Studiu de caz - Audit intern și guvernanță în materie de securitate - Industria asigurărilor
Provocarea: Vizibilitatea riscurilor fără o singură sursă de adevăr
Pentru echipa de audit intern și strategie de securitate și guvernanță de la un grup de asigurări de dimensiuni medii din SUA, raportarea riscurilor devenise mai degrabă un blocaj decât un stimulent pentru afaceri. Pentru fiecare ciclu de audit, analiștii trebuiau să consolideze manual datele privind riscurile din mai multe foi de calcul, unități partajate și sisteme moștenite - un proces care consuma până la două zile lucrătoare întregi pe perioadă de raportare. Rezultatele obținute erau statice, dificil de actualizat și aproape imposibil de prezentat într-un mod care să permită părților interesate să identifice rapid unde se concentrau cele mai importante riscuri. Într-o industrie în care controalele de reglementare și expunerea la riscuri cibernetice se intensifică, acest decalaj între disponibilitatea datelor și informațiile utile devenea de nesuportat.
Problema specifică a echipei a fost absența unei matrice de risc dinamice, vizuale, care să poată cartografia amenințările în funcție de probabilitate și impact în timp real - și să se actualizeze automat pe măsură ce apar date noi. Instrumentele existente necesitau reintroducerea manuală după fiecare modificare a datelor, ceea ce ducea la probleme de control al versiunilor și la scoruri de risc inconsecvente între departamente. Cu prezentările comitetului de audit programate trimestrial și cu un volum tot mai mare de riscuri operaționale, de conformitate și cibernetice de urmărit, echipa de guvernanță avea nevoie de o soluție care să se poată adapta cerințelor de raportare fără a adăuga personal.
Soluția: Matricea de risc Power BI de la LeapLytics
După evaluarea mai multor opțiuni, echipa a implementat Matricea de risc LeapLytics pentru Power BI - un vizual personalizat conceput special pentru vizualizarea riscurilor întreprinderii în cadrul ecosistemului Power BI al Microsoft. Decizia a fost determinată de trei criterii cheie: integrarea nativă cu mediul Power BI existent, capacitatea de a configura categoriile de risc și pragurile de notare fără dezvoltare personalizată și un rezultat vizual suficient de clar pentru a fi utilizat direct în prezentări la nivel de consiliu.
Implementarea a fost condusă în comun de echipa de audit intern și de centrul de competențe BI al organizației. În primele două săptămâni, echipa a conectat vizualizarea matricei riscurilor la datele existente din registrul riscurilor - păstrate într-o combinație de liste SharePoint și o bază de date SQL internă - prin intermediul conectorilor de date standard ai Power BI. Nu a fost necesară migrarea datelor. Proprietarii riscurilor din toate unitățile de afaceri au primit acces de citire la tabloul de bord live, în timp ce echipa de guvernanță a păstrat controlul asupra logicii de notare și asupra definițiilor categoriilor. Implementarea nu a necesitat consultanți externi și a fost finalizată fără a perturba activitatea de audit în curs.
Rezultate măsurabile: De la foi de calcul statice la informații vii privind riscurile
În termen de 90 de zile de la implementarea completă, echipa de guvernanță a documentat următoarele rezultate:
- 65% reducerea duratei ciclului de raportare a riscurilor - ceea ce înainte dura două zile, acum durează mai puțin de patru ore pe perioadă de raportare
- Stabilirea unei singure surse de adevăr în cadrul auditului intern, al securității și al strategiei și guvernanței - eliminând conflictele de versiuni între departamente
- 100% de prezentări trimestriale ale comitetului de audit acum livrate direct din tabloul de bord Power BI live - nu este necesară pregătirea manuală a diapozitivelor
- Acoperirea riscurilor a crescut cu 30% - cu timpul economisit, echipa a putut să extindă numărul de elemente de risc urmărite de la 48 la 63, fără personal suplimentar
- Escaladarea mai rapidă a riscurilor cu impact ridicat - riscurile critice sunt acum vizibile pentru părțile interesate de rang înalt în termen de 24 de ore de la identificare, față de 5-7 zile lucrătoare în cadrul procesului anterior
- Îmbunătățirea alinierii interdepartamentale - adoptarea unei metodologii coerente de punctare a riscurilor în cadrul a trei funcții care anterior erau izolate
Ce a spus echipa
"Vorbeam de ani de zile despre îmbunătățirea vizualizării riscurilor noastre, dar efortul părea întotdeauna disproporționat în raport cu instrumentele disponibile. Matricea de risc LeapLytics a schimbat acest lucru - s-a conectat direct la ceea ce aveam deja în Power BI și ne-a oferit tipul de vizualizare a hărții termice pe care o construisem manual în PowerPoint. Comitetul de audit petrece acum mai puțin timp întrebând "de unde provin aceste date" și mai mult timp discutând efectiv riscurile."
- Director de audit intern și guvernanță de securitate, U.S. Insurance Group (anonimizat)
Ce pot învăța alte organizații din acest caz
Acest caz nu este unic pentru industria asigurărilor. Orice organizație care execută funcții de audit intern, GRC sau guvernanță de securitate într-un mediu Power BI se confruntă probabil cu o variație a aceleiași provocări: datele privind riscurile există, dar infrastructura pentru vizualizarea și comunicarea acestora în timp real nu există. În conformitate cu Principalele domenii de risc ale auditului intern al KPMG 2024, funcțiile de audit intern trebuie să rămână agile și să raporteze rapid cu privire la riscurile emergente - un standard pe care raportarea statică bazată pe foi de calcul nu îl poate îndeplini în mod fundamental.
Din această desfășurare se desprind trei concluzii care se aplică în general:
- Începeți cu infrastructura de date existentă. Cele mai reușite implementări nu necesită o migrare a datelor. Dacă registrul de riscuri se află deja în SharePoint, Excel sau într-o bază de date la care Power BI se poate conecta, puteți avea o matrice de riscuri funcțională în câteva zile - nu luni.
- Claritatea vizuală determină implicarea părților interesate. Un proiect bine conceput Matricea de risc Power BI face mai mult decât să organizeze datele - schimbă modul în care conducerea interacționează cu informațiile privind riscurile. Atunci când riscurile sunt reprezentate în funcție de probabilitate și impact pe o hartă de căldură în timp real, discuțiile trec de la raportare la luarea deciziilor.
- Echipele de guvernanță nu trebuie să depindă de IT. Unul dintre avantajele subapreciate ale unei vizualizări Power BI personalizate este că proprietarii riscurilor pot gestiona singuri punctajul, categoriile și pragurile - fără a ridica un bilet de dezvoltare. Această independență este esențială pentru echipele care trebuie să reacționeze rapid la amenințările emergente.
Pentru organizațiile din industriile reglementate - asigurări, servicii financiare, sănătate - capacitatea de a demonstra un proces de vizualizare a riscurilor structurat, auditabil și aplicat în mod consecvent este din ce în ce mai mult o cerință de conformitate, nu doar o bună practică. Instrumente precum Matricea de risc LeapLytics pentru Power BI să facă acest standard realizabil fără costuri de implementare la nivel de întreprindere.
Industrie: Asigurări (S.U.A.) | Funcție: Audit intern, securitate, strategie și guvernanță | Instrument: Matricea de risc LeapLytics pentru Power BI | Cronologie: 60 de zile până la implementarea completă
