Registre des risques
Un registre des risques ( PRINCE2 ) est un document utilisé comme outil de gestion des risques et pour assurer la conformité réglementaire agissant comme un référentiel pour tous les risques identifiés et comprend des informations supplémentaires sur chaque risque, par exemple, la nature du risque, la référence et le propriétaire, les mesures d'atténuation . Il peut être affiché sous forme de nuage de points ou de tableau.
La norme ISO 73:2009 Gestion des risques — Vocabulaire [1] définit un registre des risques comme un « enregistrement d'informations sur les risques identifiés ».
Exemple
Registre des risques du projet "soirée barbecue" avec quelqu'un d'inexpérimenté manipulant le gril, à la fois sous forme de tableau (ci-dessous) et sous forme de tracé (à droite).
Catégorie | Nom | ID RBS | Probabilité | Impact | Atténuation | Contingence | Score de risque après atténuation | Action par | Quand agir |
---|---|---|---|---|---|---|---|---|---|
Invités | Les invités trouvent la fête ennuyeuse | 1.1. | bas | moyen | Invitez des amis fous, fournissez suffisamment d'alcool | Sortez le karaoké | 2 | dans les 2h | |
Invités | Bagarre ivre | 1.2. | moyen | bas | N'invitez pas d'amis fous, ne fournissez pas trop d'alcool | Appeler le 17 | X | Immédiatement | |
Nature | Pluie | 2.1. | bas | haute | Faites la fête à l'intérieur | Déplacez la fête à l'intérieur | 0 | dans les 10 minutes | |
Nature | Feu | 2.2. | plus haut | plus haut | Commencez la fête avec des instructions sur ce qu'il faut faire en cas d'incendie | Mettre en œuvre le plan de réponse approprié | 1 | Tout le monde | Selon le plan |
Aliments | Pas assez de nourriture | 3.1. | haute | haute | Avoir un buffet | Commander une pizza | 1 | 30 min | |
Aliments | La nourriture est gâtée | 3.2. | haute | plus haut | Conservez les aliments au congélateur | Commander une pizza | 1 | 30 min |
Terminologie
Un registre des risques peut contenir de nombreux éléments différents. Il existe des recommandations pour le contenu du registre des risques faites par le Project Management Institute Body of Knowledge ( PMBOK ) et PRINCE2 . L'ISO 31000:2009 [2] n'utilise pas le terme registre des risques, mais indique que les risques doivent être documentés.
Il existe de nombreux outils différents qui peuvent servir de registres des risques, des suites logicielles complètes aux simples feuilles de calcul. L'efficacité de ces outils dépend de leur mise en œuvre et de la culture de l'organisation.
Un registre des risques typique contient :
- Une catégorie de risque pour regrouper des risques similaires
- Le numéro d'identification de la structure de répartition des risques
- Une brève description ou un nom du risque pour faciliter la discussion du risque
- L' impact (ou la conséquence ) si l'événement se produit réellement évalué sur une échelle entière
- La probabilité ou la vraisemblance de son apparition évaluée sur une échelle entière
- Le score de risque (ou notation de risque ) est la multiplication de la probabilité et de l'impact et est souvent utilisé pour classer les risques.
- Les étapes d'atténuation courantes (par exemple, dans les projets informatiques) sont l'identification, l'analyse, la réponse planifiée, la surveillance et le contrôle.
Le registre des risques est dit « qualitatif » si les probabilités sont estimées en les hiérarchisant, de « fort » à « faible » impact. C'est ce qu'on appelle « quantitatif », tant l'impact que la probabilité sont chiffrés, par exemple un risque peut avoir un impact de « 1 million de dollars » et une probabilité de « 50 % ».
Réponse contingente - les mesures à prendre si l'événement à risque se produit réellement.
Contingence - le budget alloué à la réponse contingente
Déclencheur - un événement qui entraîne lui-même la survenance de l'événement à risque (par exemple, l'événement à risque peut être « inondation » et « fortes pluies » le déclencheur)
Critiques
Bien que les registres des risques soient des outils couramment utilisés non seulement dans les projets et programmes, mais aussi dans les entreprises, des recherches ont montré qu'ils peuvent entraîner des dysfonctionnements. Par exemple, le registre des risques de Toyota a répertorié les risques de réputation causés par les dysfonctionnements de la Prius, mais l'entreprise n'a rien fait[3]. Les registres des risques conduisent souvent à une prise de décision rituelle[3], à l' illusion de contrôle[4], et au sophisme du concret mal placé : confondre la carte avec le territoire[5]. Cependant, s'ils sont utilisés avec bon sens, les registres des risques sont un outil utile pour stimuler le débat et la coopération interdisciplinaire[5].
Voir également
- Risque
- Méthodologie de la chaîne d'événements
- Structure de répartition des risques
- Outils de gestion des risques
- Journal des problèmes
- Mode de défaillance et analyse des effets
- Analyse du mode de défaillance, des effets et de la criticité
Références
- « ISO Guide 73:2009 », ISO
- « Risk management standards », www.iso.org (consulté le )
- Drummond, Helga. "MIS and illusions of control: an analysis of the risks of risk management. Journal of Information Technology (2011) 26, 259–267. DOI 10.1057/jit.2011.9
- Lyytinen, Kalle. "MIS: the urge to control and the control of illusions – towards a dialectic". Journal of Information Technology (2011) 26, 268-270 (December 2011). DOI 10.1057/jit.2011.12
- Budzier, Alexander. "The risk of risk registers – managing risk is managing discourse not tools". Journal of Information Technology (2011) 26, 274-276 (December 2011), DOI 10.1057/jit.2011.13