Le processus de gestion des risques et son déploiement

Quels sont les évènements risqués qui sont les plus dommageables pour le projet, (ceux qui entraînent les plus grandes perturbations) ? Quelles sont les actions de traitement à mettre en œuvre pour amenuiser ces perturbations et respecter les objectifs du projet ? Quelle est le délai maximal possible du projet ? Quelle est la probabilité que tel ou tel scénario survienne ? Quel est le coût d’une stratégie de traitement donnée ? Quel est l’impact de cette stratégie en termes de réduction du risque ? Toutes ces questions doivent trouver une réponse lors du déploiement du processus de gestion de risques dans le cadre d’un projet, processus dont l’objet est la maîtrise des risques projet est donc l'anticipation des événements, leur évaluation et la proposition d'actions de traitement adaptées.

II.4.2.1 Différentes approches de gestion des risques

La gestion des risques est une approche de management dont l’objectif est de permettre « l’amélioration des décisions en milieu incertain pour maîtriser la préservation de la valeur »

(Gourc, 2006). Cette dernière fait appel à plusieurs catégories d’acteurs tels que des experts du

domaine d’étude, des experts de la gestion des risques, des auditeurs, ou encore des autorités réglementaires, mobilisant un ensemble de ressources. Elle dépend de la culture de l’organisation qui la déploie. De plus, elle transforme la connaissance du système d’étude et l’information sur son environnement en décisions et en consignes pour les systèmes de pilotage ou de support. Enfin, elle nourrit les bases de connaissance dans un souci de capitalisation de la connaissance via le retour d’expérience (Sienou, 2009). Le processus de la gestion des risques dépend du domaine d’application et communique avec d’autres processus comme les processus de conception (ingénierie système), de pilotage (gestion de projet, management d’entreprise) ou de gestion de la qualité (gestion de la production). Cette communication est établie dans un objectif de pilotage ou dans une perspective de support.

II.4.2.2 Description du processus de gestion des risques

Le cadre ISO (cf. Figure II-9) est le plus récent des processus de management des risques. Il propose un cadre de management et d’amélioration du cycle de management des risques, et un ensemble de méthodes d’appréciation des risques (ISO31000, 2010). Il présente un haut degré de généricité et est le fruit d’une volonté d’harmonisation des processus de management des risques, incorporant les notions définies par l’ISO/IEC GUIDE 73 (ISO/IEC,

2002) et s’appuyant sur la norme AS/NZS 4360 (AS/NZS, 1999) qui a été éprouvée par la

45 Figure II-9 : Le processus de gestion des risques, d’après (ISO31000, 2010)

La gestion des risques (A0) est un processus systématique d'identification, d'évaluation et de traitement des risques liés au projet (PMI, 2008), dont le but est de maximiser les différentes opportunités et de minimiser les conséquences négatives (menaces). Nous suivrons la même logique que celle préconisée par la norme dans la suite de ces travaux.

II.4.2.2.1 L’établissement du contexte (A1)

La première étape est l’établissement du contexte. Il s’agit d’identifier les constituants, l’environnement du système étudié ainsi que les différents critères de risque pour la suite du processus. C’est à cette étape que, (a) le processus de la gestion des risques est cadré et que (b) la frontière du système d’étude est délimitée.

Les éléments n’appartenant pas au système ainsi délimité constituent le contexte externe du projet. Ce dernier inclut de nombreux aspects tels que l’environnement social, culturel, politique, légal réglementaire, financier, technologique, économique, naturel ou encore concurrentiel.

46 II.4.2.2.2 L’appréciation du risque (A2)

L’activité d’appréciation des risques est composée de trois sous-activités qui sont l’identification, l’analyse et l’évaluation du risque.

L’identification des risques consiste à établir et à maintenir un inventaire exhaustif ainsi qu’une typologie adéquate des risques.

L’analyse du risque conduit à une meilleure connaissance. Il convient d’y caractériser le risque via ses causes, ses conséquences et ses relations avec les autres risques.

L’évaluation est une activité de hiérarchisation des risques. Elle permet de cartographier et de renseigner la description des risques, tant qualitativement que quantitativement (probabilité d’occurrence, impacts), de hiérarchiser les risques par ordre de criticité et donc d’identifier les priorités dans le but de guider les décisions prises ultérieurement vis-à-vis du traitement.

II.4.2.2.3 Le traitement et la surveillance du risque (A3) (A4)

La phase de traitement des risques consiste à préconiser des options de traitement afin de maintenir un niveau de risque conforme aux exigences. Les actions sont définies pour minimiser la probabilité d’occurrence et/ou pour minimiser les impacts.

Il y a pour chaque risque identifié quatre options de traitement : accepter le risque, éviter le risque, partager le risque ou le maîtriser en modifiant sa probabilité d’occurrence ou son impact.

Cette étape du processus peut entraîner une modification majeure du système et donc une nouvelle itération de l’ensemble du processus de gestion des risques. En effet, la maitrise d’un risque peut conduire à l’apparition ou à la modification d’un ou de plusieurs autres risques. Le suivi des risques est une étape d’observation de l’environnement interne et externe afin de comprendre l’évolution des risques, et d’assurer l’effectivité des actions de traitements ainsi qu’un retour d’expérience.

La Figure II-10synthétise les différents concepts gravitant autour de la notion de risque, selon les différentes phases du processus de gestion des risques.

47 Figure II-10 : Risques et concepts autour du risque suivant les différentes phases du

processus de gestion des risques défini par la norme ISO 31000 (ISO31000, 2010)