II- Analyse de risque
La phase d'analyse vise à convertir les informations et
données sur le risque recueillies au cours de la phase d'identification.
Une fois cette analyse complétée, il sera alors possible, sur la
base des résultats obtenus, d'identifier une stratégie de
mitigation et de contingence pour chaque risque et de définir les
mesures appropriées.
Pour y arriver, la phase d'analyse doit inclure les trois
activités suivantes :
§ Une évaluation des attributs de chaque risque
notamment sa probabilité (ou sa fréquence), son impact s'il
survenait et le délai disponible avant de devoir faire quelque chose;
§ Une classification des risques identifiés afin
de définir un ensemble de mesures cohérentes pour les
gérer;
§ Un ordonnancement des risques en fonction de leur
priorité afin d'être en mesure de déterminer quels risques
seront abordés en premier.
La phase d'analyse des risques constitue un processus continu
d'examen des conditions et contraintes qui affectent le projet, des nouveaux
risques qui surviennent au cours de son déroulement et des
priorités qui évoluent. Une communication libre permet d'assurer
que l'analyse soit effectuée en tenant compte de toute l'information
disponible et contribue ainsi à établir un appui solide pour la
planification de mesures de mitigation et de contingence. Une vision
orientée vers l'avenir contribue à faire en sorte que l'analyse
soit effectuée en portant une attention particulière à
l'impact à long terme des risques. Finalement, une vision commune jointe
à une perspective globale permet d'analyser les risques dans un contexte
élargi à la clientèle visée par le produit ou le
service faisant l'objet du projet, aux besoins exprimés par la
clientèle et aux objectifs de l'organisation.
Les entrées et les sorties de la phase d'analyse sont
présentées dans le diagramme suivant :
Détail de la phase d'analyse
Les entrées de la phase d'analyse sont les fiches de
risque résultant de la phase d'identification et d'une liste des risques
qui constitue en quelque sorte la table des matières des fiches en
question.
À partir de ces entrées, une évaluation
de chaque risque est effectuée et à partir des résultats
obtenus, les risques sont classifiés selon des critères
préalablement établis et consolidés de façon
à faciliter l'identification de leurs liens de dépendance et
l'élaboration d'approches génériques de mitigation et de
contingence. Le niveau de détail avec lequel cette évaluation est
entreprise dépendra de l'importance du risque (un risque hautement
susceptible de se matérialiser et pour lequel l'impact est
élevé fera vraisemblablement l'objet d'une évaluation plus
détaillée) et correspondra à ce qui est nécessaire
et suffisant pour être en mesure d'identifier une stratégie de
mitigation et de contingence, de planifier les mesures subséquentes et
de faire le suivi de leur mise en oeuvre.
D'autres facteurs pourront être pris en
considération au besoin, par exemple la culture organisationnelle
(s'agit-il d'une organisation où la prise de risques est
encouragée ou s'agit-il d'une organisation hautement
hiérarchisée où les décisions doivent être
entérinées par le personnel aux échelons supérieurs
?), les directives internes, les normes en vigueur dans l'organisation et les
conditions imposées par le client.
Les sorties de la phase sont les fiches de risques
classifiées en fonction de critères d'analyse
pré-établis et la liste des risques qu'il faudra aborder dans un
premier temps. Les fiches en question sont rangées dans un
répertoire qui constituera en quelque sorte une banque de connaissances
sur les problèmes potentiels auxquels les projets entrepris par
l'organisation sont exposés.
Les trois activités de la phase d'analyse sont
décrites ci-après.
1) L'évaluation des attributs des risques
Les attributs d'un risque sont au nombre de trois, soit :
§ la probabilité (ou la fréquence) d'un
risque;
§ l'impact d'un risque;
§ le délai d'intervention avant l'impact d'un
risque.
v Probabilité (ou fréquence) d'un
risque
Le premier attribut caractérisant un risque est la
probabilité qu'il survienne. S'il s'agit d'un risque
opérationnel, c'est-à-dire d'un risque susceptible de se
répéter de projet en projet, on pourra également parler de
fréquence. Ainsi, au lieu de qualifier en termes de probabilité
le risque que les intervenants concernés ne soient pas informés
des événements qui les affectent au cours de la
réalisation du projet, on pourra qualifier l'événement de
chronique, occasionnel ou rare.
Exprimé en termes de probabilité, ceci est
équivalent à qualifier le fait que si un événement
significatif survient, la probabilité est très
élevée, faible ou très faible que les intervenants
concernés n'en soient pas informés. Une échelle permettant
d'évaluer la probabilité qu'un risque survienne est
illustrée ci-après. Cette probabilité peut être
exprimée par un énoncé d'incertitude, un ordinal ou une
valeur entre 0 et 1.
|
Qualitatif
|
Enoncé d'incertitude
|
Ordinaux
|
Quantitatif
|
|
Très élevé
Elevé
Moyen
Faible
Très faible
|
Presque certainement.
Très probable.
Probable,
Possible,
Probablement,
Sans doute.
Aléatoire,
Douteux,
Probablement pas.
Impossible,
Douteux,
Probablement pas.
Très improbable
Invraisemblable.
|
5
4
3
2
1
|
> 80 %
61 - 80 %
41- 60 %
21 - 40 %
0 - 20 %
|
Exemple d'échelle de probabilité
d'un risque
Une mise en garde s'impose en rapport avec l'utilisation
d'ordinaux pour représenter une probabilité : ceux-ci ne sont
généralement mis a contribution que pour associer une valeur
numérique à un énoncé d'incertitude. Une
probabilité ne peut en effet être supérieure à 1 ou
inférieure à 0.
v Impact d'un risque
Le deuxième attribut caractérisant un risque est
son impact, c'est-à-dire la perte subie si le risque survient. L'impact
est souvent exprimé par le montant (ou un terme qualifiant ce montant)
qu'une organisation est disposée à débourser afin
d'éviter que le risque se produise. Ce montant variera en fonction de la
criticité du risque et de facteurs non monétaires comme la
culture organisationnelle et la détérioration de l'image de
l'organisation si le risque survenait. Ainsi, dans le domaine de
l'énergie nucléaire, une entité aux Canada et aux
États-Unis sera généralement prête à
débourser 11 millions $ pour éviter un décès
dû à une fuite de matériel radioactif.
L'impact peut être évalué pour plusieurs
dimensions (impact budgétaire, impact sur le calendrier, impact sur la
performance du système, etc.), tel qu'illustré ci-après
pour des projets majeurs (durée de 2 ans et plus ou coût de 5 M $
et plus).
|
Général
|
Coût
|
Calendrier
|
Technique
|
|
Faible
Modéré
Elevé
Critique
|
Moins de 5 % de dépassement
Moins de 10 % de dépassement
Moins de 25 % de dépassement
25 % et plus de dépassement
|
Retard de 1 mois
Retard de moins de 3 mois
Retard de moins de 6 mois
Retard de plus de 6 mois
|
Peu d'impact sur la performance
Peu d'impact sur la performance
Grave impact sur la performance
Le projet ne peut être accompli
|
| 
