Semua Orang Ingin AI dalam Manajemen Risiko. Namun Banyak yang Belum Siap

Setiap orang berlomba untuk menerapkan AI. Namun dalam manajemen risiko pihak ketiga (TPRM), lomba ini bisa menjadi risiko terbesar dari semuanya.

AI bergantung pada struktur: data yang bersih, proses yang terstandarisasi, dan hasil yang konsisten. Namun sebagian besar program TPRM kekurangan fondasi tersebut. Beberapa organisasi memiliki pemimpin risiko yang didedikasikan, program yang terdefinisi, dan data yang digitized. Yang lain mengelola risiko secara ad hoc melalui spreadsheet dan drive yang dibagikan. Beberapa beroperasi di bawah pengawasan regulasi yang ketat, sementara yang lain menerima risiko yang lebih besar. Tidak ada dua program yang sama, dan kematangan masih bervariasi secara luas setelah 15 tahun upaya.

Perbedaan ini berarti adopsi AI dalam TPRM tidak akan terjadi melalui kecepatan atau keseragaman. Ini akan terjadi melalui disiplin, dan disiplin itu dimulai dengan menjadi realistis tentang keadaan program, tujuan, dan nafsu risiko Anda.

Bagaimana Mengetahui Apakah Program Anda Siap untuk AI

Tidak semua organisasi siap untuk AI, dan itu tidak apa-apa. Sebuah studi MIT baru-baru ini menemukan 95% proyek GenAI gagal. Dan menurut Gartner, 79% pembeli teknologi mengatakan mereka menyesali pembelian terakhir mereka karena proyek tidak direncanakan dengan baik.

Dalam TPRM, kesiapan AI bukanlah saklar yang Anda nyalakan. Ini adalah proses, dan refleksi dari seberapa terstruktur, terhubung, dan tergovern program Anda. Sebagian besar organisasi berada di suatu tempat di sepanjang kurva kematangan yang berkisar dari ad hoc hingga agile, dan mengetahui di mana Anda berada adalah langkah pertama untuk menggunakan AI secara efektif dan bertanggung jawab.

Pada tahap awal, program risiko sebagian besar manual, bergantung pada spreadsheet, memori institusional, dan kepemilikan yang terfragmentasi. Tidak ada metodologi formal atau pengawasan konsisten atas risiko pihak ketiga. Informasi vendor mungkin hidup dalam thread email atau kepala beberapa orang kunci, dan proses itu bekerja, sampai tidak. Dalam lingkungan ini, AI akan kesulitan memisahkan kebisingan dari wawasan, dan teknologi akan memperbesar inkonsistensi daripada menghilangkannya.

Ketika program matang, struktur mulai terbentuk: alur kerja menjadi terstandarisasi, data didigitalkan, dan akuntabilitas diperluas di seluruh departemen. Di sini, AI mulai menambah nilai nyata. Namun bahkan program yang terdefinisi dengan baik sering tetap terisolasi, membatasi visibilitas dan wawasan.

Kesiapan yang sebenarnya muncul ketika silo-silo itu runtuh dan governance menjadi bersama. Program yang terintegrasi dan agile menghubungkan data, otomatisasi, dan akuntabilitas di seluruh perusahaan, memungkinkan AI untuk menemukan pijakannya — mengubah informasi yang tidak terhubung menjadi intelijen dan mendukung pengambilan keputusan yang lebih cepat dan transparan.

Dengan memahami di mana Anda berada, dan di mana Anda ingin pergi, Anda dapat membangun fondasi yang mengubah AI dari janji yang mengkilap menjadi kekuatan yang sebenarnya.

Mengapa Ukuran yang Sama Tidak Cocok untuk Semua, Meskipun Kematangan Program

Bahkan jika dua perusahaan memiliki program risiko yang agile, mereka tidak akan mengikuti jalur yang sama untuk implementasi AI, dan mereka tidak akan melihat hasil yang sama. Setiap perusahaan mengelola jaringan pihak ketiga yang berbeda, beroperasi di bawah regulasi unik, dan menerima tingkat risiko yang berbeda.

Bank, misalnya, menghadapi persyaratan regulasi yang ketat seputar privasi dan perlindungan data dalam layanan yang disediakan oleh pihak ketiga. Toleransi risiko mereka untuk kesalahan, gangguan, atau pelanggaran hampir nol. Produsen barang konsumsi, di sisi lain, mungkin menerima risiko operasional yang lebih besar sebagai ganti fleksibilitas atau kecepatan, tetapi tidak dapat menanggung gangguan yang mempengaruhi timeline pengiriman yang kritis.

Setiap organisasi menentukan toleransi risiko yang menentukan seberapa banyak ketidakpastian yang mereka terima untuk mencapai tujuan mereka, dan dalam TPRM, garis itu bergerak terus-menerus. Itulah mengapa model AI yang siap pakai jarang berfungsi. Menggunakan model generik dalam ruang yang bervariasi ini menciptakan titik buta daripada kejelasan — menciptakan kebutuhan akan solusi yang lebih tujuan dan dapat dikonfigurasi.

Pendekatan yang lebih cerdas untuk AI adalah modular. Terapkan AI di mana data kuat dan tujuan jelas, lalu skala dari sana. Kasus penggunaan umum termasuk:

• Penelitian supplier: Gunakan AI untuk menyaring ribuan vendor potensial, mengidentifikasi mitra dengan risiko terendah, paling mampu, atau paling berkelanjutan untuk proyek yang akan datang.
• Evaluasi: Terapkan AI untuk mengevaluasi dokumentasi supplier, sertifikat, dan bukti audit. Model dapat menandai inkonsistensi atau anomali yang mungkin menunjukkan risiko, membebaskan analis untuk fokus pada yang paling penting.
• Perencanaan ketahanan: Gunakan AI untuk mensimulasikan efek riak gangguan. Bagaimana sanksi di suatu wilayah atau larangan regulasi terhadap suatu bahan akan mempengaruhi basis pasokan Anda? AI dapat memproses data perdagangan, geografis, dan ketergantungan yang kompleks untuk memodelkan hasil dan memperkuat rencana kontinjensi.

Setiap kasus penggunaan ini memberikan nilai ketika diterapkan dengan disiplin dan didukung oleh governance. Organisasi yang melihat kesuksesan nyata dengan AI dalam manajemen risiko dan rantai pasokan bukanlah mereka yang mengotomatisasi yang paling banyak. Mereka adalah yang memulai kecil, mengotomatisasi dengan disiplin, dan beradaptasi sering.

Membangun Menuju AI yang Bertanggung Jawab dalam TPRM

Ketika organisasi mulai bereksperimen dengan AI dalam TPRM, program yang paling efektif menyeimbangkan inovasi dengan akuntabilitas. AI harus memperkuat pengawasan, bukan menggantinya.

Dalam manajemen risiko pihak ketiga, kesuksesan tidak hanya diukur oleh seberapa cepat Anda dapat menilai vendor; itu diukur oleh seberapa akurat risiko diidentifikasi dan seberapa efektif tindakan korektif telah diterapkan. Ketika supplier gagal atau masalah kepatuhan membuat headline, tidak ada yang bertanya seberapa efisien prosesnya. Mereka bertanya bagaimana proses itu diatur.

Pertanyaan itu, “bagaimana diatur“, sekarang menjadi global. Ketika adopsi AI dipercepat, regulator di seluruh dunia mendefinisikan apa yang “bertanggung jawab” dalam cara yang sangat berbeda. Undang-Undang AI UE telah menetapkan nada dengan kerangka berbasis risiko yang menuntut transparansi dan akuntabilitas untuk sistem berisiko tinggi. Di sisi lain, Amerika Serikat mengikuti jalur yang lebih desentralisasi, menekankan inovasi bersama dengan standar sukarela seperti Kerangka Manajemen Risiko AI NIST. Wilayah lain, termasuk Jepang, Cina, dan Brasil, mengembangkan variasi mereka sendiri yang mencampur hak asasi manusia, pengawasan, dan prioritas nasional ke dalam model tata kelola AI yang berbeda.

Bagi perusahaan global, pendekatan yang berbeda ini memperkenalkan lapisan kompleksitas baru. Vendor yang beroperasi di Eropa mungkin menghadapi kewajiban pelaporan yang ketat, sementara vendor di AS mungkin memiliki harapan yang lebih longgar tetapi masih berkembang. Setiap definisi “AI yang bertanggung jawab” menambah nuansa pada bagaimana risiko harus diukur, dipantau, dan dijelaskan.

Pemimpin risiko memerlukan struktur pengawasan yang adaptif yang dapat fleksibel dengan perubahan regulasi sambil mempertahankan transparansi dan kontrol. Program yang paling maju menyematkan governance langsung ke dalam operasi TPRM mereka, memastikan bahwa setiap keputusan yang didorong oleh AI dapat dijelaskan, dilacak, dan dibela — tidak peduli yurisdiksi mana.

Bagaimana Memulai

Mengubah AI yang bertanggung jawab menjadi kenyataan memerlukan lebih dari pernyataan kebijakan. Ini berarti meletakkan fondasi yang tepat: data yang bersih, akuntabilitas yang jelas, dan pengawasan terus-menerus. Berikut adalah apa yang terlihat seperti itu.

• Standarisasi dari awal. Tetapkan data yang bersih dan konsisten dan proses yang selaras sebelum otomatisasi. Terapkan pendekatan yang bertahap yang mengintegrasikan AI secara bertahap ke dalam program risiko Anda, menguji, memvalidasi, dan memperbaiki setiap fase sebelum menskalakan. Buat integritas data, privasi, dan transparansi menjadi tidak dapat dinegosiasikan dari awal. AI yang tidak dapat menjelaskan alasan, atau yang bergantung pada input yang tidak diverifikasi, memperkenalkan risiko daripada menguranginya.
• Mulai kecil dan bereksperimen sering. Kesuksesan bukan tentang kecepatan. Luncurkan pilot yang terkendali yang menerapkan AI pada masalah spesifik, dipahami dengan baik. Dokumentasikan bagaimana model berperforma, bagaimana keputusan dibuat, dan siapa yang bertanggung jawab atasnya. Identifikasi dan mitigasi tantangan kritis, termasuk kualitas data, privasi, dan hambatan regulasi, yang mencegah sebagian besar proyek AI generatif memberikan nilai bisnis.
• Selalu mengatur. AI harus membantu mengantisipasi gangguan, bukan menyebabkan lebih banyak gangguan. Perlakukan AI seperti bentuk risiko lainnya. Tetapkan kebijakan yang jelas dan keahlian internal untuk mengevaluasi bagaimana organisasi Anda dan pihak ketiga menggunakan AI. Ketika regulasi berkembang di seluruh dunia, transparansi harus tetap konstan. Pemimpin risiko harus dapat melacak setiap wawasan yang didorong oleh AI kembali ke sumber data dan logika, memastikan keputusan dapat dipertahankan di bawah pengawasan regulator, dewan, dan masyarakat.

Tidak ada blueprint universal untuk AI dalam TPRM. Setiap perusahaan memiliki kematangan, lingkungan regulasi, dan toleransi risiko yang akan membentuk bagaimana AI diterapkan dan memberikan nilai, tetapi semua program harus dibangun dengan disiplin. Otomatisasi apa yang siap, atur apa yang diotomatisasi, dan terus beradaptasi ketika teknologi dan aturan di sekitarnya berkembang.