Chapitre 5 - Gestion des Risques
5.4 - Identification des risques
5.5 - Techniques de collecte d’information pour identifier les risques
5.8 - Stratégies de traitement des risques
5.10 - Plan de gestion de risque
1.1 - Introduction
Tous les projets de développement et d’évolution des systèmes d’information vont faire face à des risques internes ou externes. Il n’y a plus de garanties dans les projets. La plus simple activité peut aller mal à cause des problèmes imprévisibles. A n’importe quel moment des choses peuvent apparaitre et changent les sorties de projet. Ces choses sont nommés risques. Connaitre à l’avance les difficultés inhérentes au projet permet l’adaptation de la conduite du projet de façon à éviter ou limiter les risques. Ce chapitre présente les différentes techniques de gestion de risques.
1.2 - Gestion de risques
La gestion des risques a pour objectif l’identification, l’analyse et le traitement des risques tout au long du cycle de vie de projet afin d’atteindre les objectifs du projet.
1.3 - Le risque
Définition 1 : Larousse : Possibilité, probabilité d'un fait, d'un événement considéré comme un mal ou un dommage : Les risques de guerre augmentent.
Définition 2: Le risque est un danger, inconvénient plus ou moins probable auquel on est exposé (Larousse).
Définition 3 : L’AFITEP définit le risque comme un événement ou une condition possible dont la concrétisation aurait un effet sur au moins un des objectifs du projet. Les objectifs peuvent se rapporter au contenu, aux délais, aux coûts et la qualité. Ces définitions montrent que le risque est lié à des impacts et il comporte de l’incertitude. Les risques qui n’ont pas un impact négatif (c-à-d un impact positif) sont dits opportunités par exemple [20]:
1. Diminution du cout d’un matériel dans le marché ce qui entraine un gain.
2. Si on peut combiner les commandes des équipements c1, c2 et c3 alors ces commandes vont être moins chère de 20% par rapport au planifié.
3. Si on peut avoir une personne expérimentée et productive en mois de mai alors le lot de travail n° x figurant sur le chemin critique sera fait plus vite que le planifié.
L’Incertitude est le résultat du manque des connaissances sur un événement entrainant la réduction de confiance envers les conclusions dérivées des données. La recherche des incertitudes peut aider à l’identification des risques.
Exemple d’événement indésirable : départ d’une personne clé, le client potentiel fait faillite…
Une autre définition de L’AFITEP est : le risque comme la possibilité qu’un projet ne s’exécute pas conformément aux prévisions de dates d’achèvement, de coût et de spécifications, ces écarts par rapport aux prévisions étant considérés comme difficilement acceptables voire inacceptables.
Définition 4 : Le PMBOK le considère comme une menace dont la concrétisation, incertaine, aurait un impact positif ou négatif sur au moins un objectif du projet tel que les délais, le coût, le contenu ou la qualité.
La démarche générale de management des risques comprend cinq étapes :
1. Identifier les risques ;
2. Evaluer leur impact possible sur les coûts, le délai et la qualité ;
3. Définir des actions ou prendre des dispositions aptes à réduire les risques jugés inacceptables;
4. Suivre les actions ou la mise en œuvre des dispositions, et surveiller régulièrement l’état des risques ;
5. Capitaliser l’expérience.
1.4 - Identification des risques
Ce processus consiste à identifier les risques possibles. La classification des risques peut aider dans le processus d’identification. Les classes sont généralement les types de sources de risques identifiés par des entreprises qualifiées qui ont travaillé sur des projets similaires.
Les risques sont classifiés en[13 ,24] :
Risques de projet concernent le déroulement du projet.
Risques techniques portent sur la qualité du produit.
Risques commerciaux peuvent affecter sa viabilité.
Les experts ajoutent aussi les risques communs à tous les projets.
On peut aussi classer les risques comme :
Externe : lié aux marché, environnement, gouvernement.
Interne : délai, cout, qualité, manque de l’expérience, mauvaise planification, personnes, groupe, matériel, équipements…
Technique : changement dans la technologie.
Invisible :10% des risques sont invisibles.
La table 9 présente quelques risques et indique leurs types.
|
Risque |
Projet |
Tech |
Commun |
Propre |
|
Matériel non disponible |
|
* |
|
* |
|
Spécifications incomplètes |
|
* |
|
|
Table 10. Quelques risques et leurs types[13 ,22].
1.5 - Techniques de collecte d’information pour identifier les risques
Plusieurs techniques sont utilisées : Les interviews, le braistroming, la méthode delphi, analyse SWOT, analyse root-cause.
1.5.1 - Analyse des risques
L’objectif est de déterminer la criticité des risques.
1.5.2 - Analyse qualitative
L’objectif de cette analyse est de déterminer l’incidence du risque, c’est-à-dire le niveau d’acceptabilité du risque.
Pour y faire, Il est nécessaire de qualifier la probabilité d’apparition de chaque risque :
• Probabilité faible : il est peu probable que le risque se réalise ;
• Probabilité moyenne : il existe des signes indiquant que le risque est susceptible de se réaliser;
• Probabilité forte : le risque est certain ou en passe de se réaliser.
Puis leur criticité en termes de coût, délai, qualité et contenu technique :
• Criticité faible : ne compromet pas l’atteinte des objectifs du projet en termes de coût, délai, qualité ou fonctionnalités ;
• Criticité moyenne : peut affecter le périmètre du projet, éventuellement nécessite un avenant;
• Criticité forte : peut avoir comme conséquence une perte financière, une insatisfaction du client ou l’arrêt du projet.
La combinaison des deux facteurs, probabilité et criticité, permet de déterminer l’incidence du risque, c’est-à-dire le niveau d’acceptabilité du risque (voir figure 18).
On distingue alors 3 niveaux d’acceptabilité :
• Risque négligeable ;
• Risque à suivre ;
• Risque à traiter
Figure 18 Les incidences possibles d’un risque
1.5.3 - Analyse quantitative
Une analyse profonde et complète l’analyse qualitative. Son objectif est d’analyser numériquement les risques.
1.6 - Calcul du risque
Le calcul du risque consiste à analyser numériquement la probabilité d’occurrence et l’impact du risque (le cout des conséquences) afin de trouver la valeur monétaire attendue du risque (VMA).
VMA de risque = impact*probabilité de risque
Si, par exemple, les conséquences sont de 6000 € et que l’événement a une certaine probabilité de se produire trois fois tous les 6 ans, on dira que le risque est de :6000*0.5=3000€
Exemple2
Jeu à deux dés à six faces
L'obtention d'un 7 fait perdre 60 DA, quel est le risque ?
Le risque=60*(1/6)=10
1.7 - Arbre de décision
Un outil pour représenter plusieurs alternatives afin de prendre une décision.
Exemple
Tu veux faire un voyage par vol de la cité c1 à la cité c2. Tu peux prendre le vol A ou le vol B. En se basant sur l’arbre suivant (figure 19) quel est le vol que tu va prendre et quelle est la valeur monétaire attendue de votre décision.
Figure 19Arbre de décision du problème[14]
Réponse
L'arbre de décision est présenté par la Figure 15.
VMA(airline A)=(10%*4000DA)+(90%*0DA)+900DA=1300DA.
VMA(airline A)=(30%*4000DA)+(70%*0DA)+300DA=1500DA.
Donc le vol A est moins risqué que le vol B.
1.8 - Stratégies de traitement des risques
1. Eviter : éliminer le risque par des traitements qui en empêche l’apparition.
2. Atténuer le risque (mitigation) : en cas d’impossibilité d’évitement, alors prendre des actions pour diminuer la VMA du risque.
3. Transférer : chargé (payer) une autre entité de ce risque (ex : compagnie d’assurance) afin qu’elle accepte les impacts.
4. Accepter : en cas ou l’entreprise ne peut ni éviter, ni atténuer et ne peut pas transférer le risque alors il accepte.[20]
1.9 - Atténuation des risques
Une stratégie proactive qui consiste à trouver des approches pour diminuer la probabilité et/ou l’impact[22].
Par exemple si on risque d’avoir des problèmes avec le logiciel développé (e.g., non satisfaction de client), il est préférable d’étudier à l’avance le logiciel en se basant sur un prototype.
1.10 - Plan de gestion de risque
Le plan contient :
1. Un identificateur et description de risque.
2. Une estimation de la probabilité et de l’impact
3 Une liste des actions d’atténuations, les plans de secours et leurs triggers, les individus responsables.
Exemple de plan [13]: