Semua Orang Menginginkan AI dalam Manajemen Risiko. Sedikit yang Siap untuk itu

Semua orang berlomba untuk mengimplementasikan AI. Namun dalam manajemen risiko pihak ketiga (TPRM), lomba itu bisa menjadi risiko terbesar dari semuanya.

AI bergantung pada struktur: data yang bersih, proses yang standar, dan hasil yang konsisten. Namun sebagian besar program TPRM kekurangan fondasi tersebut. Beberapa organisasi memiliki pemimpin risiko yang didedikasikan, program yang terdefinisi, dan data yang digitized. Yang lain mengelola risiko secara ad hoc melalui spreadsheet dan drive yang dibagikan. Beberapa beroperasi di bawah pengawasan regulasi yang ketat, sementara yang lain menerima risiko yang lebih besar. Tidak ada dua program yang sama, dan kematangan masih bervariasi secara luas setelah 15 tahun upaya.

Variabilitas ini berarti adopsi AI dalam TPRM tidak akan terjadi melalui kecepatan atau keseragaman. Ini akan terjadi melalui disiplin, dan disiplin itu dimulai dengan menjadi realistis tentang keadaan saat ini, tujuan, dan nafsu risiko program Anda.

Bagaimana Mengetahui jika Program Anda Siap untuk AI

Tidak semua organisasi siap untuk AI, dan itu tidak apa-apa. Sebuah studi MIT baru-baru ini menemukan 95% proyek GenAI gagal. Dan menurut Gartner, 79% pembeli teknologi mengatakan mereka menyesali pembelian terakhir mereka karena proyek tersebut tidak direncanakan dengan baik.

Dalam TPRM, kesiapan AI bukanlah sakelar yang Anda nyalakan. Ini adalah proses, dan refleksi dari seberapa terstruktur, terhubung, dan diatur program Anda. Sebagian besar organisasi berada di suatu tempat di sepanjang kurva kematangan yang berkisar dari ad hoc hingga agile, dan mengetahui di mana Anda berada adalah langkah pertama untuk menggunakan AI secara efektif dan bertanggung jawab.

Pada tahap awal, program risiko sebagian besar manual, bergantung pada spreadsheet, memori institusional, dan kepemilikan yang terfragmentasi. Tidak ada metodologi formal atau pengawasan konsisten atas risiko pihak ketiga. Informasi vendor mungkin hidup dalam email thread atau kepala beberapa orang kunci, dan proses itu bekerja, sampai tidak. Dalam lingkungan ini, AI akan kesulitan memisahkan kebisingan dari wawasan, dan teknologi akan memperbesar inkonsistensi daripada menghilangkannya.

Ketika program matang, struktur mulai terbentuk: alur kerja menjadi standar, data didigitalkan, dan akuntabilitas meluas di seluruh departemen. Di sini, AI mulai menambah nilai nyata. Namun bahkan program yang terdefinisi dengan baik sering tetap terisolasi, membatasi visibilitas dan wawasan.

Kesiapan sejati muncul ketika silo-silo itu runtuh dan tata kelola menjadi bersama. Program yang terintegrasi dan agile menghubungkan data, otomatisasi, dan akuntabilitas di seluruh perusahaan, memungkinkan AI untuk menemukan pijakannya — mengubah informasi yang tidak terhubung menjadi intelijen dan mendukung pengambilan keputusan yang lebih cepat dan transparan.

Dengan memahami di mana Anda berada, dan ke mana Anda ingin pergi, Anda dapat membangun fondasi yang mengubah AI dari janji yang mengkilap menjadi kekuatan yang sebenarnya.

Mengapa Ukuran yang Sama Tidak Cocok untuk Semua, Meskipun Kematangan Program

Bahkan jika dua perusahaan memiliki program risiko yang agile, mereka tidak akan mengikuti jalur yang sama untuk implementasi AI, nor akan mereka melihat hasil yang sama. Setiap perusahaan mengelola jaringan pihak ketiga yang berbeda, beroperasi di bawah regulasi unik, dan menerima tingkat risiko yang berbeda.

Bank, misalnya, menghadapi persyaratan regulasi yang ketat seputar privasi data dan perlindungan dalam layanan yang disediakan oleh pihak ketiga. Toleransi risiko mereka untuk kesalahan, gangguan atau pelanggaran hampir nol. Pembuat barang konsumsi, di sisi lain, mungkin menerima risiko operasional yang lebih besar sebagai gantinya kecepatan atau fleksibilitas, tetapi tidak dapat menoleransi gangguan yang mempengaruhi timeline pengiriman yang kritis.

Setiap organisasi memiliki toleransi risiko yang mendefinisikan seberapa banyak ketidakpastian yang mereka terima untuk mencapai tujuan mereka, dan dalam TPRM, garis itu bergerak terus-menerus. Itulah mengapa model AI yang siap pakai jarang berfungsi. Menggunakan model generik dalam ruang yang bervariasi ini menciptakan titik buta daripada kejelasan — menciptakan kebutuhan untuk solusi yang lebih tujuan dan dapat dikonfigurasi.

Pendekatan yang lebih cerdas untuk AI adalah modular. Terapkan AI di mana data kuat dan tujuan jelas, lalu skala dari sana. Kasus penggunaan umum termasuk:

• Penelitian supplier: Gunakan AI untuk menyaring ribuan vendor potensial, mengidentifikasi mitra dengan risiko terendah, paling mampu, atau paling berkelanjutan untuk proyek yang akan datang.
• Penilaian: Terapkan AI untuk mengevaluasi dokumentasi supplier, sertifikasi, dan bukti audit. Model dapat menandai inkonsistensi atau anomali yang mungkin menunjukkan risiko, membebaskan analis untuk fokus pada apa yang paling penting.
• Perencanaan ketahanan: Gunakan AI untuk mensimulasikan efek riak dari gangguan. Bagaimana sanksi di sebuah wilayah atau larangan regulasi pada suatu bahan mempengaruhi basis pasokan Anda? AI dapat memproses data perdagangan, geografis, dan ketergantungan yang kompleks untuk memodelkan hasil dan memperkuat rencana kontinjensi.

Setiap kasus penggunaan ini memberikan nilai ketika diterapkan dengan sengaja dan didukung oleh tata kelola. Organisasi yang melihat kesuksesan nyata dengan AI dalam manajemen risiko dan rantai pasokan bukanlah mereka yang mengotomatisasi yang paling banyak. Mereka adalah yang memulai dari kecil, mengotomatisasi dengan niat, dan beradaptasi dengan sering.

Membangun Menuju AI yang Bertanggung Jawab dalam TPRM

Ketika organisasi mulai bereksperimen dengan AI dalam TPRM, program yang paling efektif menyeimbangkan inovasi dengan akuntabilitas. AI harus memperkuat pengawasan, bukan menggantikannya.

Dalam manajemen risiko pihak ketiga, kesuksesan tidak hanya diukur oleh seberapa cepat Anda dapat menilai vendor; itu diukur oleh seberapa akurat risiko diidentifikasi dan seberapa efektif tindakan korektif telah dilaksanakan. Ketika supplier gagal atau masalah kepatuhan membuat headline, tidak ada yang bertanya seberapa efisien prosesnya. Mereka bertanya bagaimana itu dikelola.

Pertanyaan itu, “bagaimana itu dikelola“, sekarang menjadi global. Ketika adopsi AI dipercepat, regulator di seluruh dunia mendefinisikan apa yang dimaksud dengan “bertanggung jawab” dengan cara yang sangat berbeda. EU AI Act telah menetapkan nada dengan kerangka berbasis risiko yang menuntut transparansi dan akuntabilitas untuk sistem berisiko tinggi. Di sisi lain, Amerika Serikat mengikuti jalur yang lebih desentralisasi, menekankan inovasi bersama dengan standar sukarela seperti NIST AI Risk Management Framework. Wilayah lain, termasuk Jepang, Cina, dan Brasil, mengembangkan variasi mereka sendiri yang mencampurkan hak asasi manusia, pengawasan, dan prioritas nasional ke dalam model tata kelola AI yang berbeda.

Untuk perusahaan global, pendekatan yang berbeda ini memperkenalkan lapisan kompleksitas baru. Vendor yang beroperasi di Eropa mungkin menghadapi kewajiban pelaporan yang ketat, sementara di AS mungkin memiliki harapan yang lebih longgar tetapi masih berkembang. Setiap definisi “AI yang bertanggung jawab” menambah nuansa pada bagaimana risiko harus diukur, dipantau, dan dijelaskan.

Pemimpin risiko memerlukan struktur pengawasan yang dapat beradaptasi dengan perubahan regulasi sambil mempertahankan transparansi dan kontrol. Program yang paling maju membenamkan tata kelola langsung ke dalam operasi TPRM mereka, memastikan bahwa setiap keputusan yang didorong oleh AI dapat dijelaskan, dilacak, dan dibela — tidak peduli yurisdiksi mana.

Bagaimana Memulai

Mengubah AI yang bertanggung jawab menjadi kenyataan memerlukan lebih dari pernyataan kebijakan. Ini berarti meletakkan fondasi yang tepat: data yang bersih, akuntabilitas yang jelas, dan pengawasan yang berkelanjutan. Berikut adalah apa yang terlihat.

• Standarisasi dari awal. Tetapkan data yang konsisten dan proses yang terstruktur sebelum otomatisasi. Implementasikan pendekatan yang bertahap yang mengintegrasikan AI langkah demi langkah ke dalam program risiko Anda, menguji, memvalidasi, dan memperbaiki setiap tahap sebelum menskalakan. Buat integritas data, privasi, dan transparansi menjadi tidak dapat dinegosiasikan dari awal. AI yang tidak dapat menjelaskan alasan, atau yang bergantung pada input yang tidak diverifikasi, memperkenalkan risiko daripada menguranginya.
• Mulai dari kecil dan bereksperimen sering. Kesuksesan bukan tentang kecepatan. Luncurkan pilot yang terkendali yang menerapkan AI pada masalah spesifik yang dipahami dengan baik. Dokumentasikan bagaimana model berperforma, bagaimana keputusan dibuat, dan siapa yang bertanggung jawab atasnya. Identifikasi dan mitigasi tantangan kritis, termasuk kualitas data, privasi, dan hambatan regulasi, yang mencegah sebagian besar proyek AI generatif memberikan nilai bisnis.
• Atur selalu. AI harus membantu mengantisipasi gangguan, bukan menyebabkan lebih banyak gangguan. Perlakukan AI seperti bentuk risiko lainnya. Tetapkan kebijakan dan keahlian internal yang jelas untuk mengevaluasi bagaimana organisasi Anda dan pihak ketiga menggunakan AI. Ketika regulasi berkembang di seluruh dunia, transparansi harus tetap konstan. Pemimpin risiko harus dapat melacak setiap wawasan yang didorong oleh AI kembali ke sumber data dan logika, memastikan keputusan dapat dipertahankan di bawah pengawasan dari regulator, dewan, dan masyarakat pada umumnya.

Tidak ada rencana universal untuk AI dalam TPRM. Kematangan, lingkungan regulasi, dan toleransi risiko setiap perusahaan akan membentuk bagaimana AI diimplementasikan dan memberikan nilai, tetapi semua program harus dibangun dengan niat. Otomatisasi apa yang siap, atur apa yang diotomatisasi, dan terus beradaptasi ketika teknologi, dan aturan di sekitarnya, berkembang.