Connect with us

Кожен хоче AI у керуванні ризиками. Дехто готовий до цього

Лідери думок

Кожен хоче AI у керуванні ризиками. Дехто готовий до цього

mm
Published
Updated

Кожен спішить розгорнути AI. Але в керуванні ризиками третіх сторін (TPRM) цей похід може бути найбільшим ризиком серед усіх.

AI залежить від структури: чистих даних, стандартизованих процесів і послідовних результатів. Однак більшість програм TPRM не мають таких основ. Деякі організації мають присвячених лідерів з ризиками, визначені програми та оцифровані дані. Інші керують ризиками ад хок через таблиці та спільні диски. Деякі працюють під суворим регулюванням, тоді як інші приймають більший ризик. Ні дві програми не однакові, а зрілість все ще сильно варіюється після 15 років зусиль.

Ця варіативність означає, що впровадження AI в TPRM не відбудеться через швидкість або уніформність. Воно відбудеться через дисципліну, і ця дисципліна починається з реалістичного розуміння поточного стану, цілей та апетиту до ризику вашої програми.

Як знати, чи готова ваша програма до AI

Не кожна організація готова до AI, і це нормально. За останніми даними дослідження MIT, 95% проектів GenAI зазнають поразки. А згідно з Gartner, 79% покупців технологій кажуть, що вони шкодують про свій останній покупку, оскільки проект не був належним чином спланований.

У TPRM готовність до AI не є перемикачем, який ви включаєте. Це прогрес, і відображення того, наскільки структурована, підключена та керована ваша програма. Більшість організацій знаходяться десь на кривій зрілості, яка варіюється від ад хок до агільної, і знання того, де ви знаходитеся, є першим кроком до ефективного та відповідального використання AI.

На ранніх етапах програми ризиків в основному є ручними, залежними від таблиць, інституційної пам’яті та фрагментованого володіння. Там мало формальної методології або послідовного нагляду за ризиками третіх сторін. Інформація про постачальників може жити в електронних листах або в головах кількох ключових людей, і процес працює, поки він не припинить працювати. У такому середовищі AI буде боротися з відокремленням шуму від інсайту, а технологія буде збільшувати несумісність, а не усунути її.

Як програми дозрівають, структура починає формуватися: робочі процеси стають стандартизованими, дані оцифровуються, а відповідальність розширюється на відділи. Тут AI починає додавати реальну вартість. Але навіть добре визначені програми часто залишаються ізольованими, обмежуючи видимість та інсайт.

Справжня готовність з’являється, коли ці сили розбиваються, а керування стає спільним. Інтегровані та агільні програми підключають дані, автоматизацію та відповідальність по всьому підприємству, дозволяючи AI знайти свою опору — перетворюючи не пов’язану інформацію на інтелект і підтримуючи швидше, прозоріше прийняття рішень.

Розуміючи, де ви знаходитесь, і куди ви хочете рухатися, ви можете побудувати основу, яка перетворює AI з блискучої обітниці на справжній множник сили.

Чому один розмір не підходить всім, незважаючи на зрілість програми

Дажи якщо дві компанії мають агільні програми ризиків, вони не пройдуть相同ний курс для впровадження AI, ні не побачать однакові результати. Кожна компанія керує різною мережею третіх сторін, працює під унікальними регуляціями та приймає різні рівні ризику.

Банки, наприклад, стикаються з суворими регуляційними вимогами щодо захисту даних та конфіденційності в рамках послуг, наданих постачальниками. Їхній ризик толерантність до помилок, збоїв або порушень є майже нульовим. Виробники споживчих товарів, з іншого боку, можуть приймати більший оперативний ризик в обмін на гнучкість або швидкість, але не можуть дозволити порушень, які впливають на критичні терміни доставки.

Ризик толерантність кожної організації визначає, яку невизначеність вона готова прийняти для досягнення своїх цілей, а в TPRM ця лінія рухається постійно. Тому готові моделі AI рідко працюють. Застосування загальної моделі в такому варіативному просторі створює сліпі плями замість ясності — створюючи потребу в більш цілевих, конфігурованих рішеннях.

Розумніший підхід до AI є модульним. Розгорніть AI, де дані сильні, а цілі ясні, потім масштабуйте з цього. Спільні випадки використання включають:

  • Дослідження постачальників: Використовуйте AI, щоб просіяти тисячі потенційних постачальників, ідентифікуючи тих, хто має найменший ризик, найкращих або найстійкіших партнерів для майбутнього проекту.
  • Оцінка: Застосуйте AI для оцінки документів постачальника, сертифікатів та аудиторських доказів. Моделі можуть виділити несумісності або аномалії, які можуть вказувати на ризик, звільняючи аналітиків від того, щоб зосередитися на тому, що найважливіше.
  • Планування стійкості: Використовуйте AI, щоб симулювати ефекти порушень. Як би санкції в регіоні або регуляторний заборона на матеріал вплинули на вашу базу постачальників? AI може обробляти складні дані торгівлі, географії та залежностей для моделювання результатів та зміцнення планів дій.

Кожен з цих випадків використання доставляє вартість, коли розгортається намерено та підтримується керуванням. Організації, які бачать справжній успіх з AI у керуванні ризиками та ланцюгами постачань, не ті, які автоматизують найбільше. Вони ті, які починають з малого, автоматизують з наміром та адаптуються часто.

Будування до відповідального AI в TPRM

Як організації починають експериментувати з AI в TPRM, найбільш ефективні програми балансують інновації з відповідальністю. AI повинен посилити нагляд, а не замінити його.

У керуванні ризиками третіх сторін успіх не вимірюється лише тим, як швидко ви можете оцінити постачальника; він вимірюється тим, як точно ризики ідентифікуються та як ефективно коригувальні дії були реалізовані. Коли постачальник зазнає невдачі або питання про відповідність стає заголовком, ніхто не питає, як ефективний був процес. Вони запитують, як він був керований.

Це питання, “як воно керується“, швидко стає глобальним. Як впровадження AI прискорюється, регулятори по всьому світу визначають, що означає “відповідальне” у дуже різних способах. Європейський закон про AI встановив тон з ризиковою основою, яка вимагає прозорості та відповідальності для високоризикових систем. Натомість Сполучені Штати слідують більш децентралізованому шляху, підкреслюючи інновації поряд з добровільними стандартами, такими як Ністівський каркас управління ризиками AI. Інші регіони, включаючи Японію, Китай та Бразилію, розробляють свої власні варіації, змішуючи права людини, нагляд та національні пріоритети в різні моделі керування AI.

Для глобальних підприємств ці розбіжні підходи вводять нові шари складності. Постачальник, який працює в Європі, може зіткнутися з суворими звітними зобов’язаннями, тоді як у США він може мати більш вільні, але все ще еволюційні очікування. Кожне визначення “відповідального AI” додає нюанси до того, як ризик повинен бути оцінений, відстежений та пояснений.

Лідери з ризиками потребують адаптованих структур нагляду, які можуть гнутися з міняючими регуляціями, зберігаючи прозорість та контроль. Найбільш просунуті програми вкладають керування безпосередньо в свої операції TPRM, забезпечуючи, що кожне рішення, прийняте з допомогою AI, може бути пояснено, відстежено та захищено — незалежно від юрисдикції.

Як почати

Перетворення відповідального AI на реальність вимагає більше, ніж заяви про політику. Це означає створення правильних основ: чистих даних, ясної відповідальності та безперервного нагляду. Ось, як це виглядає.

  • Стандартизуйте з самого початку. Встановіть чисті, послідовні дані та вирівняні процеси до автоматизації. Реалізуйте фазовий підхід, який інтегрує AI крок за кроком у вашу програму ризиків, тестуючи, валідуючи та уточнюючи кожну фазу, перш ніж масштабувати. Зробіть цілісність даних, конфіденційність та прозорість незмінними з самого початку. AI, який не може пояснити свою логіку або який залежить від неверифікованих входів, вводить ризик, а не зменшує його.
  • Почніть з малого та експериментуйте часто. Успіх не полягає в швидкості. Розгорніть контрольовані пілотні проекти, які застосовують AI до конкретних, добре зрозумілих проблем. Документуйте, як моделі працюють, як приймаються рішення та хто за них відповідає. Визначіть та помістіть критичні виклики, включаючи якість даних, конфіденційність та регуляторні перешкоди, які запобігають більшості проектів генеративного AI доставляти бізнес-віддачу.
  • Завжди керуйте. AI повинен допомогти передбачити порушення, а не спричинити більше з них. Поділяйте AI як будь-який інший ризик. Встановіть ясні політики та внутрішню експертизу для оцінки того, як ваша організація та її треті сторони використовують AI. Як регуляції еволюціонують по всьому світу, прозорість повинна залишатися постійною. Лідери з ризиками повинні бути в змозі відстежити кожен інсайт, отриманий з допомогою AI, до його джерел даних та логіки, забезпечуючи, що рішення витримують перевірку з боку регуляторів, рад директорів та громадськості.

Не існує універсального блупrintу для AI в TPRM. Кожна компанія має свою зрілість, регуляторне середовище та ризик толерантність, які формуватимуть, як AI впроваджується та доставляє вартість, але всі програми повинні будуватися з наміром. Автоматизуйте те, що готове, керуйте тим, що автоматизовано, та постійно адаптуйтесь, як технологія та правила навколо неї еволюціонують.

mm

Дейв Рашер є головним офіцером з питань клієнтів у Aravo, де він консультує глобальні організації щодо управління ризиками третіх сторін та відповідального впровадження штучного інтелекту. Він має понад 30 років досвіду в галузі програмного забезпечення для підприємств і є затятим у допомозі клієнтам у вирішенні критичних бізнес-проблем за допомогою рішень, які підтримують їх довгостроковий успіх та стратегічні цілі.