Atvejo analizė - Vidaus auditas ir saugumo valdymas - draudimo pramonė
Iššūkis: Rizikos matomumas be vieno tiesos šaltinio
Vidutinio dydžio JAV draudimo grupės vidaus audito ir saugumo strategijos ir valdymo komandai rizikos ataskaitų teikimas tapo kliūtimi, o ne verslo skatinimo priemone. Kiekvieno audito ciklo metu analitikai turėjo rankiniu būdu konsoliduoti rizikos duomenis iš kelių skaičiuoklių, bendrų diskų ir senųjų sistemų - šis procesas užimdavo iki dviejų darbo dienų per ataskaitinį laikotarpį. Gauti rezultatai buvo statiški, juos buvo sunku atnaujinti ir beveik neįmanoma pateikti taip, kad vyresnieji suinteresuotieji subjektai galėtų greitai nustatyti, kur sutelkta svarbiausia rizika. Pramonėje, kurioje griežtėja reguliavimo kontrolė ir didėja kibernetinė rizika., šis atotrūkis tarp duomenų prieinamumo ir įžvalgų, kurias galima panaudoti, tapo nepakeliamas.
Komandai ypač rūpėjo tai, kad nebuvo dinamiškos, vizualios rizikos matricos, kurioje būtų galima realiuoju laiku atvaizduoti grėsmes pagal tikimybę ir poveikį, o gavus naujų duomenų, ji būtų automatiškai atnaujinama. Esamos priemonės reikalavo rankiniu būdu iš naujo įvesti duomenis po kiekvieno duomenų pakeitimo, todėl kildavo problemų dėl versijų kontrolės ir skirtinguose skyriuose buvo nustatomi nevienodi rizikos balai. Kadangi kas ketvirtį planuojami audito komiteto pristatymai, o veiklos, atitikties ir kibernetinės rizikos, kurią reikia stebėti, apimtis didėja, valdymo komandai reikėjo sprendimo, kurį būtų galima pritaikyti prie ataskaitų teikimo poreikių, nedidinant darbuotojų skaičiaus.
Sprendimas: "Power BI Risk Matrix" iš "LeapLytics
Įvertinusi kelias galimybes, komanda įgyvendino "LeapLytics" rizikos matrica "Power BI - pasirinktinį vaizdinį, specialiai sukurtą įmonių rizikos vizualizavimui "Microsoft" "Power BI" ekosistemoje. Sprendimą lėmė trys pagrindiniai kriterijai: natūrali integracija su esama "Power BI" aplinka, galimybė konfigūruoti rizikos kategorijas ir vertinimo ribas be specialaus kūrimo ir pakankamai aiškus vizualinis vaizdas, kad jį būtų galima tiesiogiai naudoti valdybos lygio pristatymuose.
Įgyvendinimui kartu vadovavo vidaus audito grupė ir organizacijos BI kompetencijų centras. Per pirmąsias dvi savaites komanda, naudodama standartines "Power BI" duomenų jungtis, sujungė rizikos matricos vaizdinę versiją su esamais rizikos registro duomenimis, kurie buvo saugomi "SharePoint" sąrašuose ir vidinėje SQL duomenų bazėje. Duomenų perkelti nereikėjo. Verslo padalinių rizikos savininkams buvo suteikta skaitymo prieiga prie gyvų prietaisų skydelio, o valdymo komanda išlaikė vertinimo logikos ir kategorijų apibrėžimų kontrolę. Įdiegimui nereikėjo išorinių konsultantų ir jis buvo baigtas netrikdant vykstančio audito darbo.
Išmatuojami rezultatai: Nuo statiškų skaičiuoklių prie gyvų rizikos duomenų
Per 90 dienų nuo visiško įdiegimo valdymo grupė dokumentais patvirtino šiuos rezultatus:
- 65% rizikos ataskaitų teikimo ciklo laiko sutrumpinimas - kas anksčiau užtrukdavo dvi dienas, dabar trunka mažiau nei keturias valandas per ataskaitinį laikotarpį.
- Nustatytas vienas tiesos šaltinis vidaus audito, saugumo, strategijos ir valdymo padaliniuose - taip pašalinami versijų konfliktai tarp padalinių.
- 100% ketvirtinių audito komiteto pristatymų dabar pateikiama tiesiai iš tiesioginės "Power BI" prietaisų skydelio - nereikia ruošti skaidrių rankiniu būdu.
- Padidinta rizikos aprėptis 30% - sutaupytas laikas leido komandai išplėsti stebimų rizikos elementų skaičių nuo 48 iki 63 be papildomo darbuotojų skaičiaus.
- Greitesnis didelio poveikio rizikos eskalavimas - svarbiausi rizikos veiksniai vyresniesiems suinteresuotiesiems subjektams dabar matomi per 24 valandas nuo jų nustatymo, palyginti su 5-7 darbo dienomis pagal ankstesnį procesą.
- Geresnis tarpžinybinis suderinamumas - nuosekli rizikos vertinimo metodika, pritaikyta trims anksčiau atskirtoms funkcijoms.
Ką sakė komanda
"Jau daug metų kalbėjome apie rizikos vizualizavimo tobulinimą, tačiau pastangos visada atrodė neproporcingos turimoms priemonėms. "LeapLytics Risk Matrix" pakeitė šią situaciją - ji buvo tiesiogiai prijungta prie to, ką jau turėjome "Power BI", ir suteikė mums tokį šilumos žemėlapio vaizdą, kokį buvome sukūrę rankiniu būdu "PowerPoint" programoje. Dabar audito komitetas mažiau laiko praleidžia klausdamas "iš kur šie duomenys", o daugiau laiko iš tikrųjų aptaria riziką."
- Vidaus audito ir saugumo valdymo direktorius, JAV draudimo grupė (anoniminis)
Ko iš šio atvejo gali pasimokyti kitos organizacijos
Šis atvejis nėra išskirtinis draudimo sektoriuje. Bet kuri organizacija, vykdanti vidaus audito, GRC ar saugumo valdymo funkcijas "Power BI" aplinkoje, greičiausiai susiduria su panašia problema: rizikos duomenų yra, tačiau nėra infrastruktūros, kuri leistų juos vizualizuoti ir perduoti realiuoju laiku.. Pagal KPMG vidaus audito pagrindinės rizikos sritys 2024 m., vidaus audito funkcijos turi išlikti lanksčios ir greitai teikti ataskaitas apie kylančią riziką - tai standartas, kurio iš esmės negali atitikti statinės skaičiuoklėmis pagrįstos ataskaitos.
Iš šio diegimo galima išskirti tris svarbius dalykus, kurie taikomi plačiąja prasme:
- Pradėkite nuo esamos duomenų infrastruktūros. Sėkmingiausiems diegimams nereikia perkelti duomenų. Jei jūsų rizikos registras jau yra "SharePoint", "Excel" arba duomenų bazėje, prie kurios gali prisijungti "Power BI", gyvą rizikos matricą galite paleisti per kelias dienas, o ne per kelis mėnesius.
- Vizualinis aiškumas skatina suinteresuotųjų šalių įsitraukimą. Gerai suprojektuotas "Power BI" rizikos matrica ne tik sistemina duomenis - ji keičia vadovų sąveiką su informacija apie riziką. Kai rizikos veiksniai pagal tikimybę ir poveikį yra pavaizduoti tiesioginiame šilumos žemėlapyje, pokalbiai nuo ataskaitų teikimo pereina prie sprendimų priėmimo.
- Valdymo komandoms nereikia priklausyti nuo IT. Vienas iš nepakankamai įvertintų pasirinktinio "Power BI" vaizdo privalumų yra tas, kad rizikos savininkai gali patys tvarkyti vertinimą, kategorijas ir ribas - nesikreipdami dėl kūrimo bilieto. Ši nepriklausomybė labai svarbi komandoms, kurios turi greitai reaguoti į kylančias grėsmes.
Organizacijoms, veikiančioms reguliuojamuose sektoriuose - draudimo, finansinių paslaugų, sveikatos priežiūros - gebėjimas įrodyti, kad rizikos vizualizavimo procesas yra struktūrizuotas, audituojamas ir nuosekliai taikomas, vis dažniau tampa ne tik geriausia praktika, bet ir atitikties reikalavimais. Įrankiai, pvz. "LeapLytics" rizikos matrica "Power BI kad šį standartą būtų galima pasiekti be įmonės lygio diegimo išlaidų.
Pramonė: Draudimas (JAV) | Funkcija: Vidaus auditas, saugumas, strategija ir valdymas | Įrankis: "LeapLytics" rizikos matrica "Power BI" | Laiko juosta: 60 dienų iki visiško įdiegimo
