1 - Problèmatique liée à la gestion des risques projet
2 - L'évaluation et la hiérarchisation des risques projet
3 - L'identification et l'analyse des risques projet
4 - L'analyse qualitative et quantitative du risque projet
5 - Formaliser et mesurer les impacts des risques
6 - Trouver des solutions palliatives
7 - Techniques de diminution du risque projet
8 - L'impact sur les aspects organisationnels
9 - La capitalisation des connaissances et la documentation

Problèmatique liée à la gestion des risques projet

La problématique de la gestion des risques dans un projet revient à se poser les trois questions suivantes :
- Comment identifier les risques potentiels d’un projet ?
- Comment les quantifier et les hiérarchiser ?
- Comment prendre en compte les risques identifiés ?

Avant de continuer, nous devons faire le distinguo entre les notions d’aléa, d’incertitude, et de risque :

1. La notion « d’aléa » signifie que les paramètres du projet peuvent évoluer dans une fourchette qui est statistiquement prévisible et que l’on peut modéliser par les lois de la probabilité. Les aléas sont jugés généralement comme acceptables car ils peuvent être pris en compte et parce-qu’ils sont maîtrisables.

2. La notion « d’incertitude », contrairement à la notion d’aléa, n’est pas modélisable par les lois de la probabilité.
Elle n’est gênante que si elle porte sur une information ayant une forte incidence sur le projet. Cependant, avec une certaine expérience de la gestion de projet, on sait généralement mettre les incertitudes sous contrôle.

3. La notion de « risque » correspond à un écart jugé inacceptable par rapport à une norme utilisée dans le contrôle, que cet écart résulte d’un aléa ou d’une incertitude ; et dont il n’existe aucun moyen d’évaluer préalablement la potentialité. En d’autres termes, nous pourrions définir le risque-projet comme étant la possibilité qu’un projet ne s’exécute pas conformément aux prévisions de date d’achèvement, de coût, ou de spécifications, étant considéré que cette possibilité serait inacceptable dans la mesure où elle remettrait en cause la réalisation du projet.

L'évaluation et la hiérarchisation des différents types de risques et leurs impacts

Ce qui défini le risque-projet est cette notion «d’événement inacceptable» qui compromettrait l’exécution du projet.
On peut rapidement caractériser les risques d’un projet, soit par
leur nature, soit par leur origine.

1. La nature des risques peut être d’ordre technique (la complexité de la solution à mettre en oeuvre), financier (liés à un montage financier indépendant de la structure qui met en oeuvre le projet), humain (liés à un conflit social, à la disponibilité des intervenants), organisationnel ou managérial (liés aux processus décisionnels, aux rapports hiérarchiques, à l’incohérence du cahier des charges, à l’indisponibilité des ressources).
On pourrait également parler d’autres natures de risques qu’elles soient réglementaires, juridiques, ou commerciales.

2. L’origine des risques peut provenir du client (insolvabilité, interruption du contrat), des fournisseurs ou des sous-traitants (défaillance), des pouvoirs publics ou des instances juridiques et réglementaires (intervention administrative, application d’une nouvelle norme venant modifier les spécifications initiales du projet).

Une fois cette identification réalisée, il convient ensuite d’analyser, de manière plus ou moins détaillée, leurs causes et leurs incidences potentielles, et de les caractériser, car on ne peut agir efficacement que sur ce que l’on connaît au moins partiellement. Mais il s’agit également d’examiner les interactions possibles et les combinaisons éventuelles, afin de déceler les risques qui peuvent en découler et compléter ainsi la liste de risques déjà identifiés. En effet, il ne faut pas oublier, que les risques sont souvent multiples et qu’ils sont rarement indépendants les uns des autres.

L'identification et l'analyse des risques

Le préalable à toute démarche de gestion des risques consiste à répertorier, de manière la plus exhaustive possible, tous les éléments générateurs de risques pour le projet et pouvant conduire à sa remise en cause ou au non-respect de ces objectifs. Pour entreprendre le recensement des risques, plusieurs techniques peuvent être utilisées, puis combinées, chacune d’elles ayant ses propres limites :
- L’analyse de la documentation existante (cahier des charges, contrat, organigramme des tâches).
- L’interview d’experts.
- La consultation de bases de données de risques rencontrés lors de projets antérieurs, ou l’utilisation de check-lists ou de questionnaires préétablis et couvrants les différents domaines du projet.

Par ailleurs, il n’est pas toujours facile de pouvoir appréhender est mesurer l’interdépendance qui peut exister entre les différents facteurs de risque. Il résulte alors une liste de risques possibles qu’il convient ensuite de classifier selon différentes typologies de causes possibles (causes techniques, financières, humaines, organisationnelles). Cette étape est la plus importante, car elle conditionne l’efficacité de toutes les autres.

L'analyse qualitative et quantitative des risques

La gestion des risques d’un projet ne doit pas uniquement se limiter à une simple analyse qualitative, c’est-à-dire à un recensement plus ou moins exhaustif des risques potentiels pour le projet. Cette analyse qualitative doit s’appuyer également sur une analyse quantitative pour mieux appréhender et estimer leur impact sur les coûts, les délais, et la qualité du projet. L’objectif de cette quantification consiste à évaluer la probabilité d’apparition de chaque risque recensé et a estimer la gravité de leurs conséquences directes et indirectes sur le projet. Cela permettra ainsi de préparer les parades les plus efficaces et de définir les actions amenées en priorité pour en maîtriser la portée. L’évaluation du risque consiste à chiffrer leur « criticité » respective (appelée aussi « niveau de risque ») et à en estimer prévisionnellement leurs conséquences. Cette estimation est obtenue à partir de deux paramètres : leur probabilité d’occurrence et la gravité de leurs conséquences.

Formaliser et mesurer les impacts des risques sur le projet

Les modalités d’évaluation, ou comment mesurer les impacts sur le projet ?
Evaluer les risques d’un projet revient généralement à mesurer sur une échelle de grandeur exprimant divers niveaux, la gravité de leurs conséquences et leur probabilité d’occurrence.
La gravité des risques étant fonction de l’importance des répercussions qu’il peut avoir sur les objectifs du projet, cette évaluation s’effectue dans la pratique de différentes manières :
1. En listant, à partir d’une grille de notation prédéfinie la note globale qui correspond aux effets constatés sur le projet (note 1 : pas d’effet sensible ; note 2 : décalage de trois mois ou surcoût de 10 millions de francs ; note 3 : décalage de six mois ou surcoût de 30 millions de francs ; ...).
2. En attribuant une note pour chacun des objectifs du projet.
Ces notes, attribuées à partir d’un barème déterminé (par exemple, selon une échelle de 1 à 4, où le 4 représente une gravité majeure et le chiffre 1 une gravité négligeable), traduisent la gravité des conséquences du risque identifié sur chaque objectif.
Dans la première série de notes, on mesure les effets c’est-à-dire l’impact direct sur le projet ; la deuxième série de notes étant consacrées aux conséquences sur les objectifs du projet. En effet, si tous les éléments de risques qui ont été inventoriés précédemment ont plus ou moins d’impact sur le projet dans sa globalité, ces mêmes éléments de risques auront un impact beaucoup plus direct sur un objectif précis du projet. En fonction de la pertinence de l’objectif, et sachant que tous les objectifs contribuant à la réalisation du projet n’ayant pas la même valeur, on peut ainsi établir un tableau de gravité des conséquences.

L’évaluation des risques d’un projet constitue certainement une aide précieuse pour les responsables de projets, mais elle présente également certaines limites qu’il convient d’indiquer :
1. Elle suppose que toutes les causes potentielles et toutes les conséquences possibles ont bien été identifiées et quelles sont quantifiables.
2. Le choix des valeurs a affecter à chacun des critères d’évaluation retenus obéit à une certaine subjectivité de la part des analystes. Elle dépend de leur tendance à être optimiste ou pessimiste, c’est pourquoi, il est préférable de réunir sous forme de groupe de travail les principaux acteurs impliqués sur le projet pour compenser les oublis ou les erreurs individuels et apporter des expériences différentes voire complémentaires.
3. Elle repose parfois sur l’hypothèse selon laquelle le projet analysé est comparable aux projets qui ont pu être menés précédemment. Une fois les risques évalués, il convient ensuite de les hiérarchiser, c’est-à-dire de fournir un ordre de grandeur permettant de distinguer les risques acceptables des risques non acceptables pour le projet.

L’intérêt pour le responsable de projet est de ne pas traiter tous les risques de manière homogène et de déterminer le niveau d’attention à porter à chacun d’entre eux, afin d’en minimiser les effets. En effet, traiter l’ensemble des risques détectés sur un projet est une mission difficile à réaliser, aussi est-il nécessaire de bien les ordonner pour limiter l’étude à ceux susceptibles d’aboutir à une remise en cause du projet.

Toutefois il convient de ne pas oublier que l’accumulation d’une multitude de petits risques, isolément sans gravité et dont les conséquences se cumulent, peut finir par dégrader l’objectif final. Cette évaluation conduit généralement à distinguer trois niveaux de risques :
1. Les risques faibles (peu graves et peu probables) qu’il convient de ne pas prendre en compte.
2. Les risques acceptables (graves mais peu probables, ou probables mais peu graves) dont l’occurrence ne remet pas en cause fondamentalement les objectifs du projet, mais qui doive néanmoins faire l’objet d’une attention toute particulière.
3. Les risques inacceptables (à la fois graves et probables) dont l’occurrence peut entraîner une dégradation importante ou une remise en cause des objectifs du projet.

Trouver des solutions palliatives

Ces risques doivent faire l’objet d’actions préventives ou curatives immédiates afin de les minimiser et de trouver des solutions palliatives :
Le management des risques d’un projet repose non seulement sur leur identification et sur leur évaluation, mais également sur leur prise en compte. En effet, il ne suffit pas de balayer l’ensemble des risques encourus, de les estimer et de les hiérarchiser, il faut également les maîtriser, c’est-à-dire définir et mettre en oeuvre les dispositions appropriées pour les rendre acceptable dans le cadre du projet.

Cela nécessite donc de définir des réponses types, et de mettre en oeuvre risques par risques, un certain nombre d’actions visant soit à supprimer ses causes, soit à transférer ou partager sa responsabilité ou le coût du dommage. Une première solution pour la maîtrise des risques consiste à rechercher et à améliorer le niveau d’information et de connaissances sur le projet.
La seconde consiste à externaliser, partiellement ou totalement, les risques encourus sur d’autres acteurs ou partenaires : Dans le cadre de projets complexes, le responsable n’a jamais en sa possession toutes les informations nécessaires au moment de l’élaboration du projet. Au démarrage d’un projet, les informations détenues sont rarement complètes et suffisantes, et leur degré de certitude est souvent faible. Les choix qui sont faits sont donc plus ou moins risqués en fonction du niveau d’information détenu.

Une première stratégie de diminution des risques encourus consiste à améliorer le niveau de connaissances sur le projet et à rechercher des informations complémentaires et pertinentes. Cette amélioration du niveau d’information peut prendre diverses formes : décomposition des tâches en tâches plus élémentaires, consultations sur le plan technique plus poussées, implication plus forte des partenaires, utilisation des échanges de données en interne par le biais de réseau intranet.

La seconde stratégie consiste à définir précisément quels sont les risques que l’entreprise accepte d’assumer elle-même et ceux qu’elle désire transférer vers d’autres acteurs : banques, organismes d’assurance, client, tiers participant au projet. En effet, le poids de certains risques encourus peut inciter l’entreprise à chercher à les transférer contractuellement, ou à les partager juridiquement avec d’autres partenaires ou financièrement auprès d’organismes spécialisés.

La technique de transfert contractuel des risques consiste à établir des relations de partenariat avec d’autres entreprises (GIE, joint-ventures...) sur une ou plusieurs parties du projet, ou en se liant avec des sous-traitants réputés compétents dans des domaines que l’entreprise ne maîtrise pas complètement. Pour cela, il convient, d’une part de bien formaliser ces accords en décrivant les obligations et les responsabilités des parties. D’autre part, il s’agit de prévoir des clauses de responsabilité pour inciter les partenaires à ce que les délais soient respectés, et ceci au coût initialement convenu.

Les techniques de diminution du rique au cours de l'exécution du projet

La réactivité organisationnelle :
Une autre façon de prendre en compte les risques d’un projet, consiste à organiser la « réactivité », c’est-à-dire à préparer des réponses types, des scénarios d’actions visant à réduire et à maîtriser les risques qui sont acceptés par l’entreprise.
Cela peut se traduire alors par :
1. La mise en place de systèmes d’alerte, de systèmes de traitement des informations qui permettent d’identifier rapidement les risques encourus.
2. La mise en place de moyens, de procédures cherchant à éviter que ces risques apparaissent visant à limiter la gravité de leurs conséquences. Le projet doit pouvoir réagir face aux différents changements qui peuvent survenir au cours de son cycle de vie.

L’organisation de la réactivité passe donc par la réponse à certain nombre de questions, telles que : « faut-il réagir ? », « peut-on réagir ? », « comment doit-on réagir ? », « qui doit réagir ? », « quel moyen doit-on ou peut-on mobiliser ? »....

Un projet peut-être ainsi modifié sous la pression des événements, mais il peut l’être aussi à la suite d’informations nouvelles qui conduisent le responsable de projets à modifier la solution retenue pour apporter une réponse satisfaisante à des problèmes que l’on a su anticiper, plutôt que de réagir à des problèmes subis.

Une manière de réagir aux imprévus consiste à modifier une partie plus ou moins importante du projet, à réajuster les objectifs fixés initialement afin que ces objectifs restent réalisés et acceptés de tous :
1. Le coût du projet peut être réalisé à la hausse en acceptant d’utiliser des solutions techniquement plus coûteuses.
2. Les date-butoirs de certains jalons peuvent être retardées.
3. Les spécifications techniques requises peuvent être moins exigeantes (acceptation d’un compromis).

La réactivité doit tenir compte de tous les aspects organisationnels que sous-entend la gestion d’un projet

Pour faire face à un risque, il ne suffit pas de mettre au point des procédures visant à l’identifier et à le réduire, il convient également de modifier, d’adapter les structures organisationnelles existantes pour qu’elles deviennent plus efficaces et qu’elles réagissent plus rapidement.

Cette réactivité organisationnelle doit se traduire, entre autres, par :
1. L’acquisition collective d’un certain nombre de compétences en matière de planification, de suivi et de pilotage, et de gestion du risque.
Ceci implique le développement de programmes permettant
l’acquisition d’une culture de gestion de projets commune (vocabulaire, démarche méthodologique, usage de documents standards, et de logiciels communs).
2. La création d’une équipe pluridisciplinaire, choisis en accord avec le responsable de projets, regroupant toutes les compétences métiers nécessaires.
3. La concentration de la responsabilité de la conduite du projet autour d’un leader (le responsable du projet) doté d’une très large autonomie et d’un réel pouvoir de décision.
4. La définition claire des rôles et des responsabilités des différents intervenants.
5. La mise en place d’outils et de procédures de suivi et de pilotage (tableau de bord, réunions de pilotage).
6. La mise en place de procédures de circulation de l’information fiables et rapides, par le biais de réseaux formels de communications ascendantes, descendantes et transversale ; l’élaboration d’une méthodologie permettant l’exploitation de données fiables (détection des risques, analyses d’écarts), et d’élaboration de diagnostics.
7. La décentralisation des décisions. Il faut arriver à décentraliser les décisions, afin d’optimiser les échanges d’information et de réduire les travaux inutiles. Il convient de laisser un champ décisionnel plus vaste aux responsables des niveaux inférieurs en réduisant le nombre de niveaux hiérarchiques, et rechercher une cohérence globale dans les processus de prise de décision.
8. La mise en place d’un meilleur processus d’arbitrage pour régler les nombreux conflits (quant à l’allocation des budgets et des ressources, à la planification des tâches) et limiter les arbitrages devant être effectués par les instances supérieures.

La capitalisation et la documentation des risques

Le management des risques d’un projet nécessite de capitaliser le savoir-faire et les expériences acquises et d’établir une documentation rigoureuse sur les risques associés au projet.

Même si nous constatons que la plupart des événements dommageables ne se reproduisent jamais à l’identique, il n’en demeure pas moins que l’accumulation de connaissances et les retours d’expérience doivent permettre d’améliorer la maîtrise des risques des projets présents et futurs. Cela doit permettre d’enrichir la connaissance des risques potentiels et dommageables, d’accroître la réactivité à chaque niveau d’intervention, de faciliter la prise de décision et d’améliorer l’efficacité des actions de maîtrise.

Pour cela, il convient d’une part, de formaliser un certain nombre de documents spécifiques : le plan de management des risques du projet, et le dossier de management des risques du projet :

1. Le Plan de Management des Risques (PMR) est un document
qui « décrit la démarche » retenue pour manager les risques du projet. Outre le rappel des objectifs de la démarche, il précise les principes et le cycle de management des risques (les concepts utilisés, les principes d’identification, d’estimation et de maîtrise des risques), l’organisation (les acteurs concernés, leurs rôles et leurs responsabilités).
2. Le Dossier de Management des Risques (DMR) est un document qui « rassemble toutes les informations » relatives aux risques encourus par le projet et les documents utilisés pour les gérer (le portefeuille des risques encourus, les fiches et les rapports d’étude, les plans d’action envisagée, les tableaux de bord).
Enfin, il convient d’organiser et de planifier la collecte et le stockage des informations utiles (les risques potentiels et leurs caractéristiques, les effets des décisions prises, l’efficacité des plans d’actions associés). Cette capitalisation doit être effectuée de manière périodique à fin de donner l’état global des risques encourus et d’apprécier l’état d’avancement des actions de maîtrise mises en oeuvre.