Risques

Les risques auxquels sont confrontées les organisations peuvent avoir des conséquences en termes de performance économique et d’image, mais également au niveau de l’environnement, de la sécurité et de la société. Ainsi, la gestion des risques permet aux entreprises d’être performantes dans un environnement régi par l’incertitude.

La gestion des risques comprend l’identification, l’évaluation et la priorisation des risques (définis par la norme ISO 31000 comme « effet de l’incertitude sur l’atteinte des objectifs ») avec pour objectif de minimiser, gérer, superviser et contrôler la probabilité ou l’impact des événements négatifs. Les menaces peuvent avoir pour origine une incertitude financière, une responsabilité juridique, des problèmes de gestion, des accidents, des causes naturelles et des catastrophes, ou des événements dont les causes sont incertaines et imprévisibles.

La gestion des risques d’un projet est un processus continu débutant lors de la phase de planification et se terminant une fois le projet accompli avec succès.

Les étapes fondamentales de la gestion des risques, décrites plus en détail dans ce document, sont les suivantes :

image2.png

Identifier les risques

L’identification des risques consiste à identifier et lister les risques pouvant affecter le projet défavorablement ou favorablement.

Note

Chez Sciforma, nous nous concentrons essentiellement sur les risques négatifs.

Qu’est-ce qu’un risque ?

Un risque est un événement ou un ensemble d’événements incertain(s) qui, s’il(s) se produit/produisent, aura/auront un effet sur la réalisation des objectifs.

Les risques sont causés à la fois par des risques internes (découlant d’événements qui se produisent au sein de l’organisation) et externes (découlant d’événements qui se produisent à l’extérieur de l’organisation).

  • Les risques internes résultent de facteurs (variables endogènes, sur lesquelles il est possible d’agir) tels que :

    • Les facteurs humains (gestion des ressources, grèves)

    • Les facteurs technologiques (technologies émergentes)

    • Les facteurs physiques (pannes de machines, incendie, vol)

    • Les facteurs opérationnels (accès aux financements, réduction des coûts, publicité)

  • Les risques externes résultent de facteurs (variables exogènes, qui ne peuvent être contrôlées) tels que :

    • Les facteurs économiques (risques du marché, pression sur les prix)

    • Les facteurs naturels (inondations, tremblements de terre)

    • Les facteurs politiques (conformité avec les exigences et réglementations imposées par les gouvernements)

Lors de cette phase d’identification et en fonction des expériences précédentes, le chef de projets devra dresser une liste de risques. À partir de cette liste initiale peut être constitué un registre des risques afin d’assurer que tous les risques soient analysés, priorisés et supervisés.

Les registres des risques doivent normalement inclure les champs suivants :

  • Type de risque

  • Description

  • Impact sur les coûts

  • Probabilité

  • Niveau de risque

  • Actions possibles

  • Responsable de l’action

Une fois tous les risques identifiés, un plan d’atténuation des risques peut être élaboré.

Un plan d’atténuation des risques doit inclure les réponses aux risques identifiés par chaque responsable. Ce plan doit clairement définir la réponse adoptée, le responsable, les résultats des analyses quantitative et qualitative ainsi que le budget et le calendrier de mise en œuvre de la solution proposée pour faire face au risque.

Analyser et prioriser les risques

La phase d’analyse des risques permet de déterminer la probabilité et l’impact des risques identifiés et de prioriser ces derniers en vue de les présenter à la direction.

L’analyse repose sur une approche en deux étapes :

  1. Une analyse qualitative – la gravité et la probabilité, ainsi que les impacts sur les délais, le coût et la qualité, doivent être affectés à chaque risque.

  2. Une analyse quantitative – les impacts sur les délais et les coûts exprimés en termes de jours et de budget doivent également être évalués pour anticiper les conséquences (et donc la pénalité) du risque sur le projet.

Ces valeurs seront ensuite utilisées pour classer les risques et les positionner sur la matrice de gravité/probabilité, qui illustre et compare les risques en fonction de la valeur du niveau de risque.

Le niveau de risque est défini comme le résultat de la probabilité et de la gravité potentielle du risque.

Cette matrice a plusieurs objectifs :

  1. Apporter aux personnes décisionnaires une vision globale de l’ensemble des risques.

  2. Permettre une meilleure évaluation des risques.

  3. Élaborer des plans d’action pour éviter l’apparition des risques et limiter leur impact.

Matrix_-_Dashboards_full_screen_view.png

Les couleurs associées sont les suivantes :

Probabilité x Gravité

Niveau de risque

Green.png

1, 2 ou 3

Minimum

Light_Green.png

4 ou 6

Faible

Yellow.png

5, 8 ou 9

Modéré

Orange.png

10, 12 ou 16

Élevé

Red.png

15, 20 ou 25

Très élevé

Exemple : si la probabilité d’un risque est « Possible » et sa gravité « Mineure », le niveau de risque sera calculé comme suit : 3 (Probabilité) x 2 (Gravité) = 6. Ainsi, le niveau de risque sera considéré comme « Faible » (image1.png) et sera illustré tel quel dans la matrice.

Atténuer les risques

Lors de cette phase, le chef de projets détermine quels sont les risques les plus importants et définit et met à exécution un plan afin d’amoindrir ces risques grâce à des initiatives de contrôle. L’objectif de ces stratégies d’atténuation des risques est de réduire, sinon de totalement éliminer l’impact défavorable des risques connus ou perçus avant même qu’ils ne surviennent.

Il existe différentes réponses possibles au(x) risque(s) :

  1. L’évitement des risques – il est rarement possible d’éliminer complètement tous les risques. Cependant, une stratégie d’évitement des risques permettra de contrer autant de menaces que possible afin d’éviter des conséquences coûteuses et perturbatrices en cas d’événement néfaste. Les chefs de projets peuvent, par exemple, modifier le planning du projet.

  2. Le partage des risques – parfois, les conséquences d’un risque sont partagées, transférées ou distribuées entre différents participants ou départements du projet. Le risque peut également être partagé avec un tiers comme par exemple un partenaire commercial. Le partage des risques est souvent réalisé au moyen d’accords contractuels.

  3. La réduction des risques – les entreprises sont parfois à même de réduire ou d’atténuer les effets que certains risques peuvent avoir sur leurs processus. Pour ce faire, elles peuvent ajuster certains aspects du planning général d’un projet ou d’un processus de l’entreprise, ou en réduire le périmètre.

  4. L’acceptation des risques – il arrive que certaines entreprises décident que le risque qu’elles prennent est justifié d’un point de vue commercial, et donc qu’elles décident de maintenir ce risque et d’en gérer les conséquences. Il est fréquent pour une entreprise de conserver un certain niveau de risque si le bénéfice attendu d’un projet est supérieur au coût du risque potentiel.

Pour résumer, les stratégies d’atténuation consistent à prendre des mesures anticipées et proactives. L’atténuation des risques obéit au dicton suivant : « Mieux vaut prévenir que guérir ».

Exécuter un plan de contingence

Bien que le plan d’atténuation soit mis en place afin de réduire l’exposition aux risques, ces derniers peuvent tout de même se concrétiser. Les chefs de projets doivent alors établir un plan de contingence afin de gérer les risques de manière appropriée. Le plan de contingence amortit et endigue l’incidence des événements non désirés. Les initiatives de contingence sont amorcées dès lors que des signaux d’alarme suffisants sont repérés et que le risque est inévitable.

Quelles sont les principales différences entre un plan d’atténuation et un plan de contingence ?

Plan d’atténuation

Plan de contingence

Il consiste à agir pour prévenir un risque avant qu’il ne se produise.

Il consiste à agir pour compenser un risque après qu’il se soit produit.

Un plan d’atténuation peut être considéré comme un PLAN A.

Un plan de contingence peut être considéré comme un PLAN B.

Un plan d’atténuation est préventif.

Un plan de contingence est réactif.

Les actions seront planifiées à l’avance pour les risques identifiés, peu importe que le risque se produise ou non et peu importe sa gravité.

Les actions seront planifiées à l’avance mais certains signaux d’alarme seront surveillés et des actions seront prises lorsque ces signaux se produiront.

Il permet de réduire la probabilité de l’impact du risque identifié.

La probabilité ou l’impact ne change pas, mais il permet de contrôler l’impact.

Superviser et contrôler les risques

La dernière phase de la gestion des risques consiste à superviser et contrôler les risques. Cette phase est instaurée afin de suivre les risques potentiels, surveiller la mise à exécution des plans et mesurer l’efficacité des procédures de gestion des risques. La supervision et le contrôle doivent être effectués tout au long du cycle de vie du projet ; ils permettent d’améliorer et de mieux orienter le processus global de gestion des risques. Rappelons qu’un risque évolue souvent et qu’il peut toujours changer. Le processus de supervision est donc essentiel pour une gestion proactive des risques.

La supervision et le contrôle des risques sont indispensables pour :

  • Assurer l’exécution de plans de gestion des risques et évaluer leur efficacité quant à leur réduction.

  • Suivre les risques identifiés.

  • Surveiller les conditions de mise en place des plans de contingence.

  • Surveiller les risques persistants et identifier les nouveaux risques apparaissant lors de l’exécution du projet.

  • Mettre à jour les éléments du processus de l’organisation.

Le rôle de la supervision des risques est de déterminer si :

  • Les réponses apportées aux risques ont été exécutées comme prévu.

  • Les actions de réponse aux risques sont aussi performantes que prévu ou si de nouvelles réponses doivent être élaborées.

  • Les conditions du projet sont toujours valables.

  • L’exposition au risque a évolué par rapport à son état antérieur (déterminé par l’analyse des tendances).

  • Un facteur déclencheur de risque s’est produit.

  • Les politiques et procédures appropriées sont mises en œuvre.

  • De nouveaux risques non identifiés précédemment sont apparus.

Relations avec les autres objets de Sciforma

Les relations disponibles au regard des risques sont les suivantes :

Risk_Relationships.png

Transformed_into.png

Transformé en

Cette relation peut être créée dès lors qu’un risque atteint l’état du processus « Fermé ». Le risque pourra alors être transformé en un autre objet, tout en permettant à l’utilisateur de suivre son évolution.

Les risques peuvent être transformés en événements (1-1) et en activités (1-1).

Attached_to.png

Attaché à

Le risque peut être attaché à un autre objet, permettant ainsi d’associer certains ou bien l’ensemble des éléments qu’ils contiennent respectivement. Cette connexion peut être créée ou supprimée sans conséquence.

Les pièces jointes (1-N) peuvent être attachées aux risques.

LoopGrey

Dupliqué et Attaché à

Cette relation peut être créée dès lors que le risque atteint l’état du processus « Dupliqué ». Le risque peut alors avoir une relation parent-enfant avec un autre risque.

Un risque peut être attaché à un autre risque (N-N) en les connectant l’un à l’autre.