Un risque peut avoir de lourdes conséquences sur un projet. Heureusement, il y a la matrice des risques.

>> Téléchargement : Réaliser une étude de marché : le guide ultime

Qu'est-ce que la matrice des risques ?

La matrice des risques est appelée « Matrice de probabilité », « Matrice d'évaluation des risques », « Matrice d'impact » et désigne un outil d'analyse qui évalue la gravité d'un risque par rapport à la probabilité qu'il se réalise. Elle met en avant le degré d'impact de chaque risque.

matrice des risques vierge

Une matrice des risques est un outil simple et visuel qui peut être utilisé pour déterminer les niveaux de risque. Bien que les matrices de risques présentent certaines limites - en partie en raison de leur simplicité - leurs avantages sont nombreux.

Pour les personnes qui travaillent dans le domaine de la gestion des risques, ainsi que pour celles qui occupent des postes de direction, elles fournissent une vue d'ensemble des risques auxquels une entreprise est confrontée, ce qui peut faciliter la prise de décisions stratégiques.

Les matrices de risques ont toutes la même structure de base. Il s'agit généralement de grilles de 5 x 5 qui indiquent la probabilité que les risques se produisent sur l'axe Y et la gravité de leurs conséquences sur l'axe X. Chaque axe suit une échelle allant de très faible, à très élevé. Les risques auxquels l'entreprise pourrait être confrontée sont placés dans la matrice des risques en fonction de leur position sur cette échelle. Cela permet de déterminer les niveaux de risque.

  • Probabilité x Conséquence = Niveau de risque

Si le risque est élevé sur l'échelle de probabilité et élevé sur l'échelle de conséquence, le niveau de risque peut être défini comme très élevé. Inversement, si le risque est faible sur l'échelle de probabilité et faible sur l'échelle des conséquences, le niveau de risque sera très faible.

Dans une matrice des risques, les niveaux de risque sont mis en évidence par un système de codes de couleur. Un risque dont le niveau de risque global est faible est indiqué par un code couleur vert. S'il est moyen, il est représenté en jaune ou en orange. Un risque globalement élevé est représenté en rouge. Ce système de feux tricolores permet de comprendre rapidement en un coup d'œil les niveaux de risque.

Malgré cette structure de base, les matrices de risques peuvent varier considérablement en fonction de l'entreprise et de la manière dont elles sont utilisées.

Comment réaliser une étude de marché ?

Téléchargez ce guide gratuit et découvrez comment réaliser une étude de marché pertinente et efficace.

 

Exemple de matrice des risques

Voici un exemple de matrice des risques avec 18 risques identifiés, dont une dizaine à une criticité supérieure à 10. Des actions doivent donc être mises en place dès le début du projet afin de limiter leurs impacts négatifs. Ici, les risques 1, 12, 13 et 15 devront attirer l'attention de la direction, car ce sont les plus impactants pour le projet étudié.

Exemple de matrice des risques

Source : Openclassrooms.com

 

Pourquoi créer une matrice des risques ?

La matrice des risques permet d'avoir une vue d'ensemble de la criticité des risques d'un projet donné et d'ensuite catégoriser chaque risque afin de mieux les gérer et d'identifier les priorités. Elle donne aussi une vision graphique globale des risques majeurs.

La matrice des risques permet également de communiquer avec les différentes parties prenantes sur les risques du projet. Chacune peut alors apporter des compléments d'information. Ce document peut aussi être constamment affiché et permet à tout le monde de prendre conscience des préoccupations et de participer à la culture du risque. Pour être efficace, la matrice des risques se doit d'être lisible, explicite et génératrice de réactions.

Enfin, la matrice d'évaluation des risques est un outil crucial dans la gestion des risques pour trois raisons.

  • Hiérarchisation facile des risques
    Tous les risques ne sont pas égaux. Une matrice d'évaluation des risques permet de hiérarchiser les risques les plus graves auxquels l'entreprise est confrontée. Il est essentiel d'avoir une vue d'ensemble du paysage des menaces modernes pour prévenir les pertes de valeur. Toutes les entreprises doivent prendre un certain niveau de risque pour réussir, mais les risques calculés basés sur une analyse des risques solide aideront les entreprises à atteindre leurs objectifs. En codant les risques par couleur dans une matrice d'évaluation des risques, les professionnels de l'audit, des risques et de la conformité peuvent identifier les menaces les plus pressantes pour l'entreprise et s'y préparer.
  • Stratégie ciblée de gestion des risques
    De même que tous les risques ne sont pas égaux, tous les risques n'ont pas le même impact. En hiérarchisant les menaces, la matrice d'évaluation des risques permet aux professionnels d'élaborer une stratégie ciblée pour gérer les événements à haut risque. Le fait de concentrer son attention et ses ressources sur les risques les plus élevés profitera à la stratégie commerciale globale, car ces risques ont le plus grand impact et peuvent entraîner les plus grandes pertes de valeur.
  • Vue en temps réel de l'évolution de l'environnement des risques
    Les professionnels de l'audit, du risque et de la conformité savent que les risques peuvent être émergents ou récurrents. Rien n'est figé. Le suivi de la matrice d'évaluation des risques permet de conserver une vue en temps réel de l'évolution de l'environnement des risques.

Bien que les risques émergents soient par définition inconnus, les entreprises peuvent identifier les zones de vulnérabilité au niveau stratégique en renforçant leurs processus de gestion des risques d'entreprise. En observant les signes d'alerte précoce ou les événements déclencheurs qui indiquent que quelque chose ne va pas, les entreprises peuvent maintenir la continuité de leurs activités dans un paysage de risques de plus en plus dynamique et complexe.

Les outils d'évaluation stratégique des risques, tels que la matrice des risques, permettent également aux entreprises de suivre les schémas de risque, c'est-à-dire les menaces qui sont susceptibles de se reproduire et qui nécessitent donc une stratégie d'atténuation d'une année sur l'autre.

 

Comment créer une matrice des risques ?

 

Créer sa propre matrice des risques

Il faut savoir que chaque case de la matrice correspond à un niveau de gravité et de probabilité des risques du projet. Il est possible de créer des matrices de différentes tailles, mais elle doit se composer d'au moins 3 lignes et 3 colonnes. Il vaut cependant mieux privilégier une matrice des risques 5*5 pour avoir une analyse plus détaillée. La matrice des risques 5*5 permet de montrer un spectre de couleurs plus important et donc de connaître le degré d'impact correspondant à chacun des risques.

Il faut tout d'abord définir une échelle de gravité qui correspond aux colonnes de la matrice et qui mesure la gravité des conséquences de chaque risque. Avec une matrice des risques 5*5, il y a 5 niveaux de gravité qui sont :

  • Négligeable pour 1 ;
  • Mineur pour 2 ;
  • Modéré pour 3 ;
  • Majeur pour 4 ;
  • Catastrophique pour 5.

Il faut ensuite définir une échelle de probabilité qui correspond aux lignes de la matrice et qui mesure la probabilité que le risque se produise. Avec une matrice des risques 5*5, il y a 5 niveaux de probabilité qui sont :

  • Très improbable pour 1 ;
  • Peu probable pour 2 ;
  • Possible pour 3 ;
  • Probable pour 4 ;

À l'intérieur de cette matrice 5*5, il faut préciser les degrés d'impact qui sont indiqués par des couleurs du vert au rouge et par une échelle évaluée de 1 à 25 :

  • Faible de 1 à 6 : Le risque a peu de chance de se produire ;
  • Moyen de 7 à 12 : Le risque peut ralentir le projet ;
  • Élevé de 13 à 25 : Le risque met le projet en péril.

La zone jaune correspond à un risque minimal pour lequel il n'y a aucune action à mettre en place. Il faut cependant être vigilant à l'évolution des risques. Pour la zone orange, le risque est gérable et il faut mettre en place un plan d'actions préventives et correctives. Enfin, la zone rouge est dangereuse et il est impératif d'intervenir avant le démarrage du projet.

 

Réfléchir à tous les risques du projet

L'entreprise met tout d'abord en place une réunion, un brainstorming qui réunit un groupe de collaborateurs de différents horizons. L'objectif est d'identifier collectivement un maximum de risques par nature : risque stratégique, opérationnel, financier, juridique, technique, humain, de délais ou externe.

Pour dresser la liste complète de ces risques, les collaborateurs doivent comprendre la portée du projet et ses objectifs.

L'équipe doit utiliser un registre des risques, tout au long de la réunion, qui précisera la nature du risque, sa description, son niveau de gravité, son responsable de la prévention, ses actions préventives et correctives.

 

Définir la gravité de ces risques

Il faut définir chaque risque selon un critère de gravité en tenant compte de l'échelle. Pour cela, il faut s'interroger sur les pires conséquences du risque, sur les pires dommages qui pourraient être causés, s'il est possible de s'en remettre. Cette analyse permettra de le placer sur un niveau de gravité. L'équipe doit alors prendre du recul et demander aux autres parties prenantes leur opinion.

 

Déterminer la probabilité de ces risques

Pour déterminer la probabilité de chaque risque, il faut que l'équipe s'interroge sur l'apparition du risque et sur sa fréquence, sur des risques similaires sur des projets précédents, sur la probabilité qu'ils se reproduisent à nouveau. Les collaborateurs doivent donc entrer en phase de partage d'expérience, examiner les projets qui ont déjà été réalisés. Il faut ensuite mettre en place un plan d'atténuation précis des risques connus et déjà rencontrés en interne.

 

Calculer l'impact potentiel de chaque risque

Il faut ensuite calculer l'impact potentiel de chaque risque. Voici la formule de calcul :

  • Probabilité * Gravité = Impact du risque

Par exemple, un risque est associé à une nouvelle technologie qui n'est pas maîtrisée par les équipes en interne et il est d'une gravité majeure (4) et d'une probabilité probable (4). L'impact de risque correspond alors à 16. Il s'agit d'un risque élevé.

Il faut ensuite placer chaque risque en fonction de son degré d'impact dans la matrice.

 

Hiérarchiser ces risques en fonction des résultats

Les risques ont une valeur numérique de 1 à 25, valeur qui représente le degré d'impact. Les risques prioritaires sont facilement identifiables, car la couleur va vers le rouge. Lorsque deux risques ont le même score, c'est l'équipe qui doit arbitrer, mais dans tous les cas, il faudra en tenir compte au moment de la rédaction du plan d'action.

 

Mettre en place un plan d'action

En fonction de la matrice des risques obtenue, il faut établir un plan d'action de réponse aux risques. Celui-ci précise des mesures de prévention et d'atténuation grâce au développement d'une stratégie pour atténuer les risques. Il faut donc réfléchir aux solutions de secours pour diminuer les conséquences négatives des risques avec des actions préventives et correctives.

Le plan d'action doit être détaillé pour chaque risque. Reprenons notre exemple d'une nouvelle technologie qui n'est pas maîtrisée en interne : l'action préventive pourrait être de prévoir des formations pour les équipes sur cette nouvelle technologie.

 

Pour aller plus loin, téléchargez ce guide gratuit et découvrez comment accompagner réaliser une étude de marché pertinente et efficace.Réaliser une étude de marché : le guide ultime

Publication originale le 26 août 2022, mise à jour le 16 septembre 2022

Sujet(s):

Gestion des risques