Sommaire de la leçon :

• Le comportement humain face au risque
• La gestion du risque et son vocabulaire
• Sécurité versus sureté
• Définition du risque
• Danger, cible et situation dangereuse
• Facteurs de risque et facteurs de sécurité
• Notion de zone critique
• Le mécanisme du risque
• Notion de chaine causale
• De la chaine causale au diagramme papillon
• Calculer la probabilité du risque

La gestion du risque est une discipline mal connue, souvent mal pratiquée et pourtant passionnante et assez facile à mettre en œuvre pour peu que l’on en ait acquis le vocabulaire et compris les principes de base. C’est précisément la raison d’être de ce chapitre.

Le comportement humain face au risque

Ce qui surprend le plus lorsqu’on aborde ce sujet avec méthode, c’est l’attitude irrationnelle des individus (y compris les managers) vis à vis du risque. Probablement ceci est-il dû au fait que notre perception du risque est gérée par notre cerveau reptilien. L’attitude du grand public vis à vis du risque est le plus souvent faite de fatalisme, de phobies et d’une recherche obsessionnelle de la sécurité absolue. L’approche du risque par les politiques est quant à elle plus orientée vers l’exploitation des catastrophes qui surviennent que vers la prévention de celles à venir. Quant aux médias, ils fonctionnent dans l’immédiateté, l’émotion et la simplification. Exactement l’inverse de l’approche professée dans ce chapitre. Ajoutons à ce triste constat que les sources d’information fiables et claires sur la théorie du risque sont quasi inexistantes, en librairie comme sur le net. Pourtant, une approche rationnelle du risque est non seulement possible mais pratiquée avec succès par des milliers de professionnels.
Le sociologue Français Christian Morel a écrit quatre livres sur un même sujet : les décisions absurdes. Il a étudié des erreurs aux conséquences dramatiques comme l’échec de l’invasion de Cuba par les américains en 1961, plusieurs accidents d’avions commerciaux et les accidents des navettes spatiales américaines, mais aussi des échecs de petite ampleur comme il s’en produit dans nos organismes. Il a mis en évidence les mécanismes par lesquels des groupes d’individus rationnels, éduqués, intelligents, sérieux et dévoués arrivent à prendre des décisions absurdes.
Une partie des causes d’erreur vient du processus de décision. Dans le cas de la navette Challenger, la décision de lancement a été prise en l’absence d’un acteur détenant des informations cruciales qui auraient pu influencer la décision : l’ingénieur persuadé que les joints des boosters ne tiendraient pas n’était pas physiquement présent à la réunion. A Tchernobyl (accident nucléaire) la décision de procéder à un essai a été prise par des opérateurs en l’absence des responsables partis en weekend. Autre cause liée au processus de décision, le respect des règles au détriment de l’objectif. Lors du Crash du vol Rio-Paris, les pilotes se sont entêtés à appliquer à plusieurs reprises une procédure aberrante : faire cabrer l’avion alors que celui-ci était en sous-vitesse. La procédure a été modifiée depuis. Autre cas cité par Christian Morel, celui de deux navires (dont le Sea Star) qui faisaient route contraire, mais sans aucun risque de collision. La procédure aurai voulu qu’ils se croisent sur le bord inverse. Le commandant du Sea Star à décidé d’obliquer sa route pour croiser l’autre navire du bon coté. Il lui a coupé la route et l’accident s’est produit. Enfin, et c’est extrêmement fréquent, la non prise en compte des avis atypiques ou minoritaires. Croire que dans un groupe la majorité a forcément raison est une vue de l’esprit (le consensus est juste la moins mauvaise des solutions quand on doit décider en l’absence de certitudes). Dans les industries à risque les avis contraires à la décision majoritaire sont sollicités, discutés et consignés dans le compte-rendu de réunion.
Une autre partie des causes d’erreur vient du comportement de l’individu dans le groupe : très souvent, un subordonnés qui a un avis pertinent ne le donnera pas, soit par timidité, soit par peur de ne pas savoir argumenter, soit par peur d’être sanctionné s’il se trompe ou plus simplement parce qu’il surestime le « chef » censé tout savoir. Ajoutons à ceci que, subalternes ou pas, beaucoup de personnes sont réticentes à exprimer un avis hors de leur domaine d’expertise.
Pour continuer dans cette veine voyons cette constatation tout à fait contre-intuitive de Christian Morel : On pourrait penser que la pression de la hiérarchie est plus forte dans les domaines à haut risque (armées, aéronautique, nucléaire…) que dans des industries plus banales. La réalité est exactement inverse. Lorsqu’un sous-marin part en mission, les gradés enlèvent leurs insignes. Dans un cockpit d’avion de ligne, le copilote exprime son point de vue avant le commandant de bord et dans certaines circonstances c’est le copilote qui donne des ordres au commandant. Lorsqu’un incident se produit, les protagonistes témoignent confidentiellement et s’ils ont fait des erreurs ils ont la garantie de ne pas être sanctionnés. Ne croyez pas que c’est du laxisme, c’est tout simplement que si les erreurs étaient sanctionnées, les incidents ne seraient pas signalés et la défaillance persisterait… jusqu’à ce qu’une catastrophe se produise !

La gestion du risque et son vocabulaire

Mal nommer les choses c’est ajouter au malheur du monde, disait Albert Camus. Nous n’en sommes pas là mais il est certain que pour comprendre la gestion des risques il faut d’abord en maitriser le vocabulaire. Voyez les termes énoncés sur ce schéma, ils ont tous une signification bien précise qui vous sera expliquée dans les paragraphes qui suivent..

Sécurité versus sureté

Peu de gens connaissent la différence entre les mots « sécurité » et « sûreté ». Il est vrai que dans le langage courant sécurité et sûreté sont considérés comme quasi-synonymes. Pour le Risk-manager les choses sont simples : Le domaine de la sécurité s’intéresse aux événements accidentels et celui de la sûreté aux événements dus à des actes volontaires : intrusion, vols, malveillance, piratage informatique en sont des exemples. La sûreté de fonctionnement (SDF) est un cas particulier : elle s’intéresse aux systèmes techniques comme par exemple les avions, les automobiles ou les matériels médicaux. La SDF vise à garantir la fiabilité, la maintenabilité, la disponibilité et la sécurité de ces systèmes techniques.

Définition du risque

Voici sur ce schéma la façon dont des ouvrages de référence définissent le mot risque :
« Danger, inconvénient plus ou moins probable auquel on est exposé » (Larousse)
« Possibilité, probabilité d’un fait, d’un événement considéré comme un mal ou un dommage » (Larousse)
« Danger éventuel plus ou moins prévisible » (Robert)
« Éventualité d’un évènement qui peut causer un dommage » (Robert)
« Péril possible, hasard dangereux » (Académie française)
« Exposition à un danger potentiel, inhérent à une situation ou une activité » (Wikipédia)
« Danger éventuel, plus ou moins prévisible, inhérent à une situation ou à une activité » (TLFI)
Toutes ces définitions sont au mieux confuses et au pire erronées : Comme nous le verrons plus loin les mots « risque » et « danger » ne sont pas synonymes. La meilleure définition est celle du dictionnaire juridique en ligne : « Le risque est un événement dont l’arrivée aléatoire est susceptible de causer un dommage ».
Voici une formulation légèrement différente de la précédente : Le risque est un évènement à venir, incertain et potentiellement dommageable. Il faut à minima que ces trois conditions soient réunies pour que l’on ait réellement affaire à un risque. Pour vous et moi, mourir est un évènement à venir et dommageable, mais ce n’est pas un risque car c’est une certitude ! Par contre mourir demain est un risque car fort heureusement ce n’est pas certain. Les pictogrammes de ce schéma illustrent des risques de la vie professionnelle, notez qu’il s’agit bien chaque fois d’évènements : chute de pierres, noyade, électrocution, etc… Citons quelques risques en situation de projet : La démission d’une ressource critique, la destruction (ou le piratage) d’un serveur informatique, le dépôt de bilan d’un fournisseur…

Danger, cible et situation dangereuse

Venons-en au mot « danger ». Contrairement au risque qui est un évènement, le danger est une chose (par exemple un outil, une machine, un produit, un document…) Cette chose est danger si elle est affectée d’une caractéristique qui la transforme en source potentielle de dommages (un document ambigu, un produit corrosif, un opérateur mal formé…).
Voici encore quelques notions : on appelle cible l’élément que l’on se propose de protéger des dommages potentiels. Ce peut être un salarié, l’image de l’entreprise, une machine, un bâtiment, des données informatiques, etc… En matière de gestion de projet les choses sont simples : on considèrera au final que la cible est l’objectif du projet (délai, coûts ou contenu). Lorsqu’on a présence simultanée d’un danger et d’une cible on se trouve en présence d’une situation dangereuse.

Facteurs de risque et facteurs de sécurité

Voici une autre définition : on appelle facteur de risque une situation qui augmente l’intensité du risque. Dans le monde du travail, l’alcoolisme, l’improvisation, l’urgence, l’incompétence sont des facteurs de risque. Un facteur de risque peut être déclenchant et/ou aggravant, il peut être endogène (d’origine interne) ou exogène (d’origine externe). En situation de projet, le manque d’autorité du chef de projet, la surcharge de travail des contributeurs, l’absence de compte-rendus de réunions, sont des exemples de facteurs de risque.
Voici trois exemples de facteurs de risque et trois exemples de risques qui leurs sont associés. Pour la bonne compréhension, voici quelques explications : Dans un système technique on appelle interface la zone de connexion de deux sous-ensembles. Or il arrive très souvent que l’assemblage des deux sous-ensembles s’avère impossible à cause d’erreurs de conception ou de fabrication. Dans cet exemple le fait de ne pas effectuer de contrôle préalable agit comme facteur déclenchant. Nous retrouverons à plusieurs reprises Mr Kiojiro dans ce chapitre. Dans un projet industriel qui consistait à créer une usine métallurgique sur un procédé totalement nouveau, monsieur Kiojiro était le seul spécialiste au monde à maitriser les paramètres de fonctionnement de l’installation. Si l’on considère le risque « décès de monsieur Kiojiro » le fait que celui-ci soit seul au monde à maitriser le procédé constitue un facteur de risque pour le projet. Ce n’est pas un facteur déclenchant car ça ne va pas le faire mourir ! mais cela aggrave les conséquences. Le cas des associations de riverains « activistes » est plus habituel et plus simple, les projets retardés par les actions en justice de riverains mécontents sont légion, dans ce cas l’existence de groupes activistes est un facteur de risque.
A l’inverse d’un facteur de risque, un facteur de sécurité est de nature à réduire l’intensité d’un risque. Par exemple une bonne ambiance de travail, des rôles clairement définis, l’utilisation d’une application de travail collaboratif, des rencontres fréquentes avec le client, sont des facteurs de sécurité.

Notion de zone critique

Voici encore une notion importante et sur laquelle nous reviendrons un peu plus loin dans ce chapitre : celle de « zone critique ». En voici la définition : Une zone critique est une partie précisément délimitée d’un système ou d’un processus, caractérisée par la présence de risques critiques. Cette définition peut paraître un peu hermétique, alors voici quelques exemples inspirés de l’aventure spatiale et plus particulièrement des navettes américaines. Prenons le système technique lui-même, composé au décollage d’un corps central (le réservoir principal), du véhicule spatial (l’orbiter) et de deux fusées latérales (les boosters). Ce système comporte des zones réputées critiques, citons-en deux : (1) Les jonctions entre les différents segments des boosters, soumises à l’extérieur aux conditions climatiques et à l’intérieur aux température et pression extrêmes. Et (2) Les bords d’attaque des ailes de l’orbiter, revêtus de tuiles de protection et soumis alternativement aux chocs des blocs d’isolant qui se détachent du réservoir lors du décollage et plus tard aux températures extrêmes provoquées par …….. Pour lire la suite souscrivez un abonnement PREMIUM ou si vous êtes déjà abonné connectez-vous 

Le mécanisme du risque

Le petit scénario catastrophe du schéma ci-contre va nous permettre de faire le lien entre les notions que nous venons de voir. Ceci à l’aide d’un cas très simple de la vie courante : un chien visiblement féroce menace l’intégrité physique d’un jogger solitaire. Le chien méchant, c’est le danger  : une « chose » affectée d’une caractéristique (la férocité) qui la transforme en source potentielle de dommages. Le risque (évènement à venir, incertain et potentiellement dommageable), c’est le fait que le jogger soit mordu. La cible (la « chose » susceptible de subir des dommages) est bien entendu le jogger. Le fait que le jogger courre de nuit constitue un facteur de risque. Et sur les 10 kilomètres de parcours du jogger la zone industrielle constitue une zone critique

Notion de chaine causale

Reprenons la mésaventure de notre jogger pour la mettre sous la forme d’un « arbre de défaillance« , outil bien connu des fiabilistes. Ce paragraphe va nous permettre de comprendre que l’accident est toujours le résultat d’un enchainement de causes. Le schéma se lit de la gauche (les causes) vers la droite (les conséquences). Les éléments du scénario figurent dans les « boites », les liens montrent la logique d’enchainement des évènements. Les « portes ET » signifient que l’évènement aval (à droite de la porte) se produit si et seulement si tous les éléments amont (à gauche de la porte) sont présents. Les différents éléments de l’histoire figurent dans les boites : Un jogger (le Système S) traverse la zone industrielle. Un chien (le Danger D) garde un entrepôt. Le portail est resté entrouvert (c’est l’Évènement Contact EC). Il fait nuit et la zone industrielle est déserte (Facteurs de Risque FR). A ce niveau la première porte ET est active et on bascule vers la case « Situation Dangereuse » (SD). Le chien aperçoit le jogger et se précipite (c’est l’Évènement Amorce EA). Nouvelle porte logique. Le chien attaque le jogger et le mord (le Risque R que l’on craignait se manifeste). Le jogger avait négligé de prendre son téléphone portable (c’est un Facteur Aggravant FA). Troisième et dernière porte ET. Le jogger est trouvé inanimé au petit matin et sera hospitalisé plusieurs semaines (c’est la Conséquence C). Insistons sur la logique de construction : chaque « porte » ET signifie que pour que la condition aval se réalise il faut que toutes les conditions préalables soient vraies. Nous verrons plus loin que ce type de schéma permet le calcul probabiliste des risques.

De la chaine causale au diagramme papillon

L’outil présenté ci-contre, le « Diagramme papillon » également nommé « nœud papillon » est couramment utilisé pour la prévention des accidents majeurs, il est tout aussi pertinent en gestion des risques projet. L’exemple du schéma a déjà été évoqué un peu plus haut. Il est extrait d’un cas réel : la construction d’une usine métallurgique de très haute technologie, basée sur un procédé tellement innovant qu’il n’existait dans le monde qu’un seul ingénieur capable d’en maîtriser les paramètres de fonctionnement. C’est une situation extrêmement risquée puisque si l’homme-clé est défaillant le projet échoue. Au centre du schéma figure l’évènement redouté : le fait que l’homme-clé soit durablement indisponible pour le projet. Notez au passage comme la formulation est …….. Pour lire la suite souscrivez un abonnement PREMIUM ou si vous êtes déjà abonné connectez-vous 

Calculer la probabilité du risque

L’analyse quantitative suppose une estimation aussi objective que possible de la probabilité de réalisation du risque. Les fiabilistes ont développé pour ce faire un outil appelé « arbre de défaillance« , base du calcul de probabilité de risque. Voyons comment fonctionne cet outil. L’exemple ci-contre à déjà été utilisé au début de ce chapitre : un quidam fait son footing à la tombée de la nuit dans une zone industrielle déserte. Un chien de garde assure la sécurité d’un entrepôt. Normalement la clôture et le portail l’empêchent d’accéder à la voie publique. Les valeurs numériques indiquent la probabilité de chaque fait. La valeur zéro correspondrait à un fait impossible et la valeur 1 (100%) à un fait certain. Les valeurs de probabilité sont donc obligatoirement située entre zéro et un. La situation dangereuse n’existe que si les trois faits de la première colonne se trouvent en coïncidence : la zone est déserte, le chien est méchant et le portail est resté ouvert. Si l’on estime qu’il y a 80% de « chances » que la zone soit déserte, 60% de « chances » que le chien …….. Pour lire la suite souscrivez un abonnement PREMIUM ou si vous êtes déjà abonné connectez-vous 

Sommaire de la leçon :

• Les trois domaines de la gestion des risques
• Risque, aléa et imprévu
• Risque stratégique et risque opérationnel
• Temporalité du risque et pilote du risque
• Le processus de gestion des risques projet

Les trois domaines de la gestion des risques

Tout ce que nous avons vu jusqu’ici dans ce chapitre concerne la gestion du risque en général. Cela vaut pour la gestion des risques d’entreprise, pour la sécurité et la sureté de fonctionnement des produits et des processus et (fort heureusement !) pour les risques projet. A partir de cette leçon nous concentrons notre attention sur l’application de la science du risque (la cindynique !) dans le domaine de la gestion de projets.

Risque, aléa et imprévu

La norme AFNOR X-50-117 « Management des risques d’un projet » distingue trois notions que sont le risque, l’aléa et l’imprévu. Ces trois notions correspondent à ce que nous avons jusqu’ici, par souci de simplification, nommé des risques (des évènements à venir, incertains et potentiellement dommageables pour le projet). Affinons maintenant ce vocabulaire. Si l’évènement est identifié et quantifiable on l’appelle risque. Si l’évènement est identifié mais que l’on ne sait pas en estimer les conséquences on l’appelle aléa. Quant aux évènements qui ne manqueront pas de survenir et que l’on n’avait pas identisiés ils seront appelés imprévus. Le distinguo entre aléas et imprévus est contesté par certains experts en gestion du risque et il est vrai qu’il est peu utile dans la pratique. On se contente généralement de deux catégories : les risque qui sont pris en compte et gérés individuellement et une famille regroupant les aléas et les imprévus. C’est ce que nous ferons dans la suite de ce chapitre.

Risque, aléa, imprévu… et Cygnes noirs !

Parmi les erreurs commises par les débutants en gestion des risques, en voici une : envisager des catastrophes aussi improbables que gravissimes. Par exemple la chute d’un avion sur l’entreprise, un tremblement de terre et pourquoi pas l’invasion de la planète par les extraterrestres. Attention, si vous construisez une centrale nucléaire il faudra prendre ces risques en considération (sauf peut-être les extraterrestres !) mais soyons réalistes, dans la plupart de nos projets cela n’a aucun intérêt pratique. C’est à Nassim Nicholas Taleb qu’il revient d’avoir nommé cette classe d’évènements à la fois très rares, quasi-imprévisibles et catastrophiques des « Cygnes noirs« . En pratique, ne tenez pas compte des « Cygnes noirs » dans vos projets. S’il en survient un, ses conséquences seront tellement catastrophiques que l’échec de votre projet sera de toute façon anecdotique.

Risque stratégique et risque opérationnel

Commençons par un bref mais indispensable rappel de deux concepts de gestion de projet, l’objectif et le but. Voici les définitions données dans le chapitre consacré à ce sujet :
– Le but du projet correspond à la situation-cible que le maître d’ouvrage souhaite voir de réaliser à terme grâce à la mise en œuvre du projet. Exemples : Conquérir en trois ans la moitié du marché sud-américain, réduire de moitié la mortalité infantile dans le district de Goyat en 5 ans, etc…
– L’objectif du projet correspond à la situation attendue à la date de clôture du projet, donc lorsque le produit sera réalisé. L’objectif est fixé par la maîtrise d’ouvrage et accepté par la maîtrise d’œuvre. Il doit être bien clair que le maître d’œuvre est responsable de l’atteinte de l’objectif, alors qu’il n’a aucune responsabilité quant à l’atteinte du but du projet. En cohérence avec les exemples proposés ci-dessus quant au but, voici deux exemples d’objectifs correspondant aux buts cités précedemment : Lancer un nouveau produit sur le marché sud-américain, Implanter un hôpital dans le district de Goyat.
Pour aider à la compréhension du paragraphe suivant ajoutons que le but est aussi appelé « objectif stratégique » et que dans ce cas l’objectif est appelé « objectif opérationnel »
Une bonne partie des erreurs constatées dans les analyses de risque projet provient d’une confusion entre risque opérationnel et risque stratégique. Les choses sont pourtant simples.
On appelle risque opérationnel tout évènement susceptible de compromettre la réalisation de l’objectif opérationnel. En toute logique les risques opérationnels sont pris en compte par le maître d’œuvre (si la notion de maître d’œuvre vous est étrangère, voyez le paragraphe Maîtrise d’ouvrage et maîtrise d’œuvre)
On appelle risque stratégique tout évènement qui compromettrait l’atteinte l’objectif stratégique (le but). Les risques stratégiques sont gérés par le maître d’ouvrage, mais celui-ci doit inscrire dans les spécifications techniques du besoin (STB) les exigences de nature à réduire les risques stratégiques (par exemple la redondance d’un composant critique, la scalabilité d’un logiciel…)
Prenons un exemple concret : La société A, prestataire de service auprès des arboriculteurs souhaite proposer un service innovant : la surveillance des vergers par drone. Le bureau d’études B accepte de fournir clé en main un drone adapté au besoin de la société A. Un document (spécification technique du besoin) précise à la fois les exigences de la société A et le protocole de tests qui permettra de vérifier que le drone est conforme aux exigences. Résumons : l’objectif commun à A et B est que le drone réalise toutes les fonctions spécifiées (par exemple transporter une charge de 5 Kg, avoir 2 heures d’autonomie, etc…). Le but de A est de séduire les …….. Pour lire la suite souscrivez un abonnement PREMIUM ou si vous êtes déjà abonné connectez-vous  Une question existentielle déchire les spécialistes du risque projet : Un risque peut-il avoir des conséquences positives, et si oui, faut-il prendre en compte les risques positifs dans une analyse de risque. Là encore, tout devient simple et tout débat disparait si l’on a compris la différence entre risque stratégique et risque opérationnel. En terme de risques opérationnels il n’y a aucun intérêt à envisager les risques positifs. Reprenons l’exemple du drone de surveillance. Que les moteurs soient livrés plus tôt que prévu, qu’un fournisseur de batteries commercialise un nouveau modèle 30% plus performant, que l’algorithme de stabilisation soit extraordinairement efficace sont d’heureuses nouvelles, mais en aucun cas des risques positifs. A l’inverse un risque stratégique peut souvent s’envisager positivement. Par exemple la société A peut rencontrer un succès imprévu et voir son chiffre d’affaires s’envoler bien au-delà de ses plus folles espérances.

Temporalité du risque et pilote du risque

L’une des particularités de la gestion des risques projet est la « temporalité » du risque. Une bonne partie des risques du projet ne sont actifs que pendant une courte période. Prenons comme exemple le risque qu’un colis contenant un composant spécifique s’égare, ce risque n’est actif que pendant quelques heures, entre l’expédition et la réception du colis. Avant l’envoi ce risque est latent. Après la date prévue de livraison, de deux chose l’une : soit le colis a été livré et le risque n’existe plus (il est « éteint« ) soit le colis n’est pas livré et le risque est apparu et c’est devenu un problème à résoudre : Que faire pour sauver le projet ? La conséquence de cet effet de temporalité est que chaque risque doit être piloté par une personne chargée de le surveiller. Dans l’exemple précédent le pilote du risque aura comme mission dans la période de latence de veiller à ce que le fournisseur ne prenne pas de retard dans la réalisation du composant et que celui-ci soit bien expédié à la date et par le moyen convenus. Pendant le transport il suivra le parcours du colis. Après livraison il sera libéré de cette mission.
Revenons sur les notions de facteur de risque et de facteur de sécurité. Chaque risque est influencé à la fois par les facteurs de risque, qui en augmentent l’intensité et par les facteurs de sécurité qui la diminuent. Si l’on reprend l’exemple du colis, la désignation d’un pilote du risque et le choix d’un fournisseur et d’un transporteur connus pour leur bonne réputation sont des facteur de sécurité (notons qu’un coût plus élevé peut se justifier par la diminution du risque, cet aspect sera traité plus loin dans ce chapitre). A l’inverse confier les approvisionnements du projet à un service achat de type « cost killer » et débordé par le quotidien serait un facteur de risque.

Le processus de gestion des risques projet

Ce schéma résume à lui seul la presque totalité de ce chapitre, nous allons le commenter le plus complètement possible. D’abord, même si les chiffres qui vont suivre sont plus qu’approximatifs, il se vérifie souvent que les risques qui surviennent dans un projet se sont à 80% déjà manifestés dans les projets précédents. Les chefs de projet le savent bien et cela contribue à les démotiver : « de toute façon, dans cette boutique, on refait sans arrêt les mêmes bêtises ». Ce constat devrait être de nature à inciter les entreprises à exploiter le retour d’expérience des projets (boucle « REX » sur le schéma). Le processus de capitalisation d’expérience consiste à tirer le bilan risque des projets pour alimenter une base de connaissances (en bleu à droite du schéma). Bien entendu au démarrage de chaque nouveau projet on exploite cette base de connaissances pour en tirer la liste des risques qui pourraient survenir à nouveau et des facteurs de risque toujours présents. Reste à identifier les 20% de risques nouveaux, généralement liés au contexte particulier et aux spécificités du nouveau projet. Nous verrons plus loin les méthodes …….. Pour lire la suite souscrivez un abonnement PREMIUM ou si vous êtes déjà abonné connectez-vous 

Sommaire de la leçon :

• Les bénéfices d’une bonne préparation du projet
• Un chef de projet légitime et autonome
• Un planning directeur gravé dans le marbre
• Un planning opérationnel exhaustif
• Un budget détaillé et réaliste
• Des responsabilités clairement définies
• Une communication saine
• Un tableau de bord pertinent
• Des contrats « en béton »

Les bénéfices d’une bonne préparation du projet

Si votre projet ne répond à aucun besoin réel, s’il est mal construit, s’il est confié à des équipes submergées de travail et démotivées, n’allez pas plus loin dans ce chapitre. La meilleure des analyses de risque ne le sauvera pas. La première des choses que vous devez faire est d’appliquer les bonnes pratiques de gestion de projet. Cette leçon est un rappel de ces bonnes pratiques, décrites plus en détail dans les autres chapitres de ce site.
Avant d’aller plus loin voyons ce schéma. La colonne de gauche correspond aux pertes monétaires entrainées par une gestion insuffisante (minimaliste) du projet. Nous reviendrons vers la fin de ce chapitre sur la façon de calculer ces pertes. La colonne du milieu montre le gain obtenu par une saine gestion du projet. La prise en compte et le traitement des risques n’interviennent qu’ensuite (colonne de droite) pour réduire encore les pertes.
Accessoirement, et si vos supérieurs hiérarchiques se satisfont d’une gestion minimaliste des projets et pensent que la gestion des risques est un luxe inutile, ce schéma pourra vous aider à leur montrer que ces actions sont génératrices de gains en monnaie sonnante et trébuchante.

Un chef de projet légitime et autonome

Première question à se poser : la mission de mener à bien le projet est-elle diluée entre plusieurs personnes ou confiée à un individu clairement désigné pour cela (le chef de projet) ? Si l’on a nommé un chef de projet c’est déjà bien. Vérifiez tout de même que toutes les parties prenantes du projet ont pris connaissance de cette nomination, qu’elles savent en quoi elles auront à contribuer au projet et qu’elles sont prêtes à jouer le jeu. Le mieux est que le chef de projet soit légitimé par une lettre de mission largement diffusée, et que cette lettre de mission précise les contributions attendues de chacun. Le chef de projet n’a pas besoin d’être un surhomme mais il doit au minimum être loyal, énergique et disposer de la confiance de sa hiérarchie. La délégation de responsabilité dont il est bénéficiaire est réelle seulement si trois conditions sont réunies : 1) Il est compétent dans le domaine du projet et en gestion de projet (le savoir) 2) Il dispose d’une autonomie de décision (et même de sanction). Par exemple il a le choix de ses fournisseurs et il engage lui-même les dépenses du projet. 3) Il dispose des moyens nécessaires à sa mission : les ressources financières et les moyens techniques et humains.

Un planning directeur gravé dans le marbre

Les différentes parties prenantes du projet, et notamment le chef de projet, sa hiérarchie et le client, doivent partager la même vision de l’échéancier du projet. C’est une question de transparence et surtout cela permet à chacun de constater la bonne progression du projet. Quel que soit le nom donné à cet échéancier : chronologie, timeline ou planning directeur. C’est l’outil central pour la communication autour du projet et surtout pour son contrôle. Bien entendu dans un vrai planning directeur les « jalons » ne sont pas symbolisés comme ici par des bornes kilométriques mais généralement par des losanges. Pour en savoir plus sur les bonnes façons de réaliser un planning directeur, voyez le paragraphe Planning directeur, livrables et jalons

Un planning opérationnel exhaustif

Le planning directeur est un outil de pilotage stratégique. Il permet d’alerter client et hiérarchie sur des dérives importantes, mais il est trop macroscopique pour être utile au quotidien. Le chef de projet a besoin d’un planning bien plus détaillé, le planning opérationnel. L’exemple ci-contre (réalisé sur Microsoft Project) montre la richesse d’informations dont dispose le chef de projet avec un tel outil : Chaque tâche est positionnée sur l’échelle de temps. Les tâches de couleur rouge (tâches critiques) sont celles qui ne supportent aucun retard. Les jalons du planning directeur figurent ici sous la forme des losanges noirs. L’initiale des ressources figure près des barres de tâche. Les petits bonhommes en rouge signalement un problème de sur-utilisation de ressource. L’histogramme au bas de l’image montre la charge des ressources (ici un groupe de cinq stagiaires) au cours du temps. Les périodes de sur-utilisation de la ressource « stagiaires » sont signalées en rouge. Le même outil de planification permet en outre de comparer le déroulement réel du projet aux prévisions, de visualiser instantanément les conséquences d’un aléa sur la suite du projet et de vérifier la validité des décisions prises pour le remettre sur la trajectoire.

Un budget détaillé et réaliste

Un état précis des dépenses prévues permet une fois en phase de réalisation de s’assurer à tout moment que les coûts sont maitrisés. Ce tableau appelé CBS pour Cost Breakbown Structure (en français structure de décomposition des coûts) montre comment les dépenses sont calculées tâche par tâche, puis consolidées au niveau des lots de travaux (en rouge) et au niveau du projet. Seuls les débutants en gestion de projet seront surpris que les totaux figurent en haut du tableau et non pas en bas comme c’est l’usage dans les autres disciplines. Rajoutez à ce tableau trois colonnes correspondant aux dépenses réelles constatées et vous avez un tableau de bord de contrôle des dépenses.

Des responsabilités clairement définies

Il y a souvent dans les projets un grand flou sur la question de savoir qui est responsable de quoi dans l’équipe de projet. En conséquence il y a « des trous dans la raquette » et au final des actions ont été déclenchées trop tard, des composants n’ont pas été commandés, des livrables n’ont pas été contrôlés, etc.. La réponse à ce problème est simple : c’est la matrice de responsabilité. Avec un tel outil nul ne peut ignorer ce qu’il doit surveiller et à l’inverse le chef de projet a l’assurance que tout est sous contrôle.

Une communication saine

Un chef de projet autoritariste peut avoir une bonne image auprès de sa hiérarchie et auprès de la maîtrise d’ouvrage : Il décide de tout, il est sur tous les fronts, il déborde d’énergie et travaille comme un forcené. Ce que ni la hiérarchie ni le client ne voient c’est qu’il passe son temps à éteindre des incendies qu’il a lui-même allumés. Il n’écoute pas les avis et de ce fait plus personne ne lui donne de conseils, plus personne ne lui signale les pièges. Puisqu’il sait tout, qu’il se débrouille ! Une bonne communication est à l’inverse de cette description : Le chef de projet doit être à l’écoute, ce qui ne l’empêche pas de décider et d’agir. Peut-être avez-vous été surpris en observant l’illustration de ce paragraphe que le chef de projet ne sanctionne pas les erreurs. C’est tout simplement qu’une erreur avouée est source d’amélioration. Attention toutefois, si le chef de projet ne sanctionne pas les erreurs il sanctionne les fautes. La différence ? Une erreur est involontaire, une faute est volontaire.

Un tableau de bord pertinent

Le planning directeur décrit plus haut renseigne sur la progression du projet, ce qui est déjà pas mal, mais rien que sur cela. Un degré supérieur de maitrise consiste à réaliser un véritable tableau de bord sur lequel figureront tous les paramètres-clé de succès : maitrise du temps, maitrise des couts, pilotage des risques, suivi des problèmes (ou des bugs en informatique), ambiance de travail (à condition d’en avoir une mesure objective), etc…

Des contrats « en béton »

Si vous faites appel à la sous-traitance dans le cadre de vos projets, soignez bien la rédaction des documents contractuels, c’est une très bonne prévention des risques. Voici ci-contre un plan-type de contrat de sous-traitance. Il n’est pas question de le détailler ici, mais voyez le nombre de rubriques et sachez que chacune d’elles mérite d’être rédigée avec un grand soin et si possible avec l’aide d’un juriste.
Un modèle de contrat vous est proposé au paragraphe Documents contractuels pour la gestion de projets

Sommaire de la leçon :

• L’exploitation du retour d’expérience
• L’analyse systémique des tâches du planning
• La recherche des zones critiques
• Le cas particulier des interfaces
• L’impact du risque sur l’objectif du projet
• Les caractéristiques du risque projet
• La fiche de risque
• Le registre des risques

Dans de nombreux ouvrages et articles sur la gestion des risques, la question de l’identification des risques est traitée avec une grande légèreté : il suffirait de faire un « brainstorming » pour établir la liste des risques. Il suffit d’interroger quelques chefs de projet rompus à la gestion des risques pour constater qu’il n’en est rien (et heureusement !). L’identification des risques opérationnels se fait en exploitant méthodiquement les documents issus du retour d’expérience et ceux établis durant la phase de préparation du projet.

L’exploitation du retour d’expérience

Nous avons vu plus haut que chaque fois qu’une entreprise démarre un nouveau projet, la plupart des risques susceptibles de se manifester correspond tout simplement à ceux que l’on a rencontré dans les projets précédents. Si l’entreprise exploite correctement le retour d’expérience, les risques apparus dans chaque projet qui s’achève sont consignés dans le « catalogue des risques« . Le chef de projet n’a plus qu’à consulter ce catalogue des risques avec un peu d’esprit critique pour commencer à constituer la liste des risques du nouveau projet.

L’analyse systémique des tâches du planning

D’abord un peu de théorie : En simplifiant à l’extrême, l’analyse systémique consiste à considérer tout élément d’un système comme une « boite noire » qui interagit avec les autres éléments du système considérés eux aussi comme autant de « boites noires ». Le terme boite noire traduit le fait que l’on ne va jamais s’intéresser à ce qu’il y a dans la boite mais seulement aux interactions entre les différentes boites et aux interactions entre le système et son environnement extérieur. L’analyse systémique est un mode de raisonnement très répandu depuis l’apparition dans les années 1950 de la cybernétique. Si le joli mot « cybernétique » a aujourd’hui disparu l’approche systémique est plus vivante que jamais. Elle trouve notamment son utilité dans…….. Pour lire la suite souscrivez un abonnement PREMIUM ou si vous êtes déjà abonné connectez-vous 

La recherche des zones critiques

Nous avons défini au début de ce chapitre la notion de zone critique (ou point critique) : il s’agit de zones de concentration des risques repérables sur les différents documents du projet. Prenons les deux exemples du schéma : Le planning opérationnel est une source d’information essentielle. Comme on vient de le voir, chaque tâche peut donner lieu à plusieurs évènements dommageables : retard de livraison, livrable non conforme, etc… Bien entendu les tâches critiques et sous-critiques (Pour comprendre la notion de tâche critique, voyez la leçon La planification par les durées) devront être examinées avec une attention toute particulière puisque les conséquences du risque y sont amplifiées. Les schémas, les plans et autres documents descriptifs du produit sont eux aussi des sources d’information indispensables. Ceci est symbolisé sur le schéma du bas. On y reconnait (j’espère !) un bâtiment. Ce bâtiment est relié à un quai (à droite) par une passerelle. Les différents intervenants maitrisent habituellement leur métier : le maçon sait construire des murs solides, le métallier sait faire une passerelle, etc… Alors où aura-t-on des …….. Pour lire la suite souscrivez un abonnement PREMIUM ou si vous êtes déjà abonné connectez-vous 

Le cas particulier des interfaces

Restons encore un peu sur cette importante question des interfaces. Il est bien connu que les interfaces du système sont les points où naissent de nombreux problèmes, à tel point que de nombreux chefs de projet imposent à leurs collaborateurs de se munir de crayons de couleur (ou de surligneurs !) et de colorier, sur les plans et schémas, les interfaces des systèmes. Ne croyez pas pour autant que la question des interfaces ne concerne que les infrastructures technologiques, voici un exemple d’interface dans le domaine des logiciels : Une entreprise française de téléphonie avait préparé dans ses locaux parisiens les logiciels nécessaires au déploiement du réseau téléphonique d’un pays du continent africain. Deux équipes avaient travaillé, au même étage de l’immeuble, sur les deux « briques informatiques » qui constituaient le système. Chacun des deux sous-système avait été testé avec succès et le tout avait été livré aux équipes de terrain. Bien entendu le jour de la mise en service rien ne fonctionnait. Pourquoi ? l’un des deux sous-systèmes ne …….. Pour lire la suite souscrivez un abonnement PREMIUM ou si vous êtes déjà abonné connectez-vous 

L’impact du risque sur l’objectif du projet

Nous verrons dans la leçon suivante que chaque risque identifié doit être évalué. Le principe de cette évaluation est d’estimer l’impact du risque (ses conséquences) sur l’objectif du projet. En totale cohérence avec les chapitres précédents on distingue trois types d’impact : impact coûts (des dépenses supplémentaires devront être engagées), impact délai (le produit du projet sera livré avec du retard) et impact contenu (certains livrables devront être extraits du périmètre et/ou leur performance ne sera pas au niveau attendu). A l’inverse un risque qui n’aurait pas d’impact (ou un impact très faible) sur l’objectif n’a pas a être pris en compte.

Les caractéristiques du risque projet

Chaque risque identifié doit être analysé au regard d’un certain nombre de caractéristiques. Le schéma ci-contre propose une grille d’analyse, nous allons passer en revue les différentes caractéristiques en commençant par la catégorie de risque (en bas à gauche) et en poursuivant dans le sens des aiguilles d’une montre.
– Catégorie de risque : Il est rare que les dirigeants d’un organisme aient une vision réaliste des risques qui pénalisent leurs projets, et par là même des sources d’amélioration. L’expérience montre qu’ils sont plus guidés par des impressions, voire des croyances que par un constat objectif. Cette rubrique (catégorie) est destinée à permettre la réalisation d’analyses et de statistiques permettant de fournir aux managers des éléments factuels d’aide à la décision. Chaque risque appartient à une catégorie et une seule. Un retard appartient à la catégorie « Planning », le risque de contrefaire sans le savoir un dispositif breveté appartient à la catégorie « Juridique » et ainsi de suite. Bien entendu la liste proposée ici est donnée à titre d’exemple, tout est affaire de contexte.
– Pilote : Comme nous l’avons vu plus haut, chaque risque identifié et reconnu comme suffisamment significatif pour être suivi doit être pris en charge par un individu (et un seul) appelé « Pilote du risque ». En toute logique le pilote agit pendant les phases …….. Pour lire la suite souscrivez un abonnement PREMIUM ou si vous êtes déjà abonné connectez-vous 

La fiche de risque

Tous les renseignements concernant un risque sont consignés sur une fiche récapitulative : la fiche de risque. Dans l’exemple, la partie haute correspond aux renseignements colletés pendant la phase d’identification. La partie basse est destinée à l’évaluation du risque, ici par la méthode qualitative (qui sera décrite dans la prochaine leçon) et aux mesures de traitement.

Le registre des risques

La totalité des fiches de risque du projet est regroupée dans le registre des risques. Bien entendu si le terme « registre » fait penser aux volumineux cahiers sur lesquels les comptables et officiers d’état civil portaient leurs écritures manuscrites, il faut aujourd’hui comprendre « registre » comme une feuille Excel ou une base de données relationnelle.

Sommaire de la leçon :

• Analyse qualitative versus analyse quantitative
• Indices de fréquence et de gravité
• Exemple d’échelles d’estimation
• La matrice de sévérité
• Indice de criticité de risque et seuil d’acceptabilité
• Le tableau récapitulatif des risques
• Justification du traitement des risques dans l’approche qualitative
• Domaines d’usage de l’approche qualitative

Analyse qualitative versus analyse quantitative

Il existe deux méthodes d’estimation des risques : la méthode qualitative traitée dans cette leçon et la méthode quantitative traitée dans les deux leçons qui suivent. La méthode qualitative est de loin la plus répandue et la plus abordable. Si la méthode quantitative s’attache à établir les conséquences en terme de coût (valeur monétaire) des conséquences de la manifestation d’un risque, la méthode qualitative se borne à classer les risques du plus pénalisant au moins pénalisant. Son seul but est de hiérarchiser les risques de façon à sélectionner ceux que l’on va traiter (et à contrario ceux que l’on va accepter sans les traiter).

Indices de fréquence et de gravité

L’évaluation des risques doit toujours être le résultat d’un travail de groupe. Le principe repose sur l’estimation de deux caractéristiques du risque : sa fréquence et sa gravité, souvent évaluées sur une échelle de nombre entiers de 1 à 3, 1 à 4, plus rarement de 1 à 5. Nous verrons un peu plus loin pourquoi les échelles commencent à la valeur 1 et non pas à la valeur zéro.
Évaluation de la fréquence :
L’indice de fréquence d’un risque est une valeur numérique qui est à son minimum (valeur 1) si le risque à très peu de chances de se réaliser et à son maximum si son apparition est considérée comme quasi-certaine. Ajoutons que l’indice de fréquence est également appelé « Fréquence », « Probabilité d’occurrence » ou « Occurrence » ou encore (bien que très rarement) « Index de vraisemblance ». Les expressions « Probabilité » et « Probabilité d’apparition » sont également utilisées, nous les réserverons quant à nous à l’analyse quantitative, objet de la prochaine leçon. L’indice de fréquence est un nombre sans dimension qui ne correspond à aucune réalité mesurable ou calculable. A l’inverse lorsque nous utiliserons le mot « probabilité » la signification sera celle de la théorie des probabilités.
Évaluation de la gravité du risque :
L’indice de gravité du risque quantifie l’importance des dommages redoutés. Là encore le vocabulaire est à géométrie variable, les expressions « Indice de gravité » et « Gravité » sont synonymes.

Exemple d’échelles d’estimation

Voici un exemple d’échelle d’évaluation. Les échelles vont de 1 à 4, c’est un choix arbitraire. Comme indiqué à gauche des tableaux, il est en général inutile voire contre-performant de choisir une échelle plus étendue.
Évaluation de la fréquence
Les familiers de l’AMDEC ( Analyse des modes de défaillance, de leurs effets et de leur criticité, méthode très utilisée pour la fiabilisation des systèmes techniques) seront surpris par les valeurs limites données sur les tableaux ci-contres et notamment celui du haut. Jusqu’à 50% et plus de probabilité d’apparition d’un risque. En matière de fiabilité des systèmes techniques, un taux de défaillances de 1% est déjà très important. Rappelons que nous sommes dans le domaine de la gestion de projets, dans lequel le taux d’échec dépasse les 30%. Par aileurs la plupart des risques envisagés dans les projets n’ont pas de conséquences sur l’intégrité physique des personnes.
Évaluation de la gravité du risque
L’échelle de gravité comporte également quatre niveaux, ce qui est largement assez compte tenu de la difficulté de l’estimation. La détermination de l’indice de gravité est un peu plus complexe que pour l’indice de fréquence car pour chaque risque identifié il faut envisager …….. Pour lire la suite souscrivez un abonnement PREMIUM ou si vous êtes déjà abonné connectez-vous 

La matrice de sévérité

Une fois les risques identifiés et évalués à l’aide des deux indicateurs (indice de fréquence et indice de gravité) il s’agit de les classer de façon à mettre en évidence ceux qui doivent être traités (les plus pénalisants) et ceux qui ne seront pas traités. Attention toutefois, non traité ne veut pas dire non pris en compte. Nous verrons plus loin que les risques non traités seront pris en compte dans le calcul de la provision du projet.
Deux méthodes sont employées pour hiérarchiser les risques : le classement par indice de criticité (paragraphe suivant) et la matrice de sévérité. Ce schéma représente une matrice de sévérité. L’outil est simple à établir et facile à comprendre. Chaque risque sera représenté par un point sur le graphique, son indice de fréquence étant porté sur l’axe vertical et son indice de gravité sur l’axe horizontal (ou l’inverse, c’est sans importance). La surface du graphe est divisée en trois ou quatre zones de couleur différente (ici 3 zones). Le travail de l’équipe de projet va alors consister à mettre en place des actions visant à ramener les risques les plus préoccupants (rouge) dans la zone d’acceptabilité (vert et jaune).
La matrice de sévérité est également appelée « Matrice de criticité » ou « Matrice des risques » ou encore « matrice de Farmer ».

Indice de criticité de risque et seuil d’acceptabilité

L’indice de criticité d’un risque (C) est une fonction de sa fréquence (F) et de sa gravité (G). On convient généralement que C=FxG. L’indice de criticité permet de hiérarchiser très facilement les risques. si l’on a choisi des échelles de 1 à 4 pour les indices de fréquence et de gravité, la criticité sera toujours une valeur entre 1 et 16.
Chaque risque étant ainsi évalué, il est extrêmement facile de configurer un tableur de façon à pouvoir classer la totalité des risques par valeur de criticité décroissante. Il est d’usage de fixer une valeur limite de criticité. Les risques de criticité inférieure à ce seuil ne seront pas traités, ceux de valeur supérieure seront traités jusqu’à ramener leur valeur de criticité en deçà du seuil.

Le tableau récapitulatif des risques

Dans le cas de l’approche qualitative le registre des risques peut prendre la forme du tableau ci-contre. Dans la formule F x G = C, la lettre F signifie « indice de fréquence », la lettre G signifie « indice de gravité » et la lettre C « indice de criticité »
L’exemple est extrait de l’AMDEC d’une installation de pisciculture, mais la structure du tableau convient pour les analyses des risques projet, en supprimant la colonne « Fonction »

Justification du traitement des risques dans l’approche qualitative

En conclusion de cette leçon, voici cote à cote, à gauche la matrice de sévérité et à droite la liste des risques classée par criticité décroissante. Le principe de traitement des risques est illustré par les flèches vertes. Dans le cas de la matrice de sévérité on cherche à ramener les risques dans la zone d’acceptabilité. Dans le cas de la liste on cherche à diminuer l’indice de criticité jusqu’à le rendre inférieur au seuil d’acceptabilité (ligne rouge du schéma), ce qui revient au même. Nous verrons dans une prochaine leçon les stratégies à mettre en œuvre pour y parvenir.

Domaines d’usage de l’approche qualitative

L’analyse qualitative des risques s’applique à de nombreux domaines :
– Les risques opérationnels du projet (rappelons qu’il s’agit des risques pouvant survenir pendant la mise en oeuvre du projet)
– Les risques stratégiques du projet (risques susceptibles de survenir lors de l’exploitation du résultat du projet. Cette exploitation peut de dérouler sur plusieurs dizaines d’années)
– La sureté de fonctionnement (SDF) du produit du projet lorsque ce résultat est un objet technique. Dans ce cas la méthode est appelée AMDEC pour « Analyse des Modes de Défaillance, de leurs Effets et de leur Criticité ».

Sommaire de la leçon :

• Principe de l’analyse quantitative des risques
• Petit détour dans le monde de l’assurance
• Estimer la probabilité du risque
• Estimer la perte potentielle
• Calculer l’exposition au risque
• Consolider l’exposition au risque au niveau du projet
• Justification du traitement des risques par l’approche quantitative
• Domaines d’usage de l’approche quantitative

Principe de l’analyse quantitative des risques

La leçon précédente traite de l’analyse qualitative. Cette démarche est très efficace et de nombreuses entreprises s’en satisfont. Cela dit, pour des entreprises qui ont une forte culture (ou une forte exigence) en matière de gestion du risque, s’en tenir à des indices (de fréquence, de gravité et de criticité) peut sembler insuffisant. Qu’à cela ne tienne, il est possible d’augmenter le niveau de réalisme avec l’analyse quantitative.

Dans l’analyse quantitative, la probabilité du risque (on ne parle plus ici d’indice de fréquence) et son impact économique vont être évalués non pas par des indices abstraits mais par des valeurs numériques objectives, de façon à quantifier chaque risque par un montant en euro appelé exposition au risque.

Petit détour dans le monde de l’assurance

Les métiers de l’assurance sont au croisement de deux disciplines : la finance et la statistique. Pourquoi parler ici de l’assurance ? tout simplement parce que la façon dont l’assureur établit la cotisation (la prime annuelle) de son client est strictement identique à la façon dont nous allons calculer l’exposition au risque et par conséquence la provision opérationnelle du projet. Voici les commentaires de l’image ci-contre-
– Un industriel souhaite assurer contre le risque incendie le site industriel (image du centre) dont il est propriétaire. Il consulte un assureur (image de droite)
– L’assureur demande à un expert de se rendre sur le site (image de gauche). Celui-ci a deux missions précises : estimer la valeur des biens à assurer (batiments, matériels et stocks) et identifier le type d’activité pratiquée. Dans notre exemple il estime à 20 000 000 € et a identifié la classe d’activité « Transformation de matières plastiques et de caoutchouc »
– L’assureur consulte les statistiques de la profession (la Tarification Analytique (TA) composée de 141 classes d’activités) et trouve pour la classe « Transformation de matières plastiques et de caoutchouc » un taux de base de 5°/°° (5 pour mille). Concrètement cela signifie que dans cette activité, sur 1000 établissements il y en a chaque année en moyenne 5 qui subissent un incendie.
– Partant de là, le calcul est simple :
(20 000 000 x5)/1000 = 100 000 €
Ces 100 000 € correspondent en assurance à la « prime pure » c’est en théorie ce que doit payer annuellement le client pour assurer son site contre l’incendie
– Bien entendu dans la réalité l’assureur n’en reste pas à cette valeur. Il prend en compte bien d’autres informations fournies par l’expert comme par exemple: présence ou pas d’une équipe d’incendie interne, interdiction de fumer ou pas, présence éventuelle d’activités agravantes, etc… Si vous souhaitez en savoir (beaucoup) plus sur ce sujet, voyez ce document pdf (220 pages)
– Les calculs que l’on fait dans l’approche quantitative sont basés sur la même logique à ceci près que la maîtrise d’oeuvre va être son propre assureur et intègrera au budget du projet des montants monétaires appelés « provisions » destinés à « couvrir » les risques. Nous y reviendrons un peu plus loin.

Estimer la probabilité du risque

Nous avons vu dans la leçon sur les fondamentaux de la gestion des risques la façon rigoureuse de calculer la probabilité d’un risque à partir de l’arbre de défaillance et des valeurs de probabilité de chacune des causes de ce risque. En gestion de projets, pas d’arbre de défaillance et pas de calcul complexe. Rappelons qu’en gestion des risques projet on ne joue pas avec la vie des individus. Que l’on manque le plus souvent de statistiques précises sur les évènements des projets passés. Et enfin que l’on ne recherche pas la précision. Les valeurs de probabilité que l’on manipule en gestion de projet (couramment de 0,05 à 0,6 sur le durée du projet) n’ont rien à voir avec celles que l’on rencontre en fiabiité des systèmes (par exemple pour une génératrice électrique bien entretenue, la probabilité de panne peut être de l’ordre de 0,002 par millier d’heures de fonctionnement). On n’est pas dans le même monde.
Donc en pratique on se contentera d’une estimation basée soit sur le retour d’expérience des projets antérieurs, soit sur l’intuition. En gestion de projets on ne cherche jamais la précision, il suffit de se tromper aussi souvent en plus qu’en moins !

Estimer la perte potentielle

Pour chaque risque identifié on va se poser la question suivante : si ce risque se manifeste, quelles en seront les conséquences économiques ? La réponse à cette question est rarement évidente : Quelles seront les conséquences économiques d’un piratage informatique, de la démission d’un collaborateur, du dépôt de bilan d’un sous-traitant ? impossible d’annoncer une valeur précise. La réponse à cette difficulté est la même que pour l’estimation de la probabilité. Inutile de chercher une impossible précision, on se contente de retenir une valeur médiane.
Si vous êtes frustré par une démarche intellectuelle aussi frustre, passez à la leçon suivante (L’approche probabiliste) vous y verrez qu’il est possible d’augmenter en réalisme en prenant en compte la fonction de répartition à laquelle répond le phénomène.

Calculer l’exposition au risque

Rappelons que l’exposition au risque est une valeur monétaire. Ne vous laissez pas impressionner par la formule de calcul du schéma, les choses sont très simples. Voyez plutôt l’exemple tiré, cette fois, d’un cas réel : l’entreprise envisage de mettre sur le marché un nouvel appareil de sa conception. Ce produit est soumis à l’agrément du ministère de l’industrie, faute de quoi il ne peut pas être commercialisé. L’entreprise ne dispose pas des moyens de test qui lui permettraient de vérifier la conformité du prototype aux exigences du ministère. Dans des projets antérieurs, les prototypes étaient refusés une fois sur deux. On estime donc à 50% la probabilité que le prototype n’obtienne pas l’agrément du ministère. Si tel est le cas le projet prendra 4 mois de retard et on devra reprendre l’étude et présenter un nouveau prototype. Le cout du risque (perte potentielle) est estimé à 124 000 € (ventes perdues et travaux supplémentaires). Dès lors le calcul est très simple : l’exposition au risque est égale à : 0,5 x 124 000 = 62000 €. Pour obtenir la valeur d’exposition au risque du projet il suffit de faire le total des expositions pour tous les risques pris en compte. Bien entendu, dans le cas de l’exemple l’entreprise a pris des mesures pour réduire la probabilité du risque (essais « à blanc » dans un laboratoire privé spécialisé).

Consolider l’exposition au risque au niveau du projet

Voici, pour un projet sur lequel on aurait identifié 4 risques A, B, C et D, le calcul de l’exposition au risque du projet : 6 300€. Comment interpréter cette valeur ? c’est très simple : Faisons l’expérience de pensée consistant à refaire des dizaines de fois le même projet, chaque fois sans rien avoir appris du précédent. Et bien plus le nombre de projets serait important, plus la moyenne des surcoûts dûs aux risques se rapprocherait de 6 300€ (à supposer que nos estimations soient justes). On verra dans la leçon sur les aspects économiques que le budget du projet sera augmenté de la valeur d’exposition au risque, que l’on appellera « provision« . Il s’agit d’une forme d’auto-assurance.

Justification du traitement des risques par l’approche quantitative

L’avantage de l’analyse quantitative est de s’appuyer sur des valeurs monétaires, et il n’y a pas mieux que de parler d’argent pour convaincre un décideur. Le temps passé à faire une étude de risque et l’argent dépensé pour les réduire constituent un investissement à rentabilité élevée et rapide. Le schéma montre le mécanisme qui amène à ce résultat. Vous voulez un exemple ? Reprenons le cas précédent : le calcul pour une probabilité de 50% et une perte de 124 000€ donnait une exposition au risque de 0,5 x 124 000 = 62 000 €. Supposons que le laboratoire spécialisé demande 2 500€ pour contrôler la conformité de notre prototype aux exigences du ministère. Admettons que la probabilité passe de 50% à 10%. La valeur d’exposition au risque est désormais de 0,1 x 124000 = 12400€. Le bénéfice de la gestion des risques est de 62 000-2 500 – 12 400 = 47 000€. Pas mal, non ?

Domaines d’usage de l’approche quantitative

Contrairement à l’approche qualitative qui est à spectre large, l’approche quantitative se limite aux risques opérationnels, ceux de la phase de mise en oeuvre du projet. Ceci pour une raison très simple : la valeur de probabilité d’un risque ne vaut que pour une tranche de temps bornée. Prenons un exemple simple : quelle est la probabilité que votre maison brûle ? Impossible de répondre à cette question si l’on ne précise pas la période considérée ; un mois, un an, un siècle ? Raison pour laquelle votre assureur calcule votre prime d’assurance annuelle à partir de la probabilité que votre maison brûle dans l’année. Dans le cas du projet la période de temps est bornée par les deux jalons  » lancement du projet » et « clôture du projet »

Sommaire de la leçon :

• Approches qualitative, déterministe et probabiliste
• Approche probabiliste de la durée d’une tâche
• Estimation probabiliste de la durée du projet
• Estimation probabiliste du cout du projet

Approches qualitative, quantitative, déterministe et probabiliste

Il se peut que vous soyez un peu perdu entre les appellations « qualitatif », « quantitatif », « déterministe » et maintenant « probabiliste ». Ce schéma et ces quelques explications devraient vous aider à mettre les choses en place. Dans l’approche qualitative, l’évaluation du risque se base sur un jeu d’indices dont le seul intérêt est de permettre de classer les risques par sévérité décroissante. Ici à gauche, l’indice de fréquence du risque est cotée d 1 à 4, l’indice de gravité également de 1 à 4 et l’indice de criticité (valeurs indiquées dans les cases) de 1 à 16. Les risques situées dans la zone rouge sont à traiter en priorité. Dans les méthodes quantitatives le risque s’évalue en fonction de la …….. Pour lire la suite souscrivez un abonnement PREMIUM ou si vous êtes déjà abonné connectez-vous 

Approche probabiliste de la durée d’une tâche

Abordons pour commencer la question de la durée du projet. Ce sujet est traité dans le. chapitre « Techniques de planification »
L’approche habituelle de la planification est de type déterministe : On annonce pour chaque tâche une durée prévue, sans se poser la question de la fiabilité de cette prévision. Ceci alors que nous avons tous l’intuition que cette durée est entachée d’une plus ou moins grande dose d’incertitude. Si l’estimation du temps nécessaire pour peindre un plafond ou pour câbler un coffret électrique sont choses assez aisées, comment estimer le temps qu’il faut pour obtenir une autorisation administrative ou pour trouver l’association de composants ou d’algorithmes qui permettra d’atteindre le seuil de performance requis. Si l’on veut atteindre un bon niveau de réalisme dans les prévisions, ce qui est l’objet de ce chapitre, il faut intégrer la dimension probabiliste dans l’estimation des durées.
Ce schéma montre la loi de probabilité la plus souvent retenue pour l’estimation de la durée d’une tâche, la loi bêta. On détermine pour chaque tâche du planning non pas une mais trois valeurs de durée : la plus probable, une valeur optimiste et une valeur pessimiste. Les logiciels spécialisés proposent en général plusieurs profils d’incertitude : uniforme, triangulaire, loi béta… Il appartient au planificateur de choisir pour chaque tâche le profil le plus adapté et les valeurs des paramètres pour ce profil.

Estimation probabiliste de la durée du projet

Une fois déterminé, pour chaque tâche du projet, la loi de variation (ou profil d’incertitude) de la durée et la valeur des paramètres (par exemple pour la loi bêta trois valeurs de durées : attendue, optimiste et pessimiste), le logiciel de planification va fournir une distribution probabiliste de la durée du projet, comme montré ci-contre. L’algorithme utilisé par les logiciels est basé sur une simulation de Monte-Carlo. L’algorithme effectue plusieurs milliers de calcul de durée du projet, en variant pour chaque nouveau calcul la durée des tâches.
Dans l’exemple il y a 50% de chances que le projet s’achève avant le 15/05/2002 et 80% de chances qu’il s’achève avant le 22/05/2002. Accessoirement, voila un moyen de faire comprendre aux dirigeants (et aux clients) que la pression sur les délais ne va pas sans une certaine prise de risque.

Estimation probabiliste du cout du projet

On applique aux coûts la même approche probabiliste que pour les délais. Voici le résultat obtenu sur un projet à l’aide du logiciel @RISK :Dans l’exemple il y a 80% de chances que le coût final du projet se situe entre 18 209 et 19 795 €.
Voici pour finir cette leçon quelques logiciels de gestion des risques projet parmi les plus connus :
@RISK
Risky Project

Sommaire de la leçon :

• Les différentes stratégies de traitement des risques projet
• Transférer le risque
• Réduire le risque
• Préparer des scenarii alternatifs
• Réponses aux risques : vœux pieux versus réponses robustes
• Le plan de réponses au risque

Les différentes stratégies de traitement des risques projet

C’est une chose de repérer les risques et de les évaluer, mais si l’on fait tout ce travail c’est bien entendu dans le but de diminuer leur impact. C’est l’objet de cette leçon. Les réponses au risque peuvent être classées en six familles :
– Refuser le risque
En présence d’un risque important et que l’on ne saurait pas réduire (le plus souvent un risque externe) la réponse la plus radicale est d’abandonner le projet. Solution qui doit être adoptée en dernier ressort si aucune parade n’est possible. Bien entendu la décision de renoncer à un projet ou de l’arrêter appartient au niveau stratégique, le Chef de projet n’étant en l’espèce que force de proposition.
– Supprimer le risque
Ce n’est pas toujours possible mais on peut quelquefois supprimer purement et simplement un risque. C’est le cas par exemple si l’on décide, dans un projet d’innovation, d’utiliser un composant disponible « sur étagère » au lieu d’en développer un spécifique. Même chose en informatique : on peu choisir une solution du commerce et l’adapter plutôt que d’en développer une en partant de zéro.
– Transférer le risque
Il est plus facile que l’on ne le pense généralement de se débarrasser d’un risque en le faisant prendre par un autre acteur. Sous-traiter une tâche au forfait est une bonne façon de transférer le risque économique associé. Un autre cas classique est de faire appel à l’assurance (par exemple souscrire une assurance « Homme-clé »).
– Réduire le risque
Il y a à priori trois façons de réduire un risque identifié …….. Pour lire la suite souscrivez un abonnement PREMIUM ou si vous êtes déjà abonné connectez-vous 

Transférer le risque

Nous avons donné dans le paragraphe précédent quelques exemples de transfert du risque. Voici un schéma qui montre comment le contrat commercial passé entre la maitrise d’ouvrage (MOA) et la maitrise d’œuvre (MOE) détermine le partage des risques entre ces deux acteurs. Ce schéma vaut pour les projets publics mais il est parfaitement transposable au privé. Dans les trois colonnes de droite la zone jaune correspond à la part de risque que conserve la MOA et la zone bleue aux risques transférés vers la MOE. Nous comparons trois types de contrat :
– Dans un contrat traditionnel La MOA est censée avoir défini son besoin et avoir accepté la solution qui lui était proposée. La mission de la MOE se borne à réaliser ce qui est décrit dans le recueil des exigences. Supposons que la solution livrée ne fonctionne pas. Si la MOE démontre qu’elle à correctement exécuté le contrat sa responsabilité n’est pas en cause. C’est le maitre d’ouvrage qui a mal défini son besoin, tant pis pour lui. Tout au plus le MOE pourra-t-il se voir reprocher un manquement à son obligation de conseil.
– Dans un contrat clé en main C’est la MOE qui définit la …….. Pour lire la suite souscrivez un abonnement PREMIUM ou si vous êtes déjà abonné connectez-vous 

Réduire le risque

Revenons sur les actions de réduction des risques. Ces actions (ou mesures) de réduction du risque se classent en deux familles : les mesures de prévention et les mesures de protection. L’exemple du schéma ci-contre est celui du risque d’incendie. Parmi les nombreuses actions mises en œuvre pour réduire ce risque citons-en deux : l’interdiction de fumer et la mise en place d’extincteurs. Nous allons voir que ces deux mesures n’agissent pas du tout de la même façon.
– Mesures de prévention
Les mesures de prévention visent à réduire la probabilité d’apparition du risque. Dans notre exemple l’interdiction de fumer est typiquement une mesure de prévention : Il y a statistiquement moins d’incendie dans les lieux non-fumeurs. Si vous n’y croyez pas demandez à votre assureur !
– Mesures de protection
A l’inverse les mesures de protection visent à limiter les conséquences (la gravité) du risque. Un extincteur n’a jamais empêché un incendie de prendre naissance, mais il permet de limiter l’étendue des dégâts. Attention, les mesures de protection agissent après la survenance du risque mais elles sont mises en place bien avant. Le jour ou il y a le feu, il est trop tard pour faire installer des extincteurs.
Nous avons décrit au début de ce chapitre le « nœud papillon« . Reprenons avec un peu plus de détails le cas (réel) qui nous avait servi d’exemple : Une usine métallurgique en construction, un procédé révolutionnaire de fusion du métal, et enfin un « homme-clé » qui est la seule personne au monde capable de maîtriser les paramètres de fonctionnement de l’installation. Le risque ? La disparition, quelle qu’en soit la cause, de l’homme-clé. Dans ce type de schéma, le flux d’évènements s’écoule de gauche à droite. Notre préoccupation est maintenant de mettre en place des mesures (de prévention et de protection) qui soient de nature à réduire le risque. Pour comprendre le principe il faut observer sur le schéma les points rouges repérés de a à i. Ce sont les mesures concrètes que l’on peut mettre en place pour limiter le risque. Les points rouges situés à gauche du risque (en amont, repères a à g) correspondent aux mesures destinées à éviter que le risque ne se manifeste. Les points rouges situés à droite du risque (en aval, repères h et i) sont les mesures destinées à atténuer les conséquences du risque au cas ou il se manifesterait. En conclusion, il n’y a jamais une seule cause et une seule conséquenceà un risque donné et il y a toujours plusieurs mesures à prendre pour le traiter. Il appartient au chef de projet de proposer les mesures qui apportent la meilleure réponse, si possible au coût le plus bas.

Préparer des scenarii alternatifs

Résumons ce qui vient d’être dit et allons un peu plus loin. Les actions de réduction du risque, prévention et protection, figurent à gauche du schéma. Mesures de prévention et mesures de protection sont regroupées dans un document que les risk-managers appellent le « plan de mitigation« . Mais les mesures de réduction peuvent échouer et si les conséquences du risque sont inacceptables il faut aller plus loin. Reste à mettre en place un « scénario alternatif ». Autrement dit un « plan B ». Insistons sur le fait que, comme toutes les autres actions de traitement du risque, le scénario alternatif est mis en place au moment du montage du projet. Et non seulement le plan B doit être prêt mais les tâches de ce plan seront réalisées aux dates prévues jusqu’au moment où le risque sera réputé éteint. Quelques exemples : Louer un local (et le laisser vide) pour le cas ou la construction du nouveau bâtiment prendrait du retard. Faire un deuxième prototype avec des solutions technologiques différentes, pour le cas ou le premier ne passerait pas les tests. Les différents scenarii alternatifs (relatifs chacun à un risque particulier) sont regroupés dans le « plan de contingence« 
Voici un exemple de plan de contingence. Le projet consiste à développer un dispositif d’assistance aux personnes âgées basé sur l’utilisation d’un robot humanoïde du commerce. L’équipe de projet ne dispose que d’un robot et son indisponibilité serait très pénalisante.

Réponses aux risques : vœux pieux versus réponses robustes

Identifier les risques est une chose essentielle. Néanmoins cela ne sert à rien si les réponses apportées sont inefficaces. Or on constate le plus souvent que les réponses annoncées tiennent plus de l‘incantation que d’une action concrète et efficace. Le tableau qui suit est destiné à illustrer cette réalité. Le chef de projet consensuel, qui hésite à se montrer trop directif se contente de « vœux pieux » autrement dit d’instructions trop vagues pour constituer une réelle barrière à la survenue du risque. Le chef de projet énergique veille à apporter une réponse robuste à chaque risque.

Risque identifié	Réponse "vœu pieux"	Réponse robuste
Le support de données numériques devient inopérant (vol, dégradation, piratage, crash...)	Faire des sauvegardes régulières	Paul Dupont effectue tous les soirs une sauvegarde sur un disque SSD qu'il emmène avec lui
La carte électronique du prototype est détruite accidentellement	Faire très attention lors des manipulations sur la carte	Réaliser deux cartes (N°1 et N°2) A chaque modification ou utilisation de la N°1 la N°2 reste dans l'état antérieur jusqu'à validation de la modification. Pilote de risque : Fred Laffont
Le client ne fournit pas les données d'entrée à la date prévue.	Relancer le client	Le service juridique ajoute dans le contrat une clause prévoyant le paiement d'une indemnité de 1000 € par jour de retard
Le composant critique X n'est pas livré à la date prévue.	Si cela se produit, menacer le fournisseur de ne plus travailler avec lui	Le directeur financier vérifie la santé du fournisseur pressenti. Le responsable qualité contrôle personnellement l'avancement de la commande suivant l'échéancier convenu par contrat

Le plan de réponses au risque

Voici à quoi ressemble un plan de réponses au risque (ou plan de mitigation) dans l’approche qualitative. Observez que l’estimation du risque est faite deux fois : avant et après mise en place des actions de traitement.
Pour rappel voici la signification des symbôles :
F : Indice de fréquence (en gestion des risques le terme « fréquence » est considéré comme l’équivalent de « probabilité »)
G : Indice de gravité
C : Indice de criticite. Comme indiqué, C = F x G
Dans l’approche quantitative déterministe le plan de réponse aux risques prend une forme un peu différente puisqu’on parle désormais argent. La logique est néanmoins la même : On estime, pour chaque risque, l’exposition au risque (Exp. sur le schéma) avant et après traitement. Voici comment il faut interpréter les sommes de la ligne « Total » qui consolide les valeurs d’exposition au risque pour l’ensemble du projet.
– Si l’on ne traite pas les risques, il faut s’attendre à dépenser 3900 € de plus que les sommes strictement nécessaires à la réalisation des travaux. Ceci à cause des risques qui vont immanquablement se manifester. Bien entendu dans la réalité ce sera peut-être moins, peut-être plus, nous sommes dans le domaine de l’incertain.
– Si l’on applique les mesures de réduction des risques il nous en coutera 750 €. Là pas question de probabilité, c’est une dépense certaine.
– Du fait des mesures de réduction des risques, notre exposition au risque tombe à 1380 €, ce qui justifie les mesures prévues. Ces mesures préventives nous font économiser 3900 – 750 – 1380 = 1770 €. Economie virtuelle bien entendu, comme toujours en matière de probabilités, mais plus vos projets sont complexes et nombreux, plus la réalité se rapproche de la prévision.
– Dernier point : cette somme de 1770 € qui représente l’exposition aux risques résiduels (c’est à dire après traitement) est précisément celle que l’on inscrira au budget comme provision opérationnelle dans la leçon suivante.

Sommaire de la leçon :

• Le budget risques
• Les provisions
• Le financement du risque projet
• Le chef de projet et sa hiérarchie

Traiter de la gestion des risques sans aborder les questions d’argent serait une double erreur. D’abord parce que la prise en compte des risques dans un projet coûte de l’argent, ne serait-ce que par le temps passé sur ce sujet par l’équipe de projet. Mais aussi et surtout parce qu’au final une bonne gestion des risques fait économiser de l’argent !

Le budget risques.

La leçon précédente porte sur le traitement des risques. Il est bien évident que ce traitement coûte quasiment toujours de l’argent : contracter une assurance, choisir un fournisseur plus fiable, investir dans un stock de précaution ou dans un matériel de secours, cela implique des dépenses. Ce serait une erreur de noyer ces dépenses dans le coût des lots de travaux, mais une erreur encore plus grande de les financer sur les provisions (dont on va parler juste après). Pour une bonne gestion du projet elles doivent être regroupées dans un poste de dépenses réservé à la prévention des risques : le « Budget risques« . Notons que contrairement aux provisions, le budget risques a vocation à être entièrement dépensé.

Les provisions.

Le notion de provision est très simple à comprendre. Chacun sait qu’un projet ne se passe jamais comme prévu (même si l’on a effectué une analyse des risques et pris des mesures correctives), et qu’en général les surprises sont toujours de mauvaises surprises génératrices de surcout. Il est donc naturel d’intégrer au budget du projet une somme destinée à financer les surprises désagréables. C’est cette somme que l’on appelle « provision ». Partant de là deux questions se posent : « comment fait-on pour calculer une provision ? » et « Qui est autorisé à dépenser la provision et suivant quelles règles ? »

Commençons par la deuxième question : Qui est autorisé à dépenser la provision ? Reprenons le schéma des niveaux de pilotage du projet. Le chef de projet est responsable de la gestion au niveau opérationnel, sa hiérarchie est responsable des décisions du niveau stratégique (cette question est traitée dans la leçon Les niveaux de pilotage du projet). La question posée trouve une réponse très simple : chaque niveau disposera d’une provision et sera le responsable direct de la consommation de cette provision.

La provision pour risques résiduels (ou provision opérationnelle)

Que l’on ait procédé ou pas à une analyse de risque, il est indispensable de constituer une provision opérationnelle. Bien entendu le calcul de la provision se fera sur des bases différentes dans l’un ou l’autre cas.
– Cas N°1 : On a procédé à une analyse quantitative des risques
Nous avons vu précédemment que le document de sortie de l’analyse quantitative, le plan de réponses aux risques, fournit la valeur monétaire d’exposition au …….. Pour lire la suite souscrivez un abonnement PREMIUM ou si vous êtes déjà abonné connectez-vous 

Le financement du risque projet

Quelques rappels sur les responsabilités dans les projets

Pour bien comprendre la suite de cette leçon il faut avoir en tête les rôles et responsabilités dans le projet, et notamment ceux des deux acteurs principaux : la maître d’ouvrage et le maître d’œuvre. Si ce n’est pas votre cas référez-vous à la leçon Maîtrise d’ouvrage et maîtrise d’œuvre. Dans le schéma ci-contre la couleur verte marque le domaine de la maîtrise d’œuvre et la couleur bleue celui de la maîtrise d’ouvrage. Chaque acteur doit se préoccuper des risques qui pèsent sur son domaine.
Le premier à agir est le maître d’ouvrage, qui doit faire l’analyse des risques dits stratégiques, ceux qui surviendront (ou pas) en phase d’exploitation. Il doit décider des réponses à apporter à ces risques. Une bonne partie de ces réponses impactent la conception du produit et par conséquence en augmentent le coût. Le document « Spécification technique du besoin » (STB) doit explicitement faire état des exigences du maître d’ouvrage en matière de réponses aux risques stratégiques. Par exemple un industriel souhaitant faire construire une salle informatique demandera que celle-ci soit protégée par un dispositif automatique d’extinction des incendies, quand bien même la règlementation ne l’exige pas.
Vient ensuite le maître d’œuvre, en charge de la réalisation du projet. Ce n’est pas à lui de supporter les risques stratégiques, tout au plus va-t-il donner gratuitement des conseils au maître d’ouvrage si celui-ci lui parait par trop inconséquent. Par contre il lui appartient de faire sa propre étude de risque (risques opérationnels) de façon que le projet ne tourne pas à la Bérézina ! C’est lui qui va décider quels risques il choisit de traiter et quelles réponses il envisage pour les réduire. Bien entendu il assumera seul le coût des réponses et le coût induit par les problèmes rencontrés. A lui d’intégrer ces dépenses dans le budget qu’il va soumettre à son client (ceci vaut que le client soit une entité tierce ou un client interne)

La prise en compte des risques dans le budget du projet

Ce schéma résume ce qui vient d’être dit et vise à en donner une vision un peu plus globale :
La colonne de droite, en jaune, représente verticalement les quatre éléments constitutifs du budget du projet.
L’essentiel des dépenses du projet est générée par les travaux nécessaires pour l’obtention du résultat du projet, autrement dit par la concrétisation des exigences du client (le maître d’ouvrage). Ces exigences incluent, comme on vient de le voir, les actions de réduction des risques stratégiques demandées par la maîtrise d’ouvrage (rectangles bleus sur le schéma).
Le maître d’œuvre procède à l’analyse des risques opérationnels et décide des réponses qu’il va apporter à ces risques. La dépense induite par ces réponses est inscrite au budget du projet au titre de « budget risques« . Beaucoup d’entreprises négligent d’isoler cette somme, qui se trouve ainsi dispersée dans la CBS. C’est regrettable car cela nuit à la qualité de l’étude « post mortem » du projet (le retour d’expérience)
A l’occasion de l’analyse de risques notre maître d’œuvre a calculé le montant de la provision opérationnelle, nous ne revenons pas sur les modalités de ce callcul, détaillées précédemment. Cette provision couvre la partie non traitée des risques (risques résiduels).
De même le maître d’œuvre, sachant que surviendront immanquablement des évènements imprévus, ajoute au budget une provision pour aléas et imprévus, généralement calculée en pourcentage du coût sec du projet (CBS).

Exemple

Voici sur ce schéma un exemple pour illustrer les mécanismes économiques dont nous venons de parler. Il s’agit d’un projet d’innovation.
– Le futur produit intègre une carte électronique dont le coût de revient estimé est de 20 €. La carte prototype, fabriquée artisanalement coûte beaucoup plus cher : 5 000 €.
– Le groupe de travail chargé de l’analyse des risques a estimé que si cette carte est détruite lors des essais la perte sera de 20 000 €. On décide donc d’acheter une deuxième carte en secours, elle aussi au prix de 5 000 €.
– Le projet se déroule. Manque de chance un opérateur particulièrement maladroit détruit successivement les deux cartes. Les conséquences se chiffrent à 20 000 € : une troisième carte commandée dans l’urgence, le retard pris, les travaux supplémentaires….
– Toujours pendant le déroulement du projet on apprend qu’un décret concernant la compatibilité électromagnétique (CEM) vient d’être publié. Ce décret renforce les exigences règlementaires. Il va falloir développer un dispositif supplémentaire. Le surcoût est de 10000€
Voyons à quels postes de dépense sont affectées les quatre dépenses successives : 5 000 €, 5 000 €, 20 000 € et enfin 10 000 €.
(1) La dépense pour la carte électronique destinée au prototype et dont le coût est de 5 000 € est inscrite dans la CBS. C’est une dépense normale.
(2) La deuxième carte a vocation à ne jamais servir. Cette dépense, qui est une forme d’auto-assurance, est portée au budget risque.
(3) Le surcoût de 20 000 € est quant à lui pris sur la provision opérationnelle.
(4) Le dépense de 10 000 € n’a pas a être imputée sur la provision opérationnelle puisque le dispositif supplémentaire ne figurait pas dans le périmètre du projet. Le chef de projet n’a pas à supporter des dépenses portant sur un livrable qui ne lui était pas demandé. Les 10 000 € seront pris sur la provision pour aléas et imprévus. Attention toutefois à ne pas prélever sur cette provision des dépenses correspondant à des demandes du client hors du contrat initial. Ces demandes doivent faire l’objet d’un avenant et donnent lieu à des frais supplémentaires (quelquefois exhorbitants, mais c’est une autre histoire !)

Le chef de projet et sa hiérarchie

On a vu précédemment comment se répartissaient les rôles et responsabilités entre maîtrise d’ouvrage et maîtrise d’œuvre. Concentrons-nous maintenant sur la maîtrise d’œuvre et parlons des relations entre le chef de projet et sa hiérarchie pour ce qui est de la consommation des provisions. Sur le schéma les rectangles de couleur verte correspondent à des postes de dépense liés à la gestion des risques. Dans la plupart des organisations la répartition des rôles est la suivante :
– La somme que le Chef de projet est autorisé à dépenser correspond sur le schéma au « BIPO ». Le BIPO (budget initial prévisionnel de l’opération) est obtenu en ajoutant au cout sec trois postes de dépenses : Les dépenses de gestion du projet (qui englobent la totalité des frais engagés pour planifier et piloter le projet : heures de travail du chef de projet et de ses assistants, réunions, déplacements, etc…), le budget risques dont nous avons parlé plus haut et la provision opérationnelle. Le Chef de projet est donc responsablisé uniquement sur des données dont il a objectivement la maîtrise, puisqu’on exclue toute tâche qui ne serait pas dans le périmètre du projet.
– La hiérarchie du Chef de projet dispose quant à elle de la provision pour aléas et imprévus de façon à financer les dépenses hors périmètre et les aléas majeurs. Le total des dépenses est appelé « Budget de référence« .

Sommaire de la leçon :

• Monitoring du risque et pilotes de risque
• La consommation de la provision

Monitoring du risque et pilotes de risque

Le chef de projet doit, avant le lancement du projet, désigner les « pilotes de risque« . Autrement dit les individus, pris dans l’équipe de projet, qui auront chacun en charge un ou plusieurs risques. Charge à chacun des pilotes de mettre en place les mesures prévues et d’appliquer les décisions prises. Cette mise sous contrôle est généralement appelée « monitoring » des risques.

La consommation de la provision opérationnelle

La provision opérationnelle a vocation a être consommée avec parcimonie et surtout une consommation trop rapide en début de projet doit alerter. Aussi il est nécessaire de surveiller le rythme de consommation. C’est l’intérêt du graphique ci-contre. La courbe rouge correspond au niveau d’exposition au risque, la courbe verte au montant de la provision. Le montant de la provision est fixé en fin de phase de préparation, juste avant le début de la phase de mise en œuvre. Cette provision sera consommée progressivement au cours du projet au fur et à mesure que surviennent des risques. Ici, en début de réalisation, l’exposition au risque n’était pas entièrement couverte par la provision, les choses s’améliorent ensuite et à partir du point d’intersection des deux courbes le solde provision moins exposition au risque devient positif.

Sommaire de la leçon :

• Capitaliser les risques
• Le diagramme de Pareto
• La métaphore de l’emmental
• Les 5 niveaux de maturité en gestion des risques

Capitaliser les risques

Capitaliser les risques c’est procéder, en fin de projet, à un bilan complet dont voici le détail :
Analyser le projet
– Quels risques sont survenus, quel impact ?
– Quels facteurs de risque ont été déterminants
Préconiser des améliorations
– Modification des documents-type (plannings, contrats….)
– Modifications de l’organisation, des procédures
Mettre à jour
– le catalogue des risques
– La liste type des facteurs de risque
Quelques conseils :
– Le retour d’expérience doit être informatisé (base de données)
– Mettre en place un dispositif de recherche de type analogique dans la base de données
– Éviter la re-saisie d’informations déjà numérisées (retards, surcouts, problèmes, bugs…)

Modèle de catalogue des risques :

Catalogue des risques
Projet	Risque	Causes origine et facteurs déclenchants/aggravants	Impact sur les objectifs du projet
Projet 0675 Palinodie	Fiche R3205 Le client tarde à prononcer la recette	Absence d’interlocuteur technique MOA	Projet 315 livré avec 3 semaines de retard. Surcout 6000 €
Projet 0055 Symphonie	Fiche R1233 Le LNE refuse l’homologation du prototype	Spécifications non respectées. Nous n’avons pas en interne de moyens de test colorimétrique	Projet 367 livré avec trois mois de retard et surcout 12000 €
Projet 1267 Mécano	Fiche R0897 Le directeur Marketing refuse de déclencher l’étude de marché	Surcharge de travail au Marketing. Absence d’instance d’arbitrage. Portefeuille de projets non géré.	Projet 388 abandonné. 25000 € dépensés en pure perte.

Le diagramme de Pareto

Établir la liste des risques qui se sont manifestés tout au long des projets est une chose, mais cela ne donne pas une vision d’ensemble. Il est indispensable de prendre le temps de produire des analyses statistiques comme par exemple sur ce schéma. Pour ce faire le très connu et très utile diagramme de Pareto est l’outil adapté. Rappelons que le diagramme de Pareto est un histogramme ordonné. Ici les risques survenus sont classés par catégorie. Dans cet exemple les risques les plus nombreux (ou les plus pénalisants suivant le critère choisi) sont ceux liés au management de projet (colonne de gauche). Viennent ensuite les risques liés à des causes techniques, et ainsi de suite. Dans une optique d’amélioration continue la logique veut que l’on traite en priorité la famille la plus pénalisante. Une bonne technique consiste à faire une deuxième analyse en focalisant sur la catégorie la plus pénalisante et en utilisant le même outil (d’où l’expression « Le Pareto dans le Pareto »).

La métaphore de l’emmental

Reprenons ce lieu commun : « le risque zéro n’existe pas ». S’il traduit souvent une attitude fataliste c’est tout de même une réalité à prendre en compte. Le risque zéro n’existe pas mais notre rôle est de s’en approcher. On a vu dans ce chapitre qu’une démarche rigoureuse permet de réduire considérablement l’exposition au risque. Cette démarche consiste, on l’a vu, à mettre en place des obstacles s’opposant à la manifestations des risques. Cette façon de mettre en place des barrières a donné l’idée à James Reason du schéma ci-contre : le « swiss cheese model ». La symbolique est la suivante : pour contenir les risques on multiplie les défenses (représentées par les plaques). Quant aux trous, ils représentent les défaillances (erreurs, oublis, défauts, manques, comportements à risque, violation des règles, carences de l’organisation…). Plus il y a de plaques et moins il y a de trous dans les plaques, plus le projet est « robuste ».

Les 5 niveaux de maturité en gestion des risques

Puisque vous avez lu ce chapitre jusqu’à la fin peut-être avez-vous l’intention de faire progresser votre équipe dans le sens d’une meilleure prise en compte des risques. Voici sur ce dernier schéma le parcours en cinq niveaux qui va vous mener à l’excellence. Ce paragraphe est très fortement inspiré du modèle du CMMI (Capability Maturity Model Integration).
– Niveau 1 : Pathologique. C’est le niveau de de départ de beaucoup d’organismes. Le dirigeant est dans le déni complet : « A quoi bon perdre du temps à gérer les risques » La meilleure approche consiste à lui montrer que la gestion du risque va l’aider a atteindre plus vite ses objectifs pour un coût inférieur. S’il n’est pas sensible à cet argument c’est à désespérer.
– Niveau 2 : Réactif. Dans beaucoup de structures l’attitude reste passive, on ne réfléchit pas aux risques qui pourraient survenir. Mais par contre lorsqu’un risque survient on met en place, ponctuellement, la consigne qui permettra de ne pas le voir se reproduire. « Nous prenons le risque au sérieux et nous réagissons aux incidents ». Ne croyez-vous pas que c’est sur ce mode que fonctionnent la plupart de nos responsables politiques ?
– Niveau 3 : Bureaucratique. Le degré suivant consiste à construire un système cohérent de gestion du risque. « Nous avons des systèmes de management en place pour prévenir les risques » Mais bien souvent ce système de management est vécu négativement comme l’ajout de contraintes supplémentaires.
– Niveau 4 : Proactif. C’est à ce niveau que l’on entre enfin dans une attitude d’anticipation : « Nous sommes toujours en alerte, nous avons à l’esprit les problèmes qui pourraient survenir » Les acteurs des projets ne subissent plus les procédures mais contribuent à les faire évoluer positivement.
– Niveau 5 : Génératif. Nous voici enfin dans l’excellence : « La gestion du risque fait partie intégrante de tout ce que nous entreprenons » La prise en compte du risque est un réflexe acquis. C’est désormais dans les gènes de l’organisme. Ne croyez pas que cet objectif est inatteignable : de nombreux métiers fonctionnent dans ce registre, notamment le secteur aéronautique.