Memoire Online - Gestion des risques des projets

Nos remerciements vont à l'endroit de tous ceux qui ont contribué à la réussite de ce travail, en particulier à :

1ére partie ; présentation des méthodologies de gestion des risques d'un projet

c) les approches spécifiques à une ou plusieurs catégories d'objectifs du projet

2) classifications liées à certaines caractéristiques des projets étudiés

a) les approches utilisables lors de le définitions ou encours d'exécution du projet

b) les approches relatives aux projets à coûts contrôlés ou aux projets à rentabilité contrôlée

c) Les approches relatives aux projets pilotés en «dérive» ou en «stop or go»

Introduction

La complexité, l'incertitude et l'extrême concurrence de l'environnement économique et industriel, dans lequel les entreprises évoluent aujourd'hui; de même que les difficultés rencontrées dans le management de leurs projets, sont à l'origine de nouveaux défis et de problèmes croissants. Il n'est pas rare de voir des projets aboutir à des échecs graves et coûteux, à une dégradation ou à une remise en cause de leurs principaux objectifs (coûts, délais et performances techniques), et parfois à leur abandon pur et simple. C'est pourquoi, la gestion des risques dans les projets est devenue ces dernières années, pour beaucoup d'entreprises une préoccupation majeure.

Devant ce constat, il devient indispensable, voire impératif, pour les différentes personnes chargées de conduire des projets de mieux comprendre les risques potentiels associés à leurs projets et d'intégrer la gestion des risques dans le processus global de gestion des projets. La gestion des risques, permet de connaître l'évolution du risque tout au long du projet, elle s'appuie généralement sur un processus continu et itératif qui vise successivement à identifier et analyser les risques encourus, à les évaluer et à les hiérarchiser, à envisager les parades nécessaires et enfin à les suivre et à les contrôler.

Toutefois l'analyse que nous avons pu faire des pratiques de gestion des risques dans les projets, révèle que la classification des risques est Le besoin de systèmes de classification des risques a été soulevée depuis plusieurs années par différentes organisations (notamment AAA American Academy of Actuaries en 1980). Différents systèmes de classification, ont été développés durant ces dernières années; ces systèmes sont vitaux pour assurer la réussite des projets.

Néanmoins ces systèmes sont basés sur des classifications quantitatives essentiellement statistiques fondées sur l'analyse du coût et des délais. Alors qu'une classification dont on ne peut ignorer l'importance a été négligée, cette dernière relève du domaine de l'intelligence artificielle et comporte une classification des connaissances sur les risques permettant de générer les concepts du domaine et d'en maîtriser le vocabulaire. Les systèmes de classification quantitative ne peuvent s'appliquer à une classification des connaissances sur les risques permettant de définir un lexique du domaine. Pour trouver les propriétés, les classes, et définir un lexique du domaine de gestion des risques dans les projets on s'intéresse à une approche terminologique. Or dans certains domaines, notamment les risques, il n'y a pas de terminologie unifiée disponible permettant de faire cette classification. Il existe en fait plusieurs terminologies; certaines venant de la recherche (citations), des métiers (Risk Manager, Risk Controller, etc.). Du fait de leurs expériences passées de leurs formations et de leurs besoins différents, les membres d'un projet peuvent émettre des points de vue différents sur un même sujet; ils peuvent utiliser des jargons différents, et reposer sur des concepts, des schémas et des méthodes qui peuvent se recouvrir ou être incompatibles, le manque d'une compréhension partagée a pour conséquence une mauvaise communication. Pour ces raisons il s'est avéré indispensable de travailler sur une classification thématique des risques pour aboutir à une aide à la normalisation du vocabulaire utilisé, et travailler sur les concepts plutôt que sur les mots clé dont le sens varie d'une personne à une autre. Donc le but est de trouver une terminologie unifiée pour une classification des risques permettant une identification, une meilleure exploitation des risques ainsi qu'une réduction, voire une élimination de la confusion conceptuelle et terminologique et tendre vers une compréhension partagée. Il s'agit de bâtir une méthodologie ascendante qui part de textes et qui construit de manière incrémentale les connaissances linguistiques liées au domaine, afin d'acquérir les concepts et les relations entre ces concepts permettant la définition d'une ontologie du domaine de gestion des risques dans les projets. Dans un premier temps, nous allons nous intéresser à Présenter les méthodologies de gestion Des risques, par la suite nous allons proposer une classification de processus de gestion du risque d'un projet.

1ére partie : Présentation des méthodologies de gestion Des risques d'un projet

La gestion des «risques» appliquée aux nouveaux projets et au lancement de produits nouveaux est devenue aujourd'hui, pour bon nombre d'entreprises, l'une des préoccupations majeures et un élément indispensable à la réussite de leurs projets. Elle s'est traduite par la mise au point et l'utilisation d'une grande variété d'approches destinées à identifier, à quantifier et à maîtriser les risques de leurs projets. Aussi, face à la diversité des méthodes rencontrées aujourd'hui, il nous est apparu nécessaire de faire un point sur leurs fondements théoriques et sur leurs conditions d'utilisation.

Nous examinerons tout d'abord les différents types de méthodes rencontrés. Nous énoncerons, ensuite, en nous appuyant sur quelques pratiques originales mises au point et expérimentées ces dernières années dans de grandes entreprises, un certain nombre d'enseignements tirés des techniques de recueil de données utilisées, du processus de traitement des informations collectées, des résultats obtenus en fin de parcours et des finalités poursuivies. Enfin, nous terminerons en exposant les avantages que présente ce type de méthode et les limites perçues.

I- Classifications des méthodologies de gestion des risques d'un projet

L'analyse que nous avons menée conduit au constat qu'il existe aujourd'hui une grande variété d'approches qui diffèrent principalement selon la nature des informations manipulées, mais également selon les caractéristiques des projets auxquels elles se rapportent. Elle a permis, en outre, de proposer plusieurs critères pertinents de classifications.

Avant même de présenter ce travail d'analyse visant à préciser les différents types de méthodes rencontrés, il convient de préciser que :

- Il existe une grande variété de classements possibles et que les classifications proposées ne sont pas les seules existantes. Bon nombre de typologies complémentaires auraient pu également être utilisées. Ces classifications ont été choisies, car elles nous semblent être les plus significatives et celles qui expliquent le mieux la diversité des méthodes rencontrées.

- Tous les éléments de typologie que nous allons utiliser ne sont pas de même niveau. Certains d'entre eux ne correspondent qu'à un niveau d'analyse plus fin et sont obtenus en suivant un raisonnement de décomposition progressive. C'est le cas par exemple des approches relatives aux projets à «rentabilité contrôlée»qui peuvent être différenciées également selon la logique de pilotage adoptée : les approches relatives aux projets pilotés «en dérive» (lorsque l'on sait, dès le départ, que le projet a de bonnes chances d'aboutir, mais on ne sait pas où et quand) ou aux projets pilotés en «stop or go» (lorsque le projet peut être abandonné lors de son exécution).

- Elles ne sont pas exclusives, certaines méthodes combinant plusieurs types d'approches (une approche peut être utilisable aussi bien lors de la définition du projet qu'au cours de son exécution). Elles peuvent être appliquées de façon combinée dans des dosages variables, pour constituer une méthode générale.

1) Classifications liées à la nature des informations manipulées

En premier lieu, nous pouvons distinguer les méthodes existantes selon la nature des données recueillies. Nous Pouvons distinguer ainsi les : Les approches «quantitatives» Les approches«qualitatives.

Une autre distinction possible réside dans la nature des résultats obtenus (les «outputs»). Mais cette distinction ne nous paraît pas significative en raison de la possibilité qu'il y a parfois de transformer des données quantitatives en données qualitatives et inversement. En effet, nous constatons que certaines méthodes étudiées permettent de transformer les données chiffrées recueillies en données qualitatives afin d'énoncer quelques recommandations (comme le niveau de risque sur l'estimation du coût d'un projet). D'autres, au contraire, permettent de transformer les données qualitatives recueillies en données chiffrées, par un système de cotation, pour obtenir des indicateurs numériques (comme «l'indice de criticité»des risques).

Qui reposent essentiellement sur le recueil de données quantitatives, c'est-à-dire de mesures (comme les valeurs minimales, probables et maximales du montant des coûts ou de la durée des tâches d'un projet) et éventuellement d'items qualitatifs (comme les facteurs d'incertitude qui peuvent être à l'origine de la variation d'un poste de coût).

Une deuxième classification possible consiste à distinguer les approches quantitatives selon : Les approches quantitatives «déterministes» ou «simulatoires».

Qui conduisent à une analyse probabiliste de certains paramètres clés du projet (comme sa durée, son coût ou la probabilité que ses tâche ont d'être «critiques».En général, ces approches requièrent un traitement sophistiqué impliquant le choix d'une distribution statistique et faisant appel à des techniques simulatoires comme le recours à la méthode de«Monte-Carlo»^1(*)pour obtenir la distribution de probabilités de la durée ou du coût du projet.

Les approches quantitatives déterministes

Qui permettent d'analyser certains paramètres clés du projet par déduction sur la base d'un raisonnement mathématique. Ces approches peuvent faire appel à des règles de calcul relativement simples (comme l'utilisation de la formule suivante : (durée minimale + 4xdurée probable + durée maximale)/6, pour calculer la durée moyenne des tâches du projet) ou à des principes plus élaborés (comme l'utilisation de la loi Bêta et du Théorème de la Limite Centrale^2(*) pour définir la distribution de probabilités de la durée minimale d'exécution du projet et donc de calculer la probabilité qu'il a de dépasser un seuil donné . Elles peuvent être fondées également sur l'utilisation d'équations différentielles (pour évaluer, par exemple, les provisions pour imprévus à affecter à chacune des tâches du projet).

La spécificité de ces deux approches réside dans le traitement de données brutes et essentiellement quantitatives afin d'obtenir, par analyse mathématique ou par simulation, des données plus élaborées. De plus, il faut distinguer les approches simulatoires fondées sur une «logique de scénario», négation même de l'analyse de risques puisqu'un seul scénario est examiné à chaque fois, et les approches simulatoires fondées sur un processus stochastique^3(*) qui, au contraire, permettent de combiner plusieurs scénarios à la fois. Enfin, certaines approches reposent sur l'hypothèse selon laquelle les variables analysées sont indépendantes alors que d'autres cherchent à définir cette dépendance entre les variables par l'affectation d'un coefficient de corrélation.

Qui reposent sur un recueil de données exclusivement qualitatives, c'est-à-dire d'items qualitatifs (comme les sources de risque ou les critères de succès d'un projet), de réponses à des questions dichotomiques («le projet est-il risqué ou non ?») Ou de jugements portés à partir d'une échelle graduée (comme l'évaluation du niveau de gravité des conséquences d'un risque identifié).De la même manière, les approches qualitatives peuvent se subdiviser en deux catégories distinctes selon la logique de reproductibilité des données recueillies, à savoir :

qui s'appuient sur des concepts applicables à l'ensemble des projets, des entreprises ou des secteurs d'activités , avec un intérêt plus ou moins grand ; elles permettent de faire un diagnostic à l'aide d'un canevas préétabli pour n'importe quel projet.

Qui utilisent des concepts spécifiques à la nature du projet, à l'entreprise ou au secteur d'activités d'appartenance et qui permettent uniquement de faire un diagnostic du projet étudié.

La spécificité de ces deux approches réside dans la manipulation de données essentiellement qualitatives, sans aucun traitement particulier, en vue d'élaborer un diagnostic ou de juger du niveau de risque global d'un projet. Cependant, ce n'est pas parce qu'on a un traitement numérique que l'on n'est pas sur une démarche qualitative. En effet, il existe des approches qui permettent de hiérarchiser les items manipulés en recourant à un système de cotation.

c) Les approches spécifiques à une ou plusieurs catégories d'objectifs du projet

Enfin, la dernière classification liée à la nature des informations manipulées consiste à différencier les méthodes existantes selon :

À savoir : les coûts, les délais ou les spécifications techniques. En effet, il convient de constater que chaque catégorie d'objectifs d'un projet connaît ses propres problèmes de risque et fait l'objet d'approches spécifiques :

s'effectue non seulement en cours d'exécution en faisant appel aux techniques de contrôle de gestion, mais peut se faire également lors de la définition du projet en faisant appel à des grilles d'analyse qualitative ou à une approche quantitative du risque.

S'effectue classiquement en recourant à des approches quantitatives de type déterministe ou simulatoires.

- Les approches proposées ne sont pas exclusives. Elles peuvent prendre en compte une seule ou plusieurs catégories d'objectifs.

- Dans la pratique, nous constatons que les délais et les coûts sont naturellement les objectifs les plus privilégiés par les responsables de projet dans le suivi de leur projet (le suivi des spécifications techniques étant généralement réalisé par les experts techniques). C'est ce qui peut expliquer pourquoi, parmi les nombreuses méthodes qui ont été développées dans les entreprises ces dernières années, très peu d'entre elles s'attachent à suivre précisément les spécifications techniques du projet.

- Il est important de souligner que le responsable d'un projet, en focalisant trop son attention sur les risques mettant en péril une catégorie d'objectifs, risque de perdre de vue les autres objectifs du projet.

- Certaines approches intègrent même des informations supplémentaires. Elles visent à prendre en compte également les risques pouvant conduire à une perte d'image de marque, à un accident humain ou à une destruction matérielle.

2) Classifications liées à certaines caractéristiques des projets étudiés

Le second type de classifications proposé (illustré à la figure 2, page...) repose, quant à lui, sur certaines caractéristiques des projets étudiés.

a) Les approches utilisables lors de la définition ou en cours d'exécution du projet

La première classification liée aux caractéristiques des projets étudiés consiste à séparer les méthodes rencontrées en fonction de la phase d'avancement dans laquelle le projet doit se trouver pour qu'elles puissent être utilisées. Nous distinguons ainsi :

- Les approches quantitatives de type simulatoires sont des approches surtout utilisées en phase de définition du projet.

- Certaines méthodes peuvent être utilisées aussi bien en phase de définition qu'en phase d'exécution du projet.

- Certaines démarches, pour être utilisables lors de la définition du projet, nécessitent en général que les objectifs du projet soient figés, que le travail à effectuer soit techniquement défini et qu'un ordonnancement soit arrêté.

b) Les approches relatives aux projets à coûts contrôlés ou aux projets à rentabilité contrôlée

Une autre distinction possible permet d'opposer les méthodes de gestion des risques selon la place du client par rapport au projet et plus particulièrement, selon la manière dont les objectifs du projet sont négociés et les possibilités d'une renégociation ultérieure. Elle permet de distinguer ainsi :

Caractérisés par l'existence d'un client parfaitement connu avec lequel les objectifs du projet sont négociés, c'est-à-dire les méthodes qui vont aider à négocier les objectifs du projet ou qui vont permettre de s'assurer que les objectifs ne seront pas remis en cause.

(Caractérisés par l'existence de clients potentiels), c'est-à-dire les méthodes permettant de s'assurer, tout au long du projet, que les dérives constatées ne compromettent pas la réussite du projet.

c) Les approches relatives aux projets pilotés en «dérive» ou en «stop or go»

Dans le cadre des projets à rentabilité contrôlée, une distinction supplémentaire peut être apportée. Elle consiste à différencier ces méthodes selon la logique de pilotage adoptée pour le projet

c'est-à-dire les méthodes qui ont été développées en vue de mesurer et juger,tout au long du déroulement du projet, les écarts par rapport aux prévisions initiales.

C'est-à-dire les méthodes qui ont été développées en vue d'aider le responsable de projet et sa hiérarchie à évaluer, lors de ses différentes phases, la possibilité que le projet ne s'exécute pas conformément aux prévisions, et à décider ou non de son abandon. Cette distinction n'est en principe applicable que pour les projets à rentabilité contrôlée. Il existe cependant des exceptions où les modalités de pilotage en «stop or go» ont été appliquées sur des projets à coûts contrôlés.

- Certaines méthodes sont lourdes à mettre en oeuvre et ne se justifient réellement que pour des projets de grande envergure.

- Les méthodes élaborées sont en général dédiées à un type de projet particulier, mais elles peuvent parfois être transposables sans trop de difficultés à d'autres types.

- La transposition d'un type à l'autre n'est pas toujours possible car cela nécessite une stabilité suffisante de l'environnement général des projets réalisés et un minimum de reproductibilité des expériences acquises.

- L'entreprise peut ne pas être homogène. Par conséquent, le secteur d'activités de l'entreprise n'implique pas forcément un type de projet particulier.

II- Analyse des méthodologies de gestion des risques projet

Il paraît important pour les responsables de projet, non seulement de bien cerner les risques potentiels inhérents à leur projet, mais également de les évaluer et de les hiérarchiser. Pour ce faire, ils doivent recourir à des outils et à des méthodes d'analyse et de prévention dont les finalités, les fondements théoriques et les conditions d'utilisation sont très variables. Dans ce qui suit on s'intéresseras à analyser les méthodologies de gestion des risque (techniques de recueil de données, le processus de traitement des données, les résultats obtenus et les finalités poursuivies).

1) Les techniques de recueil de données

Pour pouvoir être utilisées, la plupart de ces méthodes nécessitent, au préalable, de recueillir auprès des spécialistes concernés (responsables de projet, ingénieurs d'affaires, experts techniques,...) un certain nombre de données quantitatives et/ou qualitatives. Cela étant, nous constatons que ces informations peuvent être collectées de plusieurs manières :

Réunissant les experts des divers domaines concernés (comme c'est le cas, pour la méthode «AMDEC-Planning»^4(*), élaborée et expérimentée chez Renault, qui a conduit à la constitution d'un groupe de travail pluridisciplinaire, composé d'un analyste qualité et fiabilité, d'un analyste organisation et planification, d'un responsable base roulante, d'un responsable architecture carrosserie, d'un responsable bureau d'étude carrosserie et d'un responsable méthodes carrosserie.

En posant les questions appropriées, en provoquant leur expérience par exemple, la mise en oeuvre de la méthode«ERA»^5(*), chez Rhône-Poulenc qui nécessite de la part des spécialistes concernés une estimation des variations possibles du montant de chaque poste, de coût du projet, et une identification des facteurs d'incertitude pouvant affecter chacun de ces montants et en s'appuyant parfois sur l'utilisation d'un jeu de grilles d'analyse comme les «grilles d'analyse qualitative du risque» testées chez Renault ou de questionnaires spécifiques pour guider la recherche des risques du projet .

Rassemblant les connaissances acquises sur les différents projets déjà réalisés et sur leur environnement.

Néanmoins, chacune de ces méthodes de collecte présente un certain nombre d'inconvénients quant à la pertinence et à la qualité des données recueillies :

- La première méthode, s'appuyant sur une réflexion collective, permet d'obtenir des données plus objectives et plus exhaustives, mais dont la pertinence est fortement conditionnée par l'expérience des experts interrogés.

- La deuxième permet de prendre en compte des données qui sont spécifiques au projet, mais qui peuvent être biaisées par les conditions même du recueil effectué et par l'objectivité des réponses données.

- La troisième méthode repose sur l'hypothèse selon laquelle les données requises sont disponibles (ce qui suppose l'existence de procédures de capitalisation du savoir-faire) et qu'elles sont facilement transposables.

2) Le processus de traitement des données

La spécificité des approches qualitatives réside dans la manipulation d'informations essentiellement qualitatives, sans aucun traitement particulier, en vue d'élaborer un diagnostic ou de juger du niveau de risque global d'un projet. Cependant, l'existence traitement numérique n'empêche pas d'être sur une démarche qualitative. En effet, il existe des approches (en particulier celles qui reposent sur l'application des techniques de «l'AMDEC») qui permettent de hiérarchiser les données qualitatives recueillies par un système de cotation consistant à :

Par exemple, dans« la Méthodologie de prise en compte du risque»^6(*) chez Merlin Gerin, chaque risque identifié donne lieu à la détermination d'un coefficient de criticité obtenu en faisant le produit de trois paramètres pondérés selon une échelle allant de 1 à 4 : sa probabilité d'apparition, sa probabilité de non détection et la gravité de ses conséquences sur chaque objectif majeur du projet pris indépendamment. De plus, l'estimation de la gravité d'un risque repose non seulement sur l'attribution d'une note, mais également sur l'affectation pour chaque objectif (délai de mise sur le marché, poids des coûts, poids des performances et coût du projet) d'un coefficient de pondération variant en fonction du projet).

par exemple, dans la méthode «ARP»^7(*), la criticité des fonctionnalités, pour chaque type de conséquences envisagé, est estimée au moyen d'une échelle graduée allant de 1 : risque faible à 4 : risque majeur. Par ailleurs, la spécificité des approches quantitatives réside dans le traitement d'informations brutes et essentiellement quantitatives afin d'obtenir, par analyse mathématique ou par simulation, des informations plus élaborées.

Néanmoins, il convient de noter qu'il existe des approches qui conduisent à transformer les données chiffrées recueillies en données qualitatives pour faire un diagnostic ou énoncer des recommandations (comme la «méthode de fixation du montant des imprévus»^8(*)).

-La plupart des approches quantitatives reposent sur l'utilisation de la méthode de Monte-Carlo pour obtenir par simulation la distribution de probabilités du coût (comme la méthode «ERA» qui permet de simuler les variations possibles du montant de chaque poste de coût et de déterminer ainsi la variation du coût global qui peut en résulter) ou de la durée du projet ou encore de la probabilité qu'une tâche a d'être critique

- Les démarches simulatoires reposent essentiellement sur le choix d'une distribution de probabilités de la variable étudiée et de ses paramètres De plus, compte tenu du caractère très intuitif des informations recueillies, il est difficile de justifier objectivement le choix d'une de ces distributions et de prétendre que c'est telle distribution avec tels paramètres qui est la plus pertinente, tout au plus peut-on justifier le choix d'une distribution sans mode (loi uniforme) ou celui d'une distribution modale (loi Bêta, loi Normale Tronquée, loi Triangulaire).

- Certaines méthodes, en raison de l'importance du temps de calcul, des techniques sur lesquelles elles se fondent ou en vue d'une meilleure capitalisation des expériences acquises, nécessitent l'utilisation d'un outil informatique spécifique (comme les progiciels «ERA», «TOPSI»,...) ou d'outils disponibles sur le marché permettant de procéder à des analyses plus poussées (comme les logiciels «Monte-Carlo 3.0»).

3) Les résultats obtenus

- Des typologies de risques définies à partir de multiples critères (les conséquences engendrées, la phase d'avancement, l'environnement technique, le contexte industriel, les ressources mobilisées,...) et formalisées sous forme de catalogue ou encore de représentations arborescentes (comme «l'arbre de garanties contre les risques» utilisé dans le cadre de la méthode «AMDEC-Planning»).

- Des estimations plus fines de la distribution de probabilités du coût (comme dans la méthode «ERA») ou de la durée du projet (comme dans «l'approche simulatoire stochastique du risque délai»^9(*)), représentées sous forme d'histogrammes ou de courbes.

- Des actions correctives et/ou préventives à mettre en oeuvre afin de détecter et mettre sous contrôle les risques identifiés.

- Des plannings dans lesquels figurent de nouvelles tâches destinées à prévenir les risques identifiés (comme dans la méthode «AMDEC-Planning»).

4) Les finalités poursuivies.

Même s'il est possible d'identifier une finalité générale pour l'ensemble de ces méthodes, à savoir «la prise en compte et la maîtrise des risques susceptibles de se produire», force est de constater qu'elles poursuivent des objectifs différents :

- Faire un diagnostic préétabli du projet à partir d'items hiérarchisés et non transposables.

- Faire un diagnostic préétabli du projet à partir d'items non transposables.

- Faire un diagnostic du projet à partir d'items hiérarchisés et transposables.

- Faire un diagnostic et des recommandations sur certains paramètres clés du projet.

III- Avantages et limites des méthodologies de gestion des risques d'un projet

L'analyse des diverses méthodologies étudiées nous a permis d'en retirer les avantages suivants :

- Elles permettent d'étudier un certain nombre de simulations et d'envisager des scénarios préventifs pour atteindre les objectifs du projet.

- Elles conduisent à une meilleure maîtrise des objectifs de spécifications techniques, de coûts et/ou de délais d'un projet grâce à l'analyse systématique et/ou à l'évaluation des risques susceptibles de conduire à leur dégradation ou à leur remise en cause.

- Elles favorisent la mise en commun d'expériences, l'accumulation de connaissances et la constitution de bases historiques des risques rencontrés sur les projets antérieurs et des actions mises en oeuvre pour tenter de les maîtriser.

- Elles permettent une hiérarchisation des risques (par l'affinement de la notion de criticité des tâches et de «chemins sub-critiques»^10(*)) et de ne pas tous les traiter de manière homogène.

- Elles constituent un effort intéressant de réflexion collective et peuvent être utilisées comme support d'animation de groupes d'experts.

- Elles soulignent l'importance du développement d'une culture de gestion du risque.

- Elles contribuent à l'amélioration de la communication et à la concertation entre les différents acteurs du projet sur les travaux à réaliser.

- Elles peuvent servir d'aide-mémoire et aider chaque responsable de projet à passer en revue les causes de risque qui surviennent systématiquement d'un projet à l'autre.

Toutefois, ces méthodes, sous leurs différentes formes, présentent également quelques limites qu'il convient de garder à l'esprit :

- La validité des résultats obtenus est conditionnée très largement par les conditions de recueil et le choix des informations nécessaires (par exemple, la précision des résultats obtenus par les méthodes quantitatives simulatoires dépend largement de la distribution de probabilités retenue et du nombre de simulations réalisées).

- Les approches quantitatives ne reposent sur aucune analyse causale et ne donnent aucune indication pour guider l'action.

- Elles sont plus ou moins sophistiquées et peuvent être, par conséquent, plus ou moins lourdes à mettre en oeuvre.

- Leur efficacité requiert une expérience minimale et repose sur le postulat qu'il existe une stabilité suffisante dans le découpage et le développement des projets pour permettre une, transposition de la réalité la plus fidèle possible.

- Elles accordent une très grande importance aux expériences vécues dans le diagnostic des risques et dans le choix des solutions à mettre en oeuvre. Elles risquent ainsi de conduire à une rigidité des comportements et de la réactivité face à des situations de risque, en privilégiant des réactions connues et répertoriées, dont l'efficacité reste à prouver pour les nouveaux projets.

- Elles reposent exclusivement sur les compétences, l'intuition et la disponibilité des acteurs.

Notant enfin que les classification et les méthodologies déjà vu en première partie ne sont pas commune à tout les projets. Il reste au dirigeant selon leurs vision au projet de choisir la méthodes la plus efficace pour gérer le risque une fois identifier. Raison pour la quelle nous nous intéresserons dans une seconde partie d'analyser le processus de la gestion des risque à noter (identification, analyse...).

2éme partie : processus de gestion des risque d'un projet

Le schéma suivant présente les six phases de gestion des risques retenues dans cette partie pour présenter le processus de gestion des risques.

Pour chacune des six phases, vous trouverez : une présentation synthétique, une présentation détaillée, des témoignages, des diagramme simplifiant les processus présenter.

En résumé, les six phases de la gestion des risques s'effectuent tour à tour tout au long d'un projet. Elles se lisent dans le sens des aiguilles d'une montre.

I -L'identification des risques

L'identification des risques vise à repérer les problèmes potentiels avant qu'ils ne se transforment en problèmes réels et à inclure cette information dans le processus de gestion de projet. La phase d'identification permet de formuler les énoncés de risques et d'identifier leur information contextuelle.

L'énoncé de risque et l'information contextuelle à ce risque peuvent être précisés en répondant aux trois questions suivantes :

Une gestion efficace des risques implique un processus continu d'identification. En effet, de nouveaux risques sont susceptibles de survenir au cours de la réalisation du projet. Une communication libre est également requise pour l'identification des risques et ce, afin d'encourager tous les intervenants du projet à communiquer les problèmes potentiels qu'ils entrevoient, à partir d'une vision orientée vers l'avenir du produit ou du service faisant l'objet du projet. Bien qu'une contribution individuelle joue un rôle dans cette identification, les échanges favorisés par un travail d'équipe permettent une meilleure compréhension du projet et une identification plus précise et plus exhaustive des risques auxquels il est exposé.

Les entrées et les sorties de la phase d'identification sont présentées dans le diagramme suivant :

Les entrées de la phase d'identification regroupent les incertitudes individuelles et celles des groupes vis-à-vis du projet, ainsi que les données du projet susceptibles de moduler les incertitudes exprimées. Une liste de contrôle énumérant les principaux risques auxquels un projet est exposé, en fonction de la nature et de l'envergure de celui-ci, pourra également constituer une entrée à cette phase. Par ailleurs, si le processus de gestion des risques est déjà institutionnalisé dans l'organisation, il est possible qu'un répertoire de risques soit disponible. Ce répertoire de risques fournira des informations relatives aux risques qui ont été identifiés dans des projets complétés ou en cours.

À partir de ces entrées, la phase d'identification consiste à énoncer et à documenter les risques ainsi que l'information permettant de comprendre le contexte dans lequel ils s'inscrivent. Une liste des risques est ensuite préparée afin de résumer les risques susceptibles de survenir au cours de la réalisation du projet.

Il est également souhaitable d'établir immédiatement un répertoire dans lequel ces risques seront consignés pour une consultation future.

L'identification des risques est réalisée d'une part par l'établissement d'un référentiel et d'autre part par une identification en mode continu des risques, la façon de faire variant pour atteindre un même objectif. L'établissement d'un référentiel permet notamment d'établir une vision partagée des risques auxquels le projet est exposé et facilite grandement l'identification en mode continu des risques par chacun des intervenants tout au long du projet.

Il est également souhaitable que l'établissement d'un référentiel soit réalisé par des intervenants indépendants du projet, afin d'assurer une identification libre de toute contrainte. Une fois le référentiel établi, les risques résultants seront gérés au fur et à mesure que leur priorité le justifie et de nouveaux risques seront vraisemblablement identifiés. Les risques en question seront probablement pris en compte par plusieurs intervenants. Cependant, à mesure de l'avancement des travaux, ces intervenants sont susceptibles de perdre la vue d'ensemble des obstacles auxquels le projet peut être confronté.

L'établissement d'un référentiel permet donc de faire le point sur les problèmes potentiels auxquels le projet est exposé et d'en informer tous les intervenants afin de partager une vision commune.

L'identification en mode continu des risques consiste à identifier les problèmes susceptibles d'entraver la réalisation du projet au fur et à mesure qu'ils sont repérés par les personnes ou les groupes dans le cadre de leur travail quotidien. Cette identification devrait être intégrée aux activités de gestion de projet. Ainsi, dans les rapports d'avancement, une section devrait être spécifiquement dédiée aux risques auxquels le projet est exposé.

Par ailleurs, l'utilisation de formulaires permettant aux membres de l'équipe de projet de communiquer aux intervenants concernés les risques entrevus permettra d'institutionnaliser rapidement une démarche d'identification. De tels mécanismes, régulièrement mis en oeuvre, permettront de rapporter les anomalies détectées dans un système et, en conséquence, de faire la demande des changements souhaitables. La liste de contrôle pour l'identification des risques en développement et en entretien de systèmes constitue un point de départ à cet égard.

L'établissement d'un référentiel constitue l'étape charnière de la phase d'identification des risques dans la mesure où elle donne le ton à l'identification des risques pour la suite du projet. Dans un mode continu d'identification des risques, ceux-ci sont susceptibles d'être identifiés sur une base individuelle, en faisant intervenir un nombre limité d'intervenants. L'établissement périodique d'un référentiel permet de partager cette information tout au long du projet et de la compléter par des informations additionnelles fournies par les autres intervenants.

Lorsqu'un référentiel est établi par l'entremise de cette approche, une attention particulière doit être portée aux points suivants :

1. Choisissez les participants susceptibles de fournir l'information pertinente. Le chef du projet pour lequel le référentiel est établi ainsi que les gestionnaires assumant l'imputabilité du projet pourront contribuer à identifier ces participants.

2. Assurez-vous que les participants à une même entrevue ne sont liés par aucune relation hiérarchique (par exemple, un participant et son supérieur dans la même entrevue) et qu'il n'existe pas de conflits de personnalité entre eux, afin de respecter le principe de communication libre.

3. Prévoyez une réunion de lancement à laquelle les participants aux entrevues assisteront, afin de leur présenter le déroulement de la démarche d'identification. Il est également souhaitable que le chef de projet participe à cette réunion afin d'inciter les participants à se sentir libre d'exprimer leur opinion sur les risques qu'ils entrevoient au cours de la réalisation du projet et du déploiement de l'application résultante.

4. Planifiez plusieurs entrevues (au moins deux) impliquant entre un et cinq participants chacune. La durée des entrevues est de l'ordre de deux heures.

5. Utilisez la liste de contrôle pour l'identification des risques en développement et en entretien de systèmes comme point de départ, afin de préparer des scripts d'entrevue. Cette liste pourra également être fournie aux participants. Ces derniers pourront la conserver et mettre à profit l'information qu'elle contient pour l'identification continue des risques.

6. Au début de chaque entrevue, présentez-vous et rappelez aux participants l'objectif de la réunion, en précisant que les informations recueillies seront consignées de façon anonyme. Il est de mise de prévoir une entrevue avec le chef de projet afin de recueillir son point de vue sur les risques auxquels son projet est exposé. Des entrevues complémentaires sont réalisées au besoin, afin de préciser les points qui auraient fait l'objet d'opinions divergentes au cours des entrevues précédentes.

7. Prenez des notes textuelles. Il peut être souhaitable d'assigner des numéros aux participants afin de pouvoir se fixer des points de repère lors de la consolidation des notes prises au cours des entrevues.

8.À la fin de chaque journée, consolidez les notes prises au cours des entrevues dans la section « Identification du risque » des fiches de risque, en reformulant les risques pour qu'ils soient aussi précis que possible, en portant une attention particulière à ceux qui ont été identifiés au cours d'entrevues distinctes.

9. Validez le contenu des fiches d'identification des risques avec les participants lors de séances prévues à cet effet. Le but de ces séances est de vous assurer que vous avez bien saisi les informations fournies lors des entrevues, que les énoncés de risques sont bien formulés et que des risques importants n'ont pas été omis par inadvertance.

10. Consolidez l'information recueillie lors de séances prévues à cet effet et remettez ensuite au chef de projet les fiches d'identification des risques complétées.

II- Analyse de risque

La phase d'analyse vise à convertir les informations et données sur le risque recueillies au cours de la phase d'identification. Une fois cette analyse complétée, il sera alors possible, sur la base des résultats obtenus, d'identifier une stratégie de mitigation et de contingence pour chaque risque et de définir les mesures appropriées.

Pour y arriver, la phase d'analyse doit inclure les trois activités suivantes :

§ Une évaluation des attributs de chaque risque notamment sa probabilité (ou sa fréquence), son impact s'il survenait et le délai disponible avant de devoir faire quelque chose;

§ Une classification des risques identifiés afin de définir un ensemble de mesures cohérentes pour les gérer;

§ Un ordonnancement des risques en fonction de leur priorité afin d'être en mesure de déterminer quels risques seront abordés en premier.

La phase d'analyse des risques constitue un processus continu d'examen des conditions et contraintes qui affectent le projet, des nouveaux risques qui surviennent au cours de son déroulement et des priorités qui évoluent. Une communication libre permet d'assurer que l'analyse soit effectuée en tenant compte de toute l'information disponible et contribue ainsi à établir un appui solide pour la planification de mesures de mitigation et de contingence. Une vision orientée vers l'avenir contribue à faire en sorte que l'analyse soit effectuée en portant une attention particulière à l'impact à long terme des risques. Finalement, une vision commune jointe à une perspective globale permet d'analyser les risques dans un contexte élargi à la clientèle visée par le produit ou le service faisant l'objet du projet, aux besoins exprimés par la clientèle et aux objectifs de l'organisation.

Les entrées et les sorties de la phase d'analyse sont présentées dans le diagramme suivant :

Les entrées de la phase d'analyse sont les fiches de risque résultant de la phase d'identification et d'une liste des risques qui constitue en quelque sorte la table des matières des fiches en question.

À partir de ces entrées, une évaluation de chaque risque est effectuée et à partir des résultats obtenus, les risques sont classifiés selon des critères préalablement établis et consolidés de façon à faciliter l'identification de leurs liens de dépendance et l'élaboration d'approches génériques de mitigation et de contingence. Le niveau de détail avec lequel cette évaluation est entreprise dépendra de l'importance du risque (un risque hautement susceptible de se matérialiser et pour lequel l'impact est élevé fera vraisemblablement l'objet d'une évaluation plus détaillée) et correspondra à ce qui est nécessaire et suffisant pour être en mesure d'identifier une stratégie de mitigation et de contingence, de planifier les mesures subséquentes et de faire le suivi de leur mise en oeuvre.

D'autres facteurs pourront être pris en considération au besoin, par exemple la culture organisationnelle (s'agit-il d'une organisation où la prise de risques est encouragée ou s'agit-il d'une organisation hautement hiérarchisée où les décisions doivent être entérinées par le personnel aux échelons supérieurs ?), les directives internes, les normes en vigueur dans l'organisation et les conditions imposées par le client.

Les sorties de la phase sont les fiches de risques classifiées en fonction de critères d'analyse pré-établis et la liste des risques qu'il faudra aborder dans un premier temps. Les fiches en question sont rangées dans un répertoire qui constituera en quelque sorte une banque de connaissances sur les problèmes potentiels auxquels les projets entrepris par l'organisation sont exposés.

Le premier attribut caractérisant un risque est la probabilité qu'il survienne. S'il s'agit d'un risque opérationnel, c'est-à-dire d'un risque susceptible de se répéter de projet en projet, on pourra également parler de fréquence. Ainsi, au lieu de qualifier en termes de probabilité le risque que les intervenants concernés ne soient pas informés des événements qui les affectent au cours de la réalisation du projet, on pourra qualifier l'événement de chronique, occasionnel ou rare.

Exprimé en termes de probabilité, ceci est équivalent à qualifier le fait que si un événement significatif survient, la probabilité est très élevée, faible ou très faible que les intervenants concernés n'en soient pas informés. Une échelle permettant d'évaluer la probabilité qu'un risque survienne est illustrée ci-après. Cette probabilité peut être exprimée par un énoncé d'incertitude, un ordinal ou une valeur entre 0 et 1.

Qualitatif

Enoncé d'incertitude

Ordinaux

Quantitatif

Très élevé

Elevé

Moyen

Faible

Très faible

Presque certainement.

Très probable.

Probable,

Possible,

Probablement,

Sans doute.

Aléatoire,

Douteux,

Probablement pas.

Impossible,

Douteux,

Probablement pas.

Très improbable

Invraisemblable.

> 80 %

61 - 80 %

41- 60 %

21 - 40 %

0 - 20 %

Une mise en garde s'impose en rapport avec l'utilisation d'ordinaux pour représenter une probabilité : ceux-ci ne sont généralement mis a contribution que pour associer une valeur numérique à un énoncé d'incertitude. Une probabilité ne peut en effet être supérieure à 1 ou inférieure à 0.

Le deuxième attribut caractérisant un risque est son impact, c'est-à-dire la perte subie si le risque survient. L'impact est souvent exprimé par le montant (ou un terme qualifiant ce montant) qu'une organisation est disposée à débourser afin d'éviter que le risque se produise. Ce montant variera en fonction de la criticité du risque et de facteurs non monétaires comme la culture organisationnelle et la détérioration de l'image de l'organisation si le risque survenait. Ainsi, dans le domaine de l'énergie nucléaire, une entité aux Canada et aux États-Unis sera généralement prête à débourser 11 millions $ pour éviter un décès dû à une fuite de matériel radioactif.

L'impact peut être évalué pour plusieurs dimensions (impact budgétaire, impact sur le calendrier, impact sur la performance du système, etc.), tel qu'illustré ci-après pour des projets majeurs (durée de 2 ans et plus ou coût de 5 M $ et plus).

Général

Coût

Calendrier

Technique

Faible

Modéré

Elevé

Critique

Moins de 5 % de dépassement

Moins de 10 % de dépassement

Moins de 25 % de dépassement

25 % et plus de dépassement

Retard de 1 mois

Retard de moins de 3 mois

Retard de moins de 6 mois

Retard de plus de 6 mois

Peu d'impact sur la performance

Grave impact sur la performance

Le projet ne peut être accompli

Exemple d'échelle d'impact d'un risque

Comme dans le cas de la probabilité, une valeur numérique pourra être associée à un énoncé d'impact afin de faciliter le calcul du degré d'exposition au risque. Si une échelle de 1 (Très faible) à 5 (Critique) est utilisée pour représenter l'impact dans le tableau précédent, un risque pourra être évalué comme étant Critique en termes de coût, Modéré en termes de calendrier et Modéré en termes de performance technique. Si l'importance relative du coût, du calendrier et de la performance technique est respectivement égale à 0,5, 0,3 et 0,2 pour un projet donné, l'impact global est obtenu par la relation suivante :

Le troisième attribut caractérisant un risque est le délai disponible avant de devoir prendre une action quelconque. Une échelle permettant d'exprimer le délai est illustrée ci-après. Comme dans le cas de l'impact, une valeur numérique pourra être associée à un énoncé de délai afin de faciliter le calcul de la gravité du risque (par exemple, 1 pour court terme, 2 pour moyen terme et 3 pour long terme). Ainsi, plus le délai est faible, plus la gravité du risque est élevée car cette situation indique que le délai d'intervention avant l'impact d'un risque est d'autant plus court.

QANTITATIF

QUALITATIF

COURT TERME

MOYEN TERME

LONG TERME

1 MOIS

3 MOIS

6 MOIS

L'attrait de l'utilisation d'ordinaux pour représenter la probabilité, l'impact et le délai est que ceux-ci facilitent le traitement des informations résultant de l'analyse des risques. À la suite de la cueillette d'information pour un grand nombre de projets, le traitement de ces ordinaux permet de dériver la distribution des risques de façon à les caractériser statistiquement en fonction du contexte dans lequel ils ont été gérés (par exemple, être en mesure de prévoir que 5 risques pour lesquels la probabilité a initialement été évaluée entre 0,8 et 1, et dont l'impact est un dépassement de coût évalué à 20% se produiront au cours d'un projet donné, et que les mesures de mitigation mises en oeuvre permettront de réduire les dépassements de coût réels à 5% et leur probabilité à 0,4), dans le but d'optimiser le processus de gestion des risques dans les projets à venir.

Les activités de classification et de consolidation visent à évaluer un ensemble de risques et à déterminer comment ils sont reliés entre eux. Les classes ou les groupes résultants fournissent une perspective différente lors de la planification de mesures de mitigation et de contingence. Ils facilitent entre autres l'identification de risques récurrents et ils permettent de réaliser des économies d'échelle au cours de la planification en dérivant des mesures de mitigation et de contingence pouvant être appropriées à la gestion de plusieurs risques simultanément. L'activité de consolidation, en particulier, permet de combiner les énoncés de risques mineurs dans le but d'en arriver à un nouvel énoncé de risque et d'en faciliter la gestion.

La classification des risques peut être réalisée selon divers axes : leur source, le produit, la composante ou le service affecté, la phase à laquelle ils sont susceptibles de survenir, les groupes ayant la responsabilité de les gérer, etc.

L'ordonnancement des risques est effectué dans un premier temps en calculant le degré d'exposition au risque (ER) par la relation :

Une représentation du degré d'exposition au risque à l'aide d'une échelle qualitative, tel qu'illustré ci-après, facilite son interprétation et la communication des risques pour lesquels des actions devraient être prises de façon prioritaire.

Le degré d'exposition au risque constitue un premier paramètre permettant d'ordonnancer les risques afin de déterminer lesquels seront abordés en premier. Lorsque deux risques ont le même degré d'exposition au risque, la gravité pourra être utilisée pour réaliser un ordonnancement plus fin. La gravité est déterminée par la relation :

Avec l'utilisation d'une échelle de 1 à 3 pour représenter un délai variant de court terme à long terme, la valeur numérique associée à la gravité sera d'autant plus grande que le délai est court.

Si deux risques ont le même degré d'exposition au risque et la même gravité, des paramètres supplémentaires peuvent s'avérer nécessaires dans le but de préciser leur ordonnancement. En effet, l'utilisation d'ordinaux ne permet pas de mettre en évidence la densité des risques et leur interaction s'ils se matérialisaient. Ainsi, dans le tableau précédent, un risque probable dont l'impact est marginal a le même degré d'exposition au risque qu'un risque improbable pour lequel l'impact est catastrophique. L'effet du risque catastrophique pourra être concentré sur une courte période de temps ou se faire sentir à l'intérieur d'un périmètre limité inapte à en absorber le choc, alors que l'effet du risque probable pourra être réparti sur plusieurs événements étalés dans le temps ou survenir plus ou moins simultanément en plusieurs endroits différents plus aptes à en absorber le choc individuellement. Par ailleurs, l'interaction de plusieurs incidents découlant d'un risque probable dont l'impact est marginal pourra faire en sorte que leur effet combiné dépasse l'effet d'un risque catastrophique improbable.

La phase d'analyse des risques constitue une étape charnière dans le processus de gestion des risques. En effet, en l'absence d'une analyse suffisamment détaillée, la phase de planification risque elle-même de s'étirer et de tourner en rond. Une « bonne » analyse permettra de focaliser les efforts de planification de mesures de mitigation et de contingence beaucoup plus rapidement.

Il peut sembler attrayant de définir une phase d'analyse complexe et de viser une quantification aussi précise que possible des risques mis en évidence lors de la phase d'identification. En pratique, il est souhaitable, dans un premier temps, de s'en tenir à une approche d'analyse qualitative et de minimiser l'utilisation de paramètres quantitatifs, à moins de bénéficier de l'aide d'experts dans le domaine. Une fois que l'approche qualitative aura été bien maîtrisée, il sera toujours temps de la quantifier de façon graduelle. Plusieurs des organisations qui ont mis en oeuvre depuis plusieurs années une gestion des risques en développement d'applications s'en tiennent encore à une approche largement qualitative.

La section « Analyse du risque » intégrée à la fiche de risque fournie dans les gabarits est recommandée dans le cadre de la mise en oeuvre de la phase d'analyse. Dans le cadre de cette mise en oeuvre, une attention particulière devrait être portée aux points suivants :

1. Assurez-vous de définir une méthode simple à mettre en oeuvre. Vous aurez toujours l'occasion d'y ajouter des détails plus tard.

2. Pour un projet donné, définissez au préalable les échelles relatives à la probabilité (ou la fréquence), à l'impact et au délai de façon à ce que tous les risques soient analysés avec la même échelle.

3.Pour l'échelle relative à l'impact, rédigez un énoncé générique correspondant à un impact catastrophique, un impact modéré, etc. dans l'espace réservé à cette fin dans la section sur l'analyse du risque. Illustrez l'énoncé générique avec des exemples de ce que constitue, pour le projet, l'impact auquel l'énoncé correspond. En pratique, il s'avère souvent plus facile de commencer par identifier des exemples correspondant à un impact donné et de rédiger ensuite un énoncé résumant ces exemples.

4.Dans un premier temps, faites appel à un seul axe qualifiant un nombre prédéterminé d'impacts et fournissez des exemples de ce à quoi correspond pour le calendrier, le budget, la performance, etc., un impact catastrophique, un impact critique, etc. Autrement dit, évitez de définir des impacts selon plusieurs axes (coût, calendrier, performance technique, etc.) et de devoir pondérer chacun des axes dans le but de calculer l'impact moyen.

5. Si vous développez vos propres échelles de priorité, d'impact et de délai, limitez le nombre de niveaux à huit au maximum.

6. Demandez à deux ou trois intervenants susceptibles de se prononcer sur la probabilité ou la fréquence d'un risque donné, son impact et son délai. Passez en revue les résultats et discutez avec eux de tout écart significatif, afin d'en arriver à un consensus sur les attributs à assigner à chaque risque.

7. Passez en revue le degré d'exposition au risque assigné à chaque risque en fonction de son impact et de sa probabilité. Il pourrait s'avérer nécessaire de définir des critères d'ordonnancement supplémentaires afin de tenir compte du fait que deux risques ayant le même degré d'exposition au risque et la même gravité n'a pas nécessairement les mêmes conséquences en raison de leur densité et de leur interaction.

8. Afin de vérifier la justesse de l'analyse, il peut s'avérer souhaitable de demander à plusieurs intervenants de procéder à un ordonnancement des risques résultant de la phase d'identification.

La phase de la planification vise à planifier les mesures de mitigation et, au besoin les mesures de contingence, qui permettront de diminuer les risques identifiés au cours de la phase d'identification.

Ultimement, les mesures de mitigation et les mesures de contingence viseront à réduire la probabilité (ou la fréquence) et l'impact de chaque risque, deux des attributs que la phase d'analyse aura permis de déterminer.

La phase de planification doit permettre à chaque intervenant du projet de répondre aux questions suivantes :

Il est important de planifier efficacement et intelligemment. La planification des mesures de mitigation et de contingence devrait comporter autant de détails qu'il est nécessaire afin de pouvoir en retirer des bénéfices. À cet égard, la sur planification peut s'avérer aussi préjudiciable qu'un manque de planification, car elle est susceptible de devenir une excuse pour ne rien faire.

Une planification efficace des risques constitue un processus continu de mise au point des mesures de mitigation et de contingence au fur et à mesure que de nouveaux risques se manifestent au cours de la réalisation du projet. Une communication libre et un travail d'équipe favorisent un échange de points de vue qui contribuent à améliorer la qualité du contenu des plans de mitigation; ceux-ci seront alors plus à même d'être mis en oeuvre de façon concluante.

Cette planification fait appel à un processus de gestion intégrée, en ce sens qu'elle doit s'harmoniser avec les objectifs visés par le projet. Une vision commune du produit ou du service faisant l'objet du projet jointe à une perspective globale prenant en considération les besoins de la clientèle et les objectifs de l'organisation dans laquelle le projet s'inscrit, permettent de concevoir des mesures de mitigation et de contingence qui tiennent compte des intérêts de la clientèle, du projet lui-même et de l'organisation.

Finalement, une vision orientée vers l'avenir prenant en considération les conséquences associées aux risques contribue à faire en sorte que ceux-ci ne dégénèrent pas en problèmes.

Les entrées et les sorties de la phase de planification sont présentées dans le diagramme suivant :

Les entrées de la phase de planification sont les fiches de risque issues de la phase d'analyse, ordonnées selon leur priorité et classifiées selon les critères définis au cours de l'analyse, l'information concernant les ressources assignées au projet, ses contraintes et ses objectifs, et le répertoire de risques. Ce dernier constitue une source d'informations utiles qui pourront être mises à profit au cours de la planification, notamment dans le cas où des risques similaires auraient déjà fait l'objet de mesures de mitigation et de contingence dans des projets en cours ou complétés.

À partir de ces entrées, les mesures de mitigation et de contingence sont définies et circonscrites dans le cadre d'une approche cohérente, leur portée est identifiée et les responsabilités assignées.

Celles-ci incluent aussi bien les responsabilités liées à la définition des mesures en question que celles relatives à leur mise en oeuvre. La phase de planification se traduit par des mesures de mitigation et de contingence qui peuvent être intégrées aux fiches de risque correspondantes ou bien, si leur envergure le justifie, faire l'objet de plans distincts. La mise à jour du répertoire de risques est également effectuée.

Généralement, les fiches de risque sont rassemblées dans une annexe à un document (le plan de gestion des risques) dans lequel le processus de gestion des risques est décrit, la façon dont ce processus est intégré à la gestion du projet est exposée, les rôles et les responsabilités sont présentés et le budget attribué à la gestion des risques est réparti entre les activités des différentes phases de gestion de risques incluant le suivi, le contrôle et la communication. Ce document pourra être modifié à l'occasion mais plus souvent qu'autrement, l'annexe constituée par les fiches de risque fera l'objet des modifications les plus fréquentes.

La planification des mesures de mitigation et de contingence d'un risque, peu importe sa nature et ses attributs, pourra s'appuyer sur l'une des sept stratégies suivantes :

Cette stratégie correspond à une action concertée de « vivre avec » les conséquences d'un risque si celui-ci survient. Elle peut être prise en considération lorsqu'il est possible d'en assumer les pertes résultantes. Il pourra s'agir, par exemple, d'opter pour un environnement de développement (ou de paramétrage) donner tout en sachant qu'il comporte certaines lacunes mais pour lequel il est facile de trouver des ressources compétentes. Les mesures de mitigation et de contingence correspondant à une stratégie d'acceptation consistent à ne rien faire pour réduire le risque en question.

Cette stratégie vise l'élimination du risque. Il s'agit, par exemple, de prendre la décision de ne pas entreprendre le développement d'une fonctionnalité particulière pour une application donnée. Elle est généralement prise en considération dans le cas où il y a de grandes chances que la situation soit perdante si le risque survient. Les mesures de mitigation et de contingence correspondant à une stratégie d'évitement consistent à accomplir les actions permettant d'éviter la situation qui génère le risque.

La stratégie de protection repose essentiellement sur le développement de la redondance ou de la tolérance aux défaillances. Elle peut être prise en considération quand il s'avère indispensable de réduire l'impact d'un risque et quand les mesures de mitigation et de contingence qui y sont associées sont réalisables financièrement. L'approche de mitigation découlant d'une stratégie de protection consiste à concevoir les mesures qui conduiront à la redondance et à la tolérance aux défaillances envisagées.

Cette stratégie est la plus couramment associée au concept de gestion des risques. Elle consiste à prendre les mesures visant à réduire soit la probabilité que les risques surviennent, soit leur fréquence (s'il s'agit de risques récurrents), ainsi que leur impact dans l'éventualité où ils se produiraient. Cette stratégie est adoptée lorsque l'analyse des coûts bénéfices le justifie. La stratégie de réduction diffère de la stratégie de protection par la nature des mesures de mitigation et de contingence.

Cette stratégie consiste à prévoir des suppléments en termes de délais, de budget, de ressources informatiques, de ressources humaines, etc. Elle peut être prise en considération dans le cas où il existe des incertitudes quant à la consommation réelle de telles ressources. Les mesures de mitigation et de contingence correspondantes consistent à évaluer l'importance et la nature des réserves à prévoir et la période pendant laquelle elles devront être disponibles.

Cette stratégie consiste à transférer le risque à un intervenant qui est plus à même de l'assumer. Elle est utilisée lorsqu'un tel intervenant est disponible et dans le cas où une stratégie d'acceptation s'avèrerait plus coûteuse que si le risque était assumée par l'intervenant en question. Les mesures de mitigation et de contingence correspondantes à une stratégie de transfert consistent à planifier les activités reliées au choix de l'intervenant et à la négociation des clauses régissant les mesures de mitigation et de contingence prises par ce dernier.

La stratégie de recherche consiste en une quête d'informations supplémentaires. Elle est adoptée lorsque la connaissance du risque en question n'est pas suffisante pour choisir l'une ou l'autre des stratégies précédentes. Les mesures de mitigation et de contingence correspondant à une stratégie de recherche prennent la forme d'actions visant à recueillir les informations qui permettront d'adopter une des six autres stratégies.

Une huitième option s'offre à l'occasion, elle consiste à attendre que des événements surviennent et permettent éventuellement d'adopter une des sept stratégies précédentes. Cependant, l'attente n'est cependant pas une stratégie de gestion des risques à proprement parler car elle est passive et n'implique aucune mesure particulière.

IV- Suivi des risques

Phase de suivi vise à recueillir l'information pertinente permettant de mettre à jour les fiches de risque et de présenter cette information de façon claire et intelligible aux personnes et aux groupes à qui elle est destinée. L'objectif ultime de l'information résultant de la phase de suivi est de pouvoir prendre une décision à l'égard de chaque risque faisant l'objet d'un suivi.

§ La collecte de l'information requise afin de mettre a jour les fiches de risque;

La communication du résultat de cette compilation par l'entremise des fiches de risque mises à jour et de tout autre véhicule approprié

La phase de suivi constitue un processus continu dans le sens que l'état des risques fait l'objet d'un examen périodique et est communiqué à intervalles réguliers aux intervenants concernés. Une communication libre assure que l'état réel des risques est présenté, sans tenter de dissimuler les conséquences possibles de situations qui se sont détériorées, de mesures de mitigation des risques qui ne se sont pas avérées efficaces ou de mesures de contingence qui ont été déclenchées.

La phase de suivi fait appel à un processus de gestion intégrée, en ce sens qu'elle doit s'harmoniser avec l'approche de suivi et de supervision du projet. Une perspective globale jointe à une vision orientée vers l'avenir permettent aux intervenants qui passent en revue les informations relatives au suivi de les interpréter dans le contexte approprié au produit ou au service faisant l'objet du projet, dans le but de dégager les tendances auxquelles celui-ci est soumis et d'identifier les nouveaux risques auxquels il est exposé.

Les entrées et les sorties de la phase de suivi sont présentées dans le diagramme suivant :

Les entrées de la phase de suivi sont d'une part, les fiches de risque issues de la phase de planification, incluant le plan de gestion des risques et d'autre part, l'information concernant les ressources assignées au projet, les données recueillies dans le cadre de sa réalisation ainsi que les informations se rapportant à l'évolution des risques pour lesquels ces plans ont été préparés.

Ces entrées sont passées en revue, les informations pertinentes sont compilées et des rapports résumant l'état les risques sont préparés au besoin. La phase de suivi se traduit par des fiches de risque qui ont fait l'objet d'une mise à jour et un plan de gestion des risques mis à jour. Le rapport d'avancement sur l'état des risques est typiquement intégré aux fiches de risque. Toutefois, dans le cas de risques particulièrement importants ou faisant l'objet de mesures de mitigation et de contingence de grande envergure, il est possible que des plans spécifiques leur aient été consacrés et des rapports d'avancement distincts pourront alors être préparés.

La phase de suivi entraîne l'utilisation de métriques permettant d'évaluer l'évolution des risques. Deux types de métriques sont notamment mises à contribution :

Ce sont des représentations de données qui fournissent des indications sur le processus de gestion des risques, les activités qu'il comprend et les résultats en découlant. Le degré d'exposition au risque et la gravité du risque constituent deux indicateurs permettant de juger de l'efficacité des mesures de mitigation et de contingence mises en oeuvre au cours d'un projet.

Un indicateur efficace se veut facile à calculer. Il simplifie également la collecte de données et il est pertinent au sujet qu'il vise à représenter. Au fur et à mesure que la gestion des risques évoluera au sein d'une organisation et constituera un processus intégré à la gestion de projet, d'autres indicateurs seront vraisemblablement définis dans le but de caractériser plus précisément le processus en question et les risques qui en font l'objet.

Les métriques de type déclencheur sont des seuils utilisés conjointement avec les métriques de type indicateur afin de déterminer le moment où une action s'avère nécessaire, telle que la mise en oeuvre d'un plan de contingence. Un ensemble de seuils pourra ainsi être défini et sélectivement activés en fonction de l'information fournie par les indicateurs.

Un déclencheur efficace fournit rapidement un avertissement, il ne se déclenche pas inutilement et il est facile à déterminer ou à calculer. Les activités réalisées dans le cadre de l'acquisition des informations sont les suivantes :

§ La revue des données du projet susceptibles d'avoir une incidence sur les risques faisant l'objet d'un suivi;

§ La revue des données relatives au déroulement des activités de mitigation ou de celles relatives aux activités de contingence, selon le cas;

§ La mise à jour des attributs de chaque risque, notamment sa probabilité, son impact et le délai disponible avant la mise en oeuvre des mesures de mitigation ou des mesures de contingence si celles-ci n'ont pas encore démarrées;

§ la collecte de toute information additionnelle susceptible d'apporter un éclairage nouveau sur les risques, sur leurs attributs ou sur l'efficacité des mesures de mitigation ou de contingence mises en oeuvre jusqu'à présent et sur la pertinence de celles prévues;

§ La mise à jour des indicateurs, notamment le degré d'exposition au risque et la gravité de chaque risque.

Les activités reliées à la compilation consistent essentiellement à analyser les informations ainsi recueillies et à établir l'état de chaque risque, l'état des mesures de mitigation ou de contingence, les tendances susceptibles de se développer et le risque global auquel le projet est exposé. Une attention particulière est portée aux déclencheurs qui sont à même de fournir un avertissement sur le fait que certaines actions doivent être suspendues et d'autres démarrées.

Finalement, les résultats de cette compilation sont transmis aux intervenants concernés, principalement par l'entremise des fiches de risque. Les fiches de risque pour lesquels les indicateurs signalent une détérioration possible de la situation pourront faire l'objet de présentations plus détaillées.

La phase de suivi aborde autant le suivi de l'évolution des risques que le suivi des mesures de mitigation ou de contingence mises en oeuvre afin de réduire leur impact et leur probabilité ou leur fréquence. Les deux suivis sont tributaires l'un de l'autre. D'une part, la nature des mesures de mitigation et de contingence dépendra des attributs des risques et des indicateurs qui en découlent et d'autre part, la mise en oeuvre des mesures de mitigation et de contingence aura une incidence sur les attributs des risques.

L'utilisation de la section « Planification et suivi des mesures de mitigation et de contingence » de la fiche de risque fournie dans les gabarits est recommandée pour cette phase (compte tenu du fait que la planification et le suivi des mesures de mitigation et de contingence sont des activités intimement liées, celles-ci sont intégrées à une seule section de la fiche de risque). Un exemple de fiche de risques dans laquelle cette section a été complétée est fourni dans les gabarits.

Les principes sur lesquels repose la phase de suivi sont à peu de choses près les mêmes que ceux sur lesquels s'appuient le suivi et la supervision de projet. À cet égard, il est utile de mentionner les points suivants :

1. Faites du suivi des risques un point à l'ordre du jour de chaque réunion de suivi de projet. De cette façon, il y aura de meilleures chances que la responsabilité de suivi des risques soit assignée et que les fiches de risque, notamment la section portant sur le suivi des mesures de mitigation et de contingence, soient mises à jour régulièrement.

2. Assujettissez le processus de suivi des risques au processus d'assurance qualité. Cela contribuera de façon significative à garantir que les activités de suivi sont effectivement réalisées.

3. Faites en sorte que l'information contenue dans les fiches de risque concernant le suivi des mesures de mitigation et de contingence soit disponible à tous les participants au projet, dans un format clair et concis. Le problème le plus fréquemment rencontré en rapport avec le suivi des risques est le peu de visibilité qui lui est accordé, ce qui se traduit immanquablement par une perte d'intérêt à plus ou moins long terme.

4. Choisissez, pour les métriques de type déclencheur, des valeurs ou des événements qui donnent aux intervenants concernés le temps de réagir et de poser les actions appropriées au moment opportun.

5. Au minimum, le suivi de l'évolution des risques devrait être effectué, même si les mesures de mitigation ou de contingence n'ont pas encore été mises en oeuvre

7. Ne perdez pas de vue qu'il peut s'avérer nécessaire de revoir les mesures de mitigation et de contingence après la compilation des informations (le plan de gestion des risques décrivant le processus mis en oeuvre à cette fin, la façon dont il est intégré à la gestion du projet, les rôles et les responsabilités et le budget peut également devoir être révisé). La mise à jour des attributs d'un risque peut également nécessiter de déclencher à nouveau la phase d'analyse.

V- Contrôle des risques

La phase de contrôle consiste en une prise de décision éclairée, opportune et efficace concernant les risques et les plans de mitigation et de contingence. Chaque risque est examiné et l'information recueillie au cours de la phase de suivi est passée en revue dans le but de pouvoir déterminer les actions à prendre à son égard. Ainsi, la continuation des activités de suivi ou la clôture du risque constitue deux décisions possibles en rapport avec un risque donné. La phase de contrôle inclut les activités suivantes :

§ L'analyse du résultat des activités de suivi et des rapports qui en découlent pour chacun des risques visés;

§ La mise en oeuvre des décisions qui ont été prises à l'égard de chacun des risques.

La phase de contrôle des risques fait appel au principe de communication libre car il est particulièrement important que la prise de décision se fasse en connaissance de cause, en prenant compte de toute l'information disponible à leur égard. Comme pour la phase de suivi, la phase de contrôle repose sur un processus de gestion intégrée à la gestion de projet et s'appuie largement sur les mécanismes qui y sont mis en oeuvre.

Une perspective globale, qui tient compte de l'application faisant l'objet du projet en tant que composante d'un système, jointe à une vision orientée vers l'avenir, contribue à une prise de décisions dont l'objectif est le succès du projet et de l'organisation dans laquelle il s'inscrit.

Les entrées et les sorties de la phase de contrôle sont présentées dans le diagramme suivant :

Les entrées de la phase de contrôle sont les données du projet ainsi que les fiches de risques issues de la phase de suivi, incluant les rapports décrivant l'état des risques, le plan de gestion des risques, l'état des mesures de mitigation ou de contingence prévues ou mises en oeuvre et l'incidence que les risques ont sur le projet, si ces rapports ne sont pas déjà inclus dans les fiches en question.

Ces entrées font l'objet d'une analyse qui se traduit par une décision, suivie de la réalisation des activités en découlant. Les fiches de risques sont mises à jour et rangées dans le répertoire des risques. Ce dernier constitue une source d'informations qui pourront être mises à profit au cours des projets à venir.

Typiquement, une parmi les six décisions suivantes résulte de la phase de contrôle :

Lorsque l'évolution des risques demande que les mesures de mitigation ou de contingence soient modifiées pour tenir compte des nouveaux développements.

Lorsque le degré d'exposition au risque a diminué à un seuil acceptable, que le risque n'est plus une préoccupation ou que le risque n'est plus pertinent car il référait à une phase maintenant terminée du projet. Si le risque a dégénéré en problème, la clôture du risque pourra également être effectuée si les mesures prévues à cet effet font partie d'un processus de gestion de crise distinct du processus de gestion des risques.

Lorsqu'il apparaît que les mesures de mitigation pourraient ne pas s'avérer concluantes et qu'il serait prudent de planifier des mesures de contingence qui n'auraient pas été élaborées lors de la phase de planification. La préparation d'un plan de contingence peut être coûteuse et ne sera typiquement entreprise concurremment avec la préparation d'un plan de mitigation que pour les risques les plus importants.

Lorsqu'il apparaît probable que les mesures de mitigation ne sont pas concluantes et que les mesures de mitigation doivent être appuyées par des mesures de contingence ou interrompues et remplacées par la mise en oeuvre du plan de contingence.

Lorsqu'il est nécessaire de repousser la prise de décision jusqu'à ce que de plus amples renseignements sur l'état du risque ou l'état des mesures de mitigation ou de contingence soient disponibles.

Lorsque aucune action spécifique n'est requise autre que de continuer les activités de suivi des risques.

La fermeture d'un dossier de risque devrait s'accompagner d'une documentation sur la raison de l'échec ou de la réussite du plan de mitigation (ou du plan de contingence), les relations qui auront pu exister entre ce risque et les autres risques associés au projet et les données d'analyse pertinentes.

À cet égard, une revue des fiches de risque enregistrées dans le répertoire de risques est souhaitable à la fin du projet. Leur mise à jour avec les recommandations pertinentes aux situations qui y sont décrites, en tenant compte de l'expérience acquise au cours du projet, constituera une aide très importante pour les projets en cours et ceux prévus dans le futur.

La phase de contrôle peut être supportée à l'aide de la fiche de risques fournie dans les gabarits. Un exemple de fiche complétée est également fourni dans les gabarits.

La phase de contrôle est souvent incorporée à l'approche de suivi et de supervision de projet et à cet égard, elle fait appel aux mécanismes qui y sont intégrés. Une attention particulière devrait toutefois être portée aux points suivants :

1. Comme pour la phase de suivi, faites du contrôle des risques un point à l'ordre du jour de chaque réunion de suivi et de supervision de projet et assujettissez-le au processus d'assurance qualité.

2. Évitez d'adopter une attitude passive visant à attendre de nouveaux développements. Dans certaines situations, il peut ne pas y avoir autre chose à faire, mais il s'agit là d'une invitation à réagir aux événements plutôt qu'à prendre les devants et les influencer. Une décision de réaliser des analyses plus poussées ou d'effectuer une recherche par l'entremise d'actions bien ciblées sera généralement préférable à attendre des événements pour réagir.

3. Assurez-vous d'avoir accès aux intervenants qui sont à même de fournir les informations pertinentes pour appuyer la prise de décision inhérente à la phase de contrôle.

4. Documentez les expériences acquises au cours de la fermeture des risques et consultez celles associées aux risques précédents.

5. Ne perdez pas de vue qu'un dossier de risque fermé peut à l'occasion être réactivé. Il est d'ailleurs préférable de mettre sous contrôle de gestion de configuration les éléments de documentation relatifs aux risques.

6. Planifiez l'établissement d'un référentiel de risques à la fin du projet ou si le nombre de risques est élevé, examinez la pertinence d'établir de mini référentiels lorsque le nombre de risques pour lesquels une décision de clôture a été faite a atteint un seuil prédéfini.

7. Assurez-vous que la responsabilité de mettre à jour le répertoire de risques a été assignée et que celui-ci est structuré de façon à pouvoir être consulté facilement.

Le répertoire de risques constitue une source d'informations essentielles qui vous permettront de gagner du temps et d'éviter de refaire les mêmes erreurs, en plus d'être une source de renseignements fort utiles pour ceux et celles qui assumeront la responsabilité de projets dans le futur.

VI- Communication des risques

La phase de communication constitue le pivot du processus de gestion des risques. Elle vise notamment à ce que les risques associés au projet et les options disponibles en vue d'en réduire les conséquences soient bien comprises, permettant ainsi de faire des choix éclairés qui tiennent compte des exigences auxquelles le projet doit répondre.

La mise en oeuvre d'une communication efficace est simple en apparence mais difficile en pratique. La détermination des informations essentielles à transmettre n'est pas toujours évidente au cours du déroulement d'un projet. Dans un contexte de gestion des risques, la phase de communication est rendue plus difficile en ce sens qu'elle traite de conséquences négatives qui ne font pas toujours l'objet d'un accueil favorable auprès des intervenants à qui l'information est destinée. Sous l'influence de certains paramètres tels que le climat caractérisant le projet, l'organisation dans laquelle il s'inscrit, le niveau de confiance entre les membres de l'équipe de projet, l'historique des conflits interpersonnels, le respect qu'ont les membres de l'équipe de projet entre eux, le rapport établi entre les gestionnaires et les spécialistes de domaine et l'état des relations clients fournisseurs, l'information relative aux risques sera communiquée de diverses façons.

Elle pourra être dissimulée, transmise par des intermédiaires, propagée sous forme de rumeurs provenant de sources non identifiées ou enfin, et heureusement, partagée de façon à être prise en compte rapidement et efficacement. Par ailleurs, la recherche d'une phase de communication efficace ne doit pas non plus compromettre la structure organisationnelle et les voies hiérarchiques existantes ou dégénérer en un exercice de démotivation systématique.

La phase de communication, pour être efficace, doit faire appel au principe de communication libre, c'est-à-dire un échange d'information libre de contraintes entre intervenants de même niveau hiérarchique et de niveaux hiérarchiques différents. Elle doit également valoriser les opinions individuelles tout en stimulant le travail d'équipe qui favorise l'échange de points de vue et contribue ainsi à améliorer la qualité et la pertinence des informations.

Les entrées et les sorties de la phase de communication sont présentées dans le diagramme suivant :(page suivante)

La phase de communication n'étant pas une étape proprement dite du processus de gestion des risques, en ce sens qu'elle n'est pas précédée ou suivie d'une autre phase, ses entrées en sont également les sorties, possiblement reformulées sur la base de différents points de vue de l'équipe de projet. Les entrées en sont les fiches de risque découlant de chacune des phases du processus de gestion des risques. Les sorties en sont des plans de travail, une répartition des tâches à réaliser et un calendrier de réalisation. L'effet résultant de la phase de communication est une meilleure compréhension des risques considérés et de leur évolution, des mesures de mitigation ou de contingence envisagées ou mises en oeuvre, des résultats obtenus et des décisions prises à leur égard.

Le transfert d'information sur les risques en fonction des phases de gestion des risques et des intervenants les plus à même d'être concernés est illustré dans le diagramme suivant :

À noter que l'information disponible à la suite de l'application de la phase d'analyse peut également être transmise à la phase de contrôle avant d'être transmise à la phase de planification, car il est possible qu'une décision (p. ex. fermer le dossier) puisse être prise à ce moment. L'information résultant de l'application de la phase de contrôle est ensuite utilisée dans le cadre de l'application de la phase de planification et transférée à la phase de suivi. L'information associée à cette dernière sera traitée par la phase de contrôle et les tendances qui pourront être dégagées influenceront vraisemblablement la phase d'identification. Trois grandes catégories de facteurs doivent être prises en considération dans l'établissement de la phase de communication, soit l'attitude individuelle face aux risques, la nature des groupes et la culture organisationnelle.

Les personnes se répartissent en trois catégories : celles qui évitent les risques, celles qui en prennent et celles qui ont une attitude neutre vis-à-vis les risques. La caractéristique dominante du groupe d'individus auquel il est demandé de se prononcer sur les risques aura nécessairement une influence importante sur la nature et le contenu des informations communiquées dans le cadre de la mise en oeuvre d'un processus de gestion des risques. Il est donc souhaitable de s'assurer que la composition de l'échantillon d'individus consultés est équilibrée tout au long de la mise en oeuvre de ce processus.

Au niveau des groupes participant à la réalisation du projet et du projet lui-même, leur envergure et leur localisation influenceront également la mise en oeuvre de la phase de communication. La dynamique d'une petite équipe est significativement différente de celle d'une grande équipe et la communication est en principe beaucoup plus facile à établir à l'intérieur de la première que de la seconde. La communication au sein d'une équipe partageant un même local est également plus facile que dans une équipe répartie dans plusieurs locaux, particulièrement si ceux-ci sont éloignés les uns des autres.

La culture organisationnelle caractérisant l'entité dans laquelle le projet s'inscrit aura aussi une influence importante sur la façon dont la phase de communication est établie. Quatre cultures dominantes ont ainsi été identifiées par Larry Constantine dans le cadre de ses travaux à ce sujet [«Work Organization : Paradigms for Project Management and Organization», Communications of the

§ la culture organisationnelle dite fermée (réfractaire au risque), représentée par la hiérarchie traditionnelle rigide où le groupe est valorisé par rapport à l'individu;

§ la culture organisationnelle dite aléatoire, qui caractérise les entreprises en démarrage, où l'individu est valorisé et où la prise de risque est encouragée;

§ la culture organisationnelle dite ouverte (caractérisée par une attitude neutre vis-à-vis le risque), souvent observée dans les organismes de normalisation où l'atteinte d'un consensus a une grande valeur et où les discussions sont encouragées;

§ la culture organisationnelle dite synchrone (plutôt réfractaire au risque), caractérisant une organisation où chacun a une vision et une compréhension communes de la façon dont celle-ci opère (une salle d'urgence, par exemple).

§ Une approche éprouvée permettant de faire en sorte que les informations essentielles circulent au sein d'un projet consiste à faire appel à des mécanismes d'assurance qualité. En raison de la position de cette dernière dans une organisation et de la perspective qu'elle a des orientations de la direction, des besoins dont il a été entendu que le projet doit combler, de la façon dont le projet se déroule et des produits de travail qui en découlent, l'assurance qualité est particulièrement bien positionnée pour assumer ce rôle. Le personnel d'assurance qualité agit alors en tant qu'intermédiaire objectif dans la transmission des informations de la direction vers la clientèle et l'équipe de projet, de la clientèle vers l'équipe de projet et la direction et de l'équipe de projet vers la clientèle et la direction.

Par ailleurs, la façon de mettre en oeuvre l'assurance qualité dans un projet dépendra largement de la composante dominante de la culture organisationnelle.

Les fiches de risque constituent le véhicule privilégié de communication des risques. Les fiches en question peuvent être segmentées selon les phases composant le processus de gestion des risques (identification, analyse, planification, suivi et contrôle) ou autrement, les informations qui y sont contenues peuvent être intégrées dans une seule fiche fournissant une perspective globale de chaque risque.

Des approches complémentaires peuvent être utilisées afin d'appuyer la communication des risques.

Diverses méthodes peuvent être envisagées; celles présentées ci-après ont été observées au sein d'organisations ayant fait l'objet d'évaluations de risques et se sont avérées utiles.

1. Identifiez dans l'organisation ou dans le projet un intervenant ayant un talent de caricaturiste confiez-lui le soin de représenter le déroulement du projet en y ajoutant sa touche personnelle.

Une organisation ayant assumé la responsabilité d'un projet de grande envergure a grandement bénéficié de cette approche qui avait été initiée spontanément par un membre de l'équipe doué à cet égard. Une caricature humoristique était ainsi produite de façon hebdomadaire et l'intervenant en question était régulièrement alimenté par ses collègues, par les gestionnaires, par les partenaires du projet et à l'occasion, par le client lui-même. À la fin du projet, un compendium de toutes ces caricatures fut compilé et distribué au sein de plusieurs organisations au Canada et aux États-Unis. La popularité de la bande dessinée « Dilbert » est d'ailleurs éloquente à cet égard.

2. Si vous avez un rôle de gestion ou de direction, explorez la pertinence d'établir un groupe de travail ayant la responsabilité de recueillir les problèmes potentiels entrevus par les membres de l'équipe et d'agir. Ce rôle est souvent assumé de façon informelle par un ou plusieurs intervenants ayant établi une relation de confiance avec l'interlocuteur auquel cette information est destinée.

3. Tirez parti des réunions périodiques et spontanées entre gestionnaires et spécialistes de domaine afin de sonder le personnel sur les événements susceptibles de dégénérer en crises.

4. Établissez un journal de bord qui permet aux membres de l'équipe de projet de noter les situations qui leur semblent problématiques. Assurez-vous cependant que certaines règles sont respectées vis-à-vis le type d'observations qui peuvent y être notées. Une version électronique d'un tel véhicule peut également être envisagée si un intranet est disponible.

5. Établissez un mécanisme de sondages périodiques auprès des membres de l'équipe de projet. Il s'agit là d'une technique qui peut grandement contribuer à améliorer l'efficacité d'une organisation.

6. Finalement, assurez-vous que les mesures de prévention sont aussi visibles que les mesures de résolution de problèmes et qu'elles font l'objet d'une reconnaissance proportionnelle aux difficultés qu'elles ont permis d'éviter.

Conclusion...

Pour conclure, il faut préciser qu'aucune de ces méthodes n'est globale. Chacune aborde le problème du risque sous des angles différents. Leurs apports respectifs ne sont jamais totalement redondants. Elles fournissent des éclairages complémentaires sur le problème du risque dans les projets. Elles témoignent ainsi que la gestion des risques semble devenir aujourd'hui, pour la plupart des entreprises, une préoccupation majeure et un élément indispensable non seulement à la réussite de leurs projets, mais également au développement de l'entreprise, voire à sa survie .

BIBLIOGRAPHIE

§ LIVRES

§ Site Internet

www.Google.com

www.Altavista.com

* ¹ La méthode de Monte-Carlo : Est une technique de simulation en univers aléatoire qui conduit à des analyses très détaillées de systèmes complexes. Elle peut être utilisée, non seulement, pour simuler le comportement (fonctionnement et dysfonctionnement) de systèmes soumis à différents aléas et pour lesquels il est difficile d'obtenir des informations suffisamment fiables. Mais elle peut l'être également pour les problèmes d'ordonnancement de projet afin de procéder à l'analyse quantitative de certaines composantes du risque, à savoir l'incidence de la variabilité des durées ou des coûts des tâches d'un projet.

* ² Le Théorème de la Limite Centrale (TLC) établit, sous des conditions généralement respectées, que la variable aléatoire constituée par une somme de n variables aléatoires indépendantes suit approximativement une loi normale, quelles que soient les lois d'origine, dès que n est assez grand.

* ³ Selon Leroy et Signoret, lorsque l'on observe un système dynamique, on le voit sauter d'état en état au bout de durées aléatoires régies par les divers phénomènes (défaillances de composants, réparations,...) auxquels il est soumis. Ce comportement est dit «stochastique» et sa modélisation est du ressort des processus stochastiques.

* ⁴ La méthode AMDEC-Planning est une démarche qui vise à analyser qualitativement et quantitativement les risques de non-respect du délai d'un projet. Cette approche consiste à appliquer les techniques de l'AMDEC à la gestion de projet afin de détecter les principales causes de défaillances du planning et leurs effets et de les hiérarchiser.

Elle a pour but d'aider les responsables de projet à se placer a priori, dans des situations de défaillances de leur planning, avant que celles-ci ne surviennent, et d'envisager et mettre en place des mesures préventives ou curatives (en transformant le planning initial en un réseau non connecté de scénarios alternatifs) destinées à respecter le délai fixé.

* ⁵ La méthode ERA (Estimation Risk Analysis), reprenant le modèle de Hertz (risque que l'on a de faire ou pas), consiste à faire une évaluation du coût le plus probable d'un projet futur et une analyse des risques de dépassement des estimations faites initialement et ce, afin de faciliter la prise de décision d'investissement. Elle permet de simuler, en recourant à la méthode de Monte-carlo, les variations possibles dans l'estimation du montant de chaque poste de coût d'un projet et de déterminer ainsi la variation du coût global qui peut en résulter.

* ⁶ La méthodologie de prise en compte du risque repose sur une démarche, s'inspirant de la méthode AMDEC, qui vise à rechercher les points de vulnérabilité d'un nouveau produit et de les pondérer relativement aux objectifs principaux, afin de déterminer et de hiérarchiser les actions d'amélioration préventive.

* ⁷ La méthode ARP (Analyse des Risques Programme) et son outil informatique support (le progiciel «APSYS») ont été développés depuis 1987. Ils constituent les fondements d'une méthodologie destinée à analyser et à prendre en compte l'ensemble des risques d'un projet (les risques techniques, les risques humains, les risques juridiques, les risques organisationnels,...) et pas uniquement les risques technologiques.

* ⁸ La méthode de fixation du montant des imprévus est une méthodologie qui s'attache à analyser les risques sur l'estimation de coût d'investissement d'un projet. Elle vise à déterminer le montant des imprévus à prendre en compte lors de la définition du projet afin de se prémunir contre les conséquences des variations possibles de l'estimation de base.

* ⁹ L'approche simulatoire stochastique du risque délais est une méthode qui consiste à procéder à une analyse quantitative de l'une des composantes du risque, à savoir, celle liée à la variabilité de la durée d'un projet induite par la variabilité de la durée de ses différentes tâches. Cette approche simulatoire, basée sur l'utilisation de la méthode de Monte-Carlo et le choix d'une distribution de probabilités, a pour objet de déceler, lors de l'analyse formelle d'un projet et de sa programmation sous forme de graphe Potentiel Tâches, les tâches à risques et d'en appréhender les éventuelles conséquences sur la durée de réalisation du projet.

* ¹⁰ Chemins qui sont apparus comme étant critiques en univers aléatoire, alors qu'il ne l'étaient pas initialement en univers certain.