Exemple d'échelle d'impact d'un risque
Comme dans le cas de la probabilité, une valeur
numérique pourra être associée à un
énoncé d'impact afin de faciliter le calcul du degré
d'exposition au risque. Si une échelle de 1 (Très faible)
à 5 (Critique) est utilisée pour représenter l'impact dans
le tableau précédent, un risque pourra être
évalué comme étant Critique en termes de coût,
Modéré en termes de calendrier et Modéré en termes
de performance technique. Si l'importance relative du coût, du calendrier
et de la performance technique est respectivement égale à 0,5,
0,3 et 0,2 pour un projet donné, l'impact global est obtenu par la
relation suivante :
Impact global du risque = 0,5x5 + 0,3x3 + 0,2x3 = 4,0
(Élevé)
v Délai d'intervention avant impact d'un
risque
Le troisième attribut caractérisant un risque
est le délai disponible avant de devoir prendre une action quelconque.
Une échelle permettant d'exprimer le délai est illustrée
ci-après. Comme dans le cas de l'impact, une valeur numérique
pourra être associée à un énoncé de
délai afin de faciliter le calcul de la gravité du risque (par
exemple, 1 pour court terme, 2 pour moyen terme et 3 pour long terme). Ainsi,
plus le délai est faible, plus la gravité du risque est
élevée car cette situation indique que le délai
d'intervention avant l'impact d'un risque est d'autant plus court.
|
QANTITATIF
|
QUALITATIF
|
|
COURT TERME
MOYEN TERME
LONG TERME
|
1 MOIS
3 MOIS
6 MOIS
|
Exemple d'échelle de délai avant impact
d'un risque
L'attrait de l'utilisation d'ordinaux pour représenter
la probabilité, l'impact et le délai est que ceux-ci facilitent
le traitement des informations résultant de l'analyse des risques.
À la suite de la cueillette d'information pour un grand nombre de
projets, le traitement de ces ordinaux permet de dériver la distribution
des risques de façon à les caractériser statistiquement en
fonction du contexte dans lequel ils ont été gérés
(par exemple, être en mesure de prévoir que 5 risques pour
lesquels la probabilité a initialement été
évaluée entre 0,8 et 1, et dont l'impact est un
dépassement de coût évalué à 20% se
produiront au cours d'un projet donné, et que les mesures de mitigation
mises en oeuvre permettront de réduire les dépassements de
coût réels à 5% et leur probabilité à 0,4),
dans le but d'optimiser le processus de gestion des risques dans les projets
à venir.
2) La classification et la consolidation des risques
Les activités de classification et de consolidation
visent à évaluer un ensemble de risques et à
déterminer comment ils sont reliés entre eux. Les classes ou les
groupes résultants fournissent une perspective différente lors de
la planification de mesures de mitigation et de contingence. Ils facilitent
entre autres l'identification de risques récurrents et ils permettent de
réaliser des économies d'échelle au cours de la
planification en dérivant des mesures de mitigation et de contingence
pouvant être appropriées à la gestion de plusieurs risques
simultanément. L'activité de consolidation, en particulier,
permet de combiner les énoncés de risques mineurs dans le but
d'en arriver à un nouvel énoncé de risque et d'en
faciliter la gestion.
La classification des risques peut être
réalisée selon divers axes : leur source, le produit, la
composante ou le service affecté, la phase à laquelle ils sont
susceptibles de survenir, les groupes ayant la responsabilité de les
gérer, etc.
3) L'ordonnancement des risques en fonction de leur
priorité
L'ordonnancement des risques est effectué dans un
premier temps en calculant le degré d'exposition au risque (ER) par la
relation :
ER = (Probabilité associée au risque) x (Impact
du risque)
Une représentation du degré d'exposition au
risque à l'aide d'une échelle qualitative, tel qu'illustré
ci-après, facilite son interprétation et la communication des
risques pour lesquels des actions devraient être prises de façon
prioritaire.
Le degré d'exposition au risque constitue un premier
paramètre permettant d'ordonnancer les risques afin de déterminer
lesquels seront abordés en premier. Lorsque deux risques ont le
même degré d'exposition au risque, la gravité pourra
être utilisée pour réaliser un ordonnancement plus fin. La
gravité est déterminée par la relation :
Gravité = ER / Délai
Avec l'utilisation d'une échelle de 1 à 3 pour
représenter un délai variant de court terme à long terme,
la valeur numérique associée à la gravité sera
d'autant plus grande que le délai est court.
Si deux risques ont le même degré d'exposition au
risque et la même gravité, des paramètres
supplémentaires peuvent s'avérer nécessaires dans le but
de préciser leur ordonnancement. En effet, l'utilisation d'ordinaux ne
permet pas de mettre en évidence la densité des risques et leur
interaction s'ils se matérialisaient. Ainsi, dans le tableau
précédent, un risque probable dont l'impact est marginal a le
même degré d'exposition au risque qu'un risque improbable pour
lequel l'impact est catastrophique. L'effet du risque catastrophique pourra
être concentré sur une courte période de temps ou se faire
sentir à l'intérieur d'un périmètre limité
inapte à en absorber le choc, alors que l'effet du risque probable
pourra être réparti sur plusieurs événements
étalés dans le temps ou survenir plus ou moins
simultanément en plusieurs endroits différents plus aptes
à en absorber le choc individuellement. Par ailleurs, l'interaction de
plusieurs incidents découlant d'un risque probable dont l'impact est
marginal pourra faire en sorte que leur effet combiné dépasse
l'effet d'un risque catastrophique improbable.
La phase d'analyse des risques constitue une étape
charnière dans le processus de gestion des risques. En effet, en
l'absence d'une analyse suffisamment détaillée, la phase de
planification risque elle-même de s'étirer et de tourner en rond.
Une « bonne » analyse permettra de focaliser les efforts de
planification de mesures de mitigation et de contingence beaucoup plus
rapidement.
Il peut sembler attrayant de définir une phase
d'analyse complexe et de viser une quantification aussi précise que
possible des risques mis en évidence lors de la phase d'identification.
En pratique, il est souhaitable, dans un premier temps, de s'en tenir à
une approche d'analyse qualitative et de minimiser l'utilisation de
paramètres quantitatifs, à moins de bénéficier de
l'aide d'experts dans le domaine. Une fois que l'approche qualitative aura
été bien maîtrisée, il sera toujours temps de la
quantifier de façon graduelle. Plusieurs des organisations qui ont mis
en oeuvre depuis plusieurs années une gestion des risques en
développement d'applications s'en tiennent encore à une approche
largement qualitative.
La section « Analyse du risque »
intégrée à la fiche de risque fournie dans les gabarits
est recommandée dans le cadre de la mise en oeuvre de la phase
d'analyse. Dans le cadre de cette mise en oeuvre, une attention
particulière devrait être portée aux points suivants :
1. Assurez-vous de définir une méthode simple
à mettre en oeuvre. Vous aurez toujours l'occasion d'y ajouter des
détails plus tard.
2. Pour un projet donné, définissez au
préalable les échelles relatives à la probabilité
(ou la fréquence), à l'impact et au délai de façon
à ce que tous les risques soient analysés avec la même
échelle.
3.Pour l'échelle relative à l'impact,
rédigez un énoncé générique correspondant
à un impact catastrophique, un impact modéré, etc. dans
l'espace réservé à cette fin dans la section sur l'analyse
du risque. Illustrez l'énoncé générique avec des
exemples de ce que constitue, pour le projet, l'impact auquel
l'énoncé correspond. En pratique, il s'avère souvent plus
facile de commencer par identifier des exemples correspondant à un
impact donné et de rédiger ensuite un énoncé
résumant ces exemples.
4.Dans un premier temps, faites appel à un seul axe
qualifiant un nombre prédéterminé d'impacts et fournissez
des exemples de ce à quoi correspond pour le calendrier, le budget, la
performance, etc., un impact catastrophique, un impact critique, etc. Autrement
dit, évitez de définir des impacts selon plusieurs axes
(coût, calendrier, performance technique, etc.) et de devoir
pondérer chacun des axes dans le but de calculer l'impact moyen.
5. Si vous développez vos propres échelles de
priorité, d'impact et de délai, limitez le nombre de niveaux
à huit au maximum.
6. Demandez à deux ou trois intervenants susceptibles
de se prononcer sur la probabilité ou la fréquence d'un risque
donné, son impact et son délai. Passez en revue les
résultats et discutez avec eux de tout écart significatif, afin
d'en arriver à un consensus sur les attributs à assigner à
chaque risque.
7. Passez en revue le degré d'exposition au risque
assigné à chaque risque en fonction de son impact et de sa
probabilité. Il pourrait s'avérer nécessaire de
définir des critères d'ordonnancement supplémentaires afin
de tenir compte du fait que deux risques ayant le même degré
d'exposition au risque et la même gravité n'a pas
nécessairement les mêmes conséquences en raison de leur
densité et de leur interaction.
8. Afin de vérifier la justesse de l'analyse, il peut
s'avérer souhaitable de demander à plusieurs intervenants de
procéder à un ordonnancement des risques résultant de la
phase d'identification.
III- Planification des risques
La phase de la planification vise à planifier les
mesures de mitigation et, au besoin les mesures de contingence, qui permettront
de diminuer les risques identifiés au cours de la phase
d'identification.
Ultimement, les mesures de mitigation et les mesures de
contingence viseront à réduire la probabilité (ou la
fréquence) et l'impact de chaque risque, deux des attributs que la phase
d'analyse aura permis de déterminer.
La phase de planification doit permettre à chaque
intervenant du projet de répondre aux questions suivantes :
§ Ce risque me concerne-t-il ?
§ Que puis-je y faire ?
§ Jusqu'où dois-je aller et comment ?
Il est important de planifier efficacement et intelligemment.
La planification des mesures de mitigation et de contingence devrait comporter
autant de détails qu'il est nécessaire afin de pouvoir en retirer
des bénéfices. À cet égard, la sur planification
peut s'avérer aussi préjudiciable qu'un manque de planification,
car elle est susceptible de devenir une excuse pour ne rien faire.
Une planification efficace des risques constitue un processus
continu de mise au point des mesures de mitigation et de
contingence au fur et à mesure que de nouveaux risques se manifestent au
cours de la réalisation du projet. Une communication libre
et un travail d'équipe favorisent un échange de points
de vue qui contribuent à améliorer la qualité du contenu
des plans de mitigation; ceux-ci seront alors plus à même
d'être mis en oeuvre de façon concluante.
Cette planification fait appel à un processus de
gestion intégrée, en ce sens qu'elle doit s'harmoniser avec les
objectifs visés par le projet. Une vision commune du
produit ou du service faisant l'objet du projet jointe à une perspective
globale prenant en considération les besoins de la
clientèle et les objectifs de l'organisation dans laquelle le projet
s'inscrit, permettent de concevoir des mesures de mitigation et de contingence
qui tiennent compte des intérêts de la clientèle, du projet
lui-même et de l'organisation.
Finalement, une vision orientée vers l'avenir
prenant en considération les conséquences
associées aux risques contribue à faire en sorte que ceux-ci ne
dégénèrent pas en problèmes.
Les entrées et les sorties de la phase de planification
sont présentées dans le diagramme suivant :
Détail de la phase de
planification
Les entrées de la phase de planification sont les
fiches de risque issues de la phase d'analyse, ordonnées selon leur
priorité et classifiées selon les critères définis
au cours de l'analyse, l'information concernant les ressources assignées
au projet, ses contraintes et ses objectifs, et le répertoire de
risques. Ce dernier constitue une source d'informations utiles qui pourront
être mises à profit au cours de la planification, notamment dans
le cas où des risques similaires auraient déjà fait
l'objet de mesures de mitigation et de contingence dans des projets en cours ou
complétés.
À partir de ces entrées, les mesures de
mitigation et de contingence sont définies et circonscrites dans le
cadre d'une approche cohérente, leur portée est identifiée
et les responsabilités assignées.
Celles-ci incluent aussi bien les responsabilités
liées à la définition des mesures en question que celles
relatives à leur mise en oeuvre. La phase de planification se traduit
par des mesures de mitigation et de contingence qui peuvent être
intégrées aux fiches de risque correspondantes ou bien, si leur
envergure le justifie, faire l'objet de plans distincts. La mise à jour
du répertoire de risques est également effectuée.
Généralement, les fiches de risque sont
rassemblées dans une annexe à un document (le plan de gestion des
risques) dans lequel le processus de gestion des risques est décrit, la
façon dont ce processus est intégré à la gestion du
projet est exposée, les rôles et les responsabilités sont
présentés et le budget attribué à la gestion des
risques est réparti entre les activités des différentes
phases de gestion de risques incluant le suivi, le contrôle et la
communication. Ce document pourra être modifié à l'occasion
mais plus souvent qu'autrement, l'annexe constituée par les fiches de
risque fera l'objet des modifications les plus fréquentes.
La planification des mesures de mitigation et de contingence
d'un risque, peu importe sa nature et ses attributs, pourra s'appuyer sur l'une
des sept stratégies suivantes :
1. ACCEPTATION
Cette stratégie correspond à une action
concertée de « vivre avec » les conséquences d'un
risque si celui-ci survient. Elle peut être prise en considération
lorsqu'il est possible d'en assumer les pertes résultantes. Il pourra
s'agir, par exemple, d'opter pour un environnement de développement (ou
de paramétrage) donner tout en sachant qu'il comporte certaines lacunes
mais pour lequel il est facile de trouver des ressources compétentes.
Les mesures de mitigation et de contingence correspondant à une
stratégie d'acceptation consistent à ne rien faire pour
réduire le risque en question.
2. ÉVITEMENT
Cette stratégie vise l'élimination du risque. Il
s'agit, par exemple, de prendre la décision de ne pas entreprendre le
développement d'une fonctionnalité particulière pour une
application donnée. Elle est généralement prise en
considération dans le cas où il y a de grandes chances que la
situation soit perdante si le risque survient. Les mesures de mitigation et de
contingence correspondant à une stratégie d'évitement
consistent à accomplir les actions permettant d'éviter la
situation qui génère le risque.
3. PROTECTION
La stratégie de protection repose essentiellement sur
le développement de la redondance ou de la tolérance aux
défaillances. Elle peut être prise en considération quand
il s'avère indispensable de réduire l'impact d'un risque et quand
les mesures de mitigation et de contingence qui y sont associées sont
réalisables financièrement. L'approche de mitigation
découlant d'une stratégie de protection consiste à
concevoir les mesures qui conduiront à la redondance et à la
tolérance aux défaillances envisagées.
4. RÉDUCTION
Cette stratégie est la plus couramment associée
au concept de gestion des risques. Elle consiste à prendre les mesures
visant à réduire soit la probabilité que les risques
surviennent, soit leur fréquence (s'il s'agit de risques
récurrents), ainsi que leur impact dans l'éventualité
où ils se produiraient. Cette stratégie est adoptée
lorsque l'analyse des coûts bénéfices le justifie. La
stratégie de réduction diffère de la stratégie de
protection par la nature des mesures de mitigation et de contingence.
5. RÉSERVES
Cette stratégie consiste à prévoir des
suppléments en termes de délais, de budget, de ressources
informatiques, de ressources humaines, etc. Elle peut être prise en
considération dans le cas où il existe des incertitudes quant
à la consommation réelle de telles ressources. Les mesures de
mitigation et de contingence correspondantes consistent à évaluer
l'importance et la nature des réserves à prévoir et la
période pendant laquelle elles devront être disponibles.
6. TRANSFERT (OU DÉLÉGATION)
Cette stratégie consiste à transférer le
risque à un intervenant qui est plus à même de l'assumer.
Elle est utilisée lorsqu'un tel intervenant est disponible et dans le
cas où une stratégie d'acceptation s'avèrerait plus
coûteuse que si le risque était assumée par l'intervenant
en question. Les mesures de mitigation et de contingence correspondantes
à une stratégie de transfert consistent à planifier les
activités reliées au choix de l'intervenant et à la
négociation des clauses régissant les mesures de mitigation et de
contingence prises par ce dernier.
7. RECHERCHE
La stratégie de recherche consiste en une quête
d'informations supplémentaires. Elle est adoptée lorsque la
connaissance du risque en question n'est pas suffisante pour choisir l'une ou
l'autre des stratégies précédentes. Les mesures de
mitigation et de contingence correspondant à une stratégie de
recherche prennent la forme d'actions visant à recueillir les
informations qui permettront d'adopter une des six autres stratégies.
Une huitième option s'offre à l'occasion, elle
consiste à attendre que des événements surviennent et
permettent éventuellement d'adopter une des sept stratégies
précédentes. Cependant, l'attente n'est cependant pas une
stratégie de gestion des risques à proprement parler car elle est
passive et n'implique aucune mesure particulière.
| 
