Etude de cas - Audit interne et gouvernance de la sécurité - Industrie de l'assurance
Le défi : Visibilité des risques sans source unique de vérité
Pour l'équipe chargée de l'audit interne, de la stratégie de sécurité et de la gouvernance d'un groupe d'assurance américain de taille moyenne, le reporting des risques était devenu un goulot d'étranglement plutôt qu'un outil de développement de l'activité. Chaque cycle d'audit exigeait des analystes qu'ils consolident manuellement les données sur les risques à partir de plusieurs feuilles de calcul, de lecteurs partagés et de systèmes existants - un processus qui prenait jusqu'à deux jours de travail complets par période de reporting. Les résultats obtenus étaient statiques, difficiles à mettre à jour et presque impossibles à présenter d'une manière qui permette aux parties prenantes d'identifier rapidement où se concentrent les risques les plus critiques. Dans un secteur où les la surveillance réglementaire et l'exposition au risque cybernétique s'intensifientLe fossé entre la disponibilité des données et les informations exploitables devenait insoutenable.
Le problème spécifique de l'équipe était l'absence d'une matrice de risque dynamique et visuelle capable de cartographier les menaces en fonction de leur probabilité et de leur impact en temps réel - et de se mettre à jour automatiquement à mesure que de nouvelles données arrivaient. Les outils existants nécessitaient une nouvelle saisie manuelle après chaque changement de données, ce qui entraînait des problèmes de contrôle des versions et des scores de risque incohérents d'un département à l'autre. Avec des présentations trimestrielles au comité d'audit et un volume croissant de risques opérationnels, de conformité et de cyber-risques à suivre, l'équipe de gouvernance avait besoin d'une solution capable de s'adapter à ses exigences de reporting sans augmenter ses effectifs.
La solution : Power BI Risk Matrix par LeapLytics
Après avoir évalué plusieurs options, l'équipe a mis en œuvre le système de gestion de l'information de la Commission européenne. Matrice des risques LeapLytics pour Power BI - un visuel personnalisé conçu spécifiquement pour la visualisation des risques d'entreprise au sein de l'écosystème Power BI de Microsoft. La décision a été motivée par trois critères clés : l'intégration native avec leur environnement Power BI existant, la possibilité de configurer les catégories de risque et les seuils de notation sans développement personnalisé, et un résultat visuel suffisamment clair pour être utilisé directement dans les présentations au niveau du conseil d'administration.
La mise en œuvre a été menée conjointement par l'équipe d'audit interne et le centre de compétences BI de l'organisation. Au cours des deux premières semaines, l'équipe a connecté le visuel de la matrice des risques aux données du registre des risques existant - conservées dans une combinaison de listes SharePoint et une base de données SQL interne - via les connecteurs de données standard de Power BI. Aucune migration de données n'a été nécessaire. Les responsables des risques des différentes unités opérationnelles ont reçu un accès en lecture au tableau de bord, tandis que l'équipe de gouvernance a conservé le contrôle de la logique de notation et des définitions des catégories. Le déploiement n'a nécessité aucun consultant externe et s'est déroulé sans perturber les travaux d'audit en cours.
Des résultats mesurables : Des feuilles de calcul statiques à l'intelligence du risque en direct
Dans les 90 jours suivant le déploiement complet, l'équipe de gouvernance a documenté les résultats suivants :
- 65% réduction de la durée du cycle de signalement des risques - Ce qui prenait deux jours auparavant prend désormais moins de quatre heures par période de déclaration.
- Mise en place d'une source unique de vérité entre l'audit interne, la sécurité et la stratégie et la gouvernance - en éliminant les conflits de versions entre les départements
- 100% des présentations trimestrielles au comité d'audit désormais délivrées directement à partir du tableau de bord Power BI - aucune préparation manuelle des diapositives n'est nécessaire
- La couverture des risques est augmentée de 30% - grâce au temps gagné, l'équipe a pu faire passer le nombre d'éléments de risque suivis de 48 à 63 sans effectifs supplémentaires
- Remontée plus rapide des risques à fort impact - les risques critiques sont désormais visibles pour les parties prenantes de haut niveau dans les 24 heures suivant leur identification, contre 5 à 7 jours ouvrables dans le cadre du processus précédent
- Amélioration de l'alignement entre les services - adoption d'une méthodologie cohérente de notation des risques dans trois fonctions auparavant cloisonnées
Ce que l'équipe a dit
"Nous parlions depuis des années d'améliorer notre visualisation des risques, mais l'effort semblait toujours disproportionné par rapport aux outils disponibles. La matrice des risques de LeapLytics a changé la donne - elle s'est directement connectée à ce que nous avions déjà dans Power BI et nous a donné le type de carte thermique que nous avions construit manuellement dans PowerPoint. Le comité d'audit passe désormais moins de temps à se demander 'd'où viennent ces données' et plus de temps à discuter des risques".
- Directeur de l'audit interne et de la gouvernance de la sécurité, U.S. Insurance Group (anonyme)
Ce que d'autres organisations peuvent apprendre de ce cas
Ce cas n'est pas propre au secteur de l'assurance. Toute organisation gérant des fonctions d'audit interne, de GRC ou de gouvernance de la sécurité dans un environnement Power BI est probablement confrontée à une variante du même défi : les données sur les risques existent, mais l'infrastructure permettant de les visualiser et de les communiquer en temps réel n'existe pas. D'après le Domaines de risque clés de l'audit interne de KPMG 2024Les fonctions d'audit interne doivent rester agiles et rendre compte rapidement des risques émergents - une norme que les rapports statiques basés sur des feuilles de calcul ne peuvent fondamentalement pas respecter.
Ce déploiement a permis de dégager trois enseignements qui s'appliquent de manière générale :
- Commencez par votre infrastructure de données existante. Les implémentations les plus réussies ne nécessitent pas de migration de données. Si votre registre des risques se trouve déjà dans SharePoint, Excel ou une base de données à laquelle Power BI peut se connecter, vous pouvez disposer d'une matrice des risques opérationnelle en quelques jours, et non en quelques mois.
- La clarté visuelle favorise l'engagement des parties prenantes. Un système bien conçu Matrice des risques Power BI ne se contente pas d'organiser les données - il change la façon dont les dirigeants interagissent avec les informations sur les risques. Lorsque les risques sont représentés en fonction de leur probabilité et de leur impact sur une carte thermique en temps réel, les conversations passent du reporting à la prise de décision.
- Les équipes de gouvernance n'ont pas besoin de dépendre des services informatiques. L'un des avantages sous-estimés d'un visuel Power BI personnalisé est que les responsables des risques peuvent gérer eux-mêmes la notation, les catégories et les seuils, sans avoir à ouvrir un ticket de développement. Cette indépendance est essentielle pour les équipes qui doivent réagir rapidement aux menaces émergentes.
Pour les organisations appartenant à des secteurs réglementés (assurances, services financiers, soins de santé), la capacité à démontrer l'existence d'un processus de visualisation des risques structuré, vérifiable et appliqué de manière cohérente est de plus en plus une attente en matière de conformité, et pas seulement une bonne pratique. Des outils tels que le Matrice des risques LeapLytics pour Power BI rendre cette norme réalisable sans coûts de mise en œuvre au niveau de l'entreprise.
L'industrie : Assurance (États-Unis) | Fonction : Audit interne, sécurité, stratégie et gouvernance Outil : Matrice des risques de LeapLytics pour Power BI Calendrier : 60 jours avant le déploiement complet
