La matrice des risques est justement un outil d'analyse qui permet d'évaluer la probabilité et la gravité de chaque risque potentiel sur une échelle de 1 à 25, soit d'un degré d'impact faible à important. Une fois l'attribution faite, il suffit de les représenter visuellement dans une matrice pour en calculer les répercussions à travers leur incidence générale. Les résultats obtenus permettront de les hiérarchiser en conséquence et de les gérer plus facilement et efficacement.
Les types de risques
Pour évaluer les risques, il faut donc les lister pour les représenter dans la matrice. Pour identifier tous les risques possibles, il faut analyser ce qui est lié au calendrier, au budget, aux ressources et aux contraintes en analysant la portée du projet. Pour lister toutes les situations à risques possibles qui mettraient en péril les objectifs à atteindre, les techniques de brainstorming, les cartes heuristiques ou le starbusting.
Les catégories de risques dépendent du secteur d'activité, les plus courants sont les suivants :
- Risque stratégique : concerne les problèmes de performances et de mauvaises décisions comme le choix du fournisseur ou de l'utilisation d'un logiciel plus qu'un autre.
- Risque opérationnel : concerne des erreurs de processus ou de procédure comme le manque de communication ou une mauvaise planification.
- Risque financier : concerne les événements qui entraînent des pertes de bénéfices comme les évolutions du marché, les actions en justice et la concurrence.
- Risque technique : concerne ce qui a trait à la technologie de l'entreprise comme les failles de sécurité, les pannes diverses (électricité, internet, matériel).
- Risque externe : concerne les imprévus qui ne peuvent être contrôlés comme les inondations, les pandémies, les incendies et les catastrophes naturelles.
- Risque juridique : poursuites judiciaires, nouvelles législations, faillite fournisseurs.
- Risque lié à la fabrication : chaîne de fabrication en panne, mauvaises séries, dépassements de délais.
- Risque humain : incendie involontaire, arrêts de travail.
Ensuite pour chaque risque listé, il faut les évaluer et les consigner dans un registre qui réunit la nature du risque, son descriptif, sa gravité potentielle, le nom du responsable de la prévention de ce type de risque, les actions préventives et correctives envisagées.
Création de la matrice des risques
Il faut commencer par définir la taille de la matrice qui déterminera la précision de l'analyse. Au minimum, elle se compose de 3 lignes et 3 colonnes, mais en général, ce sont des modèles qui s'appuient sur une matrice des risques 5 X 5.
Les cinq échelles de gravité des colonnes de la matrice permettent de mesurer la gravité des conséquences de chaque risque et les cinq échelles de probabilités des lignes de la matrice estiment la probabilité que se produise chaque risque.
Pour classer les risques selon leur gravité, il faut se poser la question de la pire conséquence possible qu'il pourrait entraîner et ses pires dommages et la difficulté pour s'en remettre. Puis, il faut déterminer le niveau de gravité qui correspond le mieux entre les cinq niveaux de gravité suivants :
- Négligeable (1) : Peu de conséquence.
- Mineur (2) : Conséquences faciles à gérer.
- Modéré (3) : Conséquences mettront du temps à être atténuées.
- Majeur (4) : Conséquences importantes avec des possibilités de dommages à long terme.
- Catastrophique (5) : Conséquences néfastes, probablement difficiles de s'en remettre.
Ensuite, il faut estimer la probabilité de chaque risque en se demandant si le risque s'est déjà produit ou similaire et à quelle fréquence pour définir si le risque peut véritablement se produire et sa probabilité à travers les cinq niveaux de probabilité :
- Très probable (5) : Risque qui se produira très certainement à un moment donné.
- Probable (4) : Fortes chances que le risque se produise.
- Possible (3) : Risque qui peut se produire, mais pas nécessairement.
- Peu probable (2) : Peu de chance que le risque se produise.
- Très improbable (1) : Peu de chance que cela se produise.
En représentant le risque en fonction de sa gravité et de sa probabilité, on peut déterminer le degré d'impact de chacun des risques. Dans la matrice, elle répond à un code couleur allant du vert au rouge sur une échelle de 1 à 25. Pour calculer le degré d'impact du risque, la formule est la suivante : Probabilité X gravité = impact du risque.
- Faible (1 à 6) en vert : Peu de chance de se produire, sans graves conséquences. Non prioritaire.
- Moyen (7 à 12) en jaune-orange : Peut ralentir le projet. Nuisible, mais peut être atténué et prévenu. Il suffit de prendre les mesures nécessaires. Pas à prendre à légère, mais pas une priorité absolue.
- Élevé (13 à 25) en rouge : Peut mettre en péril le projet. Risque avec des conséquences graves. Prioritaire dans le plan de gestion des risques.
Puis quand chaque risque est associé à son degré d'impact, les risques prioritaires sont identifiables et permettront d'élaborer un plan d'action de réponse aux risques qui répertoriera les mesures de prévention et d'atténuation.
- Analyse des risques d'un SMQ en matière d'audit interne en utilisant l'AMDEC processus
- La gestion des risques dans un projet de fusion/acquisition
- Contrôle de gestion : savoir gérer les risques au sein d’une entreprise
Exemple :
Les risques à identifier :
- Un risque de faille de sécurité (R1) : une gravité majeure (4) et une probabilité très probable (5).
- Un risque de catastrophes naturelles (R2) : une probabilité possible (3) et une gravité catastrophique (5).
- Un risque de logiciel obsolète (R3) : une probabilité possible et une gravité mineure (2).
- Un risque de grève (R4) : une probabilité probable (4) et une gravité modérée (3).
- Un risque de poursuites pour licenciement abusif (R5) : une probabilité peu probable (2) et une gravité majeure (4).
Ainsi, les risques R1 et R2 ont un degré d'impact élevé sur le projet qui sont à prioriser pour les éviter ou les solutionner dans les plus brefs délais. Les risques R4 et R5 ont un degré d'impact acceptable, mais qui peut avoir des incidences non négligeables, à surveiller. Tandis que le risque R3 à un impact faible.
Pour conclure, la matrice des risques est un outil indispensable à tout projet pour limiter l'impact de risques potentiels en classifiant et déterminant les risques prioritaires. La mesure de la criticité des risques permet efficacement et rapidement de mettre en place les actions préventives et correctives nécessaires. Cependant, il est important de prendre en compte les évolutions possibles des risques au fur et à mesure du déroulement du projet. La société est en constante mouvance que ce soit au niveau technologique, environnemental ou humain et par conséquent les risques associés. Idéalement, il faut donc faire un point annuel des risques pour rester à la page et à l'affût des changements qui pourraient mettre en péril le projet. Une vision claire et organisée des menaces est un incontournable pour mener à bien son projet sereinement.