Processus de Management des Risques : les 4 étapes essentielles

Partager sur linkedin
Partager sur twitter
Partager sur facebook

Back to top

Dans les articles Gestion des Risques Projet et 5 Éléments indispensables à la Mise en Place d’un Management des Risques, nous avons examiné ce qu’est le management des risques et les éléments indispensables à la mise en place dans votre organisation. Nous allons maintenant expliquer le processus de management des risques et comment identifier, évaluer et répondre aux risques projet.

Le processus de management des risques est une méthode clairement défini pour comprendre : quels risques et opportunités sont présents, comment ils peuvent impacter un projet ou une organisation et comment y répondre.

Les 4 étapes du management des risques sont :

  1. L’identification des risques.
  2. L’évaluation des risques.
  3. Le traitement des risques.
  4. Le monitoring et reporting des risques.
les quatre étapes de processus de management des risques : identification, évaluation, traitement, monitoring et reporting
Les Quatre Étapes du Processus de Management des Risques

Étape 1 : l’identification des risques

La première étape du processus de management des risques consiste à répertorier les événements pouvant affecter négativement (risque) ou positivement (opportunité) les objectifs du projet :

  • Les jalons du projet
  • La trajectoire financière du projet
  • Le périmètre du projet

Ces évènements peuvent être listés dans la grille de cotation des risques et ultérieurement dans le registre des risques.

Pour qu’un risque (ou une opportunité) soit valide, il doit avoir son descriptif, ses causes et ses conséquences, son pilote, son évaluation qualitative, son évaluation quantitative et son plan de traitement.

Afin de pouvoir être pilotés efficacement, les Risques et Opportunités (R&O) identifiés doivent être le plus précis et le plus spécifique possible. L’intitulé du risque ou de l’opportunité doit être à la fois succinct, autoportant, et clairement compréhensible de tous.

Tous les membres du projet peuvent identifier des R&O et les piloter, et le contenu de ces R&O est de la responsabilité des pilotes de ces risques ou opportunités. La formalisation des R&O et de leurs plans de traitement, qui est réalisée en questionnant et en échangeant avec les pilotes, est quant à elle de la responsabilité des Managers de Risques. Nous expliquerons chacun de ces rôles dans notre prochain article sur Les Responsables de la Gestion des Risques.

Ci-dessous des exemples d’outils d’aide à l’identification des R&O :

  • L’analyse de la documentation existante
  • L’interview d’experts
  • La réalisation de réunions de brainstorming
  • L’utilisation d’approches méthodologiques – comme l’Analyse des Modes de Défaillance, de leurs Effets et de leur Criticité (AMDEC), les arbres de causes, etc.
  • La prise en compte du REX des R&O rencontrés lors de projets antérieurs
  • L’utilisation de check-lists ou de questionnaires préétablis et couvrant les différents domaines du projet (Risk Breakdown Structure)

Étape 2 : l’évaluation des risques

Il existe deux types d’évaluation des risques et opportunités : qualitative et quantitative. Une évaluation qualitative analyse le niveau de gravité basé sur la probabilité et l’impact de l’évènement. Une évaluation quantitative analyse l’impact financière ou le bénéfice de l’évènement. Les deux types sont nécessaires pour une évaluation complète des risques et des opportunités.

L’évaluation qualitative

Le Pilote et le Manager de risques vont hiérarchiser et prioriser les risques et opportunités identifiés à l’aide des critères de probabilité d’occurrence et de gravité des impacts, et selon les échelles de criticité du projet.

Evaluation de la probabilité d’occurrence (P) :

Elle s’élabore préférentiellement à partir de l’expérience, de l’avancement du projet, ou à défaut à dire d’expert, et se situe sur une échelle de 1 à 99%.

Par exemple, la probabilité du risque de d’“Incapacité du fournisseur X à réaliser les études de la modification Y pour fin 2025” est de 50%, et est estimée grâce à un retour d’expérience et une analyse de la charge du fournisseur.

Evaluation de la gravité des impacts (I) :

Pour évaluer l’impact global, il est nécessaire d’estimer la gravité de chacun des impacts définis au niveau du projet. Une échelle permettant de classer les différents impacts et leurs gravités est définie sur chaque projet afin d’homogénéiser et fiabiliser l’évaluation qualitative des risques et opportunités.

Le niveau de criticité du risque ou de l’opportunité est obtenu par le produit : Criticité = P x I

La finalité de cette évaluation qualitative est de pouvoir adapter les modalités de suivi et de traitement d’un risque ou opportunité à son niveau d’importance pour le projet.

L’évaluation quantitative

Dans la majorité des projets sur lesquels MI-GSO|PCUBED intervient, l’objectif de l’évaluation quantitative est d’établir une évaluation financière de l’impact du risque ou du bénéfice de l’opportunité s’ils venaient à se réaliser. Cette étape est réalisée par le Pilote de risques, le Manager de risques et avec l’appui des éventuels responsables des estimations et chiffrages, ou du contrôleur de gestion selon l’organisation mise en place dans l’entreprise. Ces montants représentent un surcoût potentiel (ou un gain potentiel si on parle d’une opportunité) non anticipé dans le budget du projet.

Pour cela, il est donc nécessaire :

  • D’évaluer le coût supplémentaire généré par l’évènement redouté en valorisant financièrement les :
    • Heures d’ingénierie en interne
    • Heures de sous-traitance
    • Travaux supplémentaires à réaliser
    • Avenants et/ou réclamations aux contrats
    • Etc.
  • De calculer le coût des conséquences de l’évènement redouté en sommant ces valeurs.

Cette étape va permettre d’estimer le besoin en provision pour risques et opportunités du projet.

Étape 3 : le traitement des risques

Les risques et opportunités peuvent faire l’objet d’un plan de traitement et, avant tout cela permet à une organisation d’identifier leur stratégie de réponse. L’objectif du plan de traitement d’un risque est de diminuer la probabilité d’occurrence du risque (action de prévention) et/ou de diminuer l’impact du risque (action de mitigation). L’objectif du plan de traitement d’une opportunité est d’augmenter la probabilité d’occurrence de l’opportunité et/ou d’en accroître les bénéfices. En fonction de la nature du risque ou de l’opportunité, une stratégie de traitement est définie par le projet. Les 7 stratégies ci-dessous sont possibles :

un schéma en entonnoir identifiant les 7 stratégies de réponse des risques ou opportunités
Les 7 Stratégies de Réponse des Risques

7 stratégies de réponse

  • Accepter : ne lancer aucune action mais continuer à superviser.
  • Réduire/Améliorer : réduire (pour un risque) ou accroître (pour une opportunité) la probabilité d’occurrence et/ou la sévérité des impacts.
  • Transférer/Partager : transférer la responsabilité d’un risque à une tierce partie qui supporterait les conséquences du problème (partager les bénéfices d’une opportunité réalisée).
  • Eviter/Exploiter : élimination totale de l’incertitude / Exploitation de l’opportunité.

Le suivi de l’avancement du plan de traitement est à la charge du pilote du risque. Il devra régulièrement en rendre compte au Risk Manager, qui doit quant à lui tenir à jour le registre des risques.

N.B : Le coût du plan de traitement d’un risque doit être intégré dans la trajectoire financière du projet.

Pour définir un plan de traitement :

  • Chaque action commence par un verbe d’action et a un objectif clair.
  • Chaque action a un pilote unique et une échéance.
  • Les actions peuvent générer des coûts qui devront être tracés et pris en compte dans le projet.
  • Exemple : pour réduire le risque que ma voiture tombe en panne, un plan de traitement pourrait être : je prévois des révisions tous les ans.

Quand le risque devient-il un problème ?

un graphique en courbe qui montre le point dès qu’un risqué devient une problème
L’Anticipation des Risques et Opportunités

Il est possible que, malgré les actions de traitement mises en place pour le mitiger ou le prévenir, un risque voie sa probabilité augmenter et atteindre 100%. Le risque est alors avéré, et on ne peut plus parler de risque mais de problème. Le Risk Manager se doit d’informer les parties prenantes du projet qui transmettront l’information qu’un risque identifié est devenu problème et qu’il sera ajouté à la liste des actions.

Étape 4 : le monitoring et reporting des risques

Outre les instances de révision des fiches de R&O dont la fréquence dépend de la criticité des R&O, une organisation doit se mettre en place afin d’assurer un reporting régulier à tous les niveaux du projet.

Les différentes instances de pilotage du projet sont des occasions d’assurer la remontée des risques et opportunités et de suivre leurs plans de traitement.  Le format de la présentation du sujet « Risques » et l’organisation sont à définir par le Manager de risques et diffèrent d’un projet à l’autre.

person showing reports on a table to someone

Dans l’article précédent, nous avons identifié que le Plan de Management des Risques et Opportunités (PMRO) est une des cinq éléments indispensables à la gestion des risques d’un projet. Il doit comprendre des parties prenants et membres de pilotage ainsi qu’une gouvernance régulière pour le monitoring et reporting des risques et opportunités. C’est le Risk Manager, conjointement avec le chef de projet, qui détermine la façon d’organiser et contrôler ce processus de monitoring et reporting.

Dans notre prochain article, nous regarderons en plus de détail ces deux rôles ainsi que les autres dans l’équipe de la gestion des risques.

Cette série d’article a été rédigée par les personnes suivantes : Marie BELGODERE, Jérémie CLAUSTRE, Capucine COMTE, Alioune DIALLO, Emmanuel LATGE, Jessy MIGNOT, Ingrid NGOBAY, Pierre PETILLON, Louann SUGDEN, Chris WAMAL.