Ajouter à la (aux) collection (s) Ajouter à enregistré
  1. Entreprise
  2. Management
  3. Gestion de projet

Table des matières

publicité 
DSCG : UE5 - Management des Systèmes d'Information
Gestion de Projet : les risques
Table des matières
CARTE HEURISTIQUE ................................................................................................................................. 1
NOTION DE RISQUE................................................................................................................................... 2
RISQUES D'UN PROJET............................................................................................................................... 2
Les 10 risques majeurs d'un projet, d'après BOEHM................................................................................................................3
La nature des risques................................................................................................................................................................4
Le profil de risques.....................................................................................................................................................................5
PROCESSUS DE GESTION DES RISQUES .......................................................................................................... 5
ETAPES PRINCIPALES DU PROCESSUS DE LA GESTION DES RISQUES ......................................................................6
Identification des risques............................................................................................................................................................6
Analyse des Risques.................................................................................................................................................................7
Planification..............................................................................................................................................................................10
Suivi.........................................................................................................................................................................................13
Contrôle...................................................................................................................................................................................14
Carte heuristique
1/15
12-COURS_MSI_Gestion_projet_SI_Risques
DSCG : UE5 - Management des Systèmes d'Information
Gestion de Projet : les risques
Notion de risque
Le Risque est la probabilité d'échec dans l’atteinte d'objectifs.
Le Risque informatique est la probabilité d'échec d'un projet informatique.
RISQUE = MENACE * IMPACT * VULNERABILITE
Une menace est une cause potentielle d'incident, qui peut résulter en un dommage au système ou à
l'organisation (« norme de sécurité des systèmes d'information ISO 13335-1 »).
Une menace doit être décrite en citant le bien qui en est la cible, l’élément menaçant identifié et
l’attaque.
Une société a mis en place une borne Wifi pour permettre à ses commerciaux
itinérants de se connecter au réseau de l'entreprise lors des réunions. La menace
peut consister en une intrusion du réseau par des personnes extérieures (élément
menaçant) à l'entreprise pour récupérer le fichier client (bien), en utilisant un logiciel
facilement disponible sur Internet (attaque) qui permet de cracker les clés de sécurité
Wifi
Une vulnérabilité est toute faiblesse des ressources informatiques qui peut être exploitée par des
menaces, dans le but de les compromettre. De nouvelles vulnérabilités sont découvertes
quotidiennement et peuvent concerner toute ressource informatique.
Dans l'exemple précédent , la vulnérabilité tient à la nature des clés de
protection dont le système de chiffrement n'est pas suffisamment robuste.
L'impact est l'évaluation des dommages causés par les dégâts d'un événement.
La divulgation d'un fichier client peut engendrer des pertes financières, mais aussi
une décrédibilisation de l'entreprise dont l'image peut devenir négative.
Assurer le risque zéro est trop coûteux. La règle de Pareto s'applique aussi à la gestion des risques :
«80% des risques informatiques peuvent être couverts par 20% des investissements nécessaires. »
Risques d'un projet
Dans le contexte d'un projet, le risque est une condition ou un événement plus ou moins prévisible
susceptible d'avoir des effets positifs ou négatifs sur les objectifs d'un projet. Le risque a une cause
et, s'il se matérialise, une conséquence. Par exemple, le risque qu'un événement vienne modifier le
contenu d'un projet pourrait avoir comme conséquence de changer les objectifs ou la composition de
l'équipe de projet. Si un événement incertain se présente, il a possiblement un impact sur le coût, le
calendrier ou la qualité du projet. Avant le début d'un projet, il est possible de déterminer certains
événements potentiellement risqués, tels que le mauvais fonctionnement d'un équipement ou une
modification des exigences techniques. Les risques sont parfois des conséquences anticipées,
comme certains retards dans les programmes ou des dépassements de coûts.
2/15
12-COURS_MSI_Gestion_projet_SI_Risques
DSCG : UE5 - Management des Systèmes d'Information
Gestion de Projet : les risques
Les 10 risques majeurs d'un projet, d'après BOEHM
Risques encourus et classement
Mesures préventives
Risque n° 3 : Développement de
logiciels impropres à satisfaire les
besoins
•
•
•
•
•
Analyse de l’organisation
Analyse des missions
Revue
Prototypage
Rédaction anticipée des manuels
utilisateurs
Risque n° 4 : Développement de
mauvaises interfaces utilisateurs
•
•
•
Analyse des tâches
Prototypage
Prise en compte de l’utilisateur
(fonction, comportement, charge de
travail)
Risque n° 9 : Défaillance des
performances en temps immédiat
•
•
•
•
Simulation
Essais comparatifs
Modélisation, Prototypage
Instrumentation, Réglages
Œuvre
Risque n° 10 : Blocage sur les
limites technologiques des platesformes
•
•
•
Analyse technique
Vérification a priori des performances
Analyse des coûts
Ressources
Risque n° 1 : Inaptitude du
personnel
•
•
•
•
Structuration de l’équipe
Redistribution des rôles
Renforcement de l’encadrement
Formation, entraide, motivation
•
•
•
•
Recoupement de plusieurs
estimations détaillées des charges,
des coûts et des plannings
Remise en cause des demandes
Développement incrémental
Réutilisation de logiciel
Risque n° 5 : Perfectionnisme
•
•
•
Examen critique des spécifications
Prototypage
Calcul des retours sur investissement
Risque n° 6 : Courant continu de
modifications
•
•
•
Seuil d’acceptation des changements
Développement incrémental
Report des modifications en fin de
projet
Risque n° 7 : Défaillances des
fournitures externes
•
•
•
•
Mise en concurrence
Contrôle des références
Analyse de compatibilité
Inspection et recette
Risque n° 8 : Défaillances des
travaux sous- traités
•
•
•
Contrôle des références
Audit de qualification
Structure d’équipe
Ouvrage
Planification
Suivi
Risque n° 2 : Prévisions optimistes,
sous- estimation des budgets
3/15
12-COURS_MSI_Gestion_projet_SI_Risques
DSCG : UE5 - Management des Systèmes d'Information
Gestion de Projet : les risques
La nature des risques
Les risques consécutifs au déroulement du projet sont de nature :
• fonctionnelle (le produit ne répond pas au besoin) ;
• économique (le budget du projet est dépassé) ;
• organisationnelle (le projet ne réussit pas à s’insérer dans l’organisation comme prévu) ;
• temporelle (le produit est en retard par rapport au besoin).
Le défaut de performance (système lent, informations obtenues avec retard, volume d’informations
limité, manque de protection contre les intrusions, …) se rattache aux risques fonctionnel et
organisationnel.
Les principales anomalies et l’analyse de leurs causes possibles (sur lesquelles il faut agir à titre
préventif) sont illustrées ci-dessous :
Nature du
risque
Exemples d’anomalies
•
•
•
Fonctionnel
•
•
•
•
•
Causes possibles
Le système est trop lent ou il ne fournit
pas l’information avec la précision
désirée
Des fonctions ne sont pas couvertes
Certains modules s’avèrent
inexploitables
Le système génère des pertes de temps
Le système est complexe, difficile à
appréhender
Système rapidement obsolète
Difficultés de communication avec
d’autres applications
Arrêt d’exploitation
•
•
•
•
•
•
•
•
•
•
•
•
•
•
Economique
•
•
Ecarts en cours de réalisation
Budget final largement dépassé
•
•
•
•
•
•
Organisationnel
•
•
•
•
Décalage par rapport aux procédures
Système inadapté à la structure,
problèmes de coordination
Des processus de sont pas pris en
compte
Complexité excessive pour les
opérateurs, génération d’erreurs
humaines
Fortes résistances face au système
Refus du système
Le système génère des pertes de
temps, des coûts cachés
•
•
•
•
•
•
•
•
•
Temporel
•
•
•
•
Retards de réalisation
Mise en service trop longue
Retard global du projet
•
•
•
•
4/15
Mauvaise analyse du problème
Défaut d’implication des utilisateurs
Cahier des charges insuffisant
Dérive des réalisations faute de suivi par le MOA
Insuffisance de la réception ou mise en service
prématurée
Contrats fournisseurs pas assez précis et
contraignants
Budget initial abusivement contraint à la baisse
Choix de technologies trop anciennes
Défaut de conception (intégration,
interopérabilité)
Défaut technique
Complexité technique imprévue
Mauvaise estimation par défaut d’expertise
Choix de solutions non éprouvées
Problème de charge ou délai nécessitant un
renfort ponctuel
Spécification initiale insuffisante entraînant des
corrections en cours de réalisation
Insuffisance des contrats fournisseurs, ne
prévoyant pas les adaptations mineures
Budget initial abusivement contraint à la baisse
Mauvaise analyse du problème
Schéma directeur ou plan d’urbanisation non
respecté
Défaut d’implication des utilisateurs
Cahier des charges insuffisant
Dérive des réalisations faute de suivi par le MOA
Insuffisance de la réception ou mise en service
prématurée
Etudes d’organisation non coordonnées avec le
projet TI
Défaut de mise en service (communication ou
formation)
Contrats fournisseurs pas assez précis et
contraignants
Spécification initiale insuffisante entraînant des
corrections en cours de réalisation
Délai initial abusivement contraint à la baisse
Défaut d’implication des utilisateurs
Complexité imprévue d’initialisation des données
Mauvaise synchronisation organisation - TI
12-COURS_MSI_Gestion_projet_SI_Risques
DSCG : UE5 - Management des Systèmes d'Information
Gestion de Projet : les risques
Le profil de risques
L’analyse du niveau de risque d’un projet peut être menée en tenant compte de cinq critères :
• la taille du projet (périmètre du projet / ensemble du SI), car le risque de désorganisation
augmente avec l’importance relative du projet ;
• son degré d’intégration (nombre d’interactions entre le projet et d’autres composantes du SI).
Plus il est élevé, plus l’impact du projet est élevé et plus les tests de fonctionnement sont
compliqués ;
• sa difficulté technique (notamment la mise en œuvre de technologies innovantes et mal
maîtrisées) ;
• sa durée, car une durée élevée peut provoquer des phénomènes de démobilisation, faire
subir au projet des réorganisations d’équipes ;
• la stabilité de l’équipe projet.
Un profil de risque du projet peut ainsi être établi graphiquement :
5
4
3
2
1
0
Taille
Intégration Difficulté
Durée
Equipe
Processus de gestion des risques
Ce diagramme illustre le dilemme de la gestion des risques. La probabiIité qu'un événement à risque
se produise s'avère plus élevée à la phase de conception, de planification et de démarrage. L'impact
du coût du risque est moindre lorsque celui-ci se présente tôt dans le projet. À cette étape, il est
possible de minimiser l'impact d'un risque potentiel, voire de le contourner. À l'inverse, dès que le
projet est rendu à la mi-parcours, le coût du risque, s'il se réalise, augmente rapidement. Un défaut
de conception se manifestant après la fabrication du prototype aura un plus grand impact sur le coût
ou sur le temps que s'il se produit au cours de la phase initiale du projet. Déterminer les risques et
trouver des réponses à ces risques avant la mise en œuvre du projet est sans conteste plus prudent
que de faire fi de la gestion des risques.
« La gestion des risques est une approche pro active plutôt que réactive. Elle doit permettre
de réduire au maximum les surprises et les conséquences néfastes associées aux événements
indésirables. »
5/15
12-COURS_MSI_Gestion_projet_SI_Risques
DSCG : UE5 - Management des Systèmes d'Information
Gestion de Projet : les risques
Etapes principales du processus de la gestion des risques
Identification des risques
L'identification des risques vise à repérer les problèmes potentiels avant qu'ils ne se transforment en
problèmes réels et à inclure cette information dans le processus de gestion de projet. La phase
d’identification permet de formuler les énoncés de risques et d’identifier leur information contextuelle.
L’énoncé de risque et l’information contextuelle à ce risque peuvent être précisés en répondant aux
trois questions suivantes :
1. Quelles sont les conditions ou les symptômes qui font qu’un risque est ce qu’il est, c’est-àdire un problème en attente de circonstances qui lui permettront de se matérialiser ?
2. Pourquoi est-ce un risque, autrement dit quel impact aura ce risque s’il survient ?
3. D’où vient le risque, autrement dit quelles sont les causes des conditions ou des symptômes
observés ?
Une gestion efficace des risques implique un processus continu d’identification.
En effet, de nouveaux risques sont susceptibles de survenir au cours de la réalisation du projet. Une
communication libre est également requise pour l'identification des risques et ce, afin d'encourager
tous les intervenants du projet à communiquer les problèmes potentiels qu'ils entrevoient, à partir
d'une vision orientée vers l'avenir du produit ou du service faisant l’objet du projet. Bien qu'une
contribution individuelle joue un rôle dans cette identification, les échanges favorisés par un travail
d'équipe permettent une meilleure compréhension du projet et une identification plus précise et plus
exhaustive des risques auxquels il est exposé.
Le gestionnaire de projet doit encourager l'esprit critique quand il s'agit d'établir les risques. L'objectif
consiste à découvrir les problèmes avant qu'ils ne se présentent, et les participants doivent observer
la loi de Murphy: « Tout ce qui peut aller de travers ira de travers. »
6/15
12-COURS_MSI_Gestion_projet_SI_Risques
DSCG : UE5 - Management des Systèmes d'Information
Gestion de Projet : les risques
Référentiel des risques
L’établissement d’un référentiel constitue l’étape charnière de la phase d’identification des risques
dans la mesure où elle donne le ton à l’identification des risques pour la suite du projet. Dans un
mode continu d’identification des risques, ceux-ci sont susceptibles d’être identifiés sur une base
individuelle, en faisant intervenir un nombre limité d’intervenants. L’établissement périodique d’un
référentiel permet de partager cette information tout au long du projet et de la compléter par des
informations additionnelles fournies par les autres intervenants.
Une approche pour identifier les risques et établir un référentiel, peut être étalée sur une période de 5
jours. Dans une situation réelle, sa durée dépendra de l’envergure et de la complexité du projet pour
lesquels les risques sont identifiés (typiquement de deux à cinq jours)
Analyse des Risques
La phase d’analyse vise à convertir les informations et données sur le risque recueillies au cours de
la phase d’identification et définir les mesures appropriées.
Elle doit inclure les trois activités suivantes :
1. Une évaluation des attributs de chaque risque notamment sa probabilité (ou sa
fréquence), son impact s’il survenait et le délai disponible avant de devoir faire quelque
chose;
2. une classification des risques identifiés afin de définir un ensemble de mesures
cohérentes pour les gérer;
3. Un ordonnancement des risques en fonction de leur priorité afin d’être en mesure de
déterminer quels risques seront abordés en premier.
La phase d’analyse des risques constitue un processus continu d’examen des conditions et
contraintes qui affectent le projet, des nouveaux risques qui surviennent au cours de son déroulement
et des priorités qui évoluent. Une vision orientée vers l'avenir contribue à faire en sorte que l’analyse
soit effectuée en portant une attention particulière à l’impact à long terme des risques. Finalement,
une vision commune jointe à une perspective globale permettent d’analyser les risques dans un
7/15
12-COURS_MSI_Gestion_projet_SI_Risques
DSCG : UE5 - Management des Systèmes d'Information
Gestion de Projet : les risques
contexte élargi à la clientèle visée par le produit ou le service faisant l’objet du projet, aux besoins
exprimés par la clientèle et aux objectifs de l’organisation
Evaluation des attributs des risques
Les attributs d’un risque sont au nombre de trois :
• la probabilité (ou la fréquence) d’un risque;
• l’impact d’un risque;
• le délai d’intervention avant l’impact d’un risque.
Probabilité (ou fréquence) d’un risque
Le premier attribut caractérisant un risque est la
probabilité qu’il survienne. S’il s’agit d’un risque
opérationnel, c’est-à-dire d’un risque susceptible de se
répéter de projet en projet, on pourra également parler
de fréquence. On pourra aussi le qualifier d'événement
« chronique », « occasionnel » ou « rare ».
Exprimé en termes de probabilité, ceci est équivalent à
qualifier le fait que si un événement significatif
survient, la probabilité est très élevée, faible ou très
faible. Une échelle permettant d’évaluer la probabilité
qu’un risque survienne est illustrée ci-contre. Cette
probabilité peut être exprimée par un énoncé
d’incertitude, un ordinal ou une valeur entre 0 et 1.
Impact d’un risque
Le deuxième attribut caractérisant un risque est son
impact, c’est-à-dire la perte subie si le risque
survient. L’impact est souvent exprimé par le montant
(ou un terme qualifiant ce montant) qu’une
organisation est disposée à débourser afin d’éviter
que le risque se produise. Ce montant variera en
fonction de la criticité du risque et de facteurs non
monétaires comme la culture organisationnelle et la
détérioration de l’image de l’organisation si le risque
survenait.
L’impact peut être évalué pour plusieurs dimensions
(impact budgétaire, impact sur le calendrier, impact
sur la performance du système, etc.),
8/15
12-COURS_MSI_Gestion_projet_SI_Risques
DSCG : UE5 - Management des Systèmes d'Information
Gestion de Projet : les risques
Délai d’intervention avant impact d’un risque
Le troisième attribut caractérisant un risque est le délai disponible avant de devoir prendre une action
quelconque. Une échelle permettant d’exprimer le délai est illustrée ci-après. Comme dans le cas de
l’impact, une valeur numérique pourra être associée à un énoncé de délai afin de faciliter le calcul de
la gravité du risque (par exemple, 1 pour court terme, 2 pour moyen terme et 3 pour long terme).
Ainsi, plus le délai est faible, plus la gravité du risque est élevée car cette situation indique que le
délai d’intervention avant l’impact d’un risque est d’autant plus court.
La classification et la consolidation des risques
Les activités de classification et de consolidation visent à évaluer un ensemble de risques et à
déterminer comment il sont reliés entre eux. L’activité de consolidation, en particulier, permet de
combiner les énoncés de risques mineurs dans le but d’en arriver à un nouvel énoncé de risque et
d’en faciliter la gestion.
La classification des risques peut être réalisée selon divers axes :
• leur source,
• le produit,
• la composante ou le service affecté,
• la phase à laquelle ils sont susceptibles de survenir,
• les groupes ayant la responsabilité de les gérer,
• etc.
L’ordonnancement des risques en fonction de leur priorité
L’ordonnancement des risques est effectué dans un premier temps en calculant le degré d’exposition
au risque (ER) par la relation :
ER = (Probabilité associée au risque) x (Impact du risque)
Une représentation du degré d’exposition au risque à l’aide d’une échelle qualitative, tel qu’illustré ciaprès, facilite son interprétation et la communication des risques pour lesquels des actions devraient
être prises de façon prioritaire.
Le degré d’exposition au risque constitue un premier paramètre permettant d’ordonnancer les risques
afin de déterminer lesquels seront abordés en premier.
Lorsque deux risques ont le même degré d’exposition au risque, la gravité pourra être utilisée pour
réaliser un ordonnancement plus fin. La gravité est déterminée par la relation :
Gravité = ER / Délai
Avec l’utilisation d’une échelle de 1 à 3 pour représenter un délai variant de court terme à long terme,
la valeur numérique associée à la gravité sera d’autant plus grande que le délai est court.
Si deux risques ont le même degré d’exposition au risque et la même gravité, des paramètres
supplémentaires peuvent s’avérer nécessaires dans le but de préciser leur ordonnancement. En effet,
9/15
12-COURS_MSI_Gestion_projet_SI_Risques
DSCG : UE5 - Management des Systèmes d'Information
Gestion de Projet : les risques
l’utilisation d’ordinaux ne permet pas de mettre en évidence la densité des risques et leur interaction
s’ils se matérialisaient. Ainsi, dans le tableau précédent, un risque probable dont l’impact est marginal
a le même degré d’exposition au risque qu’un risque improbable pour lequel l’impact est
catastrophique. L’effet du risque catastrophique pourra être concentré sur une courte période de
temps ou se faire sentir à l’intérieur d’un périmètre limité inapte à en absorber le choc, alors que
l’effet du risque probable pourra être réparti sur plusieurs événements étalés dans le temps ou
survenir plus ou moins simultanément en plusieurs endroits différents plus aptes à en absorber le
choc individuellement. Par ailleurs, l’interaction de plusieurs incidents découlant d’un risque probable
dont l’impact est marginal pourra faire en sorte que leur effet combiné dépasse l’effet d’un risque
catastrophique improbable.
Planification
La phase de la planification vise à prévoir la mise en place de mesures qui permettront de diminuer
les risques identifiés au cours de la phase d’identification.
Le but recherché est de réduire la probabilité (ou la fréquence) et l’impact de chaque risque.
La phase de planification doit permettre à chaque intervenant du projet de répondre aux questions
suivantes :
• Ce risque me concerne-t-il ?
• Que puis-je y faire ?
• Jusqu’où dois-je aller et comment ?
Il est important de planifier efficacement et intelligemment. La planification des mesures devrait
comporter autant de détails qu’il est nécessaire afin de pouvoir en retirer des bénéfices. À cet égard,
la sur-planification peut s’avérer aussi préjudiciable qu’un manque de planification, car elle est
susceptible de devenir une excuse pour ne rien faire.
Cette planification fait appel à un processus de gestion intégrée, en ce sens qu’elle doit s’harmoniser
avec les objectifs visés par le projet. Une vision commune du produit ou du service faisant l’objet du
projet jointe à une perspective globale prenant en considération les besoins de la clientèle et les
objectifs de l’organisation dans laquelle le projet s’inscrit, permettent de concevoir des mesures de
mitigation et de contingence qui tiennent compte des intérêts de la clientèle, du projet lui-même et de
l’organisation.
Finalement, une vision orientée vers l'avenir prenant en considération les conséquences associées
aux risques contribue à faire en sorte que ceux-ci ne dégénèrent pas en problèmes.
Après avoir établi et évalué un risque, l'équipe de la gestion des risques détermine la façon qui
convient le mieux pour le contrer. On classe les risques selon qu'ils seront réduits, évités, transférés,
partagés ou acceptés.
La réduction des risques
D'ordinaire, on envisage d'abord de réduire le risque. Pour ce faire, il existe en gros deux stratégies :
10/15
12-COURS_MSI_Gestion_projet_SI_Risques
DSCG : UE5 - Management des Systèmes d'Information
Gestion de Projet : les risques
1. limiter la probabilité de réalisation du risque : par exemple en développant un projet
« pilote », en formant le personnel par anticipation, en achetant du matériel haut de gamme..
2. en atténuer l'impact quand il se présente.
Prenons l'exemple d'un projet de construction d'un pont d'un port côtier où il est question de recourir à
un nouveau procédé de coulage du béton de manière continue, mis au point par une société
australienne, qui permettra d'économiser significativement temps et argent. Le risque majeur consiste
en ce que ce procédé de coulage, pour chaque section principale du pont, ne peut être interrompu
d'aucune façon. Toute interruption entraînerait la démolition et le remplacement d'une section entière
du pont, soit des centaines de mètres cubes de béton. Au moment d'évaluer les risques possibles,
l'équipe s'est concentrée sur la livraison du béton de la cimenterie. Il est possible que les bétonnières
montées sur camion soient retardées ou encore que la cimenterie interrompe ses activités. La
réalisation de ces risques entraînerait d'énormes coûts de reconstruction et des retards considérables.
Afin de réduire le risque, on a décidé de construire deux autres usines de béton mobiles dans un
rayon de 30 km du pont, près d'autoroutes différentes, si jamais la production de la cimenterie
principale devait être interrompue. Ces deux usines mobiles disposeraient des matières premières
pour une section entière du pont. Chaque fois qu'un coulage continu s'avérerait nécessaire, des
camions supplémentaires se tiendraient prêts en cas de besoin. D'autres scénarios de réduction de
risque sont élaborés dans les projets de développement de logiciels où l'on recourt à des procédés
innovateurs, si jamais l'un d'eux faisait défaut.
Les moyens permettant d'éviter les risques
Pour éviter les risques, on modifie le plan du projet. Bien qu'il soit impossible d'éliminer tous les
risques, on peut en écarter certains avant d'entreprendre le projet. Privilégier une technologie
éprouvée plutôt qu'une technologie expérimentale, par exemple, est susceptible d'écarter toute forme
de difficulté technique. Opter pour un fournisseur français plutôt qu'indien ...
Le transfert des risques
Le transfert des risques est une pratique courante, mais ce transfert ne change rien aux risques.
Cette stratégie, toutefois, comporte presque toujours un prix. Le contrat à forfait constitue un exemple
classique où un propriétaire transfère le risque à un entrepreneur. L'entrepreneur comprend que sa
société paiera pour tout risque qui se matérialisera. C'est pourquoi une compensation pécuniaire pour
le facteur de risque sera ajoutée au prix soumissionné au contrat. Avant de transférer le risque, le
propriétaire détermine l'entrepreneur qui, à ses yeux, sera le plus en mesure d'en limiter l'occurrence.
Il vérifie aussi si l'entrepreneur est capable d'absorber les coûts éventuels. L'entrepreneur doit bien
connaître les responsabilités qui lui incombent quand il accepte d'absorber un risque. Plus courante,
l'assurance constitue une autre façon de transférer un risque.
11/15
12-COURS_MSI_Gestion_projet_SI_Risques
DSCG : UE5 - Management des Systèmes d'Information
Gestion de Projet : les risques
Cependant, dans la majorité des cas, c'est peu pratique, car tenter de définir les événements à risque
et les conditions d'un projet avec un courtier d'assurance s'avère difficile et généralement coûteux.
Bien entendu, les événements à risque peu probables et à conséquences graves comme les
catastrophes naturelles sont plus faciles à décrire et à assurer. Les cautionnements définitifs, les
engagements formels et les garanties constituent d'autres instruments financiers utiles au transfert
des risques.
Le partage des risques
Dans le partage du risque, différentes parties assument une portion du risque. L'exemple de l'Airbus
A340 illustre bien cette notion. Les risques liés à la recherche et au développement ont été répartis
entre certains pays européens dont l'Angleterre et la France. L'industrie du divertissement, pour sa
part, a formé un consortium dans le but d'établir un format commun pour les DVD et d'assurer la
compatibilité entre les produits. D'autres formes de partage des risques sont en train de voir le jour.
Le partage des risques a gagné en popularité ces dernières années, servant d'élément de motivation
pour réduire les risques et même, dans certains cas, diminuer les coûts. Le partenariat entre un
propriétaire et des entrepreneurs a suscité un développement continu des processus d'amélioration
afin d'encourager les entrepreneurs à trouver des moyens innovateurs de mettre en œuvre un projet.
Cette nouvelle méthode entraînera sans doute des frais de démarrage et un certain risque que le
nouveau processus ne fonctionne pas. En général, le propriétaire et les sous-traitants assument à
parts égales le coût du risque et les avantages apportés par le nouveau procédé.
L'acceptation des risques
Dans certains cas, les acteurs sont ouverts à l'idée qu'un risque se produise. Certains risques sont
d'une telle ampleur qu'il est impensable de les transférer ou de les réduire - par exemple, un
tremblement de terre ou une inondation. Le maître de l'ouvrage assume le risque, la probabilité de
réalisation étant mince. Dans les autres cas, le budget de réserve peut simplement absorber un
risque établi s'il se matérialise. Quand le risque est accepté, il faut développer un plan d'urgence au
cas où le risque se produirait. Quelquefois, il est possible d'ignorer un événement à risque et d'être
ouvert au dépassement de coût qu'il entraînerait si jamais il se présentait.
Plus il y a d'efforts consentis pour trouver des réponses aux risques avant le début du projet,
meilleures seront les chances de réduire le nombre de mauvaises surprises en cours de route. Savoir
que la réponse à un événement à risque sera acceptée, transférée ou partagée réduit
considérablement le stress et l'incertitude quand celui-ci se produit. Une fois de plus, cette approche
structurée permet d'avoir la situation bien en main.
Le plan de substitution
Le plan de substitution est un plan de rechange utile quand un risque prévu devient réalité. Ce plan
consiste en une série de mesures qui atténueront l'impact négatif de l'événement à risque. Comme
tous les autres plans, le plan de substitution répond aux questions suivantes:
Quoi? Où? Quand? Comment?
Faute de plan de substitution, il est possible qu'un gestionnaire soit forcé de retarder ou de remettre
la décision d'appliquer une solution quand l'événement se produit. Ce retard est susceptible de semer
la panique chez les membres de l'équipe qui peuvent alors accepter la première solution proposée.
De telles décisions prises
après coup, sous pression, s'avèrent potentiellement dangereuses et coûteuses. Le plan d'urgence
évalue les solutions de rechange touchant les événements à risque avant qu'ils ne se produisent et il
retient la meilleure. Il facilite la transition vers la solution de rechange ou le palliatif. En outre, il
augmente les chances de succès du projet d'une façon considérable.
Les conditions pour accélérer la mise en œuvre du plan de substitution doivent être déterminées et
clairement documentées. Le plan comprendra un devis estimatif et précisera la provenance des
fonds. Les acteurs doivent tous s'entendre sur le plan de substitution et avoir leur mot à dire. La mise
en œuvre d'un tel plan perturbe la séquence des travaux. C'est pourquoi il importe que les membres
de l'équipe en prennent tous connaissance afin de limiter les mauvaises surprises et de diminuer la
résistance.
Une matrice de réponses aux risques est une aide à la décision.
Événement à risque
Problèmes d'interface
Réponse
Réduire.
Plan de substitution
attendant de l'aide.
12/15
Déclencheur
Pas résolu en
Responsable
Nicole
12-COURS_MSI_Gestion_projet_SI_Risques
DSCG : UE5 - Management des Systèmes d'Information
Gestion de Projet : les risques
24 heures
Pannes du système
Réduire.
Réinstaller le système
d'exploitation.
Toujours en
panne après
une heure
Emma
Réticence des
utilisateurs
Réduire.
Augmenter le personnel de
soutien.
Appel de la
haute direction
Youssef
Mauvais
fonctionnement de
l'équipement
Transférer.
Commander d'autres
marques.
ne fonctionne
pas.
Jonathan
Suivi
La phase de suivi vise à recueillir l’information pertinente permettant de mettre à jour les fiches de
risque et de présenter cette information de façon claire et intelligible aux personnes et aux groupes à
qui elle est destinée. L’objectif ultime de l’information résultant de la phase de suivi est de pouvoir
prendre une décision à l’égard de chaque risque faisant l’objet d’un suivi.
La phase de suivi doit inclure les activités suivantes
•
La collecte de l’information requise afin de mettre à jour les fiches de risque ;
•
La compilation de cette information ;
•
La communication du résultat de cette compilation par l’entremise des fiches de risque mises
à jour et de tout autre véhicule approprié
La phase de suivi entraîne l’utilisation de métriques permettant d’évaluer l’évolution des risques.
Deux types de métriques sont notamment mises à contribution :
Indicateurs
Ce sont des représentations de données qui fournissent des indications sur le processus de gestion
des risques, les activités qu’il comprend et les résultats en découlant. Le degré d’exposition au risque
et la gravité du risque constituent deux indicateurs permettant de juger de l’efficacité des mesures de
mitigation et de contingence mises en oeuvre au cours d’un projet.
Un indicateur efficace se veut facile à calculer. Il simplifie également la collecte de données et il est
pertinent au sujet qu’il vise à représenter. Au fur et à mesure que la gestion des risques évoluera au
sein d’une organisation et constituera un processus intégré à la gestion de projet, d’autres indicateurs
seront vraisemblablement définis dans le but de caractériser plus précisément le processus en
question et les risques qui en font l’objet.
Déclencheurs
Les métriques de type déclencheur sont des seuils utilisés conjointement avec les métriques de type
indicateur afin de déterminer le moment où une action s’avère nécessaire. Un ensemble de seuils
pourra ainsi être défini et sélectivement activés en fonction de l’information fournie par les
indicateurs.
13/15
12-COURS_MSI_Gestion_projet_SI_Risques
DSCG : UE5 - Management des Systèmes d'Information
Gestion de Projet : les risques
Un déclencheur efficace fournit rapidement un avertissement, il ne se déclenche pas inutilement et il
est facile à déterminer ou à calculer.
Les activités réalisées dans le cadre de l’acquisition des informations sont les suivantes :
• la revue des données du projet susceptibles d’avoir une incidence sur les risques faisant
l’objet d’un suivi ;
• la revue des données relatives au déroulement des activités de mitigation ou de celles
relatives aux activités de contingence, selon le cas ;
• la mise à jour des attributs de chaque risque, notamment sa probabilité, son impact et le délai
disponible avant la mise en œuvre des mesures de mitigation ou des mesures de
contingence si celles-ci n’ont pas encore démarrées ;
• la collecte de toute information additionnelle susceptible d’apporter un éclairage nouveau sur
les risques, sur leurs attributs ou sur l’efficacité des mesures de mitigation ou de contingence
mises en œuvre jusqu’à présent et sur la pertinence de celles prévues ;
• la mise à jour des indicateurs, notamment le degré d’exposition au risque et la gravité de
chaque risque.
Les activités reliées à la compilation consistent essentiellement à analyser les informations ainsi
recueillies et à établir l’état de chaque risque, l’état des mesures de mitigation ou de contingence, les
tendances susceptibles de se développer et le risque global auquel le projet est exposé. Une
attention particulière est portée aux déclencheurs qui sont à même de fournir un avertissement sur le
fait que certaines actions doivent être suspendues et d’autres démarrées.
Finalement, les résultats de cette compilation sont transmis aux intervenants concernés,
principalement par l’entremise des fiches de risque. Les fiches de risque pour lesquels les indicateurs
signalent une détérioration possible de la situation pourront faire l’objet de présentations plus
détaillées.
Contrôle
La phase de contrôle consiste en une prise de décision éclairée, opportune et efficace concernant les
risques et les plans de mitigation et de contingence. Chaque risque est examiné et l’information
recueillie au cours de la phase de suivi est passée en revue dans le but de pouvoir déterminer les
actions à prendre à son égard. Ainsi, la continuation des activités de suivi ou la clôture du risque
constituent deux décisions possibles en rapport avec un risque donné.
La phase de contrôle inclut les activités suivantes :
•
L’analyse du résultat des activités de suivi et des rapports qui en découlent pour chacun des
risques visés ;
•
Le choix d’un mode d’action par rapport à ces risques ;
•
La mise en œuvre des décisions qui ont été prises à l’égard de chacun des risques.
La phase de contrôle des risques fait appel au principe de communication libre car il est
particulièrement important que la prise de décision se fasse en connaissance de cause, en prenant
compte de toute l’information disponible à leur égard. Comme pour la phase de suivi, la phase de
contrôle repose sur un processus de gestion intégrée à la gestion de projet et s’appuie largement sur
les mécanismes qui y sont mis en œuvre.
Une perspective globale, qui tient compte de l’application faisant l’objet du projet en tant que
composante d’un système, jointe à une vision orientée vers l'avenir contribuent à une prise de
décisions dont l’objectif est le succès du projet et de l’organisation dans laquelle il s’inscrit.
14/15
12-COURS_MSI_Gestion_projet_SI_Risques
DSCG : UE5 - Management des Systèmes d'Information
Gestion de Projet : les risques
une parmi les six décisions suivantes résulte de la phase de contrôle :
•
nouvelle planification : Lorsque l’évolution des risques demande que les mesures de
mitigation ou de contingence soient modifiées pour tenir compte des nouveaux
développements.
•
clôture du risque : Lorsque le degré d’exposition au risque a diminué à un seuil acceptable,
que le risque n’est plus une préoccupation ou que le risque n'est plus pertinent car il référait à
une phase maintenant terminée du projet. Si le risque a dégénéré en problème, la clôture du
risque pourra également être effectuée si les mesures prévues à cet effet font partie d’un
processus de gestion de crise distinct du processus de gestion des risques.
•
élaboration d’un plan de contingence : Lorsqu’il apparaît que les mesures mises en
oeuvre pourraient ne pas s’avérer concluantes, il serait prudent de planifier des mesures de
contingence pour les risques les plus importants.
•
mise en œuvre du plan de contingence : Lorsqu’il apparaît probable que les mesures
mises en place, elles doivent être interrompues et remplacées par la mise en œuvre du plan
de contingence.
•
réalisation d’analyses plus poussées : Lorsqu’il est nécessaire de repousser la prise de
décision jusqu’à ce que de plus amples renseignements sur l’état du risque soient
disponibles.
•
poursuite du suivi : Lorsque aucune action spécifique n’est requise autre que de continuer
les activités de suivi des risques.
La fermeture d’un dossier de risque devrait s’accompagner d’une documentation sur la raison de
l’échec ou de la réussite du plan de mesures, les relations qui auront pu exister entre ce risque et les
autres risques associés au projet et les données d’analyse pertinentes.
À cet égard, une revue des fiches de risque enregistrées dans le répertoire de risques est souhaitable
à la fin du projet. Leur mise à jour avec les recommandations pertinentes aux situations qui y sont
décrites, en tenant compte de l’expérience acquise au cours du projet, constituera une aide très
importante pour les projets en cours et ceux prévus dans le futur.
15/15
12-COURS_MSI_Gestion_projet_SI_Risques
Documents connexes
session 2009 ue5 – économie
session 2009 ue5 – économie
Communiqué DCG DSCG - Académie de Mayotte
Communiqué DCG DSCG - Académie de Mayotte
Table des matières
Table des matières
Enoncé - Probabilités - e1045 Quatre amateurs d`astrologie se
Enoncé - Probabilités - e1045 Quatre amateurs d`astrologie se
Intitulé des diplôme et n° de codification - IUT de Moselle-Est
Intitulé des diplôme et n° de codification - IUT de Moselle-Est
Sujet DCG - Economie 2014
Sujet DCG - Economie 2014
3 - stgcfe.fr
3 - stgcfe.fr
Correction Fiche TP 12 On lance deux dés à quatre faces et on
Correction Fiche TP 12 On lance deux dés à quatre faces et on
Les études en DSCG - IUT Angers
Les études en DSCG - IUT Angers
Densité de probabilité
Densité de probabilité
Téléchargement
publicité