En gestion de projet, on peut parfois mélanger les concepts de risques projet et risques métier (ou business), surtout dans des environnements où les frontières entre opérationnel et stratégique sont floues.
Pourtant, mal distinguer ces deux catégories peut mener à des décisions inappropriées, une allocation inefficace des ressources, ou pire, à l’échec de projets pourtant bien menés sur le plan technique et méthodologique.
Nous allons donc dans cet article essayer de clarifier les différences fondamentales entre ces risques, leurs impacts respectifs, et comment les intégrer dans une gouvernance cohérente.
Un rappel essentiel : qu’est-ce qu’un risque et comment le gérer ?
Revenons aux sources et voyons plus en détail la définition de ces deux types de risque.
1) Risques Projet : focus sur la livraison
Définition :
Événement incertain affectant les objectifs d’un projet (coût, délai, qualité, portée).
Ils sont identifiés, analysés et traités dans le cadre du cycle de vie du projet, selon le standard PMI.
Exemples :
- Technique : Défaillance d’un prototype en phase de test.
- Ressources : Départ imprévu d’un expert clé.
- Externe : Retard de livraison d’un fournisseur dû à des problèmes douaniers.
- Organisationnel : Conflit entre équipes sur la priorisation des tâches.
Outils :
- Registre des risques (avec propriétaires, probabilité, impact, réponses).
- Matrice probabilité/impact pour prioriser.
- Plans de contingence (ex. : budget de réserve pour les retards).
2) Risques Métier : Enjeux stratégiques
Définition :
Menaces ou opportunités affectant la capacité de l’entreprise à atteindre ses objectifs stratégiques (rentabilité, croissance, conformité, réputation).
Ils sont gérés dans le cadre de l’ERM (Entreprise Risk Management), avec une vision portefeuille/programme.
Exemples :
- Marché : Arrivée d’un concurrent low-cost.
- Réglementaire : Nouvelle loi RGPD en Europe impactant la collecte de données clients.
- Réputation : Scandale environnemental lié à un sous-traitant.
- Technologique : Obsolescence d’une solution logicielle clé.
Outils :
- Cartographie des risques stratégiques (ex. : matrice SWOT étendue).
- Comités de gouvernance pour escalader les risques transverses.
- Scénarios de continuité d’activité (PCA) pour les crises majeures.
3) Méthodes de gestion des risques
Rappelons également que pour traiter un risque (souvent présenté pour les menaces/risques négatifs), on utilise généralement quatre méthodes principales :
- Éviter (Avoid) : modifier le plan ou l’approche pour éliminer la menace ou protéger le projet (ex. retirer une partie de périmètre à haut risque, changer de solution technique).
- Transférer (Transfer) : déplacer l’impact et la responsabilité du risque vers un tiers (ex. assurance, contrat à prix forfaitaire, sous-traitance d’un élément risqué). Le risque ne disparaît pas, mais il est porté par une autre partie.
- Atténuer / Mitiger (Mitigate) : réduire la probabilité d’occurrence et/ou réduire l’impact (ex. ajouter des tests, renforcer la formation, réaliser un prototype, ajouter des contrôles qualité).
- Accepter (Accept) : reconnaître le risque et ne pas engager d’action proactive (ou seulement prévoir une réponse si le risque survient). L’acceptation peut être passive (surveillance) ou active (réserve de contingence, plan de repli).
Pourquoi confond-on risques projet et risques métier ?
Bien que les définitions ci-dessus soient claires, il est courant de mélanger les risques métiers avec les risques projets.
Et en conséquence ne pas prendre les bonnes décisions ou les mesures adaptées.
1) Une question de périmètre et de niveau décisionnel
La confusion naît souvent de l’interdépendance entre les deux types de risques.
Un risque projet (ex. : retard dans la livraison d’un composant critique) peut impacter un objectif métier (ex. : perte de parts de marché si le produit n’est pas lancé à temps).
À l’inverse, un risque métier (ex. : changement réglementaire) peut perturber plusieurs projets en cours.
Pourtant, leur dynamique est différente :
- Risque projet : Il est lié à l’exécution d’un projet spécifique (délais, coûts, qualité, ressources).
- Il est géré par le chef de projet et son équipe, avec des outils comme le registre des risques ou les matrices probabilité/impact.
- Il n’existe que dans le cadre du projet.
- Et il a, si l’on peut dire une durée de vie définie : il disparaît en général lorsque le projet se termine.
- Risque métier : Menace ou opportunité pour la stratégie globale de l’entreprise (concurrence, marché, réputation, conformité).
- Il relève de la direction ou des responsables de portefeuilles/programmes, et s’inscrit dans une démarche de gestion des risques d’entreprise (ERM, Enterprise Risk Management).
- Il a son existence propre et continue à exister s’il n’est pas traité.
Exemple concret :
Un chef de projet dans une entreprise pharmaceutique gère un risque de retard sur les essais cliniques (retard = risque projet).
Mais si ce retard est dû à un durcissement des règles européennes sur les données patients (réglementaire = risque métier).
La réponse ne peut être seulement au niveau projet : elle doit impliquer la direction pour adapter la stratégie R&D ou tenter de négocier auprès des autorités.
2) Conséquences d’une mauvaise gestion croisée
Comme nous le disions auparavant, le fait de confondre les risques fait que l’on applique pas les bonnes méthodes.
2.1) Gérer un Risque Métier comme un Risque Projet
Erreur courante :
Traiter un risque stratégique (ex. : perte de marché) avec des actions locales (ex. : réallouer des ressources projet), sans remettre en cause la stratégie commerciale.
Conséquences :
- Sous-estimation : Le problème persiste (ex. : baisse des ventes malgré les ajustements projets).
- Dilution des responsabilités : Personne ne prend de décision globale.
- Gaspillage : Ressources utilisées pour des solutions ponctuelles au lieu d’une refonte stratégique.
Exemple :
Une entreprise lance un projet digital pour contrer un concurrent.
Si le risque "perte de clients" est géré uniquement au niveau projet (ex. : ajouter des fonctionnalités), sans analyse marché globale, le projet peut échouer faute d’adresser la vraie cause (ex. : prix trop élevés).
2.2) Gérer un Risque Projet comme un Risque Métier
Erreur courante :
Escalader systématiquement des risques projets (ex. : petit retard) à la direction, saturant les instances décisionnelles.
Conséquences :
- Perte de réactivité : La direction, submergée, ne traite pas les vrais enjeux stratégiques.
- Décisions disproportionnées : Annulation prématurée de projets viables.
- Démotivation des équipes : Sentiment de micro-management.
Exemple :
Un chef de projet signale un retard de 2 semaines sur un livrable mineur.
Si la direction déclenche une revue stratégique, elle perd du temps sur des sujets critiques (ex. : fusion avec un partenaire local).
Menaces et opportunités !
Ce n’est pas le fait d’être pessimiste par nature, mais être réaliste : tout ce qui est dit au sujet des menaces ( = risque négatif) est valable pour les opportunités (= risque positif).
Malheureusement nous avons plus souvent des retards de livraison que des livraisons en avance ; des augmentations de prix que des diminutions…
Rôles et responsabilités : qui fait quoi ?
Un sujet récurrent dans la gestion de projet : définir clairement les rôles et responsabilités de chacun !
1) Chef de Projet : Maître des Risques Projet
Responsabilités :
- Identifier, analyser et traiter les risques liés à son projet.
- Mettre à jour le registre des risques et les plans de réponse.
- Escalader les risques dépassant son périmètre (ex. : impact sur d’autres projets ou sur la stratégie).
- Collaborer avec le Risk Manager ou le PMO pour les risques transverses.
Limites :
- Ne pas prendre de décisions stratégiques (ex. : abandonner un projet).
- Ne pas gérer seul les risques externes majeurs (ex. : crise géopolitique en Afrique du Nord).
2) Direction/Risk Manager : Garants des risques stratégiques
Responsabilités :
- Définir l’appétence au risque de l’entreprise (ex. : tolérer un retard si le gain stratégique est élevé).
- Allouer les ressources pour les risques critiques (ex. : budget de contingence global).
- Décider des réponses aux risques métiers (ex. : rachat d’un concurrent, lobbying réglementaire).
- S’assurer de l’alignement entre risques projets et stratégie via des revues de portefeuille.
Outils :
- Cartographie des risques stratégiques (ex. : matrice probabilité/impact au niveau portefeuille).
- Comités de gouvernance pour arbitrer les conflits entre projets.
- Tableaux de bord ERM pour suivre les indicateurs clés (ex. : exposition réglementaire par région).
Comment distinguer risque projet et risque métier dans la gouvernance ?
Très souvent un risque métier n’impacte pas au même niveau qu’un risque projet.
1) Clarifier les niveaux de décision
Utiliser le cadre méthodologique pour distinguer les niveaux :
- Projet : Risques gérés par le chef de projet (ex. : retard, qualité).
- Programme : Risques liés à l’interdépendance des projets (ex. : synchronisation des livrables, gestion des ressources).
- Portefeuille : Risques stratégiques (ex. : alignement avec la vision de l’entreprise).
- Entreprise (ERM) : Risques existentiels (ex. : crise financière, réglementaire).
Exemple :
Dans une banque, un risque de cyberattaque est :
- Projet : Retard sur la migration d’un système (géré par le chef de projet IT).
- Métier : Perte de confiance des clients (géré par la direction avec un plan de communication crise).
2) Mettre en place des processus d’escalade
Définir par exemple des seuils d’escalade dans la charte projet :
- Critère quantitatif : Impact > 10% du budget projet → escalade au programme.
- Critère qualitatif : Risque touchant la réputation ou la conformité → escalade à la direction.
Outils :
- Matrice RACI pour clarifier qui est Responsable, Approbateur, Consulté, Informé. Idéalement avoir une matrice RACI au niveau projet et une autre au niveau de l’entreprise et/ou du Portefeuille/PMO
- Registres de risques hiérarchisés (projet vs portefeuille).
3) Intégrer la gestion des risques dans les cycles de vie
Pour les projets :
- Planification : Atelier d’identification des risques avec parties prenantes.
- Exécution : Revue mensuelle des risques et mise à jour des plans de réponse.
- Clôture : Capitalisation des leçons apprises (ex. : base de données des risques récurrents).
Pour les risques métiers :
- Revue stratégique annuelle : Analyse des menaces/opportunités marché (ex. : analyse PESTEL).
- Comités trimestriels ou mensuels : Suivi des risques portefeuille et arbitrage des conflits entre projets.
Qu’est-ce qu’une analyse PESTEL ?
L'analyse PESTEL est un cadre d'analyse en stratégie d'entreprise.
L'acronyme, qui signifie Politique, Économique, Sociologique, Technologique, Environnemental et Légal, recouvre les facteurs macro-environnementaux qui peuvent influencer une entreprise.
4) Former et sensibiliser les équipes
Actions clés :
- Ateliers : Simulations de gestion de crise (ex. : jeu de rôle sur un risque réglementaire).
- Outils collaboratifs : Plateformes partagées pour les registres de risques (ex. : Jira, Smartsheet).
- Culture du risque : Encourager la remontée d’alerte sans crainte de sanction (ex. : boîte à idées anonyme).
Exemple :
Une ONG forme ses chefs de projet à distinguer :
- Risque projet : Retard dans la distribution de kits sanitaires (solution : logistique alternative).
- Risque métier : Baisse des financements internationaux (solution : diversification des bailleurs).
5) Vers une gouvernance intégrée
Séparer risques projet et risques métiers ne signifie pas les isoler, mais les articuler dans une gouvernance cohérente.
Voici les étapes clés pour y parvenir :
- Cartographier : Distinguer les risques dans des registres dédiés (projet vs portefeuille).
- Escalader : Définir des seuils clairs pour remonter les risques stratégiques.
- Collaborer : Impliquer direction et chefs de projet dans des revues conjointes.
- Capitaliser : Documenter les leçons apprises pour affiner la stratégie globale.
Conclusion
La gestion de risques n’est pas une activité anxiogène, bien au contraire. C’est un pas vers plus de sérénité, plus de préparation pour affronter changements et incertitudes.
Savoir identifier correctement la nature des risques - pour intégrer leur traitement correctement dans l’environnement projet, programme, portefeuille et entreprise - permet d’optimiser les ressources allouées à leur gestion et augmenter les chances de les traiter correctement.
Prenez du recul, ayez un esprit critique, définissez correctement les rôles et les responsabilités au sein de la gouvernance et vous aurez alors un cadre nettement plus structuré.
