Moderniser la gestion des risques dans le secteur public ne consiste pas seulement à implémenter de nouveaux logiciels — il s’agit de culture, de stratégie et de permettre de meilleures décisions. Lors d’un récent webinaire, nous nous sommes entretenus avec Andy Gilroy, responsable de la gestion des performances (retraité) à la Royal Air Force (RAF) sur la façon dont ils ont transformé leurs processus de risque et comment votre organisation peut apprendre de leur expérience.
Qu’est-ce qui a incité la RAF à changer son approche de la gestion des risques ?
Les organisations du secteur public font face à une gamme de défis, notamment des parties prenantes exigeantes, des budgets serrés et des objectifs stratégiques ambitieux. Les organisations du secteur de la défense comme la RAF font face à des pressions supplémentaires et plus intenses liées aux considérations de sécurité nationale.
La RAF utilisait un système de gestion des risques sur mesure depuis 2007. Bien qu’innovant à l’époque, il était devenu de plus en plus complexe, coûteux à modifier et difficile à utiliser. Le système était inondé de données — ils avaient plus de 14 500 contrôles — ce qui rendait difficile la priorisation des ressources et des budgets là où ils étaient le plus nécessaires.
La RAF devait intégrer ses approches traditionnelles de gestion des risques et de gestion de projet pour aider à améliorer les performances stratégiques. Pour y parvenir, elle devait retirer son système obsolète et adopter une solution technologiquement plus avancée qui pourrait connecter les données et les informations de tous les départements.
« Tout le monde veut essayer de suivre le rythme d’un monde technologique en évolution, mais la réponse ne consiste pas seulement à acheter de nouveaux logiciels. Une approche holistique est nécessaire pour apporter des changements sur plusieurs axes d’activité. »
– Andy Gilroy, Royal Air Force
Gilroy a souligné l’importance pour les organisations d’établir une stratégie simple et des objectifs clairs, de cartographier les cadres de risque et de contrôle, et de nettoyer leurs données. Ce n’est qu’alors qu’elles peuvent rechercher la bonne plateforme pour numériser et automatiser leurs processus de risque et leurs résultats de reporting. Parce que la RAF avait soigneusement cartographié les fondations en amont, elle a pu mettre en œuvre une approche intégrée de la performance, du risque et de la stratégie.
Connecter stratégie, performance et risque Données pour des informations exploitables
La RAF a d’abord cherché à lier les données de performance à la gestion des risques et à la planification stratégique, ce qui produirait des données perspicaces pour favoriser des décisions mieux informées. Plutôt que de traiter le risque comme une activité de simple conformité, ils ont adopté une approche plus approfondie qui liait directement les risques et les contrôles aux objectifs stratégiques et aux projets en cours.
En éliminant ce que Gilroy a décrit comme le « brouillard de données » (contrôles superflus, vues non unifiées, données héritées incohérentes, etc.), la RAF pouvait voir des connexions plus claires entre les actions opérationnelles, les risques potentiels et les objectifs organisationnels. Elle pouvait cesser de simplement réagir aux risques et commencer à optimiser continuellement la stratégie. Avec une meilleure visibilité maintenant établie, la RAF pouvait cultiver une culture de prise de décision agile capable d’adapter les stratégies « en vol » au fur et à mesure que les leçons émergeaient des opérations du monde réel.
Le rôle du leadership et de la culture
La gestion moderne des risques ne réussit que lorsque le leadership l’intègre dans les conversations stratégiques pour soutenir la prise de décision éclairée. Dans ce cas, le comité exécutif de la RAF a joué un rôle actif dans l’élaboration du cadre de risque, des métriques et des outils de reporting. Cette participation directe a augmenté leur confiance dans les données une fois le système mis en service.
Pour assurer l’intégrité des données et une adoption durable, la RAF aurait besoin non seulement d’une adhésion descendante, mais aussi d’une adhésion ascendante. Pour s’assurer que les données restent crédibles, le personnel devait comprendre comment leur contribution influençait les décisions de risque et pourquoi il était crucial de saisir les données avec précision. La RAF a investi non seulement dans des programmes de formation sur mesure, mais dans un changement culturel complet et un sentiment de propriété partagée du risque et du contrôle. Dans cette atmosphère transparente et conjointement responsable, le personnel se sent libre de signaler les résultats positifs et négatifs sans crainte de répercussions. Les données sont fiables, et les conversations sur les risques sont routinières à tous les niveaux.
Poser les bases avant le logiciel
Lorsqu’elle a entrepris ce parcours, la RAF était parfaitement consciente qu’il serait une erreur de se lancer directement dans l’implémentation d’un nouveau système de gestion des risques. Au lieu de cela, elle a sagement pris le temps de définir une stratégie claire de gestion des risques et de nettoyer et standardiser soigneusement ses données.
Cartographier une stratégie claire : La RAF a défini ses objectifs stratégiques en identifiant les projets, tâches et actions nécessaires pour les réaliser. Grâce à ce processus, elle a gagné en clarté sur la façon dont ces risques affectaient les performances opérationnelles et où l’atténuation aurait le plus grand impact.
Nettoyer et simplifier les données : Des décennies de reporting cloisonné signifiaient que la RAF gérait plus de 14 500 contrôles individuels dans tous les départements. Beaucoup étaient des doublons ou obsolètes, rendant difficile l’identification et la gestion des contrôles les plus critiques. Grâce à un processus de nettoyage et de rationalisation d’entreprise, ils ont réduit cela à seulement 900 contrôles clés que l’organisation pouvait gérer activement et relier aux objectifs. Cette étape a assuré que l’implémentation du logiciel renforcerait les bonnes pratiques plutôt que de simplement reproduire les anciennes inefficacités.
Impliquer le leadership sur les exigences de données : Plutôt que de travailler en isolation, l’équipe de risque a impliqué le leadership tôt pour comprendre quelles informations le comité exécutif avait besoin pour prendre de meilleures décisions stratégiques et opérationnelles. Ces informations ont façonné quelles données ils capturent et comment ils les présentent.
Codifier les processus : Après avoir clarifié les objectifs, nettoyé les données et aligné avec le leadership, la RAF a codifié ses processus dans un système pour assurer la cohérence, permettre l’automatisation et générer des informations grâce aux rapports et tableaux de bord.
Cette préparation disciplinée a produit un cadre qui liait stratégie, performance et risque de manière claire et reproductible — posant les bases pour une numérisation réussie.
Choisir le bon logiciel pour numériser la gestion des risques
Alors qu’elle numérisait sa gestion des risques, la RAF a fait face à une décision critique : devrait-elle construire une autre solution entièrement personnalisée en interne ou adopter une plateforme commerciale et la configurer selon ses besoins ?
Une solution sur mesure aurait pu répondre à toutes les exigences utilisateur initialement, mais la RAF avait appris par expérience à quelle vitesse de tels systèmes peuvent devenir coûteux, inflexibles et difficiles à maintenir. D’autre part, choisir une plateforme prête à l’emploi nécessitait quelques compromis, mais offrait l’opportunité d’un développement en spirale supplémentaire (mises à niveau itératives continues), en plus d’une plus grande flexibilité et durabilité à mesure que l’organisation évoluait.
« Nous étions vraiment confrontés à un choix clé entre poursuivre un ensemble d’outils personnalisés supplémentaires qui essaierait de répondre au maximum de nos exigences utilisateur clés, ou choisir un ensemble de logiciels commerciaux qui nous permettrait d’atteindre la majorité des exigences organisationnelles dès le départ. Au final, nous avons opté pour une volonté de faire des compromis sur nos exigences de configuration initiales et puis de progresser à partir de là. »
– Andy Gilroy, Royal Air Force
Travailler avec un fournisseur de logiciels a évité les pièges d’être enfermé dans un système sur mesure rigide, tout en offrant des fonctionnalités vitales telles que des formulaires en ligne, des flux de travail, des rapports automatisés et des tableaux de bord centralisés pour gérer le risque à grande échelle à mesure que leurs besoins mûrissaient.
Une fois implémenté, le logiciel a eu un impact immédiat. Autonomisé par des données fiables et des rapports améliorés, le comité exécutif pouvait maintenant surmonter sa surcharge de données précédente et se concentrer directement sur les risques qui menaçaient leurs objectifs commerciaux.
Naviguer les obstacles internes au changement
La RAF a également fait face à de nombreux obstacles de gestion du changement tout au long de son parcours de transformation des risques, notamment découlant du roulement du personnel et des contraintes de capacité. En sélectionnant une plateforme de gestion des risques facile à utiliser et offrant l’automatisation des flux de travail, elle a réduit l’intégration et la formation tout en utilisant le temps du personnel de la manière la plus efficace.
La RAF a encouragé l’acceptation et même l’adoption du changement en sélectionnant stratégiquement des champions départementaux pour collaborer avec les équipes d’implémentation. Ces « adoptants volontaires » ont aidé à promouvoir l’adoption généralisée du logiciel en s’assurant que les exigences et les besoins de reporting de leurs départements étaient pris en compte pendant l’implémentation. En montrant comment le travail de chaque équipe contribuait aux objectifs stratégiques — et en favorisant une culture plus collaborative — la RAF a réduit les frictions et renforcé à la fois la participation du leadership et la propriété des données.
Démontrer des résultats mesurables
Avec le système en place, la RAF a gagné en efficacité opérationnelle et en succès stratégique. Sa stratégie est maintenant un plan vivant et traçable lié aux objectifs clés. Elle peut maintenant accéder aux tableaux de bord et aux rapports standardisés, fournissant une visibilité sur les risques stratégiques pour une perspective transversale et une escalade plus rapide.
En rationalisant 14 500 contrôles de risque uniques en 900 contrôles clés, la direction peut maintenant allouer budget et ressources pour réduire le risque dans les domaines les plus critiques.
Le personnel peut voir comment ses actions impactent les objectifs de l’organisation grâce aux tableaux de bord, rapports et KPI. Cette approche a fait passer les conversations de la gestion réactive des risques à l’adressage proactif des priorités stratégiques, entraînant un changement à la fois culturel et comportemental.
Le parcours de la RAF montre que la modernisation efficace des risques commence par la stratégie et la planification — clarifier les objectifs, nettoyer et standardiser les données, et aligner les parties prenantes avant que la numérisation ne commence. En adoptant cette approche disciplinée, les organisations peuvent implémenter une technologie qui fournit des informations significatives, des métriques cohérentes et une prise de décision plus intelligente et plus confiante.
« Le comité exécutif a commencé à avoir une réelle confiance dans les données et savait qu’il prenait des décisions plus efficaces et résolvait certains des défis clés. »
– Andy Gilroy, Royal Air Force
Pour en savoir plus sur la façon dont la RAF a transformé ses processus et sa culture de risque, demandez une démonstration ou regardez le webinaire complet.
