Beaucoup de projets, et pas uniquement dans le domaine de l’informatique, échouent chaque année simplement parce qu’un risque a été mal évalué, ignoré ou pire, non identifié. Lorsqu’un problème survient, étant donné qu’il n’a pas été anticipé, mettre en œuvre une solution peut s’avérer particulièrement complexe et long. Les conséquences peuvent alors être dramatiques pour la suite du projet. La mise en place d’une méthode associée aux bons outils de gestion des risques permettra d’éviter de rencontrer ce genre de problèmes et de mener avec succès le projet jusqu’à son terme.
Qu’appelle-t-on « gestion des risques » ?
La gestion des risques consiste à identifier et à évaluer les risques potentiels pouvant mettre en danger le bon déroulement d’un projet. Une fois répertoriés, les risques sont priorisés en fonction de leur nature, de la probabilité qu’un événement lié survienne, et de l’impact que ce dernier aurait sur le projet.
L’autre aspect du management des risques consiste à amener au niveau minimum la probabilité qu’un risque identifié puisse déboucher sur un incident. Il subsiste toujours une incertitude quant à un incident potentiel, parce qu’il est très compliqué de tout maîtriser. Néanmoins, le niveau d’incertitude doit être contrôlé et amené au plus bas.
Si le facteur de risque et sa probabilité doivent être maîtrisés, il en est de même pour son impact. Les conséquences d’un incident lié à un risque identifié doivent être évaluées précisément afin d’en mesurer la gravité. En fonction de la gravité potentielle d’un incident, un plan de secours pourra être mis en place. Il décrira les actions à mettre en œuvre afin d’empêcher l’incident concerné d’impacter négativement et durablement le déroulement du projet.
Quels sont les différents risques rencontrés lors d’un projet ?
Afin d’identifier les risques inhérents à un projet, il faut se poser la question « Quels sont les points faibles de mon projet » ? Globalement, il est possible d’identifier cinq grandes familles de risques :
- Les risques propres à la gestion du projet
- Les risques juridiques
- Les risques concernant le respect du planning
- Les risques humains
- Les risques techniques
Les risques liés à la gestion de projet peuvent provenir d’une mauvaise organisation (les rôles ne sont pas clairement identifiés, plusieurs personnes sont affectées à la même tâche, implication insuffisante de l’équipe et/ou du client) ou encore d’un mauvais choix de personne (un chef de projet inexpérimenté pour un projet important ou à risque par exemple).
Les risques juridiques concernent tous les intervenants auxquels vous êtes liés contractuellement. Typiquement, il peut s’agir d’un fournisseur qui n’est pas capable de tenir ses engagements en termes de livraison de matériel ou de logiciels ou d’un cotraitant ou sous-traitant qui ne peut finalement pas fournir les ressources humaines convenues.
Les risques de non-respect du planning sont souvent liés à une mauvaise estimation de la durée d’exécution des tâches en amont. Les dérapages sur le déroulement du planning peuvent d’ailleurs être liés à d’autres risques (techniques, humains…).
Les risques humains regroupent tout ce qui touche la gestion des ressources humaines du projet. Ils prennent notamment en compte les maladies, voire les décès, de certains intervenants clés du projet, la réaffectation de ressources à d’autres projets (et donc la diminution de la capacité de réalisation de l’équipe courante) ou encore le manque de compétences de l’équipe nécessitant éventuellement des formations.
Enfin, les risques techniques sont liés aux langages de programmation, technologies et logiciels choisis pour le projet, mais qui ne sont pas encore maîtrisés par l’ensemble de l’équipe. Les risques concernent aussi bien la lenteur de réalisation des tâches que les erreurs en termes d’architecture pouvant être commises à cause d’une connaissance insuffisante du domaine concerné.
Comment prévenir les risques ?
Une fois les risques identifiés, il est possible de mettre en place un certain nombre d’actions préventives afin de garder le contrôle et de diminuer les éventuels effets indésirables si un incident arrive.
Pour limiter les risques liés à la gestion en elle-même du projet, la première chose à faire est de former correctement le ou les responsables. Ils doivent non seulement parfaitement maîtriser les techniques de gestion de projet employées, mais également le logiciel utilisé. Ces conditions remplies permettront d’éliminer au moins le risque lié à l’efficacité des gestionnaires. Un autre risque important concerne l’estimation des charges de réalisation des différentes tâches, car elle peut entraîner un décalage du planning si elle est incorrecte ou incomplète. Cet exercice est toujours complexe et il est souvent intéressant de pouvoir se baser sur des expériences provenant d’autres projets similaires. L’implication de membres de l’équipe si elle est déjà constituée, au moins en partie, peut aider à affiner les estimations. Utiliser des estimations précédentes pour des fonctionnalités similaires ou proches et impliquer l’équipe projet pour les affiner devraient donc permettre d’obtenir un chiffrage relativement fiable. C’est une façon de diminuer les risques liés à la gestion du projet et au respect du planning.
Les risques juridiques doivent être pris en compte par le service… juridique. C’est son rôle de s’assurer du contenu et du respect des contrats qui vous lient à vos éventuels fournisseurs et sous-traitants.
Pour limiter les risques humains, il faut faire en sorte que les membres de l’équipe de développement ne soient pas spécialisés mais au contraire le plus polyvalents possible. De cette façon, si une personne vient à s’absenter, son travail pourra être repris par n’importe lequel de ses collègues. Toutefois, s’il fallait faire appel à des experts ou à des spécialistes pour des tâches bien précises, il faudrait prévoir des développeurs de secours, possédant le même profil et les mêmes compétences. Il ne serait fait appel à eux qu’en cas d’absence prolongée d’une ressource, afin de ne pas pénaliser le projet.
Enfin, pour limiter les risques techniques, il est important de réaliser un audit des compétences des membres de l’équipe. Le résultat permettra d’identifier les points faibles et les éventuels besoins en formation.
Quels sont les outils de gestion des risques ?
Il existe plusieurs méthodes de gestion des risques pouvant s’appliquer à un projet de développement informatique. Il faut être pragmatique, et choisir celle qui vous conviendra le mieux et qui sera la plus adaptée à votre projet.
Enterprise Risk Management (ERM)
ERM fournit un ensemble de méthodes et de processus pour le management des risques. Il existe plusieurs frameworks ERM permettant d’identifier, d’analyser, de solutionner et de surveiller les risques. Tous prennent en compte les environnements internes et externes au projet, et permettent de décider de la meilleure stratégie à mettre en place pour répondre aux risques spécifiquement identifiés et analysés.
Les différentes stratégies proposées sont les suivantes :
- Évitement : toutes les tâches et activités liées au risque identifié sont exclues du projet.
- Réduction : mise en place d’actions visant à réduire la probabilité et l’impact d’un incident.
- Alternative : prise en considération des alternatives pour minimiser les risques.
- Partager ou assurer : transférer ou partager une partie du risque afin d’en diminuer l’impact financier.
- Acceptation : le risque est accepté, aucune action n’est entreprise. Le ratio bénéfice/coût est intégré au projet.
Les trois principaux frameworks ERM sont CAS (« Casualty Actuarial Society »), COSO (« Internal Control – Integrated Framework ») et RMM (« RIMS Risk Maturity Model »).
CAS est basé sur le type de risque (catastrophes, financiers, opérationnels et stratégiques) et sur le processus de gestion des risques, qui comprend plusieurs étapes :
- Établir le contexte : comprendre le contexte du projet et le fonctionnement de la prise en compte des risques internes et externes.
- Identifier les risques : déterminer les menaces pesant sur le déroulement du projet et les atouts que l’équipe peut exploiter.
- Analyser et quantifier des risques : évaluer les probabilités et l’impact de chaque risque identifié.
- Intégrer les risques : prendre en compte l’ensemble des risques et estimer les impacts sur le projet.
- Évaluer et prioriser les risques : déterminer les probabilités d’incidents et classer les risques à traiter en priorité.
- Traiter les risques : mettre en place des stratégies pour contrôler les risques.
- Surveiller les risques : les risques doivent être surveillés en permanence, et l’efficacité des stratégies mises en place mesurées, de façon à être ajustées si nécessaire.
Le framework COSO est organisé autour de 8 composants et de 4 catégories d’objectifs.
Les 8 composants sont :
- Engagement dans le processus ERM
- Politique de gestion des risques
- Politique de mise en place de ERM dans l’entreprise
- Évaluation des risques
- Traitement des risques
- Communication et établissement de rapports
- Information et communication
- Surveillance
Les 4 catégories d’objectifs sont :
- Stratégie : mise en place d’objectifs de haut niveau, alignés sur ceux du projet
- Opérations : utilisation efficace des ressources
- Rapports financiers : rapports opérationnel et financier du projet
- Conformité : vérification de la conformité aux règles et aux lois
L’utilisation de ces composants et de ces catégories d’objectifs va permettre d’identifier les risques potentiels pouvant affecter le projet et de mettre en place une stratégie afin de les réduire à une proportion acceptable.
Le modèle RMM est articulé autour de 7 attributs permettant d’appliquer la méthode ERM :
- Une approche basée sur la méthode ERM,
- La gestion des processus ERM,
- La gestion de la prise de risque,
- La recherche des causes profondes des risques encourus,
- La prise en compte des risques non couverts,
- La gestion des performances,
- La résistance et la durabilité des solutions choisies.
Analyse des Modes de Défaillance, de leurs Effets et de leur Criticité (AMDEC)
Cette méthode, destinée à l’origine à la gestion de la qualité, est très souvent utilisée pour la gestion des risques. Pendant français de la méthode FMECA (Failure Modes, Effects and Criticality Analysis) créée par l’armée américaine pour sa flotte aéronautique, elle a pour objectif d’identifier les risques et les solutions à apporter.
Il s’agit avant tout d’une démarche préventive, l’essentiel du travail se faisant en amont du projet. Les risques potentiels et leurs conséquences sont listés puis organisés.
L’application de la méthode AMDEC est décomposée en 5 phases.
- Durant la phase de préparation, des groupes de travail sont constitués afin de fixer le périmètre et l’étude des risques.
- Vient ensuite l’analyse fonctionnelle qui va permettre le découpage fonctionnel et l’identification des liens entre chaque composant.
- Ce découpage va permettre l’identification des problèmes potentiels et de leurs conséquences s’ils venaient à se produire.
- Les risques identifiés vont alors être examinés durant la phase de valorisation, afin de déterminer leur criticité. Elle dépendra de la gravité potentielle d’un problème qui pourrait survenir, de la probabilité qu’il se produise, et de la capacité de l’équipe à le détecter. Chacun de ces trois critères est noté sur une échelle allant de 1 à 4. Le produit des trois notes donne la criticité du risque examiné, qui permet d’établir une hiérarchie.
- Enfin, la dernière phase consiste à déterminer les actions correctives à mettre en place, les contournements possibles… ainsi que les coûts associés.
HAZard and OPerability studies (HAZOP)
Le principe de cette méthode d’identification des risques est de décomposer le système à analyser en plusieurs sous-systèmes ou sous-ensembles, appelés « nœuds ». De cette façon, l’examen des risques peut être confié à des personnes ou à des équipes dédiées, spécialisées dans les domaines concernés.
Les paramètres ayant un impact sur le système vont être associés à un mot-clé afin de désigner un problème ou un dysfonctionnement potentiel. Par exemple, pour le nœud « traitements de nuit » (désignant des programmes lancés la nuit pour traiter de grandes quantités de données), on peut associer le paramètre « nombre de processus » au mot-clé « inférieur à » avec une valeur indiquant le nombre de processus ne devant pas être dépassé, ou encore le paramètre « quantité de mémoire utilisée » au mot-clé « inférieur à » avec la quantité de mémoire limite du serveur.
Une fois les problèmes potentiels identifiés, il faut déterminer les causes possibles, leurs conséquences et proposer des solutions pour les éviter ou pour les limiter.
La principale difficulté est d’établir une liste exhaustive des problèmes potentiels afin de déterminer tous les moyens possibles de les éviter. Il est donc impératif que les membres de l’équipe aient une excellente connaissance du système analysé.
Le modèle ROAM (Resolved, Owned, Accepted, Mitigated)
Le modèle ROAM fournit un moyen à l’équipe projet de classer les risques qui ont été identifiés en amont.
Les risques peuvent être classés en quatre catégories distinctes.
« Resolved » va accueillir tous les risques qu’il est possible d’éliminer ou de contourner en mettant en œuvre des actions spécifiques.
« Owned » concernera les risques qui doivent être traités par des membres de l’équipe, qui en ont accepté la responsabilité. Ils auront la charge de mettre en place les actions nécessaires et de s’assurer de leur efficacité.
« Accepted » contiendra les risques dont on a accepté les éventuelles conséquences. Généralement, il s’agira de risques mineurs, ayant peu de chance de déboucher sur un problème ou dont l’impact sera minime.
« Mitigated » enfin regroupera tous les risques pour lesquels des actions ont déjà été mises en place pour en réduire les probabilités et les impacts.
Les critères de classement des risques sont la probabilité qu’un problème survienne et l’impact qu’il aura sur le projet. Un « ROAM board » (tableau divisé en quatre parties) va être utilisé pour que l’équipe puisse avoir à tout moment cette liste des risques sous les yeux.
Pour conclure sur les outils de gestion des risques
Quelle que soit la méthode utilisée pour un projet, l’identification et le traitement des risques est indispensable. Mais il ne faut pas oublier qu’un projet est vivant. Il ne suffit pas d’identifier les risques au début du projet et de mettre en place les actions nécessaires. Il est impératif de procéder à un réexamen périodique des risques, car ils peuvent évoluer avec le projet. Régulièrement, les actions mises en œuvre pour contrôler les risques doivent être réétudiées de façon à vérifier qu’elles sont efficaces, et une recherche de risques doit être faite afin d’anticiper de potentielles nouvelles difficultés.
Le logiciel de gestion de projet Nutcache est parfaitement adapté pour mettre en place un suivi de votre gestion des risques. Testez-le gratuitement pendant 14 jours.