Skip to content
French Riviera - old sail race start aerial view with Antibes view

AI en het beheersen van risico’s bij externe partijen in een snel veranderende wereld

Auteurs

19 minuten leestijd 24 apr. 2025
Gerelateerde topics
Consulting
Risk
Cybersecurity

Het 2025 EY Global Third-Party Risk Management Survey onthult nieuwe benaderingen voor het beheren van risico's van externe partijen in een volatielere omgeving.

In het kort

  • Risicobeheerders gebruiken AI en centralisatie om hun risicobeheerfuncties voor externe partijen fundamenteel te transformeren voor de toekomst.
  • Operationele en cyberbeveiligingsrisico's nemen toe terwijl het aantal en de complexiteit van relaties met externe partijen toeneemt.
  • Bedrijfsonzekerheid en kostendruk drijven de efficiëntie-eisen voor third-party risk management. 

Het is een frisse herfstdag in Frankfurt. De locatie is het hoofdkantoor van een groot bedrijf in consumentenproducten. Maya, een manager in de nieuwe RiskAI Hub van het bedrijf - de AI-aangedreven centrale controletoren die verantwoordelijk is voor het coördineren van third-party risk management (TPRM) in de hele onderneming - ontvangt een waarschuwing van Orion, haar AI-assistent. Orion pikt een piek op in het negatieve sentiment in de sociale media met betrekking tot een cruciale Tier 2-leverancier in Zuidoost-Azië. Terwijl het de stijging volgt, aangedreven door lokale nieuwsberichten over een chemische lekkage, werkt het voorspellende analytics-model van Orion continu de toenemende waarschijnlijkheid van een grote verstoring in de supply chain bij. Maya vraagt Orion om de situatie in de gaten te blijven houden en gegevens te verzamelen om de hoofdoorzaken van het incident vast te stellen, waaronder eventuele gebreken in naleving, prestaties of toezicht. Naarmate de situatie verslechtert, werkt Orion rechtstreeks samen met Vega, zijn agentische AI-tegenhanger bij de leverancier, om een herstelplan op te stellen dat door mensen moet worden beoordeeld.

Dit is de toekomst van TPRM. Het is een toekomst waarin jaarlijkse of biennale risico-assessments zijn vervangen door 24/7 realtime monitoring, gebaseerd op geavanceerde marktanalyse met behulp van een breed spectrum aan data. Het is een wereld waarin het gebruik van AI-agenten het mogelijk maakt om TPRM te stroomlijnen en te centraliseren als nooit tevoren. Het is een toekomst die veel dichterbij is dan velen denken - en die hard nodig is in een veranderde omgeving voor externe risico's.

Een samenloop van trends heeft de externe risico-omgeving de afgelopen jaren door elkaar geschud. Wereldwijde supplychains zijn blootgesteld aan opeenvolgende schokken, onder meer door de pandemie, geopolitieke spanningen en klimaatverandering. Dit heeft geleid tot een groeiende focus op de veerkracht van leveranciers en de risico’s die externe partijen met zich meebrengen. Het stijgende aantal cyberaanvallen - het IMF schat dat de verliezen door cyberaanvallen sinds de pandemie meer dan verdubbeld zijn en sinds 2017 meer dan verviervoudigd - heeft het potentieel voor cyberrisico's via relaties met externe partijen vergroot. Verhoogde regelgeving en druk vanuit belanghebbenden hebben geleid tot meer aandacht voor de praktijken van externe partijen met betrekking tot een reeks compliance-risico's, variërend van gegevensprivacy tot milieunormen.

Deze ontwikkelingen zijn kenmerkend voor een nieuwe omgeving waarin risico's meer onderling verbonden, niet-lineair, versnellend en volatiel zijn dan in de wereld van voor de pandemie.

Benaderingen sluiten steeds minder goed aan bij de huidige concurrerende eisen en complexe risico-omgeving. TPRM is nog nooit zo rijp geweest voor transformatie.

Amy Gennarini

EY Global Risk Consulting Technology Leader

Helaas is het huidige TPRM fundamenteel niet afgestemd op deze nieuwe risico-omgeving. Temidden van steeds snellere veranderingen vertrouwt TPRM op langzame en intermitterende processen. In een wereld van onderling verbonden risico's, is het silo en ongecoördineerd. Tegen een achtergrond van niet-lineaire groei en onverwachte omslagpunten die behendigheid en innovatie vereisen, heeft het zich traag aangepast. En in een tijd van enorme disruptie - waarin bedrijven bedrijfsmodellen opnieuw moeten uitvinden en nieuwe manieren moeten vinden om waarde te creëren - is TPRM meestal losgekoppeld van algemene bedrijfsmetriek en strategische doelstellingen.

Het centraliseren van TPRM-programma’s is al jarenlang een manier om ten minste een deel van deze knelpunten aan te pakken. Maar hoewel de toepassing van gecentraliseerde benaderingen in de loop der tijd is toegenomen, vormen organisatorische beperkingen vaak een belemmering voor een uitgebreidere implementatie. Alleen door deze beperkingen aan te pakken, kunnen organisaties het volledige potentieel ervan benutten Kunstmatige intelligentie (AI) biedt een manier om het centralisatietraject te versnellen.

Maar de grootste kans met AI is het gebruik ervan om TPRM fundamenteel opnieuw uit te vinden, zodat het veerkrachtiger wordt en beter aansluit op de nieuwe risico-omgeving. In een sneller veranderende wereld met meer volatiliteit kan AI op grote schaal real-time risicomonitoring uitvoeren door continue datafeeds zoals nieuwswaarschuwingen, financiële gegevens en sociale-mediastromen te analyseren en deze externe inputs te synthetiseren met de interne bedrijfsgegevens van het bedrijf. In een omgeving van onderling verbonden risico's en niet-lineaire verandering kan AI worden gebruikt om scenario's en gevolgen te simuleren, zodat het menselijk falen op het gebied van verbeeldingskracht wordt overwonnen.

"Veel bedrijven hebben zich herhaaldelijk gericht op het oplossen van het laatste probleem - de COVID-pandemie, de veerkracht van de toeleveringsketen, enzovoort - in plaats van TPRM strategisch en samenhangend te benaderen," zegt Amy Gennarini, EY Global Risk Consulting Technology Leader. "Hoewel de regelgeving in sectoren zoals de financiële dienstverlening deze bedrijven ertoe heeft aangezet om risico's holistisch te bekijken, pakken veel andere bedrijven het nog steeds in hokjes of silo's aan. Dergelijke aanpakken sluiten steeds minder goed aan bij de concurrerende eisen en complexe risicodynamiek van vandaag de dag. De tijd was nog nooit zo rijp voor een transformatie van TPRM."

De 2025 editie van de EY Global Third-Party Risk Management Survey bevat waardevolle inzichten voor leiders die deze uitdagende sector moeten navigeren. De enquête is uitgevoerd in samenwerking met Oxford Economics en probeert inzicht te krijgen in hoe organisaties omgaan met TPRM, inclusief best practices, uitdagingen en vooruitzichten.

Team of two girls deftly managed to sail in the sea
1

Hoofdstuk 1

Complexere relaties met meer externe partijen creëren nieuwe uitdagingen

Uit ons onderzoek blijkt dat de risicoprioriteiten van leiders verschuiven, nu de risico-omgeving onvoorspelbaarder wordt en zakelijke uitdagingen de druk op efficiëntie vergroten.

De nieuwe risico-omgeving valt op in een tijd waarin risicomanagers al te maken hebben met toenemende bedrijfsdruk binnen hun organisaties. "Het aantal relaties met externe partijen dat door een doorsnee bedrijf wordt beheerd, is de afgelopen jaren sterk gestegen, evenals de complexiteit van deze relaties," zegt Kapish Vanvaria, EY Global Risk Consulting Leader. "Ondertussen zorgt een omgeving van aanhoudende zakelijke onzekerheid en kostendruk ervoor dat leiders het risicobeheer voor externe partijen op een effectievere manier moeten uitvoeren. AI heeft in deze arena bewezen een gamechanger te zijn."

Bedrijven hebben te maken met meervoudige risico's van externe partijen - en nemen een hardere houding aan

De concurrerende uitdagingen die de nieuwe risico-omgeving met zich meebrengt, zijn zichtbaar in de antwoorden op de enquête. Daarbij is er meer nadruk komen te liggen op operationele weerbaarheid en cybersecurity.

Een omgeving van aanhoudende zakelijke onzekerheid en kostendruk dwingt leiders om risicobeheer voor externe partijen op een effectievere manier uit te voeren. AI heeft bewezen een game changer te zijn.

Kapish Vanvaria

EY Global Risk Consulting Leader

"Operationeel risico" staat bovenaan de lijst van factoren die bedrijven in overweging nemen bij het monitoren van onderaannemers en vervangt "concentratierisico" in de enquête van 2023. In de huidige enquête noemt 57% van de respondenten operationeel risico als een factor die ze in overweging nemen, een aanzienlijke stijging ten opzichte van 40% in de enquête van 2023. Een soortgelijke verschuiving is zichtbaar in de criteria die worden gebruikt om kritieke externe partijen te identificeren - entiteiten waarvan de verstoring of storing een aanzienlijke invloed zou kunnen hebben op het vermogen van de organisatie om te functioneren. Hoewel "financiële impact" het belangrijkste criterium blijft om een kritieke externe partij te definiëren (43%), wordt dit op de voet gevolgd door "kriticiteit van het bedrijfsproces/de functie", op 39%. Ondertussen is het belang van "bedrijfscontinuïteit en veerkracht" het sterkst gestegen, van 14% in 2023 naar 23% in het huidige onderzoek. 

Operationeel risico
van de respondenten noemt operationeel risico een overweging voor externe partijen, vergeleken met 40% in 2023.

Hoe EY kan helpen

  • Risico's

    Ontdek hoe goed risicobeheer waarde en concurrentievoordeel kan opleveren als je verandering met vertrouwen en daadkracht benadert.

    Lees meer

Eén manier waarop bedrijven op deze verhoogde risico's reageren, is door strenger op te treden tijdens controlebeoordelingen van externe partijen. Als externe partijen niet tijdig reageren op vragenlijsten, zijn bedrijven nu eerder geneigd om bedrijfsprocessen te laten escaleren (87% van de respondenten, tegenover 70% in 2023) of zelfs hun activiteiten volledig te staken (29% tegenover 17% in 2023). Als er tijdens beoordelingen risico's worden vastgesteld, zijn bedrijven veel meer dan vroeger geneigd om voor herstel te kiezen: 57% van de respondenten zegt voor herstel te kiezen, tegenover slechts 17% in 2023.

 

Het aantal en de complexiteit van relaties met externe partijen neemt toe

Hoewel bedrijven altijd al met externe partijen te maken hebben gehad, is het aantal en de complexiteit van dergelijke relaties de afgelopen jaren toegenomen. Door een uitdagend bedrijfsklimaat is het noodzakelijk geworden om meer met minder te doen, en bedrijven hebben zich vaak tot externe partijen gewend om operationele efficiëntie te ontsluiten. De invoering van digitale transformatie-initiatieven heeft het ecosysteem van externe partijen uitgebreid, waarbij bedrijven steeds meer gebruik maken van externe partijen voor clouddiensten, software-as-a-service (SaaS) providers en andere digitale platforms.

 

Het eindresultaat is dat bedrijven meer dan ooit afhankelijk zijn van grote aantallen gespecialiseerde dienstverleners. De huidige financiële dienstverleners werken bijvoorbeeld samen met een groot aantal fintech-dienstverleners, waaronder betalingsverwerkers, kredietverstrekkers en beleggingsplatforms. Bedrijven in de gezondheidszorg vertrouwen op externe leveranciers voor diensten zoals telegeneeskunde, elektronische patiëntendossiers en medische benodigdheden. In alle sectoren wenden bedrijven zich tot externe dienstverleners voor alles van personeelszaken tot bedrijfsinformatie en logistiek van de toeleveringsketen.

 

Dit heeft op zijn beurt het aantal bedrijfsfuncties vergroot dat afhankelijk is van externe partijen en blootstaat aan risico’s van derden. Vroeger had een bank misschien één of twee risk verticals die zich bezighielden met risico's van externe partijen; tegenwoordig kunnen dat er meer dan 20 zijn. 

 

Door de opkomst van deze gespecialiseerde dienstverleners is niet alleen het aantal relaties met externe partijen toegenomen, maar ook de complexiteit ervan. In het verleden werden veel van deze activiteiten handmatig uitgevoerd binnen de veilige omgeving van een bedrijf, of hoogstens met een API (Application Programming Interface) die verbinding maakte met de omgeving van het bedrijf. Vandaag de dag kunnen diezelfde activiteiten betrekking hebben op een netwerk van externe partijen die in omgevingen werken die geen eigendom zijn van of beheerd worden door het bedrijf. Deze externe partijen werken op hun beurt weer samen met hun eigen netwerken van derden om diensten te leveren. Het komt erop neer dat "risicobeheer voor externe partijen" al een beetje een verkeerde benaming is - bedrijven moeten tegenwoordig een breder net uitwerpen om niet alleen risico's voor derden te overwegen, maar ook risico's voor vierde, vijfde en n-de partij. 

Het aantal bedrijfsfuncties dat afhankelijk is van externe partijen en wordt blootgesteld aan risico’s van derden is sterk toegenomen. Vroeger had een bank misschien één of twee risk verticals die zich bezighielden met risico's van externe partijen; tegenwoordig kunnen dat er meer dan 20 zijn. 

De complexiteit van het ecosysteem van externe partijen wordt verder gecompliceerd door de toegenomen afhankelijkheid van niet-traditionele derden (NTTP's), zoals strategische partnerschappen, wederverkopers, makelaars-handelaars, wettelijke derden en anderen.

De resultaten van de enquête weerspiegelen deze trends. Het beheersen van de risico's die samenhangen met een toenemend aantal externe partijen blijft een essentiële functie voor TPRM-programma's. De uitdaging is vooral acuut voor nieuwere, minder volwassen TPRM-programma's, die actief meer externe partijen beheren dan gevestigde programma's (die actief minder externe partijen beheren door op risico gebaseerde prioritering toe te passen). TPRM-programma's die minder dan drie jaar oud zijn, beheren een mediaan van 275 externe partijen, terwijl de programma's die al meer dan tien jaar bestaan een mediaan van 80 externe partijen beheren. Respondenten uit de enquête melden een toenemende last in verband met het monitoren van NTTP's. Voor alle typen is het aantal bewaakte NTTP's met gemiddeld 20% gestegen ten opzichte van vorig jaar. Bedrijven besteden ook middelen aan het bewaken van risico's van externe partijen, waarbij bijna tweederde (64%) van de respondenten zegt dat "zorgvuldigheid ten aanzien van externe partijen validatie van hun TPRM-programma omvat, evenals de risico-/controlebeoordeling van hun populatie van externe partijen en hun onderaannemers".

Great view of sailing boats at a sea regatta
2

Hoofdstuk 2

AI creëert een unieke kans om TPRM opnieuw uit te vinden

AI en een toenemende centralisatie helpen bedrijven als nooit tevoren om complexe uitdagingen in TPRM het hoofd te bieden.

TPRM-functies hebben nieuwe werkwijzen nodig om om te gaan met de toenemende druk van het veranderende risicolandschap, het groeiende aantal en de complexiteit van externe relaties, en de noodzaak om meer te doen met minder middelen. De transformatie van TPRM is een traject: van het nastreven van marginale efficiëntiewinsten aan de ene kant, tot fundamentele vernieuwing aan de andere. Bedrijven zijn al enige tijd bezig met deze transformatie, met name door de beweging richting meer centralisatie. De opkomst van AI biedt de kans om zowel de centralisatie te versnellen als TPRM ingrijpend te vernieuwen.

De centralisatie van TPRM heeft bedrijven op weg geholpen naar meer efficiëntie.

In lijn met een ontwikkeling die al meerdere jaren gaande is, laat de enquête van 2025 een verdere trend zien richting centralisatie van TPRM. Een groeiend aantal organisaties gebruikt gecentraliseerde, bedrijfsbrede TPRM-programma's (57% in 2025, tegenover 54% in 2023).

Het centraliseren van TPRM biedt tal van voordelen. Hierdoor worden knelpunten verminderd: in plaats van herhaaldelijk dezelfde externe partij te benaderen met vaak overlappende of dubbele verzoeken, kan dit nu op een gecoördineerde en gestroomlijnde manier plaatsvinden. De onderzoeksgegevens wijzen erop dat veel organisaties zouden kunnen profiteren van een dergelijke stroomlijning. Bij het uitvoeren van controle-assessments gebruikt zo’n vier op de tien bedrijven (43%) nog steeds meerdere vragenlijsten voor verschillende risicodomeinen. Ze sturen externe partijen gemiddeld 55 vragenlijsten. "Tel daarbij de compliance-last op van elke extra vragenlijst — 45% van de respondenten geeft aan dat controle-assessments uit 101 tot 200 vragen bestaan, terwijl 36% zelfs 201 tot 350 vragen telt — en het is duidelijk dat er veel ruimte is voor een gecentraliseerde aanpak om de compliance-druk en frictie met externe partijen te verminderen.

Cruciaal is dat gecentraliseerd TPRM zorgt voor betere coördinatie en een meer holistische risicobeoordeling. "Een gecentraliseerde aanpak van TPRM stelt een organisatie in staat om verbanden te leggen tussen verschillende afdelingen en het geheel te overzien," zegt Rohit Mathur, EY Global Risk Consulting Strategy Leader en EMEIA Risk Consulting Leader. "Zo kan bijvoorbeeld het cybersecurityteam van een organisatie een externe partij monitoren op cyberrisico's. Die externe partij kan over sterke cyberbeveiligingsmaatregelen beschikken en hoog scoren op het gebied van cyberrisico. Maar de partij kan tegelijkertijd geld verliezen, met een grote kans op een faillissement in de komende zes maanden - wat natuurlijk haar vermogen om te investeren in cybercontroles in gevaar zou brengen. Als de organisatie de punten van cyber- en financieel risico niet met elkaar verbindt, zou ze het totaalplaatje missen."

De voordelen van centralisatie zijn zichtbaar in de enquêtegegevens. Tweeënnegentig procent van de organisaties met een gecentraliseerde TPRM-structuur heeft direct geïnvesteerd in het verbeteren en optimaliseren van de mogelijkheden en effectiviteit van het programma. De belangrijkste voordelen die uit deze rijping naar voren komen, zijn een betere gebruikerservaring (56%), een beter begrip van risico's tijdens het besluitvormingsproces (52%), volledigheid en nauwkeurigheid van gegevens (51%) en standaardisatie (51%). 


Gecentraliseerde TPRM-structuren tonen ook meer volwassenheid in meerdere kerngebieden vergeleken met hybride structuren. Gecentraliseerde structuren tonen meer volwassenheid dan hybride modellen op diverse terreinen, waaronder het overzicht van externe partijen (58% tegenover 39%), risicomodellen (51% tegenover 36%), beoordelingsmethodologie (49% tegenover 33%), beleidskaders en standaarden (46% tegenover 31%) en governance en toezicht (43% tegenover 29%).

AI is een waardekatalysator en een kans om TPRM opnieuw uit te vinden

AI heeft de potentie om third-party risk management (TPRM) ingrijpend te veranderen. Het zorgt niet alleen voor meer efficiëntie, maar maakt ook een compleet nieuwe manier mogelijk om risico’s bij externe partijen te herkennen, volgen en beheersen.

De eerste use cases van AI binnen bedrijven richten zich vaak op het automatiseren van handmatige processen en het verbeteren van operationele efficiëntie. Dit omvat het stroomlijnen van repetitieve taken, zoals gegevensverzameling, initiële risicobeoordelingen en onboarding van leveranciers, en het versnellen van risicobeoordelingen. Maar de echte kracht van AI ligt niet zozeer in het automatiseren van bestaande processen, als wel in het creëren van waarde door third-party risk management op een fundamenteel andere manier aan te pakken.

Denk aan hoe AI aanzienlijke efficiëntievoordelen kan opleveren en traditionele werkwijzen kan heruitvinden, en dat over alle fasen van de TPRM-levenscyclus heen.

  • Identificatie van leveranciers: In plaats van handmatig lijsten met leveranciers samen te stellen, gebruikt AI algoritmen om databases te scannen en leveranciers te identificeren op basis van vooraf gedefinieerde criteria, waardoor het proces sneller en uitgebreider wordt.
  • Risicobeoordeling: AI-modellen beoordelen risico's op basis van historische gegevens en voorspellende analyses, en leveren objectieve risicoscores.
  • Due diligence: AI vervangt trage en arbeidsintensieve handmatige documentcontroles door geautomatiseerde verzameling en analyse van leveranciersdocumentatie, zoals financiële gegevens en compliance-rapporten.
  • Contractonderhandelingen: AI analyseert contractvoorwaarden met behulp van natuurlijke taalverwerking (NLP) om risico's te identificeren en verbeteringen voor te stellen op basis van best practices.
  • Onboarding: AI versnelt het onboardingproces met behulp van geautomatiseerde workflows en checklists, en zorgt tegelijkertijd voor naleving van alle vereisten.
  • Monitoring: AI bewaakt continu de prestaties van leveranciers met behulp van realtime data-analyse en geeft direct meldingen bij afwijkingen of compliance-issues.
  • Incidentbeheer: AI maakt gebruik van voorspellende analyses om potentiële incidenten te identificeren voordat ze zich voordoen en voert scenarioanalyses uit om "domino-effect"-risico's te voorzien die verborgen kunnen blijven in meer lineaire en silobenaderingen.
  • Training en bewustwording: AI biedt gepersonaliseerde trainingsmodules op basis van de individuele behoeften en leerstijlen van werknemers.

Ondanks het potentieel is de toepassing van AI in TPRM nog steeds relatief laag. Slechts 13% van de bedrijven heeft technologie en automatisering binnen hun TPRM-programma's geoptimaliseerd (of "niveau 5" volwassenheid bereikt).

"Het gebruik van AI staat nog in de kinderschoenen," zegt Gennarini. "Tot nu toe zetten de meeste TPRM-teams AI nog maar op beperkte schaal in, en maken ze vooral gebruik van technologieën die al langer bestaan, zoals optische tekenherkenning (OCR) voor het doorzoeken van documenten."

De nieuwe generatie AI-modellen, waaronder agentische AI, zal niet langer streven naar incrementele operationele efficiëntie, maar zal TPRM op fundamenteel andere manieren uitvoeren. In plaats van alleen OCR en NLP te gebruiken om contractvoorwaarden te beoordelen, kan een wereld van AI-agents het mogelijk maken dat agents direct samenwerken met agents bij externe partijen om contracten te onderhandelen op basis van marktgegevens, bedrijfsdoelstellingen en governance- of regelgevingseisen. Na menselijke controle kunnen definitieve overeenkomsten worden vastgelegd als smart contracts op de blockchain, wat zorgt voor transparantie en veiligheid, evenals geautomatiseerde monitoring van naleving en uitvoering van mijlpaalbetalingen.

Het goede nieuws is dat TPRM-functies willen investeren in AI en gegevensanalyse. De belangrijkste drijfveer voor toekomstige investeringen in TPRM-programma’s is ‘AI/ML-mogelijkheden voor verbeterde due diligence en contractuitvoering/-monitoring’ (31% van de respondenten), gevolgd door ‘Data-gedreven aanpak voor het monitoren van externe partijen’ (28%) en ‘Automatisering van due diligence voor efficiëntie en versterkt risicobeheer’ (27%).

AI en centralisatie kunnen elkaar versterken

Verschillende factoren belemmeren een bredere toepassing van AI en centralisatie binnen TPRM.

Versnipperde organisatiestructuren en niet op elkaar afgestemde prikkels resulteren in een gefragmenteerde aanpak en hinderen het realiseren van het volledige waardepotentieel van centralisatie." TPRM wordt meestal niet geleid door een leidinggevende op C-niveau, maar een paar niveaus lager op de C-suite. Het is vaak verdeeld over leiders van afzonderlijke business units, die slechts de bevoegdheid, prikkels en het budget hebben om het binnen hun eigen verticale organisatie aan te pakken, in plaats van afstemming te zoeken met andere units en het probleem integraal op enterprise-niveau te benaderen.

Hoewel de factoren die verantwoordelijk zijn voor de lage adoptie van AI per organisatie verschillen, zijn de meest voorkomende uitdagingen kosten, gebrek aan deskundigheid en onvoldoende voorbereiding van data. Bovendien maakt de breedte en complexiteit van TPRM de integratie van AI-oplossingen in bestaande TPRM-processen en -workflows tot een moeilijke onderneming.

De symbiotische relatie tussen centralisatie en AI kan helpen om enkele van deze barrières te overwinnen en de adoptie te versnellen. Een belangrijke pijler van gecentraliseerd TPRM is bijvoorbeeld het harmoniseren en centraliseren van gegevens in alle verticale segmenten van de organisatie - maar dit is ook een belangrijke voorwaarde voor AI, dus het kan helpen om de barrière van gegevensgereedheid te overwinnen en de invoering van AI te versnellen. Op dezelfde manier kan AI centralisatie versterken door TPRM-managers de mogelijkheden te bieden om realtime gegevens in de hele onderneming en het ecosysteem van derden te controleren. 

View of the sunset over the mediterranean sea and the southern coast of Menorca/Minorca in the Balearic Islands (Spain), from the rocky shores, with a sailboat in the foreground.
3

Hoofdstuk 3

Drie acties voor risicomanagers

Leiders kunnen nu concrete stappen zetten om de transformatie te versnellen en hun organisatie voor te bereiden op de komende veranderingen.

Bedrijfsleiders en risicomanagers kunnen deze drie acties ondernemen om de transformatie van TPRM te versnellen en het volledige waardepotentieel van centralisatie en AI-implementatie te bereiken:

1. Focus op de onderneming

TPRM wordt uitgevoerd in verschillende afdelingen van de organisatie, die gestructureerd en beloond zijn om zich te richten op verschillende metrics. Inkoop kan de naleving van contracten en de prestaties van verkopers bijhouden. Cybersecurity kan zich richten op de reactietijd bij incidenten en de kosten van datalekken. Supply chains richten zich vaak op de compliance en veerkracht van hun leveranciers.

Het volledig benutten van de mogelijkheden van AI en centralisatie vereist echter inzicht in je verplichtingen op ondernemingsniveau — zoals regelgeving, bestuursprioriteiten en eisen van investeerders — én hoe deze zich vertalen naar risico’s bij externe partijen en samenhangen met de prestatie-indicatoren van individuele bedrijfseenheden. Als je alleen naar specifieke risico’s kijkt, in plaats van naar hoe het geheel van externe partijen je organisatie als geheel kan beïnvloeden, beperk je je blikveld en loop je het risico suboptimale beslissingen te nemen.

We hebben al eerder geschreven over het concept van een "risk steward" - iemand die belast is met het prioriteren van risicomanagementvereisten binnen uw organisatorische silo's en die een samenhangende, proactieve benadering van risicomanagement aanstuurt. TPRM is een echte dwarsdoorsnijdende functie binnen de organisatie, waarbij elke interne functie een weerspiegeling kent in de impact van externe partijen. Het zou enorm veel baat hebben bij een risicobeheerdersbenadering.

2. Investeren in AI-klaarheid

Uit de antwoorden op de enquête blijkt dat de adoptie van AI in TPRM laag is, maar dat organisaties de ambitie hebben om de adoptie de komende jaren op te schalen. Om die kloof te overbruggen en die ambitie te verwezenlijken, moet er worden geïnvesteerd in de gereedheid voor AI.

Dit omvat een grondige beoordeling van bestaande TPRM-processen, -hulpmiddelen en -gegevensbeheerpraktijken om hiaten en verbeterpunten te identificeren ter voorbereiding op AI-integratie. Dit omvat het investeren in data readiness om de datakwaliteit te verbeteren, het standaardiseren van dataformaten en het implementeren van data governance. Het omvat het voorbereiden van de beroepsbevolking, door vaardigheidskloven te dichten en te investeren in opleiding en bijscholing.

Essentieel is het monitoren van trends, om enerzijds bij te blijven met de nieuwste best practices in TPRM en anderzijds voorbereid te zijn op toekomstige ontwikkelingen op het gebied van AI.

3. Aannames in twijfel trekken en omslagpunten versnellen

"Tien jaar geleden hadden de meeste bedrijven een beleid dat verbood dat hun gegevens ooit in de publieke cloud terechtkwamen, vanwege de angstfactor van de technologie," zegt Kawther Haciane, EY MENA Digital Risk Leader. "Tegenwoordig zijn de rollen omgedraaid. Overal zijn bedrijven 'cloud first' - alles is naar de cloud gemigreerd, en uitzonderingen moeten rechtvaardigen waarom ze niet in de cloud zouden moeten zijn. Wat is er gebeurd? We bereikten een kantelpunt: de aannames en economische factoren sloegen om, en dat leidde tot grootschalige adoptie.

De technologie staat bol van voorbeelden van dergelijke omslagpunten - terwijl de nieuwe risico-omgeving het tempo van niet-lineaire verandering versnelt, waardoor omslagpunten steeds waarschijnlijker worden. Bedenk hoe de lancering van ChatGPT de aannames over de mogelijkheden van GenAI en de tijdspanne waarin die bereikt zouden kunnen worden, op zijn kop zette. Of kijk eens naar iets dat dichter bij huis ligt voor TPRM-functies: hoe de COVID-pandemie sommige onderdelen van TPRM bijna van de ene op de andere dag veranderde, omdat de verschuiving naar werken op afstand de mogelijkheid om ter plekke audits uit te voeren wegnam, waardoor organisaties gedwongen werden om technologie op schaal te omarmen.

Mogelijk naderen we nu een soortgelijk omslagpunt voor de toepassing van AI in TPRM. Naarmate het aantal en de complexiteit van externe relaties in de afgelopen jaren is toegenomen, zijn ook de frictie, moeite en kosten van het handmatig uitvoeren van risico-assessments meegegroeid. Maar dit verandert ook de economische aspecten van de invoering van AI. Zodra je beoordelingen op grotere schaal uitvoert - duizenden in plaats van honderden - heb je een grotere financiële stimulans om in AI te investeren, en ook een grotere schaal waarmee je die investeringen kunt terugverdienen.

Er kan een nog groter omslagpunt komen in de vooruitgang van de technologie. De nieuwe generatie AI-modellen - waaronder agentische AI, multimodale AI, redenerende AI en zelfverbeterende AI - brengt baanbrekende mogelijkheden met zich mee, en het combineren ervan zou een gamechanger kunnen zijn voor TPRM. Dit kan de kosten-batenberekeningen op de proef stellen en het waardevoorstel van AI onweerstaanbaar maken.

De hierboven besproken kantelpunten hadden één ding gemeen: ze kwamen voor de meeste bedrijven onverwacht, waardoor ze zich halsoverkop moesten herpakken en vaak met een haastige reactie moesten komen. Er is echter ook een alternatieve route mogelijk. Door vooruit te kijken en kantelpunten te anticiperen, kan een organisatie zich er effectief op voorbereiden. Beter nog: je kunt de verandering versnellen door de hierboven genoemde stappen te zetten — investeren in de toekomst, verkeerde prikkels corrigeren en de organisatiestructuur opnieuw op één lijn brengen.

TPRM bestaat om ervoor te zorgen dat de rest van de organisatie niet wordt verrast door externe verstoringen. Nu is het meer dan ooit nodig om die focus op zichzelf te leggen.

Samenvatting

De 2025 EY Third-Party Risk Management Survey onderzoekt hoe risicomanagers AI en centralisatie gebruiken om hun TPRM-functies te transformeren voor een snel veranderend risicolandschap. Ze maken hun TPRM-functies ook efficiënter en effectiever om aan de hogere bedrijfsverwachtingen te voldoen. 

Gerelateerde artikelen

Top 10 geopolitieke ontwikkelingen voor 2025

Geopolitieke risico's blijven hoog door economische macht en wereldwijde rivaliteit. Lees meer over hoe je met onzekerheid omgaat om je bedrijf te laten groeien.

12 dec 2024 Courtney Rickert McCaffrey + 1

    Over dit artikel

    Auteurs

    Gerelateerde topics
    Consulting
    Risk
    Cybersecurity

    EY verwijst naar de wereldwijde organisatie en kan verwijzen naar een of meer van de lidfirma's van Ernst & Young Global Limited, die elk een afzonderlijke juridische entiteit zijn. Ernst & Young Global Limited, een Britse vennootschap met beperkte aansprakelijkheid, verleent geen diensten aan cliënten.
    You are visiting EY nl (nl)
    nl nl