Esettanulmány - Belső ellenőrzés és biztonsági irányítás - Biztosítási ágazat
A kihívás: A kockázat láthatósága az igazság egyetlen forrása nélkül
Egy közepes méretű amerikai biztosítási csoport belső ellenőrzési és biztonsági stratégiai és irányítási csoportja számára a kockázatjelentések inkább szűk keresztmetszetként, mintsem az üzleti tevékenységet elősegítő tényezővé váltak. Minden egyes ellenőrzési ciklusban az elemzőknek kézzel kellett konszolidálniuk a kockázati adatokat több táblázatkezelőből, megosztott meghajtóról és régi rendszerből - ez a folyamat jelentési időszakonként akár két teljes munkanapot is igénybe vett. Az így kapott eredmények statikusak voltak, nehezen frissíthetők, és szinte lehetetlen volt úgy bemutatni őket, hogy a vezető érdekeltek gyorsan azonosíthassák, hol összpontosulnak a legkritikusabb kockázatok. Egy olyan iparágban, ahol a szabályozási ellenőrzés és a kiberkockázati kitettség fokozódik, ez a szakadék az adatok elérhetősége és a megvalósítható betekintés között tarthatatlanná vált.
A csapat konkrét problémája az volt, hogy nem állt rendelkezésre egy olyan dinamikus, vizuális kockázati mátrix, amely valós időben, valószínűség és hatás szerint térképezné fel a fenyegetéseket, és automatikusan frissülne, amint új adatok érkeznek. A meglévő eszközök minden egyes adatváltozás után kézzel kellett újra beírni, ami verzióellenőrzési problémákhoz és az egyes részlegeknél következetlen kockázati pontszámokhoz vezetett. Mivel az auditbizottsági előadásokat negyedévente tervezték, és egyre több működési, megfelelőségi és kiberkockázatot kellett nyomon követniük, az irányítási csapatnak olyan megoldásra volt szüksége, amely létszámnövelés nélkül képes megfelelni a jelentési követelményeknek.
A megoldás: LeapLytics Power BI kockázati mátrixa
Több lehetőség értékelése után a csapat a következő megoldást alkalmazta LeapLytics kockázati mátrix a Power BI számára - egy kifejezetten a vállalati kockázatok vizualizálására tervezett egyedi vizuális elem a Microsoft Power BI ökoszisztémáján belül. A döntést három kulcsfontosságú kritérium vezérelte: natív integráció a meglévő Power BI környezetükbe, a kockázati kategóriák és pontozási küszöbértékek egyéni fejlesztés nélkül történő konfigurálásának lehetősége, valamint egy olyan vizuális kimenet, amely elég világos ahhoz, hogy közvetlenül használható legyen a vezetőségi szintű prezentációkban.
A végrehajtást a belső ellenőrzési csoport és a szervezet BI kompetencia központja közösen irányította. Az első két héten belül a csapat a Power BI szabványos adatcsatlakozóin keresztül összekapcsolta a kockázati mátrix vizuális megjelenítését a meglévő kockázati nyilvántartás adataival - amelyeket SharePoint-listák és egy belső SQL-adatbázis kombinációjában tároltak. Nem volt szükség adatmigrációra. Az üzleti egységek kockázattulajdonosai olvasói hozzáférést kaptak az élő műszerfalhoz, míg az irányítási csapat megtartotta a pontozási logika és a kategóriadefiníciók ellenőrzését. A bevezetés nem igényelt külső tanácsadókat, és a folyamatban lévő ellenőrzési munka megszakítása nélkül zajlott.
Mérhető eredmények: Statikus táblázatoktól az élő kockázati intelligenciáig
A teljes bevezetést követő 90 napon belül az irányítási csoport a következő eredményeket dokumentálta:
- 65% a kockázatjelentési ciklusidő csökkentése - ami korábban két napot vett igénybe, most kevesebb mint négy órát vesz igénybe jelentési időszakonként.
- Az igazság egységes forrása a belső ellenőrzés, a biztonság, valamint a stratégia és irányítás területén - kiküszöbölve a részlegek közötti verziókonfliktusokat
- 100% a negyedéves audit bizottsági prezentációkról mostantól közvetlenül az élő Power BI műszerfalról - nincs szükség kézi diakészítésre
- A kockázati fedezet 30%-vel nőtt - a megtakarított idővel a csapat képes volt a nyomon követett kockázati elemek számát 48-ról 63-ra növelni további létszámnövelés nélkül.
- A nagy hatású kockázatok gyorsabb eszkalációja - a kritikus kockázatokat a vezető érdekeltek már az azonosítástól számított 24 órán belül láthatják, szemben a korábbi eljárás szerinti 5-7 munkanappal.
- Jobb osztályok közötti összehangolás - következetes kockázati pontozási módszertan, amelyet három, korábban elkülönített funkcióban fogadtak el
Mit mondott a csapat
"Évek óta beszélgettünk a kockázati vizualizáció javításáról, de az erőfeszítések mindig aránytalannak tűntek a rendelkezésre álló eszközökhöz képest. A LeapLytics Risk Matrix megváltoztatta ezt - közvetlenül csatlakoztatható volt ahhoz, amivel már rendelkeztünk a Power BI-ben, és olyan hőtérképes nézetet adott, amelyet kézzel építettünk fel a PowerPointban. Az auditbizottság most már kevesebb időt tölt azzal, hogy megkérdezze, "honnan vannak ezek az adatok", és több időt tölt a kockázatok tényleges megvitatásával."
- Belső ellenőrzési és biztonsági irányítási igazgató, U.S. Insurance Group (névtelenül)
Mit tanulhatnak más szervezetek ebből az esetből
Ez az eset nem egyedülálló a biztosítási ágazatban. Bármely szervezet, amely belső ellenőrzési, GRC vagy biztonsági irányítási funkciókat működtet Power BI környezetben, valószínűleg ugyanezzel a kihívással szembesül: A kockázati adatok léteznek, de az infrastruktúra nem teszi lehetővé azok valós idejű megjelenítését és közlését.. A A KPMG belső ellenőrzésének főbb kockázati területei 2024, a belső ellenőrzési funkcióknak rugalmasnak kell maradniuk, és gyorsan jelentést kell tenniük a felmerülő kockázatokról - ez olyan követelmény, amelyet a statikus, táblázatkezelésen alapuló jelentéstétel alapvetően nem tud teljesíteni.
Három olyan tanulság emelkedik ki ebből a bevetésből, amely széles körben alkalmazható:
- Kezdje a meglévő adatinfrastruktúrával. A legsikeresebb megvalósítások nem igényelnek adatmigrációt. Ha a kockázati nyilvántartás már a SharePointban, az Excelben vagy egy olyan adatbázisban van, amelyhez a Power BI csatlakozni tud, akkor napokon - nem hónapokon - belül éles kockázati mátrixot futtathat.
- A vizuális egyértelműség elősegíti az érdekelt felek elkötelezettségét. Egy jól megtervezett Power BI kockázati mátrix nem csak az adatok rendszerezését végzi - megváltoztatja a vezetés kockázatinformációkkal való interakcióját. Amikor a kockázatokat valószínűség és hatás szerint ábrázolják egy élő hőtérképen, a beszélgetések a jelentéstételről a döntéshozatalra változnak.
- Az irányítási csapatoknak nem kell az IT-tól függeniük. Az egyéni Power BI vizuális elem egyik alulértékelt előnye, hogy a kockázattulajdonosok maguk kezelhetik a pontozást, a kategóriákat és a küszöbértékeket - anélkül, hogy fejlesztési jegyet kellene felhúzniuk. Ez a függetlenség kritikus fontosságú azon csapatok számára, amelyeknek gyorsan kell reagálniuk a felmerülő veszélyekre.
Kifejezetten a szabályozott iparágakban - biztosítás, pénzügyi szolgáltatások, egészségügy - működő szervezetek számára a strukturált, auditálható és következetesen alkalmazott kockázati vizualizációs folyamat bizonyítása egyre inkább megfelelési elvárás, nem csupán a legjobb gyakorlat. Az olyan eszközök, mint a LeapLytics kockázati mátrix a Power BI számára hogy ez a szabvány vállalati szintű megvalósítási költségek nélkül megvalósítható legyen.
Iparág: Biztosítás (USA) | Funkció: Belső ellenőrzés, biztonság, stratégia és irányítás | Eszköz: LeapLytics kockázati mátrix Power BI számára | Idővonal: 60 nap a teljes kiépítésig
