Un projet est un processus unique, qui consiste en un ensemble d’activités coordonnées et maîtrisées comportant des dates de début et de fin, entrepris dans le but d’atteindre un objectif conforme à des exigences spécifiques telles que les contraintes de délais, de coûts et de ressources », selon la norme ISO 10006:2003. Ce processus comporte des risques qu’il convient d’identifier et d’évaluer dans le cadre d’une analyse spécifique.

En effet, un projet possède quatre caractéristiques propres. D’abord, chaque projet est unique. Même si plusieurs projets se ressemblent, ils ne seront pas identiques. Ensuite, un projet est limité dans le temps, défini avec une date de début et une date de fin. Puis, un projet doit répondre à des contraintes de coûts, de délais, de ressources et de qualité. Enfin, un projet est par essence, multidisciplinaire car touche plusieurs domaines de compétences.

On distingue souvent deux types de projets :

  • un projet stratégique ou transverse qui associe plusieurs acteurs de l’entreprise dans la mise en place d’un nouveau produit, d’un nouvel outil, d’une infrastructure supportés par le système d’informations. Ce type de projet est souvent piloté par un directeur ou un chef de projet de maîtrise d’ouvrage (ou MOA) au sein d’une direction ou d’un service dédié aux projets.
  • un projet SI qui modifie le comportement ou l’organisation des systèmes d’informations. Il s’inscrit dans un contexte global (stratégie, fusion, optimisation, réorganisation, digitalisation, nouveaux processus). Ce type de projet est souvent piloté par un directeur ou un chef de projet de maîtrise d’oeuvre (ou MOE) au sein même de la DSI.

Le projet doit répondre à un besoin de l’organisation et vise la satisfaction des futurs utilisateurs. Chaque projet a un impact sur l’organisation et plusieurs projets peuvent se compléter et se coordonner. Le projet mobilise des moyens, il a ses objectifs, ses responsables, son équipe. Il reste cependant subordonné à la stratégie et aux décisions de la Direction Générale (DG). Sa réussite dépend de la qualité de la collaboration des intervenants.

Chaque projet présente des risques pouvant causer d’importants dégâts, tant pour le projet que pour l’entreprise. S’il est difficile d’identifier tous les risques d’un projet, il convient d’en identifier les principaux, de les évaluer, de proposer des actions de remédiation ou de maîtrise. Ce travail peut être réalisé au moyen d’une analyse de risques spécifique aux projets. Celle-ci est réalisée par le risk manager, les chefs de projets MOA et MOE, et le cas échéant, d’autres acteurs du projet. Aussi, pour que l’analyse de risques projet ait une portée suffisamment efficace, une validation par le sponsor ou référent du projet, souvent un membre du Comité de direction, est recommandée. Cette validation peut être l’occasion d’échanger au cours d’une réunion lorsque les risques identifiés sont critiques.

On peut recenser les types de risques projets différemment selon les organisations. Pour autant, on pourra retrouver :

  • des risques liés à la conduite de projet : productivité, disponibilité, motivation, contrôle, surcharge, gestion, communication, compétences, sécurité, résistances
  • des risques liés à la réalisation du projet : qualification des maîtrises d’oeuvre, disponibilité, sous-traitants, organisation des travaux, transfert de compétences, qualité des travaux, adhérences avec d’autres projets
  • des risques liés aux aspects techniques : cadrage et définition du besoin, erreurs de conception, périmètre flou, innovations, maturité des technologies, architecture, version logiciel, maîtrise des technologies, contraintes d’insertion
  • des risques liés à l’organisation et aux contrats : clauses contractuelles, contentieux, turnover, limites de responsabilités
  • des risques liés aux achats : fiabilité et solvabilité du fournisseur et du sous-traitant, évolution des coûts, délais d’approvisionnement
  • des risques liés à l’économie : solvabilité du client, conflit social, crise économique, réglementation, culture, douanes, langues, conflits

A côté de ces risques, des changements ou des incidences sur les processus peuvent être identifiés et donc de nouveaux risques opérationnels provoqués par le projet. Souvent, ces risques sont le résultat d’une mauvaise ou d’un défaut de conduite de changement. Par exemple, la mise en oeuvre d’un outil dans le cadre d’un projet en remplacement de process manuel nécessite  une sensibilisation et une formation des opérationnels, un temps d’adaptation, de nouvelles documentations, la gestion de la période biseau, etc.

Aux côtés de l’analyse de risques projets, d’autres analyses peuvent être réalisées :
  • Une analyse de sécurité des systèmes d’informations afin d’identifier les nouveaux risques sur la sécurité et de prendre en compte leur maîtrise dès la conception
  • Une analyse concernant la continuité d’activité afin d’identifier les éventuels changements du dispositifs et la mise à jour des documents
  • Une analyse d’impact sur la protection des données, selon les principes du RGPD, afin de garantir un niveau de sécurité et de protection a minima équivalent à la situation d’avant-projet
  • Une analyse de conformité, notamment dans le cadre de nouveaux produits, de modification significative de produit, de nouvelles pratiques commerciales
  • Une analyse de sécurité financière afin de déceler de nouveaux risques de blanchiment de capitaux ou de fraude et d’apporter de nouvelles mesures de vigilance

Chaque analyse de risques ne sert pas à uniquement identifier et évaluer des risques. Des préconisations afin de les réduire ou de mieux les maîtriser doivent être émises, puis suivies tout au long du projet. Le rôle du risk manager est alors de faire un point régulier sur ces préconisations et d’alerter le sponsor ou la direction générale si nécessaire.

En fonction des entreprises, le nombre de projets peut varier. Si leur nombre est important, il vaut mieux se concentrer sur les projets stratégiques et ceux présentant un aspect critique, tout en gardant un oeil sur les projets moins critiques. De par sa fonction, le risk manager dispose d’une prise de recul et d’une vision transverse et peut apporter ainsi conseil au sponsor et aux chefs de projet.

Share This