问任何董事会人工智能是否在议程上,答案都是肯定的。但若问他们对供应商使用人工智能的信心程度,答案就没那么明确了。
该研究贯穿于HTFResearch关于人工智能治理与第三方风险管理的全球研究,该研究由Mitratech赞助。研究调查了来自银行、资产管理、保险、能源、企业及经纪等领域机构的46位领导者。人工智能正在企业内部广泛普及,但第三方人工智能风险管理却未能同步推进。
对于GRC领导者而言,这既是警钟,也是机遇。那些能将第三方人工智能从隐形风险转化为受管控资产的组织,将引领行业变革步伐。
人工智能发展迅猛,但治理成熟度参差不齐
尽管许多组织已实施某种形式的人工智能治理框架,但不同行业、地区和营收规模的企业在治理成熟度方面存在显著差异。高度监管的环境——如金融业——往往处于领先地位,而其他领域仍在为政策制定奠定基础。
几个关键趋势尤为突出:
- 多数大型组织(规模超过10亿美元)报告了强有力的治理进展,而规模低于5亿美元的小型企业则进展滞后。
- 企业、经纪公司和能源机构表现出更大的不一致性,且已建立的治理框架较少。
- 在所有领域,诸如《欧盟人工智能法案》、美国国家标准与技术研究院人工智能风险管理 框架以及ISO 42001等框架正逐渐成为共同的协调基准。
所有权也各不相同:
- 企业普遍将责任归咎于IT部门或IT安全部门。
- 其他行业将责任划分给风险管理、合规部门和IT部门,这反映出跨职能责任的日益增强。
核心结论?人工智能治理正在成熟,但发展不均衡。
盲点:第三方人工智能的有限可见性
大多数组织都维护着内部人工智能应用案例的清单。但当被问及这些清单是否包含第三方人工智能解决方案时,回答却大相径庭。
值得注意的是:
- 许多公司——尤其是英国的公司——并未将供应商人工智能纳入其库存。
- 银行业、资产管理业和保险业表现更为强劲,但即便在这些领域,覆盖范围也并不完整。
- 快速的软件发布周期(例如“每两周发布一次AI功能”)使得库存管理变得困难。
对于风险与合规专业人士而言,这具有重大影响。供应商可能以您无法察觉、无法验证、无法监控的方式使用人工智能,而风险最终却会回溯到您身上。这种可见性缺口正迅速成为最紧迫的治理挑战之一。
人工智能治理与交易对手风险管理:并行职能,尚未整合
大多数组织已能管理各类第三方风险——从网络安全到运营风险及ESG风险。但在将人工智能专项监管融入这些工作流程时,整合程度仍显不足。
研究发现:
- 某些行业(例如银行业/资产管理业)报告称其治理与全面风险管理实践已实现部分或完全整合。
- 其他机构仍处于各自为政的状态,人工智能风险管理与第三方审查工作分开处理。
- 迄今为止,仅有少数组织曾因人工智能相关问题终止与供应商的合作。
随着人工智能日益融入更多供应商工具和功能,治理与交易对手风险管理之间的分离变得越来越难以维持。
第三方人工智能风险管理信心水平令人担忧地低
当被要求评估其管理第三方人工智能相关风险的信心时,大多数组织给自己打出了2分或3分(满分5分)。
其他差距包括:
- 大多数组织评估的人工智能风险供应商不足100家。
- 许多企业并不要求供应商披露其人工智能治理政策。
- 银行和资产管理公司率先要求信息披露,但即便在这些领域,多数机构仍未能实现全面合规。
对于风险与合规官而言,这无疑是危险信号:组织虽已意识到风险存在,却缺乏必要的证据和控制机制来有效规避风险。
董事会正密切关注,并相应增加投资力度。
跨地区和跨行业的多数受访者表示,过去一年内其董事会或高管层要求更新人工智能风险及第三方合作实践的相关信息。
投资趋势正反映出这种压力:
- 大多数公司计划在未来12至18个月内增加人工智能治理方面的支出。
- 对TPRM的计划投资更为多样化,但多个领域的兴趣正在上升。
- 领导者希望获得更透明的报告、更完善的模型透明度,以及对供应商人工智能的更清晰洞察。
这一转变标志着治理的转折点:人工智能监管正从运营职能转向董事会层面的优先事项。领导层需要答案,但许多团队缺乏相应的架构或数据来提供这些答案。此时,治理、交易风险管理(TPRM)和报告机制就需要形成协同。
监管准备度:日益增长的关切
接受调查的企业中,没有一家认为自己对即将出台的人工智能法规"准备充分"。尽管多项重要监管制度正加速推进实施,但多数企业的准备程度仅为2至3分(满分5分)。
更值得注意的是:除银行业外,多数机构并不要求供应商遵守其内部实施的AI治理标准。随着全球监管要求的趋同,这种差距将带来更高的成本代价。
实际影响: 合规浪潮的 来袭速度远超准备进度。若不要求供应商达到相同标准,您的实际合规能力将取决于最薄弱的供应商环节。
统一人工智能治理与风险管理解决方案的崛起
北美和亚太地区对统一管理人工智能治理与第三方风险的平台表现出浓厚兴趣。此类平台可帮助企业集中管理资产清单、自动化监控流程、简化证据收集工作并规范评估标准。
然而,如今大多数企业都缺乏自动化的人工智能模型监控机制——随着人工智能系统规模和复杂性的不断扩大,这一关键能力正日益缺失。
模式很明显:大量 人类在审查人工智能。很少有系统能实时捕捉到漂移、偏见或控制失效。随着人工智能应用规模的扩大,这一缺口将变得愈发重要。
展望未来:风险与合规负责人当前应优先关注的要务
为与技术同步发展,企业需聚焦四大战略重点。
1. 提升整个生态系统的可见度。
确保所有人工智能的使用——无论是内部还是第三方——都经过清点、记录和监控。
2. 将人工智能治理嵌入交易对手风险管理流程。
采用共享控制措施、统一框架和标准证据要求。
3. 建立可重复的、持续的监督机制。
从定点审查转向持续测试、监控和模型性能追踪。
4. 为全球监管协调做好准备。
将框架锚定于欧盟《人工智能法案》,并在其他监管体系中映射控制措施,实现"一次合规,多方满足"。
人工智能风险如今同时构成业务风险、合规风险和第三方风险。若治理措施止步于防火墙,你看到的只是问题的一半。未来一年应将人工智能纳入核心风险运营体系——而非作为额外附加项目。
人工智能治理与第三方风险的融合未来
研究清晰地揭示:尽管各行业组织正大规模采用人工智能,但治理实践——尤其是第三方风险管理——的发展却参差不齐。但势头正在增强:董事会积极参与,投资持续增长,风险职能部门正扩大其监管范围以涵盖智能系统。
那些立即采取行动的组织——整合治理体系、提升透明度、规范监督机制——将最能驾驭下一波人工智能驱动的变革浪潮。
Mitratech如何提供帮助
无论您在人工智能治理的征程中处于何种阶段,Mitratech都能助您实现项目的真正协同与透明化。我们的统一平台串联分散的团队,确保所有关键利益相关方保持步调一致,并通过可适配的模板和预配置框架(如欧盟《人工智能法案》及NIST人工智能风险管理框架)加速价值实现。随着项目发展,我们的灵活架构将持续适配——提供长期高效运营与低总拥有成本。
准备好推进值得信赖的人工智能治理了吗?联系Mitratech了解更多详情。
