Все хотят ИИ в управлении рисками. Мало кто готов к этому

Все спешат развернуть ИИ. Но в управлении рисками третьих сторон (TPRM) эта гонка может стать самым большим риском из всех.

ИИ зависит от структуры: чистых данных, стандартизированных процессов и последовательных результатов. Однако большинство программ TPRM не имеют этих основ. Некоторые организации имеют посвященных лидеров по риску, определенные программы и оцифрованные данные. Другие управляют рисками ад hoc через электронные таблицы и общедоступные диски. Некоторые работают под плотным регуляторным контролем, в то время как другие принимают гораздо больший риск. Никакие две программы не являются одинаковыми, и зрелость все еще сильно варьируется после 15 лет усилий.

Эта переменчивость означает, что принятие ИИ в TPRM не произойдет через скорость или униформизацию. Это произойдет через дисциплину, и эта дисциплина начинается с реалистичного взгляда на текущее состояние вашей программы, цели и аппетит к риску.

Как узнать, готова ли ваша программа к ИИ

Не каждая организация готова к ИИ, и это нормально. Недавнее исследование MIT показало, что 95% проектов GenAI терпят неудачу. А согласно Gartner, 79% технологических покупателей говорят, что они сожалеют о своей последней покупке, потому что проект не был должным образом спланирован.

В TPRM готовность к ИИ не является переключателем, который вы включаете. Это прогресс, и отражение того, насколько структурирована, связана и управляема ваша программа. Большинство организаций находятся где-то на кривой зрелости, которая варьируется от ад hoc до гибкой, и знание того, где вы находитесь, является первым шагом к эффективному и ответственного использованию ИИ.

На ранних этапах программы управления рисками в основном являются ручными, зависят от электронных таблиц, институциональной памяти и фрагментированного владения. Там мало формальной методологии или последовательного надзора за рисками третьих сторон. Информация о поставщиках может жить в электронных письмах или в головах нескольких ключевых людей, и процесс работает, пока он не перестанет работать. В этой среде ИИ будет бороться за разделение шума и прозрения, и технология будет усиливать несоответствие, а не устранять его.

По мере зрелости программ структура начинает формироваться: рабочие процессы становятся стандартизированными, данные оцифровываются, и подотчетность расширяется на все отделы. Здесь ИИ начинает добавлять реальную ценность. Но даже хорошо определенные программы часто остаются изолированными, ограничивая видимость и прозрение.

Истинная готовность возникает, когда эти изоляции разрушаются и управление становится общим. Интегрированные и гибкие программы соединяют данные, автоматизацию и подотчетность на протяжении всего предприятия, позволяя ИИ найти свою опору — превращая несвязанную информацию в интеллект и поддерживая более быстрое и прозрачное принятие решений.

Понимая, где вы находитесь, и куда вы хотите идти, вы можете построить основу, которая превратит ИИ из блестящего обещания в真正е умножитель силы.

Почему один размер не подходит всем, несмотря на зрелость программы

Даже если две компании имеют гибкие программы управления рисками, они не будут следовать одному и тому же курсу для реализации ИИ, ни увидят одни и те же результаты. Каждая компания управляет разной сетью третьих сторон, работает под уникальными правилами и принимает разные уровни риска.

Банки, например, сталкиваются с жесткими регуляторными требованиями вокруг защиты данных и конфиденциальности в услугах, предоставляемых аутсорсерами. Их толерантность к ошибкам, простоев или нарушениям практически равна нулю. Производители потребительских товаров, с другой стороны, могут принять больший операционный риск в обмен на гибкость или скорость, но не могут позволить себе сбои, которые влияют на критические сроки поставки.

Толерантность каждой организации к риску определяет, сколько неопределенности она готова принять, чтобы достичь своих целей, и в TPRM эта линия постоянно меняется. Поэтому готовые модели ИИ редко работают. Применение генерической модели в пространстве такой переменчивости создает слепые пятна вместо ясности — создавая необходимость в более целенаправленных, настраиваемых решениях.

Более умный подход к ИИ является модульным. Развертывайте ИИ там, где данные сильны, и цели ясны, затем масштабируйте оттуда. Общие случаи использования включают:

• Исследование поставщиков: Используйте ИИ, чтобы просеять тысячи потенциальных поставщиков, определяя поставщиков с наименьшим риском, наиболее способных или наиболее устойчивых партнеров для предстоящего проекта.
• Оценка: Примените ИИ для оценки документации поставщика, сертификатов и доказательств аудита. Модели могут выделить несоответствия или аномалии, которые могут указывать на риск, освобождая аналитиков от того, что имеет наибольшее значение.
• Планирование устойчивости: Используйте ИИ, чтобы смоделировать эффекты нарушений. Как бы санкции в регионе или регуляторный запрет на материал повлияли на вашу базу поставщиков? ИИ может обработать сложные торговые, географические и зависимые данные, чтобы смоделировать результаты и укрепить планы на случай непредвиденных обстоятельств.

Каждый из этих случаев использования доставляет ценность, когда развертывается намеренно и поддерживается управлением. Организации, которые видят реальный успех с ИИ в управлении рисками и цепочками поставок, не являются теми, которые автоматизируют наиболее. Они являются теми, кто начинает с малого, автоматизирует с намерением и адаптируется часто.

Строительство ответственного ИИ в TPRM

Когда организации начинают экспериментировать с ИИ в TPRM, наиболее эффективные программы балансируют инновации с подотчетностью. ИИ должен укреплять надзор, а не заменять его.

В управлении рисками третьих сторон успех не измеряется только тем, как быстро вы можете оценить поставщика; он измеряется тем, насколько точно риски идентифицируются и насколько эффективно корректирующие действия были реализованы. Когда поставщик терпит неудачу или проблема с соблюдением закона попадает в заголовки, никто не спрашивает, насколько эффективен был процесс. Они спрашивают, как он был управляем.

Этот вопрос, «как он управляется», быстро становится глобальным. Когда принятие ИИ ускоряется, регуляторы по всему миру определяют, что значит «ответственный» в очень разных способах. Закон ИИ ЕС задал тон с помощью рамки, основанной на риске, которая требует прозрачности и подотчетности для систем с высоким риском. Напротив, Соединенные Штаты следуют более децентрализованному пути, подчеркивая инновации вместе с добровольными стандартами, такими как рамка управления рисками ИИ NIST. Другие регионы, включая Японию, Китай и Бразилию, разрабатывают свои собственные вариации, сочетая права человека, надзор и национальные приоритеты в различных моделях управления ИИ.

Для глобальных предприятий эти расходящиеся подходы вводят новые слои сложности. Поставщик, работающий в Европе, может столкнуться с жесткими требованиями к отчетности, в то время как в США могут быть более мягкие, но все еще эволюционирующие ожидания. Каждое определение «ответственного ИИ» добавляет нюансы к тому, как риск должен быть оценен, контролируем и объяснен.

Лидеры по риску нуждаются в адаптируемых структурах надзора, которые могут гибко реагировать на меняющиеся правила, сохраняя при этом прозрачность и контроль. Наиболее продвинутые программы встраивают управление直接 в свои операции TPRM, обеспечивая, чтобы каждое решение, основанное на ИИ, могло быть объяснено, отслежено и защищено — независимо от юрисдикции.

Как начать

Превращение ответственного ИИ в реальность требует больше, чем заявлений о политике. Это означает создание правильных основ: чистых данных, ясной подотчетности и постоянного надзора. Вот как это выглядит.

• Стандартизируйте с самого начала. Установите чистые, последовательные данные и согласованные процессы до автоматизации. Реализуйте фазовый подход, который интегрирует ИИ шаг за шагом в вашу программу управления рисками, тестируя, проверяя и совершенствуя каждый этап, прежде чем масштабировать. Сделайте целостность данных, конфиденциальность и прозрачность непременными с самого начала. ИИ, который не может объяснить свою логику или полагается на непроверенные входные данные, вводит риск, а не уменьшает его.
• Начните с малого и экспериментируйте часто. Успех не измеряется скоростью. Запустите контролируемые пилотные проекты, которые применяют ИИ к конкретным, хорошо понимаемым проблемам. Документируйте, как модели работают, как принимаются решения и кто за них отвечает. Определите и смягчите критические проблемы, включая качество данных, конфиденциальность и регуляторные препятствия, которые предотвращают большинство проектов генеративного ИИ от доставки бизнес-ценности.
• Всегда управляйте. ИИ должен помочь предвидеть нарушения, а не вызывать больше из них. Относитесь к ИИ как к любой другой форме риска. Установите ясные политики и внутреннюю экспертизу для оценки того, как ваша организация и ее третьи стороны используют ИИ. Когда правила эволюционируют во всем мире, прозрачность должна оставаться постоянной. Лидеры по риску должны быть в состоянии отслеживать каждое прозрение, основанное на ИИ, обратно к его источникам данных и логике, обеспечивая, чтобы решения выдерживали проверку со стороны регуляторов, советов и общественности.

Нет универсального плана для ИИ в TPRM. Зрелость каждой компании, регуляторная среда и толерантность к риску будут формировать, как ИИ реализуется и доставляет ценность, но все программы должны быть построены с намерением. Автоматизируйте то, что готово, управляйте тем, что автоматизировано, и постоянно адаптируйтесь, когда технология и правила вокруг нее эволюционируют.