Les changements, source de risques
5.2. Les risques du projet
Une fois la décision prise, il importe de mettre en œuvre des méthodes d’identi-fication et de gestion de risques permettant soit de réduire les incertitudes sur les évènements défavorables (prévention), soit de limiter leurs impacts en termes de coût, délais ou qualité.
Avec l’ingénierie de détail commence la réalisation du Projet. La marche arrière est alors devenue impossible. A ce stade, il s’agit d’atteindre les objectifs de coût, qualité et délais finalement adoptés dans le dossier d’investissement. Le découpage du Projet en phases et activités essentielles (WBS : Work Breakdown Structure) et sa traduction en diagrammes GANTT et PERT deviennent les outils essentiels du pilotage. Il faut s’y tenir : toute modification à ce stade sera lourde de conséquences.
© Éditions d’Organisation
C’est là que l’on verra la pertinence des études de risques précédemment menées, qui permettront d’être proactif et de rapidement corriger le tir lorsque cela sera nécessaire.
Le chef de projet devra donc disposer des indicateurs lui permettant en temps réel de mesure sa position par rapport aux prévisions, en particulier en ce qui concerne les engagements financiers (courbes en S).
Des outils informatisés performants sont aujourd’hui à sa disposition, y compris des logiciels stochastiques, c’est-à-dire permettant l’introduction des paramètres de définition des WBS non pas sous une forme déterministe, mais sous la forme d’une valeur moyenne et d’un écart type. Certains, développés pour de grands projets de génie civil ou pour les grands projets industriels, permettent même l’intro-duction de facteurs saisonniers et humains.
Ces outils sont cependant lourds, requièrent une grande habitude et doivent donc être réservés aux projets très importants.
Nous présenterons donc ci-après une méthode d’analyse et de traitement pré-visionnel des risques permettant d’engager le projet en ayant limiter autant que possible les aléas, c’est-à-dire les événements défavorables au projet, dont la pos-sibilité a été envisagée et qui conduiraient à un déroulement du projet non con-forme au processus prévu.
Cette méthode repose sur six phases successives, en application de la norme CEI 62198 : 2001 (« La gestion du risque est l’application systématique des politiques, des procédures et des pratiques de gestion aux tâches d’établissement du contexte, d’identification, d’analyse, d’évaluation, de traitement, de surveillance et de com-munication des risques de manière à permettre aux organisations de minimiser les pertes et de maximiser les opportunités de façon rentable. ») :
La première phase est cruciale : elle consiste à définir avec précision les objectifs du projet et le cadre technique, économique, juridique, financier dans lequel il se déroulera.
1. Etablissement du contexte du projet,
4. Traitement prévisionnel et raisonné des risques, 2. Identification des risques, 5. Suivi et contrôle, 3. Evaluation et hiérarchisation
des risques,
6. Retour d’expérience.
Le « risque d’un projet » est défini dans le Dictionnaire du manage-ment de projet AFNOR 1996, comme étant : « la possibilité qu’un projet ne s’exécute pas con-formément aux prévisions de date d’achèvement, de coût et de spé-cifications, ces écarts par rapport aux prévisions étant considérés comme étant difficilement accep-tables, voire inacceptables. »
© Éditions d’Organisation
C’est en effet dans ce contexte que se trouvent les causes des risques :
Un projet étant par définition unique et mettant en œuvre pour un temps limité des moyens et une organisation exceptionnels, son contexte n’est évidemment pas celui de l’entreprise dans son mode de fonctionnement normal. On distin-guera cependant sur ce point les entreprises dont le fonctionnement repose essentiellement sur des grands projets (par exemple l’industrie automobile) de celles qui évoluent par de multiples projets assez indépendants les uns des autres (par exemple industrie cosmétique), ou encore de celles qui collaborent à des réalisations communes (par exemple travaux publics).
Dans le premier cas, l’organisation des projets est fortement régulée par les orga-nisations mises en place dans l’entreprise. Ce sont les structures de projet qui ren-dent compte à la direction générale de l’entreprise dominante. Le problème clé est la question de l’autonomie et de la spécificité de l’organisation du projet par rapport à ces régulations. Dans le second cas, l’organisation des projets se réfère à l’organisation et aux procédures en usage dans l’entreprise. Les structures ren-dent compte à la Direction générale de l’entreprise dominante, comme dans le premier cas. Il n’y pas forcément d’organisation spécifique, la fonction de chef de projet pouvant se cumuler avec une autre. Les projets sont ici gérés par un portefeuille de projet et peuvent être rapidement arrêtés pour en accélérer d’autres ou en introduire de nouveaux. Enfin, dans le troisième cas, l’organisa-tion du projet permet aux entreprises impliquées de se coordonner correcte-ment. Ce sont les entreprises qui rendent compte à la direction générale du projet. Aucune organisation, ni aucune culture d’entreprise ne s’imposant aux autres, tous doivent adopter les spécifications organisationnelles du projet. Les relations contractuelles sont beaucoup plus développées, pour réguler l’interac-tion d’agents économiques appartenant à des entreprises aux intérêts souvent divergents.
Ce n’est que lorsque ce contexte est bien établi que l’on passera à la recherche des risques pouvant affecter les objectifs du projet. Pour en assurer l’exhaustivité, cette recherche doit être exécutée par domaine de risques (identifiés dans le contexte du projet), pour chaque phase du projet et pour chaque phase de la mission du système considéré.
•Risques générés par les clients
•Risque du produit
•Risques des fournisseurs ou sous-traitants
•Risques organisationnels
•Risques juridiques
•Risques réglementaires
•Risques de l’entreprise
•Risques des parties intéressées
•Risques créés par les contraintes administratives
•Etc.
© Éditions d’Organisation
Les méthodes d’identification sont multiples :
•Dire d’experts, sur la base du retour d’expérience sur des projets similaires, très utile en phase initiale, mais qualitative et non exhaustive,
•Check-list par thème (par exemple risques liés aux phases, aux livrables, aux méthodes, risques liés au milieu environnant, risques liés aux ressources),
)
1- RISQUES LIES AUX PHASES, LIVRABLES, METHODES Risques liés aux tâches de la phase d’exploration Risques liés à l'interprétation du brief
Risques liés à l'analyse de la faisabilité industrielle Mauvaise évaluation du cahier des charges du projet Mauvaise identification des sources d'approvisionnement Risques liés à l'estimation des besoins en ressources Risques liés à l'élaboration et au suivi du planning Risques liés aux propositions de par ticipants
Risques liés à la vérification des exigences réglementaires Risques liés aux tâches de développement
Risques liés à la décision du comité de développement Risques liés à la mise au point du produit
Risques liés au choix et au suivi des fournisseurs Risques liés aux tests
Risques liés à chaque phase spécifiques du produit Risques liés aux tâches de développement
Risques liés à la décision du comité de développement Risques liés à la rédaction des cahiers des charges Risques liés à la mise en service des équipements Risques liés à la finalisation mise au point produit Risques liés à la préparation du lancement commercial Risques liés aux tâches de lancement
Risques liés aux premières fabrications
Risques liés au suivi R&D des premières fabrications Risques liés à la validation du dossier qualité Risques liés aux tâches de maintenance Risques liés aux tâches d’élimination Risques liés aux tâches de fin de projet Dissolution précoce du groupe de travail 2- RISQUES LIES AU MILIEU ENVIRONNANT Risques liés à l'environnement législatif et réglementaire Non prise en compte d'une exigence réglementaire Prise en compte trop tardive
Non-anticipation d'une nouvelle exigence
Arrivée d'une nouvelle exigence légale ou réglementaire Risques liés aux concurrents
Fuite d'idées vers les concurrents
Mauvaise connaissance des projets et produits concurrents Méconnaissance des concurrents
Pas de protection industrielle sur produit développé Pas de prise en compte des protections industrielles existantes Contrefaçons des produits
Sortie de produits concurrents en avance de phase Changement de politique des concurrents Diffamation
Risques liés à l'environnement macro-économique Augmentation des coûts de main d'œuvre Augmentation des coûts de service (énergie, loyers..) Modification de la fiscalité
Variation des taux de change, d'inflation et de crédit Augmentation du coût des matières premières Pénurie de matières premières
Mauvaise communication marketing Risques liés à l'environnement social Mouvements sociaux externes
Risques liés à l'environnement sociétal Effet de mode
Syndrome "vache folle" sur composants Dégradation image de marque de la société Nouvelles exigences consommateurs (environnement politique, social)
Risques liés à l'entreprise ou au groupe Mouvements sociaux internes Fermeture d'un site
Modification des priorités sur les projets Cession ou cessation d'activités Dégradation du climat social Changement d'affectation de personnel Réorganisation de l'entreprise
Risques liés à l'environnement géophysique Inondations
Tremblement de terre Incendie
3- RISQUES LIES AUX RESSOURCES Défaillance "individuelle" d'hommes-clefs Défaillance du chef de projet R&D Disparition (momentanée ou définitive) Incompétence
Disponibilité insuffisante Erreur individuelle
Défaillance du responsable marketing : idem ci-avant Défaillance du responsable industrialisation : idem ci-avant Défaillance "collective" de l'équipe projet
Défaut de communication Défaut d'interfaces Incompatibilité dans l'équipe
Défaillance d'un sous-traitant ou fournisseur Non respect des délais
Accidents ou sinistres survenus au fournisseur Dénonciation du contrat (abandon, par ex.) Dérive des coûts
Accidents ou sinistres survenus au distributeur Risques liés aux équipements de production Non obtention de performances Pannes trop fréquentes Durées pannes trop longues Exploitabilité non optimale Risque sécurité pour les opérateurs
Surcoût de fonctionnement (exploitation, maintenance) Risques liés aux infrastructures
Fermeture atelier (provisoire ou définitive) suite à dégradation Fermeture atelier (provisoire ou définitive) suite à décision
Exemple de check-list sur un projet industriel (source Bureau Veritas Consulting) :
© Éditions d’Organisation
•Brain-storming : recherche d’idées originales dans un groupe, par la libre expression, sur un sujet donné. Pour que cette méthode soit efficace, quatre règles fondamentales sont à respecter :
1. Retenir un panel d’experts suffisamment créatifs, mais pas trop nom-breux (6 au maximum), en s’efforçant d’obtenir un spectre assez large d’expérience, sans que les liens hiérarchiques puissent influencer leurs opinions.
2. Ne traiter qu’une seule discipline à la fois, en limitant la réunion à quatre heures.
3. Laisser le champ libre à leur imagination, pour qu’ils puissent formuler des idées aussi diverses que possible.
4. Désigner un animateur du groupe qui soit extérieur, n’émettant pas d’opinions personnelles et ne portant pas de jugement de valeur sur les idées émises, et limitant l’exercice à l’identification et non à la hiérar-chisation des risques.
Une alternative au « brain-storming », en particulier sur de grands projets où les acteurs sont trop nombreux pour que des réunions puissent être organisées, con-siste à envoyer un questionnaire.
Un autre alternative consiste à rencontrer individuellement les principaux acteurs du projet et dérouler avec eux ce questionnaire (méthode dite
« Delphi »). Complémentaire du « brain-storming », la méthode Delphi permet de préciser des risques majeurs, mais dépend beaucoup de la capacité de l’inter-viewer à mener la discussion sans l’influencer par des idées a priori.
•Retour d’expérience,
•Simulations,
•Études détaillées plus ou moins complexes,
•Analyse déductives et/ou inductives menées sur le projet,
•Etc.
Il est d’ailleurs souvent intéressant de cumuler les méthodes, celles-ci étant complémentaires les unes des autres.
Bien que cette phase ne soit jamais totalement achevée, de nouveaux risques pouvant être identifiés ultérieurement, il importe de passer assez tôt à la troi-sième phase, de façon à ne conserver que les risques majeurs. Pour ce faire, les risques identifiés seront évalués en terme de probabilité et de conséquences sur les objectifs du projet.
Les méthodes de quantification (criticité) et de classification des risques sont :
•Les méthodes dites « à dire d’expert », qui permettent d’ajuster les estima-tions par rapport à l’importance, à la complexité et à la spécificité du projet et facilitent le calibrage des techniques et des outils d’estimations à utiliser,
© Éditions d’Organisation
•Les techniques de simulation, démarche permettant de mesurer l’inci-dence que peut avoir un risque sur les objectifs quantifiés du projet (par exemple « Monte Carlo »).
Bien entendu, la technique adoptée dépendra des enjeux. Les techniques de simulation, bien que puissantes dans la mesure où les lois de probabilité choi-sies sont pertinentes, sont lourdes et parfois faussement sécurisantes.
On choisira avec succès des méthodes plus approximatives, mais néanmoins suf-fisantes dans la majeure partie des cas, pour classer probabilité et gravité dans des classes telles que celles présentées ci-après à titre d’exemple :
Les risques étant estimés, il appartient de les classer en fonction de leur criticité, afin de hiérarchiser les actions de traitement. On pourra utiliser une matrice de Prouty, ou un graphe de Kiat tel que celui présenté ci-dessous, sur lequel des cer-cles concentriques définissent les zones d’acceptation ou de non acceptation du risque.
© Éditions d’Organisation
Les risques étant classés en fonction de leur criticité vient le temps de la qua-trième phase : leur traitement. L’objectif n’est pas de supprimer tous les risques potentiels afférents au projet, mais de définir et mettre en œuvre des dispositions appropriées à chaque « risque inacceptable » afin de les ramener à un niveau acceptable, voir à un niveau nul.
Cela nécessite donc de définir et de mettre en œuvre, risque par risque, des actions visant soit à :
• Supprimer le risque, soit en supprimant ses causes, soit en annulant ses effets.
• Accepter le risque. Les risques considérés comme acceptables seront classés sur « la liste des risques acceptables » et feront l’objet d’un suivi régulier.
• Réduire la criticité du risque. Des actions de réduction pour chacun des risques concernés seront établies et intégrées aux autres activités du projet lors de réunions spécifiques ou idéalement lors de réunions d’avancement du projet. Parmi les différentes options de réduction possibles, la plus appropriée sera choisie et ceci en accord avec l’optimisation des ressour-ces et les principes du plan de management des risques. De même, le coût de l’action de réduction devra être automatiquement comparé au coût engendré par le risque s’il se produisait, pour s’assurer ainsi de l’aspect bénéfique de la démarche.
Diagramme de Kiat
Risque 10
Risque 8 Risque 9
Risque 6
Risque 4
Risque 7 Risque 5
Risque 2
Risque 3 Risque 1
100
0 50
© Éditions d’Organisation
Enfin, toutes les mesures de réduction seront classées dans « un plan de réduc-tion de risque » et assignés d’un pilote, d’un budget (s’il y a lieu), d’une date objectif de fin de réalisation, d’un niveau de risque initial ainsi que celui escompté à l’issue des corrections apportées, de remarques...
Parmi les mesures de contrôle du risque, on n’oubliera pas :
•Le transfert contractuel pour réduction, permettant de réduire le risque en transférant l’activité concernée à un partenaire plus compétent,
•Le transfert contractuel permettant de faire partager tout ou partie des con-séquences du risque à un tiers impliqué dans le projet.
En dernier recours, lorsque le risque ne peut être ramené à un niveau accepta-ble, il y aura lieu d’envisager de le refuser, c’est-à-dire renoncer au projet sous sa forme envisagée.
Dans le cas où le projet est lancé, il est alors nécessaire de suivre le plan de ges-tion des risques décidé en amont, afin de :
•Vérifier que les mesures de traitement sont prises et efficaces, en particulier lorsque l’expérience fait apparaître que leur quantification initiale (fré-quence et gravité) doit être revue,
•Identifier de nouveaux risques,
•Surveiller le déclenchement des évènements redoutés afin de réagir le plus rapidement possible,
•Alimenter le retour d’expérience.
Identification et quantification des risques
Risque oui acceptable ?
non Évaluer le
risque résiduel
Suppression oui possible ?
non
oui Réduction
possible ? non
Traiter Transfert
possible ? oui
non
Abandon Transférer Terminer Tolérer
Lancement
© Éditions d’Organisation
Ce dernier point est particulièrement important. En effet, la capitalisation de l’expérience facilite l’identification des risques des projets ultérieurs, mais four-nit aussi des informations très précieuses sur la quantification de ces risques. Ce retour d’expérience est encore plus important en ce qui touche les risques humains et organisationnels qui sont mal répertoriés.
Cependant, la capitalisation d’expérience reste exceptionnelle pour plusieurs raisons :
•La formalisation du retour d’expérience a un coût que le chef de projet répugne à supporter alors que son projet est achevé,
•Les acteurs du projet sont réaffectés à d’autres missions dès la clôture du projet et n’ont pas le temps de rédiger les documents,
•Les rapports de fin de projet ne sont pas lus,
•Il est toujours difficile pour le chef de projet, d’admettre que des incidents – assimilables à des erreurs – se sont passés sur son projet.
Cette capitalisation doit donc être financièrement détachée du projet, et confiée à une entité fonctionnelle (audit interne par exemple) qui développera les méthodes d’analyse (interview des acteurs) et les supports de capitalisation (base de données documentaires) qui lui sont nécessaires.