Gérer les risques de vos projets avec le COSO

Gérer les risques de vos projets avec le COSO

Posté par Serge Diotte, MGP le 5 janvier 2016.

La gestion des risques demeure un enjeu de taille pour la plupart des gestionnaires de projets et de portefeuilles de projets. Ce domaine de gestion, malgré son importance indéniable pour assurer la pérennité d’un portefeuille de projets ou d’une entreprise, est souvent considéré comme une contrainte susceptible de nuire à la productivité plutôt qu’une opportunité permettant d’améliorer la performance globale de l’organisation.

À l’instar d’autres domaines de gestion s’appuyant sur les meilleures pratiques d’affaires, la principale difficulté réside dans l’exécution des activités à réaliser pour réduire le risque d’occurrence et les impacts potentiellement dommageables pour l’organisation. Parmi toutes les méthodes et concepts de gestion des risques de projet offerts aux gestionnaires, nous considérons le COSO comme une approche à la fois simple et complète, dont les concepts peuvent être facilement « cristallisés » dans les pratiques courantes.

Qu’est-ce que le COSO ?

COSO est l’acronyme abrégé de « Committee Of Sponsoring Organizations ». Il s’agit d’une initiative commune de cinq organisations privées créée en 1992. Le COSO a pour objectif de devenir leader dans le développement de cadres de référence et de conseils dans les domaines du contrôle interne, du management des risques en entreprise et de la dissuasion des fraudes. Les composantes du processus de gestion des risques du COSO sont :

  • Piloter le processus de gestion des risques
  • Définir l’environnement de contrôle et identifier les activités à risque
  • Identifier et évaluer les risques
  • Identifier des mesures de contrôle
  • Informer et communiquer les informations
Pilotage des risques

Piloter le processus de gestion des risques de projet

En matière de gestion de projet l’objectif de cette étape consiste à réduire la possibilité que des évènements ou des situations ne puissent nuire éventuellement à la réalisation des activités prévues dans les plans de projet. Les gestionnaires responsables de la gestion des projets de l’organisation doivent vérifier sur une base régulière que les composantes du contrôle interne sont bien mises en place et fonctionnent. Ils doivent évaluer et communiquer les faiblesses de contrôle interne aux responsables des mesures correctrices et à la haute direction.

Définir l’environnement de contrôle et identifier les activités à risque

La décision d’implanter un processus de gestion des risques de projets doit résulter d’un engagement ferme de la haute direction qui doit surveiller de près l’implantation et le bon fonctionnement d’un système de contrôle interne. L’organisation doit mettre en place une structure de contrôle des risques qui soit indépendante des structures hiérarchiques reliées à la gestion des projets. Cette structure doit détenir tous les pouvoirs et les responsabilités nécessaires à la réalisation des activités de projet. Elle doit s’assurer que les ressources assignées au suivi des risques soient imputables de leur responsabilité consistant à identifier les activités de projet qui sont à risque.

Identifier et évaluer les risques

Les activités de projet jugées risquées doivent être clairement énoncées pour que les ressources assignées au suivi des risques puissent identifier et évaluer l’ensemble des évènements et/ou des situations susceptibles de nuire à la réalisation de ces activités, qui deviennent autant de risques à évaluer. Une « Valeur brute » est attribuée à chacun des risques. La valeur brute d’un risque se décline par la multiplication de deux facteurs :

Valeur brute du risque = Probabilité d’occurrence X Impact sur l’organisation

L’organisation doit ensuite évaluer le « Niveau de maîtrise » du risque, lequel varie selon la capacité de l’organisation à mettre en place des mesures préventives susceptibles de réduire la probabilité d’occurrence et/ou l’impact que pourrait avoir ce risque sur l’organisation dans l’éventualité où il se matérialisait. La valeur brute du risque conjuguée avec le niveau de maîtrise permet de décliner la « Valeur résiduelle » du risque:

Valeur résiduelle du risque = Valeur brute du risque X Niveau de maîtrise

Les valeurs brutes et résiduelles d’un risque ne sont pas statiques : elles évoluent dans le temps. Il faut donc ajuster régulièrement les valeurs attribuées à la probabilité d’occurrence et à l’impact potentiel du risque sur l’organisation. Il faut aussi vérifier régulièrement le niveau de maîtrise de l’organisation sur le risque. La révision régulière de ces valeurs aura pour conséquence de modifier la valeur résiduelle du risque.

Identifier des mesures de contrôle

Pour réduire les risques résiduels inhérents à ses projets, l’organisation doit augmenter le niveau de maîtrise qu’elle exerce sur le risque. Or le niveau de maîtrise associé à un risque est directement tributaire à la quantité et à la qualité des « mesures de contrôle » qu’elle parvient à implanter dans ses opérations courantes.

Les mesures de contrôle sélectionnées doivent contribuer à :

  • Réduire la probabilité d’occurrence du risque
  • Réduire l’impact potentiel du risque au sein de l’organisation
  • Faciliter la réalisation des activités de projet auxquelles le risque est associé

Chaque mesure de contrôle doit être adéquatement documentée et il est important d’assigner une ressource qui aura la responsabilité de l’implanter et de la maintenir au sein de l’organisation aussi longtemps que le risque d’occurrence et l’impact n’auront pas été ramenée à des niveaux acceptables.

Informer et communiquer les informations

La structure de contrôle des risques mises en place par l’organisation doit s’assurer que toutes les informations afférentes aux risques de projet soient communiquées à l’ensemble des intervenants. L’exercice consistant à identifier les risques de projet, à les évaluer et à y associer des mesures de contrôle ne doit donc pas se faire en vase clos.

La transparence est de rigueur en matière de gestion des risques. L’organisation doit mettre en place les outils nécessaires pour faciliter la transmission des informations pertinentes auprès de ses ressources ainsi qu’aux tiers impliqués. Le responsable d’un risque ou de l’implantation d’une mesure de contrôle doit être informé de la responsabilité qui lui incombe et de la nécessité d’agir en conséquence. Il doit par exemple savoir à quelle fréquence il doit ajuster les valeurs reliées à la probabilité d’occurrence et à l’impact sur l’organisation.

L’évolution des valeurs afférentes aux risques doit être communiquée à l’ensemble des parties des parties prenantes selon la fréquence jugée raisonnable par la structure de contrôle des risques mise en place.

Save time

and live an experience marked by simplicity, ease of execution, and the satisfaction of a job well done!