每个人都想要在风险管理中使用人工智能，但很少有人为此做好准备

每个人都在争相部署人工智能。但是在第三方风险管理（TPRM）中，这场竞争可能是所有风险中最大的。

人工智能依赖于结构：清洁的数据，标准化的流程和一致的结果。然而，大多数TPRM程序缺乏这些基础。一些组织拥有专门的风险领导者，定义明确的程序和数字化的数据。其他组织通过电子表格和共享驱动器来管理风险。一些组织在严格的监管审查下运营，而其他组织则接受更大的风险。没有两个程序是相同的，15年后的努力之后，成熟度仍然差异很大。

这种变异性意味着TPRM中的人工智能采用不会通过速度或统一性实现。它将通过纪律来实现，而这种纪律始于对当前状态、目标和风险承受能力的现实态度。

如何判断您的程序是否准备好使用人工智能

并非每个组织都准备好使用人工智能，这是可以的。最近的一项MIT研究发现，95%的GenAI项目失败。根据Gartner的说法，79%的技术买家表示，他们对最近的购买感到后悔，因为项目没有得到适当的规划。

在TPRM中，人工智能的准备度不是一个可以切换的开关。它是一个进步，是程序结构化、连接和治理的反映。最组织落在一个成熟度曲线上，范围从临时到敏捷，知道你处于哪个位置是有效和负责地使用人工智能的第一步。

在早期阶段，风险程序主要是手动的，依赖于电子表格，机构记忆和碎片化的所有权。几乎没有正式的方法论或第三方风险的一致监督。供应商信息可能存在于电子邮件线程或少数关键人员的头脑中，直到它不起作用。在这种环境中，人工智能将难以区分噪音和洞察力，技术将放大不一致性而不是消除它。

随着程序的成熟，结构开始形成：工作流程变得标准化，数据被数字化，责任扩展到各个部门。在这里，人工智能开始添加真正的价值。但即使是定义明确的程序也经常保持孤立，限制了可见性和洞察力。

真正的准备度出现在这些孤立的程序被打破，治理变得共享时。集成和敏捷的程序连接数据，自动化和责任跨企业，允许人工智能找到立足点——将不连贯的信息转化为智能，支持更快、更透明的决策。

通过了解你在哪里，你想去哪里，你可以建立基础，将人工智能从闪亮的承诺转变为真正的力量倍增器。

为什么一个尺寸不适用于所有人，尽管程序成熟度

即使两家公司都有敏捷的风险程序，它们也不会为人工智能实施绘制相同的路线，也不会看到相同的结果。每家公司都管理着不同的第三方网络，运营在独特的法规下，接受不同的风险水平。

例如，银行面临严格的监管要求，围绕第三方外包服务提供的数据隐私和保护。它们对错误、停机或违规的风险容忍度几乎为零。相比之下，消费品制造商可能会接受更大的运营风险，以换取灵活性或速度，但它们不能承受影响关键交付时间表的中断。

每个组织的风险承受能力定义了它为了实现目标而愿意接受多少不确定性。在TPRM中，这条线不断移动。这就是为什么通用的人工智能模型很少有效。将通用模型应用于如此可变的空间会产生盲点而不是清晰度——这需要更有目的的、可配置的解决方案。

人工智能的更聪明的方法是模块化的。在数据强大和目标明确的地方部署人工智能，然后扩展。常见的用例包括：

• 供应商研究： 使用人工智能来筛选成千上万的潜在供应商，找出风险最低、最有能力或最可持续的合作伙伴，用于即将到来的项目。
• 评估： 将人工智能应用于评估供应商的文件、认证和审计证据。模型可以标记不一致性或异常，这可能表明风险，允许分析师专注于最重要的事情。
• 恢复力规划： 使用人工智能来模拟干扰的涟漪效应。区域制裁或对材料的监管禁令将如何影响您的供应基础？人工智能可以处理复杂的贸易、地理和依赖关系数据来模拟结果并加强应急计划。

每个用例在部署时都会带来价值，并且得到治理的支持。那些在风险和供应链管理中真正成功的人工智能采用者不是那些自动化最多的人。他们是那些从小开始、有意图自动化并经常适应的人。

构建负责的TPRM人工智能

随着组织开始在TPRM中尝试人工智能，最有效的程序平衡了创新和问责。人工智能应该加强监督，而不是取代它。

在第三方风险管理中，成功不仅仅是衡量如何快速评估供应商；它是衡量风险被识别和纠正措施被实施的准确性。 当供应商失败或合规问题成为头条新闻时，没有人会问这个过程的效率如何。他们会问它是如何治理的。

这个问题，“它是如何治理的”，正在迅速成为全球性的。随着人工智能的采用加速，世界各地的监管机构正在定义“负责”在非常不同的方式中意味着什么。 欧盟人工智能法案 已经以风险为基础的框架为基调，要求高风险系统具有透明度和问责制。在相反的方面，美国正在遵循更分散的路径，强调创新和自愿标准，如 NIST人工智能风险管理框架。其他地区，包括日本、中国和巴西，正在开发他们自己的变体，将人权、监督和国家优先事项融入人工智能治理的不同模式中。

对于全球企业来说，这些不同的方法引入了新的复杂性层。欧洲的一家供应商可能面临严格的报告义务，而美国的一家供应商可能有更宽松但仍在不断演变的期望。每个“负责人工智能”的定义都为风险评估、监控和解释增加了细微差别。

风险领导者需要能够适应不断变化的法规的适应性监督结构，同时保持透明度和控制力。最先进的程序正在将治理直接嵌入到他们的TPRM运营中，确保每个由人工智能驱动的决策都可以解释、追溯和辩护——无论管辖权如何。

如何开始

将负责人工智能变为现实需要的不仅仅是政策声明。它意味着在正确的基础上打造：清洁的数据，明确的问责制和持续的监督。这是它的样子。

• 从一开始就标准化。 在自动化之前，建立清洁、连贯的数据和一致的流程。实施一个分阶段的方法，将人工智能逐步集成到您的风险程序中，测试、验证和完善每个阶段，然后扩大规模。从一开始就使数据完整性、隐私和透明度成为不可协商的条件。不能解释其推理或依赖于未经验证的输入的人工智能会引入风险，而不是减少风险。
• 从小开始，经常尝试。 成功不是关于速度。启动受控的试点，应用人工智能来解决特定的、良好理解的问题。记录模型的性能、决策的制定方式以及谁对其负责。找出并减轻阻止大多数生成性人工智能项目提供商业价值的关键挑战，包括数据质量、隐私和监管障碍。
• 始终治理。 人工智能应该帮助预测干扰，而不是引起更多的干扰。将人工智能视为任何其他形式的风险。为您的组织及其第三方使用人工智能建立明确的政策和内部专业知识。随着全球监管的演变，透明度必须保持一致。风险领导者应该能够将每个由人工智能驱动的洞察力追溯到其数据源和逻辑，确保决策在监管机构、董事会和公众的审查下站得住脚。

在TPRM中，没有通用的人工智能蓝图。每个公司的成熟度、监管环境和风险承受能力都将塑造人工智能的实施和价值，但所有程序都应以意图为基础构建。自动化已准备好的内容，治理已自动化的内容，并在技术和围绕它的规则不断演变时不断适应。