Démarche du management des risques d'un projet
La démarche de management des risques d’un projet s'appuie en général sur un processus continu et itératif qui vise successivement, à identifier et analyser les risques encourus, à les évaluer et les hiérarchiser, à envisager les moyens de les maîtriser, à les suivre et les contrôler, et enfin à capitaliser le savoir-faire et l’expérience acquis dans ce domaine.Ce processus se décompose donc en cinq grandes étapes :
- Étape n°1 : L'identification et la caractérisation des risques.
- Étape n°2 : L'évaluation et la hiérarchisation des risques.
- Étape n°3 : Le traitement des risques.
- Étape n°4 : Le suivi et le contrôle des risques.
- Étape n°5 : La capitalisation et la documentation des risques.
L'identification et la caractérisation des risquesLe préalable à toute démarche de gestion des risques consiste à répertorier, de manière la plus exhaustive possible, tous les événements générateurs de risques pour le projet et pouvant conduire à sa remise en cause ou au non respect de ses objectifs. Pour entreprendre ce recensement plusieurs techniques peuvent alors être utilisées, puis combinées : l’analyse de la documentation existante, l’interview d’experts, la réalisation de réunions de brainstorming, l’utilisation d’approches méthodologiques (comme l’AMDEC, l’APR, les arbres de causes…), la consultation de bases de données de risques rencontrés lors de projets antérieurs ou encore l’utilisation de check-lists ou de questionnaires préétablis et couvrant les différents domaines du projet.
Une fois cette identification réalisée, il convient ensuite d’analyser, de manière plus ou moins détaillée, leurs causes et leurs incidences potentielles, et de les caractériser. Mais il s’agit également d’examiner les interactions possibles et les combinaisons éventuelles, afin de déceler les risques qui peuvent en découler et compléter ainsi la liste de risques déjà identifiés.
Il en résulte alors une liste de risques possibles qu’il convient ensuite de classifier selon différentes typologies de causes possibles (causes techniques, politiques, organisationnelles…), de façon à définir des actions de maîtrise adaptées à chaque risque.
haut de page
L'évaluation et la hiérarchisation des risquesLa gestion des risques s'appuie également sur une analyse quantitative pour mieux appréhender et estimer leurs impacts sur les coûts, les délais et/ou les spécifications techniques du projet.
L'objectif de cette quantification est alors double. Il s'agit, tout d'abord, de bien distinguer parmi les risques préalablement identifiés, ceux qui n'en sont pas ou qui sont non fondés, et qu'il convient par conséquent de rejeter de l'analyse, et ceux qui sont réels et susceptibles d’affecter le déroulement du projet, qui demandent alors une attention constante et qui doivent faire l'objet d'un traitement et d'un suivi particuliers.
Cette seconde étape consiste à évaluer, dans la mesure du possible, la probabilité d’apparition de chaque risque recensé et à estimer la gravité de leurs conséquences directes et indirectes sur les objectifs du projet.
Une fois les risques évalués, il convient ensuite de les hiérarchiser, c'est-à-dire fournir un ordre de grandeur permettant de distinguer les risques acceptables des risques non acceptables pour le projet. Le but de cette hiérarchisation est d’apprécier l’impact de chacun des risques détectés sur le projet et de déterminer globalement le niveau d’exposition aux risques du projet. Il en résulte alors une liste ordonnée et valorisée de risques associés au projet.
La finalité de cette quantification est de pouvoir ainsi se focaliser sur les risques prépondérants, de préparer les parades les plus efficaces possibles et de définir les actions à mener en priorité pour les maîtriser.
haut de page
Le traitement des risquesLe management des risques consiste également à les traiter, c’est-à-dire définir et mettre en œuvre les dispositions appropriées pour les ramener à un niveau acceptable et les rendre ainsi plus supportables dans le cadre du projet. Cela nécessite donc de définir des réponses types et de mettre en œuvre, risque par risque, un certain nombre d’actions visant soit à supprimer ses causes, soit à transférer ou partager sa responsabilité ou le coût du dommage à un tiers, soit à réduire sa criticité (en diminuant sa probabilité d’apparition ou en limitant la gravité de ses conséquences), soit à accepter le risque tout en le surveillant.
haut de page
Le suivi et le contrôle des risquesAu fur et à mesure que le projet se déroule, le portefeuille des risques potentiels doit être réajusté en fonction des nouvelles informations recueillies. Certains risques pouvant disparaître, d’autres apparaître ou d’autres encore, considérés initialement comme faibles, pouvant devenir rapidement inacceptables pour l'entreprise dès lors qu'ils n'ont pu être maîtrisés, le niveau d’exposition aux risques du projet est amené à changer. C'est pourquoi il est important de procéder périodiquement au suivi et au contrôle des risques encourus.
L’objet de cette quatrième étape est de mettre à jour la liste initiale des risques identifiés, d’affiner les données caractéristiques des risques déjà connus, de réévaluer leur criticité, de contrôler l’application des actions de maîtrise, d’apprécier l’efficacité des actions engagées, et de surveiller le déclenchement des événements redoutés et leurs conséquences.
haut de page
La capitalisation et la documentation des risquesLe management des risques d’un projet nécessite enfin de capitaliser le savoir-faire et les expériences acquises et d’établir une documentation rigoureuse sur les risques associés au projet. Cela doit permettre d’enrichir la connaissance des risques potentiels et dommageables, d’accroître la réactivité à chaque niveau d’intervention, de faciliter la prise de décision et d’améliorer l’efficacité des actions de maîtrise.
Pour cela, il convient, d’une part, de formaliser un certain nombre de documents spécifiques (le Plan de Management des Risques du projet, le Dossier de Management des Risques du projet…) permettant d’assurer la traçabilité des risques rencontrés, des actions engagées, ainsi que les résultats obtenus. D’autre part, il convient d’organiser et de planifier la collecte et le stockage des informations utiles. Cette capitalisation et cette documentation des risques doivent être effectuées de manière périodique afin de donner l’état global des risques encore encourus et d’apprécier l’état d’avancement des actions de maîtrise mises en œuvre.
