RiskManagement ISO31000 - Oct2018

Risk Management
selon la norme ISO 31000

Octobre/Novembre 2018
Formation animée par Sid-Ali HAMIZI
Adresse : 11 rue Frères Meslem, 2ème Étage, Alger centre.

• Ce document est incomplet sans les commentaires de l’animateur
accompagnant la présentation.
Risk Management selon ISO 31000 - Novembre 2018 2

Sid-Ali HAMIZI, Ingénieur
Ingénieur d’État en télécommunications.

Consultant en management depuis plus de 20 ans et formateur depuis plus de 10
ans.
Domaines d’émergence :
• Management de projet
• Systèmes d’information pour gestion de projets
Intérêt particulier pour la formation et la mise en œuvre de systèmes de gestions et
outils pour améliorer le pilotage et la maîtrise des projets (outils pour la maîtrise
des délais, la maîtrise des coûts, la gestion des risques, l’exploitation des tableaux
de bord, …).
Interventions auprès d’entreprises :
• De travaux publics ;
• Des hydrocarbures ;
Tél. : 0661.558.848 e-mail : sa.hamizi@gmail.com

Présentations
Vous ?
Votre milieu de travail
Quelque chose qui vous est particulier
Vos attentes
• Qu’est ce que vous aimerez le plus retirer de votre participation à cette formation ?

Éléments d’organisation
Horaires de formation
Pauses cafés – Pause déjeuner
Feuille de présence
Téléphones
Évaluation du cours

Objectifs de la formation
À l’issue de ce cours vous serez en mesure de :
• Intégrer le cadre du management des risques dans le processus de décisions et
d'organisation des activités de l'entreprise.
• Appréhender la veille liée au contexte interne et externe.
• Maîtriser les responsabilités de chacun et les ressources disponibles au niveau

stratégique et opérationnel.

Agenda Journée 1
Introduction au ʺRisk Managementʺ
• Prise de contact et présentation du programme.
• Qu’est-ce qu’un risque ?
• Qu’est-ce que le management de risque ?
• Concepts, définitions et terminologies du ʺRisk Managementʺ.
Vue globale sur le ʺRisk Managementʺ selon l’ISO 31000 ?

• Qu’est-ce que la norme ISO 31000 ?
• Termes et définitions spécifiques à l’ISO / IEC.
• Pourquoi avoir redéfini la notion de risque ?
• Qu’est-ce que le cadre organisationnel ?
• À qui cette norme est-elle destinée ?
• Comment cette norme pourra être mise en œuvre ?
Exercice : Réflexion collective

• Définition du risque et types de risques liés à HB Technologies.

Agenda Journée 2
Identification du risque.
• Outils d’identification : le brainstorming – la cartographie des risques.
Analyse du risque.
• Outils d’analyse du risque : le Current Reality Tree (CRT) – AMDEC/FMECA
Exercice
• S'initier à la modélisation cartographique.

Agenda Journée 3
Évaluation du risque.
• Outils d’évaluation : l’avis d’expert – le niveau de criticité.
Traitement du risque
• Identification et classement des solutions de traitement du risque.
Exercice
• Définir un plan de traitement d’un risque lié à HB Technologies.

Agenda Journée 4
Suivi et revue du risque.
• Établissement du registre des risques.
Communication sur les risques.

• La traçabilité et le reporting.
Synthèse et conclusions
• Synthèse des concepts clés à retenir.
• Questions clés à approfondir.

Une démarche interactive
Des questions
Vos réponses et votre expérience
Des données reflétant les bonnes pratiques des entreprises
Une réflexion sur les implications
Des illustrations

Introduction au
Risk Management

Les risques des temps anciens : simples et identifiables
• La gestion des risques s’appuie sur l’expérience et l’analyse
des évènements passés.
En premier lieu, des • De tout temps l’homme a été exposé à des risques, de tout
évidences temps l’activité humaine a généré des risques pour son
environnement.
• Le champ des risques se transforme continuellement.
L’humanité subit des risques redoutables.

• Mais peu nombreux et assez facilement identifiables.
− Prédateurs – maladies – famine – catastrophes naturelles…
La prévention tient alors de l’instinct de conservation
− À cette époque, le risque devient parfois opportunité.

Des découvertes majeures sont souvent les suites d’accidents.
Et la très lente évolution de l’environnement laisse à l’homme le temps de s’adapter et
d’améliorer sa protection.
Mais la situation bascule avec les temps modernes
L’ère industrielle marque une rupture dans l’évolution des risques.
• Les risques se multiplient, changent de nature et de dimension.
• La nature industrielle du risque se manifeste.
− Utilisation de nouvelles substances – nouvelles sources d’énergie –
mécanisation…
Jusqu’aux années 1970-1980 il existera un sentiment que ces nouveaux risques
méritent d’être courus.
• La technologie et l’industrialisation sont considérées comme nécessaires à la prospérité
de chacun.
La réparation des dommages • La faute n’est pas systématiquement recherchée.
nés du risque se répartit entre • Le fautif n’est pas systématiquement blâmé.
les parties en présence.
Cette acceptation du risque s’accompagne du développement du modèle

assurantiel et de l’actuariat.

Et le contexte se modifié à nouveau à notre époque.
Il s’est surtout complexifié…
Le modèle assurantiel entre en crise dans

les années 80.
• La fiabilité de l’actuariat suppose une
capacité à :
− Estimer les dangers ;
− Quantifier le nombre d’accident Ce qui s’avère de plus en
prévisibles ; plus complexe.
− Évaluer le coût financier des
dommages.
Il est aujourd’hui difficile d’identifier

• La complexité est dans toute les exhaustivement les risques.
dimensions.
− Politique – économique – • Centrale nucléaire de Fukushima.
sociologique – écologique. • Explosion de l'usine
de pesticides de Córdoba (Mexique).
Les conséquences liée à la complexité • Explosion à la centrale nucléaire de
peuvent parfois atteindre une ampleur Tchernobyl.
jusqu’alors insoupçonnée : • Fuite de gaz toxiques de l'usine de
pesticides Bhopal (Inde).

…dans un contexte juridique très pressant.
L’ampleur de certaines catastrophes a l‘homme lui-même (irrationnel, mythomane,
favorisé l’émergence d’un élément illuminé) ne serai-il pas la cause des risques
nouveau : et non plus seulement les technologies ?
• la responsabilité.
D’où un contexte juridique qui cherche la
Ce contexte crée des réflexes de protection
faute et individualise la peine.
et pousse au retranchement derrière une
Et une sphère médiatique créant un règlementation.
phénomène de loupe grossissante.
• Perception d’un monde
particulièrement dangereux, où
« on ne parle jamais des trains qui arrivent
l’accident n’est plus potentiel mais
à l’heure….C’est donc que tous les trains
certain. arrivent en retard »

Résultat : il devient beaucoup trop risqué de prendre des risques !
Les responsabilités associées au risque
semblent trop lourdes à assumer. Les médecins n’osent plus soigner, les inventeurs
• L’heure est à la précaution ! craignent d’inventer, les politiques hésitent à
décider…
Néanmoins, le concept risque est

désormais au cœur des préoccupations
des gestionnaires
• Le risque zéro n’existe pas. Gérer, c’est prendre des risques.
Prendre des risques, c’est accepter de rencontrer
des surprises : bonnes ou mauvaises
Ces risques faut-il les gérer

ou les subir ?

Rappels sémantiques sur les
normes ISO/CEI

Le vocabulaire de base des risques
L'événement redouté
Les sources de danger Le poids du hasard
Enjeux - Exposition au
Danger, menace Aléa - Incertitude
risque - Vulnérabilité
Les conséquences
Le risque Les moyens d'agir
Dommages – Gravité -
Parade, défense
Impact

Le vocabulaire de base des risques : les sources de danger
Danger, menace :
• c’est une source potentielle de dommages, selon l’AFNOR.
• Pour l'ISO, la menace est une cause potentielle d'un incident non désiré dont peuvent
résulter des dommages à un système ou une organisation [ISO/IEC 13335-1:2004]
[ISO/IEC 17799:2000].
Exemples de menaces sur les ressources d’un projet

• Un maître d’ouvrage qui paie en retard ;
• Budget sous-estimé ;
• Sous-traitance non fiable ;
• Planning non réaliste ;
• Facteur humain : démission de membres de l’équipe – compétences indisponible

Le vocabulaire de base des risques : le hasard
Aléa
• Qualifie tout événement, phénomène ou activité humaine imprévisible qui peut
provoquer la perte de vies humaines, des blessures, des dommages aux biens, des
perturbations sociales ou économiques ou la dégradation de l'environnement.
Incertitude
• Chose incertaine, mal connue, qui prête au doute.
• L'incertitude décrit toute situation en l'absence de certitude, que cette absence résulte
des variations naturelles et/ou de la compréhension imparfaite que l'on a des
phénomènes et des objets, soit par manque de connaissance, soit par manque
d'information.
• En management, l'incertitude est liée au fait qu'on s'intéresse au futur.

Le langage et la nature de l'incertitude

Nature de l’imprévisible

Le vocabulaire de base des risques : l’évènement redouté
Enjeux
• Ensemble des éléments (population, bâtiments, infrastructures, patrimoine
environnemental, activités et organisations) pouvant être exposés au danger.
• Les enjeux sont susceptibles de subir des dommages ou des préjudices sous l'effet d'un
danger. Les enjeux sont définis par leur valeur et leur vulnérabilité, dont la détermination
constitue une étape de l'évaluation des risques.
Exposition au risque
• Qualifie la situation dans laquelle les enjeux sont soumis au danger ou sont
susceptibles de subir les conséquences d'un aléa redouté.
Vulnérabilité
• Susceptibilité d'un système d'enjeux à subir des dommages sous l'action d'un danger.
• La caractérisation de la vulnérabilité ne fait pas l'objet d'une standardisation dans le
domaine de la gestion des risques. La vulnérabilité peut être attachée au degré relatif de
perte de valeur de l'enjeu quand il est affecté par un aléa de nature et d'intensité données.
Elle est généralement exprimée sur une échelle de 0 (pas de perte) à 1 (perte complète).
Elle correspond alors au niveau des dommages prévisibles engendrés par le
phénomène considéré (entre 0 et 100 %).

Le vocabulaire de base des risques : les conséquences
Dommages
• Conséquences d'un événement sur les biens, les personnes et les fonctions d'un
système. Les dommages peuvent être exprimés en termes humains, financiers,
économiques, sociaux ou environnementaux.
Gravité
• Mesure de l'intensité des conséquences susceptibles de résulter de l'occurrence
d'un événement indésirable (ou d'un aléa). La gravité peut aussi être utilisée en phase
de prévision : c'est alors une évaluation de l'impact probable du danger.
Impact
• Conséquences de l'événement affectant les enjeux. L'impact dépend de l'intensité de
l'aléa et de la vulnérabilité des enjeux. Dans le domaine des risques, l'impact est en
général négatif.

Et donc, qu’est-ce qu’un risque ?
Donnez votre définition …………………………..

Qu’est-ce qu’un risque ?
C’est un événement possible Autre définition

souhaité ou non souhaité • « Danger ou péril dans lequel
l’idée de hasard est accusée,
mais avec la perspective de
quelque avantage possible.
Il peut être une opportunité ou C’est en vue de ces
une menace avantages que l’homme
assume des risques, mais,
d’ordinaire, tout en s’assurant
le plus possible contre eux. »
− Dictionnaire de la langue philosophique
Il peut être connu ou inconnu par Paul Foulquié
C’est une perte (ou un gain)

potentielle, inhérente à une
situation ou une activité

La signification originale du risque est
associée au jeu.
• Quand nous prenons des risques, il y
a une chance de gagner et peut-être
le même niveau de chance de perdre.
En management, l'incertitude est
appréhendée comme un risque.
• Toute entreprise est
fondamentalement risquée

Évènement ou situation dont la concrétisation, incertaine, aurait un impact positif

ou négatif sur les objectifs du projet.
Une définition qui met l'accent sur les conséquences des risques sur un
projet.
• C’est la possibilité que le projet ne s'exécute pas conformément aux prévisions de
date d'achèvement, de coût et de spécifications, ces écarts par rapport aux
prévisions étant considérés comme difficilement acceptables, voire inacceptables.
Le risque peut être latent (il n'est pas encore manifeste), apparent (il se
manifeste) ou disparu (il ne peut plus se manifester).

L’incertitude est liée au futur
Une difficulté dans la gestion du risque : Le risque se situe dans le futur.
De cette notion de futur dérivent les notions :
• De possible,
• de probable,
• de potentiel et parfois de risque émergent
Le futur est une affaire de prospective mais aussi de croyance
• Vision déterministe (l'avenir est écrit) ;
• Vision non déterministe (nous pouvons influer de par notre volonté sur le futur).
Le risque prend une dimension différente selon l'horizon temporel considéré.
• le soleil va finir en naine rouge qui englobera la Terre et disparaître de manière quasi
certaine. Ce risque de disparition de notre planète prend une importance différente
selon que l'on se situe dans un avenir proche (il fera très probablement jour demain) ou
un avenir lointain.

Perception du risque

la perception du risque peut être entravée ou amplifiée par :
• des facteurs subjectifs, propres à chaque être humain,
• et même par des facteurs culturels ou conjoncturels propres à des communautés
humaines.
− Exemple : Le paquebot transatlantique TITANIC considéré par ses concepteurs
comme insubmersible
Nombre de passagers à bord : 2 230 personnes
Nombre de canots de sauvetage : 20
Capacité des canots : 1 178 personnes
Pourquoi la capacité des

canots était
inférieure à celles des
passagers à bord ?


Un enjeu, une incertitude (un risque, une opportunité), un
imprévisible

Qu’est-ce que le management du risque ?
Selon la démarche « conventionnelle» consiste en :
• L’identification des risques du projet ;
• L’analyse qualitative et quantitative des risques ;
• La Planification des réponses aux risques ;
• La surveillance et contrôle des risques.

Pourquoi un management des risques ?
Débat de groupe
• Les pour et les contre.

Un Risk Manager pour quoi faire ?
Le métier de risk manager s’imposé progressivement au sein des entreprises
comme une fonction stratégique.
• En Algérie le mouvement est plus récent mais clairement perceptible.
Sa mission
• un profil qui intervient en amont dans l'identification et la qualification des risques.
• Son rôle consiste à :
− déterminer les points de fragilité d'une entreprise ou d’un projet ;
− évaluer, anticiper et analyser les risques encourus ;
− effectuer des contrôles ;
− prévoir un plan de survie pour l'entreprise en cas de sinistre ;

Vue globale sur le ʺRisk
Managementʺ selon l’ISO 31000 ?

Qu'est-ce que l'ISO ?
C’est l’une des plus importantes Organisation internationale de normalisation
(ISO).
Fondée à Genève en 1947 et dont l'activité concerne la normalisation de tous les
domaines techniques et non techniques.
• à l'exception du génie électrique et électronique (sous la responsabilité de la
Commission électrotechnique internationale CEI).
Sur demande, l'ISO établit des comités techniques internationaux pour étudier et
résoudre des problèmes spécifiques de normalisation.

Repères historiques de l'ISO et de la gestion des risques
Plus de 60 comités techniques ISO et CEI distincts abordent des aspects de la
gestion des risques
27 juin 2002, Publication du Guide 73 – « Termes et Vocabulaires du Management

du risque ».
2004, le Comité Management Technique (TMB - Technical Management Board) de

ISO est approché par l’Australie et le Japon
15.11.2009, Publication de ISO 31000 & ISO Guide 73
27.11.2009, Publication de ISO/CEI 31010.

L'ISO 31000:2009
Fournit des principes et des lignes directrices générales sur le management du
risque.
N'est pas spécifique à une industrie ou un secteur donné.
Peut s'appliquer à tout type de risque, quelle que soit sa nature, que ses
conséquences soient positives ou négatives.
Peut Servir à harmoniser les processus de management du risque dans les
normes existantes et à venir.
N'a pas vocation à servir de base à une certification.

Pourquoi une norme 31000
Aujourd’hui, toute entreprise se trouve face à 2 objectifs a priori contradictoires :
• développer l’innovation (nouvelles technologies, démarches et organisations, nouveaux
produits, procédés et services, etc.) qui est source intrinsèque de risques,
• et garantir un haut niveau de sécurité aux citoyens.
Pour réconcilier ces objectifs, l’entreprise doit maîtriser ses risques. Et les
justifications de cette maîtrise doivent être fournies.
La norme ISO 31000 fournit un cadre général au Management du risque qui
englobe la problématique de la sécurité et l’inscrit au sein des multiples
préoccupations des organismes et des autres parties prenantes.
Elle propose une nouvelle définition du risque ; elle améliore le processus de
Management du risque ; elle favorise l’intégration du Management du risque dans
le système de Management de l’organisme ; elle introduit des principes qui pilotent
les choix des activités de Management du risque.

Pourquoi une nouvelle norme en Management des risques ?
Il existe de nombreuses normes ou documents métier concernant le risk
Management.
Souvent ces normes sont sectoriels : industrie pharmaceutique – industrie

alimentaire - industrie électronique - …
Or, la gestion des risques de systèmes sociotechniques complexes nécessite

d’aborder la question des risques d’un point de vue global.
La nouvelle norme ISO 31000 a tiré profit des échanges entre des experts
internationaux issus d’organismes très variés (industriels, administrations, ONG,
etc.) relevant de multiples secteurs d’activités.
L’ISO 31000 est une « norme chapeau » permettant d’établir un dialogue entre
les secteurs d’activité.

Qu’est-ce que l’ISO 31000 ?
L’ISO 31000 propose une approche générique du risk Management .
• L’ISO 3100 ne préconise pas de moyens opérationnels de mise en œuvre.
• L’ISO 3100 suggère de bonnes questions pour aborder le sujet complexe de la gestion
des risques et non de bonnes pratiques pour y répondre.
L’ISO 31000 concerne tout type d’organisme, de tous secteurs et de toutes tailles.
L’ISO 31000 n’a pas pour but d’uniformiser les pratiques, mais d’harmoniser les
démarches en termes de principes et de processus.
L’ISO 31000 est structurée en 4 grandes sections :

• la première définit le vocabulaire employé dans la norme ;
• la seconde établit les principes ;
• la troisième décrit le cadre organisationnel ;
• et la quatrième expose le processus de Management des risques.

Pourquoi avoir redéfini la notion de risque ?
Avant, le concept de « risque » a été assimilé à celui de danger . Sa maîtrise était
du ressort des techniciens.
La définition du terme « risque » s’est ensuite déplacée vers celle d’événement

probable ayant des conséquences.
La norme ISO 31000 définit le risque comme l’effet de l’incertitude sur l’atteinte des
objectifs.
• Cette définition impose de définir des objectifs d’une activité.

Quels changements dans le processus de Management du risque ?
Le processus générique de Management des risques proposé dans l’ISO 31000
reprend les activités classiques d’appréciation des risques :
• Identification – analyse - évaluation et de leur traitement.
La norme les complète par 3 autres activités :
• L’Établissement du contexte. définir en amont les paramètres fondamentaux

caractérisant l’environnement dans lequel s’effectue le Management du risque et les
valeurs de ces paramètres. L’environnement est tout d’abord externe à l’organisme.
• La Communication et concertation. Ces échanges concernent aussi bien les parties

prenantes externes que celles internes à l’organisme qui gère le risque.
• La surveillance et revue. Pour but de réévaluer le déroulement des activités de

Management des risques.

Pourquoi ériger des principes sur le Management du risque ?
Les implantations des processus de Management du risque sont issues des
activités du cadre organisationnel.
La norme ISO 31000 base la réalisation des processus sur 11 principes.
Ces principes affectent la façon de gérer les risques.
Exemple : la norme érige en principe que « le Management des risques doit créer
de la valeur ».
• Cette phrase ne doit pas être interprétée d’un point de vue financier.
• Elle exprime que l’ensemble des activités de gestion des risques mises en place
doivent contribuer efficacement à l’atteinte des objectifs de l’organisme afin de maîtriser
les effets de l’incertitude.

À qui cette norme est-elle destinée ?
Les personnes en charge de la mise en place des activités de Management des
risques au sein des organismes.
Les personnes définissant des pratiques (modèles, techniques, outils, guides,

etc.).
Les personnes chargées de gérer des risques particuliers.
Les personnes chargées d’évaluer les pratiques des organismes en matière de

Management des risques comme les autorités de contrôle (organismes de
certification, d’autorisation d’exploiter, etc.)

La norme ISO 31000 dans le système de gestion globale de
l’entreprise.
La gestion globale des risques est un élément essentiel d’un bon système de
gouvernance et de responsabilité organisationnelles.
C’est une approche systématique à l’échelle de l’organisation, qui contribue à la

réalisation par celle-ci de ses objectifs stratégiques par un processus dynamique
d’identification, d’appréciation, d’évaluation, de hiérarchisation et de contrôle des
risques dans toute l’organisation.

Qu’est-ce qu’un risque selon la norme 31000:2009
Risque = effet de l'incertitude sur l'atteinte des objectifs.
NOTE 1 Un effet est un écart, positif et/ou négatif, par rapport à une attente.
NOTE 2 Les objectifs peuvent avoir :
• différents aspects :par exemple buts financiers, de santé et de sécurité, ou
environnementaux
• différents niveaux : niveau stratégique, niveau d'un projet, d'un produit, d'un processus
ou d'un organisme tout entier.

Schéma synthétique de la norme ISO 31000
51
Les 11 principes du management des risques
1. Le management des risques crée de la valeur et la préserve.
• Le management des risques contribue de façon tangible à l'atteinte des objectifs et à
l'amélioration des performances de l’organisation, à travers la révision de son système
de management et de ses processus.
2. Le management des risques est intégré aux processus d’organisation.

• Le management des risques doit être intégrée dans le système de management
existant tant au niveau stratégique qu’au niveau opérationnel.
3. Le management des risques est intégré aux processus de prise de décision.

• Le management des risques est une aide à la décision pour faire des choix
argumentés, pour définir des priorités et pour sélectionner les actions les plus
appropriée
52
Les 11 principes du management des risques (2)
4. Le management des risques traite explicitement de l'incertitude.
• En identifiant les risques potentiels, l’organisation peut mettre en place des outils de
réduction et de financement des risques dans le but de maximaliser les chances de
succès et minimiser les possibilités de pertes.
5. Le management des risques est systématique, structuré et utilisé en temps utile .

• Les processus du management des risques devraient être cohérents à travers
l’organisation afin d’assurer l’efficacité, la pertinence, la cohérence et la fiabilité des
résultats.
6. Le management des risques s'appuie sur la meilleure information disponible.

• Pour un management des risques efficace, il est important de considérer et de
comprendre toutes les informations disponibles et pertinentes pour une activité, tout en
reconnaissant les limites des données et des modèles utilisés
53
7. Le management des risques est adapté.
• Le management des risques d’une organisation doit être adapté en fonction des
ressources disponibles – ressources de personnel, de finance et de temps – ainsi qu’en
fonction de son environnement interne et externe
8. Le management des risques intègre les facteurs humains et culturels .

• Le management des risques doit reconnaitre la contribution des personnes et des
facteurs culturels à la réalisation des objectifs de l'organisation.
9. Le management des risques est transparent et participatif.

• En impliquant les parties prenantes, internes et externes, lors des processus de
management des risques, l’organisation reconnait l’importance de la communication et
de la consultation lors des étapes d’identification, d’évaluation et de traitement des
risques.
54
10. Le management des risques est dynamique, itératif et réactif au changement .
• Le management des risques doit être flexible. L’environnement concurrentiel oblige
l’organisation à s’adapter au contexte interne et externe, spécialement lorsque de
nouveaux risques apparaissent, lorsque certains risques sont modifiés, tandis que
d'autres disparaissent.
11. Le management des risques facilite l'amélioration continue de l'organisation.

• Les organisations possédant une maturité en matière de management des risques sont
celles qui investissent à long terme et qui démontrent la réalisation régulière de ses
objectifs.
55
Le cadre organisationnel de management des risques
56
Vue globale du processus de Management des risques
57
Identification des
risques

Identification des risques – Quelles sont les exigences ?
L’identification des risques vise à identifier l’exposition du projet à l’incertitude.
Elle requiert une connaissance précise de :
• L’organisation du projet ;
• De son environnement : social – juridique - politique et culturel.
Elle requiert également de développer une solide compréhension
• de ses objectifs stratégiques et opérationnels,
• des facteurs critiques de succès et des menaces et opportunités qui s’y rapportent.
L’identification des risques requiert une approche méthodique pour garantir que
chaque activité significative du projet a été identifiée et que chaque risque qui en
découle a bien reçu une définition.
Toute volatilité associée à ces activités sera identifiée et classée dans une
catégorie.

D’OÙ VIENNENT LES ENJEUX ET RISQUES DE PROJET ?

D’OÙ VIENNENT LES ENJEUX ET RISQUES DE PROJET ?

IDENTIFICATION DES ENJEUX ET RISQUES ASSOCIÉS –
CONSTATS DU LEAN PROJECT MANAGEMENT
Les 9 pertes en projet *
• 1. Sous-utilisassions des talents ;
• 2. Attente «d’intrants» ;
• 3. Transfert de l’information (communication du quoi et comment) ;
• 4. Information superflue ;
• 5. Comportements déficients (ne pas écouter, ne pas parler) ;
• 6. «Perte des bonnes idées» ;
• 7. Livraison d’ouvrages non appréciés par le client (perception) ;
• 8. S’arranger avec les moyens du bord («Making do») ;
• 9. (Résistance au changement) – e.g. projets de réaménagements.
* Howell, Koskela, Macomber, Norman Bobek (traduit et adapté par C. Emond)

IDENTIFICATION DES ENJEUX ET RISQUES ASSOCIÉS –
CONSTATS DU RAPPORT CHAOS
* «Chaos Report» - Étude du Standish Group sur 23,000+ projets TI

http://www.standishgroup.com/sample_research/index.php

Exemples d’enjeux et de risques pouvant en découler
Enjeux et Risques de Gestion:
• Exemples: Besoins mal compris a priori, Définition insuffisante de l’envergure, des
objectifs visés et des livrables attendus, Manque de support de la haute direction,
Échéancier trop agressif, Absence d’une procédure de gestion des changements.
Enjeux et Risques Techniques/Technologiques
• Exemples: Technologie utilisée trop nouvelle/non-éprouvée, Technologie dépassée,
Incompatibilité d’éléments techniques utilisés, Enjeux et risques liés à la capacité de la
technologie développée et/ou à sa performance attendue, Essais techniques insuffisant
Enjeux et Risques Financiers/Ressources
• Exemples: Budget insuffisant, Dépassement de coûts, Manque de personnel expert,
Manque d’expérience et/ou de formation, Non disponibilité d’une ressource critique,
Défaut d’un fournisseur

Exemples d’enjeux et de risques pouvant en découler
Enjeux et Risques Humains (Conflits)
• Exemples: Conflits internes et luttes de pouvoir, Plan de communications insuffisant,
Organisation inefficace de l’équipe de projet, Conflits de personnalité
Enjeux et Risques d’affaires
• Exemples: Problèmes de commercialisation/valorisation, Performance du partenariat,
Insolvabilité du partenaire, Confidentialité, Propriété intellectuelle
Risques Opérationnels/Changements
• Exemples: Affectation de personnel fonctionnel clé au projet, Besoins de formation,
Restructuration face à l’utilisation de nouveaux processus et/ou outils.
Enjeux et Risques Externes
• Exemples: Émergence non prévue d’une technologie compétitive, Changements
macroéconomiques, Changements dans les conditions de marché, Changements
légaux et/ou règlementaires, Problèmes climatiques

IDENTIFICATION DES ENJEUX ET RISQUES ASSOCIÉS
LA TECHNIQUE : énoncé E3 (Environnement – Evènement – Effet)
Partie 1 Partie 2 Partie 3
• Décrire l’environnement • Décrire l’évènement • Décrire l’effet sur

du projet : susceptible de se produire l’objectif du projet.
• « En raison de ‘Préciser • ….un ‘Nommer et • ….et avoir un
l’environnement caractériser l’évènement’ ‘nommer et
actuel/projeté’ ….. pourrait se produire…. caractériser l’effet’
sur le projet.

Outils à utiliser avec la méthode E3
Brainstorming ;
Questionnaires ;
Comparaisons sectorielles; (benchmarking) ;
Ateliers d’appréciation des risques ;
Enquêtes sur les accidents ;
Audit et inspection.

Outils à utiliser avec la technique E3
Le top ten des risques
Les listes de risques publiées par des experts ou instituts spécialisés peuvent
apporter une aide appréciable à l’opération d’identification des risques.

OUTILS À UTILISER AVEC LA MÉTHODE E3
Diagramme cause à effet Ishikawa
Pour trouver des causes ou faire un remue-méninges structuré

Données de sortie de l’identification des risques : le registre des
risques
Le registre des risques doit être un document important du plan de management
du projet.
Le registre des risques doit contenir le résultat de tous les processus de
management des risque : identification – évaluation – définition des réponses –
surveillance et contrôle.
La préparation du registre des risques commence dans le processus
d’identification des risques. Il doit contenir au moins les informations suivantes ;
• Liste des risques identifiés ;
• Liste des réponses potentielles ;
• Facteurs (causes) fondamentaux du risque.

Données de sortie de l’identification des risques : la liste des
risques
Trois informations de base :
• N° du risque : ……….
• Identification (intitulé) : ………
• Classe :…………

Analyse et Évaluation des
risques

Hiérarchiser les risques
Il est impossible de traiter tous les risques
Mais… comment prioriser ? Quelles sont les priorités ?
L’analyse le permet.
• Selon l’ISO 31000 l’analyse du risque est le processus mis en œuvre pour comprendre
la nature d'un risque et pour déterminer son niveau.

Analyse des risques
Objectif de l’analyse des risques :
• Rassembler toute l’information essentielle nécessaire à la prise de décisions éclairées
au sujet des mesures à prendre pour éviter ou réduire les risques identifiés.
Étapes nécessaires de l’analyse des risques:
• Comprendre la nature du risque ;
• Déterminer le niveau de vraisemblance (probabilité d’occurrence) du risque ;
• Valider le niveau de criticité :
− Criticité = gravité * fréquence

Cartographie du risque
Gravité du risque
Majeure
Grave
Significative
Mineure
Probabilité
du risque
Improbable Rare Probable Très probable

Risques de pannes acceptables
pour un Pilote Automatique d’avion de transport civil

Autre échelle générique de probabilité d’occurrence
Source: PMBoK, PMI, 2000, 2004

Autre échelle générique d’impact
Extrait page 245, PMBoK, 3e édition, 2004

Analyse des risques
Echelle générique simple pour l’évaluation du risque.
• Faible : L’incidence et la probabilité ne sont que des suppositions. Le risque pourrait en
fait se situer sur n’importe quelle position de la matrice.
• Moyen : Les taux d’incidence et de probabilité sont jugés exacts à un niveau plus ou
moins un.
• Élevé : Les taux d’incidence et de probabilité sont jugés exacts.

Dernière étape de l’analyse: la mise en priorité

Traitement des
risques

Le traitement du risque selon l’ISO 31000
C’est le processus destiné à modifier un risque.
NOTE 1 Le traitement du risque peut inclure
• un refus du risque en décidant de ne pas démarrer ou poursuivre l'activité porteuse du
risque,
• la prise ou l'augmentation d'un risque afin de saisir une opportunité,
• l'élimination de la source de risque (3.5.1.2),
• une modification de la vraisemblance (3.6.1.1),

Cette logique peut se traduire par :
4 stratégies pour traiter le côté négatif d’un risque ou 3 stratégies pour
traiter son côté positif.
Quatre stratégies de traitement possibles
• Élimination complète du risque (ÉVITER)
• Transfert du risque à un tiers (TRANSFÉRER)
• Réduction du risque (ATTÉNUER)
• Acceptation du risque (ACCEPTER)
Pour les risques positifs (les opportunités)

• EXPLOITER : lorsque l’organisation souhaite concrétiser
• PARTAGER : Implique d’en remettre la maîtrise de cette opportunité à un tiers le plus
capable ;
• AMÉLIORER : cette réponse modifie la taille de l’opportunité en augmentant sa
probabilité et/ou son impact.

Stratégie d’évitement
Elle vise l'élimination totale du risque.
Elle doit être choisie pour tous les risques jugés intolérables par l’organisation.
Elle peut se traduire par :
• Une action sur la Ressource Humaine : formation + recrutement
• Une action sur le matériel : nouvelle technologie ;
• Une action sur l’organisation et les procédures ;
• ….

Stratégie d’atténuation
Agir directement et simultanément sur :
• la Ressource Humaine : formation + recrutement ;
• L’organisation, les procédures et les modes opératoires ;
• Le types d’équipement et sa technologie ;
• L’environnement (espace – agencement et aménagement - …..)

Stratégie de transférer à un tiers
Conclure une police d’assurance ;
Conclure un contrat de sous-traitance ;
Crée une joint-venture ou un consortium.

Surveillance et
revue des risques

La surveillance et la revue du risque selon l’ISO 31000
La surveillance : C’est la vérification, la supervision, l’observation critique ou
détermination de l'état afin d'identifier continûment des changements par rapport
au niveau de performance exigé ou attendu.
La revue : c’est l’activité entreprise afin de déterminer l'adaptation, l'adéquation et
l'efficacité de l'objet étudié pour atteindre les objectifs établis.

La surveillance et la revue du risque
Après la mise en œuvre du plan d’action d’élimination ou d’atténuation du risque, il
faut contrôler :
• Son exécution effective et son efficacité (exercices de simulations) ;
• La non création de nouveau risques.
Il faut également De plus réaliser régulièrement une nouvelle évaluation des

risques, afin de déterminer
• si les risques ont bien pu être éliminés définitivement ;
• ou si d’autres risques sont apparus depuis la dernière évaluation.
Il est indispensable d’effectuer à nouveau une évaluation des risques chaque fois
qu’il y a eu un changement dans l’entreprise (Changement organisationnel ou
réalisation d’un nouveau investissement)

Enjeux du processus de
surveillance et contrôle
Surveiller les enjeux identifiés et l’évolution de leur environnement
Veiller à l’exécution des plans de mitigation
Chercher des indicateurs (tendances liées au coût, à l’échéancier)
Communiquer les enjeux, les risques, les états de la situation et les plans

Mettre en place un système d’information pour la surveillance des
risques
Exemples de documents associés à la gestion des enjeux et risques :
• Plan de gestion des enjeux et risques
• Tableaux de type Excel résumant les enjeux/risques identifiés, leur importance, les
responsables et les mesures de mitigation (mis à jour en cours de projet)
• Enjeux/Risques par type (typologie des risques)
• Rapports sur les risques matérialisés (événements) et efficacité des mesures de
mitigation utilisées (leçons apprises)
• Rapport hebdomadaire
• Fiche de suivi mensuel
• Rapport de post mortem de projet.

Communication et
Concertation

Communication et Concertation selon l’ISO 31000
processus itératifs et continus mis en œuvre par un organisme afin de fournir,
partager ou obtenir des informations et d'engager un dialogue avec les parties
prenantes concernant le management du risque.
• NOTE 1 Ces informations peuvent concerner l'existence, la nature, la forme, la
vraisemblance (3.6.1.1), l'importance, l'évaluation, l'acceptabilité et le traitement des
aspects du management du risque.
• NOTE 2 La concertation est un processus de communication argumentée à double
sens entre un organisme et ses parties prenantes sur une question donnée avant de
prendre une décision ou de déterminer une orientation concernant ladite question. La
concertation est
− un processus dont l'effet sur une décision s'exerce
− par l'influence plutôt que par le pouvoir, et
− une contribution à une prise de décision, et non une
− prise de décision conjointe.

Communication de l’incertitude
Pourquoi les
communications,
c’est important !!
“Analyser objectivement un risque,
le rendre plus familier, lui faire face
de façon volontaire (etc.), rend en
fait ce risque plus petit .*”
*Covello & Sandman, 2001

Communication de l’incertitude
Buts des communications
* Rowan, K. E. (1995). What risk communicators need to know: An agenda for research. In B. B. Burelson
(Ed.), Communication yearbook/18 (pp. 300-319). Thousand Oaks, CA: Sage

Mettre en place un tableau de bord

MERCI DE VOTRE ATTENTION !
JE VOUS SOUHAITE BONNE CONTINUATION
• Si vous avez des questions, c’est le moment ... ?

RiskManagement ISO31000 - Oct2018

Загружено:

Сведения о документе

Оригинальное название

Авторское право

Доступные форматы

Поделиться этим документом

Поделиться или встроить документ

Параметры публикации

Этот документ был вам полезен?

Это неприемлемый материал?

Авторское право:

Доступные форматы

RiskManagement ISO31000 - Oct2018

Загружено:

Авторское право:

Доступные форматы

Risk Management

selon la norme ISO 31000

Adresse : 11 rue Frères Meslem, 2ème Étage, Alger centre.

Risk Management selon ISO 31000 - Novembre 2018 2

Ingénieur d’État en télécommunications.

Risk Management selon ISO 31000 - Novembre 2018 3

Risk Management selon ISO 31000 - Novembre 2018 4

Risk Management selon ISO 31000 - Novembre 2018 5

• Appréhender la veille liée au contexte interne et externe.

• Maîtriser les responsabilités de chacun et les ressources disponibles au niveau

Risk Management selon ISO 31000 - Novembre 2018 6

Vue globale sur le ʺRisk Managementʺ selon l’ISO 31000 ?

Exercice : Réflexion collective

Risk Management selon ISO 31000 - Novembre 2018 7

Risk Management selon ISO 31000 - Novembre 2018 8

Risk Management selon ISO 31000 - Novembre 2018 9

Communication sur les risques.

Risk Management selon ISO 31000 - Novembre 2018 10

Risk Management selon ISO 31000 - Novembre 2018 11

Risk Management selon ISO 31000 - Novembre 2018 12

L’humanité subit des risques redoutables.

La prévention tient alors de l’instinct de conservation

− À cette époque, le risque devient parfois opportunité.

Cette acceptation du risque s’accompagne du développement du modèle

Risk Management selon ISO 31000 - Novembre 2018 14

Le modèle assurantiel entre en crise dans

Il est aujourd’hui difficile d’identifier

Risk Management selon ISO 31000 - Novembre 2018 15

Risk Management selon ISO 31000 - Novembre 2018 16

Néanmoins, le concept risque est

Ces risques faut-il les gérer

Risk Management selon ISO 31000 - Novembre 2018 17

Risk Management selon ISO 31000 - Novembre 2018 18

Risk Management selon ISO 31000 - Novembre 2018 19

Exemples de menaces sur les ressources d’un projet

Risk Management selon ISO 31000 - Novembre 2018 20

Risk Management selon ISO 31000 - Novembre 2018 21

Risk Management selon ISO 31000 - Novembre 2018 22

Risk Management selon ISO 31000 - Novembre 2018 23

Risk Management selon ISO 31000 - Novembre 2018 24

Risk Management selon ISO 31000 - Novembre 2018 25

Risk Management selon ISO 31000 - Novembre 2018 26

C’est un événement possible Autre définition

C’est une perte (ou un gain)

Risk Management selon ISO 31000 - Novembre 2018 27

Risk Management selon ISO 31000 - Novembre 2018 28

Évènement ou situation dont la concrétisation, incertaine, aurait un impact positif

Risk Management selon ISO 31000 - Novembre 2018 29

Risk Management selon ISO 31000 - Novembre 2018 30

Risk Management selon ISO 31000 - Novembre 2018 31

Pourquoi la capacité des

Risk Management selon ISO 31000 - Novembre 2018 32

Risk Management selon ISO 31000 - Novembre 2018 33

Risk Management selon ISO 31000 - Novembre 2018 34

• L’analyse qualitative et quantitative des risques ;

• La Planification des réponses aux risques ;

• La surveillance et contrôle des risques.

Risk Management selon ISO 31000 - Novembre 2018 35

Risk Management selon ISO 31000 - Novembre 2018 36

Risk Management selon ISO 31000 - Novembre 2018 37

Risk Management selon ISO 31000 - Novembre 2018 38

Risk Management selon ISO 31000 - Novembre 2018 39

27 juin 2002, Publication du Guide 73 – « Termes et Vocabulaires du Management