Ai cũng muốn ứng dụng AI trong quản lý rủi ro. Nhưng ít người thực sự sẵn sàng cho điều đó.

Mọi người đang chạy đua để triển khai AI. Nhưng trong quản lý rủi ro bên thứ ba (TPRM), cuộc đua đó có thể chính là rủi ro lớn nhất.

Trí tuệ nhân tạo (AI) phụ thuộc vào cấu trúc: dữ liệu sạch, quy trình chuẩn hóa và kết quả nhất quán. Tuy nhiên, hầu hết các chương trình quản lý rủi ro bên thứ ba (TPRM) đều thiếu những nền tảng đó. Một số tổ chức có người lãnh đạo chuyên trách về rủi ro, các chương trình được xác định rõ ràng và dữ liệu được số hóa. Những tổ chức khác quản lý rủi ro một cách tùy tiện thông qua bảng tính và ổ đĩa dùng chung. Một số hoạt động dưới sự giám sát chặt chẽ của cơ quan quản lý, trong khi những tổ chức khác chấp nhận rủi ro lớn hơn nhiều. Không có hai chương trình nào giống nhau, và mức độ trưởng thành vẫn rất khác nhau sau 15 năm nỗ lực.

Sự khác biệt này có nghĩa là việc áp dụng AI trong TPRM sẽ không diễn ra nhanh chóng hay đồng nhất. Nó sẽ diễn ra thông qua kỷ luật, và kỷ luật đó bắt đầu từ việc nhìn nhận thực tế về tình trạng hiện tại, mục tiêu và mức độ chấp nhận rủi ro của chương trình.

Làm thế nào để biết chương trình của bạn đã sẵn sàng cho AI hay chưa?

Không phải tổ chức nào cũng sẵn sàng đón nhận trí tuệ nhân tạo, và điều đó không sao cả. Một nghiên cứu gần đây của MIT đã chỉ ra rằng... 95% các dự án Trí tuệ nhân tạo thế hệ mới (GenAI) đang thất bại.Và theo Gartner, 79% người mua công nghệ Họ nói rằng họ hối tiếc về lần mua hàng gần đây nhất vì dự án không được lên kế hoạch kỹ lưỡng.

Trong TPRM, sự sẵn sàng cho AI không phải là một công tắc có thể bật tắt ngay lập tức. Đó là một quá trình tiến triển, phản ánh mức độ cấu trúc, kết nối và quản trị của chương trình của bạn. Hầu hết các tổ chức đều nằm ở đâu đó trên đường cong trưởng thành, từ tùy hứng đến linh hoạt, và việc biết mình đang ở đâu là bước đầu tiên để sử dụng AI một cách hiệu quả và có trách nhiệm.

Ở giai đoạn đầu, các chương trình quản lý rủi ro chủ yếu được thực hiện thủ công, phụ thuộc vào bảng tính, kinh nghiệm nội bộ và quyền sở hữu phân tán. Có rất ít phương pháp luận chính thức hoặc sự giám sát nhất quán đối với rủi ro từ bên thứ ba. Thông tin về nhà cung cấp có thể nằm trong các chuỗi email hoặc trong đầu của một vài người chủ chốt, và quy trình hoạt động cho đến khi nó không còn hiệu quả. Trong môi trường này, trí tuệ nhân tạo (AI) sẽ gặp khó khăn trong việc phân biệt giữa nhiễu và thông tin hữu ích, và công nghệ sẽ khuếch đại sự không nhất quán thay vì loại bỏ nó.

Khi các chương trình trưởng thành, cấu trúc bắt đầu hình thành: quy trình làm việc được chuẩn hóa, dữ liệu được số hóa và trách nhiệm được mở rộng trên khắp các bộ phận. Tại đây, AI bắt đầu mang lại giá trị thực sự. Nhưng ngay cả những chương trình được định nghĩa rõ ràng cũng thường bị phân mảnh, hạn chế khả năng quan sát và hiểu biết sâu sắc.

Sự sẵn sàng thực sự xuất hiện khi các rào cản giữa các bộ phận bị phá vỡ và việc quản trị được chia sẻ. Các chương trình tích hợp và linh hoạt kết nối dữ liệu, tự động hóa và trách nhiệm giải trình trên toàn doanh nghiệp, cho phép AI phát huy vai trò của mình — biến thông tin rời rạc thành trí tuệ và hỗ trợ việc ra quyết định nhanh hơn, minh bạch hơn.

Bằng cách hiểu rõ vị trí hiện tại của bạn và mục tiêu bạn muốn đạt được, bạn có thể xây dựng nền tảng biến trí tuệ nhân tạo từ một lời hứa hào nhoáng thành một yếu tố thúc đẩy sức mạnh thực sự.

Vì sao một khuôn mẫu không thể phù hợp với tất cả, bất chấp sự trưởng thành của chương trình

Ngay cả khi hai công ty đều có chương trình quản lý rủi ro linh hoạt, họ cũng sẽ không vạch ra cùng một lộ trình triển khai AI, cũng như không đạt được cùng một kết quả. Mỗi công ty quản lý một mạng lưới bên thứ ba khác nhau, hoạt động theo các quy định riêng biệt và chấp nhận các mức độ rủi ro khác nhau.

Ví dụ, các ngân hàng phải đối mặt với các yêu cầu pháp lý nghiêm ngặt về bảo mật và bảo vệ dữ liệu trong các dịch vụ do bên thứ ba cung cấp. Khả năng chịu rủi ro của họ đối với các lỗi, sự cố hoặc vi phạm gần như bằng không. Ngược lại, các nhà sản xuất hàng tiêu dùng có thể chấp nhận rủi ro vận hành lớn hơn để đổi lấy sự linh hoạt hoặc tốc độ, nhưng không thể chấp nhận những gián đoạn ảnh hưởng đến tiến độ giao hàng quan trọng.

Mức độ chấp nhận rủi ro của mỗi tổ chức xác định mức độ không chắc chắn mà họ sẵn sàng chấp nhận để đạt được mục tiêu của mình, và trong quản trị rủi ro bên thứ ba (TPRM), ranh giới đó liên tục thay đổi. Đó là lý do tại sao các mô hình AI có sẵn hiếm khi hoạt động hiệu quả. Áp dụng một mô hình chung chung trong một lĩnh vực biến đổi như vậy sẽ tạo ra những điểm mù thay vì sự rõ ràng – tạo ra nhu cầu về các giải pháp được xây dựng chuyên dụng và có thể cấu hình được.

Cách tiếp cận thông minh hơn đối với AI là theo mô-đun. Triển khai AI ở những nơi có dữ liệu mạnh và mục tiêu rõ ràng, sau đó mở rộng quy mô từ đó. Các trường hợp sử dụng phổ biến bao gồm:

• Nghiên cứu nhà cung cấp: Sử dụng trí tuệ nhân tạo để sàng lọc hàng ngàn nhà cung cấp tiềm năng, xác định những đối tác có rủi ro thấp nhất, năng lực nhất hoặc bền vững nhất cho dự án sắp tới.
• Đánh giá: Ứng dụng trí tuệ nhân tạo (AI) để đánh giá tài liệu, chứng nhận và bằng chứng kiểm toán của nhà cung cấp. Các mô hình có thể phát hiện những điểm không nhất quán hoặc bất thường có thể cho thấy rủi ro, giúp các nhà phân tích tập trung vào những vấn đề quan trọng nhất.
• Lập kế hoạch ứng phó: Sử dụng trí tuệ nhân tạo (AI) để mô phỏng hiệu ứng lan tỏa của sự gián đoạn. Các lệnh trừng phạt trong một khu vực hoặc lệnh cấm theo quy định đối với một loại nguyên liệu sẽ tác động như thế nào đến chuỗi cung ứng của bạn? AI có thể xử lý dữ liệu phức tạp về thương mại, địa lý và sự phụ thuộc để mô hình hóa các kết quả và củng cố các kế hoạch dự phòng.

Mỗi trường hợp sử dụng này đều mang lại giá trị khi được triển khai có chủ đích và được hỗ trợ bởi quản trị. Các tổ chức đạt được thành công thực sự với AI trong quản lý rủi ro và chuỗi cung ứng không phải là những tổ chức tự động hóa nhiều nhất. Đó là những tổ chức bắt đầu từ quy mô nhỏ, tự động hóa có chủ đích và thường xuyên thích ứng.

Xây dựng hướng tới Trí tuệ Nhân tạo có trách nhiệm trong TPRM

Khi các tổ chức bắt đầu thử nghiệm AI trong quản trị rủi ro bên thứ ba (TPRM), các chương trình hiệu quả nhất sẽ cân bằng giữa đổi mới và trách nhiệm giải trình. AI nên tăng cường giám sát, chứ không phải thay thế nó.

Trong quản lý rủi ro bên thứ ba, thành công không chỉ được đo bằng tốc độ đánh giá nhà cung cấp; mà còn được đo bằng độ chính xác trong việc xác định rủi ro và hiệu quả của việc thực hiện các biện pháp khắc phục. Khi một nhà cung cấp gặp sự cố hoặc một vấn đề tuân thủ gây xôn xao dư luận, không ai hỏi quy trình đó hiệu quả đến mức nào. Họ chỉ hỏi quy trình đó được quản lý ra sao.

Câu hỏi đó, “Nó được quản lý như thế nào?Khái niệm “trách nhiệm” đang nhanh chóng trở nên toàn cầu. Khi việc ứng dụng AI tăng tốc, các cơ quan quản lý trên toàn thế giới đang định nghĩa “trách nhiệm” theo những cách rất khác nhau. Đạo luật AI của EU đã thiết lập khuôn khổ dựa trên rủi ro, đòi hỏi sự minh bạch và trách nhiệm giải trình đối với các hệ thống có rủi ro cao. Ngược lại, Hoa Kỳ đang theo đuổi con đường phi tập trung hơn., nhấn mạnh sự đổi mới song song với các tiêu chuẩn tự nguyện như Khung quản lý rủi ro NIST AICác khu vực khác, bao gồm Nhật Bản, Trung Quốc và Brazil, đang phát triển các biến thể riêng của họ, kết hợp nhân quyền, giám sát và các ưu tiên quốc gia vào các mô hình quản trị AI riêng biệt.

Đối với các doanh nghiệp toàn cầu, những cách tiếp cận khác nhau này tạo ra những lớp phức tạp mới. Một nhà cung cấp hoạt động ở châu Âu có thể phải đối mặt với các nghĩa vụ báo cáo nghiêm ngặt, trong khi một nhà cung cấp ở Mỹ có thể có những kỳ vọng lỏng lẻo hơn nhưng vẫn đang phát triển. Mỗi định nghĩa về “AI có trách nhiệm” đều bổ sung thêm sắc thái cho cách thức đánh giá, giám sát và giải thích rủi ro.

Các nhà lãnh đạo quản lý rủi ro cần các cấu trúc giám sát linh hoạt, có thể thích ứng với các quy định thay đổi trong khi vẫn duy trì tính minh bạch và kiểm soát. Các chương trình tiên tiến nhất đang tích hợp quản trị trực tiếp vào hoạt động quản lý rủi ro bên thứ ba (TPRM), đảm bảo rằng mọi quyết định do AI đưa ra đều có thể được giải thích, truy vết và bảo vệ — bất kể khu vực pháp lý nào.

Làm thế nào để Bắt đầu

Biến trí tuệ nhân tạo có trách nhiệm thành hiện thực đòi hỏi nhiều hơn là chỉ những tuyên bố chính sách. Điều đó có nghĩa là phải xây dựng những nền tảng đúng đắn: dữ liệu sạch, trách nhiệm rõ ràng và giám sát liên tục. Dưới đây là những gì cần thiết để đạt được điều đó.

• Chuẩn hóa ngay từ đầu. Trước khi tự động hóa, hãy thiết lập dữ liệu sạch, nhất quán và các quy trình đồng bộ. Thực hiện phương pháp tiếp cận theo từng giai đoạn, tích hợp AI từng bước vào chương trình quản lý rủi ro của bạn, thử nghiệm, xác thực và tinh chỉnh từng giai đoạn trước khi mở rộng quy mô. Đảm bảo tính toàn vẹn dữ liệu, quyền riêng tư và tính minh bạch ngay từ đầu. AI không thể giải thích lý do của nó, hoặc dựa vào các dữ liệu đầu vào chưa được xác minh, sẽ làm tăng rủi ro thay vì giảm thiểu rủi ro.
• Hãy bắt đầu từ quy mô nhỏ và thường xuyên thử nghiệm. Thành công không nằm ở tốc độ. Hãy triển khai các dự án thí điểm có kiểm soát, áp dụng trí tuệ nhân tạo (AI) vào các vấn đề cụ thể, đã được hiểu rõ. Ghi lại cách thức hoạt động của mô hình, cách đưa ra quyết định và ai chịu trách nhiệm về chúng. Xác định và giảm thiểu các thách thức quan trọng, bao gồm chất lượng dữ liệu, quyền riêng tư và các rào cản pháp lý, những yếu tố ngăn cản hầu hết các dự án AI tạo sinh mang lại giá trị kinh doanh.
• Luôn luôn cai trị. Trí tuệ nhân tạo (AI) nên giúp dự đoán sự gián đoạn, chứ không phải gây ra thêm gián đoạn. Hãy coi AI như bất kỳ hình thức rủi ro nào khác. Thiết lập các chính sách rõ ràng và chuyên môn nội bộ để đánh giá cách thức tổ chức của bạn và các bên thứ ba sử dụng AI. Khi các quy định trên toàn thế giới phát triển, tính minh bạch phải được duy trì liên tục. Các nhà lãnh đạo về rủi ro phải có khả năng truy vết mọi thông tin chi tiết do AI tạo ra về nguồn dữ liệu và logic của nó, đảm bảo các quyết định được xem xét kỹ lưỡng từ các cơ quan quản lý, hội đồng quản trị và công chúng.

Không có một khuôn mẫu chung nào cho việc ứng dụng AI trong quản trị rủi ro bên thứ ba (TPRM). Mức độ trưởng thành, môi trường pháp lý và khả năng chấp nhận rủi ro của mỗi công ty sẽ định hình cách thức triển khai và mang lại giá trị của AI, nhưng tất cả các chương trình đều cần được xây dựng có chủ đích. Tự động hóa những gì đã sẵn sàng, quản lý những gì đã được tự động hóa và liên tục thích ứng khi công nghệ và các quy định xung quanh nó phát triển.