Lorsqu’on réalise le management des risques de son projet, il y a un document indispensable dont on ne peut pas se passer : le registre des risques.
Ce document est votre assistant au quotidien pour identifier, suivre et traiter les risques de vos projets.
Dans cet article, je vous explique en détails ce qu’est un registre des risques, à quoi il sert, comment et quand vous en servir.
Qu’est-ce qu’un registre des risques ? Définition
Un registre des risques est un tableau permettant d’identifier et d’évaluer des risques, de les prioriser en fonction de leur gravité et leur probabilité de survenance, et de suivre les plans d’atténuation de ces risques.
Il agit comme un référentiel sur chaque risque pour le chef de projet, le PMO ainsi que les parties prenantes clés.
Afin d’identifier et d’analyser les risques projet, vous devez faire une analyse qualitative et quantitative de chaque risque. La finesse de l’analyse dépend bien sûr de la taille du projet et de l’importance des incertitudes présentes, tant internes qu’externes.
La gestion des risques est une activité qui peut être très consommatrice en temps et en ressources. C’est pourquoi il est important de la mener en étant conscient des bénéfices / risques, afin d’éviter de perdre plus de temps que ce que ce travail vous ferait gagner.
A l’inverse (ce qui est bien plus fréquent), l’analyse des risques peut être bâclée voire passer à la trappe. C’est dans ces cas-là qu’un projet peut partir à la dérive, les solutions prises dans l’urgence étant rarement les meilleures.
A noter qu’un registre des risques est dit qualitatif quand la probabilité de survenance et l’impact sont hiérarchisés selon un niveau allant de Faible à Élevé. On dit qu’il est quantitatif lorsque ces deux informations sont chiffrées, en pourcentage pour la probabilité et en Euros pour l’impact.
La norme ISO 73:2009 (Gestion des risques) définit le registre des risques comme un « enregistrement d’informations sur les risques identifiés ». C’est donc un document de pilotage projet, qui fait partie du plan de management de projet, et qui doit être suivi par le gestionnaire du projet.
La norme ISO 31000:2009 n’utilise quant à elle pas le terme de registre des risques, mais spécifie toutefois que tous les risques du projet doivent être documentés.
Enfin, selon la méthode Prince2, le registre des risques est un document utilisé comme outil de gestion des risques et pour assurer la conformité réglementaire agissant comme un référentiel pour tous les risques identifiés et comprend des informations supplémentaires sur chaque risque : nature, probabilité, impact, propriétaire (responsable), mesures d’atténuation, etc…
Pour aller + loin : Je vous explique dans cet article en quoi le registre des risques et la matrice des risques sont différents.
A quoi sert un registre des risques ?
Les registres des risques ont pour objectif d’identifier, d’enregistrer, de traiter et de suivre les risques opérationnels, managériaux et stratégiques potentiels d’un projet.
Ce document permet entre autre :
- De maîtriser l’incertitude.
Gérer des risques, ça revient à gommer l’incertitude, ou en tout cas à la limiter. Votre projet est ainsi sous contrôle. - D’anticiper et d’éviter des situations conflictuelles.
Le tableau de suivi des risques permet de traiter en amont les risques et faire en sorte d’éviter qu’ils se produisent. Vous vous évitez ainsi bien des problèmes en cours de route, et vous et votre équipe serez bien plus efficace. - D’être proactif et d’agir sur les aspects du projet qui en ont le plus besoin.
Vous êtes capable d’identifier les points faibles du projet qui sont les plus à risque. C’est précisément là que vous devrez portez toute votre attention. Il s’agit d’ailleurs souvent de tâches sur le chemin critique du projet. - De prendre les bonnes décisions.
Vous pouvez prendre des décisions pour anticiper les risques, en mettant en œuvre des plans d’action adaptés.
Dans quel cas utiliser le registre des risques ?
Le registre des risques est une étape indispensable dans la gestion d’un projet. Ce document est initié dès la phase d’initialisation du projet, et vit et est mis à jour durant tout son cycle de vie, jusqu’à la phase de clôture.
Il s’utilise aussi bien pour de petits que des gros projets, peu importe leur complexité et le niveau d’incertitude.
Je vous conseille de ne pas bâcler cette étape et de mettre le paquet dessus, notamment lors de la phase de préparation du projet.
Tout ce que vous pourrez identifier vous permettra d’anticiper le plus de situations possibles, et d’éviter de nombreux désagréments lors de la réalisation de votre projet.
J’ai listé dans cet article les risques les plus courants en gestion de projet, afin que vous ayez une bonne base de travail.
Que doit inclure un registre des risques ?
Un registre des risques est un document qui doit contenir à minima les éléments suivants :
- Un numéro d’identification.
Il s’agit d’un numéro d’identification unique permettant de distinguer ce risque des autres. La manière de les numéroter est libre. Personnellement, j’aime bien les numéroter R1, R2, R3 pour les risques principaux, et T1-1, R1-2, R2-1, pour les risques découlant de ces premiers. - Le nom du risque ainsi qu’une brève description.
L’objectif est de pouvoir comprendre d’un coup d’œil de quoi il est question. Choisissez un nom court et évocateur, et rédigez une description si nécessaire. Faites en sorte que ces informations soient compréhensibles par d’autres personnes que vous, au cas où. - La catégorie ou la nature du risque.
La nature du risque décrit une catégorie de risque. Par exemple : technologique, opérationnel, juridique, RH, économique, etc… - Le propriétaire du risque.
Le propriétaire ou le risk owner est la personne responsable de la gestion et du traitement du risque. Il peut s’agir de quelqu’un d’autre que le chef de projet, en fonction du plan d’action à mener pour limiter ce risque. - Le statut.
Il y a trois status possibles : « Ouvert » – le risque est identifié; « Avéré » – le risque s’est produit ; « Clos » – le risque est terminé, ne s’est pas produit ou ne se produira plus. - La gravité ou le niveau d’impact.
La gravité détermine les effets néfastes pour le projet si le risque devait se produire. On utilise généralement une échelle de 1 à 5, 1 étant insignifiant et 5 étant catastrophique. - La probabilité de survenance ou la vraisemblance.
La probabilité de survenance désigne les chances qu’à un risque d’apparaître. On utilise généralement une échelle de 1 à 5, 1 étant Improbable et 5 étant Très probable. - La criticité ou le score de notation.
Ce score permet de déterminer les priorités dans la gestion des risques. Il s’obtient en multipliant le niveau d’impact avec la probabilité de survenance. - La réponse à apporter.
Il s’agit de la stratégie de réponse à adopter. Par exemple, atténuer signifie mettre en place un plan d’action spécifique pour limiter les chances du risque de se produire, ou limiter ses impacts. Il existe 12 stratégies de réponse aux risques. - La stratégie de réponse détaillée.
Dans ce champ, vous détaillez votre plan d’action pour répondre aux risques identifiés.
En plus de ces éléments indispensables, vous pouvez également inclure des éléments optionnels, tels que :
- L’échéancier.
Parfois, un plan d’atténuation n’est valable que dans un timing bien défini. Si c’est le cas, vous pouvez inclure cette information dans votre tableau de suivi des risques projet. - Le déclencheur du risque.
Certains risques peuvent se déclencher uniquement lorsqu’une action spécifique se produit. Vous pouvez également la renseigner dans votre registre si vous la connaissez.
Comment créer un registre des risques ?
Pour créer un registre des risques, il existe de nombreux logiciels de gestion de projet qui intègrent un module de gestion des risques.
C’est apr exemple le cas de Yookkan, logiciel SaaS développé et hébergé en France, que je conseille régulièrement, ou encore d’Airsaas, qui permet de piloter un portefeuille de projets.
Gestion des risques dans Yookkan
Voici à quoi ressemble l’interface d’Airsaas.io
Mais vous pouvez également utiliser un tableur comme Excel, pour créer votre tableau de gestion des risques.
A qui s’adresse le tableau des risques ?
Le tableau de suivi des risques s’adresse avant tout aux gestionnaires de projet (chefs de projet, directeurs de projet, responsables de programme), ainsi qu’aux décisionnaires du projet et aux équipes support interne sur l’organisation, les méthodes et la cellule de management du risque si elle existe.
Par exemple, les registre de risques peuvent être collectés et compilés par un directeur du risque ou un PMO, afin de suivre les risques stratégiques de l’entreprise, et s’assurer que le pilotage des projets critiques est correctement réalisé.
Ceci dit, dans la plupart des situations, le registre des risques de l’entreprise et des projets s’adressent aux chefs de projet.
Qui est responsable du tableau des risques ?
Le registre des risques est un document généralement créé par le chef de projet ou le directeur de projet, lors de la phase d’initialisation.
C’est l’une des missions du chef de projet que de s’assurer que les risques sont identifiés, analysés, évalués en terme de probabilité de survenance et d’impact, et affectés à la bonne personne.
En effet, même si le chef de projet a la responsabilité de créer et de maintenir à jour le tableau de suivi des risques du projet, il n’a pas forcément la responsabilité de gérer et traiter l’intégralité des risques identifiés.
Ceux-ci peuvent être affectés à un propriétaire ou un risk owner spécifique. C’est par exemple le cas lorsque la stratégie de réponse au risque est de le transférer à un partenaire extérieur (sous-traitance), ou de l’escalader (pour qu’un directeur s’en saisisse).
Limites des registre de risques
Réaliser une bonne gestion des risques peut propulser votre projet vers la stratosphère.
Mais mal utilisé, un registre des risques peut toutefois amener plusieurs inconvénients :
- Identifier l’ensemble des risques d’un projet demande de l’expérience.
Pour identifier et évaluer les risques projet, cela demande de l’expérience, notamment sur des projets complexes. Je vous recommande de vous faire la main sur de petits projets, en faisant une analyse qualitative (probabilité et impact estimés de Faible à Élevé). - Ce n’est pas parce que les risques sont répertoriés que l’on agit.
Il est nécessaire ensuite d’implémenter des plans d’action cohérents pour atténuer voire supprimer les risques listés dans ce tableau de suivi des risques. Parfois, le management peut être réticent à agir, notamment pour les risques sur lesquels le chef de projet n’a pas la main. - Créer un registre quantitatif demande beaucoup de temps.
Il s’agit ici d’estimer le pourcentage de changes qu’à un risque de se produire et d’analyser en détails les impacts en € d’un risque s’il venait à se produire. il est nécessaire d’analyser les bénéfices / risques avant de faire ce travail, et de le réserver aux projets les plus complexes. - Pour être efficace, il faut choisir la bonne réponse.
identifier un risque et l’inscrire au registre, ce n’est pas tout. Il faut ensuite choisir la bonne réponse pour pouvoir le prévenir efficacement. Il existe 7 réponses possibles à un risque, et 5 à une opportunité.