L’identification et la gestion des risques est un passage obligé en gestion de projet.
Mal fait, cela peut créer de nombreuses difficultés en cours de route, et même bloquer le projet, voire l’arrêter prématurément.
Dans cet article, je vous explique en détails comment identifier un risque, comment l’évaluer, comment le prioriser et comment le gérer.
Comment gérer les risques d’un projet
1 ) Comment identifier un risque en gestion de projet ?
Pour identifier un risque projet, vous devez, dès le démarrage de votre projet, faire preuve de créativité et imaginer tout ce qui pourrait mal se passer, même les choses qui vous paraissent improbables en premier lieu.
Pour cela, vous pouvez :
- Solliciter l’équipe projet, via des ateliers de travail et brainstorming.
- Réaliser un SWOT, pour identifier les points forts et points faibles du projet.
- Consulter d’anciens bilans projet.
- Demander à vos collègues chefs de projet les leçons apprises sur leur projet.
- Consulter des retours d’expérience (RETEX).
- Faire appel aux parties prenantes clés : commanditaire, sponsor, utilisateurs métiers, etc…
Pensez catégorie. Demandez-vous ce qui pourrait mal se passer d’un point de vue technologique, opérationnel, organisationnel, juridique, etc…
Pour aller + loin : Je vous indique dans cet article les 13 catégories de risques à prendre en compte.
Une fois votre risque identifié, munissez-vous d’un tableau des risques (comme le template ci-dessous, que je vous donne gratuitement), et précisez :
- La nature du risque.
Déterminez la typologie du risque. S’agit-il d’un risque juridique ? technologique ? Politique ? Économique ? - Son identification.
Choisissez un nom court et évocateur, afin de le retrouver facilement. Ce nom doit non seulement vous parler, mais aussi être compréhensible de votre éventuel remplaçant ou successeur. - Le type de risque.
Un risque peut être opérationnel, managérial ou stratégique, et impacter différents niveaux du projet.
2 ) Comment évaluer un risque projet ?
Évaluer un risque projet consiste à réaliser une analyse de ce risque, afin de déterminer s’il s’agit d’une menace forte pour le projet ou si celui-ci est au contraire négligeable.
Pour cela, vous devez déterminer deux indicateurs :
- La probabilité d’apparition.
- La gravité (ou l’impact).
Ces indicateurs peuvent varier selon la nature du risque, son type, et les conséquences néfastes qu’il pourrait avoir sur le projet.
Vous devrez également tenir compte de la tolérance aux risques du client. Dans certains cas, un retard d’une journée peut être accepté sans problème (en informatique, il vaut mieux perdre 1 jour que de planter tout le Système d’Information), alors que dans d’autres c’est inacceptable (par exemple l’organisation d’un événement).
Comment déterminer la probabilité de survenance d’un risque ?
La probabilité de survenance d’un risque déterminer le pourcentage de chances qu’il a de se produire.
Bien que vous pourriez vous amuser à le mesurer avec précision, je vous le déconseille. Déjà parce que vous y passeriez beaucoup de temps, mais également parce que cela restera des estimations plus ou moins précises, qui évolueront de toute façon dans le temps.
Pour connaître la probabilité de survenance d’un risque, le plus simple est de la classifier en 5 catégories :
- Improbable.
Le risque est à ce stade négligeable, tellement il a peu de chances de se produire. Par exemple, une chute d’astéroïde sur les locaux de l’entreprise. - Peu probable.
Le risque a peu de chances de se produire (moins de 15%), mais il n’est pas négligeable. Par exemple, un membre de l’équipe projet tombe malade et ne peut pas assurer le travail confié. - Possible.
Le risque a des chances raisonnables de se produire (entre 15 et 40%). On ne peut pas l’écarter, et vous devez le gérer et le suivre. - Probable.
Le risque a plus de 40% de chances de se produire (1 chance sur 2, voir au-dessus). Il ne peut pas être ignoré, et un plan d’action complet doit être mis en place pour y répondre. - Très probable.
Le risque a de très fortes chances de survenir. Il est considéré comme critique, et vous devez tout mettre en place pour éviter que cela arrive.
Comment déterminer les impacts d’un risque ?
L’impact, ou le niveau de gravité d’un risque, détermine les conséquences néfastes sur le projet s’il devait se produire.
On l’estime généralement sur 5 niveaux :
- Insignifiant.
Ce risque n’a aucun impact sur le projet, ou alors tellement peu qu’il est jugé négligeable. - Mineur.
Un impact mineur signifie que l’on peut subir des coûts supplémentaires ou un retard, sans pour autant mettre en danger l’intégralité du projet. Des risques mineurs se produisant à répétition peuvent par contre impacter durablement la bonne santé du projet. - Modéré.
Ce risque peut impacter négativement tout ou partie d’un projet, et générer carge de travail supplémentaire, glissement du planning, et surcoûts. Il doit être suivi avec attention. - Majeur.
Un impact majeur signifie que votre projet prend n gros coup dur : les retards de planning peuvent être considérables, tout comme les sommes supplémentaires à engager côté budget. Le projet peut également être prématurément arrêté. - Catastrophique.
S’il apparaît, ce risque signe la mort de votre projet, explose les coûts (et donc votre rentabilité en vol), et peut même impacter durablement l’équilibre économique de l’entreprise.
Pour aller plus loin dans l’évaluation d’un risque, notamment pour les risques critiques, il est possible de déterminer l’impact en Euros (€) pour le projet.
On pourra ensuite chiffrer le coût des mesures à mettre en place pour s’assurer que celles-ci ne coûtent pas plus cher que les impacts du risque.
Je vous conseille cependant de réserver cette manière de travailler aux chefs de projet senior et directeurs de projet.
3 ) Comment prioriser les risques projet ?
Une fois les risques identifiés, évalués et catégorisés, il est maintenant temps de les prioriser.
Si vous utilisez mon modèle de registre des risques, la criticité se calcule automatiquement en fonction de l’impact (gravité) et de la probabilité de survenance d’un risque. Mais si vous décidez de le faire à la main, c’est très simple !
Il vous suffit d’utiliser une matrice de criticité des risques. C’est un tableau à deux entrées, qui permet de déterminer la criticité d’un risque en fonction de son niveau d’impact et de sa probabilité d’apparition.
- Si vous catégorisez vos probabilités et vos impacts selon 3 niveaux (Faible – Moyen – Élevé), alors vous devez utiliser une matrice des risques 3×3. C’est parfait pour débuter en gestion des risques.
Cette matrice de criticité des risques est parfaite pour débuter.
- Si vous utilisez 5 niveaux pour vos probabilités et vos impacts, vous serez bien plus précis dans la priorisation de vos risques, au prix d’un petit effort supplémentaire. Vous utiliserez alors une matrice des risques 5×5.
Cette matrice de risques permet d’être très précis pour prioriser ses risques projet
Si vous ne souhaitez pas utiliser de matrice de risques et que vous souhaitez tout faire à la main, alors voici les calculs à suivre (rien de bien compliqué) :
- Les niveaux de probabilité de survenance se voient attribuer un chiffre de 1 à 5 : 1 étant Improbable, 5 étant Très probable.
- Les niveaux d’impacts (ou de gravité) prennent également un chiffre de 1 à 5 : 1 correspondant à Insignifiant, 5 à Catastrophique.
- Pour déterminer la criticité d’un risque, il vous suffit de multiplier ces deux chiffres.
Par exemple, un risque avec une probabilité de « 3 – Possible » et un impact de « 4 – Majeur » aura une criticité de : 3 x 4 = « 12 – Élevé ».
4 ) Comment traiter les risques ?
Pour traiter et gérer un risque, vous devez mettre en place une réponse adaptée, pour limiter ses effets ou agir à la source pour éviter qu’il se produise.
Le plan d’action que vous déroulez pour éviter la survenue du risque s’appelle un plan d’atténuation des risques. On parle également de plan de mitigation des risques.
Les actions sont définies selon la stratégie de réponse que vous souhaitez adopter. Vous avez 7 stratégies de réponses possibles à vos risques s’ils sont négatifs, et 5 s’ils sont positifs.
Consultez ce guide complet sur les stratégies de réponse aux risques, pour identifier la réponse la plus adaptée pour vos risques projet.
Indiquez alors dans votre registre des risques quelle est la réponse à adopter pour chaque risque, puis détaillez le plan d’action à dérouler pour chacun d’entre eux.
5 ) Comment suivre les risques ?
Ce n’est pas tout d’identifier les risques au démarrage de votre projet. Il faut ensuite les suivre dans le temps.
En effet, la gestion de projet (et la gestion des risques !) c’est évolutif. En fonction des derniers événements, de l’incertitude, des difficultés et problèmes rencontrés, les risques peuvent évoluer à la hausse ou à la baisse.
Je vous conseille donc de repasser sur votre registre des risques à fréquence régulière (au moins 1 fois par mois), afin de réévaluer la probabilité de survenance et l’impact de chacun de vos risques.
Vous pouvez par exemple comparer vos nouvelles données par rapport aux évaluations que vous avez réalisez lors de l’identification du risque. Cela vous permettra d’apprécier comment le risque a évolué, et si les stratégies que vous avez déployé ont été suivi d’effet ou non.
Je découpe toujours mon registre des risques de cette façon, afin de suivre l’évolution d’un risque dans le temps.
A ce stade, vous avez plusieurs possibilités :
- Le risque n’a plus lieu d’être.
L’impact du risque est nul, ou le risque n’a plus aucune chance de se produire. Il est donc clos. Vous pouvez changer son statut dans votre registre des risques et le clôturer définitivement. - Il existe un risque résiduel.
Malgré vos actions, le risque est encore présent, bien que vous ayez réussi à diminuer sa probabilité de survenance ou son impact. Vous devez alors à nouveau l’évaluer et décider d’une nouvelle réponse à apporter. - Il existe un risque secondaire.
Il s’agit d’un risque apparu suite au déroulement du plan d’atténuation du risque. Vous devez également l’évaluer, et décider de comment y répondre. - De nouveaux risques sont apparus.
De nouveaux risques peuvent émerger à tout moment durant un projet. Si c’est le cas, indiquez-les dans votre tableau des risques, et traitez-les comme il se doit en répétant les étapes.
Pour aller + loin : Consultez cet article pour comprendre les différences entre un risque projet, un risque résiduel et un risque secondaire.