【人工智能】人人都想在风险管理中应用AI，但真正做好准备的人却寥寥无几。

大家都在竞相部署人工智能。但在第三方风险管理（TPRM）领域，这场竞赛可能正是最大的风险所在。

人工智能依赖于结构：干净的数据、标准化的流程和一致的结果。然而，大多数第三方风险管理（TPRM）项目都缺乏这些基础。一些组织设有专门的风险负责人、明确的项目和数字化数据。而另一些组织则通过电子表格和共享驱动器进行临时性的风险管理。一些组织在严格的监管审查下运作，而另一些组织则承担着更大的风险。没有两个项目是完全相同的，即使经过15年的努力，其成熟度仍然存在很大差异。

这种差异性意味着，人工智能在第三方风险管理（TPRM）中的应用不会通过速度或统一性来实现，而是需要严谨的规范，而这种规范始于对项目现状、目标和风险承受能力的务实评估。

01

如何判断你的程序是否已准备好迎接AI

并非所有组织都已做好迎接人工智能的准备，这很正常。麻省理工学院最近的一项研究发现，95% 的世代人工智能项目都以失败告终。而据 Gartner 称，79% 的技术采购者表示，他们后悔最近一次的采购，因为项目规划不周。

在第三方风险管理（TPRM）中，人工智能（AI）准备并非一蹴而就，而是一个循序渐进的过程，它反映了您的项目在结构化、关联性和治理方面的完善程度。大多数组织都处于从临时性到敏捷性的成熟度曲线上的某个阶段，了解自身所处阶段是有效且负责任地使用人工智能的第一步。

在早期阶段，风险管理项目主要依靠人工操作，依赖于电子表格、机构记忆和分散的责任归属。缺乏正式的方法论，也缺乏对第三方风险的持续监管。供应商信息可能散落在电子邮件往来中，或者只存在于少数关键人员的脑海中，这种流程起初或许有效，但最终会失效。在这种环境下，人工智能难以区分噪音和洞察，技术非但不能消除不一致性，反而会放大这种不一致性。

随着项目日趋成熟，结构开始形成：工作流程标准化，数据数字化，责任范围扩展到各个部门。此时，人工智能开始真正发挥作用。但即使是定义完善的项目，也常常各自为政，限制了信息的透明度和洞察力。

真正的准备工作只有在打破信息孤岛、实现共享治理之后才能实现。集成化和敏捷的项目将企业内的数据、自动化和问责机制连接起来，使人工智能得以发挥作用——将分散的信息转化为智能，并支持更快、更透明的决策。

通过了解你现在所处的位置以及你想去的地方，你可以构建基础，将人工智能从一个闪亮的承诺变成真正的力量倍增器。

02

即使项目成熟，为何“一刀切”的模式并不适用

即使两家公司都拥有敏捷风险管理体系，它们在人工智能实施方面也不会采取相同的策略，也不会取得相同的结果。每家公司管理的第三方网络各不相同，运营所依据的法规也各有差异，并且能够承受的风险水平也不同。

例如，银行在第三方外包服务中面临着严格的数据隐私和保护监管要求。它们对错误、中断或数据泄露的风险容忍度接近于零。相比之下，消费品制造商或许可以为了灵活性或速度而接受更大的运营风险，但却无法承受影响关键交付时间表的任何中断。

每个组织的风险承受能力决定了其为实现目标愿意接受的不确定性程度，而在第三方风险管理（TPRM）领域，这条界限瞬息万变。正因如此，现成的AI模型往往难以奏效。在如此多变的领域应用通用模型，非但不能带来清晰的洞察，反而会造成盲点，从而催生对更具针对性、可配置性的解决方案的需求。

更明智的人工智能应用方式是模块化的。在数据充足、目标明确的地方部署人工智能，然后逐步扩展。常见应用场景包括：

• 供应商调研：利用人工智能筛选数千个潜在供应商，为即将开展的项目找到风险最低、能力最强或最可持续的合作伙伴。

• 评估：运用人工智能技术评估供应商的文件、认证和审计证据。模型可以标记出可能预示风险的不一致或异常情况，使分析人员能够专注于最重要的事项。

• 韧性规划：利用人工智能模拟突发事件的连锁反应。某个地区的制裁或对某种材料的监管禁令会对您的供应链造成怎样的影响？人工智能可以处理复杂的贸易、地理和依赖性数据，从而模拟各种结果并加强应急预案。

这些用例在精心部署并得到有效治理支持的情况下都能创造价值。在风险和供应链管理中，真正利用人工智能取得成功的组织并非那些自动化程度最高的组织，而是那些从小规模起步、有目的地进行自动化并不断调整的组织。

02

在TPRM中构建负责任的AI

随着各组织开始在第三方风险管理（TPRM）中尝试使用人工智能，最有效的方案是在创新与问责之间取得平衡。人工智能应该加强监督，而不是取代监督。

在第三方风险管理中，成功与否不仅取决于评估供应商的速度，还取决于风险识别的准确性以及纠正措施的实施效果。当供应商违约或合规问题成为新闻头条时，人们不会问流程效率如何，而是会问流程是如何运作的。

“如何治理人工智能”这个问题正迅速成为全球关注的焦点。随着人工智能应用加速普及，世界各地的监管机构对“负责任”的定义各不相同。欧盟的《人工智能法案》以风险为导向，要求高风险系统具备透明度和问责制，从而奠定了基调。相比之下，美国则采取了更为分散的模式，强调创新，并辅以诸如美国国家标准与技术研究院（NIST）人工智能风险管理框架等自愿性标准。包括日本、中国和巴西在内的其他地区，也在发展各自的人工智能治理模式，将人权、监督和国家优先事项融入其中。

对于全球企业而言，这些不同的方法引入了新的复杂性。在欧洲运营的供应商可能面临严格的报告义务，而在美国运营的供应商则可能面临较为宽松但仍在不断变化要求的监管。每一种“负责任的人工智能”的定义都为风险的评估、监控和解释方式增添了细微差别。

风险管理领导者需要灵活的监督架构，以便在监管环境变化的同时保持透明度和控制力。最先进的项目正在将治理直接嵌入到第三方风险管理（TPRM）运营中，确保无论在哪个司法管辖区，每一项人工智能驱动的决策都能得到解释、追溯和辩护。

03

如何入门

将负责任的人工智能变为现实，需要的不仅仅是政策声明。它意味着要打好基础：干净的数据、明确的问责机制和持续的监督。以下是具体做法。

• 从一开始就进行标准化。在自动化之前，建立清晰、一致的数据和协调一致的流程。采用分阶段的方法，将人工智能逐步集成到风险管理项目中，并在规模化应用之前对每个阶段进行测试、验证和完善。从一开始就将数据完整性、隐私性和透明度作为不容妥协的原则。无法解释其推理过程或依赖未经验证的输入的人工智能，非但不能降低风险，反而会带来风险。

• 从小规模做起，多做试验。成功不在于速度。开展可控的试点项目，将人工智能应用于具体、易于理解的问题。记录模型的运行情况、决策过程以及责任人。识别并缓解关键挑战，包括数据质量、隐私和监管障碍，这些挑战阻碍了大多数生成式人工智能项目实现商业价值。

• 始终要进行有效管控。人工智能应该帮助我们预见潜在的颠覆性影响，而不是加剧这种影响。要像对待其他任何形式的风险一样对待人工智能。建立清晰的政策和内部专业知识体系，用于评估贵组织及其第三方如何使用人工智能。随着全球监管法规的不断演变，透明度必须始终如一。风险管理负责人应该能够追溯每一项人工智能驱动的洞察，直至其数据来源和逻辑，从而确保决策经得起监管机构、董事会和公众的审查。

第三方风险管理（TPRM）领域没有通用的人工智能（AI）蓝图。每家公司的成熟度、监管环境和风险承受能力都会影响AI的实施方式和价值创造，但所有项目都应有目的地构建。自动化已准备就绪的部分，对已自动化的部分进行管控，并随着技术及其相关规则的演进不断调整。

免责声明：

本文所发布的内容和图片旨在传播行业信息，版权归原作者所有，非商业用途。如有侵权，请与我们联系删除。所有信息不构成任何投资建议，加密市场具有高度风险，投资者应基于自身判断和谨慎评估做出决策。投资有风险，入市需谨慎。

设为星标 避免错过

虚拟世界没有旁观者，每个点赞都是创造历史的像素

关注我，一起探索AWM⁺

2025-12-31

2025-12-30

2025-12-29

商业赞助

点击下方 “目录” 阅读更多