供应链中的AI：管理第三方AI风险

第三方AI风险缺口

大多数企业AI风险来自嵌入在组织购买和使用的商业软件、平台和服务中的AI。HR平台可能使用AI评估求职者，ERP系统可能使用AI标记异常交易，CRM系统可能有AI驱动的推荐功能，客服平台可能使用AI路由和回答客户查询。这些都是第三方产品组件中的AI——不是您构建的系统，不是您训练的模型。但这些AI的结果是您组织的结果。EU AI法案明确指出，运营商义务无法通过合同转移——使用高风险AI系统的组织，无论谁构建了该系统，都作为运营商承担直接监管义务。

尽职调查框架和集中风险

评估AI供应商需要不同的尽职调查框架：技术文档（EU AI法案要求提供商向运营商提供充分信息）、偏见测试结果（相关人口统计群体的测试结果是什么？）、数据处理协议（AI系统处理哪些数据，如何使用？）、事件响应能力（供应商如何检测和通知AI系统故障？）。依赖少数AI平台提供商执行关键功能的组织面临系统性集中风险——当主要AI平台提供商遭遇重大故障或改变条款时，依赖组织会面临无适当替代方案的运营中断。

对于许多组织而言，建立强大的第三方AI风险管理能力的最大挑战是变革管理问题。将AI治理要求纳入供应商采购流程、培训采购团队识别AI治理风险、建立持续监控供应商AI系统的基础设施——这些都需要组织内部的广泛参与和支持。随着AI越来越多地嵌入到企业软件中，第三方AI风险管理将成为企业整体风险管理的核心组成部分。

第三方AI风险管理的另一个重要维度是合同安排。许多标准企业软件合同没有充分涵盖AI治理，将风险转移给客户同时保护提供商。谈判AI供应商合同时，需要特别关注以下条款：提供商需要在什么情况下通知客户有关AI系统的变更；客户对AI系统性能数据有什么访问权；如果AI系统未能履行治理标准，有什么补救措施；以及如果提供商违反其AI治理声明，有什么责任规定。这些合同保护是第三方AI治理的关键组成部分。

随着AI技术和监管格局的持续演变，AI治理实践也需要不断适应。建立在坚实原则基础上的治理框架——问责制、透明度、人工监督、公平性——将比任何特定法规要求更加持久。投资于这些核心能力的组织不仅将在当前监管环境中做好准备，而且将在AI治理预期不可避免地提高的未来做好准备。AI治理不是一项要完成的项目，而是需要随着组织AI使用的演变而持续关注的能力。

第三方AI风险的新兴最佳实践

关于第三方AI风险管理的组织实践正在迅速成熟。领先的实践包括：建立AI供应商寄存器——维护所有已评估的AI供应商的记录，包括风险评级、合规状态和合同条款，便于审计和更新；实施AI供应商变更通知要求——在合同中要求供应商在对AI系统进行重大更改之前通知您，给您时间评估影响；进行年度AI供应商风险审查——定期重新评估供应商AI治理实践，特别是在监管环境变化时；以及建立替代供应商计划——特别是对于关键AI功能，识别潜在的替代供应商，以防您的主要供应商无法提供服务。这些实践已从先进实践转变为在金融服务、医疗保健和政府等受监管行业的期望规范。其他行业正在迅速跟进，因为企业客户在采购决策中越来越多地将第三方AI风险管理作为必要条件。