Μελέτη περίπτωσης - Εσωτερικός έλεγχος και διακυβέρνηση ασφάλειας - Ασφαλιστική βιομηχανία
Η πρόκληση: Ορατότητα κινδύνου χωρίς ενιαία πηγή αλήθειας
Για την ομάδα Εσωτερικού Ελέγχου και Στρατηγικής και Διακυβέρνησης Ασφάλειας σε έναν μεσαίου μεγέθους ασφαλιστικό όμιλο των ΗΠΑ, η υποβολή εκθέσεων κινδύνου είχε γίνει ένα εμπόδιο και όχι ένας επιχειρηματικός παράγοντας. Κάθε κύκλος ελέγχου απαιτούσε από τους αναλυτές να ενοποιούν χειροκίνητα τα δεδομένα κινδύνου από πολλαπλά λογιστικά φύλλα, κοινόχρηστες μονάδες δίσκου και παλαιά συστήματα - μια διαδικασία που κατανάλωνε έως και δύο πλήρεις εργάσιμες ημέρες ανά περίοδο αναφοράς. Τα αποτελέσματα που προέκυπταν ήταν στατικά, δύσκολα επικαιροποιήσιμα και σχεδόν αδύνατο να παρουσιαστούν με τρόπο που να επιτρέπει στα ανώτερα ενδιαφερόμενα μέρη να εντοπίζουν γρήγορα πού συγκεντρώνονται οι πιο κρίσιμοι κίνδυνοι. Σε έναν κλάδο όπου ο ρυθμιστικός έλεγχος και η έκθεση σε κινδύνους στον κυβερνοχώρο εντείνονται, αυτό το χάσμα μεταξύ της διαθεσιμότητας δεδομένων και της αξιοποιήσιμης διορατικότητας είχε αρχίσει να γίνεται αφόρητο.
Το πρόβλημα της ομάδας ήταν η απουσία ενός δυναμικού, οπτικού πίνακα κινδύνων που θα μπορούσε να χαρτογραφεί τις απειλές με βάση την πιθανότητα και τον αντίκτυπο σε πραγματικό χρόνο - και να ενημερώνεται αυτόματα καθώς εισέρχονται νέα δεδομένα. Τα υπάρχοντα εργαλεία απαιτούσαν χειροκίνητη επανεισαγωγή μετά από κάθε αλλαγή δεδομένων, γεγονός που οδηγούσε σε προβλήματα ελέγχου εκδόσεων και σε ασυνεχείς βαθμολογίες κινδύνου μεταξύ των τμημάτων. Με προγραμματισμένες τριμηνιαίες παρουσιάσεις στην επιτροπή ελέγχου και με αυξανόμενο όγκο επιχειρησιακών κινδύνων, κινδύνων συμμόρφωσης και κινδύνων στον κυβερνοχώρο προς παρακολούθηση, η ομάδα διακυβέρνησης χρειαζόταν μια λύση που θα μπορούσε να κλιμακωθεί με τις απαιτήσεις της για υποβολή εκθέσεων χωρίς να προσθέσει προσωπικό.
Η λύση: LeapLytics: Power BI Risk Matrix
Αφού αξιολόγησε διάφορες επιλογές, η ομάδα εφάρμοσε το LeapLytics Risk Matrix για το Power BI - ένα προσαρμοσμένο οπτικό υλικό που έχει σχεδιαστεί ειδικά για την οπτικοποίηση επιχειρηματικών κινδύνων στο οικοσύστημα Power BI της Microsoft. Η απόφαση καθορίστηκε από τρία βασικά κριτήρια: εγγενής ενσωμάτωση με το υπάρχον περιβάλλον Power BI, δυνατότητα διαμόρφωσης κατηγοριών κινδύνου και ορίων βαθμολόγησης χωρίς προσαρμοσμένη ανάπτυξη και αρκετά σαφής οπτική έξοδος ώστε να μπορεί να χρησιμοποιηθεί απευθείας σε παρουσιάσεις σε επίπεδο διοικητικού συμβουλίου.
Η υλοποίηση καθοδηγήθηκε από κοινού από την ομάδα εσωτερικού ελέγχου και το κέντρο ικανοτήτων BI του οργανισμού. Εντός των πρώτων δύο εβδομάδων, η ομάδα συνέδεσε την οπτική απεικόνιση του Risk Matrix με τα υπάρχοντα δεδομένα του μητρώου κινδύνων - που τηρούνταν σε έναν συνδυασμό λιστών SharePoint και μιας εσωτερικής βάσης δεδομένων SQL - μέσω των τυποποιημένων συνδέσμων δεδομένων του Power BI. Δεν απαιτήθηκε καμία μεταφορά δεδομένων. Οι ιδιοκτήτες κινδύνων σε όλες τις επιχειρησιακές μονάδες είχαν πρόσβαση ανάγνωσης στον ζωντανό πίνακα ελέγχου, ενώ η ομάδα διακυβέρνησης διατήρησε τον έλεγχο της λογικής βαθμολόγησης και των ορισμών των κατηγοριών. Η ανάπτυξη δεν απαιτούσε εξωτερικούς συμβούλους και ολοκληρώθηκε χωρίς να διαταραχθούν οι τρέχουσες εργασίες ελέγχου.
Μετρήσιμα αποτελέσματα: από στατικά λογιστικά φύλλα σε ζωντανή νοημοσύνη κινδύνου
Εντός 90 ημερών από την πλήρη ανάπτυξη, η ομάδα διακυβέρνησης κατέγραψε τα ακόλουθα αποτελέσματα:
- 65% μείωση του χρόνου κύκλου αναφοράς κινδύνων - αυτό που προηγουμένως διαρκούσε δύο ημέρες τώρα διαρκεί λιγότερο από τέσσερις ώρες ανά περίοδο αναφοράς
- Δημιουργία ενιαίας πηγής αλήθειας στον Εσωτερικό Έλεγχο, την Ασφάλεια και τη Στρατηγική και Διακυβέρνηση - εξαλείφοντας τις συγκρούσεις εκδόσεων μεταξύ των τμημάτων
- 100% των τριμηνιαίων παρουσιάσεων της επιτροπής ελέγχου τώρα παρέχονται απευθείας από το ζωντανό ταμπλό του Power BI - δεν απαιτείται χειροκίνητη προετοιμασία διαφανειών
- Η κάλυψη κινδύνου αυξήθηκε κατά 30% - με τον εξοικονομημένο χρόνο, η ομάδα μπόρεσε να επεκτείνει τον αριθμό των παρακολουθούμενων στοιχείων κινδύνου από 48 σε 63 χωρίς πρόσθετο προσωπικό
- Ταχύτερη κλιμάκωση των κινδύνων υψηλού αντίκτυπου - οι κρίσιμοι κίνδυνοι είναι πλέον ορατοί στα ανώτερα ενδιαφερόμενα μέρη εντός 24 ωρών από τον εντοπισμό τους, έναντι 5-7 εργάσιμων ημερών με την προηγούμενη διαδικασία
- Βελτιωμένη διατμηματική ευθυγράμμιση - συνεπής μεθοδολογία βαθμολόγησης κινδύνων που υιοθετήθηκε σε τρεις προηγουμένως απομονωμένες λειτουργίες
Τι είπε η ομάδα
"Μιλούσαμε για χρόνια για τη βελτίωση της απεικόνισης των κινδύνων, αλλά η προσπάθεια φαινόταν πάντα δυσανάλογη με τα διαθέσιμα εργαλεία. Το LeapLytics Risk Matrix το άλλαξε αυτό - συνδέθηκε απευθείας με ό,τι είχαμε ήδη στο Power BI και μας έδωσε το είδος της προβολής του χάρτη θερμότητας που φτιάχναμε χειροκίνητα στο PowerPoint. Η επιτροπή ελέγχου ξοδεύει τώρα λιγότερο χρόνο ρωτώντας "από πού προέρχονται αυτά τα δεδομένα" και περισσότερο χρόνο συζητώντας πραγματικά τους κινδύνους".
- Διευθυντής Εσωτερικού Ελέγχου και Διακυβέρνησης Ασφάλειας, U.S. Insurance Group (ανώνυμα)
Τι μπορούν να μάθουν άλλοι οργανισμοί από αυτή την υπόθεση
Η υπόθεση αυτή δεν είναι μοναδική στον ασφαλιστικό κλάδο. Οποιοσδήποτε οργανισμός που εκτελεί λειτουργίες εσωτερικού ελέγχου, GRC ή διακυβέρνησης ασφάλειας σε ένα περιβάλλον Power BI είναι πιθανό να αντιμετωπίζει μια παραλλαγή της ίδιας πρόκλησης: δεδομένα κινδύνου υπάρχουν, αλλά δεν υπάρχει η υποδομή για την οπτικοποίηση και την επικοινωνία τους σε πραγματικό χρόνο.. Σύμφωνα με Βασικοί τομείς κινδύνου της KPMG για τον εσωτερικό έλεγχο 2024, οι λειτουργίες εσωτερικού ελέγχου πρέπει να παραμένουν ευέλικτες και να υποβάλλουν γρήγορα εκθέσεις σχετικά με τους αναδυόμενους κινδύνους - ένα πρότυπο που η στατική υποβολή εκθέσεων βάσει λογιστικών φύλλων δεν μπορεί να ανταποκριθεί.
Από την ανάπτυξη αυτή ξεχωρίζουν τρία συμπεράσματα που ισχύουν ευρέως:
- Ξεκινήστε με την υπάρχουσα υποδομή δεδομένων σας. Οι πιο επιτυχημένες υλοποιήσεις δεν απαιτούν μετάπτωση δεδομένων. Εάν το μητρώο κινδύνων σας βρίσκεται ήδη στο SharePoint, το Excel ή σε μια βάση δεδομένων στην οποία μπορεί να συνδεθεί το Power BI, μπορείτε να έχετε έναν ζωντανό πίνακα κινδύνων σε λειτουργία μέσα σε λίγες ημέρες - και όχι σε μήνες.
- Η οπτική σαφήνεια ενισχύει τη δέσμευση των ενδιαφερομένων μερών. Ένα καλά σχεδιασμένο Πίνακας κινδύνου Power BI κάνει περισσότερα από την οργάνωση των δεδομένων - αλλάζει τον τρόπο με τον οποίο η ηγεσία αλληλεπιδρά με τις πληροφορίες κινδύνου. Όταν οι κίνδυνοι απεικονίζονται με βάση την πιθανότητα και τον αντίκτυπο σε έναν ζωντανό χάρτη θερμότητας, οι συζητήσεις μετατοπίζονται από την αναφορά σε λήψη αποφάσεων.
- Οι ομάδες διακυβέρνησης δεν χρειάζεται να εξαρτώνται από την ΤΠ. Ένα από τα υποτιμημένα πλεονεκτήματα ενός προσαρμοσμένου οπτικού Power BI είναι ότι οι ιδιοκτήτες κινδύνων μπορούν να διαχειρίζονται οι ίδιοι τη βαθμολόγηση, τις κατηγορίες και τα όρια - χωρίς να εγείρουν ένα εισιτήριο ανάπτυξης. Αυτή η ανεξαρτησία είναι ζωτικής σημασίας για τις ομάδες που πρέπει να κινούνται γρήγορα για να ανταποκριθούν στις αναδυόμενες απειλές.
Για τους οργανισμούς που δραστηριοποιούνται ειδικά σε ρυθμιζόμενους κλάδους - ασφάλειες, χρηματοπιστωτικές υπηρεσίες, υγειονομική περίθαλψη - η ικανότητα να αποδεικνύουν μια δομημένη, ελέγξιμη και με συνέπεια εφαρμοζόμενη διαδικασία απεικόνισης κινδύνων αποτελεί όλο και περισσότερο απαίτηση συμμόρφωσης και όχι απλώς μια βέλτιστη πρακτική. Εργαλεία όπως το LeapLytics Risk Matrix για το Power BI να καταστήσει το πρότυπο αυτό εφικτό χωρίς κόστος υλοποίησης σε επίπεδο επιχείρησης.
Βιομηχανία: Ασφάλειες (ΗΠΑ) | Λειτουργία: Εσωτερικός έλεγχος, ασφάλεια, στρατηγική και διακυβέρνηση | Εργαλείο: LeapLytics Risk Matrix για το Power BI | Χρονοδιάγραμμα: 60 ημέρες έως την πλήρη ανάπτυξη
