Editions ENI Livres | Vidéos | e-Formations
Piloter le projet par les risques
Objet du chapitre
La gestion des risques appliquée à la gestion de projet utilise des concepts et outils proches de ceux que l’on trouve dans le domaine de la gestion des risques d’entreprise. Le présent chapitre traite de la gestion des risques du projet, c’est-à-dire de la gestion des risques appliquée à un processus temporaire (le processus projet). Il convient de ne pas confondre ce domaine avec le domaine de gestion des risques du système d’information, largement doté de méthodes et d’outils (normes ISO 27005, EBIOS, etc.).
De son côté, le domaine de la gestion des risques projet n’est pas dénué de normes et standards dédiés comme :
-
ISO/CEI 62198-2002 : Gestion des risques liés à un projet : lignes directrices pour l’application (ISO).
-
FD X 50-117 : Management des risques dans les projets (AFNOR).
-
BS 6079-3:2000 : Project Management : Guide to the Management of business related project risk (British Standard Institution).
La gestion des risques d’un projet a pour conséquence la mise en place d’actions qui visent à éviter ou à réagir à des événements redoutés. Dans le cadre d’un projet, un risque est un événement qui pourrait engendrer un écart du projet par rapport aux bénéfices qu’il...
Concept de risque
De manière générale, la notion de risque est associée à la potentialité d’un événement redouté. En matière de gestion de projet, on peut parler plus précisément de la potentialité d’échec ou d’atteinte partielle d’un objectif, considéré comme un résultat attendu du projet.
Ainsi, si on considère que le projet est contraint selon les trois dimensions que sont son délai, son budget et sa valeur ajoutée (pour un certain coût et dans un certain délai, le projet produit des bénéfices attendus) on peut définir le risque projet comme suit : un risque projet est un événement redouté dont les effets feraient que le projet ne s’exécuterait pas conformément aux prévisions de délai, de coût et de valeur ajoutée.
Dans ce contexte, un risque peut être un événement qui peut générer, par exemple, l’augmentation du coût du projet, la réduction des bénéfices attendus par le client, l’accroissement du délai du projet, la perte de qualité du système, une réduction de fonctionnalités du système, une perte de satisfaction des utilisateurs du système, etc.
Un événement redouté peut...
Caractéristiques des risques
Les risques identifiés d’un projet font l’objet d’une classification selon des catégories (risque technologique, risque humain, etc.) afin de faciliter la compréhension de la cartographie des risques et leur bonne gestion (voir la section Catégories de risques de ce chapitre).
L’état du risque est lui de trois types : il est latent, apparu ou disparu. Un risque latent est géré de manière préventive et fait l’objet d’actions de surveillance. Un risque apparu est lui géré de manière curative.
L’identification des causes potentielles associées à un risque est fondamentale afin de bâtir un plan de maîtrise des risques, en particulier le plan de surveillance du risque et son plan préventif.
Le plan de maîtrise d’un risque consiste donc à associer un plan de surveillance du risque, un plan d’actions préventives (avant que le risque apparaisse) et un plan d’actions correctives (une fois l’événement redouté apparu).
Le responsable d’un risque (ou d’une catégorie de risques) est chargé de réévaluer périodiquement le risque, de bâtir le plan de maîtrise du risque dont il a la responsabilité et d’en assurer son exécution.
Enfin, seuls les risques ayant...
Processus de gestion des risques d’un projet
Le processus de gestion des risques débute par l’établissement de la liste des risques du projet, c’est-à-dire des événements redoutés qui écarteraient de manière grave le projet d’une ou de plusieurs des trois contraintes auxquelles il doit se soumettre (son budget, son délai et sa valeur ajoutée).
La notion de gravité d’un risque est toute relative. La gravité est en effet appréciée comme acceptable ou pas pour le projet par rapport à un seuil d’acceptabilité du risque qu’il convient de définir pour chaque projet.
La gravité est cependant tout à fait quantifiable et s’exprime sur la base de la variable impact (impact exprimé pour chacune des trois contraintes du projet) et sur la base d’une estimation de la probabilité d’occurrence de l’événement redouté.
Dans le cas où la gravité estimée du risque serait jugée comme acceptable, alors le risque n’est pas géré : il est accepté en l’état et le projet accepte d’en payer les conséquences dans le cas où l’événement redouté serait avéré. Dans le cas contraire, un travail d’analyse des causes possibles de chaque...
Identification des risques
1. Catégories de risques
Les risques peuvent être classés selon les neuf catégories proposées dans le schéma suivant.
a. Risques politiques et stratégiques
Il peut par exemple s’agir d’un changement majeur de la stratégie d’entreprise qui ferait que le projet ne serait plus aligné du tout sur la nouvelle stratégie définie. Dans ce cas, le risque est endogène à l’entreprise (initiative de changement interne) ou exogène (une cause externe comme le rachat de l’entreprise par un tiers par exemple).
Généralement, ces risques ne sont pas gérés au niveau du projet mais au niveau du système de gestion des risques de l’entreprise. Cependant, le cas échéant, le projet peut intégrer ce type de risque à son système de gestion dans le cas d’un haut niveau de gravité potentiel pour le projet.
b. Risques juridiques et réglementaires
Là encore, il peut s’agir de risques externes au projet comme une autorisation administrative qui rendrait possible ou pas le projet, une instabilité ou un changement dans le système fiscal, etc. ou de risques internes comme des garanties trop faibles dans le contrat qui lie le projet à un sous-traitant, des clauses de responsabilités incertaines, etc.
c. Risques fournisseurs et partenaires
La pérennité d’un fournisseur, le rachat d’un fournisseur par des concurrents, un fournisseur en situation de monopole ou une dépendance trop forte du fournisseur vis-à-vis du client constituent autant de faiblesses potentielles pour le projet.
d. Risques qualitatifs
Le non-respect du cahier des charges ou encore du plan projet, des négligences pendant les phases de test ou encore le non-respect de bonnes pratiques ou de normes et standards peuvent conduire à une baisse de qualité du système produit par le projet.
e. Risques de communication...
Estimation des risques
Une fois les risques identifiés, le travail d’estimation des risques peut être engagé. L’estimation des risques s’appuie sur trois concepts : la probabilité, l’impact et la gravité.
1. Probabilité
La probabilité d’apparition de l’événement redouté fait référence à un concept bien connu qui se mesure par un pourcentage qui représente le degré de certitude selon lequel l’événement pourrait se produire. Plus ce nombre est grand, plus le risque que l’événement se produise est grand.
Dans le cadre d’un projet, on peut mesurer ce niveau de probabilité de deux manières :
-
De manière mathématique en comptant le nombre de fois que l’événement s’est produit au sein des projets passés de l’organisation.
-
De manière empirique en estimant un niveau de probabilité au regard de l’avis d’un groupe d’experts.
On mobilise ainsi pour ce travail d’estimation de la probabilité de chaque risque des méthodes proches ou identiques à celles employées pour l’identification de ces mêmes risques :
-
Des réunions de travail.
-
Des entretiens individuels avec des experts.
-
L’exploitation de la base de connaissances des projets passés.
Classes de probabilité
En l’absence de méthode mathématique qui permet d’évaluer la probabilité de manière précise (fréquence d’apparition constatée de l’événement redouté), on peut estimer la probabilité des risques selon des classes comme présenté dans le tableau ci-après.
|
Classe de probabilité |
Intitulé de la classe |
Nature des conséquences |
|
P1 |
Extrêmement improbable |
P < 1 % |
|
P2 |
Très improbable |
1 % < P ⩽ 10 % |
|
P3 |
Improbable |
10 % < P ⩽ 30 % |
|
P4 |
Possible |
30 % < P ⩽ 70 % |
|
P5 |
Probable à certain |
70 % < P |
Chaque entreprise peut décider du nombre et de la définition de chaque classe de probabilité. Il convient cependant que les classes définies et les méthodes de quantification soient homogènes d’un projet à un autre au sein de la même...
Identification des causes des risques
Les causes d’un risque sont les événements qui généraient le déclenchement du risque. L’analyse des causes des risques constitue un point de passage obligé pour mettre au point le plan de maîtrise du risque.
L’étape qui suit la sélection des risques à maîtriser vise donc à identifier les causes de chaque risque dans la perspective de bâtir le plan de gestion (ou de maîtrise) des risques.
L’outil souvent utilisé pour identifier les causes d’un événement redouté est le diagramme d’IshiKawa, ou diagramme de cause à effet, qui permet de mettre en évidence les liens de causalité entre plusieurs éléments d’un même effet (voir le chapitre Accompagner le changement).
L’idée maîtresse du diagramme d’Ishikawa est qu’un événement redouté pourrait être dû à plusieurs causes et non à une cause unique. La recherche des causes doit donc se faire dans de multiples directions.
Le diagramme d’Ishikawa a une forme d’arête de poisson avec les causes regroupées en catégories qui génèrent l’effet (ici l’événement redouté).
Ce type de diagramme n’est pas un outil miracle. Il s’agit en réalité...
Maîtrise des risques
1. Stratégies possibles de gestion du risque
Sur la base des risques identifiés et des causes associées, on peut dégager une stratégie de gestion pour chaque risque. Trois stratégies de gestion des risques principales sont possibles : le transfert du risque, l’élimination du risque et la réduction de la gravité du risque.
a. Transfert du risque
Le transfert du risque consiste à faire porter le risque par un tiers. Ce point se rapproche du concept d’assurance, mais cela a un coût. De manière plus pratique et dans le cadre d’un projet, il peut par exemple s’agir de confier une partie du projet à un prestataire qualifié si le risque est de nature technique ou humaine (manque de compétences et/ou de disponibilité des ressources humaines).
b. Élimination du risque
L’élimination du risque n’est pas une chose aisée. Elle consiste en la suppression de l’origine du risque, c’est à dire des causes du risque.
Il peut par exemple s’agir de réduire le périmètre du projet (donc sa valeur ajoutée) si le ratio bénéfice/risque est jugé comme inacceptable pour une partie du périmètre projet.
Souvent, il n’est pas possible d’éliminer toutes les causes du risque et seule une réduction de la gravité du risque est possible.
c. Réduction de la gravité du risque
La réduction de la gravité du risque passe par l’analyse des causes...
Organisation humaine pour la gestion des risques
Pour les petits projets, la gestion du risque n’est pas clairement indiquée comme une mission du chef de projet. Il est courant alors que la gestion des risques ne soit pas une activité traitée en tant que telle.
Pour des projets plus importants, la gestion des risques est souvent une mission affectée au chef de projet. Pour les plus grands projets encore, la création d’une cellule de gestion des risques est nécessaire. Pour les projets les plus stratégiques, la cellule est dédiée au projet, pour la durée de celui-ci. Dans d’autres cas, une cellule peut être partagée par plusieurs projets.
La mission de la cellule de gestion des risques est de planifier et de mettre en œuvre une gestion continue des risques, de surveiller l’évolution de leurs attributs et de veiller à ce qu’ils soient maîtrisés (plan préventif, plan correctif, etc.). Cette cellule n’est pas une structure de décision mais une structure d’instruction qui apporte des informations de décision au chef de projet et au comité de pilotage.
Les missions de la cellule de gestion des risques sont multiples :
-
Identifier : anticiper les alertes et cerner les risques avant qu’ils ne deviennent des problèmes.
-
Analyser : évaluer l’incidence des risques, leur probabilité...
