ソートリーダー
第三者リスク管理におけるAIの導入にEveryoneが興味があるが、まだ準備が整っていない
EveryoneはAIの導入を急いでいます。しかし、第三者リスク管理(TPRM)では、その急ぎが最大のリスクとなる可能性があります。
AIは構造に依存します:クリーンなデータ、標準化されたプロセス、一貫した結果。しかし、ほとんどのTPRMプログラムは、その基盤を欠いています。いくつかの組織には、専任のリスクリーダー、定義されたプログラム、デジタル化されたデータがあります。他の組織は、スプレッドシートや共有ドライブを使用してリスクを管理しています。いくつかの組織は、厳格な規制の下で運営されていますが、他の組織はより大きなリスクを受け入れています。2つのプログラムは同じではありません。15年の努力の後でも、成熟度はまだ大きく異なります。
この変動性は、TPRMにおけるAIの導入がスピードや均一性によって実現することはないことを意味します。むしろ、規律によって実現します。その規律は、プログラムの現在の状態、目標、リスク許容度について現実的に考えることから始まります。
AIの導入にプログラムが準備できているかどうかを知る方法
すべての組織がAIの導入に準備できているわけではありません。それでも、問題ありません。最近のMITの研究によると、95%のGenAIプロジェクトが失敗しています。また、Gartnerによると、79%の技術購入者は、プロジェクトが適切に計画されていないため、最新の購入を後悔していると述べています。
TPRMでは、AIの導入の準備は、スイッチを切り替えることではありません。むしろ、進歩であり、プログラムがどれほど構造化され、接続され、管理されているかを反映したものです。ほとんどの組織は、成熟度曲線のどこかに位置しています。そこで、AIを効果的に、責任を持って使用するための最初のステップは、自分がどこに位置しているかを知ることです。
初期段階では、リスクプログラムは主に手動で、スプレッドシート、機関の記憶、断片的な所有権に依存しています。正式な方法論や一貫した監視はほとんどありません。ベンダーの情報は、電子メールスレッドや、いくつかの重要な人の頭の中に存在するかもしれません。プロセスは機能しますが、いつまでも機能するとは限りません。この環境では、AIはノイズとインサイトを区別するのに苦労し、技術は一貫性を排除するのではなく、増幅することになります。
プログラムが成熟するにつれて、構造が形成され始めます。ワークフローは標準化され、データはデジタル化され、説明責任は部門全体に拡大します。ここで、AIは実際の価値を追加し始めます。しかし、しばしば、明確に定義されたプログラムは、可視性とインサイトを制限するシロを保持しています。
真の準備は、シロが崩壊し、ガバナンスが共有されることで現れます。統合されたプログラムは、データ、自動化、説明責任を企業全体に接続し、AIが立脚することを可能にし、断片的な情報をインテリジェンスに変え、より迅速で透明性の高い意思決定をサポートします。
どこにいるか、どこに行きたいかを理解することで、AIを実現する基盤を構築できます。
プログラムの成熟度に関係なく、ワンサイズフィットオールではありません
2つの企業がともにアジャイルなリスクプログラムを持っていても、AIの導入のコースは同じではありません。結果も同じではありません。すべての企業は、異なる第三者のネットワークを管理し、独自の規制の下で運営し、異なるレベルのリスクを受け入れています。
例えば、銀行は、第三者アウトソーサーの提供するサービスにおけるデータのプライバシーと保護に関する厳格な規制要件に直面しています。エラー、ダウンタイム、またはセキュリティ侵害に対するリスク許容度はほぼゼロです。一方、消費財メーカーは、柔軟性やスピードのために、より大きな運用リスクを受け入れるかもしれませんが、重要な納期に影響を与える障害を許容できません。
各組織のリスク許容度は、目標を達成するためにどれだけの不確実性を受け入れるかを定義します。TPRMでは、そのラインは常に移動しています。したがって、オフザシェルフのAIモデルはほとんど機能しません。変動性のあるこの空間で汎用的なモデルを適用すると、明確性の代わりに盲点が生じます。より目的のある、構成可能なソリューションが必要です。
AIへのスマートなアプローチは、モジュラーです。データが強く、目的が明確な場所でAIを展開し、そこからスケールアップします。一般的なユースケースには、以下のものがあります。
- サプライヤー調査: AIを使用して、数千の潜在的なベンダーを分析し、最も低リスク、最も有能、または最も持続可能なパートナーを特定します。
- 評価: サプライヤーの文書化、認定、監査証拠を評価するためにAIを適用します。モデルは、リスクを示す可能性のある不一致や異常をフラグできます。
- 回復力計画: AIを使用して、障害の波及効果をシミュレートします。特定の地域での制裁や特定の材料に対する規制禁止がサプライベースに与える影響は何でしょうか。AIは、複雑な貿易、地理、依存関係のデータを処理して結果をモデル化し、事業継続計画を強化することができます。
これらのユースケースは、意図的に展開され、ガバナンスによってサポートされている場合に価値を生み出します。AIとサプライチェーン管理で実際の成功を収める組織は、最も自動化された組織ではありません。むしろ、少しずつ始めて、頻繁に適応する組織です。
TPRMにおける責任あるAIの構築
組織がTPRMにおけるAIの実験を開始するにつれて、最も効果的なプログラムは、イノベーションと説明責任のバランスをとります。AIは監視を強化するべきであり、監視を置き換えるべきではありません。
第三者リスク管理では、成功はベンダーの評価がどれほど迅速に実行されたかでは測られません。リスクがどれほど正確に特定され、どれほど効果的に是正措置が実施されたかで測られます。サプライヤーが失敗したり、コンプライアンスの問題が頭条になったりすると、誰もプロセスの効率について尋ねません。誰もが、どのように管理されたかを尋ねます。
その質問「どのように管理されたか」は、世界規模で急速に拡大しています。AIの導入が進むにつれて、規制当局は、責任あるということの意味を、非常に異なる方法で定義しています。 EU AI法は、透明性と説明責任を要求するリスクベースのフレームワークでトーンを設定しています。対照的に、米国は、より分散型のアプローチをとっており、NIST AIリスク管理フレームワークなどのボラティル標準とともにイノベーションを強調しています。他の地域、例えば日本、中国、ブラジルは、人権、監視、国家優先事項を独自のAIガバナンスモデルに組み込んだバリエーションを開発しています。
グローバル企業にとって、これらの分散型アプローチは、新しい複雑さの層を導入します。ヨーロッパで運営しているベンダーは、報告義務を厳しく受けるかもしれませんが、米国で運営しているベンダーは、まだ発展途上の期待を受けるかもしれません。各「責任あるAI」の定義は、リスクをどのように評価し、監視し、説明するかについて、ニュアンスを加えます。
リスクリーダーは、規制が変化するにつれて柔軟性を維持しながら、透明性とコントロールを維持することができる、適応性のある監視構造が必要です。最も先進的なプログラムは、TPRM運用に直接ガバナンスを組み込んでいます。AI駆動の決定が説明され、追跡され、防御できるようにします。管轄区域に関係なく。
開始方法
責任あるAIを現実化するには、政策声明以上のものが必要です。基盤を整える必要があります。クリーンなデータ、明確な説明責任、継続的な監視です。以下は、その方法です。
- 最初から標準化します。 自動化の前に、クリーンで一貫したデータと整列されたプロセスを確立します。AIを段階的にリスクプログラムに統合する、段階的なアプローチを実装します。各段階をテストし、検証し、精製する前にスケーリングします。データの完全性、プライバシー、透明性を最初から交渉できないものとします。理由を説明できないAI、または検証されていない入力を依存するAIは、リスクを軽減するのではなく、リスクを導入します。
- 小さく始めて、頻繁に実験します。 成功はスピードではありません。特定の、よく理解された問題にAIを適用する、制御されたパイロットを立ち上げます。モデルがどのように実行されるか、決定がどのように下されるか、誰がそれらに責任を負うかを文書化します。データの品質、プライバシー、規制の障害などの、ほとんどの生成AIプロジェクトがビジネス価値を提供できない理由となる、重要な課題を特定し、軽減します。
- 常にガバナンスします。 AIは、さらに混乱を招くのではなく、混乱を予測するのに役立つべきです。AIを他のリスクの形として扱い、AIの使用を評価するための明確なポリシーと内部の専門知識を確立します。規制が世界中で進化するにつれて、透明性は一定に保たれなければなりません。リスクリーダーは、AI駆動のインサイトをそのデータソースとロジックに戻すことができなければなりません。決定は、規制当局、取締役会、そして世間から検証されるべきです。
TPRMにおけるAIのための普遍的なブループリントはありません。企業の成熟度、規制環境、リスク許容度は、AIがどのように導入され、価値を提供するかを形作りますが、すべてのプログラムは意図的に構築されるべきです。準備ができているものを自動化し、自動化されたものを管理し、技術とその周りの規則が進化するにつれて継続的に適応します。
