Mọi Người Đều Muốn Có AI Trong Quản Lý Rủi Ro. Nhưng Chỉ Ít Tổ Chức Đã Chuẩn Bị

Mọi người đều đang chạy đua để triển khai AI. Nhưng trong quản lý rủi ro của bên thứ ba (TPRM), cuộc đua này có thể là rủi ro lớn nhất.

AI phụ thuộc vào cấu trúc: dữ liệu sạch, quy trình tiêu chuẩn hóa, và kết quả nhất quán. Tuy nhiên, hầu hết các chương trình TPRM thiếu những nền tảng này. Một số tổ chức có lãnh đạo rủi ro chuyên dụng, chương trình được định nghĩa rõ ràng, và dữ liệu được số hóa. Những tổ chức khác quản lý rủi ro một cách tùy tiện thông qua bảng tính và thư mục chia sẻ. Một số hoạt động dưới sự giám sát chặt chẽ của quy định, trong khi những tổ chức khác chấp nhận mức độ rủi ro cao hơn. Không có hai chương trình nào giống nhau, và mức độ trưởng thành vẫn còn khác biệt rộng rãi sau 15 năm nỗ lực.

Sự đa dạng này có nghĩa là việc áp dụng AI trong TPRM sẽ không xảy ra thông qua tốc độ hoặc sự thống nhất. Nó sẽ xảy ra thông qua kỷ luật, và kỷ luật đó bắt đầu từ việc nhận thức thực tế về trạng thái hiện tại, mục tiêu, và khẩu vị rủi ro của chương trình.

Làm Thế Nào Để Biết Chương Trình Của Bạn Đã Sẵn Sàng Cho AI

Không phải mọi tổ chức đều sẵn sàng cho AI, và điều đó ổn. Một nghiên cứu gần đây của MIT đã phát hiện 95% dự án GenAI đang thất bại. Và theo Gartner, 79% người mua công nghệ cho biết họ hối hận về việc mua hàng gần đây nhất của mình vì dự án không được lập kế hoạch đúng cách.

Trong TPRM, sự sẵn sàng cho AI không phải là một công tắc bạn bật. Đó là một quá trình tiến hóa, và sự phản ánh của việc cấu trúc, kết nối, và quản lý chương trình của bạn. Hầu hết các tổ chức nằm ở một điểm nào đó dọc theo đường cong trưởng thành, từ tùy tiện đến linh hoạt, và việc biết bạn đang ở đâu là bước đầu tiên để sử dụng AI một cách hiệu quả và có trách nhiệm.

Ở giai đoạn đầu, các chương trình rủi ro chủ yếu là thủ công, phụ thuộc vào bảng tính, ký ức tổ chức, và quyền sở hữu phân mảnh. Có rất ít phương pháp luận chính thức hoặc giám sát nhất quán về rủi ro của bên thứ ba. Thông tin về nhà cung cấp có thể sống trong chuỗi email hoặc trong đầu của một số người quan trọng, và quá trình này hoạt động cho đến khi nó không hoạt động. Trong môi trường này, AI sẽ gặp khó khăn trong việc tách biệt tiếng ồn và thông tin, và công nghệ sẽ khuếch đại sự không nhất quán thay vì loại bỏ nó.

Khi các chương trình trưởng thành, cấu trúc bắt đầu hình thành: quy trình trở nên tiêu chuẩn hóa, dữ liệu được số hóa, và trách nhiệm giải trình mở rộng trên các bộ phận. Tại đây, AI bắt đầu thêm giá trị thực sự. Nhưng ngay cả những chương trình được định nghĩa rõ ràng thường vẫn còn bị cô lập, hạn chế tầm nhìn và thông tin.

Sự sẵn sàng thực sự xuất hiện khi những rào cản này bị phá vỡ và quản lý trở nên chia sẻ. Các chương trình tích hợp và linh hoạt kết nối dữ liệu, tự động hóa, và trách nhiệm giải trình trên toàn doanh nghiệp, cho phép AI tìm được chỗ đứng của mình – biến thông tin không kết nối thành thông tin và hỗ trợ việc ra quyết định nhanh hơn, minh bạch hơn.

Bằng cách hiểu nơi bạn đang đứng và nơi bạn muốn đi, bạn có thể xây dựng nền tảng để biến AI từ một lời hứa hẹn thành một nhân tố thực sự.

Tại Sao Một Kích Cỡ Không Phù Hợp Với Tất Cả, Mặc Dù Trình Độ Trưởng Thành Của Chương Trình

Ngay cả khi hai công ty đều có chương trình rủi ro linh hoạt, họ sẽ không theo cùng một lộ trình để triển khai AI, cũng không thấy được cùng một kết quả. Mỗi công ty quản lý một mạng lưới bên thứ ba khác nhau, hoạt động dưới các quy định độc đáo, và chấp nhận các mức độ rủi ro khác nhau.

Ví dụ, các ngân hàng phải đối mặt với các yêu cầu quy định nghiêm ngặt về bảo vệ dữ liệu và quyền riêng tư trong các dịch vụ do các nhà thầu bên thứ ba cung cấp. Khả năng chấp nhận rủi ro của họ đối với lỗi, gián đoạn hoặc vi phạm gần như bằng không. Ngược lại, các nhà sản xuất hàng tiêu dùng có thể chấp nhận rủi ro hoạt động cao hơn để đổi lấy sự linh hoạt hoặc tốc độ, nhưng họ không thể chịu đựng được sự gián đoạn ảnh hưởng đến thời gian giao hàng quan trọng.

Mỗi tổ chức có khả năng chấp nhận rủi ro định nghĩa mức độ không chắc chắn mà họ sẵn sàng chấp nhận để đạt được mục tiêu, và trong TPRM, ranh giới này luôn thay đổi. Đó là lý do tại sao các mô hình AI tiêu chuẩn hiếm khi hoạt động. Việc áp dụng một mô hình chung trong không gian biến đổi này tạo ra điểm mù thay vì sự rõ ràng – tạo ra nhu cầu về các giải pháp được thiết kế riêng, có thể cấu hình.

Cách tiếp cận thông minh hơn với AI là mô-đun. Triển khai AI ở nơi dữ liệu mạnh và mục tiêu rõ ràng, sau đó mở rộng từ đó. Các trường hợp sử dụng phổ biến bao gồm:

• Nghiên cứu nhà cung cấp: Sử dụng AI để sàng lọc hàng nghìn nhà cung cấp tiềm năng, xác định những đối tác có rủi ro thấp nhất, có khả năng hoặc bền vững nhất cho một dự án sắp tới.
• Đánh giá: Áp dụng AI để đánh giá tài liệu, chứng nhận và bằng chứng kiểm toán của nhà cung cấp. Các mô hình có thể đánh dấu các sự không nhất quán hoặc bất thường có thể chỉ ra rủi ro, giúp các nhà phân tích tập trung vào những gì quan trọng nhất.
• Lập kế hoạch phục hồi: Sử dụng AI để mô phỏng các hiệu ứng gợn của gián đoạn. Làm thế nào để các lệnh trừng phạt ở một khu vực hoặc lệnh cấm của chính phủ đối với một vật liệu ảnh hưởng đến cơ sở cung cấp của bạn? AI có thể xử lý dữ liệu thương mại, địa lý và phụ thuộc phức tạp để mô hình hóa kết quả và tăng cường kế hoạch dự phòng.

Mỗi trường hợp sử dụng này mang lại giá trị khi được triển khai một cách có chủ đích và được quản lý. Các tổ chức thấy thành công thực sự với AI trong quản lý rủi ro và chuỗi cung ứng không phải là những tổ chức tự động hóa nhiều nhất. Họ là những tổ chức bắt đầu nhỏ, tự động hóa có chủ đích và thích nghi thường xuyên.

Xây Dựng Hướng Đến AI Có Trách Nhiệm Trong TPRM

Khi các tổ chức bắt đầu thử nghiệm với AI trong TPRM, các chương trình hiệu quả nhất cân bằng sự đổi mới với trách nhiệm giải trình. AI nên tăng cường giám sát, không thay thế nó.

Trong quản lý rủi ro của bên thứ ba, thành công không chỉ được đo lường bằng tốc độ đánh giá nhà cung cấp; nó được đo lường bằng độ chính xác của việc xác định rủi ro và hiệu quả của việc thực hiện các biện pháp khắc phục. Khi một nhà cung cấp thất bại hoặc một vấn đề tuân thủ trở thành tiêu đề, không ai hỏi về hiệu quả của quá trình. Họ hỏi về việc quản lý nó như thế nào.

Câu hỏi đó, “quản lý nó như thế nào“, đang trở nên toàn cầu. Khi việc áp dụng AI tăng tốc, các cơ quan quản lý trên toàn thế giới đang xác định “trách nhiệm” có nghĩa là gì theo những cách rất khác nhau. Đạo luật AI của EU đã đặt giai điệu với một khuôn khổ dựa trên rủi ro đòi hỏi tính minh bạch và trách nhiệm giải trình cho các hệ thống có rủi ro cao. Ngược lại, Hoa Kỳ đang theo đuổi một con đường phi tập trung hơn, nhấn mạnh sự đổi mới cùng với các tiêu chuẩn tự nguyện như Khung quản lý rủi ro AI của NIST. Các khu vực khác, bao gồm Nhật Bản, Trung Quốc và Brazil, đang phát triển các biến thể của quản lý AI, kết hợp quyền con người, giám sát và ưu tiên quốc gia vào các mô hình quản lý AI riêng biệt.

Đối với các doanh nghiệp toàn cầu, những cách tiếp cận khác biệt này giới thiệu các lớp phức tạp mới. Một nhà cung cấp hoạt động ở châu Âu có thể phải đối mặt với các nghĩa vụ báo cáo nghiêm ngặt, trong khi một nhà cung cấp ở Hoa Kỳ có thể có kỳ vọng phát triển hơn. Mỗi định nghĩa về “AI có trách nhiệm” thêm sự tinh tế về cách rủi ro phải được đánh giá, theo dõi và giải thích.

Các nhà lãnh đạo rủi ro cần có cấu trúc giám sát có thể thích nghi với các quy định thay đổi trong khi vẫn duy trì tính minh bạch và kiểm soát. Các chương trình tiên tiến nhất đang nhúng quản lý trực tiếp vào hoạt động TPRM của họ, đảm bảo rằng mỗi quyết định được thúc đẩy bởi AI đều có thể được giải thích, theo dõi và bảo vệ – bất kể khu vực pháp lý.

Làm Thế Nào Để Bắt Đầu

Biến AI có trách nhiệm thành hiện thực đòi hỏi hơn là các tuyên bố chính sách. Nó có nghĩa là đặt các nền tảng đúng vào vị trí: dữ liệu sạch, trách nhiệm giải trình rõ ràng, và giám sát liên tục. Dưới đây là những gì nó trông như thế nào.

• Tiêu chuẩn hóa từ đầu. Thiết lập dữ liệu sạch, nhất quán và quy trình được căn chỉnh trước khi tự động hóa. Thực hiện một cách tiếp cận phân阶段 mà tích hợp AI vào chương trình rủi ro của bạn từng bước, kiểm tra, xác thực và tinh chỉnh từng giai đoạn trước khi mở rộng. Hãy làm cho tính toàn vẹn của dữ liệu, quyền riêng tư và tính minh bạch trở thành không thể thương lượng từ đầu. AI không thể giải thích lý do của nó, hoặc dựa vào đầu vào không được xác minh, sẽ giới thiệu rủi ro thay vì giảm thiểu nó.
• Bắt đầu nhỏ và thử nghiệm thường xuyên. Thành công không chỉ là về tốc độ. Ra mắt các thử nghiệm được kiểm soát áp dụng AI vào các vấn đề cụ thể, được hiểu rõ. Tài liệu về cách các mô hình hoạt động, cách quyết định được đưa ra, và ai chịu trách nhiệm về chúng. Xác định và giảm thiểu các thách thức quan trọng, bao gồm chất lượng dữ liệu, quyền riêng tư và rào cản quy định, những điều này ngăn cản hầu hết các dự án AI tạo ra giá trị kinh doanh.
• Luôn giám sát. AI nên giúp dự đoán sự gián đoạn, không gây ra nhiều hơn. Đối xử với AI như một hình thức rủi ro. Thiết lập các chính sách và chuyên môn nội bộ rõ ràng để đánh giá cách tổ chức và các bên thứ ba của bạn sử dụng AI. Khi các quy định phát triển trên toàn thế giới, tính minh bạch phải vẫn không thay đổi. Các nhà lãnh đạo rủi ro nên có thể theo dõi lại mỗi thông tin được thúc đẩy bởi AI đến nguồn dữ liệu và logic của nó, đảm bảo rằng các quyết định đứng vững dưới sự giám sát của các cơ quan quản lý, hội đồng quản trị và công chúng.

Không có bản thiết kế chung cho AI trong TPRM. Mỗi công ty sẽ định hình cách AI được triển khai và tạo ra giá trị dựa trên mức độ trưởng thành, môi trường quy định và khẩu vị rủi ro của mình, nhưng tất cả các chương trình nên được xây dựng với chủ đích. Tự động hóa những gì đã sẵn sàng, quản lý những gì được tự động hóa, và liên tục thích nghi khi công nghệ và các quy định xung quanh nó phát triển.