Gestion des risques des projets

II- Analyse de risque

La phase d'analyse vise à convertir les informations et données sur le risque recueillies au cours de la phase d'identification. Une fois cette analyse complétée, il sera alors possible, sur la base des résultats obtenus, d'identifier une stratégie de mitigation et de contingence pour chaque risque et de définir les mesures appropriées.

Pour y arriver, la phase d'analyse doit inclure les trois activités suivantes :

§ Une évaluation des attributs de chaque risque notamment sa probabilité (ou sa fréquence), son impact s'il survenait et le délai disponible avant de devoir faire quelque chose;

§ Une classification des risques identifiés afin de définir un ensemble de mesures cohérentes pour les gérer;

§ Un ordonnancement des risques en fonction de leur priorité afin d'être en mesure de déterminer quels risques seront abordés en premier.

La phase d'analyse des risques constitue un processus continu d'examen des conditions et contraintes qui affectent le projet, des nouveaux risques qui surviennent au cours de son déroulement et des priorités qui évoluent. Une communication libre permet d'assurer que l'analyse soit effectuée en tenant compte de toute l'information disponible et contribue ainsi à établir un appui solide pour la planification de mesures de mitigation et de contingence. Une vision orientée vers l'avenir contribue à faire en sorte que l'analyse soit effectuée en portant une attention particulière à l'impact à long terme des risques. Finalement, une vision commune jointe à une perspective globale permet d'analyser les risques dans un contexte élargi à la clientèle visée par le produit ou le service faisant l'objet du projet, aux besoins exprimés par la clientèle et aux objectifs de l'organisation.

Les entrées et les sorties de la phase d'analyse sont présentées dans le diagramme suivant :

Détail de la phase d'analyse

Les entrées de la phase d'analyse sont les fiches de risque résultant de la phase d'identification et d'une liste des risques qui constitue en quelque sorte la table des matières des fiches en question.

À partir de ces entrées, une évaluation de chaque risque est effectuée et à partir des résultats obtenus, les risques sont classifiés selon des critères préalablement établis et consolidés de façon à faciliter l'identification de leurs liens de dépendance et l'élaboration d'approches génériques de mitigation et de contingence. Le niveau de détail avec lequel cette évaluation est entreprise dépendra de l'importance du risque (un risque hautement susceptible de se matérialiser et pour lequel l'impact est élevé fera vraisemblablement l'objet d'une évaluation plus détaillée) et correspondra à ce qui est nécessaire et suffisant pour être en mesure d'identifier une stratégie de mitigation et de contingence, de planifier les mesures subséquentes et de faire le suivi de leur mise en oeuvre.

D'autres facteurs pourront être pris en considération au besoin, par exemple la culture organisationnelle (s'agit-il d'une organisation où la prise de risques est encouragée ou s'agit-il d'une organisation hautement hiérarchisée où les décisions doivent être entérinées par le personnel aux échelons supérieurs ?), les directives internes, les normes en vigueur dans l'organisation et les conditions imposées par le client.

Les sorties de la phase sont les fiches de risques classifiées en fonction de critères d'analyse pré-établis et la liste des risques qu'il faudra aborder dans un premier temps. Les fiches en question sont rangées dans un répertoire qui constituera en quelque sorte une banque de connaissances sur les problèmes potentiels auxquels les projets entrepris par l'organisation sont exposés.

Les trois activités de la phase d'analyse sont décrites ci-après.

1) L'évaluation des attributs des risques

Les attributs d'un risque sont au nombre de trois, soit :

§ la probabilité (ou la fréquence) d'un risque;

§ l'impact d'un risque;

§ le délai d'intervention avant l'impact d'un risque.

v Probabilité (ou fréquence) d'un risque

Le premier attribut caractérisant un risque est la probabilité qu'il survienne. S'il s'agit d'un risque opérationnel, c'est-à-dire d'un risque susceptible de se répéter de projet en projet, on pourra également parler de fréquence. Ainsi, au lieu de qualifier en termes de probabilité le risque que les intervenants concernés ne soient pas informés des événements qui les affectent au cours de la réalisation du projet, on pourra qualifier l'événement de chronique, occasionnel ou rare.

Exprimé en termes de probabilité, ceci est équivalent à qualifier le fait que si un événement significatif survient, la probabilité est très élevée, faible ou très faible que les intervenants concernés n'en soient pas informés. Une échelle permettant d'évaluer la probabilité qu'un risque survienne est illustrée ci-après. Cette probabilité peut être exprimée par un énoncé d'incertitude, un ordinal ou une valeur entre 0 et 1.

Exemple d'échelle de probabilité d'un risque

Une mise en garde s'impose en rapport avec l'utilisation d'ordinaux pour représenter une probabilité : ceux-ci ne sont généralement mis a contribution que pour associer une valeur numérique à un énoncé d'incertitude. Une probabilité ne peut en effet être supérieure à 1 ou inférieure à 0.

v Impact d'un risque

Le deuxième attribut caractérisant un risque est son impact, c'est-à-dire la perte subie si le risque survient. L'impact est souvent exprimé par le montant (ou un terme qualifiant ce montant) qu'une organisation est disposée à débourser afin d'éviter que le risque se produise. Ce montant variera en fonction de la criticité du risque et de facteurs non monétaires comme la culture organisationnelle et la détérioration de l'image de l'organisation si le risque survenait. Ainsi, dans le domaine de l'énergie nucléaire, une entité aux Canada et aux États-Unis sera généralement prête à débourser 11 millions $ pour éviter un décès dû à une fuite de matériel radioactif.

L'impact peut être évalué pour plusieurs dimensions (impact budgétaire, impact sur le calendrier, impact sur la performance du système, etc.), tel qu'illustré ci-après pour des projets majeurs (durée de 2 ans et plus ou coût de 5 M $ et plus).