Усі хочуть ШІ в управлінні ризиками. Мало хто до нього готовий.

Усі змагаються у впровадженні штучного інтелекту. Але в управлінні ризиками третіх сторін (TPRM) це перегони можуть стати найбільшим ризиком з усіх.

Штучний інтелект залежить від структури: чистих даних, стандартизованих процесів та послідовних результатів. Однак більшості програм TPRM бракує цих основ. Деякі організації мають спеціально призначених керівників з управління ризиками, чітко визначені програми та оцифровані дані. Інші керують ризиками ad hoc за допомогою електронних таблиць та спільних дисків. Деякі працюють під суворим регуляторним контролем, тоді як інші приймають набагато більший ризик. Немає двох однакових програм, і зрілість все ще сильно варіюється після 15 років зусиль.

Ця мінливість означає, що впровадження ШІ в TPRM не відбудеться завдяки швидкості чи одноманітності. Це відбудеться завдяки дисципліні, і ця дисципліна починається з реалістичного ставлення до поточного стану, цілей та схильності до ризику вашої програми.

Як дізнатися, чи готова ваша програма до штучного інтелекту

Не кожна організація готова до штучного інтелекту, і це нормально. Нещодавнє дослідження MIT показало 95% проектів GenAI зазнають невдачіА за даними Gartner, 79% покупців технологій кажуть, що шкодують про свою останню покупку, бо проєкт не був належним чином спланований.

У TPRM готовність до ШІ — це не перемикач, який ви перемикаєте. Це прогрес і відображення того, наскільки структурована, пов’язана та керована ваша програма. Більшість організацій знаходяться на певному етапі кривої зрілості, яка варіюється від ad hoc до agile, і знання свого місця — це перший крок до ефективного та відповідального використання ШІ.

На ранніх етапах програми управління ризиками здебільшого є ручними, залежать від електронних таблиць, інституційної пам'яті та фрагментованої власності. Існує мало формальної методології чи послідовного нагляду за ризиками третіх сторін. Інформація про постачальників може зберігатися в потоках електронної пошти або в головах кількох ключових людей, і процес працює, поки не перестане працювати. У такому середовищі штучному інтелекту буде важко відокремити шум від аналітики, а технології посилюватимуть невідповідність, а не усуватимуть її.

У міру розвитку програм починає формуватися структура: робочі процеси стандартизуються, дані оцифровуються, а відповідальність розширюється між відділами. Тут штучний інтелект починає додавати реальну цінність. Але навіть чітко визначені програми часто залишаються ізольованими, обмежуючи видимість та розуміння.

Справжня готовність виникає, коли ці ізольовані системи руйнуються, а управління стає спільним. Інтегровані та гнучкі програми об'єднують дані, автоматизацію та підзвітність по всьому підприємству, дозволяючи штучному інтелекту знайти свою основу — перетворюючи розрізнену інформацію на інтелект та підтримуючи швидше та прозоріше прийняття рішень.

Розуміючи, де ви знаходитесь і куди хочете рухатися, ви можете закласти основу, яка перетворить ШІ з блискучої обіцянки на справжній множник сили.

Чому універсальний підхід не підходить усім, незважаючи на зрілість програми

Навіть якщо дві компанії мають гнучкі програми управління ризиками, вони не обиратимуть однаковий курс впровадження штучного інтелекту та не побачать однакових результатів. Кожна компанія керує різною мережею третіх сторін, працює за унікальними правилами та приймає різні рівні ризику.

Наприклад, банки стикаються з жорсткими регуляторними вимогами щодо конфіденційності та захисту даних у рамках послуг, що надаються сторонніми аутсорсерами. Їхня толерантність до ризику помилок, збоїв або порушень близька до нуля. Виробники споживчих товарів, навпаки, можуть погодитися на більший операційний ризик в обмін на гнучкість або швидкість, але не можуть дозволити собі перебої, які впливають на критичні терміни доставки.

Толерантність до ризику кожної організації визначає, наскільки невизначеною вона готова бути для досягнення своїх цілей, і в TPRM ця межа постійно рухається. Ось чому готові моделі штучного інтелекту рідко працюють. Застосування універсальної моделі в просторі, де ця змінна створює сліпі зони замість ясності – створюючи потребу в більш цілеспрямованих, налаштовуваних рішеннях.

Розумніший підхід до ШІ є модульним. Розгортайте ШІ там, де є надійні дані та чіткі цілі, а потім масштабуйте його на основі цього. Типові варіанти використання включають:

• Дослідження постачальників: Використовуйте штучний інтелект, щоб відсортувати тисячі потенційних постачальників, визначивши партнерів з найнижчим рівнем ризику, найбільш компетентних або найбільш стійких для майбутнього проєкту.
• Оцінка: Застосовуйте штучний інтелект для оцінки документації постачальників, сертифікатів та аудиторських доказів. Моделі можуть виявляти невідповідності або аномалії, які можуть свідчити про ризик, що дозволяє аналітикам зосередитися на найважливішому.
• Планування стійкості: Використовуйте штучний інтелект для моделювання хвильового ефекту збоїв. Як санкції в регіоні або регуляторна заборона на певний матеріал вплинуть на вашу базу постачання? Штучний інтелект може обробляти складні торговельні, географічні дані та дані про залежності для моделювання результатів та вдосконалення планів дій у надзвичайних ситуаціях.

Кожен із цих варіантів використання має цінність, якщо його розгортати цілеспрямовано та підтримувати з боку керівництва. Організації, які бачать реальний успіх зі штучним інтелектом в управлінні ризиками та ланцюгами поставок, – це не ті, хто найбільше автоматизує. Це ті, хто починає з малого, автоматизує цілеспрямовано та часто адаптується.

Розробка шляхів відповідального штучного інтелекту в TPRM

Оскільки організації починають експериментувати зі штучним інтелектом у TPRM, найефективніші програми балансують між інноваціями та підзвітністю. Штучний інтелект має посилювати нагляд, а не замінювати його.

В управлінні ризиками для третіх сторін успіх вимірюється не лише тим, наскільки швидко ви можете оцінити постачальника; він вимірюється тим, наскільки точно виявлені ризики та наскільки ефективно впроваджені коригувальні дії. Коли постачальник зазнає невдачі або проблема з дотриманням вимог потрапляє в заголовки газет, ніхто не запитує, наскільки ефективним був процес. Вони запитують, як він регулювався.

Це питання, «як це регулюється«», швидко стає глобальним. Зі швидшим впровадженням штучного інтелекту, регуляторні органи в усьому світі по-різному визначають, що означає «відповідальний». Закон ЄС про ШІ задала тон за допомогою системи, що ґрунтується на ризиках, яка вимагає прозорості та підзвітності для систем з високим рівнем ризику. На противагу цьому, Сполучені Штати йдуть шляхом більш децентралізації, наголошуючи на інноваціях поряд з добровільними стандартами, такими як NIST AI Risk Management FrameworkІнші регіони, включаючи Японію, Китай та Бразилію, розробляють власні варіації, поєднуючи права людини, нагляд та національні пріоритети в окремі моделі управління штучним інтелектом.

Для глобальних підприємств ці різні підходи створюють нові рівні складності. Постачальник, який працює в Європі, може зіткнутися з суворими зобов'язаннями щодо звітності, тоді як постачальник у США може мати менш щільні, але все ж таки мінливі очікування. Кожне визначення «відповідального штучного інтелекту» додає нюансів до того, як ризик має оцінюватися, контролюватися та пояснюватися.

Керівникам з управління ризиками потрібні адаптивні структури нагляду, які можуть адаптуватися до змін у правилах, зберігаючи при цьому прозорість і контроль. Найсучасніші програми вбудовують управління безпосередньо в свої операції TPRM, гарантуючи, що кожне рішення, прийняте на основі штучного інтелекту, може бути пояснене, відстежене та захищене — незалежно від юрисдикції.

Як розпочати роботу

Втілення відповідального штучного інтелекту в реальність вимагає більше, ніж просто політичних заяв. Це означає створення правильних основ: чисті дані, чітка підзвітність та постійний нагляд. Ось як це виглядає.

• Стандартизуйте з самого початку. Перед автоматизацією встановіть чисті, узгоджені дані та узгоджені процеси. Впроваджуйте поетапний підхід, який крок за кроком інтегрує ШІ у вашу програму управління ризиками, тестуючи, перевіряючи та вдосконалюючи кожен етап перед масштабуванням. Зробіть цілісність даних, конфіденційність та прозорість невід'ємними з самого початку. ШІ, який не може пояснити свою діяльність або спирається на неперевірені дані, створює ризик, а не зменшує його.
• Почніть з малого та часто експериментуйте. Успіх не залежить від швидкості. Запускайте контрольовані пілотні проекти, які застосовують штучний інтелект до конкретних, добре зрозумілих проблем. Документуйте, як працюють моделі, як приймаються рішення та хто за них відповідає. Визначте та пом'якшіть критичні проблеми, включаючи якість даних, конфіденційність та регуляторні перешкоди, які заважають більшості генеративних проектів ШІ приносити бізнес-цінність.
• Завжди керуйте. Штучний інтелект має допомагати передбачати збої, а не спричиняти їх посилення. Ставтеся до ШІ як до будь-якої іншої форми ризику. Встановіть чіткі політики та внутрішню експертизу для оцінки того, як ваша організація та її треті сторони використовують ШІ. Оскільки нормативні акти розвиваються в усьому світі, прозорість має залишатися постійною. Керівники відділів ризиків повинні мати можливість відстежувати кожну інформацію, отриману за допомогою ШІ, до її джерел даних та логіки, забезпечуючи, щоб рішення витримували пильну увагу з боку регуляторів, рад директорів та громадськості.

Не існує універсального плану для ШІ в TPRM. Зрілість, регуляторне середовище та толерантність до ризику кожної компанії визначатимуть, як ШІ впроваджується та забезпечує цінність, але всі програми повинні створюватися з певною метою. Автоматизуйте те, що готове, керуйте тим, що автоматизовано, і постійно адаптуйтеся до розвитку технології та правил навколо неї.