Comment le ministère de l’éducation du Queensland a transformé ses capacités de reporting et de prise de décision grâce à une vision unique du risque.
INDUSTRIE
Gouvernement et éducation
LOCATION
Australie
NOMBRE D’EMPLOYÉS
85 000
Le troisième plus grand État d’Australie s’appuie sur la solution Riskonnect pour surveiller les risques et la conformité dans les écoles et les bureaux régionaux.
Le Département de l’Éducation du Queensland fournit des services éducatifs de classe mondiale pour les personnes à chaque étape de leur développement personnel et professionnel. Par le biais de ses principaux portefeuilles de la Petite Enfance et de l’Éducation, le Département emploie plus de 85 000 personnes à travers le Queensland, avec du personnel réparti sur plus de 1 200 sites de travail, y compris les écoles publiques et les bureaux régionaux. En tant que troisième plus grand État, le Queensland représente plus de 20 % des inscriptions scolaires dans le pays.
Le défi
Ses enseignants et directeurs sont soutenus par une gamme diversifiée de personnel spécialisé, administratif et de soutien qui supervisent et gèrent les opérations quotidiennes et stratégiques pour assurer un fonctionnement harmonieux dans l’ensemble de l’organisation.
Avec un nombre si important d’employés et d’étudiants à travers l’État, le Département doit s’assurer de se prémunir contre tout événement défavorable susceptible d’affecter sa communauté sur le plan financier, social ainsi que le bien-être individuel.
Au cours des cinq dernières années, le nombre et la complexité des risques qui doivent être gérés dans l’ensemble de l’organisation pour y parvenir ont considérablement augmenté, ce qui a conduit l’équipe de gestion de l’entreprise à être responsable d’une gamme de risques départementaux de nature et de priorité différentes.
Les risques peuvent aller de la gestion d’une forte croissance démographique (dans le Sud), aux problèmes d’isolement pour les villes éloignées (apprentissage à distance dans le Nord), aux attaques de crocodiles dans le nord de l’État, jusqu’aux événements météorologiques tels que les cyclones forçant la fermeture d’écoles à l’échelle de l’État et les risques d’inondation subséquents. Reconnaissant l’importance d’une gestion robuste des risques, le Département a investi dans la solution Active Risk Manager de Riskonnect.
Non seulement la solution de Riskonnect répondait à nos exigences, mais l’ARM était intuitif et correspondait à la nouvelle façon dont nous parlions du risque. Il nous permet de visualiser les risques différemment.
Une vision unique du risque dans un cadre de gestion d’entreprise
Alors que ses systèmes de gestion en place devenaient de plus en plus dépendants des feuilles de calcul Excel, l’équipe a constaté que le processus textuel utilisé pour superviser et contrôler les risques ne correspondait pas à son nouveau cadre de gestion et à ses procédures. De plus, l’équipe trouvait difficile d’interpréter la valeur des risques, de surveiller les tolérances et les tendances, ainsi que d’en rendre compte et de les communiquer.
Robyn Albury, Directrice exécutive de la Gouvernance, commente : « Nous avons commencé à réfléchir à la manière dont nous pourrions communiquer sur les risques de façon compréhensible pour les décideurs de haut niveau. Nous sommes partis d’une base de processus de qualité et avons créé un cadre de gestion des risques plus facile à comprendre. En conséquence, nous avons changé notre langage et notre façon de vouloir discuter et rendre compte des risques – et les feuilles de calcul contenant plus de 800 risques ne correspondaient plus à cette façon de travailler. L’équipe des risques de l’entreprise a défini ses exigences et, après avoir invité plusieurs entreprises à soumissionner, a sélectionné Riskonnect pour son expertise dans le domaine de la GRC – et spécifiquement pour sa solution de gestion des risques, Active Risk Manager (ARM). Nous avons des processus d’approvisionnement très spécifiques qui détaillent nos besoins. Non seulement la solution de Riskonnect répondait à ces exigences, mais ARM était intuitif et correspondait à notre nouvelle façon de parler des risques. Cela nous permet de visualiser les risques différemment – ce qui nous aide à avoir des conversations différentes sur les actions et les contrôles que nous avons mis en place. »
Nous pouvons calculer le nombre de risques, les classer par catégories et observer les tendances, ce qui nous aide à communiquer avec les cadres supérieurs au sujet de leur profil de risque.
Les données sur les risques sont partagées au sein de l’organisation
Un autre avantage clé du choix de Riskonnect était que, en tant que solution basée sur le cloud, elle permet aux gestionnaires des sept bureaux régionaux, ainsi qu’à l’équipe centrale de gestion des risques de l’entreprise, d’utiliser le même système. Après le déploiement initial auprès des utilisateurs centraux, le Département a déployé une deuxième vague de licences Risk Express, conçues pour les utilisateurs métier.
Les gestionnaires de l’ensemble de l’organisation gèrent désormais activement les risques et les mettent à jour sur une base trimestrielle, tandis que l’équipe de gestion des risques de l’entreprise effectue l’interrogation et le reporting sur les tendances, les contrôles et les actions pour l’équipe de direction.
Nikki Tran, Directrice par intérim des Risques et des Politiques, commente : « L’utilisation d’ARM nous a aidés à changer nos conversations avec les propriétaires de risques. Il est plus facile pour eux de présenter visuellement les risques et pour nous d’interroger les données et de donner un retour d’information. Nous pouvons voir la probabilité et les conséquences de risques particuliers, rendre compte des contrôles en place et des actions entreprises.
Auparavant, nous n’avions pas de contrôles et d’actions documentés – maintenant nous avons cette visibilité et pouvons l’utiliser pour des domaines d’activité et des propriétaires spécifiques. C’est logique et aligné avec nos processus, soutenu par des données pertinentes. Nous pouvons calculer le nombre de risques, les catégoriser et observer les tendances, ce qui nous aide à communiquer avec les cadres supérieurs sur leur profil de risque. »
Nous pouvons désormais présenter efficacement des rapports de conformité complets au conseil d’administration. En utilisant une approche basée sur le risque, il est facile d’identifier les contrôles et les actions nécessaires qui sont alignés sur nos politiques pour répondre à nos obligations légales.
Mise en conformité avec une approche fondée sur les risques
La surveillance de la conformité a également été un avantage significatif de l’utilisation d’ARM.
Le Département a maintenant mis en place une approche basée sur les risques pour gérer la conformité, identifiant où les obligations ont été satisfaites, qui en est responsable, et où des actions doivent être entreprises. L’équipe a introduit un profil de risque d’urgence – aidant à identifier les risques, résumer les contrôles, et surveiller les actions dont les personnes sont propriétaires.
Albury a déclaré, « Nous pouvons désormais présenter efficacement des rapports de conformité complets au Conseil d’Administration Exécutif. En utilisant une approche basée sur les risques, il est facile d’identifier les contrôles et les actions requises qui sont alignés sur nos politiques pour répondre à nos obligations légales. Par le passé, nous aurions pu avoir des actions répertoriées sur plusieurs années contre certains risques, sans pouvoir suivre les progrès ou les résultats. Maintenant, nous pouvons surveiller et évaluer ce que les propriétaires de risques font pour atténuer les risques et atteindre la conformité, nous donnant une bien meilleure visibilité sur les risques. Nous pouvons commencer à associer les notations de risque avec les facteurs externes qui se produisent réellement, prendre des mesures et en rendre compte. »
À titre d’exemple, l’équipe de gestion des risques a maintenant une visibilité sur les risques liés à la santé et à la sécurité au travail dans une région rurale particulière, qui fonctionne actuellement en dehors de sa tolérance convenue.
La raison en est qu’il y a un grand nombre d’enseignants qui visitent différentes écoles à travers la région et passent de longues périodes, parfois jusqu’à 10-12 heures, à conduire pour enseigner la musique et d’autres matières spécialisées. Cela soulève potentiellement des risques pour leur santé et leur sécurité qui doivent être abordés par des contrôles et des actions appropriés pour répondre aux exigences législatives.
Albury a déclaré que « En examinant nos chiffres d’audit interne sur chaque école de la région, nous avons pu identifier que 39% des écoles ont une violation de la santé et de la sécurité au travail ou des problèmes de non-conformité. En utilisant les contrôles et les données dans ARM que nous avons mis en place, nous pouvons maintenant approfondir et identifier quel est le risque, qui en est le propriétaire et ce qu’il fait à ce sujet.
Nous pouvons facilement dire à notre conseil d’administration d’où provient la notation – quelle zone la voit et identifier pourquoi elle est hors tolérance. »
L’ARM a transformé notre capacité à établir des rapports et à prendre des décisions. Il nous présente une excellente histoire ou nous aide à cibler les domaines qui requièrent l’attention de notre conseil d’administration. Il nous offre une transparence totale et une vision unique des risques dans l’ensemble de l’organisation.
Une meilleure connaissance pour de meilleures décisions
Dans l’ensemble, l’ARM permet à l’équipe de gestion des risques de l’entreprise d’avoir les faits à portée de main et de les interpréter pour mettre en évidence les problèmes, les actions ou les réussites.
