Management des risques : l’essentiel à savoir (2023)

Les risques stratégiques comprennent tous les événements potentiels qui risquent de remettre en cause la stratégie globale d’un projet. On compte dans ce type de risques les failles humaines liées à une méthode inadaptée, ou à des objectifs trop exigeants. On compte aussi les bouleversements de marché forçant à s’adapter vite, tels que l’arrivée d’un nouveau concurrent ou une chute drastique du volume de demande.

De bien des façons, le droit contraint l’activité des entreprises. 

Par exemple, l’arrivée des RGPD a contraint les entreprises du web à modifier leurs services et leurs produits, parfois drastiquement, pour continuer à les distribuer. 

On entend ici environnement au sens large. En effet, ces risques dépassent le cadre de l’entreprise et du marché sur lequel elle évolue. On compte dans les risques liés à l’environnement les krachs boursiers, les conflits et les guerres ou l’instabilité politique.

Ces risques sont liés à une défaillance des outils utilisés dans le cadre d’un projet. Cette défaillance peut être inhérente au système d’information de l’entreprise, ou de cause malveillante (cyberattaque, sabotage technique, …). 

Enfin, les risques opérationnels sont liés au personnel de l’entreprise. Ils concernent une baisse de productivité liée à des évènements comme les départs d’agents centraux de l’entreprise, à des périodes de vacances, à des mouvements syndicaux …

Cette étape correspond à une phase d’analyse. Elle doit ainsi se dérouler en amont du projet. Sa fonction est d’identifier les différents risques encourus, et d’y apporter une réponse. 

Durant cette étape, toute l’équipe du projet participe. Souvent dans le cadre de brainstorming, chaque membre de l’équipe est amené à exploiter son expertise pour identifier les risques sur son activité technique. 

C’est le risk manager qui supervise le tout, qui recense les risques dans une grille de cotations des risques, et qui établit leur plan de traitement. Pour qu’un risque soit correctement recensé, son descriptif doit être le plus précis possible. Les causes de ces risques, et ses potentielles conséquences doivent aussi être évaluées. On rattache ainsi le risque à l’objectif du projet sur lequel il risque d’avoir un impact (échéance, gestion des ressources humaines …). 

Enfin, un plan de traitement est défini par le risk manager. Pour chaque risque, le risk manager désigne ainsi un pilote, qui sera chargé de mettre en œuvre, au besoin, le plan de traitement. La plupart du temps, le pilote est un membre de l’équipe du projet. Mais au sein de grandes entreprises, des collaborateurs peuvent être dévolus à ce rôle précis. 

Une fois les risques d’un projet identifiés, il faut évaluer leur impact. L’évaluation des risques a deux pendants : quantitatif et qualitatif. 

L’évaluation qualitative des risques 

L’évaluation qualitative des risques s’intéresse d’abord à la probabilité d’occurrence de l’événement redouté. Pour l’estimer, on se fonde typiquement sur le retour d’expérience du pilote du risque identifié, sur la parole d’un expert externe à l’entreprise, ou sur des statistiques traitées par le risk manager. 

La probabilité d’occurrence d’un risque est toujours comprise entre 0 et 1, et souvent exprimée en %. 

Par ailleurs, l’évaluation quantitative d’un risque tient compte de la gravité de ses conséquences. Pour la noter, on emploie une échelle propre à chaque projet. Cette échelle hiérarchise l’impact de chaque risque relativement aux autres. 

On considère que plus la probabilité d’occurrence et la gravité de son impact sont élevées, plus le niveau de protection doit être élevé. 

L’évaluation qualitative des risques 

L’évaluation quantitative sert à estimer les conséquences financières de chaque risque. Pour ce faire, il faut estimer le coût du plan de traitement associé à ce risque. 

Cela peut se matérialiser par des heures supplémentaires d’ingénierie, par de la sous-traitance, ou par le versement d’avenants sur un contrat de livraison prenant du retard. L’évaluation quantitative des risques doit aider l’entreprise à mettre en réserve budgétaire des provisions suffisantes. 

Le traitement des risques correspond à une stratégie de réponse au risque, prévue en amont. Quatre processus sont possibles : 

• L’acceptation, qui consiste simplement à ne rien faire, et poursuivre le projet normalement. 
• La réduction du risque. Elle se divise en actions de prévention, qui servent à réduire la probabilité d’occurrence d’un événement, et en actions de mitigation, qui servent à réduire la gravité de son impact.
• Le transfert de responsabilité (par exemple, via la souscription à un contrat d’assurance)
• L’éviction. Elle a pour but de contourner le risque par une déviation de la stratégie globale du projet. De la sorte l’incertitude est totalement éliminée, au prix d’un coût fixe supplémentaire. 

Enfin, le reporting des risques est assuré pendant tout le déroulé du projet, en temps réel. Il résulte de la collaboration entre le risk manager et le chef de projet. 

Ainsi, le second fait remonter au premier les informations permettant de réévaluer les facteurs de risques. Ces informations sont transmises par les membres de l’équipe à chaque réunion. 

Cela doit permettre au risk manager de réévaluer, en continu, la probabilité d’occurrence de chaque risque, ainsi que la gravité de son impact. Ce travail de monitoring est indispensable pour déclencher à temps les plans de traitement nécessaires.