Thought Leaders
January 8, 2026
人人都想在风险管理中引入AI,但鲜有企业为此做好准备
人人都在竞相部署AI。但在第三方风险管理(TPRM)领域,这场竞赛本身可能就是最大的风险。AI依赖于结构:干净的数据、标准化的流程和一致的结果。然而,大多数TPRM项目缺乏这些基础。一些组织拥有专门的风险负责人、定义明确的项目和数字化数据。另一些则通过电子表格和共享驱动器临时管理风险。一些组织在严格的监管审查下运作,而另一些则承担着更大的风险。没有两个项目是相同的,经过15年的努力,成熟度仍然差异巨大。这种差异性意味着,TPRM中的AI应用不会通过速度或统一性来实现。它将通过纪律来实现,而这种纪律始于对您项目当前状态、目标和风险承受能力的现实评估。如何判断您的项目是否已为AI做好准备并非每个组织都已准备好迎接AI,这没关系。麻省理工学院最近的一项研究发现95%的生成式AI项目都失败了。根据Gartner的数据,79%的技术买家表示他们对自己最近的采购感到后悔,因为项目规划不当。在TPRM中,AI就绪度不是一个可以瞬间切换的开关。它是一个渐进的过程,反映了您的项目在结构化、互联性和治理方面的程度。大多数组织都处于从临时性到敏捷性的成熟度曲线上的某个位置,了解您所处的位置是有效且负责任地使用AI的第一步。在早期阶段,风险项目大多是手动的,依赖于电子表格、机构记忆和分散的所有权。对于第三方风险,几乎没有正式的方法论或一致的监督。供应商信息可能存在于电子邮件线程或少数关键人员的头脑中,这个过程在失效前似乎还能运作。在这种环境下,AI将难以从噪音中分离出洞察,技术会放大不一致性而非消除它。随着项目成熟,结构开始形成:工作流程变得标准化,数据被数字化,责任制扩展到各个部门。在这里,AI开始增加真正的价值。但即使是定义明确的项目也常常各自为政,限制了可见性和洞察力。当这些孤岛被打破,治理成为共享责任时,真正的就绪度才会出现。集成且敏捷的项目将数据、自动化和责任制在整个企业内连接起来,让AI能够站稳脚跟——将分散的信息转化为智能,并支持更快速、更透明的决策。通过了解您所处的位置以及您想要达到的目标,您可以构建基础,将AI从一个光鲜的承诺转变为真正的力量倍增器。为何即使项目成熟,也无法一刀切即使两家公司都拥有敏捷的风险项目,它们也不会为AI实施规划相同的路线,也不会看到相同的结果。每家公司管理着不同的第三方网络,在独特的法规下运营,并接受不同级别的风险。例如,银行在第三方外包商提供的服务方面,面临着关于数据隐私和保护的严格监管要求。它们对错误、中断或违规的风险容忍度几乎为零。相比之下,消费品制造商可能为了灵活性或速度而接受更大的运营风险,但无法承受影响关键交付时间线的中断。每个组织的风险承受能力定义了其为达成目标愿意接受的不确定性程度,而在TPRM中,这条线是不断移动的。这就是为什么现成的AI模型很少奏效。在如此多变的领域应用通用模型,产生的不是清晰度而是盲点——从而需要更具针对性、可配置的解决方案。更明智的AI方法是模块化的。在数据扎实、目标明确的地方部署AI,然后由此扩展。常见的用例包括: 供应商研究: 使用AI筛选数千家潜在供应商,为即将开展的项目识别风险最低、能力最强或最可持续的合作伙伴。 评估: 应用AI评估供应商文件、认证和审计证据。模型可以标记可能预示风险的不一致或异常情况,让分析师能够专注于最重要的事情。 韧性规划: 使用AI模拟中断的连锁反应。某个地区的制裁或对某种材料的监管禁令将如何影响您的供应基础?AI可以处理复杂的贸易、地理和依赖关系数据来模拟结果并加强应急计划。 当这些用例被有意部署并得到治理支持时,每一个都能带来价值。在风险和供应链管理中真正取得AI成功的组织,不是那些自动化程度最高的,而是那些从小处着手、有意识地自动化并频繁调整的组织。在TPRM中构建负责任的AI随着组织开始在TPRM中尝试AI,最有效的项目会在创新与问责之间取得平衡。AI应加强监督,而非取代它。在第三方风险管理中,成功不仅取决于您评估供应商的速度,还取决于风险识别的准确性以及纠正措施实施的有效性。当供应商失败或合规问题成为头条新闻时,没有人会问流程有多高效。他们会问它是如何被治理的。“它是如何被治理的”这个问题正迅速成为全球性问题。随着AI应用的加速,世界各地的监管机构正以截然不同的方式定义“负责任”的含义。欧盟《人工智能法案》以基于风险的框架定下了基调,要求高风险系统具备透明度和问责制。相比之下,美国正遵循一条更加分散的路径,在强调创新的同时,也倡导如NIST人工智能风险管理框架这样的自愿标准。包括日本、中国和巴西在内的其他地区,正在发展自己的变体,将人权、监督和国家优先事项融入独特的AI治理模式中。对于全球性企业而言,这些不同的方法带来了新的复杂性。在欧洲运营的供应商可能面临严格的报告义务,而在美国的供应商可能面临更宽松但仍不断演变的期望。每个“负责任AI”的定义都为风险评估、监控和解释的方式增添了细微差别。风险领导者需要能够适应不断变化的法规、同时保持透明度和控制的适应性监督结构。最先进的项目正在将治理直接嵌入其TPRM运营中,确保每一个AI驱动的决策都能被解释、追踪和辩护——无论处于哪个司法管辖区。如何开始将负责任的AI变为现实需要的不仅仅是政策声明。它意味着奠定正确的基础:干净的数据、清晰的责任制和持续的监督。具体做法如下。 从一开始就标准化。 在自动化之前,建立干净、一致的数据和协调的流程。实施分阶段方法,将AI逐步整合到您的风险项目中,在扩展之前对每个阶段进行测试、验证和完善。从一开始就将数据完整性、隐私和透明度设为不可妥协的条件。无法解释其推理或依赖未经验证输入的AI,不是在降低风险,而是在引入风险。 从小处着手,经常实验。 成功不在于速度。启动受控试点,将AI应用于特定的、被充分理解的问题。记录模型的性能、决策的制定方式以及由谁负责。识别并缓解阻碍大多数生成式AI项目交付业务价值的关键挑战,包括数据质量、隐私和监管障碍。 始终进行治理。 AI应有助于预测中断,而不是引发更多中断。像对待任何其他形式的风险一样对待AI。建立明确的政策和内部专业知识,以评估您的组织及其第三方如何使用AI。随着全球法规的演变,透明度必须保持不变。风险领导者应能追踪每一个AI驱动的洞察回到其数据源和逻辑,确保决策能够经受住监管机构、董事会和公众的审查。 TPRM中的AI没有通用的蓝图。每家公司的成熟度、监管环境和风险承受能力都将影响AI的实施方式和价值体现,但所有项目都应有意识地构建。自动化已准备好的部分,治理已自动化的部分,并随着技术及其相关规则的演变而不断调整。
