加强人工智能应用推进第三方风险管理转型

目錄目录 引言 03 第1章日益复杂的第三方关系正在带来全新挑战 06 第2章人工智能为重塑第三方风险管理创造前所未有的机遇 09 第3章风险策略官可采取的三项重要举措15 3引言 《2025年安永全球第三方风险管理调查》揭示了在波动性加剧的环境中管理第三方风险的全新方法 法兰克福的一个清爽秋日，某大型消费品公司总部内，玛雅（Maya）正任职于该公司新成立的风险人工智能中心（RiskAIHub）——这是一个由人工智能驱动的集中式指挥中心，负责协调全球企业的第三方风险管理（即Third-Party RiskManagement，简称“TPRM”）工作。此时，她的人工智能助手奥里安（Orion）发出了一条警报。奥里安监测到，东南亚某关键二级供应商在社交媒体上的负面反馈出现激增。通过追踪发现，这一激增是由当地媒体报道该供应商发生化学品泄漏事件引发的，奥里安预测分析模型的持续更新数据显示，供应链发生重大中断的可能性正不断上升。玛雅要求奥里安持续监控事态发展，并收集数据以找出事件的根本原因，包括合规、绩效或监管方面是否存在漏洞。随着事态恶化，奥里安直接与其供应商端的人工智能（agentic AI）对应系统维加（Vega）协作，起草了一份改进计划，供人工审核决策。 这便是第三方风险管理的未来图景：在这样的未来中，年度或半年度的风险评估已被替代，取而代之的是基于复杂市场感知技术、利用广泛数据开展的24小时实时监控；在这个世界里，人工智能的应用使第三方风险管理实现了前所未有的精简与集中化。这个未来可能比许多人预想得更近，而且在如今已发生变革的外部风险环境中，我们迫切需要这样的未来。 近年来多重趋势交织，彻底改变了外部风险环境。由疫情、地缘政治冲突和气候变化引发的全球供应链冲击，使企业更加关注供应商的韧性以及第三方的影响。同时，网络攻击事件数量不断增加，国际货币基金组织（IMF）估计，自疫情以来网络攻击造成的损失增加了一倍多，自2017年以来更是增加了三倍多，这使得由第三方关系而引发网络风险的可能性大幅上升。监管审查的加强和利益相关者的压力，也让人们更加关注第三方在各类合规风险管理方面的做法，涉及从数据隐私到环境标准等多个风险领域。 当前的第三方风险管理方法越来越难以适应如今多重需求并存、风险环境复杂的局面。第三方风险管理的转型已迫在眉睫。“” 这些发展态势标志着一个全新风险环境的到来。如今的风险比疫情前更具关联性、非线性、突发性和波动性。 概要 ▪为应对未来挑战，风险领域的领导者正借助人工智能与集中化管理，从根本上变革其第三方风险管理职能。 遗憾的是，当前的第三方风险管理体系与这一新的风险环境存在根本脱节。在变化加速的背景下，第三方风险管理仍依赖缓慢且间断的流程；在风险相互关联的世界里，它却处于各自为政、缺乏协调的状态；面对复杂多变的增长形势与突发的转折点，尽管需依赖敏捷与创新，但其反应仍显滞后；而在企业需要重塑商业模式、寻找新价值创造方式的重大变革时期，目前的第三方风险管理通常与整体业务指标和战略目标脱节。 ▪随着第三方合作关系的数量增多、复杂性提升，运营风险与网络安全风险正不断加剧。 多年来，推进第三方风险管理的集中化一直是解决部分上述脱节问题的可行路径。然而，尽管集中化的采用率逐年提高，但往往存在组织层面的制约因素阻碍其更广泛地实施。只有解决这些制约因素，企业才能充分发挥集中化的潜力。人工智能为加快集中化进程提供了途径，但人工智能更大的价值在于，它能从根本上重塑第三方风险管理，使其更具韧性，并与新的风险环境相适配。在节奏更快、波动性更强的环境中，人工智能可通过分析新闻报道、财务数据、社交媒体信息流等实时数据，并将这些外部输入与企业内部运营数据相结合，实现大规模的实时风险监控。在风险相互关联、复杂多变的环境中，人工智能可用于模拟各种场景及影响，帮助人类克服在风险预判中的局限。 ▪商业不确定性与成本压力，正推动第三方风险管理朝着提升效率的方向发展。 许多企业一再专注于解决之前出现的单个问题，无论是新冠疫情还是供应链韧性等，而非从战略角度、以整体思维开展第三方风险管理，尽管金融业的监管要求已推动企业从整体角度看待风险，但其他许多行业的企业仍在分散或孤立地应对风险。这种做法越来越难以适应如今多重需求并存、风险环境复杂的局面。第三方风险管理的转型已刻不容缓。 关于《2025年安永全球第三方风险管理调查》 《2025年安永全球第三方风险管理调查》为身处这一复杂领域的领导者提供了宝贵洞见。该调查由安永与牛津经济研究院（Oxford Economics）合作开展，旨在了解各组织如何开展第三方风险管理，包括最佳实践、面临挑战及未来展望。 调查范围 本次调查涵盖500位负责或协助开展第三方风险管理的高管。受访企业的年收入均在2.5亿美元以上，其中20%为《财富》500强企业。受访企业的总部位于美国、加拿大、英国、法国、德国、西班牙、意大利、印度、中国、新加坡、日本、澳大利亚和北欧地区的国家，涵盖多个行业领域：银行与资本市场、保险（金融服务/非医疗领域）、其他金融服务（如金融科技）、私募股权、财富与资产管理、先进制造与移动出行、科技、媒体与娱乐、电力与公用事业、医疗健康（包括医疗保险、医疗服务提供方、付费方等）、生命科学、消费品与零售、专业服务、政府机构以及石油与天然气。 第一章 日益复杂的第三方关系正在带来全新挑战 调研显示，风险环境波动性加剧，业务挑战增加了对效率的压力，使得领导者的风险关注重点正在发生变化。当风险管理者已经面临组织内部日益增长的业务压力时，这一新风险环境的影响显得尤为突出。 企业正应对多重第三方风险并采取更严密措施 通过调查发现新环境带来的竞争性挑战是显而易见的，其中包括对运营韧性和网络安全日益增长的重视。 近年来，一般企业所管理的第三方关系数量大幅上升，其复杂性也同步提高。与此同时，持续存在的业务不确定性和成本压力环境，正迫使领导者必须以更高效的方式推进第三方风险管理。人工智能已成为改变局面的关键力量。“” “运营风险”已在企业监控分包商时的考量因素中跃居首位，取代了2023年调研中的“集中风险”。在本次调研中，57%的受访者将运营风险列为考量因素，较2023年的40%有显著提升。在识别“关键第三方”（即其运营中断或失败可能严重影响组织运作能力的实体）的标准方面，也呈现出类似变化。虽然“财务影响”仍是定义关键第三方的最主要标准（43%），但“业务流程/职能的关键性”以39%的比例紧随其后。与此同时，“业务连续性与韧性”的重要性攀升最为显著，从2023年的14%上升至当前的23%。 运营风险 的受访者将运营风险列为第三方考量因素，而2023年这一比例为40% 运营风险跃升为首要考量因素 在监控第三方时，企业对下列风险呈现不同的考量程度： 企业应对风险升级的一种方式是在第三方控制评估中采取更严厉的措施。若第三方未及时回复问询，如今企业更倾向于升级内部处理流程（87%的受访者选择升级，高于2023年的70%），甚至完全终止合作（29%，2023年为17%）。 当在评估中发现风险时，企业远比以往更倾向于采取补救措施：57%的受访者选择进行整改，而2023年这一比例仅为17%。 第三方关系的数量与复杂性持续攀升 尽管企业始终与第三方保持合作，但此类关系的数量与复杂性近年来显著增长。充满挑战的商业环境迫使企业必须“以更少资源完成更多任务”，因而往往借助第三方来提升运营效率。数字化转型举措的广泛实施进一步扩展了第三方生态，企业越来越多地依赖第三方提供云服务、软件即服务（SaaS）及其他数字平台。 最终结果是，企业比以往任何时候都更加依赖大量专业服务提供商。例如，当今的金融机构与众多金融科技服务提供商合作，包括支付处理商、信贷机构及投资平台等。医疗保健企业依靠第三方供应商提供远程医疗、电子健康记录和医疗物资等服务。跨行业企业中，从人力资源到商业智能再到供应链物流，各类业务环节都可见第三方服务提供商的身影。 ▪这些变化使得企业内部依赖第三方并暴露于第三方风险的业务职能数量大幅增加。以往，一家银行可能仅有一两个风险条线关注第三方风险，而如今，这一数字可能超过20个。 专业服务提供商的兴起不仅增加了第三方关系的数量，更提高了其复杂程度。过去，许多相关活动可能仍在企业内部环境中以人工方式完成，至多通过应用程序接口（API）与企业环境连接。而如今，同类活动可能涉及在非企业所有或控制的环境中运作的第三方网络。相应地，这些第三方也会与自身的下游合作方共同提供服务。关键在于，“第三方风险管理”这一称谓已不足以准确描述现状——当今企业必须扩大范围，不仅关注第三方风险，还需考虑第四方、第五方乃至第N方风险。 随着对非传统第三方（NTTPs），如战略合作伙伴、经销商、经纪交易商、法律类等第三方的依赖度提高，第三方生态的复杂性进一步加剧。 本次的调研结果印证了上述趋势。应对不断增长的第三方相关风险，仍是第三方风险管理的核心职能。这一挑战对成立时间短、成熟度低的第三方风险管理职能来说尤为严峻：它们需要积极管理的第三方数量反而多于更成熟的风险管理职能（更成熟的风险管理职能通过基于风险优先级的方式主动管理优先级高的第三方，因为数量更少）。成立不足三年的第三方风险管理职能平均管理275个第三方，而运作超过十年的仅管理中位数80个第三方。受访者普遍表示，监控NTTPs的负担正在加重。所有类型的NTTPs监控数量较去年平均增长20%。企业也在投入资源监控第N方风险，近三分之二（64%）的受访者表示“第三方尽职调查包含对其第三方风险管理项目的验证，以及对其第三方群体及分包商的风险/控制评估”。 第二章 人工智能为重塑第三方风险管理创造前所未有的机遇 人工智能与更高程度的集中化，正帮助企业以前所未有的方式应对第三方风险管理中的复杂问题 面对新风险环境带来的多重压力、第三方合作关系数量与复杂性的增加以及“以更少资源做更多事”的需求，第三方风险管理职能需要新的运营模式。第三方风险管理转型是一个过程：从短期追求边际效率提升，到最终实现根本性变革。企业在这一转型道路上已探索多年，其中最显著的举措便是推进集中化。人工智能的出现，不仅为加快集中化进程提供了机遇，也为第三方风险管理的变革创造了条件。 第三方风险管理的集中化已使企业踏上了提高效率的道路 2025年的调查延续了多年来的趋势。调查显示第三方风险管理正朝着更高程度的集中化方向发展，越来越多的组织采用集中化的企业级第三方风险管理项目（2025年占比57%，高于2023年的54%）。 第三方风险管理集中化具有诸多优势，它减少了流程中的摩擦点：无需多次联系同一第三方提出往往重复或冗余的要求，而是可以一次性、有协调地高效沟通。调查数据表明，许多组织可从这种精简中获益。 在进行控制评估时，43%的企业仍针对不同风险领域使用多份不同的调查问卷，导致这些企业平均向第三方发送55份问卷。此外，每份额外问卷都会带来合规压力。45%的受访者表示，控制评估问卷包含100到200个问题，另有36%的问卷包含200到350个问题。显然，采用集中化方法在减轻合规负担、减少与第三方之间的摩擦方面，仍有很大空间。 至关重要的是，集中化的第三方风险管理能实现更好的协调和更全面的风险评估。“集中化的第三方风险管理方法使组织能够跨部门整合信息，把握全局，”安永全球风险咨询战略负责人表示，“例如，某组织的网络安全团队可能在监控某第三方的网络风险，该第三方可能拥有完善的网络控制措施，在网络风险管理方面得分很高。但与此同时，该第三方可能正面临严重的资金流失，未来六个月内破产的可能性很高。这显然会影响其未来在网络风险控制方面的投入能力。如果组织无法整合网络风险与财务风险数据，就会失去全局视角。” 调查数据也体现了集中化的优势。92%采用集中化第三方风险管理的组织，都可以直接在提升和优化该项目的能力与有效性方面进行直接投资。据报告，这一成熟举措带来的主要优势包括：