Tapaustutkimus - Sisäinen tarkastus ja turvallisuusjohtaminen - Vakuutusala
Haaste: Riskien näkyvyys ilman yhtä totuuden lähdettä
Keskikokoisen yhdysvaltalaisen vakuutusyhtiön sisäisen tarkastuksen ja tietoturvastrategian ja -hallinnon tiimille riskiraportoinnista oli tullut pullonkaula liiketoiminnan mahdollistamisen sijaan. Jokaisen tarkastussyklin aikana analyytikot joutuivat manuaalisesti yhdistelemään riskitietoja useista laskentataulukoista, jaetuista asemista ja vanhoista järjestelmistä - prosessi, joka vei jopa kaksi kokonaista työpäivää raportointijaksoa kohden. Tuloksena syntyneet tuotokset olivat staattisia, niitä oli vaikea päivittää ja niitä oli lähes mahdotonta esittää tavalla, jonka avulla ylemmät sidosryhmät voisivat nopeasti tunnistaa, mihin kriittisimmät riskit keskittyivät. Toimialalla, jossa sääntelyn valvonta ja tietoverkkoriskeille altistuminen voimistuvat., tämä kuilu tietojen saatavuuden ja käyttökelpoisten tietojen välillä oli käymässä kestämättömäksi.
Tiimin erityinen ongelmakohta oli dynaamisen, visuaalisen riskimatriisin puuttuminen, jolla voitaisiin kartoittaa uhkia todennäköisyyden ja vaikutusten mukaan reaaliajassa - ja päivittää automaattisesti uusien tietojen saapuessa. Nykyiset työkalut edellyttivät manuaalista uudelleensyöttöä jokaisen tietomuutoksen jälkeen, mikä johti versionhallintaongelmiin ja epäyhtenäisiin riskipisteytyksiin eri osastoilla. Tarkastuskomitean esitykset on tarkoitus pitää neljännesvuosittain, ja seurattavien operatiivisten, vaatimustenmukaisuuteen liittyvien ja tietoverkkoriskien määrä on kasvanut, joten hallintoryhmä tarvitsi ratkaisun, joka pystyi skaalautumaan raportointivaatimusten mukaan ilman, että henkilöstömäärä kasvoi.
Ratkaisu: LeapLyticsin Power BI Risk Matrix -ratkaisu.
Arvioituaan useita vaihtoehtoja tiimi toteutti seuraavat toimet LeapLytics riskimatriisi Power BI:lle - räätälöity visualisointi, joka on suunniteltu erityisesti yritysten riskien visualisointiin Microsoftin Power BI -ekosysteemissä. Päätöstä ohjasivat kolme keskeistä kriteeriä: natiivi integrointi olemassa olevaan Power BI -ympäristöön, kyky määrittää riskiluokat ja pisteytyskynnykset ilman mukautettua kehitystyötä sekä riittävän selkeä visuaalinen tuloste, jota voidaan käyttää suoraan hallituksen esityksissä.
Sisäisen tarkastuksen tiimi ja organisaation BI-osaamiskeskus johtivat toteutusta yhdessä. Kahden ensimmäisen viikon aikana tiimi yhdisti riskimatriisin visuaalisen näkymän olemassa oleviin riskirekisteritietoihin - joita säilytettiin SharePoint-listojen ja sisäisen SQL-tietokannan yhdistelmänä - Power BI:n vakiomuotoisten tietoliittimien avulla. Tietojen siirtoa ei tarvittu. Eri liiketoimintayksiköiden riskinomistajille annettiin lukuoikeudet live-kojelautaan, kun taas hallintoryhmä säilytti pisteytyslogiikan ja luokkamäärittelyjen hallinnan. Käyttöönotto ei vaatinut ulkopuolisia konsultteja, ja se saatiin päätökseen keskeyttämättä käynnissä olevaa tarkastustyötä.
Mitattavat tulokset: Staattisista laskentataulukoista elävään riskienhallintaan.
Hallintoryhmä dokumentoi seuraavat tulokset 90 päivän kuluessa täydestä käyttöönotosta:
- 65% riskiraportoinnin läpimenoajan lyhentäminen - Aikaisemmin kaksi päivää kestänyt prosessi vie nyt alle neljä tuntia raportointijaksoa kohti.
- Yksi ainoa totuuslähde on perustettu sisäisen tarkastuksen, turvallisuuden sekä strategia- ja hallintotehtävien osalta - poistaa versioristiriidat eri osastojen välillä.
- 100% neljännesvuosittain pidettävistä tarkastuskomitean esityksistä nyt suoraan Power BI:n kojelaudalta - manuaalista diojen valmistelua ei tarvita.
- Riskin kattavuus kasvoi 30%:llä - säästyneen ajan ansiosta tiimi pystyi laajentamaan seurattavien riskikohteiden määrää 48:sta 63:een ilman lisähenkilöstön määrää.
- Vaikutukseltaan suurten riskien nopeampi eskalointi - kriittiset riskit ovat nyt ylempien sidosryhmien nähtävillä 24 tunnin kuluessa niiden tunnistamisesta, kun aiemmassa prosessissa ne olivat 5-7 työpäivää.
- Parempi osastojen välinen yhdenmukaistaminen - johdonmukainen riskipisteytysmenetelmä, joka on otettu käyttöön kolmessa aiemmin toisistaan erillään olleessa toiminnossa.
Mitä tiimi sanoi
"Olimme puhuneet riskien visualisoinnin parantamisesta jo vuosia, mutta ponnistelut tuntuivat aina suhteettomilta käytettävissä oleviin työkaluihin nähden. LeapLytics Risk Matrix muutti tämän - se liitettiin suoraan Power BI:n jo olemassa olevaan järjestelmään ja antoi meille samanlaisen lämpökarttanäkymän, jonka olimme rakentaneet manuaalisesti PowerPointissa. Tarkastusvaliokunta käyttää nyt vähemmän aikaa kyselemällä 'mistä nämä tiedot ovat peräisin' ja enemmän aikaa keskustelemalla riskeistä."
- Sisäisen tarkastuksen ja turvallisuusjohtamisen johtaja, U.S. Insurance Group (nimettömänä)
Mitä muut organisaatiot voivat oppia tästä tapauksesta
Tämä tapaus ei ole ainutlaatuinen vakuutusalalla. Mikä tahansa organisaatio, joka hoitaa sisäisen tarkastuksen, GRC:n tai turvallisuushallinnon toimintoja Power BI -ympäristössä, kohtaa todennäköisesti saman haasteen muunnelman: Riskitietoja on olemassa, mutta infrastruktuuria niiden visualisoimiseksi ja reaaliaikaiseen välittämiseen ei ole.. Mukaan KPMG:n sisäisen tarkastuksen keskeiset riskialueet 2024, sisäisen tarkastuksen on pysyttävä ketteränä ja raportoitava nopeasti esiin tulevista riskeistä - vaatimus, jota staattinen taulukkolaskentaan perustuva raportointi ei pohjimmiltaan pysty täyttämään.
Käyttöönotosta erottuu kolme yleisesti sovellettavaa seikkaa:
- Aloita olemassa olevasta tietoinfrastruktuurista. Onnistuneimmat toteutukset eivät vaadi tietojen siirtämistä. Jos riskirekisterisi on jo SharePointissa, Excelissä tai tietokannassa, johon Power BI voi muodostaa yhteyden, voit saada riskimatriisin toimintaan muutamassa päivässä - ei kuukausissa.
- Visuaalinen selkeys edistää sidosryhmien sitoutumista. Hyvin suunniteltu Power BI:n riskimatriisi tekee muutakin kuin organisoi tietoja - se muuttaa sitä, miten johto toimii vuorovaikutuksessa riskitietojen kanssa. Kun riskit esitetään todennäköisyyden ja vaikutusten mukaan lämpökartalla, keskustelut siirtyvät raportoinnista päätöksentekoon.
- Hallintoryhmien ei tarvitse olla riippuvaisia IT:stä. Yksi aliarvostetuista Power BI:n mukautetun visualisoinnin eduista on se, että riskien omistajat voivat itse hallinnoida pisteytystä, luokkia ja kynnysarvoja - ilman, että he joutuvat tekemään kehitystyötä. Tämä riippumattomuus on ratkaisevan tärkeää tiimeille, joiden on reagoitava nopeasti uusiin uhkiin.
Erityisesti säännellyillä toimialoilla - vakuutus-, rahoituspalvelu- ja terveydenhuoltoalalla - toimivien organisaatioiden on pystyttävä osoittamaan, että rakenteellinen, tarkastettavissa oleva ja johdonmukaisesti sovellettu riskien visualisointiprosessi on yhä useammin vaatimustenmukaisuusvaatimus, ei vain paras käytäntö. Työkaluja, kuten LeapLytics riskimatriisi Power BI:lle jotta tämä standardi voidaan saavuttaa ilman yritystason käyttöönottokustannuksia.
Teollisuus: Vakuutus (Yhdysvallat) | Toiminto: Sisäinen tarkastus, turvallisuus, strategia ja hallinto | Työkalu: LeapLytics Riskimatriisi Power BI:lle | Aikajana: 60 päivää täydelliseen käyttöönottoon
