AI-Powered Third Party Risk Management

Aangezien hackers steeds vaker binnenkomen via partners en leveranciers (derde partijen), wordt Third Party Risk Management (TPRM) alleen maar belangrijker. Organisaties zijn in toenemende mate afhankelijk van hoe goed de partijen waarmee ze samenwerken hun cyberveiligheid op orde hebben. Toezichthouders spelen hierop in door expliciet eisen te stellen aan TPRM, bijvoorbeeld in de DORA- en NIS2-regelgevingen. Dat betekent een hogere compliance-druk: organisaties merken een toenemende werklast door de noodzaak om TPRM goed in te regelen. Zeker omdat dit dat veel handmatig en foutgevoelig werk oplevert. Denk aan het controleren van (verouderde) contracten, het reviewen van assessments, het opvragen van assurance-rapporten en het valideren van samenwerkingspartners.

In de praktijk werkt de manier waarop kennis gedeeld wordt overal anders, vaak met lange vragenlijsten en verplichte documentatie die over en weer gestuurd wordt tussen partijen. Al die eisen, documenten en antwoorden moeten stuk voor stuk handmatig gecontroleerd worden voordat je kunt beoordelen of een organisatie aan de gestelde normen voldoet. Tegelijkertijd groeit de druk vanuit toezichthouders, wat leidt tot nóg meer vragenlijsten, verplicht papierwerk en extra controlelagen. Dat alles moet worden afgehandeld met beperkte capaciteit in mensen, tijd en budget. Dat is vragen om fouten. Belangrijk daarbij: afnemers moeten sneller aantoonbare assurance leveren; leveranciers moeten sneller en consistenter antwoorden om deals en renewals niet te vertragen.

Bij KPMG helpen we organisaties hun TPRM-functie efficiënter en robuuster te maken met AI – zonder de mens uit het proces te halen.

• Contractmanagement: AI-taalmodellen leggen clausules naast actuele eisen en good practices, markeren hiaten (bijv. incidentmeldingstermijnen, patch-SLA’s) en doen concrete tekstvoorstellen voor aanpassingen. Juristen houden de regie, maar starten met een becommentarieerd concept in plaats van een leeg document.
• Compliance-ondersteuning: Ingestuurde documenten zoals SOC/ISAE-rapporten en pentest-rapportages worden automatisch samengevat tot relevante controles en rest-risico’s. Afnemers kunnen sneller prioriteren; leveranciers zien vooraf waar hun dossier nog gaten vertoont. Doorlooptijden dalen van weken naar dagen of uren.
• Ontdekking en actueel register (3rd én 4th parties):  Met externe signalen (o.a. RiskRecon) worden domeinen, certificaten en assets automatisch gekoppeld aan leveranciers en sub-verwerkers. Zo ontstaat een levend leveranciersregister dat veranderingen signaleert (nieuwe subprocessor, verlopen certificaat). Door trends te combineren ontstaat bovendien een voorspellend beeld van hotspots die extra aandacht vragen.

TPRM met AI vraagt om duidelijke rollen, processen en borging. KPMG ondersteunt bij het inrichten van governance, het trainen van teams en het integreren van uitkomsten in bestaande GRC- en contractmanagementsystemen. Waar passend werken we samen met partners zoals RiskRecon.

Ons uitgangspunt is helder: AI verlicht de administratieve last en verhoogt de kwaliteit en aantoonbaarheid, maar vervangt het werk niet. Mensen nemen de beslissingen; AI zorgt dat ze sneller en beter onderbouwd kunnen werken.