Prévenir et traiter les risques
Introduction
Les projets de systèmes d’information sont, comme dans de nombreux autres domaines, sujets à la survenance de risques qui en compromettent la bonne fin. S’il est possible dans la majorité des cas de prévenir ces risques ou d’en atténuer les conséquences, il est impossible de les éliminer complètement.
En matière de maîtrise des risques, le rôle du manager de projet ne doit pas se limiter à les traiter, il doit les prévenir. Une approche proactive de prévention des risques peut en réduire considérablement les conséquences négatives.
Certes, cette gestion a un coût puisqu’il faut identifier les risques, les analyser et surtout en surveiller la survenance, ce qui demande d’y consacrer du temps.
S’en dispenser est cependant une double erreur car :
-
Leur survenance inopinée peut conduire à des situations de panique et à des conséquences parfois catastrophiques,
-
Les économies résultant de leur maîtrise dépassent largement le coût de leur gestion, il s’agit donc d’un investissement très rentable.
Problématique des risques
1. Définitions
Les définitions données par les dictionnaires présentent les risques comme :
-
Des dangers éventuels plus ou moins prévisibles,
-
L’éventualité d’événements ne dépendant pas exclusivement de la volonté des parties et pouvant causer une perte ou un dommage,
-
L’exposition à un danger dans l’espoir d’obtenir un avantage.
Pour l’organisme AFITEP, un risque est défini comme « la possibilité qu’un projet ne s’exécute pas conformément aux prévisions de dates d’achèvement, de coût et de spécifications, ces écarts par rapport aux prévisions étant considérés comme difficilement acceptables voire inacceptables ».
La norme AFNOR NFX50-117 définit les termes suivants :
-
Imprévu : événement virtuel non identifiable,
-
Aléa : événement virtuel identifiable mais non quantifiable,
-
Risque : événement virtuel identifiable et quantifiable,
-
Problème : événement virtuel déjà réalisé.
Dans le domaine du management de projet, le risque est considéré comme un événement indésirable et incertain, pouvant impacter négativement un objectif du projet (contenu...
Identification des risques
Une bonne pratique en management de projet consiste à capitaliser les leçons apprises dans des bases de données aux fins de réutilisations ultérieures. Selon les entreprises, les risques survenus au cours des projets sont enregistrés par des structures diverses (Quality Assurance, Risk Management, Knowledge Management…).
Il faut savoir que la majorité des risques survenant dans un projet ont déjà été rencontrés dans des projets précédents et ont fait l’objet d’analyses intéressantes. Le premier réflexe d’un manager de projet au début d’une mission devrait le conduire à consulter ces archives pour alimenter sa réflexion.
L’identification des risques, ainsi initialisée par examen du capital intellectuel, doit être complétée par une démarche systématique suivant trois axes :
-
Passage en revue d’une structure générique de risques pour sélectionner ceux qui peuvent s’appliquer au projet :
Structure générique de risques (cf. PMBOK 4ème édition)
-
Analyse du WBS pour identifier les éléments susceptibles d’être sensibles à certains risques :
Risques associés à des éléments du WBS
-
Analyse du RBS pour identifier...
Analyse qualitative
L’analyse qualitative est l’approche la plus simple et donc la plus répandue.
Il s’agit ici :
-
D’évaluer le niveau de probabilité et le niveau d’impact des risques identifiés,
-
De hiérarchiser ces risques afin de se concentrer sur les plus prioritaires.
Les niveaux de probabilité et d’impact sont déterminés puis classés par ordre d’importance, par exemple :
Qualification des niveaux d’importance de probabilité et d’impact
Sur cette base, la sévérité d’un risque, produit du niveau de probabilité par le niveau d’impact, peut s’échelonner de 1 à 16 aussi bien pour le coût que pour les délais. La sévérité retenue est alors la plus grande des deux valeurs.
À partir de cette segmentation des niveaux d’importance, l’usage est de placer dans un tableur les risques dans une matrice Probabilité x Impact :
Matrice Sévérité = Probabilité x Impact
Ce mode de représentation est très couramment utilisé parce que l’usage d’un tableur s’y prête très bien.
Avec un tableur, les matrices plausibles sont de la forme suivante :
Matrices plausibles avec un tableur
Une meilleure présentation correspond à l’utilisation...
Analyse quantitative
La section précédente a montré la simplicité et l’efficacité de l’analyse qualitative. Celle-ci reste toutefois insuffisante dans les cas où il faut déterminer un montant de provision pour couvrir les principaux risques. Tel est le but de l’analyse quantitative où la sévérité des risques est traduite en valeur monétaire de manière à les apprécier en fonction de la perte financière engendrée.
Objectifs de l’analyse quantitative :
-
Analyser numériquement les effets des risques identifiés comme prioritaires,
-
Estimer l’effet global des risques considérés simultanément,
-
Fournir une approche quantitative pour la prise de décision,
-
Calculer un montant de provisions pour risques en fonction d’un degré d’exigence.
1. Méthode de la valeur monétaire attendue
La méthode de la valeur monétaire attendue (Expected Monetary Value) se propose de calculer une provision égale au produit de la probabilité de survenance d’un risque par la valeur monétaire de son impact. Il s’agit d’une méthode déterministe.
Supposons que nous ayons identifié les 5 risques suivants :
Méthode de la valeur monétaire attendue
Cette méthode simple appelle quelques remarques :
-
Elle requiert de s’appuyer sur une liste suffisamment nombreuse de risques pour générer une provision totale suffisante pour se répartir entre eux,
-
Un risque...
Planification des réponses aux risques
L’expérience montre qu’il est nettement préférable d’avoir préparé des réponses pour les risques les plus importants plutôt que de tenter de réfléchir dans la panique à ce qu’il faut faire quand l’un de ceux-ci survient.
L’élaboration d’un plan de réponse aux risques engendre une charge de travail qu’il faut adapter à l’enjeu. Un projet peu prioritaire demande moins d’effort que l’inverse. Le rôle de la planification est de se concentrer sur les risques les plus sensibles en les sélectionnant grâce aux matrices (Probabilité x Impact).
Pour chaque risque sélectionné, il faut choisir une stratégie de réponse parmi les suivantes :
-
La prévention,
-
La protection,
-
L’assurance,
-
L’acceptation.
1. Description des possibilités
La prévention
Il s’agit d’une stratégie d’évitement consistant à modifier le système afin de diminuer la probabilité de survenance d’un événement indésirable :
Stratégie de prévention
Cette stratégie peut s’appliquer aux contextes suivants :
-
Prévention relative au risque de mauvais achèvement du projet (Plan de Management des Risques),
-
Prévention relative au risque de non-conformité (Plan Qualité),
-
Prévention relative au risque de rejet par les utilisateurs (Plan de Conduite du Changement),
-
Prévention relative au risque de dysfonctionnement technique :
-
Sollicitation d’experts sur les parties risquées,
-
Renforcement des tests.
La protection
Il s’agit de modifier le système afin de réduire l’impact d’un événement redouté et rendre le risque acceptable.
Stratégie de protection
Cette stratégie peut prévoir un fonctionnement en mode dégradé pour le cas où tout ou partie d’une application informatique serait en panne.
L’assurance...
Exercices
Maîtriser les risques
Les 4 principaux risques identifiés pour un projet de mise en œuvre d’un progiciel sont les suivants :
Risque |
Formulation |
(probabilité, impact) |
R1 |
Disponibilité douteuse des ressources métiers dans le service concerné. |
(moyenne, fort) |
R2 |
Manque de compétences en gestion de projet dans l’entreprise. |
(forte, faible) |
R3 |
Délai de livraison des matériels plus important que prévu. |
(moyenne, modéré) |
R4 |
Description des besoins succincte. |
(forte, fort) |
Quel plan d’action proposez-vous pour maîtriser les risques de ce projet (type de réponse et description succincte de la réponse) ?
Identifier les risques
Aujourd’hui, l’entreprise X possède un logiciel de prise de commande uniquement utilisable par son service commercial. Elle souhaite le remplacer par un progiciel permettant aux clients de commander directement par Internet.
N’ayant jamais mis en place de progiciel, elle souhaite :
-
Faire appel à un intégrateur pour réaliser ce projet,
-
Être conseillée pour évaluer les risques.
Vous êtes le conseil du client et, à ce titre, vous devez identifier les risques de ce projet.
N’allez pas dans le domaine technique, c’est inutile ici.