دراسة حالة - التدقيق الداخلي وحوكمة الأمن - قطاع التأمين
التحدي: رؤية المخاطر بدون مصدر واحد للحقيقة
بالنسبة لفريق التدقيق الداخلي واستراتيجية الأمن والحوكمة الأمنية في مجموعة تأمين أمريكية متوسطة الحجم، أصبح إعداد تقارير المخاطر عنق الزجاجة بدلاً من عامل تمكين الأعمال. حيث كانت كل دورة تدقيق تتطلب من المحللين دمج بيانات المخاطر يدويًا من جداول بيانات متعددة ومحركات الأقراص المشتركة والأنظمة القديمة - وهي عملية كانت تستهلك ما يصل إلى يومي عمل كاملين لكل فترة إعداد التقارير. كانت المخرجات الناتجة ثابتة ويصعب تحديثها، وكان من المستحيل تقريبًا تقديمها بطريقة تسمح لكبار أصحاب المصلحة بتحديد الأماكن التي تتركز فيها المخاطر الأكثر أهمية بسرعة. في صناعة حيث تتزايد حدة التدقيق التنظيمي والتعرض للمخاطر الإلكترونية، أصبحت هذه الفجوة بين توافر البيانات والرؤى القابلة للتنفيذ غير مقبولة.
وتمثلت مشكلة الفريق في عدم وجود مصفوفة مخاطر مرئية ديناميكية ديناميكية يمكنها تحديد التهديدات حسب الاحتمالية والتأثير في الوقت الحقيقي، وتحديثها تلقائيًا عند ورود بيانات جديدة. كانت الأدوات الحالية تتطلب إعادة الإدخال اليدوي بعد كل تغيير في البيانات، مما يؤدي إلى مشاكل في التحكم في الإصدار وعدم اتساق درجات المخاطر في مختلف الأقسام. مع جدولة العروض التقديمية للجنة التدقيق كل ثلاثة أشهر وتزايد حجم المخاطر التشغيلية ومخاطر الامتثال والمخاطر الإلكترونية التي يجب تتبعها، احتاج فريق الحوكمة إلى حل يمكن أن يتناسب مع متطلبات إعداد التقارير دون إضافة عدد الموظفين.
الحل: مصفوفة مخاطر Power BI من LeapLytics
بعد تقييم العديد من الخيارات، قام الفريق بتنفيذ مصفوفة مخاطر LeapLytics ل Power BI - مرئي مخصص مصمم خصيصًا لتصور المخاطر المؤسسية داخل منظومة Power BI من Microsoft. وكان الدافع وراء هذا القرار ثلاثة معايير رئيسية: التكامل الأصلي مع بيئة Power BI الحالية، والقدرة على تكوين فئات المخاطر وعتبات التقييم دون الحاجة إلى تطوير مخصص، ومخرجات مرئية واضحة بما يكفي لاستخدامها مباشرةً في العروض التقديمية على مستوى مجلس الإدارة.
تم التنفيذ بقيادة مشتركة من قبل فريق التدقيق الداخلي ومركز كفاءة ذكاء الأعمال في المؤسسة. في غضون الأسبوعين الأولين، قام الفريق بربط مصفوفة المخاطر المرئية ببيانات سجل المخاطر الحالية - المحفوظة في مجموعة من قوائم SharePoint وقاعدة بيانات SQL الداخلية - عبر موصلات البيانات القياسية الخاصة ب Power BI. لم تكن هناك حاجة لترحيل البيانات. تم منح مالكي المخاطر عبر وحدات الأعمال حق الوصول للقراءة إلى لوحة المعلومات المباشرة، بينما احتفظ فريق الحوكمة بالتحكم في منطق التسجيل وتعريفات الفئات. لم يتطلب التنفيذ الاستعانة باستشاريين خارجيين وتم الانتهاء منه دون تعطيل أعمال التدقيق الجارية.
نتائج قابلة للقياس: من جداول البيانات الثابتة إلى استخبارات المخاطر المباشرة
في غضون 90 يومًا من النشر الكامل، وثق فريق الحوكمة النتائج التالية:
- 65% تخفيض زمن دورة الإبلاغ عن المخاطر 65% - ما كان يستغرق يومين في السابق يستغرق الآن أقل من أربع ساعات لكل فترة إبلاغ
- إنشاء مصدر واحد للحقيقة عبر المراجعة الداخلية والأمن والاستراتيجية والحوكمة - القضاء على تضارب الإصدارات بين الإدارات
- 100% من عروض لجنة مراجعة الحسابات الفصلية يتم تسليمها الآن مباشرةً من لوحة معلومات Power BI المباشرة - لا حاجة لإعداد الشرائح يدويًا
- زيادة تغطية المخاطر بمقدار 30% - مع الوقت الذي تم توفيره، تمكن الفريق من زيادة عدد العناصر الخطرة التي تم تتبعها من 48 إلى 63 عنصرًا دون الحاجة إلى عدد إضافي من الموظفين
- تصعيد أسرع للمخاطر ذات التأثير الكبير - أصبحت المخاطر الحرجة الآن مرئية لكبار أصحاب المصلحة في غضون 24 ساعة من تحديدها، مقابل 5-7 أيام عمل في ظل العملية السابقة
- تحسين المواءمة بين الإدارات - منهجية متسقة لتسجيل المخاطر تم اعتمادها عبر ثلاث وظائف كانت منفصلة في السابق
ما قاله الفريق
"كنا نتحدث عن تحسين تصورنا للمخاطر منذ سنوات، ولكن الجهد المبذول كان يبدو دائمًا غير متناسب مع الأدوات المتاحة. لقد غيرت مصفوفة LeapLytics Risk Matrix ذلك - فقد تم توصيلها مباشرةً بما كان لدينا بالفعل في Power BI وأعطتنا نوعًا من عرض الخريطة الحرارية الذي كنا نبنيه يدويًا في PowerPoint. وتقضي لجنة التدقيق الآن وقتًا أقل في السؤال "من أين تأتي هذه البيانات" ووقتًا أطول في مناقشة المخاطر فعليًا."
- مدير إدارة التدقيق الداخلي والحوكمة الأمنية، مجموعة التأمين الأمريكية (مجهول الهوية)
ما الذي يمكن أن تتعلمه المنظمات الأخرى من هذه الحالة
هذه الحالة ليست فريدة من نوعها في قطاع التأمين. من المحتمل أن تواجه أي مؤسسة تدير وظائف التدقيق الداخلي أو الحوكمة والحوكمة والرقابة والحوكمة أو حوكمة الأمن في بيئة Power BI نوعًا مختلفًا من نفس التحدي: بيانات المخاطر موجودة، لكن البنية التحتية لتصورها وتوصيلها في الوقت الفعلي غير موجودة. وفقًا ل مجالات المخاطر الرئيسية للتدقيق الداخلي في شركة KPMG 2024، يجب أن تظل وظائف التدقيق الداخلي مرنة وأن تقدم تقارير عن المخاطر الناشئة بسرعة - وهو معيار لا يمكن أن تفي به التقارير الثابتة القائمة على جداول البيانات بشكل أساسي.
تبرز من عملية النشر هذه ثلاث نتائج يمكن تطبيقها على نطاق واسع:
- ابدأ بالبنية التحتية الحالية لبياناتك. لا تتطلب أنجح عمليات التنفيذ ترحيل البيانات. إذا كان سجل المخاطر الخاص بك موجودًا بالفعل في SharePoint أو Excel أو قاعدة بيانات يمكن ل Power BI الاتصال بها، يمكنك تشغيل مصفوفة مخاطر مباشرة في غضون أيام - وليس أشهر.
- الوضوح البصري يقود إلى مشاركة أصحاب المصلحة. تصميم جيد التصميم مصفوفة مخاطر Power BI يقوم بأكثر من مجرد تنظيم البيانات، فهو يغيّر طريقة تفاعل القيادة مع معلومات المخاطر. عندما يتم رسم المخاطر حسب احتمالية وقوعها وتأثيرها على خريطة حرارية حية، تتحول المحادثات من إعداد التقارير إلى اتخاذ القرارات.
- لا تحتاج فرق الحوكمة إلى الاعتماد على تكنولوجيا المعلومات. تتمثل إحدى المزايا التي لا تحظى بالتقدير الكافي لمرئيات Power BI المخصصة في أن مالكي المخاطر يمكنهم إدارة الدرجات والفئات والعتبات بأنفسهم - دون رفع تذكرة تطوير. هذه الاستقلالية أمر بالغ الأهمية للفرق التي تحتاج إلى التحرك بسرعة استجابةً للتهديدات الناشئة.
بالنسبة للمؤسسات العاملة في القطاعات الخاضعة للتنظيم - التأمين والخدمات المالية والرعاية الصحية - فإن القدرة على إظهار عملية تصوّر للمخاطر منظمة وقابلة للتدقيق ومطبقة بشكل متسق أصبحت على نحو متزايد من متطلبات الامتثال وليس فقط من أفضل الممارسات. أدوات مثل مصفوفة مخاطر LeapLytics ل Power BI جعل هذا المعيار قابلاً للتحقيق دون تكاليف تنفيذ على مستوى المؤسسة.
الصناعة: التأمين (الولايات المتحدة) | الوظيفة: التدقيق الداخلي والأمن والاستراتيجية والحوكمة | التدقيق الداخلي والأمن والاستراتيجية والحوكمة | الأداة: مصفوفة مخاطر LeapLytics لـ Power BI | الجدول الزمني: 60 يوماً على النشر الكامل
