Verbind je met ons

Gedachte leiders

Iedereen wil AI in risicomanagement. Weinigen zijn er klaar voor.

mm
gepubliceerd

Iedereen probeert zo snel mogelijk AI in te zetten. Maar in het kader van risicomanagement met betrekking tot derden (TPRM) zou die race wel eens het grootste risico van allemaal kunnen zijn.

AI is afhankelijk van structuur: schone data, gestandaardiseerde processen en consistente resultaten. De meeste TPRM-programma's missen echter deze fundamenten. Sommige organisaties hebben toegewijde risicomanagers, gedefinieerde programma's en gedigitaliseerde data. Andere beheren risico's ad hoc via spreadsheets en gedeelde schijven. Sommige opereren onder streng toezicht van regelgevende instanties, terwijl andere veel grotere risico's accepteren. Geen twee programma's zijn hetzelfde en de volwassenheid ervan verschilt nog steeds sterk, zelfs na 15 jaar inspanning.

Deze variabiliteit betekent dat de implementatie van AI in TPRM niet snel of uniform zal verlopen. Het vereist discipline, en die discipline begint met een realistische kijk op de huidige status, doelen en risicobereidheid van uw programma.

Hoe weet je of je programma klaar is voor AI?

Niet elke organisatie is klaar voor AI, en dat is prima. Een recente studie van MIT toonde aan dat 95% van de GenAI-projecten mislukt.En volgens Gartner, 79% van de technologiekopers Ze zeggen dat ze spijt hebben van hun laatste aankoop omdat het project niet goed was gepland.

In TPRM is AI-gereedheid geen schakelaar die je omzet. Het is een proces dat zich geleidelijk ontwikkelt en een weerspiegeling is van hoe gestructureerd, verbonden en beheerd je programma is. De meeste organisaties bevinden zich ergens op een volwassenheidscurve die loopt van ad hoc tot agile, en weten waar je je bevindt is de eerste stap naar effectief en verantwoord gebruik van AI.

In de beginfase zijn risicoprogramma's grotendeels handmatig, afhankelijk van spreadsheets, institutioneel geheugen en gefragmenteerd eigenaarschap. Er is weinig formele methodologie of consistent toezicht op risico's van derden. Leveranciersinformatie bevindt zich mogelijk in e-mailconversaties of in de hoofden van een paar sleutelpersonen, en het proces werkt, totdat het niet meer werkt. In deze omgeving zal AI moeite hebben om ruis van inzichten te onderscheiden, en technologie zal inconsistentie eerder versterken dan elimineren.

Naarmate programma's zich ontwikkelen, ontstaat er structuur: werkprocessen worden gestandaardiseerd, data wordt gedigitaliseerd en de verantwoordelijkheid wordt uitgebreid over verschillende afdelingen. Hier begint AI echt waarde toe te voegen. Maar zelfs goed gedefinieerde programma's blijven vaak geïsoleerd, waardoor het overzicht en inzicht beperkt blijven.

Echte paraatheid ontstaat wanneer die silo's worden afgebroken en governance wordt gedeeld. Geïntegreerde en flexibele programma's verbinden data, automatisering en verantwoording binnen de hele organisatie, waardoor AI zich kan vestigen – losgekoppelde informatie wordt omgezet in bruikbare inzichten en snellere, transparantere besluitvorming mogelijk wordt.

Door te begrijpen waar je bent en waar je naartoe wilt, kun je de basis leggen die van AI een ware krachtversterker maakt in plaats van een mooie belofte.

Waarom één aanpak niet voor iedereen werkt, ondanks de volwassenheid van het programma

Zelfs als twee bedrijven allebei agile risicobeheerprogramma's hebben, zullen ze niet dezelfde koers uitzetten voor de implementatie van AI, noch dezelfde resultaten behalen. Elk bedrijf beheert een ander netwerk van externe partijen, opereert onder unieke regelgeving en accepteert verschillende risiconiveaus.

Banken worden bijvoorbeeld geconfronteerd met strenge wettelijke eisen met betrekking tot gegevensprivacy en -bescherming binnen de diensten die worden geleverd door externe dienstverleners. Hun risicotolerantie voor fouten, storingen of datalekken is vrijwel nihil. Fabrikanten van consumentengoederen daarentegen accepteren mogelijk een groter operationeel risico in ruil voor flexibiliteit of snelheid, maar kunnen zich geen verstoringen veroorloven die cruciale levertijden in gevaar brengen.

De risicotolerantie van elke organisatie bepaalt hoeveel onzekerheid ze bereid is te accepteren om haar doelen te bereiken, en in TPRM (Targeted Risk Management) verschuift die grens voortdurend. Daarom werken standaard AI-modellen zelden. Het toepassen van een generiek model in een omgeving die zo variabel is, creëert blinde vlekken in plaats van duidelijkheid – waardoor er behoefte ontstaat aan meer op maat gemaakte, configureerbare oplossingen.

De slimmere aanpak van AI is modulair. Zet AI in waar veel data beschikbaar is en de doelstellingen duidelijk zijn, en schaal van daaruit verder. Veelvoorkomende toepassingen zijn onder andere:

  • Leveranciersonderzoek: Gebruik AI om duizenden potentiële leveranciers te doorzoeken en de partners met het laagste risico, de meest capabele of de meest duurzame partner voor een aankomend project te identificeren.
  • Beoordeling: Gebruik AI om leveranciersdocumentatie, certificeringen en auditgegevens te evalueren. Modellen kunnen inconsistenties of afwijkingen signaleren die op risico's kunnen duiden, waardoor analisten zich kunnen concentreren op wat er echt toe doet.
  • Veerkrachtplanning: Gebruik AI om de domino-effecten van verstoringen te simuleren. Hoe zouden sancties in een regio of een wettelijk verbod op een bepaald materiaal uw toeleveringsketen beïnvloeden? AI kan complexe handels-, geografische en afhankelijkheidsgegevens verwerken om uitkomsten te modelleren en noodplannen te versterken.

Elk van deze toepassingsscenario's levert waarde op wanneer ze doelgericht worden ingezet en ondersteund door governance. De organisaties die echt succes boeken met AI in risico- en supply chain management zijn niet de organisaties die het meest automatiseren. Het zijn de organisaties die klein beginnen, doelgericht automatiseren en regelmatig bijsturen.

Bouwen aan verantwoorde AI in TPRM

Naarmate organisaties beginnen te experimenteren met AI in TPRM, zorgen de meest effectieve programma's voor een evenwicht tussen innovatie en verantwoording. AI moet het toezicht versterken, niet vervangen.

Bij risicomanagement met betrekking tot derden wordt succes niet alleen afgemeten aan hoe snel een leverancier kan worden beoordeeld; het wordt ook afgemeten aan hoe nauwkeurig risico's worden geïdentificeerd en hoe effectief corrigerende maatregelen zijn genomen. Wanneer een leverancier faalt of een complianceprobleem de krantenkoppen haalt, vraagt ​​niemand zich af hoe efficiënt het proces was. Men vraagt ​​zich af hoe het proces werd beheerd.

Die vraag, “Hoe wordt het bestuurd?"AI" wordt snel wereldwijd. Naarmate de adoptie van AI versnelt, definiëren regelgevers over de hele wereld wat "verantwoordelijk" betekent op zeer verschillende manieren. EU AI-wet heeft de toon gezet met een risicogebaseerd raamwerk dat transparantie en verantwoording eist voor systemen met een hoog risico. Daarentegen, de De Verenigde Staten volgen een meer gedecentraliseerd pad.waarbij de nadruk ligt op innovatie naast vrijwillige normen zoals de NIST AI-raamwerk voor risicobeheerAndere regio's, waaronder Japan, China en Brazilië, ontwikkelen hun eigen varianten waarin mensenrechten, toezicht en nationale prioriteiten worden gecombineerd in afzonderlijke modellen voor AI-governance.

Voor wereldwijde ondernemingen introduceren deze uiteenlopende benaderingen nieuwe lagen van complexiteit. Een leverancier die in Europa actief is, kan te maken krijgen met strenge rapportageverplichtingen, terwijl een leverancier in de VS wellicht minder strenge, maar nog steeds evoluerende verwachtingen heeft. Elke definitie van 'verantwoorde AI' voegt nuance toe aan de manier waarop risico's moeten worden beoordeeld, gemonitord en toegelicht.

Risicomanagers hebben flexibele toezichtsstructuren nodig die kunnen meebewegen met veranderende regelgeving, terwijl ze tegelijkertijd transparantie en controle waarborgen. De meest geavanceerde programma's integreren governance rechtstreeks in hun TPRM-activiteiten, waardoor elke door AI gestuurde beslissing kan worden uitgelegd, getraceerd en verdedigd – ongeacht de jurisdictie.

Aan de slag

Om verantwoorde AI in de praktijk te brengen, is meer nodig dan alleen beleidsverklaringen. Het betekent dat de juiste fundamenten gelegd moeten worden: schone data, duidelijke verantwoording en continu toezicht. Zo ziet dat eruit.

  • Standaardiseer vanaf het begin. Zorg voor schone, consistente data en afgestemde processen vóór automatisering. Implementeer een gefaseerde aanpak die AI stap voor stap integreert in uw risicobeheerprogramma, waarbij elke fase wordt getest, gevalideerd en verfijnd voordat er wordt opgeschaald. Maak data-integriteit, privacy en transparantie vanaf het begin ononderhandelbaar. AI die zijn redenering niet kan uitleggen of die afhankelijk is van ongeverifieerde input, introduceert risico's in plaats van ze te verminderen.
  • Begin klein en experimenteer regelmatig. Succes draait niet om snelheid. Start gecontroleerde pilots die AI toepassen op specifieke, goed begrepen problemen. Documenteer hoe modellen presteren, hoe beslissingen worden genomen en wie daarvoor verantwoordelijk is. Identificeer en pak de cruciale uitdagingen aan, waaronder datakwaliteit, privacy en regelgeving, die de meeste generatieve AI-projecten ervan weerhouden om zakelijke waarde te leveren.
  • Regeer altijd. AI moet helpen om verstoringen te voorkomen, niet om ze te verergeren. Behandel AI als elke andere vorm van risico. Stel duidelijke beleidsregels op en zorg voor interne expertise om te evalueren hoe uw organisatie en haar externe partijen AI gebruiken. Naarmate de regelgeving wereldwijd verandert, moet transparantie een constante factor blijven. Risicomanagers moeten elk door AI gegenereerd inzicht kunnen herleiden tot de databronnen en de onderliggende logica, zodat beslissingen standhouden bij een kritische blik van toezichthouders, raden van bestuur en het publiek.

Er bestaat geen universeel stappenplan voor AI in TPRM. De volwassenheid van elk bedrijf, de regelgeving en de risicotolerantie bepalen hoe AI wordt geïmplementeerd en waarde oplevert, maar alle programma's moeten weloverwogen worden opgezet. Automatiseer wat gereed is, beheer wat geautomatiseerd is en pas je continu aan naarmate de technologie en de bijbehorende regels evolueren.

Gerelateerde onderwerpen:
mm

Dave Rusher is Chief Customer Officer bij AravoHij adviseert wereldwijde organisaties over het beheer van risico's met betrekking tot derden en de verantwoorde toepassing van AI. Hij heeft meer dan 30 jaar ervaring in de bedrijfssoftwarebranche en zet zich met passie in om klanten te helpen bij het oplossen van cruciale zakelijke problemen met oplossingen die hun succes op lange termijn en strategische doelstellingen ondersteunen.