Studium przypadku - Audyt wewnętrzny i zarządzanie bezpieczeństwem - branża ubezpieczeniowa
Wyzwanie: Widoczność ryzyka bez jednego źródła prawdy
Dla zespołu ds. audytu wewnętrznego oraz strategii i zarządzania bezpieczeństwem w średniej wielkości amerykańskiej grupie ubezpieczeniowej raportowanie ryzyka stało się wąskim gardłem, a nie czynnikiem umożliwiającym prowadzenie działalności. Każdy cykl audytu wymagał od analityków ręcznej konsolidacji danych dotyczących ryzyka z wielu arkuszy kalkulacyjnych, udostępnionych dysków i starszych systemów - proces ten pochłaniał do dwóch pełnych dni roboczych na okres sprawozdawczy. Wynikowe wyniki były statyczne, trudne do aktualizacji i prawie niemożliwe do zaprezentowania w sposób, który pozwoliłby wyższym rangą interesariuszom szybko zidentyfikować, gdzie koncentrowały się najbardziej krytyczne ryzyka. W branży, w której nasilają się kontrole regulacyjne i narażenie na ryzyko cybernetyczneTa przepaść między dostępnością danych a możliwością ich wykorzystania stawała się nie do pokonania.
Szczególną bolączką zespołu był brak dynamicznej, wizualnej matrycy ryzyka, która mogłaby mapować zagrożenia według prawdopodobieństwa i wpływu w czasie rzeczywistym - i aktualizować się automatycznie wraz z napływem nowych danych. Istniejące narzędzia wymagały ręcznego ponownego wprowadzania po każdej zmianie danych, co prowadziło do problemów z kontrolą wersji i niespójnych ocen ryzyka w różnych działach. W związku z kwartalnymi prezentacjami przed komitetem audytu i rosnącą liczbą ryzyk operacyjnych, zgodności i cybernetycznych do śledzenia, zespół ds. nadzoru potrzebował rozwiązania, które mogłoby skalować się zgodnie z ich wymaganiami w zakresie raportowania bez zwiększania zatrudnienia.
Rozwiązanie: Matryca ryzyka Power BI firmy LeapLytics
Po dokonaniu oceny kilku opcji, zespół wdrożył Matryca ryzyka LeapLytics dla Power BI - niestandardową wizualizację zaprojektowaną specjalnie do wizualizacji ryzyka korporacyjnego w ekosystemie Power BI firmy Microsoft. Decyzja ta była podyktowana trzema kluczowymi kryteriami: natywną integracją z istniejącym środowiskiem Power BI, możliwością konfigurowania kategorii ryzyka i progów punktacji bez niestandardowego rozwoju, a także wystarczająco wyraźnym efektem wizualnym, aby można go było wykorzystać bezpośrednio w prezentacjach na poziomie zarządu.
Wdrożenie było prowadzone wspólnie przez zespół audytu wewnętrznego i centrum kompetencji BI organizacji. W ciągu pierwszych dwóch tygodni zespół połączył wizualizację matrycy ryzyka z istniejącymi danymi rejestru ryzyka - przechowywanymi w połączeniu list SharePoint i wewnętrznej bazy danych SQL - za pośrednictwem standardowych konektorów danych Power BI. Migracja danych nie była wymagana. Właściciele ryzyk z różnych jednostek biznesowych otrzymali dostęp do pulpitu nawigacyjnego na żywo, podczas gdy zespół zarządzający zachował kontrolę nad logiką punktacji i definicjami kategorii. Wdrożenie nie wymagało zewnętrznych konsultantów i zostało zakończone bez zakłócania trwających prac audytowych.
Wymierne wyniki: Od statycznych arkuszy kalkulacyjnych do analizy ryzyka na żywo
W ciągu 90 dni od pełnego wdrożenia zespół ds. zarządzania udokumentował następujące wyniki:
- 65% skrócenie czasu cyklu raportowania ryzyka - To, co wcześniej zajmowało dwa dni, teraz zajmuje mniej niż cztery godziny na okres sprawozdawczy.
- Ustanowiono jedno źródło prawdy między działami audytu wewnętrznego, bezpieczeństwa oraz strategii i zarządzania - eliminując konflikty wersji między działami.
- 100% kwartalnych prezentacji komitetu audytu teraz dostarczane bezpośrednio z pulpitu Power BI na żywo - bez konieczności ręcznego przygotowywania slajdów
- Pokrycie ryzyka zwiększone o 30% - Dzięki zaoszczędzonemu czasowi zespół był w stanie zwiększyć liczbę śledzonych elementów ryzyka z 48 do 63 bez dodatkowego zatrudnienia.
- Szybsza eskalacja ryzyk o dużym znaczeniu - krytyczne ryzyka są teraz widoczne dla interesariuszy wyższego szczebla w ciągu 24 godzin od identyfikacji, w porównaniu z 5-7 dniami roboczymi w ramach poprzedniego procesu
- Lepsze dostosowanie między działami - spójna metodologia oceny ryzyka przyjęta w trzech wcześniej odizolowanych funkcjach
Co powiedział zespół
"Od lat rozmawialiśmy o ulepszeniu naszej wizualizacji ryzyka, ale wysiłek zawsze wydawał się nieproporcjonalny do dostępnych narzędzi. Matryca ryzyka LeapLytics to zmieniła - podłączyła się bezpośrednio do tego, co już mieliśmy w Power BI i dała nam rodzaj widoku mapy cieplnej, który budowaliśmy ręcznie w PowerPoint. Komitet audytu spędza teraz mniej czasu na pytaniu "skąd są te dane", a więcej na faktycznym omawianiu ryzyka".
- Dyrektor ds. audytu wewnętrznego i zarządzania bezpieczeństwem, U.S. Insurance Group (dane zanonimizowane)
Czego inne organizacje mogą się nauczyć z tego przypadku
Ten przypadek nie jest unikalny dla branży ubezpieczeniowej. Każda organizacja prowadząca audyt wewnętrzny, GRC lub funkcje zarządzania bezpieczeństwem w środowisku Power BI prawdopodobnie stoi przed odmianą tego samego wyzwania: Dane dotyczące ryzyka istnieją, ale nie ma infrastruktury do ich wizualizacji i przekazywania w czasie rzeczywistym.. Według Kluczowe obszary ryzyka audytu wewnętrznego KPMG 2024Funkcje audytu wewnętrznego muszą pozostać elastyczne i szybko raportować pojawiające się zagrożenia - standard, którego statyczne raportowanie oparte na arkuszach kalkulacyjnych zasadniczo nie jest w stanie spełnić.
Z tego wdrożenia wyróżniają się trzy wnioski, które mają szerokie zastosowanie:
- Zacznij od istniejącej infrastruktury danych. Najbardziej udane wdrożenia nie wymagają migracji danych. Jeśli rejestr ryzyka znajduje się już w SharePoint, Excel lub bazie danych, z którą Power BI może się połączyć, możesz uruchomić macierz ryzyka w ciągu kilku dni - a nie miesięcy.
- Przejrzystość wizualna zwiększa zaangażowanie interesariuszy. Dobrze zaprojektowany Macierz ryzyka Power BI nie tylko porządkuje dane - zmienia sposób interakcji kierownictwa z informacjami o ryzyku. Gdy ryzyka są wykreślane według prawdopodobieństwa i wpływu na mapie cieplnej na żywo, rozmowy przenoszą się z raportowania na podejmowanie decyzji.
- Zespoły ds. zarządzania nie muszą polegać na IT. Jedną z niedocenianych zalet niestandardowej wizualizacji Power BI jest to, że właściciele ryzyk mogą samodzielnie zarządzać punktacją, kategoriami i progami - bez podnoszenia biletu programistycznego. Ta niezależność ma kluczowe znaczenie dla zespołów, które muszą szybko reagować na pojawiające się zagrożenia.
W przypadku organizacji działających w branżach podlegających regulacjom - ubezpieczeniach, usługach finansowych, opiece zdrowotnej - zdolność do wykazania ustrukturyzowanego, podlegającego audytowi i konsekwentnie stosowanego procesu wizualizacji ryzyka jest coraz częściej oczekiwaniem w zakresie zgodności, a nie tylko najlepszą praktyką. Narzędzia takie jak Matryca ryzyka LeapLytics dla Power BI sprawiają, że standard ten jest osiągalny bez ponoszenia kosztów wdrożenia na poziomie przedsiębiorstwa.
Przemysł: Ubezpieczenia (USA) | Funkcja: Audyt wewnętrzny, bezpieczeństwo, strategia i zarządzanie | Narzędzie: Matryca ryzyka LeapLytics dla Power BI | Oś czasu: 60 dni do pełnego wdrożenia
