Tout le monde veut l’IA dans la gestion des risques. Peu sont prêts pour cela

Tout le monde se précipite pour déployer l’IA. Mais dans la gestion des risques liés aux tiers (TPRM), cette course pourrait être le plus grand risque de tous.

L’IA dépend de la structure : des données propres, des processus standardisés et des résultats cohérents. Pourtant, la plupart des programmes de TPRM manquent de ces fondements. Certaines organisations ont des dirigeants de risques dédiés, des programmes définis et des données numérisées. D’autres gèrent les risques de manière ad hoc à l’aide de tableurs et de lecteurs partagés. Certaines opèrent sous une surveillance réglementaire stricte, tandis que d’autres acceptent un risque beaucoup plus grand. Aucun programme n’est identique, et la maturité varie encore considérablement après 15 ans d’efforts.

Cette variabilité signifie que l’adoption de l’IA dans la TPRM ne se fera pas par la vitesse ou l’uniformité. Elle se fera par la discipline, et cette discipline commence par être réaliste sur l’état actuel de votre programme, vos objectifs et votre appétit pour le risque.

Comment savoir si votre programme est prêt pour l’IA

Pas toutes les organisations sont prêtes pour l’IA, et c’est okay. Une étude récente du MIT a constaté que 95 % des projets d’IA de génération échouent. Et selon Gartner, 79 % des acheteurs de technologie regrettent leur dernier achat car le projet n’a pas été correctement planifié.

Dans la TPRM, la préparation à l’IA n’est pas un interrupteur que vous activez. C’est une progression, et un reflet de la manière dont votre programme est structuré, connecté et régi. La plupart des organisations se situent quelque part le long d’une courbe de maturité qui va de l’ad hoc à l’agile, et savoir où vous vous situez est le premier pas pour utiliser l’IA de manière efficace et responsable.

Aux premiers stades, les programmes de risques sont en grande partie manuels, dépendants de tableurs, de la mémoire institutionnelle et d’une propriété fragmentée. Il y a peu de méthodologie formelle ou de surveillance cohérente des risques liés aux tiers. Les informations sur les fournisseurs peuvent vivre dans des threads de courriels ou dans la tête de quelques personnes clés, et le processus fonctionne, jusqu’à ce qu’il ne fonctionne plus. Dans cet environnement, l’IA aura du mal à séparer le bruit de la perspicacité, et la technologie magnifiera l’incohérence plutôt que de l’éliminer.

À mesure que les programmes mûrissent, la structure commence à se former : les flux de travail sont standardisés, les données sont numérisées et la responsabilité s’étend à travers les départements. Ici, l’IA commence à ajouter de la valeur réelle. Mais même les programmes bien définis restent souvent cloisonnés, limitant la visibilité et la perspicacité.

La véritable préparation émerge lorsque ces silos se brisent et que la gouvernance devient partagée. Les programmes intégrés et agiles relient les données, l’automatisation et la responsabilité à travers l’entreprise, permettant à l’IA de trouver son pied — transformant les informations non connectées en intelligence et soutenant une prise de décision plus rapide et plus transparente.

En comprenant où vous êtes et où vous voulez aller, vous pouvez construire les fondements qui transforment l’IA d’une promesse brillante en un véritable multiplicateur de force.

Pourquoi une taille ne convient pas à tous, malgré la maturité du programme

Même si deux sociétés ont toutes deux des programmes de risques agiles, elles ne traceront pas le même parcours pour la mise en œuvre de l’IA, ni ne verront les mêmes résultats. Chaque société gère un réseau différent de tiers, opère sous des réglementations uniques et accepte différents niveaux de risque.

Les banques, par exemple, sont confrontées à des exigences réglementaires strictes en matière de confidentialité et de protection des données dans les services fournis par les sous-traitants tiers. Leur tolérance au risque d’erreurs, de pannes ou de violations est proche de zéro. Les fabricants de biens de consommation, en revanche, peuvent accepter un risque opérationnel plus important en échange de flexibilité ou de rapidité, mais ne peuvent pas se permettre de perturbations qui affectent les délais de livraison critiques.

La tolérance au risque de chaque organisation définit à quel point elle est prête à accepter de l’incertitude pour atteindre ses objectifs, et dans la TPRM, cette ligne bouge constamment. C’est pourquoi les modèles d’IA standardisés fonctionnent rarement. L’application d’un modèle générique dans un espace aussi variable crée des angles morts au lieu de clarté – créant un besoin de solutions plus personnalisées et configurables.

L’approche plus intelligente de l’IA est modulaire. Déployez l’IA là où les données sont solides et les objectifs sont clairs, puis évoluez à partir de là. Les cas d’utilisation courants incluent :

• Recherche de fournisseurs : Utilisez l’IA pour passer au crible des milliers de fournisseurs potentiels, en identifiant les partenaires les moins risqués, les plus capables ou les plus durables pour un projet à venir.
• Évaluation : Appliquez l’IA pour évaluer la documentation des fournisseurs, les certifications et les preuves d’audit. Les modèles peuvent signaler les incohérences ou les anomalies qui peuvent indiquer un risque, libérant les analystes pour se concentrer sur ce qui compte le plus.
• Planification de la résilience : Utilisez l’IA pour simuler les effets d’onde de perturbation. Comment des sanctions dans une région ou une interdiction réglementaire sur une matière affecteraient-elles votre base d’approvisionnement ? L’IA peut traiter des données commerciales, géographiques et de dépendance complexes pour modéliser les résultats et renforcer les plans de continuité.

Chacun de ces cas d’utilisation offre de la valeur lorsqu’il est déployé intentionnellement et soutenu par une gouvernance. Les organisations qui voient un véritable succès avec l’IA dans la gestion des risques et la chaîne d’approvisionnement ne sont pas celles qui automatisent le plus. Ce sont celles qui commencent petit, automatisent avec intention et s’adaptent fréquemment.

Construire vers une IA responsable dans la TPRM

À mesure que les organisations commencent à expérimenter l’IA dans la TPRM, les programmes les plus efficaces équilibrent l’innovation avec la responsabilité. L’IA devrait renforcer la surveillance, et non la remplacer.

Dans la gestion des risques liés aux tiers, le succès n’est pas seulement mesuré par la rapidité avec laquelle vous pouvez évaluer un fournisseur ; il est mesuré par la façon dont les risques sont identifiés avec précision et dont les mesures correctives ont été mises en œuvre. Lorsqu’un fournisseur échoue ou qu’une question de conformité fait les gros titres, personne ne demande à quel point le processus était efficace. On demande comment il a été régi.

Cette question, « comment est-elle régie », devient rapidement mondiale. À mesure que l’adoption de l’IA s’accélère, les régulateurs du monde entier définissent ce que « responsable » signifie de manière très différente. L’acte européen sur l’IA a fixé le ton avec un cadre fondé sur le risque qui exige la transparence et la responsabilité pour les systèmes à haut risque. En revanche, les États-Unis suivent une voie plus décentralisée, mettant l’accent sur l’innovation aux côtés de normes volontaires comme le cadre de gestion des risques liés à l’IA du NIST. D’autres régions, notamment le Japon, la Chine et le Brésil, développent leurs propres variations qui combinent les droits de l’homme, la surveillance et les priorités nationales en modèles distincts de gouvernance de l’IA.

Pour les entreprises mondiales, ces approches divergentes introduisent de nouvelles couches de complexité. Un fournisseur opérant en Europe peut être confronté à des obligations de déclaration strictes, tandis qu’un fournisseur aux États-Unis peut avoir des attentes plus souples mais toujours en évolution. Chaque définition de « l’IA responsable » ajoute de la nuance à la manière dont les risques doivent être évalués, surveillés et expliqués.

Les dirigeants de risques ont besoin de structures de surveillance adaptables qui peuvent évoluer avec les réglementations changeantes tout en maintenant la transparence et le contrôle. Les programmes les plus avancés intègrent directement la gouvernance dans leurs opérations de TPRM, garantissant que chaque décision pilotée par l’IA peut être expliquée, retracée et défendue — quelle que soit la juridiction.

Comment commencer

Transformer l’IA responsable en réalité nécessite plus que des déclarations de politique. Cela signifie mettre en place les fondements appropriés : des données propres, une responsabilité claire et une surveillance continue. Voici à quoi cela ressemble.

• Standardisez dès le départ. Établissez des données cohérentes et des processus alignés avant l’automatisation. Mettez en œuvre une approche progressive qui intègre l’IA étape par étape dans votre programme de risques, en testant, en validant et en affinant chaque étape avant de passer à l’échelle. Faites de l’intégrité des données, de la confidentialité et de la transparence des exigences non négociables dès le départ. L’IA qui ne peut pas expliquer sa logique, ou qui repose sur des entrées non vérifiées, introduit du risque plutôt que de le réduire.
• Commencez petit et expérimentez souvent. Le succès n’est pas une question de vitesse. Lancez des pilotes contrôlés qui appliquent l’IA à des problèmes spécifiques et bien compris. Documentez la façon dont les modèles se comportent, la façon dont les décisions sont prises et qui en est responsable. Identifiez et atténuez les défis critiques, notamment la qualité des données, la confidentialité et les obstacles réglementaires, qui empêchent la plupart des projets d’IA générative de créer de la valeur commerciale.
• Gouvernez toujours. L’IA devrait aider à anticiper la perturbation, et non en causer plus. Traitez l’IA comme n’importe quelle autre forme de risque. Établissez des politiques et une expertise interne claires pour évaluer comment votre organisation et ses tiers utilisent l’IA. À mesure que les réglementations évoluent dans le monde, la transparence doit rester constante. Les dirigeants de risques devraient être en mesure de retracer chaque perspicacité pilotée par l’IA jusqu’à ses sources de données et à sa logique, garantissant que les décisions résistent à l’examen des régulateurs, des conseils d’administration et du public.

Il n’y a pas de plan directeur universel pour l’IA dans la TPRM. La maturité, l’environnement réglementaire et la tolérance au risque de chaque entreprise façonneront la manière dont l’IA est mise en œuvre et créera de la valeur, mais tous les programmes devraient être construits avec intention. Automatisez ce qui est prêt, gouvernez ce qui est automatisé et adaptez-vous continuellement à mesure que la technologie et les règles qui l’entourent évoluent.