Estudo de caso - Auditoria interna e governação da segurança - Setor dos seguros
O desafio: Visibilidade dos riscos sem uma única fonte de verdade
Para a equipa de Auditoria Interna e Estratégia de Segurança e Governação de um grupo segurador de média dimensão dos EUA, os relatórios de risco tinham-se tornado um estrangulamento em vez de um facilitador do negócio. Cada ciclo de auditoria exigia que os analistas consolidassem manualmente os dados de risco de várias folhas de cálculo, unidades partilhadas e sistemas antigos - um processo que consumia até dois dias de trabalho completos por período de relatório. Os resultados resultantes eram estáticos, difíceis de atualizar e quase impossíveis de apresentar de uma forma que permitisse aos intervenientes seniores identificar rapidamente onde se concentravam os riscos mais críticos. Numa indústria em que o controlo regulamentar e a exposição ao risco cibernético estão a intensificar-seA diferença entre a disponibilidade de dados e o conhecimento prático estava a tornar-se insustentável.
O problema específico da equipa era a ausência de uma matriz de risco dinâmica e visual que pudesse mapear as ameaças por probabilidade e impacto em tempo real - e atualizar-se automaticamente à medida que fossem chegando novos dados. As ferramentas existentes exigiam uma reintrodução manual após cada alteração de dados, o que levava a problemas de controlo de versões e a pontuações de risco inconsistentes entre departamentos. Com apresentações do comité de auditoria agendadas trimestralmente e um volume crescente de riscos operacionais, de conformidade e cibernéticos para acompanhar, a equipa de governação precisava de uma solução que pudesse acompanhar as suas exigências de relatórios sem aumentar o número de funcionários.
A solução: Matriz de Risco do Power BI da LeapLytics
Depois de avaliar várias opções, a equipa implementou o Matriz de Risco LeapLytics para Power BI - um visual personalizado concebido especificamente para a visualização de riscos empresariais no âmbito do ecossistema Power BI da Microsoft. A decisão foi motivada por três critérios principais: integração nativa com o ambiente Power BI existente, capacidade de configurar categorias de risco e limites de pontuação sem desenvolvimento personalizado e um resultado visual suficientemente claro para ser utilizado diretamente em apresentações ao nível do conselho de administração.
A implementação foi conduzida conjuntamente pela equipa de auditoria interna e pelo centro de competências de BI da organização. Nas primeiras duas semanas, a equipa ligou o visual da Matriz de Riscos aos dados existentes do registo de riscos - armazenados numa combinação de listas do SharePoint e numa base de dados SQL interna - através dos conectores de dados padrão do Power BI. Não foi necessária qualquer migração de dados. Os responsáveis pelos riscos em todas as unidades de negócio tiveram acesso de leitura ao dashboard em tempo real, enquanto a equipa de gestão manteve o controlo sobre a lógica de pontuação e as definições das categorias. A implementação não exigiu consultores externos e foi concluída sem perturbar o trabalho de auditoria em curso.
Resultados mensuráveis: Das folhas de cálculo estáticas à inteligência de risco ativa
No prazo de 90 dias após a implementação completa, a equipa de governação documentou os seguintes resultados:
- 65% Redução do tempo do ciclo de comunicação de riscos - o que antes levava dois dias, agora leva menos de quatro horas por período de relatório
- Estabelecimento de uma fonte única de verdade entre a Auditoria Interna, a Segurança e a Estratégia e Governação - eliminando conflitos de versões entre departamentos
- 100% das apresentações trimestrais do comité de auditoria agora entregues diretamente a partir do painel de instrumentos Power BI em tempo real - não é necessária a preparação manual de diapositivos
- Cobertura de risco aumentada por 30% - com o tempo poupado, a equipa conseguiu aumentar o número de elementos de risco controlados de 48 para 63 sem aumentar o número de efectivos
- Escalonamento mais rápido dos riscos de elevado impacto - os riscos críticos são agora visíveis para os intervenientes de topo no prazo de 24 horas após a identificação, em vez de 5-7 dias úteis no processo anterior
- Melhoria do alinhamento entre departamentos - metodologia coerente de classificação do risco adoptada em três funções anteriormente isoladas
O que a equipa disse
"Há anos que andávamos a falar em melhorar a nossa visualização de riscos, mas o esforço parecia sempre desproporcionado em relação às ferramentas disponíveis. A Matriz de Risco LeapLytics mudou isso - ligou-se diretamente ao que já tínhamos no Power BI e deu-nos o tipo de visualização de mapa de calor que estávamos a construir manualmente no PowerPoint. O comité de auditoria passa agora menos tempo a perguntar 'de onde vêm estes dados' e mais tempo a discutir realmente os riscos."
- Diretor de Auditoria Interna e Governação da Segurança, U.S. Insurance Group (anónimo)
O que outras organizações podem aprender com este caso
Este caso não é exclusivo do sector dos seguros. Qualquer organização que execute funções de Auditoria Interna, GRC ou Governação de Segurança num ambiente Power BI está provavelmente a enfrentar uma variação do mesmo desafio: existem dados sobre os riscos, mas a infraestrutura para os visualizar e comunicar em tempo real não existe. De acordo com Principais áreas de risco da auditoria interna da KPMG 2024Para além disso, as funções de auditoria interna devem permanecer ágeis e comunicar rapidamente os riscos emergentes - um padrão que os relatórios estáticos baseados em folhas de cálculo não conseguem cumprir.
Destacam-se três conclusões desta implementação que se aplicam de forma geral:
- Comece pela sua infraestrutura de dados existente. As implementações mais bem sucedidas não requerem uma migração de dados. Se o seu registo de riscos já estiver no SharePoint, no Excel ou numa base de dados à qual o Power BI se possa ligar, pode ter uma matriz de riscos em funcionamento em poucos dias - e não meses.
- A clareza visual promove o envolvimento das partes interessadas. Um projeto bem concebido Matriz de risco do Power BI faz mais do que organizar os dados - ele muda a forma como a liderança interage com as informações sobre riscos. Quando os riscos são representados por probabilidade e impacto num mapa de calor em tempo real, as conversas passam de relatórios para a tomada de decisões.
- As equipas de governação não precisam de depender das TI. Uma das vantagens menosprezadas de um visual personalizado do Power BI é o facto de os proprietários dos riscos poderem gerir eles próprios a pontuação, as categorias e os limites, sem terem de criar um pedido de desenvolvimento. Esta independência é fundamental para as equipas que precisam de agir rapidamente em resposta a ameaças emergentes.
Para as organizações especificamente em sectores regulamentados - seguros, serviços financeiros, cuidados de saúde - a capacidade de demonstrar um processo de visualização de riscos estruturado, auditável e aplicado de forma consistente é cada vez mais uma expetativa de conformidade e não apenas uma prática recomendada. Ferramentas como o Matriz de Risco LeapLytics para Power BI tornar essa norma exequível sem custos de implementação a nível empresarial.
Indústria: Seguros (E.U.A.) Função: Auditoria interna, segurança, estratégia e governação Ferramenta: Matriz de Risco LeapLytics para Power BI Linha do tempo: 60 dias para a implantação completa
