte daran hindern, einen geschäftlichen Mehrwert zu generieren.
  • Regiere immer. KI sollte dazu beitragen, Umbrüche vorherzusehen, nicht sie zu verstärken. Behandeln Sie KI wie jedes andere Risiko. Etablieren Sie klare Richtlinien und bauen Sie interne Expertise auf, um zu bewerten, wie Ihr Unternehmen und seine Drittanbieter KI einsetzen. Da sich die Regulierung weltweit weiterentwickelt, muss Transparenz stets gewährleistet sein. Risikomanager sollten jede KI-gestützte Erkenntnis bis zu ihren Datenquellen und ihrer Logik zurückverfolgen können, um sicherzustellen, dass Entscheidungen der Prüfung durch Aufsichtsbehörden, Aufsichtsräte und die Öffentlichkeit gleichermaßen standhalten.

Es gibt kein allgemeingültiges Schema für KI im TPRM. Die Reife des jeweiligen Unternehmens, das regulatorische Umfeld und die Risikotoleranz bestimmen, wie KI implementiert wird und Mehrwert generiert. Alle Programme sollten jedoch zielgerichtet entwickelt werden. Automatisieren Sie, was bereits verfügbar ist, steuern Sie die automatisierten Prozesse und passen Sie diese kontinuierlich an die Weiterentwicklung der Technologie und der dazugehörigen Regeln an.

Verwandte Themen:
mm

Dave Rusher ist Chief Customer Officer bei AravoDort berät er globale Organisationen zum Thema Drittparteienrisikomanagement und zum verantwortungsvollen Einsatz von KI. Er verfügt über mehr als 30 Jahre Erfahrung in der Unternehmenssoftwarebranche und setzt sich mit Leidenschaft dafür ein, Kunden bei der Bewältigung kritischer Geschäftsherausforderungen mit Lösungen zu unterstützen, die ihren langfristigen Erfolg und ihre strategischen Ziele fördern.