Główne wnioski
Technologia AI szybko przekształca usługi świadczone przez podmioty zewnętrzne, co sprawia, że obecnie wykorzystywane ramy zarządzania ryzykiem są niewystarczające.
Uzupełnienie podejścia do zarządzania ryzykiem związanym ze stronami trzecimi (TPRM) o elementy specyficzne dla AI może pomóc firmom w szybszym i bezpieczniejszym wdrażaniu AI w ich ekosystemie zewnętrznych dostawców.
Skuteczny ład korporacyjny w zakresie AI u dostawców wspiera zarówno innowacyjność, jak i zgodność z przepisami, co zmniejsza tarcia przy wdrażaniu taki rozwiązań oraz ekspozycję na ryzyko.
To drugi artykuł z serii poświęconej temu, jak odpowiedzialna sztuczna inteligencja wzmacnia funkcje związane z zarządzaniem ryzykiem, dostarczając wartość i wspierając innowacje wykorzystujące AI. Przeczytaj inne.
AI od dostawcy: między efektywnością
a bezpieczeństwem
W miarę jak AI szybko staje się integralną częścią działalności operacyjnej, wiele organizacji koncentruje się na własnych działaniach i wdrożeniach AI, często nie dostrzegając, jak szeroko ta technologia jest wykorzystywana przez ich dostawców, podwykonawców i usługodawców. Podmioty trzecie korzystają z AI w chmurze, narzędzi w modelu SaaS oraz usług outsourcingowych, aby zwiększać wydajność, zautomatyzować procesy decyzyjne i dostarczać dodatkową wartość.
Tradycyjne narzędzia do zarządzania dostawcami, stosowane dotychczas, nie zostały zaprojektowane z myślą o wyzwaniach, jakie niesie AI, związanych m. in. z trenowaniem modeli, ograniczaniem uprzedzeń czy kontrolowaniem pochodzenia danych. Bez zaktualizowanych mechanizmów kontrolnych i przyjęcia perspektywy uwzględniającej specyfikę AI, przedsiębiorstwa narażają się na ryzyko niezgodności z nowymi regulacjami i oczekiwaniami interesariuszy.
Funkcje odpowiedzialne w organizacjach za zarządzanie ryzykiem stron trzecich (TPRM - Third Party Risk Management) stoją obecnie przed podwójnym wyzwaniem - muszą nadążać za tempem rozwoju AI wśród dostawców i jednocześnie dbać o bezpieczeństwo i zgodność tych zewnętrznych relacji.
Stawka jest wysoka. AI wykorzystywana przez strony trzecie może obejmować dane wrażliwe, automatyzować decyzje o dużym wpływie i tworzyć zależności, które trudno audytować lub kontrolować. Jednak potencjalne korzyści są również znaczące, ponieważ dzięki wykorzystaniu AI strony trzecie mogą wprowadzić do organizacji nowe możliwości i usprawniać jej działanie.
Aby skutecznie zarządzać tym nowym rodzajem ryzyka, organizacje powinny wyjść poza standardowe listy kontrolne (“checkbox diligence”). Oznacza to konieczność przemyślenia swoich strategii nadzoru, aktualizacji umów z dostawcami oraz wdrożenia mechanizmów kontroli ukierunkowanych na AI w ramach modeli zarządzania ryzykiem. Jeśli działania te zostaną właściwie przeprowadzone, funkcja TPRM może odegrać kluczową rolę we wspieraniu odpowiedzialnej adopcji AI wśród dostawców i pomóc naszej organizacji we wdrażaniu nowych technologii i innowacji, przy jednoczesnym ograniczeniu ekspozycji na ryzyko.
Jak sztuczna inteligencja zmienia status quo w zarządzaniu ryzykiem stron trzecich (TPRM)?
Integracja AI z usługami świadczonymi przez strony trzecie skłania organizacje do fundamentalnego przemyślenia swoich praktyk zarządzania ryzykiem w tych relacjach.
Wielu zewnętrznych dostawców, takich jak producenci gotowego oprogramowania, zaczęło wbudowywać AI w swoje produkty, często bez pełnej przejrzystości lub zrozumienia przez swoich klientów. Usługodawcy mogą również wykorzystywać AI do poprawy jakości świadczonych usług, również bez wyraźnej świadomości odbiorców. Uzyskanie wglądu w to, kiedy i w jaki sposób strony trzecie korzystają z AI, staje się coraz większym wyzwaniem dla przedsiębiorstw.
Aby sobie z tym poradzić, niektóre organizacje sięgają po narzędzia analizujące ruch DNS i dane internetowe, które pozwalają wykrywać potencjalne użycie generatywnej AI — na przykład poprzez identyfikację dostawców powiązanych ze znanymi firmami dostarczającymi AI. Jednak wiele przedsiębiorstw polega na standardowej formie komunikacji, co może powodować tarcia i opóźnienia w procesie wdrażania nowych dostawców.
Wykorzystywanie modeli AI przez tych dostawców może wpływać na kluczowe aspekty świadczonych usług, podejmowanie decyzji, a nawet zarządzanie danymi. Tymczasem istniejące mechanizmy nadzoru, takie jak raporty ISAE3000, SOC2 czy ogólne kwestionariusze ryzyka, często nie zawierają wystarczająco szczegółowej informacji, aby organizacja mogła ocenić, jak dostawca korzysta z AI, na jakich danych się opiera i czy istnieją odpowiednie mechanizmy kontrolne.
Aby nadążyć za zmianami, firmy powinny przemyśleć sposób identyfikacji, oceny i monitorowania wykorzystania AI przez strony trzecie. Obejmuje to wdrożenie mechanizmów kontrolnych, uwzględniających specyfikę AI w modelach ryzyka oraz udoskonalenie procesów due diligence. Może to również wymagać ponownej analizy zobowiązań umownych, aby upewnić się, że dostawcy ujawniają wdrożenia AI, zapewniają odpowiednie mechanizmy zarządzania i że wykorzystanie AI przez dostawców jest zgodne z profilem ryzyka przedsiębiorstwa.
Możliwości dla funkcji TPRM w tworzeniu wartości dzięki odpowiedzialnej sztucznej inteligencji
Poprzez proaktywne zarządzanie ryzykiem związanym z AI w ekosystemie dostawców zewnętrznych, przedsiębiorstwa mogą usprawnić ocenę ryzyka, skrócić czas potrzebny na zawarcie umowy i szybciej wdrażać nowych dostawców - bez kompromisów w zakresie najlepszych praktyk ładu korporacyjnego.
Innym sposobem na uwolnienie wartości jest standaryzacja organizacji wokół preferowanych, wcześniej zweryfikowanych dostawców, których praktyki związane z AI są zgodne ze standardami odpowiedzialnego wykorzystania tej technologii w organizacji. Choć pełna standaryzacja może być trudna do osiągnięcia, zidentyfikowanie i wcześniejsze sprawdzenie prawdopodobnie niewielkiej grupy dostawców, którzy odpowiadają za większość usług zewnętrznych wykorzystywanych w organizacji, może okazać się wartościową inwestycją. Pozwala to firmom ograniczyć konieczność oceny wielu rozwiązań AI i skupić się na integracji z kluczowymi partnerami. Może to również wspierać efekt skali w zakresie szkoleń i narzędzi, na przykład poprzez integrację platform TPRM z systemami typu source-to-pay (S2P), zarządzania cyklem życia umów lub analizy dostawców.
Dzięki solidnemu ładowi korporacyjnemu w zakresie AI, zespoły TPRM mogą działać szybciej i z większą pewnością.
Kiedy funkcja TPRM przechodzi od roli reaktywnego strażnika do proaktywnego uczestnika procesów, organizacje są lepiej przygotowane do odpowiedzialnego wdrażania rozwiązań opartych na AI na dużą skalę.
Kluczowe działania, które warto priorytetyzować
Jak można rozpocząć skuteczne zarządzanie zmieniającymi się ryzykami i szansami związanymi z wykorzystaniem AI przez strony trzecie?
Przejrzyj umowy z dostawcami, aby promować praktyki w zakresie odpowiedzialnego wykorzystania AI.
Zaktualizuj zapisy umowne tak, aby wymagały ujawnienia informacji, kiedy dostawcy wykorzystują AI w świadczeniu usług. Uwzględnij postanowienia dotyczące obowiązku informowania i przejrzystości ryzyka. Tam, gdzie to możliwe, wskaż korzyści wynikające z odpowiedzialnego wdrażania innowacji z wykorzystaniem AI.
Dokładnie przeanalizuj obowiązujące zasady dotyczące wykorzystania danych.
Sprawdź, czy strony trzecie wykorzystują dane Twojej organizacji do trenowania modeli AI. Wymagaj jasnej dokumentacji dotyczącej praktyk przetwarzania danych, mechanizmów zgody i ograniczeń dotyczących ponownego wykorzystania danych.
Przeprowadzaj due diligence i monitoring ukierunkowany na AI.
Wymagaj od dostawców większej przejrzystości i dowodów na stosowanie kompleksowych mechanizmów kontroli w zakresie tworzenia modeli, ochrony prywatności danych, ograniczania uprzedzeń i możliwości audytu. Weryfikuj raporty SOC 2 i inne niezależne poświadczenia pod kątem uwzględnienia w nich informacji o funkcjonujących u dostawców praktykach ładu korporacyjnego skoncentrowanych na AI.
Udoskonalaj ramy klasyfikacji ryzyka dostawców zewnętrznych.
Dostosuj system oceny ryzyka tak, aby uwzględniał przypadki użycia AI. Priorytetyzuj działania due diligence w zależności od rodzaju wdrożonej AI, wrażliwości wykorzystywanych danych oraz potencjalnego wpływu na działalność operacyjną w przypadku awarii, błędów lub niewłaściwego użycia AI.
Zwiększ liczbę pytań dotyczących AI podczas oceny dostawców.
Zadawaj ukierunkowane pytania dotyczące projektowania modeli AI, źródeł danych wykorzystywanych do trenowania, kontroli ryzyka, przejrzystości działania oraz procesów monitorowania.
Śledź i reaguj na zmieniające się regulacje.
Bądź na bieżąco z nowymi wymogami dotyczącymi ładu korporacyjnego w zakresie AI, takimi jak AI Act, i upewnij się, że praktyki Twoich partnerów są zgodne z odpowiednimi wymaganiami regionalnymi i sektorowymi.
Jak możemy pomóc?
W miarę jak adopcja AI przyspiesza, organizacje stają w obliczu rosnącej presji, aby zapewnić, że ich ekosystemy zewnętrzne są nie tylko bezpieczne, ale także zgodne z rozwijającymi się standardami. PwC wspiera organizacje w przekształceniu funkcji TPRM w proaktywne źródło zaufania i innowacji, wykorzystując zaawansowane modele ryzyka, kontrole specyficzne dla AI oraz strategiczny nadzór nad dostawcami. Zacznij już dziś, aby odpowiedzialnie i przejrzyście wykorzystywać AI na szeroką skalę.
Artykuł na podstawie: https://www.pwc.com/us/en/tech-effect/ai-analytics/responsible-ai-tprm.html
Zapisz się na newsletter technologia
Skontaktuj się z nami
