Prípadová štúdia - Interný audit a riadenie bezpečnosti - poisťovníctvo
Výzva: Viditeľnosť rizík bez jediného zdroja pravdy
Pre tím interného auditu a bezpečnostnej stratégie a riadenia v stredne veľkej americkej poisťovacej skupine sa vykazovanie rizík stalo skôr prekážkou než prostriedkom na podporu podnikania. Každý audítorský cyklus si vyžadoval, aby analytici ručne konsolidovali údaje o rizikách z viacerých tabuliek, zdieľaných diskov a starších systémov - proces, ktorý zaberal až dva celé pracovné dni na jedno vykazovacie obdobie. Výsledné výstupy boli statické, ťažko aktualizovateľné a takmer nemožné prezentovať ich spôsobom, ktorý by umožnil vrcholovým zainteresovaným stranám rýchlo identifikovať, kde sa sústreďujú najkritickejšie riziká. V odvetví, kde regulačné kontroly a vystavenie kybernetickým rizikám sa zintenzívňujú, táto priepasť medzi dostupnosťou údajov a využiteľnými poznatkami sa stala neudržateľnou.
Špecifickým problémom tímu bola absencia dynamickej, vizuálnej matice rizík, ktorá by mohla mapovať hrozby podľa pravdepodobnosti a vplyvu v reálnom čase - a automaticky sa aktualizovať podľa nových údajov. Existujúce nástroje vyžadovali manuálne opätovné zadávanie po každej zmene údajov, čo viedlo k problémom s kontrolou verzií a nekonzistentnému hodnoteniu rizík v jednotlivých oddeleniach. Vzhľadom na to, že prezentácie výboru pre audit sú naplánované raz za štvrťrok a objem prevádzkových, compliance a kybernetických rizík, ktoré je potrebné sledovať, potreboval tím pre riadenie riešenie, ktoré by bolo možné rozšíriť s ich požiadavkami na vykazovanie bez toho, aby sa zvýšil počet zamestnancov.
Riešenie: Power BI Risk Matrix od spoločnosti LeapLytics
Po posúdení viacerých možností tím implementoval Matica rizík LeapLytics pre Power BI - vlastný vizuál navrhnutý špeciálne pre vizualizáciu podnikových rizík v rámci ekosystému Power BI spoločnosti Microsoft. Rozhodnutie bolo podmienené tromi kľúčovými kritériami: natívna integrácia s ich existujúcim prostredím Power BI, možnosť konfigurovať kategórie rizík a prahové hodnoty hodnotenia bez vlastného vývoja a dostatočne jasný vizuálny výstup, ktorý sa dá použiť priamo v prezentáciách na úrovni predstavenstva.
Implementáciu viedol spoločne tím interného auditu a kompetenčné centrum BI organizácie. Počas prvých dvoch týždňov tím prepojil vizuálnu maticu rizík s existujúcimi údajmi z registra rizík - uchovávanými v kombinácii zoznamov SharePoint a internej databázy SQL - prostredníctvom štandardných dátových konektorov Power BI. Nebola potrebná žiadna migrácia údajov. Vlastníci rizík v rámci obchodných útvarov dostali prístup na čítanie k živému informačnému panelu, zatiaľ čo riadiaci tím si ponechal kontrolu nad logikou bodovania a definíciami kategórií. Zavedenie si nevyžadovalo žiadnych externých konzultantov a bolo dokončené bez narušenia prebiehajúcej audítorskej práce.
Merateľné výsledky: Od statických tabuliek k živej inteligencii rizík
Do 90 dní od úplného nasadenia riadiaci tím zdokumentoval tieto výsledky:
- 65% skrátenie času cyklu vykazovania rizík - čo predtým trvalo dva dni, trvá teraz menej ako štyri hodiny za vykazované obdobie.
- Vytvorenie jednotného zdroja pravdy v rámci interného auditu, bezpečnosti a stratégie a riadenia - odstránenie konfliktov verzií medzi oddeleniami
- 100% štvrťročných prezentácií výboru pre audit teraz priamo zo živého panela Power BI - nie je potrebná manuálna príprava prezentácií
- Pokrytie rizika zvýšené o 30% - vďaka ušetrenému času mohol tím rozšíriť počet sledovaných rizikových položiek zo 48 na 63 bez dodatočného počtu zamestnancov
- Rýchlejšia eskalácia rizík s vysokým vplyvom - kritické riziká sú teraz viditeľné pre vyššie zainteresované strany do 24 hodín od identifikácie, v porovnaní s 5-7 pracovnými dňami v rámci predchádzajúceho procesu.
- Lepšie zosúladenie medzi jednotlivými oddeleniami - konzistentná metodika hodnotenia rizík prijatá v troch predtým oddelených funkciách
Čo povedal tím
"O zlepšení vizualizácie rizík sme hovorili už roky, ale úsilie sa nám vždy zdalo neprimerané dostupným nástrojom. Matica rizík LeapLytics to zmenila - pripojila sa priamo k tomu, čo sme už mali v Power BI, a poskytla nám také zobrazenie tepelnej mapy, aké sme vytvárali ručne v PowerPointe. Výbor pre audit teraz trávi menej času otázkou "odkiaľ sú tieto údaje" a viac času skutočnou diskusiou o rizikách."
- Riaditeľ pre interný audit a riadenie bezpečnosti, U.S. Insurance Group (anonymizované)
Čo sa z tohto prípadu môžu naučiť iné organizácie
Tento prípad nie je v poisťovníctve ojedinelý. Každá organizácia, ktorá vykonáva funkcie interného auditu, GRC alebo riadenia bezpečnosti v prostredí Power BI, pravdepodobne čelí variácii rovnakej výzvy: údaje o rizikách existujú, ale infraštruktúra na ich vizualizáciu a komunikáciu v reálnom čase neexistuje.. Podľa Kľúčové oblasti rizík interného auditu KPMG 2024, musia funkcie interného auditu zostať pružné a rýchlo podávať správy o vznikajúcich rizikách - čo je štandard, ktorý statické podávanie správ na základe tabuliek v zásade nemôže splniť.
Z tohto nasadenia vyplynuli tri poznatky, ktoré sa dajú aplikovať vo všeobecnosti:
- Začnite s existujúcou dátovou infraštruktúrou. Najúspešnejšie implementácie si nevyžadujú migráciu údajov. Ak je váš register rizík už v SharePointe, Exceli alebo databáze, ku ktorej sa Power BI môže pripojiť, môžete mať živú maticu rizík v prevádzke v priebehu niekoľkých dní - nie mesiacov.
- Vizuálna zrozumiteľnosť podporuje zapojenie zainteresovaných strán. Dobre navrhnutý Matica rizík Power BI robí viac než len organizuje údaje - mení spôsob, akým vedenie komunikuje s informáciami o rizikách. Keď sú riziká zobrazené podľa pravdepodobnosti a dopadu na živej tepelnej mape, konverzácia sa presúva od podávania správ k rozhodovaniu.
- Tímy riadenia nemusia byť závislé od IT. Jednou z podceňovaných výhod vlastného vizuálu Power BI je, že vlastníci rizík môžu sami spravovať bodovanie, kategórie a prahové hodnoty - bez toho, aby museli zadávať požiadavky na vývoj. Táto nezávislosť je rozhodujúca pre tímy, ktoré potrebujú rýchlo reagovať na vznikajúce hrozby.
Pre organizácie v regulovaných odvetviach - poisťovníctvo, finančné služby, zdravotníctvo - je schopnosť preukázať štruktúrovaný, kontrolovateľný a dôsledne uplatňovaný proces vizualizácie rizík čoraz častejšie očakávaním zhody, nielen osvedčeným postupom. Nástroje ako napr. Matica rizík LeapLytics pre Power BI umožniť dosiahnutie tohto štandardu bez nákladov na implementáciu na podnikovej úrovni.
Priemysel: Poistenie (USA) | Funkcia: Interný audit, bezpečnosť, stratégia a riadenie | Nástroj: Matica rizík LeapLytics pre Power BI | Časová os: 60 dní do plného nasadenia
