Üçüncü taraf risk ve dayanıklılık teknolojisi sağlayıcısı Aravo, Intelligence First Platform'a gömülü bir yapay zeka yeteneği olan Aravo AI'ı tanıttı. Şirketin açıklamasına göre Aravo AI, üçüncü taraf risk değerlendirmesi ve yönetimi süreçlerine doğrudan entegre edilmiş yapay zeka ajanları aracılığıyla manuel süreçlerin otomasyonunu, gerçek zamanlı veriye erişimi ve şeffaflık ile denetlenebilirliği mümkün kıldı. Third-party risk management (TPRM); vendor management, supplier qualification, tier-N visibility ve ESG due diligence gibi süreçleri kapsayan geniş bir alandır. NIST 800-161, ISO 27036 ve EU CSDDD (Corporate Sustainability Due Diligence Directive) çerçeveleri bu süreçlerin düzenleyici altyapısını oluşturuyor.
Şirket, 21 Nisan tarihli açıklamasında "TPRM, yapay zeka için en net kullanım örneklerinden biri. İş veri yoğun, zaman kritik ve iş sonuçlarıyla doğrudan bağlantılı" ifadesine yer verdi. Aravo'ya göre ekipler, nokta-zamanlı incelemeler ve manuel koordinasyona dayanmak yerine Aravo AI'ı; yeni riskler ve gereksinimler ortaya çıktıkça uyum sağlayan sürekli süreçleri yürütmek için kullanabilecek. Temel fikir, değerlendirmeleri daha tutarlı hale getirmek ve kararların arkasındaki verinin kalitesini iyileştirmek oldu. Continuous monitoring kavramı, annual review ya da quarterly assessment tabanlı klasik vendor risk programlarının yerini alıyor. Bitsight, SecurityScorecard, RapidRatings ve Black Kite gibi vendor risk feed sağlayıcılarının verileri, Aravo AI türü platformlarda gerçek zamanlı olarak işleniyor.
Ekipler ayrıca yapay zeka çıktılarını her aşamada gözden geçirebilir, sorgulayabilir ve geçersiz kılabilir. Bu denetim, her tavsiyenin arkasındaki veri ve kaynaklara yönelik açık görünürlükle desteklendi. Böylece manuel iş yükü azaldı ve ekipler bunun yerine yargı ile karar verme süreçlerine odaklandı. Human-in-the-loop mimarisi, NIST AI RMF ve EU AI Act uyumluluğu açısından kritik önem taşıyor. Audit trail, model card ve data lineage, bağımsız SOC 2 Type II denetimleri için zorunlu unsurlar arasında yer alıyor. Vendor onboarding sürecinde SIG (Standardized Information Gathering) ve CAIQ (Consensus Assessments Initiative Questionnaire) gibi standart anketlerin yapay zeka ile otomatik analizi, tedarikçi başına onay süresini günlerden saatlere indirebiliyor.
Aravo'nun bu hamlesi, GRC (Governance, Risk and Compliance) yazılım pazarındaki agentic AI dalgasının tipik bir örneğini oluşturuyor. OneTrust, ServiceNow GRC, Archer, MetricStream ve Diligent gibi rakipler de benzer yetenekleri kendi platformlarına entegre etti. Banking, insurance, pharma ve defense gibi yüksek düzenlemeli sektörler; vendor concentration risk, fourth-party risk ve concentration of subprocessors gibi karmaşık konuları yapay zeka tabanlı sürekli izleme yoluyla daha etkin yönetebiliyor. SolarWinds ve MOVEit türü tedarik zinciri saldırılarının ardından SBOM (Software Bill of Materials) ve VEX (Vulnerability Exploitability eXchange) gibi yeni standartlar TPRM kapsamına eklendi. Aravo AI'ın tanıtımı, risk yönetiminde yapay zekanın deneysel evreden operasyonel evreye geçişinin yeni bir göstergesi oldu.
Önemli Notlar:
1. Aravo AI, Intelligence First Platform'a entegre yapay zeka ajanları sunuyor.
2. Yapay zeka, manuel süreç otomasyonu, gerçek zamanlı veri erişimi ve denetlenebilirlik sağlıyor.
3. TPRM, veri yoğun ve zaman kritik yapısı nedeniyle AI kullanım örneği olarak öne çıkıyor.
4. Sürekli süreçler, nokta-zamanlı incelemelerin yerini aldı.
5. Ekipler, yapay zeka çıktılarını her aşamada inceleyebiliyor ve geçersiz kılabiliyor.
