DSCG : UE5 - Management des Systèmes d'Information Gestion de Projet : les risques Table des matières CARTE HEURISTIQUE ................................................................................................................................. 1 NOTION DE RISQUE................................................................................................................................... 2 RISQUES D'UN PROJET............................................................................................................................... 2 Les 10 risques majeurs d'un projet, d'après BOEHM................................................................................................................3 La nature des risques................................................................................................................................................................4 Le profil de risques.....................................................................................................................................................................5 PROCESSUS DE GESTION DES RISQUES .......................................................................................................... 5 ETAPES PRINCIPALES DU PROCESSUS DE LA GESTION DES RISQUES ......................................................................6 Identification des risques............................................................................................................................................................6 Analyse des Risques.................................................................................................................................................................7 Planification..............................................................................................................................................................................10 Suivi.........................................................................................................................................................................................13 Contrôle...................................................................................................................................................................................14 Carte heuristique 1/15 12-COURS_MSI_Gestion_projet_SI_Risques DSCG : UE5 - Management des Systèmes d'Information Gestion de Projet : les risques Notion de risque Le Risque est la probabilité d'échec dans l’atteinte d'objectifs. Le Risque informatique est la probabilité d'échec d'un projet informatique. RISQUE = MENACE * IMPACT * VULNERABILITE Une menace est une cause potentielle d'incident, qui peut résulter en un dommage au système ou à l'organisation (« norme de sécurité des systèmes d'information ISO 13335-1 »). Une menace doit être décrite en citant le bien qui en est la cible, l’élément menaçant identifié et l’attaque. Une société a mis en place une borne Wifi pour permettre à ses commerciaux itinérants de se connecter au réseau de l'entreprise lors des réunions. La menace peut consister en une intrusion du réseau par des personnes extérieures (élément menaçant) à l'entreprise pour récupérer le fichier client (bien), en utilisant un logiciel facilement disponible sur Internet (attaque) qui permet de cracker les clés de sécurité Wifi Une vulnérabilité est toute faiblesse des ressources informatiques qui peut être exploitée par des menaces, dans le but de les compromettre. De nouvelles vulnérabilités sont découvertes quotidiennement et peuvent concerner toute ressource informatique. Dans l'exemple précédent , la vulnérabilité tient à la nature des clés de protection dont le système de chiffrement n'est pas suffisamment robuste. L'impact est l'évaluation des dommages causés par les dégâts d'un événement. La divulgation d'un fichier client peut engendrer des pertes financières, mais aussi une décrédibilisation de l'entreprise dont l'image peut devenir négative. Assurer le risque zéro est trop coûteux. La règle de Pareto s'applique aussi à la gestion des risques : «80% des risques informatiques peuvent être couverts par 20% des investissements nécessaires. » Risques d'un projet Dans le contexte d'un projet, le risque est une condition ou un événement plus ou moins prévisible susceptible d'avoir des effets positifs ou négatifs sur les objectifs d'un projet. Le risque a une cause et, s'il se matérialise, une conséquence. Par exemple, le risque qu'un événement vienne modifier le contenu d'un projet pourrait avoir comme conséquence de changer les objectifs ou la composition de l'équipe de projet. Si un événement incertain se présente, il a possiblement un impact sur le coût, le calendrier ou la qualité du projet. Avant le début d'un projet, il est possible de déterminer certains événements potentiellement risqués, tels que le mauvais fonctionnement d'un équipement ou une modification des exigences techniques. Les risques sont parfois des conséquences anticipées, comme certains retards dans les programmes ou des dépassements de coûts. 2/15 12-COURS_MSI_Gestion_projet_SI_Risques DSCG : UE5 - Management des Systèmes d'Information Gestion de Projet : les risques Les 10 risques majeurs d'un projet, d'après BOEHM Risques encourus et classement Mesures préventives Risque n° 3 : Développement de logiciels impropres à satisfaire les besoins • • • • • Analyse de l’organisation Analyse des missions Revue Prototypage Rédaction anticipée des manuels utilisateurs Risque n° 4 : Développement de mauvaises interfaces utilisateurs • • • Analyse des tâches Prototypage Prise en compte de l’utilisateur (fonction, comportement, charge de travail) Risque n° 9 : Défaillance des performances en temps immédiat • • • • Simulation Essais comparatifs Modélisation, Prototypage Instrumentation, Réglages Œuvre Risque n° 10 : Blocage sur les limites technologiques des platesformes • • • Analyse technique Vérification a priori des performances Analyse des coûts Ressources Risque n° 1 : Inaptitude du personnel • • • • Structuration de l’équipe Redistribution des rôles Renforcement de l’encadrement Formation, entraide, motivation • • • • Recoupement de plusieurs estimations détaillées des charges, des coûts et des plannings Remise en cause des demandes Développement incrémental Réutilisation de logiciel Risque n° 5 : Perfectionnisme • • • Examen critique des spécifications Prototypage Calcul des retours sur investissement Risque n° 6 : Courant continu de modifications • • • Seuil d’acceptation des changements Développement incrémental Report des modifications en fin de projet Risque n° 7 : Défaillances des fournitures externes • • • • Mise en concurrence Contrôle des références Analyse de compatibilité Inspection et recette Risque n° 8 : Défaillances des travaux sous- traités • • • Contrôle des références Audit de qualification Structure d’équipe Ouvrage Planification Suivi Risque n° 2 : Prévisions optimistes, sous- estimation des budgets 3/15 12-COURS_MSI_Gestion_projet_SI_Risques DSCG : UE5 - Management des Systèmes d'Information Gestion de Projet : les risques La nature des risques Les risques consécutifs au déroulement du projet sont de nature : • fonctionnelle (le produit ne répond pas au besoin) ; • économique (le budget du projet est dépassé) ; • organisationnelle (le projet ne réussit pas à s’insérer dans l’organisation comme prévu) ; • temporelle (le produit est en retard par rapport au besoin). Le défaut de performance (système lent, informations obtenues avec retard, volume d’informations limité, manque de protection contre les intrusions, …) se rattache aux risques fonctionnel et organisationnel. Les principales anomalies et l’analyse de leurs causes possibles (sur lesquelles il faut agir à titre préventif) sont illustrées ci-dessous : Nature du risque Exemples d’anomalies • • • Fonctionnel • • • • • Causes possibles Le système est trop lent ou il ne fournit pas l’information avec la précision désirée Des fonctions ne sont pas couvertes Certains modules s’avèrent inexploitables Le système génère des pertes de temps Le système est complexe, difficile à appréhender Système rapidement obsolète Difficultés de communication avec d’autres applications Arrêt d’exploitation • • • • • • • • • • • • • • Economique • • Ecarts en cours de réalisation Budget final largement dépassé • • • • • • Organisationnel • • • • Décalage par rapport aux procédures Système inadapté à la structure, problèmes de coordination Des processus de sont pas pris en compte Complexité excessive pour les opérateurs, génération d’erreurs humaines Fortes résistances face au système Refus du système Le système génère des pertes de temps, des coûts cachés • • • • • • • • • Temporel • • • • Retards de réalisation Mise en service trop longue Retard global du projet • • • • 4/15 Mauvaise analyse du problème Défaut d’implication des utilisateurs Cahier des charges insuffisant Dérive des réalisations faute de suivi par le MOA Insuffisance de la réception ou mise en service prématurée Contrats fournisseurs pas assez précis et contraignants Budget initial abusivement contraint à la baisse Choix de technologies trop anciennes Défaut de conception (intégration, interopérabilité) Défaut technique Complexité technique imprévue Mauvaise estimation par défaut d’expertise Choix de solutions non éprouvées Problème de charge ou délai nécessitant un renfort ponctuel Spécification initiale insuffisante entraînant des corrections en cours de réalisation Insuffisance des contrats fournisseurs, ne prévoyant pas les adaptations mineures Budget initial abusivement contraint à la baisse Mauvaise analyse du problème Schéma directeur ou plan d’urbanisation non respecté Défaut d’implication des utilisateurs Cahier des charges insuffisant Dérive des réalisations faute de suivi par le MOA Insuffisance de la réception ou mise en service prématurée Etudes d’organisation non coordonnées avec le projet TI Défaut de mise en service (communication ou formation) Contrats fournisseurs pas assez précis et contraignants Spécification initiale insuffisante entraînant des corrections en cours de réalisation Délai initial abusivement contraint à la baisse Défaut d’implication des utilisateurs Complexité imprévue d’initialisation des données Mauvaise synchronisation organisation - TI 12-COURS_MSI_Gestion_projet_SI_Risques DSCG : UE5 - Management des Systèmes d'Information Gestion de Projet : les risques Le profil de risques L’analyse du niveau de risque d’un projet peut être menée en tenant compte de cinq critères : • la taille du projet (périmètre du projet / ensemble du SI), car le risque de désorganisation augmente avec l’importance relative du projet ; • son degré d’intégration (nombre d’interactions entre le projet et d’autres composantes du SI). Plus il est élevé, plus l’impact du projet est élevé et plus les tests de fonctionnement sont compliqués ; • sa difficulté technique (notamment la mise en œuvre de technologies innovantes et mal maîtrisées) ; • sa durée, car une durée élevée peut provoquer des phénomènes de démobilisation, faire subir au projet des réorganisations d’équipes ; • la stabilité de l’équipe projet. Un profil de risque du projet peut ainsi être établi graphiquement : 5 4 3 2 1 0 Taille Intégration Difficulté Durée Equipe Processus de gestion des risques Ce diagramme illustre le dilemme de la gestion des risques. La probabiIité qu'un événement à risque se produise s'avère plus élevée à la phase de conception, de planification et de démarrage. L'impact du coût du risque est moindre lorsque celui-ci se présente tôt dans le projet. À cette étape, il est possible de minimiser l'impact d'un risque potentiel, voire de le contourner. À l'inverse, dès que le projet est rendu à la mi-parcours, le coût du risque, s'il se réalise, augmente rapidement. Un défaut de conception se manifestant après la fabrication du prototype aura un plus grand impact sur le coût ou sur le temps que s'il se produit au cours de la phase initiale du projet. Déterminer les risques et trouver des réponses à ces risques avant la mise en œuvre du projet est sans conteste plus prudent que de faire fi de la gestion des risques. « La gestion des risques est une approche pro active plutôt que réactive. Elle doit permettre de réduire au maximum les surprises et les conséquences néfastes associées aux événements indésirables. » 5/15 12-COURS_MSI_Gestion_projet_SI_Risques DSCG : UE5 - Management des Systèmes d'Information Gestion de Projet : les risques Etapes principales du processus de la gestion des risques Identification des risques L'identification des risques vise à repérer les problèmes potentiels avant qu'ils ne se transforment en problèmes réels et à inclure cette information dans le processus de gestion de projet. La phase d’identification permet de formuler les énoncés de risques et d’identifier leur information contextuelle. L’énoncé de risque et l’information contextuelle à ce risque peuvent être précisés en répondant aux trois questions suivantes : 1. Quelles sont les conditions ou les symptômes qui font qu’un risque est ce qu’il est, c’est-àdire un problème en attente de circonstances qui lui permettront de se matérialiser ? 2. Pourquoi est-ce un risque, autrement dit quel impact aura ce risque s’il survient ? 3. D’où vient le risque, autrement dit quelles sont les causes des conditions ou des symptômes observés ? Une gestion efficace des risques implique un processus continu d’identification. En effet, de nouveaux risques sont susceptibles de survenir au cours de la réalisation du projet. Une communication libre est également requise pour l'identification des risques et ce, afin d'encourager tous les intervenants du projet à communiquer les problèmes potentiels qu'ils entrevoient, à partir d'une vision orientée vers l'avenir du produit ou du service faisant l’objet du projet. Bien qu'une contribution individuelle joue un rôle dans cette identification, les échanges favorisés par un travail d'équipe permettent une meilleure compréhension du projet et une identification plus précise et plus exhaustive des risques auxquels il est exposé. Le gestionnaire de projet doit encourager l'esprit critique quand il s'agit d'établir les risques. L'objectif consiste à découvrir les problèmes avant qu'ils ne se présentent, et les participants doivent observer la loi de Murphy: « Tout ce qui peut aller de travers ira de travers. » 6/15 12-COURS_MSI_Gestion_projet_SI_Risques DSCG : UE5 - Management des Systèmes d'Information Gestion de Projet : les risques Référentiel des risques L’établissement d’un référentiel constitue l’étape charnière de la phase d’identification des risques dans la mesure où elle donne le ton à l’identification des risques pour la suite du projet. Dans un mode continu d’identification des risques, ceux-ci sont susceptibles d’être identifiés sur une base individuelle, en faisant intervenir un nombre limité d’intervenants. L’établissement périodique d’un référentiel permet de partager cette information tout au long du projet et de la compléter par des informations additionnelles fournies par les autres intervenants. Une approche pour identifier les risques et établir un référentiel, peut être étalée sur une période de 5 jours. Dans une situation réelle, sa durée dépendra de l’envergure et de la complexité du projet pour lesquels les risques sont identifiés (typiquement de deux à cinq jours) Analyse des Risques La phase d’analyse vise à convertir les informations et données sur le risque recueillies au cours de la phase d’identification et définir les mesures appropriées. Elle doit inclure les trois activités suivantes : 1. Une évaluation des attributs de chaque risque notamment sa probabilité (ou sa fréquence), son impact s’il survenait et le délai disponible avant de devoir faire quelque chose; 2. une classification des risques identifiés afin de définir un ensemble de mesures cohérentes pour les gérer; 3. Un ordonnancement des risques en fonction de leur priorité afin d’être en mesure de déterminer quels risques seront abordés en premier. La phase d’analyse des risques constitue un processus continu d’examen des conditions et contraintes qui affectent le projet, des nouveaux risques qui surviennent au cours de son déroulement et des priorités qui évoluent. Une vision orientée vers l'avenir contribue à faire en sorte que l’analyse soit effectuée en portant une attention particulière à l’impact à long terme des risques. Finalement, une vision commune jointe à une perspective globale permettent d’analyser les risques dans un 7/15 12-COURS_MSI_Gestion_projet_SI_Risques DSCG : UE5 - Management des Systèmes d'Information Gestion de Projet : les risques contexte élargi à la clientèle visée par le produit ou le service faisant l’objet du projet, aux besoins exprimés par la clientèle et aux objectifs de l’organisation Evaluation des attributs des risques Les attributs d’un risque sont au nombre de trois : • la probabilité (ou la fréquence) d’un risque; • l’impact d’un risque; • le délai d’intervention avant l’impact d’un risque. Probabilité (ou fréquence) d’un risque Le premier attribut caractérisant un risque est la probabilité qu’il survienne. S’il s’agit d’un risque opérationnel, c’est-à-dire d’un risque susceptible de se répéter de projet en projet, on pourra également parler de fréquence. On pourra aussi le qualifier d'événement « chronique », « occasionnel » ou « rare ». Exprimé en termes de probabilité, ceci est équivalent à qualifier le fait que si un événement significatif survient, la probabilité est très élevée, faible ou très faible. Une échelle permettant d’évaluer la probabilité qu’un risque survienne est illustrée ci-contre. Cette probabilité peut être exprimée par un énoncé d’incertitude, un ordinal ou une valeur entre 0 et 1. Impact d’un risque Le deuxième attribut caractérisant un risque est son impact, c’est-à-dire la perte subie si le risque survient. L’impact est souvent exprimé par le montant (ou un terme qualifiant ce montant) qu’une organisation est disposée à débourser afin d’éviter que le risque se produise. Ce montant variera en fonction de la criticité du risque et de facteurs non monétaires comme la culture organisationnelle et la détérioration de l’image de l’organisation si le risque survenait. L’impact peut être évalué pour plusieurs dimensions (impact budgétaire, impact sur le calendrier, impact sur la performance du système, etc.), 8/15 12-COURS_MSI_Gestion_projet_SI_Risques DSCG : UE5 - Management des Systèmes d'Information Gestion de Projet : les risques Délai d’intervention avant impact d’un risque Le troisième attribut caractérisant un risque est le délai disponible avant de devoir prendre une action quelconque. Une échelle permettant d’exprimer le délai est illustrée ci-après. Comme dans le cas de l’impact, une valeur numérique pourra être associée à un énoncé de délai afin de faciliter le calcul de la gravité du risque (par exemple, 1 pour court terme, 2 pour moyen terme et 3 pour long terme). Ainsi, plus le délai est faible, plus la gravité du risque est élevée car cette situation indique que le délai d’intervention avant l’impact d’un risque est d’autant plus court. La classification et la consolidation des risques Les activités de classification et de consolidation visent à évaluer un ensemble de risques et à déterminer comment il sont reliés entre eux. L’activité de consolidation, en particulier, permet de combiner les énoncés de risques mineurs dans le but d’en arriver à un nouvel énoncé de risque et d’en faciliter la gestion. La classification des risques peut être réalisée selon divers axes : • leur source, • le produit, • la composante ou le service affecté, • la phase à laquelle ils sont susceptibles de survenir, • les groupes ayant la responsabilité de les gérer, • etc. L’ordonnancement des risques en fonction de leur priorité L’ordonnancement des risques est effectué dans un premier temps en calculant le degré d’exposition au risque (ER) par la relation : ER = (Probabilité associée au risque) x (Impact du risque) Une représentation du degré d’exposition au risque à l’aide d’une échelle qualitative, tel qu’illustré ciaprès, facilite son interprétation et la communication des risques pour lesquels des actions devraient être prises de façon prioritaire. Le degré d’exposition au risque constitue un premier paramètre permettant d’ordonnancer les risques afin de déterminer lesquels seront abordés en premier. Lorsque deux risques ont le même degré d’exposition au risque, la gravité pourra être utilisée pour réaliser un ordonnancement plus fin. La gravité est déterminée par la relation : Gravité = ER / Délai Avec l’utilisation d’une échelle de 1 à 3 pour représenter un délai variant de court terme à long terme, la valeur numérique associée à la gravité sera d’autant plus grande que le délai est court. Si deux risques ont le même degré d’exposition au risque et la même gravité, des paramètres supplémentaires peuvent s’avérer nécessaires dans le but de préciser leur ordonnancement. En effet, 9/15 12-COURS_MSI_Gestion_projet_SI_Risques DSCG : UE5 - Management des Systèmes d'Information Gestion de Projet : les risques l’utilisation d’ordinaux ne permet pas de mettre en évidence la densité des risques et leur interaction s’ils se matérialisaient. Ainsi, dans le tableau précédent, un risque probable dont l’impact est marginal a le même degré d’exposition au risque qu’un risque improbable pour lequel l’impact est catastrophique. L’effet du risque catastrophique pourra être concentré sur une courte période de temps ou se faire sentir à l’intérieur d’un périmètre limité inapte à en absorber le choc, alors que l’effet du risque probable pourra être réparti sur plusieurs événements étalés dans le temps ou survenir plus ou moins simultanément en plusieurs endroits différents plus aptes à en absorber le choc individuellement. Par ailleurs, l’interaction de plusieurs incidents découlant d’un risque probable dont l’impact est marginal pourra faire en sorte que leur effet combiné dépasse l’effet d’un risque catastrophique improbable. Planification La phase de la planification vise à prévoir la mise en place de mesures qui permettront de diminuer les risques identifiés au cours de la phase d’identification. Le but recherché est de réduire la probabilité (ou la fréquence) et l’impact de chaque risque. La phase de planification doit permettre à chaque intervenant du projet de répondre aux questions suivantes : • Ce risque me concerne-t-il ? • Que puis-je y faire ? • Jusqu’où dois-je aller et comment ? Il est important de planifier efficacement et intelligemment. La planification des mesures devrait comporter autant de détails qu’il est nécessaire afin de pouvoir en retirer des bénéfices. À cet égard, la sur-planification peut s’avérer aussi préjudiciable qu’un manque de planification, car elle est susceptible de devenir une excuse pour ne rien faire. Cette planification fait appel à un processus de gestion intégrée, en ce sens qu’elle doit s’harmoniser avec les objectifs visés par le projet. Une vision commune du produit ou du service faisant l’objet du projet jointe à une perspective globale prenant en considération les besoins de la clientèle et les objectifs de l’organisation dans laquelle le projet s’inscrit, permettent de concevoir des mesures de mitigation et de contingence qui tiennent compte des intérêts de la clientèle, du projet lui-même et de l’organisation. Finalement, une vision orientée vers l'avenir prenant en considération les conséquences associées aux risques contribue à faire en sorte que ceux-ci ne dégénèrent pas en problèmes. Après avoir établi et évalué un risque, l'équipe de la gestion des risques détermine la façon qui convient le mieux pour le contrer. On classe les risques selon qu'ils seront réduits, évités, transférés, partagés ou acceptés. La réduction des risques D'ordinaire, on envisage d'abord de réduire le risque. Pour ce faire, il existe en gros deux stratégies : 10/15 12-COURS_MSI_Gestion_projet_SI_Risques DSCG : UE5 - Management des Systèmes d'Information Gestion de Projet : les risques 1. limiter la probabilité de réalisation du risque : par exemple en développant un projet « pilote », en formant le personnel par anticipation, en achetant du matériel haut de gamme.. 2. en atténuer l'impact quand il se présente. Prenons l'exemple d'un projet de construction d'un pont d'un port côtier où il est question de recourir à un nouveau procédé de coulage du béton de manière continue, mis au point par une société australienne, qui permettra d'économiser significativement temps et argent. Le risque majeur consiste en ce que ce procédé de coulage, pour chaque section principale du pont, ne peut être interrompu d'aucune façon. Toute interruption entraînerait la démolition et le remplacement d'une section entière du pont, soit des centaines de mètres cubes de béton. Au moment d'évaluer les risques possibles, l'équipe s'est concentrée sur la livraison du béton de la cimenterie. Il est possible que les bétonnières montées sur camion soient retardées ou encore que la cimenterie interrompe ses activités. La réalisation de ces risques entraînerait d'énormes coûts de reconstruction et des retards considérables. Afin de réduire le risque, on a décidé de construire deux autres usines de béton mobiles dans un rayon de 30 km du pont, près d'autoroutes différentes, si jamais la production de la cimenterie principale devait être interrompue. Ces deux usines mobiles disposeraient des matières premières pour une section entière du pont. Chaque fois qu'un coulage continu s'avérerait nécessaire, des camions supplémentaires se tiendraient prêts en cas de besoin. D'autres scénarios de réduction de risque sont élaborés dans les projets de développement de logiciels où l'on recourt à des procédés innovateurs, si jamais l'un d'eux faisait défaut. Les moyens permettant d'éviter les risques Pour éviter les risques, on modifie le plan du projet. Bien qu'il soit impossible d'éliminer tous les risques, on peut en écarter certains avant d'entreprendre le projet. Privilégier une technologie éprouvée plutôt qu'une technologie expérimentale, par exemple, est susceptible d'écarter toute forme de difficulté technique. Opter pour un fournisseur français plutôt qu'indien ... Le transfert des risques Le transfert des risques est une pratique courante, mais ce transfert ne change rien aux risques. Cette stratégie, toutefois, comporte presque toujours un prix. Le contrat à forfait constitue un exemple classique où un propriétaire transfère le risque à un entrepreneur. L'entrepreneur comprend que sa société paiera pour tout risque qui se matérialisera. C'est pourquoi une compensation pécuniaire pour le facteur de risque sera ajoutée au prix soumissionné au contrat. Avant de transférer le risque, le propriétaire détermine l'entrepreneur qui, à ses yeux, sera le plus en mesure d'en limiter l'occurrence. Il vérifie aussi si l'entrepreneur est capable d'absorber les coûts éventuels. L'entrepreneur doit bien connaître les responsabilités qui lui incombent quand il accepte d'absorber un risque. Plus courante, l'assurance constitue une autre façon de transférer un risque. 11/15 12-COURS_MSI_Gestion_projet_SI_Risques DSCG : UE5 - Management des Systèmes d'Information Gestion de Projet : les risques Cependant, dans la majorité des cas, c'est peu pratique, car tenter de définir les événements à risque et les conditions d'un projet avec un courtier d'assurance s'avère difficile et généralement coûteux. Bien entendu, les événements à risque peu probables et à conséquences graves comme les catastrophes naturelles sont plus faciles à décrire et à assurer. Les cautionnements définitifs, les engagements formels et les garanties constituent d'autres instruments financiers utiles au transfert des risques. Le partage des risques Dans le partage du risque, différentes parties assument une portion du risque. L'exemple de l'Airbus A340 illustre bien cette notion. Les risques liés à la recherche et au développement ont été répartis entre certains pays européens dont l'Angleterre et la France. L'industrie du divertissement, pour sa part, a formé un consortium dans le but d'établir un format commun pour les DVD et d'assurer la compatibilité entre les produits. D'autres formes de partage des risques sont en train de voir le jour. Le partage des risques a gagné en popularité ces dernières années, servant d'élément de motivation pour réduire les risques et même, dans certains cas, diminuer les coûts. Le partenariat entre un propriétaire et des entrepreneurs a suscité un développement continu des processus d'amélioration afin d'encourager les entrepreneurs à trouver des moyens innovateurs de mettre en œuvre un projet. Cette nouvelle méthode entraînera sans doute des frais de démarrage et un certain risque que le nouveau processus ne fonctionne pas. En général, le propriétaire et les sous-traitants assument à parts égales le coût du risque et les avantages apportés par le nouveau procédé. L'acceptation des risques Dans certains cas, les acteurs sont ouverts à l'idée qu'un risque se produise. Certains risques sont d'une telle ampleur qu'il est impensable de les transférer ou de les réduire - par exemple, un tremblement de terre ou une inondation. Le maître de l'ouvrage assume le risque, la probabilité de réalisation étant mince. Dans les autres cas, le budget de réserve peut simplement absorber un risque établi s'il se matérialise. Quand le risque est accepté, il faut développer un plan d'urgence au cas où le risque se produirait. Quelquefois, il est possible d'ignorer un événement à risque et d'être ouvert au dépassement de coût qu'il entraînerait si jamais il se présentait. Plus il y a d'efforts consentis pour trouver des réponses aux risques avant le début du projet, meilleures seront les chances de réduire le nombre de mauvaises surprises en cours de route. Savoir que la réponse à un événement à risque sera acceptée, transférée ou partagée réduit considérablement le stress et l'incertitude quand celui-ci se produit. Une fois de plus, cette approche structurée permet d'avoir la situation bien en main. Le plan de substitution Le plan de substitution est un plan de rechange utile quand un risque prévu devient réalité. Ce plan consiste en une série de mesures qui atténueront l'impact négatif de l'événement à risque. Comme tous les autres plans, le plan de substitution répond aux questions suivantes: Quoi? Où? Quand? Comment? Faute de plan de substitution, il est possible qu'un gestionnaire soit forcé de retarder ou de remettre la décision d'appliquer une solution quand l'événement se produit. Ce retard est susceptible de semer la panique chez les membres de l'équipe qui peuvent alors accepter la première solution proposée. De telles décisions prises après coup, sous pression, s'avèrent potentiellement dangereuses et coûteuses. Le plan d'urgence évalue les solutions de rechange touchant les événements à risque avant qu'ils ne se produisent et il retient la meilleure. Il facilite la transition vers la solution de rechange ou le palliatif. En outre, il augmente les chances de succès du projet d'une façon considérable. Les conditions pour accélérer la mise en œuvre du plan de substitution doivent être déterminées et clairement documentées. Le plan comprendra un devis estimatif et précisera la provenance des fonds. Les acteurs doivent tous s'entendre sur le plan de substitution et avoir leur mot à dire. La mise en œuvre d'un tel plan perturbe la séquence des travaux. C'est pourquoi il importe que les membres de l'équipe en prennent tous connaissance afin de limiter les mauvaises surprises et de diminuer la résistance. Une matrice de réponses aux risques est une aide à la décision. Événement à risque Problèmes d'interface Réponse Réduire. Plan de substitution attendant de l'aide. 12/15 Déclencheur Pas résolu en Responsable Nicole 12-COURS_MSI_Gestion_projet_SI_Risques DSCG : UE5 - Management des Systèmes d'Information Gestion de Projet : les risques 24 heures Pannes du système Réduire. Réinstaller le système d'exploitation. Toujours en panne après une heure Emma Réticence des utilisateurs Réduire. Augmenter le personnel de soutien. Appel de la haute direction Youssef Mauvais fonctionnement de l'équipement Transférer. Commander d'autres marques. ne fonctionne pas. Jonathan Suivi La phase de suivi vise à recueillir l’information pertinente permettant de mettre à jour les fiches de risque et de présenter cette information de façon claire et intelligible aux personnes et aux groupes à qui elle est destinée. L’objectif ultime de l’information résultant de la phase de suivi est de pouvoir prendre une décision à l’égard de chaque risque faisant l’objet d’un suivi. La phase de suivi doit inclure les activités suivantes • La collecte de l’information requise afin de mettre à jour les fiches de risque ; • La compilation de cette information ; • La communication du résultat de cette compilation par l’entremise des fiches de risque mises à jour et de tout autre véhicule approprié La phase de suivi entraîne l’utilisation de métriques permettant d’évaluer l’évolution des risques. Deux types de métriques sont notamment mises à contribution : Indicateurs Ce sont des représentations de données qui fournissent des indications sur le processus de gestion des risques, les activités qu’il comprend et les résultats en découlant. Le degré d’exposition au risque et la gravité du risque constituent deux indicateurs permettant de juger de l’efficacité des mesures de mitigation et de contingence mises en oeuvre au cours d’un projet. Un indicateur efficace se veut facile à calculer. Il simplifie également la collecte de données et il est pertinent au sujet qu’il vise à représenter. Au fur et à mesure que la gestion des risques évoluera au sein d’une organisation et constituera un processus intégré à la gestion de projet, d’autres indicateurs seront vraisemblablement définis dans le but de caractériser plus précisément le processus en question et les risques qui en font l’objet. Déclencheurs Les métriques de type déclencheur sont des seuils utilisés conjointement avec les métriques de type indicateur afin de déterminer le moment où une action s’avère nécessaire. Un ensemble de seuils pourra ainsi être défini et sélectivement activés en fonction de l’information fournie par les indicateurs. 13/15 12-COURS_MSI_Gestion_projet_SI_Risques DSCG : UE5 - Management des Systèmes d'Information Gestion de Projet : les risques Un déclencheur efficace fournit rapidement un avertissement, il ne se déclenche pas inutilement et il est facile à déterminer ou à calculer. Les activités réalisées dans le cadre de l’acquisition des informations sont les suivantes : • la revue des données du projet susceptibles d’avoir une incidence sur les risques faisant l’objet d’un suivi ; • la revue des données relatives au déroulement des activités de mitigation ou de celles relatives aux activités de contingence, selon le cas ; • la mise à jour des attributs de chaque risque, notamment sa probabilité, son impact et le délai disponible avant la mise en œuvre des mesures de mitigation ou des mesures de contingence si celles-ci n’ont pas encore démarrées ; • la collecte de toute information additionnelle susceptible d’apporter un éclairage nouveau sur les risques, sur leurs attributs ou sur l’efficacité des mesures de mitigation ou de contingence mises en œuvre jusqu’à présent et sur la pertinence de celles prévues ; • la mise à jour des indicateurs, notamment le degré d’exposition au risque et la gravité de chaque risque. Les activités reliées à la compilation consistent essentiellement à analyser les informations ainsi recueillies et à établir l’état de chaque risque, l’état des mesures de mitigation ou de contingence, les tendances susceptibles de se développer et le risque global auquel le projet est exposé. Une attention particulière est portée aux déclencheurs qui sont à même de fournir un avertissement sur le fait que certaines actions doivent être suspendues et d’autres démarrées. Finalement, les résultats de cette compilation sont transmis aux intervenants concernés, principalement par l’entremise des fiches de risque. Les fiches de risque pour lesquels les indicateurs signalent une détérioration possible de la situation pourront faire l’objet de présentations plus détaillées. Contrôle La phase de contrôle consiste en une prise de décision éclairée, opportune et efficace concernant les risques et les plans de mitigation et de contingence. Chaque risque est examiné et l’information recueillie au cours de la phase de suivi est passée en revue dans le but de pouvoir déterminer les actions à prendre à son égard. Ainsi, la continuation des activités de suivi ou la clôture du risque constituent deux décisions possibles en rapport avec un risque donné. La phase de contrôle inclut les activités suivantes : • L’analyse du résultat des activités de suivi et des rapports qui en découlent pour chacun des risques visés ; • Le choix d’un mode d’action par rapport à ces risques ; • La mise en œuvre des décisions qui ont été prises à l’égard de chacun des risques. La phase de contrôle des risques fait appel au principe de communication libre car il est particulièrement important que la prise de décision se fasse en connaissance de cause, en prenant compte de toute l’information disponible à leur égard. Comme pour la phase de suivi, la phase de contrôle repose sur un processus de gestion intégrée à la gestion de projet et s’appuie largement sur les mécanismes qui y sont mis en œuvre. Une perspective globale, qui tient compte de l’application faisant l’objet du projet en tant que composante d’un système, jointe à une vision orientée vers l'avenir contribuent à une prise de décisions dont l’objectif est le succès du projet et de l’organisation dans laquelle il s’inscrit. 14/15 12-COURS_MSI_Gestion_projet_SI_Risques DSCG : UE5 - Management des Systèmes d'Information Gestion de Projet : les risques une parmi les six décisions suivantes résulte de la phase de contrôle : • nouvelle planification : Lorsque l’évolution des risques demande que les mesures de mitigation ou de contingence soient modifiées pour tenir compte des nouveaux développements. • clôture du risque : Lorsque le degré d’exposition au risque a diminué à un seuil acceptable, que le risque n’est plus une préoccupation ou que le risque n'est plus pertinent car il référait à une phase maintenant terminée du projet. Si le risque a dégénéré en problème, la clôture du risque pourra également être effectuée si les mesures prévues à cet effet font partie d’un processus de gestion de crise distinct du processus de gestion des risques. • élaboration d’un plan de contingence : Lorsqu’il apparaît que les mesures mises en oeuvre pourraient ne pas s’avérer concluantes, il serait prudent de planifier des mesures de contingence pour les risques les plus importants. • mise en œuvre du plan de contingence : Lorsqu’il apparaît probable que les mesures mises en place, elles doivent être interrompues et remplacées par la mise en œuvre du plan de contingence. • réalisation d’analyses plus poussées : Lorsqu’il est nécessaire de repousser la prise de décision jusqu’à ce que de plus amples renseignements sur l’état du risque soient disponibles. • poursuite du suivi : Lorsque aucune action spécifique n’est requise autre que de continuer les activités de suivi des risques. La fermeture d’un dossier de risque devrait s’accompagner d’une documentation sur la raison de l’échec ou de la réussite du plan de mesures, les relations qui auront pu exister entre ce risque et les autres risques associés au projet et les données d’analyse pertinentes. À cet égard, une revue des fiches de risque enregistrées dans le répertoire de risques est souhaitable à la fin du projet. Leur mise à jour avec les recommandations pertinentes aux situations qui y sont décrites, en tenant compte de l’expérience acquise au cours du projet, constituera une aide très importante pour les projets en cours et ceux prévus dans le futur. 15/15 12-COURS_MSI_Gestion_projet_SI_Risques