Gestion des risques projet

​​​​​Il faut prendre le maximum de risques avec le maximum de précautions

 Rudyard Kipling​​​​​​​​​​​​​​

Culture Générale : la notion de risque

Selon l’ISO Guide 73, révisé lors de l’élaboration de l’ISO 31000:2009, le risque est défini comme “l’effet de l’incertitude sur les objectifs”.

Une note complémentaire précise que le risque est souvent défini en référence à des événements et des conséquences potentiels, ou à une combinaison des deux.

On veillera à bien distinguer la notion de risque d’autres notions connexes :​​​​​​​
  • Imprévu : événement virtuel non identifiable,
  • Aléa : événement virtuel identifiable mais non quantifiable,
  • Risque : événement virtuel identifiable et quantifiable,
  • Problème : événement virtuel déjà réalisé.

Qu’est-ce qu’un risque en gestion de projet ?

Un risque est un événement ou une situation susceptible d’impact sur au moins un objectif du projet, tels que le planning, les coûts, la qualité, la performance du produit, la conformité aux spécifications, la satisfaction client, ou l’image de l’entreprise. Un risque implique essentiellement un écart potentiel par rapport aux prévisions, ayant un impact significatif et difficilement acceptable. Il se matérialise par des pertes probables, identifiées et mesurables, telles que :
  • L’application de pénalités de retard en cas de non-respect du planning.
  • La perte de marge sur le projet, voire une perte nette, en cas de dépassement du budget.
  • L’insatisfaction du client pouvant entraîner des litiges en cas de défaut de qualité.
  • Les plaintes des utilisateurs en cas de non-respect des exigences

Quand gérer les risques ?

La gestion des risques est une préoccupation constante tout au long du cycle de vie d’un projet, de sa phase commerciale initiale jusqu’à sa clôture comptable.

Elle revêt une importance structurante dès la phase avant-vente, car elle détermine les provisions pour les risques, et lors du lancement du projet (initialisation ou Sprint #0).

Pendant l’exécution, un suivi constant est essentiel.

Qui gère les risques ?

Le pilote du projet, chef de projet ou directeur de projet/programme, est en première ligne pour assurer une visibilité sur les risques et, autant que possible, prévenir leur transformation en problèmes.

Cependant, tous les collaborateurs du projet ont une responsabilité partagée dans l’identification et la gestion opérationnelle des risques.

Comment gérer les risques ?

Le processus de gestion des risques est structuré autour de quatre grandes étapes :

  1. L’identification des risques,
  2. L’évaluation des risques,
  3. Le traitement des risques,
  4. La surveillance et le reporting des risques.

L’identification des risques

La première étape du processus de gestion des risques consiste à répertorier les événements pouvant potentiellement avoir un impact négatif sur les objectifs du projet. Cette étape est cruciale dès la phase avant-vente pour évaluer les risques. Il est essentiel d’impliquer toutes les parties prenantes du projet afin de repérer les problèmes potentiels et d’adresser tous les types de risques. Exemples de questions à considérer :
  • Risques fonctionnels : la compréhension des besoins et des exigences du client est-elle suffisante pour définir clairement la portée du projet et estimer les coûts avec précision ?
  • Risques organisationnels : avons-nous les ressources humaines adéquates et compétentes pour gérer le projet selon les contraintes du client ?
  • Risques technologiques : la technologie requise est-elle bien maîtrisée et expérimentée pour garantir la réussite du projet ?
  • Risques financiers : le client est-il solvable ? Les clauses de pénalité sont-elles acceptables ?
  • Risques de sécurité : le projet nécessite-t-il des mesures de sécurité renforcées ? Le client est-il exposé à des risques de sécurité importants ?
  • Risques externes : existent-ils des dépendances avec des tiers inconnus ou des réglementations susceptibles d’affecter le projet ?
Pour identifier les risques, plusieurs approches peuvent être utilisées, telles que :
  • l’analyse de la documentation,
  • les entretiens avec les parties prenantes internes et externes,
  • les sessions de remue-méninges,
  • les retours d’expérience sur des projets similaires, et l’utilisation de listes de contrôle ou de questionnaires.
En plus de les identifier, il est également nécessaire de détailler les risques. Pour être considéré comme valide, un risque doit inclure les éléments suivants :
  • Description du risque
  • Causes du risque
  • Conséquences du risque
  • Pilote du risque
  • Évaluation du risque (qualitative et quantitative)
  • Plan de traitement associé au risque
Il est important de produire une liste de risques suffisamment détaillée, de distinguer clairement les risques des problèmes, et de ne pas confondre les deux.

L’évaluation des risques

Évaluer les risques permet de déterminer leurs conséquences en cas de survenance en tant que problèmes. Cette évaluation se base sur deux axes principaux : l’impact du risque s’il se matérialise et sa probabilité d’occurrence. Ces deux variables permettent de définir la gravité du risque. L’impact d’un risque doit être considéré selon quatre aspects : coût, délai, qualité et conformité aux exigences. Pour chaque projet, il est nécessaire de définir une échelle spécifique afin d’homogénéiser et de fiabiliser l’évaluation qualitative des risques. L’utilisation d’une matrice peut faciliter cet exercice, par exemple : Déterminer la probabilité d’apparition d’un risque revient à estimer la possibilité que le risque se produise, au jour de l’identification des risques, sur une échelle de 1 à 4 :​​​​​​​ La sévérité, également appelée criticité, est définie par le produit de l’impact du risque et sa probabilité d’apparition :
S = P x I
La sévérité se matérialise sous forme de tableau de croisement, sur lequel peuvent être positionnés les risques identifiés et évalués :  

Le traitement des risques

Les risques peuvent être adressés par le biais d’un plan d’action dans le cadre d’une stratégie de réponse adaptée. L’objectif est double : réduire la probabilité d’occurrence du risque (prévention) et/ou atténuer son impact (mitigation). Cinq stratégies de traitement sont envisageables :
  1. Évitement : Modifier les facteurs de risque à la source peut prévenir le risque, par exemple en ajustant l’architecture lors de la conception initiale. Les modifications sont ensuite intégrées dans le plan de projet.
  2. Délégation : Le risque peut être transféré à une entité mieux équipée pour le gérer. Par exemple, un risque lié à la sécurité informatique peut être confié à une équipe spécialisée. Le plan de projet documente cette délégation de responsabilité.
  3. Prévention : Un risque peut être atténué par la mise en place de mesures préventives telles que des audits ou des tests spécifiques, réduisant ainsi la probabilité de survenance.
  4. Prise de décision : Si le risque est inhérent au projet, il peut être accepté ou rejeté par la direction de l’entreprise. Par exemple, une première expérience avec un nouvel éditeur peut être considérée comme un risque que l’entreprise choisit d’assumer ou non.
  5. Réponse conditionnelle : Un plan de secours peut être élaboré pour réagir à un risque identifié, avec activation uniquement si le risque se matérialise. Ce plan est documenté dans le plan d’action du projet.

Zoom : la provision pour risques

La contingence pour risques opérationnels est une réserve budgétaire destinée à couvrir les charges liées à la mise en œuvre d’une stratégie de réduction des risques.

Elle est cruciale en cas de concrétisation des risques identifiés dans un projet.

Concrètement, elle représente un pourcentage de la charge totale du projet, basé sur le taux journalier moyen du projet.

Ce pourcentage dépend du niveau de risque estimé en phase d’avant-vente et validé en Deal Review, couvrant les risques identifiés et une proportion de risques aléatoires.

Le pourcentage recommandé varie de 5% à 15%, selon le niveau de risque du projet.

La contingence est isolée financièrement et n’est utilisée que lorsque la criticité d’un risque augmente ou lorsque le risque se matérialise.

Si elle n’est pas utilisée, elle est réintégrée dans le chiffre d’affaires en fin de projet, pour améliorer la marge.

La provision pour risques est strictement confidentielle vis-à-vis du client.

Le monitoring et le reporting des risques

Le pilote du projet surveille en permanence les risques, en collaboration avec les parties prenantes, pour assurer leur maîtrise.

Les risques existants sont régulièrement mis à jour dans le registre des risques, lors des réunions de gouvernance récurrentes ou à des jalons clés du projet.

Les plans d’action sont ajustés en fonction de la gravité des risques.

La consommation de la provision pour risques est également évaluée à ces moments, avec l’accord préalable de la direction si elle a été engagée.

Tout nouveau risque identifié est enregistré dans le registre dès son identification, sous la responsabilité du pilote de projet.

Le reporting est réalisé lors des comités de projet internes, avec une liste complète des risques identifiés.

Il est également effectué auprès du client lors des comités de pilotage, en mentionnant uniquement les risques pertinents pour le client et en évitant ceux relevant du fonctionnement interne de l’entreprise ou pouvant être perçus comme une ingérence chez le client.

 

Zoom : les opportunités

La matrice SWOT, qui analyse les Forces, les Faiblesses, les Opportunités et les Menaces, se divise en deux zones externes : les menaces et les opportunités.

Dans cette analyse, les menaces sont équivalentes aux risques, représentant des événements ou situations pouvant impacter négativement le projet.

En revanche, les opportunités sont des éléments imprévus, tels qu’événements, initiatives ou idées, qui pourraient avoir un impact positif sur le projet.

Ainsi, une gestion efficace du projet nécessite une attention égale aux risques et aux opportunités. Chaque opportunité identifiée doit être consignée et qualifiée, intégrée dans le registre de suivi des risques.

Une analyse approfondie de chaque opportunité peut être menée pour évaluer objectivement son intérêt, et le cas échéant, elle peut faire l’objet d’un plan d’action spécifique pour sa mise en œuvre opérationnelle.

0 commentaires

Soumettre un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *