Le Risk Management chez FastWrite
Dans un projet il est utile de gérer une série d'événements qui surviennent
au fur et à mesure. Ce peuvent être des événements intérieurs ou extérieurs
(endogènes ou exogènes). Par exemple, si une activité de construction
requiert l'usage de blocs de carrière, celle-ci peut présenter un risque si
l'accès aux carrières ne peut pas être garanti (événement de type
extérieur). D'autre part, si le transport desdits blocs est assuré par un
charroi de nos propres camions, alors nous courons un risque de rupture en
approvisionnement si l'état des camions est dégradé au point de ne plus
pouvoir assurer le moindre transport. Il s'agit là d'un risque endogène.
Voilà rapidement brossé le tableau des risques: des événements qui ne
se sont pas encore produits mais qui le pourraient et qui auraient un impact
non néglieable sur notre activité s'il venaient à se matérialiser.
Pour parler des problèmes (ou issue en anglais), il suffira de dire qu'il s'agit d'un événement dont la matérialité est avérée : ce n'est pas un problème potentiel, c'est un problème établi.
Risque (Risk)
Définition
Un risque est un événement indésirable, souvent externe (mais pas toujours),
qui pourrait empêcher le cours normal d'un projet. La plupart du temps, ils
ne sont pas sous le contrôle complet du projet. Comme exemples de risques on
peut noter l'évolution de lois et de règlements, l'utilisation de
technologies instables, les modifications de l'environnement. Concrètement
… l'approvisionnement en pétrole provenant de zones
géopolitiques instables est un risque, la modification d'une tarification
décidée par des instances européennes peut être un risque, un fournisseur
qui fait faillite peut être un autre risque, etc. Voilà donc autant de
risques qu'un projet doit gérer à défaut de contrôler.
Gestion (Management)
La gestion des risques passe par leur identification et par l'établissement de plans de mitigation. C'est le Project Management Office ou Project Support Office d'un projet qui en assure la documentation dans le répertoire qui leur est réservé.
N'importe quelle partie prenante d'un projet, ou même d'un programme (ensemble de projets), peut participer à l'identification des risques. Néanmoins, il est indispensable de garder les risques dans la sphère où ils apparaissent. Si un risque est identifié à un niveau inférieur, il est d'abord adressé à ce niveau. Ensuite, le risque peut être remonté à un niveau supérieur s'il ne trouve pas de mitigation acceptable. Il s'agit donc de respecter la ligne de responsabilité fonctionnelle (à distinguer de la ligne hiérarchique). Si vous me permettez un exemple simple mais très significatif (que j'ai d'ailleurs déjà utilisé de nombreuses fois), je vous dirais que si l'objectif à atteindre est d'accoster sur l'autre rive du fleuve au moyen d'une barque et si le responsable de l'opération est le sergent de service, mais que celui–ci a à son bord un général, il est inutile de mentionner le risque d'instabilité de la barque au général : c'est au sergent qu'il faut s'adresser. Dans le cas présent, si la barque n'arrive pas de l'autre côté, l'effet peut s'avérer catastrophique car le général devait peut-être diriger une opération militaire d'envergure influençant carrément le sort de toute une bataille.
Répertoire (Repository)
Les risques sont rassemblés dans un "dépôt" où ils sont dûment identifiés.
Ils y sont référencés sous un numéro unique. Idéalement, il s'agit d'une
base de données, relationnelle ou non, mais il peut très bien s'agir d'une
feuille Excel, d'un fichier XML, ou même d'un fichier plat.
Caractéristiques (Properties)
Pour que le risque identifié puisse être géré correctement il est habituel de l'affubler d'un ensemble de caractéristiques. Il est hautement souhaitable que ces caractéristiques puissent être mesurées le plus précisément possible. Mais évidemment, ce n'est pas toujours possible. Prenez l'exemple d'un être humain : certes vous pouvez caractériser cet être humain en termes de taille, poids, force physique, tension artérielle, etc. Mais quid de son caractère psychologique? La même difficulté se rencontre dans la gestion des risques. Voici néanmoins les "propriétés" les plus usitées :
- Statut : Indique le statut dans lequel le risque se trouve.
Il est habituel de considérer les status suivants :
- Brouillon (draft) : l'information récoltée n'est pas complète; le risque mentionné ne doit pas encore être pris en compte.
- Ouvert (raised) : le risque est documenté et peut être partagé avec l'ensemble des parties prenantes. Il n'a pourtant pas encore été assigné à qui que ce soit.
- Abandonné (cancelled) : le risque est invalide et est abandonné.
- Assigné (assigned) : le risque a été assigné à quelqu'un qui est responsable de sa mitigation.
- Fermé (closed) : le risque a été adressé.
- Accepté (closed) : le risque a été accepté : il est considéré comme acceptable.
Quand le risque est fermé (statut closed) on doit clairement indiquer les raisons qui nous ont poussés à fermer le risque. On ferme un risque si la mitigation nous a par exemple portés à accepter le risque, à le limiter, à le transférer, à l'éviter, etc. Une fois encore, pour en arriver à un système mesurable, on essayera dès lors de fixer des valeurs prédéfinies pour la fermeture du risque :
- Évitement (avoidance) : le risque est éviter en éliminant sa cause et/ou en s'attaquant à ses conséquences.
- Limitation (mitigation) : le risque est limité grâce à des actions qui en limitent les influences. On se protège contre ses effets.
- Transfert (transfer) : le risque est reconnu et on prend des actions qui visent à le transférer sur une autre partie (par exemple en prenant une assurance).
- Acceptance (acceptance) : le risque est accepté (c'est un risque acceptable
- Catégorie : La zone du projet à laquelle le risque est associé. Les zones
habituelles auxquelles les risques peuvent être rattachés sont :
- Calendrier (timeline)
- Budget
- Couverture (scope)
- Ressources humaines (staffing)
- Disponibilité (availability)
- Compétences (expertise)
- Gouvernance
- Vision et stratégie
- Livraison (capacité à livrer)
- Utilité (benefits)
- Sévérité : La gravité de l'impact négatif du risque. Pour mesurer correctement
un risque on utilise encore des valeurs prédéfinies : souvent de
1 à 5.
- = Mineur (1)
- = Modéré (2)
- = Significatif (3)
- = Majeur (4)
- = Catastrophique (5)
- Vraisemblance : La vraisemblance est la probabilité que le risque se matérialise.
Cette valeur est à distinguer de la sévérité en ce qu'un risque
peut n'avoir qu'une chance infime de se présenter, et s'il se présentait
avoir un impact catastrophique. Pensez par exemple à la catastrophe
(sévérité) que peut provoquer un tsunami comparée à sa probabilité
(vraisemblance). Une fois encore, on donne souvent des valeurs
de 1 à 5 pour caractériser la probabilité qu'a un risque de
se matérialiser :
- = Très peu probable (1)
- = Peu probable (2)
- = Probable (3)
- = Fort probable (4)
- = Certain (5)
- Impact : C'est une combinaison de la sévérité et de la vraisemblance. Vous
pouvez aisément créer une grille de combinaisons qui calcule
automatiquement l'impact. Quand l'impact est calculé, on lui donne
généralement les valeurs suivantes :
- = Bas (1)
- = Moyen (2)
- = Haut (3)
- = Critique (4)
Rapportage (Reporting)
L'ensemble des risques est suivi dans le Project Status Report. À chaque risque sont associés des valeurs qui le caractérisent (voir caractéristiques). Les risques sont indiqués avec une couleur représentative de leur impact. L'impact est calculé de manière documentée (et donc mesurable).
Autorité (Access authorities)
A priori, n'importe quelle partie prenante (stakeholder) d'un projet peut entrer un risque dans le répertoire où ils sont stockés. Celui qui a entré le risque dans le répertoire est connu comme l'auteur du risque (Originator).
La personne qui est responsable de la résolution du risque, cad son acceptation ou sa clôture, est appelée le propriétaire (Owner).
Une personne qui est sollicitée pour fournir de l'information concernant le risque est appelée un Actionee.
Notification
Afin de garder la communication la plus transparente possible dans le cadre du projet, il est nécessaire de tenir informées un certain nombre de personnes. Celles–ci seront mentionnées dans la liste de notification (Notify list).
Problèmes (Issues)
Définition
Un problème (issue) est une obstruction qui affecte la capacité du projet à atteindre son but final et pour lequel on a besoin d'aide, soit parce que la décision ne nous appartient pas, soit parce que la solution n'est pas identifiée. Un problème peut être un risque qui s'est matérialisé ou un événement imprévu qui s'est produit. Le problème existe tandis que le risque est un problème qui n'a une potentialité.
Autorité (Access authorities)
A priori, n'importe quelle partie prenante (stakeholder) d'un projet peut entrer un problème. Celui qui a entré le problème dans le répertoire est connu comme l'auteur du problème (Originator) … c'est–à–dire celui qui a rédigé la description du problème (pas celui qui est la personne qui est la cause du problème).
La personne qui est responsable de la résolution du problème est appelée le propriétaire (Owner).
Une personne qui est sollicitée pour fournir de l'information concernant le problème est appelée un Actionee.
Notification
Afin de garder la communication la plus transparente possible dans le cadre du projet, il est nécessaire de tenir informées un certain nombre de personnes des problèmes qui apparaissent. Celles–ci seront mentionnées dans la liste de notification (Notify list).
Caractéristiques (Properties)
Pour que le problème identifié puisse être géré correctement il est habituel de l'affubler d'un ensemble de caractéristiques. Il est hautement souhaitable que ces caractéristiques puissent être mesurées le plus précisément possible. Mais évidemment, ce n'est pas toujours possible. Prenez l'exemple d'un être humain : certes vous pouvez caractériser cet être humain en termes de taille, poids, force physique, tension artérielle, etc. Mais quid de son caractère psychologique? La même difficulté se rencontre dans la gestion des risques. Voici néanmoins les "propriétés" les plus usitées:
- Statut : indique le statut dans lequel le risque se trouve.
Il est habituel de considérer les status suivants :
- Brouillon (draft) : l'information récoltée n'est pas complète; le problème mentionné ne doit pas encore être pris en compte.
- Ouvert (raised) : le problème est documenté et peut être partagé avec l'ensemble des parties prenantes
- Abandonné (cancelled) : le problème est invalide et est abandonné.
- Assigné (assigned) : le problème a été assigné à quelqu'un qui est responsable de son analyse. Cette personne doit établir un plan d'action. Les personnes qu'il désigne pour participer au plan d'action sont les "Actionees". Chaque action du plan d'action est identifiée et possède son propre statut.
- Fermé (closed) : le problème est résolu.
- Catégorie : La zone du projet à laquelle le problème est associé. Les zones
habituelles auxquelles les problèmes peuvent être rattachés sont :
- Calendrier (timeline)
- Budget
- Couverture (scope)
- Ressources humaines (staffing)
- Disponibilité (availability)
- Compétences (expertise)
- Gouvernance
- Vision et stratégie
- Livraison (capacité à livrer)
- Utilité (benefits)
- Sévérité : La gravité de l'impact négatif du risque. Pour mesurer correctement
un risque on utilise encore des valeurs prédéfinies : souvent de
1 à 5.
- = Mineur (1)
- = Modéré (2)
- = Significatif (3)
- = Majeur (4)
- = Catastrophique (5)
- Vraisemblance : La vraisemblance est la probabilité que le risque se matérialise.
Cette valeur est à distinguer de la sévérité en ce qu'un risque
peut avir ne chance infime de se présenter, et s'il se présentait
avoir un impact catastrophique. Pensez par exemple à la catastrophe
(sévérité) que peut provoquer un tsunami comparée à sa probabilité
(vraisemblance). Une fois encore, on donne souvent des valeurs
de 1 à 5 pour caractériser la probabilité qu'a un risque de
se matérialiser :
- = très peu probable (1)
- = peu probable (2)
- = probable (3)
- = fort probable (4)
- = certain (5)
- Impact : C'est une combinaison de la sévérité et de la vraisemblance. Vous
pouvez aisément créer une grille de combinaisons qui calcule
automatiquement l'impact. Quand l'impact est calculé, on lui donne
généralement les valeurs suivantes :
- = Bas (1)
- = Moyen (2)
- = Haut (3)
- = Critique (4)
Différences entre risques et problèmes
Il n'est pas rare de ne pas faire la distinction entre les risques (risks) et les issues (issues). La différence peut paraître subtile et elle est pourtant fondamentale : des risques décrivent ec qui pourrait se passer si … tandis que les issues décrivent ce qui s'est déjà produit. Ce n'est donc que normal si souvent les problèmes ont d'abord été décrits comme des risques. C'est selon moi, la raison essentielle pour laquelle on les confond.
Grille de calcul de l'impact
La présente grille est applicable tant à la gestion des risques (risks) qu'à la gestion des problèmes (aussi appelés problèmes) (issues) :
| Vraisemblance | Sévérité | ||||
|---|---|---|---|---|---|
| Mineur (1) |
Modéré (2) |
Significatif (3) |
Majeur (4) |
Catastrophique (5) |
|
| Très peu probable (1) | Bas (1) | Bas (1) | Moyen (2) | Moyen (2) | Haut (3) |
| Peu probable (2) | Bas (1) | Moyen (2) | Moyen (2) | Haut (3) | Haut (3) |
| Probable (3) | Moyen (2) | Moyen (2) | Haut (3) | Haut (3) | Critique (4) |
| Fort probable (4) | Moyen (2) | Haut (3) | Haut (3) | Critique (4) | Critique (4) |
| Certain (5) | Haut (3) | Haut (3) | Critique (4) | Critique (4) | Critique (4) |
Bien entendu, cette grille de calcul se veut être une simple proposition. Elle peut être amendée par d'autres pratiques dans votre entreprise. Par contre, si rien n'existe déjà dans le cadre de votre travail journalier, vous pouvez utiliser ladite grille en toute confiance.
Comment FastWrite peut vous aider dans le Risk Management?
Notre gestion rigoureuse des risques et des problèmes (issues) permet aux entreprises qui font appel à nos services de découvrir les problèmes potentiels liés à leur activité de projets AVANT que ceux-ci ne se déclarent.
Notre approche pratique et transparente donne une plus-value indéniable aux services que nous offrons et permet aux entreprises d'éviter les surcoûts que les risques non traités font encourir aux organisations.
Par ailleurs, FastWrite utilise un outil automatisé pour la gestion des risques et problèmes: le programme de gestion développé par la société FastWrite … le programme Sentanaï.
