人工智能在风险管理中的应用:愿景与现实的差距
各方都在竞相部署人工智能。但在第三方风险管理(TPRM)领域,这场竞赛或许本身就是最大的风险。
人工智能依赖于结构:清晰的数据、标准化的流程和一致的结果。然而,大多数TPRM项目都缺乏这些基础。一些机构设有专门的风险负责人、明确的项目和数字化数据。另一些机构则通过电子表格和共享驱动器进行临时性的风险管理。一些机构在严格的监管下运作,而另一些机构则承担着更大的风险。没有两个项目是完全相同的,即使经过15年的努力,其成熟度仍然存在很大差异。
这种差异性意味着,TPRM中人工智能的采用不会通过速度或统一性来实现。它需要纪律,而这种纪律始于对项目现状、目标和风险承受能力的务实评估。
一、如何判断项目是否已做好人工智能(AI)准备
并非所有组织都已做好人工智能(AI)的准备,这很正常。麻省理工学院(MIT)最近的一项研究发现,95%的GenAI项目都以失败告终。而据Gartner称,79%的技术采购者表示,他们后悔最近一次的采购,因为项目规划不周。
在第三方风险管理(TPRM)中,人工智能(AI)准备并非一蹴而就,而是一个循序渐进的过程,反映了您的项目在结构化、关联性和治理方面的完善程度。大多数组织都处于从临时性到敏捷性的成熟度曲线上的某个阶段,了解自身所处的位置是有效且负责任地使用人工智能的第一步。
在早期阶段,风险管理项目大多依赖人工操作,依赖于电子表格、机构记忆和分散的责任归属。缺乏正式的方法论或对第三方风险的持续监督。供应商信息可能存在于电子邮件往来中或少数关键人员的脑海中,这种流程在初期或许有效,但最终会失效。在这种环境下,人工智能将难以区分噪声和洞察,技术非但不能消除不一致性,反而会放大它。
随着项目的成熟,结构开始形成:工作流程标准化,数据数字化,责任范围扩展到各个部门。此时,人工智能开始创造真正的价值。但即使是定义完善的项目,也常常各自为政,限制了信息的可见性和洞察力。
真正的准备工作只有在打破这些壁垒、实现共享治理时才会到来。集成且敏捷的项目将企业内的数据、自动化和责任机制连接起来,使人工智能能够站稳脚跟------将分散的信息转化为智能,并支持更快、更透明的决策。
通过了解自身所处的位置以及未来的发展方向,您可以构建基础,将人工智能从一个美好的愿景转化为真正的倍增器。
二、即使项目成熟,为何"一刀切"的模式并不适用
即使两家公司都拥有敏捷风险管理项目,它们在人工智能实施方面也不会采取相同的策略,也不会取得相同的结果。每家公司管理的第三方网络各不相同,运营所依据的监管法规也各有差异,并且能够承受的风险水平也不同。
例如,银行在第三方外包服务中面临着严格的数据隐私和保护监管要求。它们对错误、中断或数据泄露的风险容忍度几乎为零。相比之下,消费品制造商可能愿意承担更大的运营风险以换取灵活性或速度,但却无法承受影响关键交付时间表的任何中断。
每个组织的风险容忍度决定了其为实现目标愿意接受的不确定性程度,而在第三方风险管理(TPRM)领域,这条界限是不断变化的。这就是为什么现成的AI模型很少奏效的原因。在如此多变的环境中应用通用模型只会造成盲点而非清晰的洞察------这就需要更多定制化、可配置的解决方案。
更明智的人工智能应用方式是模块化的。在数据丰富且目标明确的地方部署人工智能,然后逐步扩展。常见用例包括:
- 供应商调研:利用人工智能筛选数千家潜在供应商,为即将开展的项目找到风险最低、能力最强或最具可持续性的合作伙伴。
- 评估:应用人工智能评估供应商的文档、认证和审计证据。模型可以标记出可能表明风险的不一致或异常情况,使分析师能够专注于最重要的事项。
- 韧性规划:利用人工智能模拟中断的连锁反应。某个地区的制裁或对某种材料的监管禁令将如何影响您的供应链?人工智能可以处理复杂的贸易、地理和依赖性数据,从而模拟结果并加强应急计划。
所有这些用例,如果部署得当并得到有效的治理支持,都能带来价值。在风险和供应链管理中真正利用人工智能取得成功的组织,并非那些自动化程度最高的组织。而是那些从小规模开始,有目的地进行自动化,并不断调整的组织。
三、构建负责任的第三方风险管理人工智能
随着各组织开始在第三方风险管理中尝试使用人工智能,最有效的方案是在创新与问责之间取得平衡。人工智能应该加强监管,而不是取代监管。
在第三方风险管理中,成功的衡量标准不仅在于评估供应商的速度,还在于风险识别的准确性以及纠正措施的实施效果。当供应商出现问题或合规问题成为新闻头条时,没有人会问流程的效率如何,而是会问流程是如何运作的。
"流程是如何运作的"这个问题正迅速成为全球关注的焦点。随着人工智能的普及,世界各地的监管机构对"负责任"的定义各不相同。欧盟的《人工智能法案》以风险为导向,为高风险系统设定了透明度和问责制框架,奠定了基调。相比之下,美国则采取了更为分散的模式,强调创新,同时推行诸如美国国家标准与技术研究院(NIST)人工智能风险管理框架等自愿性标准。包括日本、中国和巴西在内的其他地区正在发展各自的人工智能治理模式,将人权、监管和国家优先事项融合到不同的治理模型中。
对于全球企业而言,这些不同的方法带来了新的复杂性。在欧洲运营的供应商可能面临严格的报告义务,而在美国运营的供应商可能面临较为宽松但仍在不断发展的监管要求。每一种对"负责任的人工智能"的定义都为风险评估、监控和解释的方式增添了细微差别。
风险管理者需要灵活的监管结构,能够随着监管的变化而调整,同时保持透明度和控制力。最先进的项目正在将治理直接嵌入到第三方风险管理(TPRM)运营中,确保无论在哪个司法管辖区,每一项人工智能驱动的决策都可以得到解释、追踪和辩护。
四、实施路线图:从理论到实践
将负责任的人工智能变为现实,需要的不仅仅是政策声明。它意味着要打好基础:干净的数据、清晰的问责机制和持续的监督。以下是具体步骤。
- 从一开始就标准化:在自动化之前,建立干净、一致的数据和协调一致的流程。实施分阶段的方法,将人工智能逐步集成到您的风险管理计划中,并在规模化之前对每个阶段进行测试、验证和改进。从一开始就将数据完整性、隐私性和透明度作为不容妥协的原则。无法解释其推理过程或依赖未经验证的输入的人工智能,非但不能降低风险,反而会引入风险。
- 从小规模开始,并经常进行实验:成功不在于速度。启动受控的试点项目,将人工智能应用于具体、易于理解的问题。记录模型的性能、决策过程以及责任人。识别并缓解关键挑战,包括数据质量、隐私和监管障碍,这些挑战阻碍了大多数生成式人工智能项目实现商业价值。
- 始终坚持管控:人工智能应该帮助预测潜在的颠覆性影响,而不是加剧这种影响。将人工智能视为与其他任何形式的风险一样对待。建立清晰的政策和内部专业知识,以评估贵组织及其第三方如何使用人工智能。随着全球监管法规的不断演变,透明度必须始终如一。风险管理负责人应该能够追溯每一项人工智能驱动的洞察,直至其数据来源和逻辑,从而确保决策经得起监管机构、董事会和公众的审查。
在第三方风险管理(TPRM)中,人工智能没有通用的蓝图。每家公司的成熟度、监管环境和风险承受能力都会影响人工智能的实施方式和价值创造,但所有项目都应有意识地构建。自动化已准备就绪的部分,管控已自动化的部分,并随着技术及其相关规则的演变不断调整。