Případová studie - Interní audit a řízení bezpečnosti - pojišťovnictví
Výzva: Viditelnost rizik bez jediného zdroje pravdy
Pro tým interního auditu a bezpečnostní strategie a řízení ve středně velké americké pojišťovací skupině se vykazování rizik stalo spíše překážkou než prostředkem pro podnikání. Každý cyklus auditu vyžadoval, aby analytici ručně konsolidovali údaje o rizicích z několika tabulek, sdílených disků a starších systémů - proces, který zabíral až dva celé pracovní dny za vykazované období. Výsledné výstupy byly statické, obtížně se aktualizovaly a bylo téměř nemožné je prezentovat způsobem, který by umožnil vedoucím pracovníkům rychle identifikovat, kde jsou soustředěna nejkritičtější rizika. V odvětví, kde zintenzivňuje se regulatorní kontrola a vystavení kybernetickým rizikům., se tato propast mezi dostupností dat a použitelnými poznatky stávala neudržitelnou.
Konkrétním problémem týmu byla absence dynamické, vizuální matice rizik, která by mapovala hrozby podle pravděpodobnosti a dopadu v reálném čase - a automaticky se aktualizovala s příchodem nových dat. Stávající nástroje vyžadovaly ruční zadávání po každé změně dat, což vedlo k problémům s kontrolou verzí a nekonzistentnímu hodnocení rizik v jednotlivých odděleních. Vzhledem k plánovaným čtvrtletním prezentacím před výborem pro audit a rostoucímu objemu provozních, compliance a kybernetických rizik, která je třeba sledovat, potřeboval tým pro řízení řešení, které by bylo schopné přizpůsobit se požadavkům na reporting, aniž by se zvýšil počet zaměstnanců.
Řešení: Power BI Risk Matrix od společnosti LeapLytics
Po vyhodnocení několika možností tým zavedl systém Matice rizik LeapLytics pro Power BI - vlastní vizualizaci navrženou speciálně pro vizualizaci podnikových rizik v rámci ekosystému Power BI společnosti Microsoft. K rozhodnutí vedla tři klíčová kritéria: nativní integrace se stávajícím prostředím Power BI, možnost konfigurovat kategorie rizik a prahové hodnoty hodnocení bez nutnosti vlastního vývoje a dostatečně jasný vizuální výstup, který lze použít přímo v prezentacích na úrovni představenstva.
Implementaci vedl společně tým interního auditu a kompetenční centrum BI organizace. Během prvních dvou týdnů tým propojil vizuální matici rizik se stávajícími daty registru rizik - uloženými v kombinaci seznamů SharePoint a interní databáze SQL - prostřednictvím standardních datových konektorů Power BI. Nebyla nutná žádná migrace dat. Vlastníci rizik napříč obchodními jednotkami získali přístup ke čtení živého panelu, zatímco tým pro řízení si ponechal kontrolu nad logikou bodování a definicemi kategorií. Zavedení nevyžadovalo žádné externí konzultanty a bylo dokončeno bez narušení probíhajících auditních prací.
Měřitelné výsledky: Od statických tabulek k živé inteligenci o rizicích
Do 90 dnů od plného nasazení řídicí tým zdokumentoval následující výsledky:
- 65% zkrácení doby cyklu hlášení rizik - co dříve trvalo dva dny, trvá nyní méně než čtyři hodiny za jedno vykazované období.
- Zavedení jediného zdroje pravdy napříč interním auditem, bezpečností a strategií a řízením - odstranění konfliktů verzí napříč odděleními.
- 100% čtvrtletních prezentací výboru pro audit nyní přímo z živého panelu Power BI - není nutná ruční příprava snímků.
- Pokrytí rizika zvýšené o 30% - díky ušetřenému času mohl tým rozšířit počet sledovaných rizikových položek ze 48 na 63, aniž by musel přijmout další zaměstnance.
- Rychlejší eskalace rizik s vysokým dopadem - kritická rizika jsou nyní viditelná vedoucím zúčastněným stranám do 24 hodin od jejich identifikace, oproti 5-7 pracovním dnům v předchozím procesu.
- Lepší sladění napříč odděleními - konzistentní metodika hodnocení rizik přijatá napříč třemi dříve oddělenými funkcemi.
Co řekl tým
"O zlepšení vizualizace rizik jsme hovořili již několik let, ale vždy se nám zdálo, že toto úsilí je neúměrné dostupným nástrojům. Nástroj LeapLytics Risk Matrix to změnil - zapojil se přímo do toho, co jsme již měli k dispozici v Power BI, a poskytl nám takové zobrazení tepelné mapy, jaké jsme vytvářeli ručně v aplikaci PowerPoint. Výbor pro audit nyní tráví méně času otázkou "odkud jsou tato data" a více času skutečnou diskusí o rizicích."
- Ředitel interního auditu a řízení bezpečnosti, U.S. Insurance Group (anonymizováno)
Co se mohou ostatní organizace z tohoto případu naučit
Tento případ není v pojišťovnictví ojedinělý. Každá organizace, která v prostředí Power BI provozuje funkce interního auditu, GRC nebo správy zabezpečení, se pravděpodobně potýká s různými variantami stejného problému: riziková data existují, ale neexistuje infrastruktura pro jejich vizualizaci a komunikaci v reálném čase.. Podle Klíčové oblasti rizik interního auditu KPMG 2024, musí funkce interního auditu zůstat agilní a rychle informovat o vznikajících rizicích - což je standard, který statický reporting založený na tabulkách zásadně nemůže splnit.
Z tohoto nasazení vyplývají tři poznatky, které platí obecně:
- Začněte se svou stávající datovou infrastrukturou. Nejúspěšnější implementace nevyžadují migraci dat. Pokud je váš registr rizik již ve službě SharePoint, Excel nebo v databázi, ke které se Power BI může připojit, můžete mít živou matici rizik v provozu během několika dnů - nikoli měsíců.
- Vizuální přehlednost podporuje zapojení zainteresovaných stran. Dobře navržený Matice rizik Power BI dělá víc než jen organizuje data - mění způsob, jakým vedení pracuje s informacemi o rizicích. Když jsou rizika zobrazena podle pravděpodobnosti a dopadu na živé tepelné mapě, konverzace se přesouvá od podávání zpráv k rozhodování.
- Týmy pro správu nemusí být závislé na IT. Jednou z nedoceněných výhod vlastního vizuálu Power BI je, že vlastníci rizik mohou sami spravovat bodování, kategorie a prahové hodnoty - bez nutnosti zadávat požadavek na vývoj. Tato nezávislost je zásadní pro týmy, které potřebují rychle reagovat na vznikající hrozby.
Pro organizace v regulovaných odvětvích - pojišťovnictví, finanční služby, zdravotnictví - je schopnost prokázat strukturovaný, kontrolovatelný a důsledně uplatňovaný proces vizualizace rizik stále častěji očekáváním shody s předpisy, nikoliv jen osvědčeným postupem. Nástroje jako např. Matice rizik LeapLytics pro Power BI umožnit dosažení tohoto standardu bez nákladů na implementaci na podnikové úrovni.
Průmysl: Pojištění (USA) | Funkce: Interní audit, bezpečnost, strategie a řízení | Nástroj: Matice rizik LeapLytics pro Power BI | Časová osa: 60 dní do plného nasazení
