企業級第三方風險管理向規模化轉變

本文由Aravo贊助，按照Emerj贊助內容指南編寫、編輯和發佈。瞭解更多關於我們的思想領導和內容創作服務，請訪問Emerj媒體服務頁面。

在金融服務、醫療保健、製造和科技行業，監管機構已明確企業對第三方活動的責任。美國銀行監管機構指出，組織需對第三方活動承擔全部責任，如同這些活動由內部執行一樣。FDIC表示，審查員在監管審查中直接評估第三方關係，將供應商風險視為企業自身運營和合規狀況的延伸。

風險格局已明確轉向供應鏈。根據身份盜竊資源中心的數據，供應鏈攻擊急劇增加，現已成為數據泄露增長最快的原因之一，單一供應商受損常影響多個下游組織。美國網絡安全和基礎設施安全局警告，軟件供應鏈攻擊可能同時危及受影響軟件的所有下游用户，造成系統性而非孤立的故障。

現代第三方生態系統的規模加劇了挑戰。聖約翰大學企業風險管理卓越中心的研究顯示，超過90%的企業風險負責人報告第三方風險正在增加，超過60%的人認為其重要性超過其他企業風險。同一研究還發現，一些組織將多達一半的第三方歸類為關鍵任務，顯著增加了集中度和依賴風險。

當第三方風險失敗時，財務後果往往是直接且重大的。根據美國網絡安全和基礎設施安全局，大型網絡事件每次通常造成數百萬美元的損失，源於取證響應、法律風險、系統恢復和業務中斷，當單一受損供應商影響多個下游組織時，成本會進一步放大。

對於高級領導者和董事會而言，後果不再只是理論上的。第三方失敗日益產生直接的業務影響，包括：供應鏈或服務中斷導致的收入損失；供應商不當行為或數據泄露造成的聲譽損害；罰款、調查和運營限制帶來的監管風險；關鍵服務由外部提供商提供時的運營脆弱性。

第三方風險已不再是一個邊緣的合規問題，而是一個戰略性的企業風險——需要與組織內部運營相同的嚴格性、可見性和治理。

Emerj最近與Aravo首席產品官Dean Alms、首席技術官Eric Hensley以及前Blue Cross Blue Shield of Minnesota首席信息官和首席技術創新官、XcelerateHealth總裁兼首席信息官Carey Smith進行了高管對話。這些對話探討了為什麼第三方風險已成為董事會問題，傳統合規驅動模式如何在規模化時失效，以及如何在複雜供應商生態系統中實現運營彈性。

本播客系列探討了企業領導者如何利用人工智能現代化第三方風險管理，重點包括：將第三方風險視為企業數據問題——將供應商風險作為統一的企業範圍數據挑戰處理，使高管可見性、問責制和董事會監督更清晰；持續、基於風險的規模化監控——用基於異常的持續監控取代靜態調查和定期評估，在供應商網絡增長時保持可見性，使領導者專注於重要風險信號而非海量數據；將可解釋AI嵌入核心工作流程——將確定性、可理解的AI應用於文檔攝取、調查驗證和常規風險分析，降低運營成本和週期時間，同時保持自動化輸出的可追溯性、信任和監管信心；通過自動化修復實現彈性——超越風險識別，採用AI驅動的劇本和糾正措施，使組織轉向主動風險降低、關鍵供應商更快響應，以及與業務影響直接相關的長期運營彈性。

完整劇集見下文：

第一集：管理擁有10,000個供應商的第三方風險 嘉賓：Dean Alms，Aravo首席產品官 簡介：Dean Alms是Aravo首席產品官，領導企業風險和彈性解決方案的產品戰略。他曾任Socrates.ai CPO，以及在Veeva Systems和Rimini Street擔任高級產品領導職務，塑造了生命科學、合規和全球IT服務領域的企業SaaS平台。Dean持有波士頓大學工商管理和管理信息系統學士學位。

第二集：面向風險與合規領導者的可信AI架構 嘉賓：Dean Alms和Eric Hensley 簡介：Eric Hensley是Aravo首席技術官，領導全球最大企業所使用的企業SaaS平台的架構、工程和運營擴展。他在Aravo擔任高級技術和產品開發職務超過十年，此前在Instill Corporation和ShipServ擔任領導職務。Eric持有加州大學伯克利分校天體物理學士學位，輔修計算機科學。

第三集：規模化第三方風險管理而不淹沒在調查中 嘉賓：Carey Smith，前Blue Cross Blue Shield of Minnesota首席信息官和首席技術創新官，XcelerateHealth總裁兼首席信息官 簡介：Carey Smith是XcelerateHealth總裁兼首席信息官，以及Blue Cross Blue Shield of Minnesota首席信息官，領導企業技術、AI和數字化轉型，專注於改善醫療保健成果和運營績效。她曾在健康保險、保險科技和私募股權支持的組織中擔任COO、CIO和CTO等高級執行職務，並共同創立了Medplace，一個專家醫療案例審查的數字平台。Carey持有蒙大拿州立大學比林斯分校信息技術與心理學雙學士學位，並完成了領導力和戰略方面的高管教育項目。

第三方風險作為企業數據問題

第三方風險不再侷限於單一職能部門。Dean Alms認為，它已成為企業範圍的關注點，源於不斷擴大的監管要求、日益複雜的供應商生態系統，以及領導層——而不僅僅是合規團隊——能夠説明組織外部情況的期望。

正如Alms所説，壓力並非來自單一方向，而是多方同時施加：“風險暴露和合規要求的數量持續增長，且在不同行業和地區以非常不同的方式增長。在某些情況下，甚至不是國家層面的差異，而是州與州之間的不同，對隱私和數據處理的期望各不相同。與此同時，由於消費者壓力和社交媒體曝光，企業要對供應商的行為負責，即使這些失敗發生在距離核心業務幾層之外的位置。”

使這一演變特別具有挑戰性的是風險數據在整個組織中的處理方式。所有權分散在採購、合規、IT、安全和法律團隊之間，每個團隊都有自己的工具、流程和視角。結果是，在董事會要求整合答案時，只能獲得部分可見性。

Carey Smith進一步指出傳統方法在真正規模化時開始失敗的地方。當供應商網絡達到數萬個時，可見性不僅下降，而是崩潰。風險集中度變得更難識別，下層供應商的依賴關係在中斷迫使其進入視野之前基本不可見。

從這兩個角度來看，一些斷裂線始終出現：風險數據跨職能部門分散，阻礙了統一的、以供應商為中心的風險視圖；調查驅動的時間點評估迅速過時，造成控制假象；下層和未知供應商帶來隱藏風險，通常在中斷後才顯現；無論失敗源自何處，責任最終由企業承擔。

因此，正在發生的轉變是結構性的。第三方風險管理正從功能孤立的合規活動轉向數據驅動的治理學科，期望支持高管決策並承受董事會審查，因為供應商生態系統變得更加複雜和相互關聯。

持續、基於風險的規模化監控

隨着供應商網絡擴展和外部條件變化更快，定期評估開始與現實脱節。Eric和Dean描述了傳統風險評估方式與風險實際演變之間日益擴大的差距。

轉向持續監控似乎是明顯的答案。但Eric迅速指出，這一轉型往往被低估。持續監控並沒有直接解決可見性問題，而是引入了一個新挑戰：數據量。“當轉向持續監控時，挑戰完全改變。你不再缺乏信息，而是突然從許多不同來源不斷湧入大量數據。真正的問題變成決定什麼真正重要——發生了什麼變化，為什麼變化，是否重要到需要採取行動。如果你無法從噪聲中分離信號，持續監控只會造成更多混亂，而不是更好的結果。”

Carey Smith從態勢角度處理問題，將焦點從頻率轉向相關性：“持續、基於風險的監控是關於實時理解風險態勢，而不是填寫更多文書工作。時間點調查只提供快照，完成時已開始過時。領導者需要的是持續的視圖，瞭解風險集中在何處以及如何變化。沒有這一點，可見性會隨着複雜性增加而退化。”

Dean增加了一個操作上的細微差別，將更成熟的項目與早期採用者區分開。持續監控不僅僅是更頻繁地重新評估供應商。它日益將定期審查與事件驅動的情報（地緣政治干擾、網絡事件、負面媒體、財務困境）相結合，這些情報可以在下一次正式檢查點之前改變供應商的風險狀況。

由此產生了一種不同的運營模式：持續監控將問題從數據不足轉變為信息過剩；基於風險的優先級確保資源集中在最重要的問題上；事件驅動觸發使監控與實際風險變化保持一致；自動化工作流和可解釋AI支持快速、可防禦的決策。

可解釋AI嵌入核心工作流

隨着數據量和複雜性的增長，人工智能成為管理第三方風險的有力工具。然而，在受監管環境中，信任和可追溯性至關重要。Eric和Dean強調，AI必須可解釋——其輸出必須能被人類理解並追溯到特定證據。

“當我們談論AI時，我們指的是確定性、可理解的AI。不是黑箱，而是能解釋其推理的系統。在第三方風險管理中，你不僅需要答案，還需要理解為什麼某個風險被標記，以及引用了哪些數據點。監管機構會質疑這些決定。”Dean解釋道。

Aravo的方法是將AI應用於文檔攝取、調查驗證和常規風險分析等任務，同時保持透明度和監管信心。例如，AI可以自動提取合同條款、識別風險語言，並驗證供應商提交的數據是否一致，但所有輸出都附有解釋和來源引用。

Carey Smith從最終用户角度補充：“領導者需要信任系統提供的風險信號。如果AI做出標註，我需要知道它的基礎是什麼。可解釋性構建信任，而信任是使風險團隊採取行動的基礎。”

通過自動化修復實現彈性

超越風險識別，AI還支持自動化的修復工作流。Dean提到，成熟的程序不僅停止於識別風險，而是通過AI驅動的劇本和糾正措施主動降低風險。

“我們的目標是從被動響應轉向主動風險降低。當檢測到異常時，系統可以自動觸發工作流：通知適當團隊、分配任務、跟蹤進度，甚至根據預定義規則建議緩解行動。這大大縮短了響應時間，並確保關鍵供應商獲得優先關注。”

Carey分享了她在醫療保健領域的經驗，強調了修復工作流的重要性：“在醫療行業，供應商中斷可能直接影響患者護理。擁有AI驅動的自動化工作流意味着我們可以在問題影響到患者之前識別並解決風險。這不僅關乎合規，更關乎彈性。”

最終，第三方風險管理正從一個孤立的合規成本中心轉變為一個戰略性的企業功能，直接支持業務連續性和競爭優勢。採用AI驅動的持續監控、可解釋分析和自動化修復的組織將能夠更好地應對不斷增長的風險和監管壓力，同時保持運營彈性。