第三方AI风险缺口
大多数企业AI风险来自嵌入在组织购买和使用的商业软件、平台和服务中的AI。HR平台可能使用AI评估求职者,ERP系统可能使用AI标记异常交易,CRM系统可能有AI驱动的推荐功能,客服平台可能使用AI路由和回答客户查询。这些都是第三方产品组件中的AI--不是您构建的系统,不是您训练的模型。但这些AI的结果是您组织的结果。EU AI法案明确指出,运营商义务无法通过合同转移--使用高风险AI系统的组织,无论谁构建了该系统,都作为运营商承担直接监管义务。
尽职调查框架和集中风险
评估AI供应商需要不同的尽职调查框架:技术文档(EU AI法案要求提供商向运营商提供充分信息)、偏见测试结果(相关人口统计群体的测试结果是什么?)、数据处理协议(AI系统处理哪些数据,如何使用?)、事件响应能力(供应商如何检测和通知AI系统故障?)。依赖少数AI平台提供商执行关键功能的组织面临系统性集中风险--当主要AI平台提供商遭遇重大故障或改变条款时,依赖组织会面临无适当替代方案的运营中断。
对于许多组织而言,建立强大的第三方AI风险管理能力的最大挑战是变革管理问题。将AI治理要求纳入供应商采购流程、培训采购团队识别AI治理风险、建立持续监控供应商AI系统的基础设施--这些都需要组织内部的广泛参与和支持。随着AI越来越多地嵌入到企业软件中,第三方AI风险管理将成为企业整体风险管理的核心组成部分。
第三方AI风险管理的另一个重要维度是合同安排。许多标准企业软件合同没有充分涵盖AI治理,将风险转移给客户同时保护提供商。谈判AI供应商合同时,需要特别关注以下条款:提供商需要在什么情况下通知客户有关AI系统的变更;客户对AI系统性能数据有什么访问权;如果AI系统未能履行治理标准,有什么补救措施;以及如果提供商违反其AI治理声明,有什么责任规定。这些合同保护是第三方AI治理的关键组成部分。
随着AI技术和监管格局的持续演变,AI治理实践也需要不断适应。建立在坚实原则基础上的治理框架--问责制、透明度、人工监督、公平性--将比任何特定法规要求更加持久。投资于这些核心能力的组织不仅将在当前监管环境中做好准备,而且将在AI治理预期不可避免地提高的未来做好准备。AI治理不是一项要完成的项目,而是需要随着组织AI使用的演变而持续关注的能力。
第三方AI风险的新兴最佳实践
关于第三方AI风险管理的组织实践正在迅速成熟。领先的实践包括:建立AI供应商寄存器--维护所有已评估的AI供应商的记录,包括风险评级、合规状态和合同条款,便于审计和更新;实施AI供应商变更通知要求--在合同中要求供应商在对AI系统进行重大更改之前通知您,给您时间评估影响;进行年度AI供应商风险审查--定期重新评估供应商AI治理实践,特别是在监管环境变化时;以及建立替代供应商计划--特别是对于关键AI功能,识别潜在的替代供应商,以防您的主要供应商无法提供服务。这些实践已从先进实践转变为在金融服务、医疗保健和政府等受监管行业的期望规范。其他行业正在迅速跟进,因为企业客户在采购决策中越来越多地将第三方AI风险管理作为必要条件。