Dans un post précédent je parlais de détection des risques dans un projet. Ici, nous allons examiner quelques pratiques d’évaluation et de mesure des risques projet.
Evaluation qualitative des risques
La matrice probabilité x impact liste les événements — internes ou externes — qui pourraient affecter le projet. Dans une version simplifiée, l’évaluation est qualitative. Par exemple, on qualifie une probabilité de « faible », « moyenne » ou « haute », et un impact de « mineur », « gérable » ou « majeur ».
La principale vertu d’un outil qualitatif est d’élargir le champ de la réflexion à plusieurs. Par exemple, on pourra la relire régulièrement, en équipe. Elle sert alors d’aide-mémoire, elle responsabilise les acteurs, encourage le dialogue et oriente l’anticipation.
Il est toujours possible d’affecter des poids numériques arbitraires et de calculer le produit « probabilité x impact » pour ordonner les éléments. Mon opinion est qu’une matrice qualitative est essentiellement un outil de management visuel et qu’il vaut mieux s’intéresser à la signification de ses cellules qu’à des poids arbitraires.
Évaluation quantitative des risques
Une matrice de risques quantitative sera plus utile pour mesurer les risques ; elle demande plus de travail :
- Décrire le risque avec une phrase complète et circonstanciée. Par exemple : « Le protocole du boîtier d’interface fourni par le client évolue en cours de projet à la suite d’une obsolescence matérielle. » On évitera une formulation top sommaire comme « Problème d’interface externe ».
- Évaluer la probabilité d’occurrence du risque, entre 0 et 100%. Ce choix est justifié par un argument faisant état du degré d’incertitude. Exemple : faire référence à une expérience passée, à la connaissance de l’environnement, à l’expertise.
- Décrire l’impact comme on décrirait un lot de travail du projet. Que faudrait-il faire pour revenir à un état satisfaisant si le risque se produit ? Quel serait l’impact coût et délai ?
En multipliant « Probabilité » et « Impact », on a déjà un aperçu quantitatif du « Coût Brut » des risques.
Prévention des risques
Maintenant, il faut parler prévention (mitigation en Anglais) :
- Identifier les actions de prévention de chaque risque ou des ses conséquences. Parfois, le risque est totalement hors de notre contrôle, mais on peut décider d’investir un effort de prévention pour réduire notre exposition ou ses conséquences. Exemple : changer de fournisseur, souscrire une assurance. Ces actions ont un impact coût et délai.
- Évaluer l’impact résiduel du risque s’il survient alors que les actions de prévention ont été réalisées.
Il est intéressant de comparer ici « coût de la Prévention » + « impact Résiduel » par rapport au « Coût Brut ». Est-il rentable de parer au risque maintenant ou bien accepte-t-on d’attendre plus tard ?
L’expérience montre que si « Prévention + Résiduel » est inférieur à « Coût Brut », alors « Prévention » devient une des tâches planifiées du projet, et la matrice de risques est réévaluée sur cette base. En fait, le travail sur les risques aura révélé une action qui doit être ou aurait dû être planifiée. Si le calcul montre un coût supérieur au coût brut, la décision est une question de jugement et d’expertise. On peut décider de prévenir afin d’éviter des contagions, comme on peut décider d’attendre.
Gérer activement les risques (et ne rien mettre sous le tapis)
Que faire de l’évaluation ? Le coût brut ou résiduel représente un coût additionnel. Il peut varier à tout moment en fonction des événements. Qui va l’absorber : le client à travers une augmentation du prix ou l’actionnaire à travers une réduction de la marge ? Dans mon expérience, j’ai trouvé très utile d’en faire un support régulier de négociation et de liberté pour le chef de projet et les dirigeants. A contrario, c’est une erreur que de minimiser volontairement ce risque, ou de l’exagérer volontairement. On ne peut pas traverser des difficultés si l’on ne sait pas où elles sont ! Et cela conduira fatalement au mécontentement de tous : client, salarié, actionnaire. Comme me disait un dirigeant d’un grand groupe international « Always say the truth, because that’s the easiest thing to remember. »
Avantage — Pour l’avoir pratiquée pendant des années, je vous recommande chaudement cette approche parce qu’elle conduit à des débats et réflexions productifs en équipe. En aucun cas je vous recommande travailler seul sur ce sujet, car il y a beaucoup de subjectif, et nous pouvons sans le vouloir biaiser l’analyse en fonction de nos propres désirs.
Inconvénient — Maintenir la matrice des risques à jour nécessite une bonne discipline. Notamment parce qu’elle occupe une place initiale et centrale, alors que le projet vit et produit sans cesse de nouvelles informations.
Quels outils utiliser ?
Réaliser une matrice de risques est très facile avec un tableur. Par exemple, pour une matrice quantitative, les colonnes seraient a minima :
- A : identification et description du risque
- B : Probabilité %
- C : Impact €
- D : Impact pondéré (ou coût de la remédiation) = B x C
- E : Coût de la prévention €
- F : Probabilité résiduelle si l’action de prévention est mise en oeuvre
- G : Impact si le risque se produit malgré la prévention
- H : Impact résiduel pondéré y compris prévention = E + F x G
- H : Écart à comparer pour décider si on lance les actions de prévention ou non : D – G
Il convient d’y ajouter des colonnes pour identifier les personnes responsables, les dates de mise à jour, les actions réalisées ou à réaliser, etc.
Attention aux limites !
Rien ici n’est une science exacte. Les grandeurs de probabilité et de coût sont toujours très objectives ! Soyez conscient des biais possibles :
- la fraîcheur de la mémoire : un risque qui se serait réalisé (ou non) plus récemment se traduira par des grandeurs plus marquées qu’un événement plus ancien ;
- l’aversion au risque : un acteur, voire le chef de projet, peut être tenté d’augmenter les valeurs pour se préserver un espace de travail plus confortable ;
- la profondeur de l’analyse : plus on fouille, plus on trouve ! Veillez à ce que les lignes de la matrice soient homogènes en termes de granularité de livrable ou d’événement.
Enfin, veillez à en faire un outil de dialogue et de réflexion avant tout !
Pour une critique des approches matrices
The Risk of Using Risk Matrices, Philip Thomas, SPE, and Reidar B. Bratvold, SPE, University of Stavanger; and J. Eric Bickel, SPE, University of Texas at Austin (lien)
The Failure of Risk Management: Why It’s Broken and How to Fix It. Hoboken, New Jersey: John Wiley & Sons, Inc., Hubbard, D.W. 2009 (lien)