Gestion des risques - Domaine de connaissances

Système national de gestion de projet
Projets opérationnels appuyés par les TI

TITRE :

Procédure relative aux projets opérationnels appuyés par les technologies de l'information du Système national de gestion de projet - Domaine de connaissances « Gestion des risques »

1. DATE D'ENTRÉE EN VIGUEUR :

Décembre 2010

2. AUTORITÉ :

Le présent document est publié avec l'autorisation du sous-ministre, Services publics et Approvisionnement Canada (SPAC).

3. CONTEXTE :

Ce domaine des connaissances faisant l'objet du présent document doit être mis en œuvre de pair avec la politique sur le Système national de gestion de projet (SNGP) de SPAC.

4. OBJECTIF :

Décrire les composantes et les exigences du SNGP qui s'appliquent à la gestion des risques d'un projet.

5. RENSEIGNEMENTS SUR LA PROCÉDURE :

La gestion des risques est une approche systématique utilisée pour établir un plan d'action approprié en cas d'incertitude; elle comprend la détermination, l'appréciation, l'analyse, l'évaluation, le contrôle et la communication des risques. Elle nécessite également l'examen et l'évaluation des stratégies, des politiques et des pratiques.

Les risques découlent des contraintes des projets, des sources de financement, des échéances fixées, des hypothèses et d'autres sources d'incertitude et de vulnérabilité liées au projet et à l'environnement opérationnel.

La gestion des risques doit être prise en compte tout le long du cycle de vie de l'ensemble des projets. Ce processus est décrit ci-dessous en fonction des neuf phases du SNGP. La gestion des risques dans le cadre du SNGP est principalement fondée sur la nouvelle norme Q850 de l'Association canadienne de normalisation et sur la norme ISO 31000 de l'Organisation internationale de normalisation. Chaque projet doit avoir un plan de gestion des risques, et les registres connexes des risques doivent être mis à jour tout le long du cycle de vie du projet, au fil de l'évolution de ce dernier.

Communication et consultation

Les risques associés au projet ainsi que les mesures d'intervention prises à leur égard sont systématiquement communiqués aux intervenants concernés afin de garantir qu'ils sont informés de l'état des risques pendant toute la durée du projet.

La norme ISO 31000 stipule que les processus de communication et de consultation devraient être élaborés dès le début du projet. L'accent devrait être mis sur l'efficacité de la communication interne et externe afin de s'assurer que les intervenants et les personnes chargées de mettre en œuvre le processus de gestion comprennent les éléments sur lesquels les décisions sont fondées et les raisons qui les sous-tendent. Les communications et les consultations sur les risques sont intégrées au plan de gestion des communications du projet, qui fait habituellement partie du plan de gestion de projet. Le Guide sur la gestion continue des risques de SPAC précise que la communication sur les risques est un exercice difficile, car elle nécessite de communiquer sur des conséquences négatives. Bien que cela soit vrai, il est également important de tenir compte des aspects positifs de la communication sur les risques.

Définition du contexte

La définition du contexte est un processus consistant à reconnaître l'existence de risques précis et à définir leurs caractéristiques et leurs facteurs. Il s'agit également de définir des critères de risque. Il est possible de réaliser une analyse de la conjoncture pour déterminer les risques auxquels l'organisation sera exposée, tant à l'interne qu'à l'externe.

Lorsqu'on définit le contexte, il importe de s'interroger sur la façon dont on tiendra compte du contexte particulier lors du processus de gestion des risques. Pour répondre à cette question, on doit examiner à la fois le contexte externe et interne. Lors de l'étude du contexte externe, il est nécessaire de s'assurer que les préoccupations des intervenants à l'égard des risques sont convenablement prises en compte. En ce qui concerne le contexte interne, on doit impérativement veiller à ce que le processus de gestion des risques cadre avec les mandats généraux de SPAC et avec les plans et les priorités des directions générales et des projets concernés.

Enfin, il est essentiel d'élaborer une méthode de documentation. Celle-ci permettra de justifier, sur le moment et ultérieurement, les processus mis en œuvre, leur déroulement et les raisons qui les sous-tendent.

Approche de gestion des risques

L'approche générale de gestion des risques dans le cadre de projets opérationnels appuyés par les technologies de l'information (TI) repose sur les activités suivantes :

  • l'appréciation des risques;
  • la détermination des risques;
  • l'analyse des risques;
  • l'évaluation des risques;
  • le traitement des risques;
  • le suivi et l'examen;
  • la communication et la consultation.

Appréciation des risques

L'appréciation des risques est le processus global de gestion des risques, qui comprend trois éléments : la détermination, l'analyse et l'évaluation des risques. À l'issue de ces trois étapes, les décideurs disposent d'un tableau plus précis des risques auxquels SPAC est exposé et connaissent leur probabilité et leur incidence.

Le processus d'appréciation des risques doit être ouvert et transparent; il doit respecter le contexte propre à SPAC et être adapté en fonction des besoins du Ministère. Il devrait permettre de s'assurer que les limites de SPAC (capacité, information insuffisante, manque de ressources) sont reconnues et prises en compte.

Détermination des risques

Aux termes de la norme ISO 31000, la détermination des risques consiste à cerner, à reconnaître et à décrire les risques. Ce processus comprend la détermination des sources de risques, des événements, de leurs causes et de leurs répercussions potentielles. Ces renseignements sont ensuite intégrés au processus de gestion de projet. Les risques liés à un projet sont habituellement repérés dans le cadre de quatre forums tenus tout le long du projet; il s'agit de l'atelier de détermination préliminaire des risques, de l'atelier de détermination détaillée des risques, lequel a lieu au cours de la phase de planification, des ateliers périodiques sur les risques (avant la présentation au Conseil du Trésor [CT]) et des réunions régulières sur la gestion des risques (réunions distinctes ou discussions dans le cadre des réunions générales de gestion de projet). Le gestionnaire des risques utilise le calendrier de projet pour planifier et ordonner les activités de gestion des risques. Les risques repérés sont brièvement et clairement décrits dans un « énoncé des risques », un document qui mentionne à la fois les causes et les conséquences de chaque risque. L'équipe de projet devrait également étudier les risques liés au fait de ne pas exploiter une possibilité. Lors de la détermination des risques et de leurs conséquences, l'équipe devrait tenir compte des effets de chaque conséquence, notamment les effets en cascade et les effets cumulatifs. Tous les risques répertoriés doivent être documentés soit dans le registre des risques par le gestionnaire des risques (Gestion des documents) et des dossiers de l'entreprise soit en ligne à l'aide d'un outil approuvé de gestion ou de suivi des risques.

La détermination des risques consiste à définir les risques positifs et négatifs, susceptibles d'avoir une incidence sur l'atteinte des objectifs, ainsi que leurs causes et leurs conséquences. Ce processus consiste également à reconnaître les risques liés au fait de ne pas exploiter une possibilité et les risques sur lesquels l'organisation n'a pas de prise. Pour ce faire, on doit se demander ce qui pourrait menacer ou améliorer la capacité de donner suite aux priorités et d'atteindre les résultats prévus. Il est essentiel de cerner tous les risques pendant le processus de détermination des risques, car ceux qui ne sont pas repérés ne seront pas inclus à l'étape de l'analyse.

Toutes les causes et les conséquences importantes devraient être prises en compte, même celles qui ne sont pas forcément évidentes. Une fois que l'on a déterminé et décrit tous les risques, il convient de leur attribuer des limites ou des valeurs en fonction de leur probabilité, de leur incidence et du moment auquel ils pourraient survenir.

Détermination des risques (ateliers et détermination continue)

L'atelier initial de gestion des risques a lieu au tout début du projet afin de cerner les risques qui s'y rapportent. Les ateliers périodiques d'établissement des risques se tiennent à des moments stratégiques prédéfinis, tout le long du projet. Ils sont l'occasion de cerner les nouveaux risques, d'examiner les risques existants, d'établir les leçons apprises, de communiquer sur les risques et d'échanger des pratiques exemplaires. Des ateliers sur les risques ont lieu avant toute présentation au CT afin que les risques actuels liés au projet et les plans d'intervention connexes figurent dans la présentation. Pendant ces ateliers, on utilise le questionnaire sur la taxonomie, élaboré par le Software Engineering Institute (SEI), ou le questionnaire abrégé sur la taxonomie des risques pour obtenir des renseignements sur les risques. On a aussi recours aux outils et aux modèles relatifs au processus de gestion des risques.

Les risques sont repérés continuellement tout le long du projet par tous les membres de l'équipe de projet, et ils sont présentés et analysés officiellement pendant les réunions hebdomadaires de gestion de projet.

Analyse des risques

La norme ISO 31000 précise que l'analyse des risques nécessite de tenir compte des causes et des sources des risques, de leurs conséquences positives et négatives et de la probabilité de ces conséquences. En fait, l'analyse des risques consiste à déterminer la probabilité et l'incidence, ce qui, par la suite, permet d'évaluer l'exposition au risque. Il est d'ailleurs important de se rappeler que l'évaluation de l'exposition au risque peut aussi déboucher sur une possibilité ou une innovation.

L'objectif de l'analyse des risques est de comprendre les risques repérés lors du processus de détermination et de fournir des conseils sur la manière de les traiter et sur les mesures à prendre pour ce faire.

Les renseignements recueillis lors de la détermination des risques sont mis à profit au moment de l'analyse de ces derniers. Il est important de poser les questions suivantes : Quel est le risque? Quelles sont les conséquences positives et négatives de ce risque? Quelle est la probabilité que ces conséquences surviennent?

Pour analyser les risques, on détermine leur probabilité et leur incidence. Il est essentiel d'évaluer à la fois les scénarios les plus graves et les moins graves.

Se reporter à l'Annexe B - Analyse des risques

Évaluation des risques

La planification des mesures d'intervention consiste à définir la « stratégie » d'intervention la plus adaptée et le « plan » subséquent pour traiter chaque risque repéré, en se fondant sur les résultats de l'analyse des risques. L'évaluation des risques consiste également à définir l'ordre de priorité selon lequel les risques seront traités. Cet ordre dépendra normalement des facteurs d'exposition et de proximité des risques. Par exemple, si deux risques obtiennent une note identique sur le plan de l'incidence et de la probabilité, le risque susceptible de se produire en premier aura une priorité plus grande que l'autre. Toutefois, quel que soit le degré de proximité, les risques dont la probabilité et l'incidence sont plus importantes seront prioritaires par rapport aux risques dont la note globale est plus faible.

Traitement des risques

Le traitement des risques consiste à fournir une réponse adaptée à un risque. Il existe quatre stratégies d'intervention possibles :

  • éliminer le risque (c.-à-d. éliminer complètement la probabilité ou l'incidence du risque);
  • atténuer le risque (c.-à-d. diminuer la probabilité ou l'incidence du risque);
  • transférer le risque (c.-à-d. transférer la responsabilité du risque à l'extérieur du projet);
  • accepter le risque (c.-à-d. surveiller le risque et ne pas appliquer les stratégies susmentionnées).

Lorsque l'équipe de gestion de projet définit une stratégie adaptée à un risque, elle confie également la gestion de ce risque à un responsable qui est chargé d'élaborer un plan d'intervention détaillé. De tels plans d'intervention sont rédigés pour les risques que l'on doit éliminer, atténuer ou transférer. Ils ne sont pas employés pour les risques que l'on doit simplement accepter. Les stratégies et les plans d'intervention sont inscrits par le gestionnaire des risques dans le registre des risques mis à jour.

Une fois le plan d'intervention approuvé par l'équipe de gestion de projet, il est possible de soumettre une demande de changement officielle en respectant le processus de contrôle intégré des changements. Ensuite, sitôt la demande de changement approuvée, le responsable du risque peut mettre en œuvre le plan. Les critères de la stratégie d'intervention figurent dans le registre des risques.

Suivi et examen des risques

Le suivi et l'examen des risques sont des processus qui consistent à acquérir, à compiler et à communiquer des données exactes et opportunes sur les risques à gérer. Plus précisément, le responsable suit les éléments suivants et établit des rapports à leur sujet :

  • l'avancement de l'élaboration et de la mise en œuvre des mesures d'intervention (élaboration et approbation, approbation des demandes de changement, mise en œuvre);
  • les mesures proposées;
  • les exigences en matière de rapport et de surveillance;
  • l'avancement de chaque étape (vert = en bonne voie, jaune = gestion de problèmes mineurs, rouge = problèmes importants nécessitant l'intervention de la direction du projet).

Les mises à jour sur l'état des risques et les décisions subséquentes sont documentées dans le registre des risques. La surveillance et l'examen des risques consistent à analyser les rapports d'étape, à déterminer la marche à suivre et à mettre en œuvre les décisions. Les mises à jour sur l'état des risques liés au projet sont examinées puis analysées par le responsable et l'équipe de gestion de projet au cours des réunions régulières sur la gestion des risques. Voici les décisions subséquentes qui peuvent être prises pour surveiller et examiner les risques :

  • mettre en œuvre et suivre le plan;
  • modifier le plan;
  • élaborer un autre plan;
  • clore le risque;
  • créer un enjeu (si le risque s'est matérialisé).

5.1 Processus de gestion des risques en fonction des étapes et des phases du SNGP

Étape de début de projet

Phase de la définition

Les projets comportent une phase préliminaire de définition des risques permettant de déterminer, entre autres, les risques liés à un problème ou à une possibilité défini dans l'énoncé des exigences.

Au cours de cette phase, on documente les principaux risques et les stratégies d'atténuation possibles pour les risques répertoriés dans l'énoncé des exigences. Voici quelques exemples :

  • Partie 4 de l'énoncé des exigences : Déterminer les principaux risques et les stratégies d'atténuation possibles liés au problème que le projet proposé vise à résoudre.
  • Partie 6 de l'énoncé des exigences : Déterminer les répercussions liées au fait de ne pas entreprendre le projet et les stratégies d'atténuation.

Étape d'identification de projet

Phase de lancement

L'équipe de projet détermine et définit les risques globaux dans le Plan préliminaire de projet (PPP), puis élabore une proposition de stratégie d'intervention globale pour chaque risque repéré. Ce processus doit être conforme au processus de gestion des risques (modèle normalisé) qui fait partie intégrante du plan de gestion des risques établi lors de la phase de planification.

Utiliser le modèle de registre des risques pour établir le premier registre. Celui-ci devra figurer dans l'énoncé des exigences et dans le PPP. Il traitera des risques susceptibles de toucher la planification du projet ou d'avoir une incidence sur la réalisation de ses objectifs.

Phase de la faisabilité

L'équipe de projet évalue les risques liés à chaque option sur le plan de la portée, des délais, du coût et d'autres éléments entourant le projet (p. ex., facteurs matériels, techniques, économiques, politiques, juridiques, organisationnels et sociaux et des facteurs relatifs aux infrastructures). L'objectif est de déterminer quelles options permettraient d'atteindre les objectifs prévus dans la portée du projet et d'éliminer les options non viables, afin de présenter à l'autorité approbatrice l'ensemble des solutions possibles qui méritent d'être analysées de manière plus approfondie au cours de la phase de l'analyse.

  • Classer chaque option selon son niveau de risque relatif et son degré d'exposition potentielle (estimation).
  • Documenter les risques susceptibles d'interférer avec l'atteinte des résultats opérationnels dans le rapport de la faisabilité (section 4, évaluation des options).
  • Documenter l'évaluation des trois ou cinq principaux risques liés aux options viables dans la section 5 du rapport de la faisabilité. Ensuite, actualiser le registre des risques précédemment joint au PPP. Si la marge de sécurité ou le fonds de prévoyance nécessaire n'a pas encore été estimé, il convient de le calculer et de le consigner à ce stade.

Phase de l'analyse

Pour évaluer les risques, il est recommandé d'organiser un atelier ou une réunion sur la gestion des risques avec l'équipe de projet avant d'achever l'analyse de rentabilisation pour s'assurer que tous les intervenants clés contribuent à la détermination des risques et aux plans d'atténuation.

L'équipe de projet compare les précédentes évaluations des risques effectuées pour toutes les options avec l'évaluation des risques de la solution recommandée pour s'assurer que la solution retenue en vue de répondre à l'énoncé des exigences, approuvé lors de la phase de la définition, est bien la meilleure.

Au cours de cette phase, l'analyse des risques est plus détaillée et rigoureuse. Elle consiste à étudier les risques repérés afin de déterminer leur ampleur, leur rapport aux autres risques et leur degré de priorité, puis à les confier à un responsable. Chaque risque est évalué afin de définir sa probabilité et la gravité de son incidence. Ces attributs permettent d'évaluer le niveau général d'exposition à chaque risque (élevé, moyen ou faible). Voir le tableau des risques de SPAC (Annexe A - Tableau des risques). L'exposition au risque sert à classer les risques et à décider quelles stratégies adopter pour les contrer. Tous les risques présentant un niveau d'exposition moyen ou élevé doivent faire l'objet d'une stratégie et d'un plan d'intervention. Tel qu'il est indiqué dans le tableau des risques en annexe, les risques faibles sont gérés au moyen de procédures ordinaires. Les critères servant à déterminer la probabilité, l'incidence, le délai et l'exposition figurent dans le document « Analyse des risques et critères de planification » (L'analyse est consignée dans le registre des risques mis à jour, joint à l'analyse de rentabilisation et au PPP. Tout nouveau risque ou plan d'atténuation défini durant cette phase devrait également être ajouté à ces deux documents. Il convient de s'assurer que des marges de sécurité ont été calculées pour tous les risques répertoriés et documentés dans le registre des risques.

Phase de la clôture de l'étape d'identification

La phase de la clôture de l'étape d'identification vise à garantir que le nécessaire a été fait en ce qui concerne l'appréciation, l'établissement de rapports, l'évaluation, le transfert et les activités de clôture administrative, pour que le gestionnaire de projet (organisation chargée de la réalisation) dispose de renseignements suffisants pour procéder sans heurt à l'étape de réalisation.

À la suite de l'approbation préliminaire de projet, obtenue pendant la phase de l'analyse, l'équipe de projet doit veiller à ce que le registre des risques mis à jour soit mentionné dans le PPP et à ce qu'il y soit annexé, afin de définir clairement les risques et les stratégies d'intervention de l'option retenue.

Étape de réalisation de projet

Phase de la planification

L'équipe de projet organise un atelier de détermination détaillée des risques afin de reprendre l'ensemble du processus d'appréciation des risques et de définir les risques et les plans d'intervention.

L'équipe de projet examine les risques et les interventions clés associés à la solution approuvée. Elle met également à jour le registre des risques et les documents connexes relatifs au plan de gestion des risques, afin de garantir que tous les risques sont traités de façon appropriée tout le long de l'étape de réalisation.

L'équipe de projet traite de l'état des risques au cours de chacune de ses réunions ou organise des réunions régulières axées sur les risques pendant le reste de l'étape de réalisation de projet.

Phase de la conception

Si le projet est soumis à l'approbation du Secrétariat du Conseil du Trésor (SCT), l'équipe de projet organise un atelier sur les risques afin d'appuyer le processus de présentation au SCT en vue d'obtenir une approbation définitive de projet (ADP).

L'équipe de projet met à jour le registre des risques et les documents connexes liés au plan de gestion des risques en fonction des avant-projets.

Remarque : Le plan de gestion des risques fait normalement partie du plan de gestion de projet élaboré lors de la phase de planification.

Une fois terminé, ce dernier demeure inchangé, tandis que les documents connexes, comme le registre des risques, sont mis à jour.

Phase de la mise en œuvre

L'équipe de projet suit le projet pour prendre les mesures nécessaires au cas où des risques se matérialiseraient. Elle actualise le registre des risques et les documents connexes liés au plan de gestion des risques de manière à tenir compte d'un nouveau risque ou d'une nouvelle stratégie d'intervention.

Phase de la clôture de l'étape de réalisation

Lorsque le projet est achevé, l'équipe de projet prépare le rapport de la clôture de projet et le rapport sur les leçons apprises, réalise les activités administratives de clôture et les activités de clôture du contrat, et consigne le processus de façon détaillée. Le registre des risques, ainsi que tout autre document complémentaire relatif à la gestion des risques et joint au plan de gestion des risques, doivent être mis à jour pour résumer tous les risques évalués au cours du projet et indiquer la façon dont ils ont été traités. Les risques importants et l'efficacité des mesures d'intervention appliquées doivent être consignés dans le rapport sur les leçons apprises. Les risques qui ont été repérés tardivement dans le cycle de vie du projet doivent être soulignés pour faciliter la planification future.

6. PORTÉE :

La présente procédure s'applique à tous les projets opérationnels appuyés par les TI de SPAC.

7. DÉFINITIONS :

Les définitions ci-dessous sont extraites de l'ébauche de la Politique ministérielle (PM) 082, Politique de gestion intégrée des risques, de SPAC. Elles sont fondées sur le Cadre de gestion des risques du SCT, la norme Q850 de l'Association canadienne de normalisation et la norme ISO 31000.

Répercussions
Les répercussions sont l'incidence d'un événement sur les objectifs.
Gestion intégrée des risques
La gestion intégrée des risques est un processus systématique et continu qui a pour objectif la compréhension, la communication et la gestion des risques dans une perspective panorganisationnelle. Elle consiste à prendre des décisions stratégiques permettant de minimiser les conséquences négatives et de tirer le meilleur parti des possibilités qui contribuent à l'atteinte des objectifs d'une organisation.
Enjeu
Un enjeu est un événement particulier ou une préoccupation permanente que l'on doit gérer de façon proactive.
D'après le Corpus des connaissances en management de projet (Guide PMBOK®), il s'agit d'un risque qui s'est matérialisé.
Effet domino
Un effet domino est un effet secondaire ou accessoire, comme lorsqu'un domino vacille et provoque la chute d'une file d'autres dominos.
Probabilité
La probabilité désigne la possibilité qu'un événement se produise, que celui-ci soit défini, mesuré ou déterminé de façon objective ou subjective, qualitative ou quantitative, et que l'on décrit en termes généraux ou mathématiques.
Risque résiduel
Le risque résiduel est la part de risque restante après l'application des mesures d'intervention. Il peut comprendre des risques indéterminés.
Risque
Le risque désigne l'effet de l'incertitude sur les objectifs. Il est l'expression de la probabilité et de l'incidence d'un événement susceptible d'influencer de manière positive ou négative l'atteinte des objectifs de l'organisation.
Acceptation du risque
L'acceptation du risque est la décision, prise en connaissance de cause, d'accepter le risque. L'acceptation du risque peut avoir lieu sans qu'aucune mesure d'intervention ne soit prise ou être décidée pendant le processus d'intervention; elle nécessite un suivi et un examen.
Goût du risque
Le goût du risque indique le type et la gravité du risque que l'organisation est prête à courir pour se donner toutes les possibilités d'atteindre ses objectifs.
Évaluation des risques
L'évaluation des risques consiste à évaluer les principaux risques, à mesurer leur probabilité et leur incidence, à les classer, puis à mettre en œuvre des mesures adaptées en tenant compte des coûts et des avantages de ces dernières dans le cadre de la gestion des risques, des besoins, des enjeux et des préoccupations des intervenants.
Communication sur les risques
La communication sur les risques est le transfert ou l'échange de renseignements entre intervenants au sujet de l'existence, de la nature, de la forme, de la gravité ou de l'acceptabilité des risques. Elle comprend également l'établissement de rapports et les examens.
Gestion des risques
La gestion des risques est une approche systématique utilisée pour établir un plan d'action approprié en cas d'incertitude; elle comprend la détermination, l'appréciation, l'analyse, l'évaluation, le contrôle et la communication des risques. Elle nécessite également l'examen et l'évaluation des stratégies, des politiques et des pratiques.
Plan de gestion des risques
Le plan de gestion des risques est le document qui définit l'approche à adopter, ainsi que les éléments de gestion et les ressources devant être affectés à la gestion d'un risque.
Atténuation des risques
L'atténuation des risques désigne les mesures prises pour réduire les conséquences indésirables.
Risque d'ordre éthique
Le risque d'ordre éthique désigne le risque de prendre une décision sans avoir dûment tenu compte des valeurs et de l'éthique. En prenant une décision contraire à l'éthique, l'organisation risque de perdre la confiance du public et sa crédibilité auprès de ce dernier, de subir une couverture médiatique négative, de perdre des ressources financières, de voir ses processus et ses résultats retardés (p. ex. si le CT reporte l'approbation de programmes ou de projets), de miner le moral de son personnel et de nuire à la productivité de ce dernier et, dans des cas extrêmes, de mettre en péril l'avenir de SPAC.
Perception des risques
La perception des risques est la valeur ou l'importance que les intervenants accordent à un risque précis, quelle que soit la perte prévue ou probable liée à ce risque. Elle joue un rôle important dans la définition de la tolérance au risque et dans l'élaboration et l'adoption de stratégies de gestion des risques.
Profil de risque
Le profil de risque est un ensemble de risques.
Réponse aux risques
La réponse au risque désigne les mesures ou les contrôles élaborés et mis en œuvre pour traiter un risque défini.
Culture consciente des risques
La culture consciente des risques renvoie à l'intégration du risque aux structures de gouvernance et aux structures organisationnelles existantes, y compris la planification des activités, la prise de décisions et les processus opérationnels. Elle permet également de s'assurer que le lieu de travail possède la capacité et les outils pour innover tout en préservant l'intérêt public et en entretenant la confiance du public.
Tolérance au risque
La tolérance au risque désigne la mesure dans laquelle SPAC est prêt à assumer le risque résiduel après l'application des mesures d'intervention.
Traitement des risques
Le traitement des risques est le processus d'élaboration, de sélection et de mise en œuvre de moyens de contrôle. Il peut consister à éviter le risque, à rechercher une possibilité, à éliminer le risque, à modifier la probabilité du risque, à modifier les conséquences liées au risque, à partager le risque avec un tiers ou encore à conserver le risque.
Code de valeurs et d'éthique de la fonction publique
Le Code de valeurs et d'éthique de la fonction publique définit les valeurs et l'éthique qui guident et soutiennent les fonctionnaires dans toutes leurs activités professionnelles. Il sert également à conserver et à accroître la confiance du public envers l'intégrité de la fonction publique.
Incertitude
L'incertitudeest un état dans lequel on possède une connaissance ou une compréhension limitée d'un événement, de ses résultats et de ses conséquences ou de sa probabilité.

8. RESPONSABILITÉS :

On encourage fortement toutes les parties responsables de l'élaboration des plans de gestion des risques à consulter les autres chefs de projet et gestionnaires de projet ainsi que les gestionnaires principaux de projet au moment de rédiger le plan de gestion des risques. On recommande également aux gestionnaires de projet et aux gestionnaires des risques de demander des conseils aux experts techniques et à d'autres experts en la matière au sein de SPAC lorsqu'ils produiront ou mettront à jour le registre des risques et les stratégies et les plans d'intervention.

Chef de projet ou directeur de projet (aspect opérationnel)

  • Entreprendre un processus afin d'évaluer de façon officielle et continue les risques liés au projet, processus qui comprend l'élaboration et la mise à jour du registre des risques ainsi que du profil de risque du projet, d'un point de vue opérationnel.
  • Veiller à ce que les estimations de coûts reflètent l'évaluation des risques au cours des diverses phases du cycle de vie du projet.
  • S'assurer que l'option d'investissement privilégiée concernant un projet donné tient compte du profil de risque et de la tolérance aux risques.
  • Préparer un aperçu du plan visant à se charger des mesures d'urgence actuelles du projet et exposer ces mesures dans les sections des documents relatifs à l'approbation du projet qui portent sur la gestion des risques.
  • Préparer et réviser les documents relatifs à l'approbation du projet lorsque les résultats de l'évaluation des risques liés au projet changent de manière considérable.
  • Préparer un aperçu de plan de communication visant les activités à risque élevé susceptibles d'attirer l'attention des médias ou du public, ce qui comprend la nomination d'un porte-parole.

Gestionnaire de projet

Le gestionnaire de projet est responsable de la gestion globale des risques tout le long du projet. Plus précisément, il doit exécuter les tâches suivantes :

  • veiller à ce qu'un plan de gestion des risques soit créé, mis à jour et mis en œuvre conformément aux indications données, en se fondant sur le registre des risques créé lors de l'étape de début et mis à jour lors de l'étape d'identification;
  • participer aux processus et aux réunions de gestion des risques;
  • affecter des ressources du projet à la gestion des risques;
  • veiller à l'application des mesures de suivi des risques et des enjeux;
  • s'assurer que les documents relatifs à la gestion des risques sont correctement tenus à jour et stockés par les personnes responsables;
  • s'assurer que toutes les activités de gestion des risques figurent dans les plans, les calendriers et les budgets du projet;
  • s'assurer que toutes les activités de gestion des risques sont intégrées au processus de gestion des changements;
  • établir et consigner les leçons apprises des risques ou des enjeux propres au projet et du processus de gestion des risques.

Gestionnaire des risques

Remarque : Une personne pourrait devoir être affectée exclusivement au poste de gestionnaire des risques dans le cadre de projets d'envergure; autrement, en règle générale, ce rôle est joué par le gestionnaire de projet (réalisation).

Le gestionnaire des risques doit exécuter les tâches de gestion des risques suivantes :

  • préparer et tenir à jour le plan de gestion des risques;
  • fournir aux participants au projet un encadrement, un soutien et des conseils en matière de gestion des risques;
  • coordonner et animer la partie des réunions régulières de gestion de projet qui porte sur la gestion des risques;
  • veiller à la qualité générale des documents de gestion des risques et à la conformité au processus de gestion des risques;
  • tenir un répertoire de documents sur la gestion des risques (plan de gestion des risques, registres des risques);
  • cerner les leçons apprises en ce qui concerne le processus de gestion des risques du projet;
  • établir des rapports sur les risques.

Responsable du risque

Remarque : Toute personne à qui l'on confie la responsabilité d'un risque est appelée « responsable du risque ».

Le responsable du risque doit exécuter les tâches de gestion des risques suivantes :

  • définir les mesures d'intervention, les mesures de suivi et les mesures ou éléments déclencheurs nécessaires au respect de la stratégie d'intervention préconisée;
  • veiller à l'application des mesures de suivi des risques;
  • indiquer l'état du risque lors des réunions de gestion de projet;
  • cerner et documenter les leçons apprises en ce qui concerne des risques particuliers et le processus de gestion des risques.

Équipe de gestion de projet

L'équipe de gestion de projet doit exécuter les tâches de gestion des risques suivantes :

  • nommer les responsables de risques;
  • analyser les risques liés au projet présentés et déterminer une stratégie d'intervention adaptée;
  • approuver et examiner l'état des plans d'intervention;
  • déterminer et documenter les leçons apprises du processus de gestion des risques.

Équipe de projet

Les membres de l'équipe de projet doivent exécuter les tâches de gestion des risques suivantes :

  • repérer et présenter les nouveaux risques liés au projet;
  • participer au processus de gestion des risques lorsqu'on le leur demande (c.-à-d. assister aux réunions, examiner les risques, assumer le rôle de responsable du risque);
  • déterminer les leçons apprises du processus de gestion des risques et établir des rapports à ce sujet.

Client ou responsable du secteur d'activité

Le client doit exécuter les tâches de gestion des risques suivantes :

  • aider le gestionnaire de projet à s'assurer que le projet fait bien l'objet d'un processus de gestion des risques;
  • participer au processus et aux réunions de gestion des risques (directement ou par l'intermédiaire d'un représentant);
  • détecter et définir les nouveaux risques liés au projet;
  • s'assurer que les mesures de suivi confiées à l'organisation cliente (personnes ne faisant pas partie de l'équipe de projet) sont bien appliquées.

Intervenants

Les intervenants du projet doivent exécuter les tâches de gestion des risques suivantes :

  • participer au processus et aux réunions de gestion des risques, si nécessaire;
  • appliquer des mesures de suivi particulières confiées à l'organisation;
  • déterminer les leçons apprises au sujet de chaque risque et établir des rapports à ce sujet;
  • participer aux ateliers et aux réunions sur le processus de gestion des risques, si nécessaire.

9. RÉFÉRENCES :

10. PIÈCES JOINTES :

11. DEMANDES DE RENSEIGNEMENTS :

Veuillez adresser toute demande de renseignements relative au présent procédure au directeur, Centre d'excellence, Bureau d'exécution des projets, Direction générale des services d'infotechnologie.

Annexe A - Tableau des risques

Sommaire du tableau

Ce tableau décrit la probabilité et l'Incidence des risques.

Probabilité Incidence
Faible Faible à moyenne Moyenne Moyenne à élevée Élevée
Élevée
(presque certaine)
4Attribuer des responsabilités de surveillance et de gestion 5Nécessite l'attention de la haute direction 5Nécessite l'attention de la haute direction 5Nécessite une planification détaillée de la gestion et une attention soutenue 5Doit être géré par la haute direction à l'aide d'un plan détaillé
Moyenne à
élevée (probable)
4Attribuer des responsabilités de surveillance et de gestion 4Attribuer des responsabilités de surveillance et de gestion 5Nécessite l'attention de la haute direction 5Nécessite l'attention de la haute direction 5Nécessite une planification détaillée de la gestion et une attention soutenue
Moyenne
(possible)
1Gérer au moyen de procédures ordinaires 3Attribuer des responsabilités de surveillance et de gestion 3Attribuer des responsabilités de surveillance et de gestion 5Nécessite l'attention de la haute direction 5Nécessite une planification détaillée de la gestion et une attention soutenue
Faible à moyenne
(peu probable)
1Gérer au moyen de procédures ordinaires 1Gérer au moyen de procédures ordinaires 2Attribuer des responsabilités de surveillance et de gestion 2Attribuer des responsabilités de surveillance et de gestion 2Attribuer des responsabilités de surveillance et de gestion
Faible (rare) 1Gérer au moyen de procédures ordinaires 1Gérer au moyen de procédures ordinaires 1Gérer au moyen de procédures ordinaires 2Attribuer des responsabilités de surveillance et de gestion 2Attribuer des responsabilités de surveillance et de gestion

Source : Norme CAN/CSA-Q850-09 Gestion des risques : Mise en œuvre de la norme CSA-ISO-31000

Figure 1 - Tableau des risques

Incidence

  • 5 - Élevée : événement grave susceptible d'arrêter ou d'accélérer la réalisation des buts et des objectifs fonctionnels
  • 4 - Moyenne à élevée : événement majeur susceptible de menacer ou de faire avancer les buts et les objectifs fonctionnels
  • 3 - Moyenne : événement d'importance modérée susceptible de nécessiter un ajustement important de la fonction globale
  • 2 - Faible à moyenne : événement mineur susceptible de menacer ou de faire avancer un élément de la fonction
  • 1 - Faible : événement négligeable susceptible d'engendrer des conséquences peu importantes

Probabilité

  • 5 - Élevée (presque certaine) : l'événement est prévu dans certaines conditions
  • 4 - Moyenne à élevée (probable) : l'événement se produira probablement
  • 3 - Moyenne (possible) : l'événement pourrait se produire
  • 2 - Faible à moyenne (improbable) : l'événement ne devrait pas se produire
  • 1 - Faible (rare) : l'événement se produit uniquement dans des circonstances exceptionnelles

Annexe B - Analyse des risques

En se fondant sur les renseignements recueillis durant le processus de détermination des risques, on imagine les problèmes éventuels. Des équipes dont les membres possèdent les compétences interfonctionnelles nécessaires collaborent pour mettre au point plusieurs scénarios possibles et évaluer ce qui pourrait mal tourner. Examiner le meilleur scénario, le scénario le plus probable et le pire scénario.

Sommaire du tableau

Ce tableau décrit l'analyse des risques à l'échelle du Ministère, à l'échelle des directions générales et à l'échelle du projet.

À l'échelle du Ministère À l'échelle des directions générales À l'échelle du projet
À quoi ressemblerait une tendance continue consistant à faire plus avec moins? Quels sont les résultats possibles d'une revendication territoriale des Autochtones dans une région géographique particulière? Quelle est l'incidence de la technologie de l'information sur les activités quotidiennes de mon organisation?
Que se passerait-il si SPAC faisait face à un autre examen des programmes, plus rigoureux? Que se passerait-il si tous les petits fournisseurs d'ordinateurs se regroupaient pour former un gros fournisseur? À quoi ressemblerait notre processus si nous adoptions le concept des équipes virtuelles?
Quelle pourrait être la réponse du gouvernement du Canada aux pressions accrues visant à promouvoir le développement durable sur le plan environnemental? Que se passerait-il en cas de percée technologique dans le domaine des achats électroniques? Que se passerait-il si tous les contrats de moins de 25 000 $ devaient passer par la Gestion du matériel?

Questions clés

Probabilité

  1. Quels critères emploierez-vous pour déterminer la probabilité des risques que vous avez relevés?
    • Le risque est-il interne ou externe?
    • Le risque s'est-il déjà matérialisé par le passé? Un événement s'est-il produit récemment?
    • Quelle est la probabilité que le risque se matérialise à l'avenir?
    • Si aucune autre mesure n'est prise, quelle serait la probabilité que le risque se matérialise?
  2. Selon les réponses à ces questions, évaluez la probabilité du risque.
    • Faible (négligeable ou peu probable) : Il est peu probable que le risque se matérialise.
    • Moyenne (probable) : Il est probable que le risque se matérialise à un moment donné.
    • Élevée (très probable) : Il est probable que le risque se matérialise dans la plupart des cas.

Incidence

  1. Quels critères emploierez-vous pour déterminer l'incidence des risques que vous avez relevés?
    • Qu'est-ce qui peut aller de travers?
    • Si le risque se matérialise, quelles seront les conséquences?
    • Qui sera touché? Dans quelle mesure? Quelle sera la réaction des parties touchées?
    • Quelles seront les répercussions sur la capacité de la direction générale ou du Ministère d'atteindre ses objectifs?
  2. Quels sont les contrôles en place pour prévenir ou atténuer les risques?
    • Existe-t-il trop de contrôles pour des risques jugés faibles?
    • Existe-t-il trop peu de contrôles, voire aucun, pour des risques jugés élevés?