Un projet n'est pas un long fleuve tranquille. Il peut se passer mille et une choses qui peuvent perturber son bon déroulé. C'est ce qu'on appelle des risques. Et je suis sûr que vous en avez déjà rencontré certains.
Dans cet article, je vous explique quels sont les différents types de risques que vous pouvez rencontrer sur votre projet, comment les identifier, et ce que vous pouvez faire pour y répondre.
Qu'est-ce qu'un risque en gestion de projet ?
Un risque projet est un événement futur et incertain, identifiable et quantifiable, qui pourrait survenir en cours de route et impacter votre projet. Il s'agit de difficultés pouvant apparaître et que vous êtes en mesure d'identifier et de catégoriser en amont.
Chaque risque est catégorisé selon une probabilité de survenance et un niveau d'impact, ce qui donne la gravité finale du risque. Pour cela, vous pouvez vous appuyer sur une matrice de risques.
Exemple de matrice de risques - Vu sur Safety Culture
Les risques projet sont recensés par le chef de projet dans le registre des risques, puis sont suivis au quotidien. Une réponse spécifique est apportée à chaque risque, afin d'éviter qu'il apparaisse. Ces réponses sont inscrites dans le plan de prévention des risques.
Il existe deux grandes familles de risques :
- Les risques exogènes.
Il s'agit des risques extérieurs à l'entreprise. Par exemple : évolution de la réglementation, délais supplémentaires de livraison côté fournisseur, pandémie mondiale, risques politiques et sociaux, météo, ... - Les risques endogènes.
Il s'agit des risques internes à l'entreprise. Par exemple : organisation du projet, indisponibilités des experts, mauvaises estimations, choix des prestataires, ...
Suite à la mise en place d'un plan d'action, un risque peut disparaître sans jamais s'être produit. Mais il peut donner aussi naissance à des risques secondaires et des risques résiduels :
- Les risques secondaires.
Un risque secondaire est un risque qui n'existait pas avant et qui apparaît suite à la mise en place d'un plan d'action en réponse à un risque principal. - Les risques résiduels.
Un risque résiduel est un risque qui perdure suite à la mise en place d'un plan d'action, bien qu'il soit diminué, ou un risque délibérément accepté du fait de sa faible probabilité ou de son faible impact.
Les différents types de risques
Il existe de nombreux types de risques à prendre en compte en gestion de projet, dont voici les principaux :
- Les risques juridiques et réglementaires.
Il s'agit des risques liés aux lois et aux réglementations régionales ou nationales. Par exemple : promulgation d'une nouvelle loi, RGPD, respect de la loi, ... - Les risques sociaux et organisationnels.
Cette catégorie est très large, et peut regrouper tous les risques pouvant impacter la population, des personnes ou des organisations. Par exemple : problème d'accès au logement, démographie, immigration, émigration, obsolescence des compétences, indisponibilité des experts, ... - Les risques technologiques.
Ils concernent des solutions technologiques innovantes, et peuvent impacter les populations, les infrastructures et l'environnement. Par exemple : Accident industriel, transport de matière dangereuse, déchets dangereux, accident nucléaire, rupture de barrage, ... - Les risques numériques et informatiques.
Cette catégorie concerne les solutions informatiques et numériques, et peut impact les produits et les utilisateurs de ces produits. Par exemple : cyber-attaque, violation de confidentialité des données, fuite de données, propagation de fake news, ... - Les risques économiques et financiers.
Ce type de risques se traduit par une perte d'argent pour l'entreprise, une organisation ou un individu. Par exemple : fluctuation du marché boursier, mauvaise gestion des finances, météo extrême (cultures détruites), ... - Les risques professionnels et métiers.
Cette catégorie de risque peut impacter les salariés, notamment dans le cadre de métiers à risque. Par exemple : Chute si travaux en hauteur, espaces confinés, pénibilité, troubles musculosquelettiques, ... - Les risques environnementaux et climatiques.
Ils sont essentiellement causés par l'homme et impactent la nature, la faune, la flore, les populations, et les écosystèmes. Par exemple : réchauffement climatique, déforestation, pollution des sols, diminution de la diversité biologique, ... - Les risques naturels.
Ces risques ont pour cause des phénomènes naturels pouvant créer des dommages pour des équipements, des ouvrages et des populations. Par exemple les canicules, inondations, sécheresses, tsunamis, tremblements de terre, etc... - Les risques géographiques.
On parle souvent d'aléa pour cette catégorie, qui concerne les dégâts "naturels" pouvant être causés à une population, la technologie, les infrastructures. Par exemple : surpeuplement, sous-équipement, terrain meuble et argileux, ... - Les risques politiques et géopolitiques.
Ces risques affectent les relations entre états. Par exemple : guerres, guerres commerciales, blocus, terrorisme, accès aux ressources naturelles, politiques sanitaires nationales, ... - Les risques sanitaires.
Ces risques sont un danger pour la population et les animaux. Par exemple : pandémie mondiale, contamination chimique, pollution de l'eau, etc... - Les risques médicaux.
Ces risques concernent les patients, les professionnels de santé et leur entourage. Par exemple : mauvais geste technique lors d'une opération, handicap provisoire ou permanent, manque de formation des professionnels de santé, ... - Les risques psychosociaux.
Ces risques désignent des dommages physiques ou physiologiques causés par des humains à d'autres humains. Par exemple : Stress, burnout, harcèlement, épuisement professionnel, ...
Ces risques peuvent être regroupés en deux grandes familles : les risques externes (exogènes) et les risques internes (endogènes).
En tant que chef de projet, vous devrez uniquement vous concentrer sur les risques dits opérationnels, c'est à dire ceux qui touchent directement au bon déroulement du projet.
Les risques stratégiques ne sont pas gérés par le chef de projet, et les aléas ne pouvant par nature pas être quantifiés, vous les mettez de côté dans votre gestion des risques.
A noter que chacun de ces risques peut être quantifié en terme d'impacts. Les impacts peuvent être exprimés aussi bien éléments impactés sous forme de liste, qu'en espèces sonnantes et trébuchantes (en euros).
Différences entre risque, imprévu, aléa et problème
Tous ces éléments décrivent des événements qui peuvent survenir en cours de projet et créer de forts impacts sur celui-ci. Voici comment les distinguer :
- Imprévu.
Il n'est ni identifiable en amont, ni quantifiable. - Aléa.
Il est identifiable, mais pas quantifiable (on ne sait pas mesurer les impacts). - Risque.
Il est identifiable en amont, et quantifiable. - Problème.
C'est un événement qui vient de se produire et qu'il faut résoudre au plus vite.
Qu'est-ce que la gestion des risques ?
En gestion de projet, on essaye d'anticiper tout ce qui peut l'être au démarrage du projet, afin de réduire l'incertitude, d'éviter d'être surpris en cours de route, et de limiter au maximum les impacts négatifs sur un projet, pour respecter les triples contraintes de qualité / coût / délai.
Pour cela, le chef de projet met en place un processus de gestion des risques, qui se concentre exclusivement sur les événements de type risques (c'est à dire qui sont identifiables ET quantifiables).
Il les recense dans un registre des risques, puis les catégorise, estime la probabilité de survenance de chaque risque, et met en place les réponses adaptées pour éviter que ces risques se produisent.
A noter qu'en tant que chef de projet, on se concentre uniquement sur les risques opérationnels, pouvant impacter directement le bon déroulement du projet. Les risques stratégiques sont quant à eux gérés par les décisionnaires du projet ou par le directeur de projet.
Enfin, vous devez comprendre que la gestion de risques est une manière d'anticiper ce qui pourrait mal tourner sur un projet, alors que la gestion de crise consiste à réagir en urgence face à un problème avéré, ce qu'on veut éviter à tout prix. Je rentre en détails dans les différences entre ces deux notions dans cet article.
