Tâche: Identification et évaluation des risques
Cette tâche décrit comment identifier, analyser et hiérarchiser les risques du projet. Elle aide aussi à déterminer les stratégies de gestion des risques appropriées et les place dans une liste de risques pour le projet.
Disciplines: Gestion de projet
Objet
  • Identifier, analyser et hiérarchiser les risques du projet
  • Déterminer des stratégies de gestion des risques appropriées
  • Mettre à jour la liste des risques pour refléter le statut du projet actuel
Relations
Etapes
Identification des risques potentiels
Objet Effectuer un inventaire de "ce qui peut tourner mal" dans le projet. 

Initialiser la liste des risques (dans la phase de création) :

Rassembler l'équipe du projet (qui doit être assez réduite à ce stade ; s'il y a plus de cinq à sept personnes dans l'équipe du projet, limiter le processus d'évaluation des risques aux responsables de l'activité).

Lorsque nous identifions des risques, nous prenons en considération "ce qui peut tourner mal". A un niveau plus large, il est évident que tout peut tourner mal. Il ne s'agit pas d'avoir une vision pessimiste du projet, mais d'identifier les obstacles potentiels à la réussite afin de les limiter ou de les éliminer. Pour plus d'informations, voir aussi Instructions relatives au produit : liste de risques.

Plus précisément, nous cherchons à déterminer quels événements pourraient réduire nos chances de livrer le projet avec les fonctionnalités corrects, le niveau de qualité requis, dans les délais et dans les limites du budget.

En utilisant des techniques de brainstorming, demander à chaque membre d'identifier un risque de projet. Les demandes d'éclaircissement sont autorisées, mais les risques ne doivent pas être évalués ou commentés par le groupe. Faire un tour de table jusqu'à ce que tous les risques possibles aient été identifiés.

Impliquer toutes les parties dans ce processus, et ne pas trop se préoccuper de la forme ou des doublons ; vous pourrez mettre de l'ordre dans la liste plus tard. Utiliser des groupes homogènes de personnes (clients, utilisateurs, personnel technique, etc). Cela facilite le processus consistant à recueillir les risques ; les personnes sont moins gênées devant leurs pairs (en spécialité et en hiérarchie) que devant un groupe de personnes mélangées.

Faire comprendre aux participants que soulever un risque ne signifie pas se porter volontaire pour le traiter. Si les participants pensent qu'en évoquant un risque ils deviendront responsables de son traitement, personne ne souhaitera identifier de risque (ou les risques évoqués seront triviaux).

Pour amorcer le travail, commencer par des listes de risques génériques comme Les risques d'évaluation et de contrôle logiciel de Capers Jones [JON94] ou L'identification des risques basée sur la taxinomie établie par le Software Engineering Institute [CAR93]. Faire circuler la liste des risques : voir les risques qui ont déjà été identifiés aide souvent à en identifier plus.

Pour mettre à jour la liste des risques (dans des phases ultérieures) :

Vous pouvez demander des informations comme celles évoquées ci-dessus. Mais de manière générale, selon l'exemple de la liste existante, les nouveaux risques seront identifiés par les membres de l'équipe et consignés dans l'évaluation standard du statut du projet. Voir aussi Tâche : Evaluation de l'itération.

Analyse et hiérarchisation des risques
Objet Regrouper les risques similaires (pour réduire la longueur de la liste des risques)
Classer les risques selon leur impact sur le projet. 

Lorsqu'aucun risque supplémentaire ne peut être trouvé, examiner la liste des risques en groupe pour voir si plusieurs risques peuvent être regroupés naturellement (occurrences du même risque) et combiner les risques dans la mesure du possible afin d'éliminer les doublons. Parfois, les risques identifiés sont des symptômes de risques plus importants, vous devez regrouper dans ce cas les risques liés ensemble sous le risque le plus important.

Les techniques quantitatives de gestion des risques recommandent de hiérarchiser les risques selon le degré d'exposition que le risque représente pour le projet. Pour déterminer l'exposition à chaque risque le groupe doit évaluer les informations suivantes :

Impact du risque  Les écarts en terme de planning, d'effort, ou de coûts par rapport au plan si le risque a lieu 
Plausibilité de l'occurrence  La probabilité que le risque se matérialise (généralement exprimée en pourcentage) 
Exposition au risque  Calculée en multipliant l'impact par la plausibilité de l'occurrence 

En groupe, l'exposition à chaque risque doit être déterminée par un consensus. Les différences d'opinions significatives doivent être abordées en détails pour vérifier si tout le monde interprète le risque de la même façon. Cette information est généralement inclue sous forme de colonnes dans une liste de risques sous forme de tableaux.

Il est naturel de se préoccuper des risques ayant le plus d'impact, mais s'ils sont très peu susceptibles d'avoir lieu ils sont en fait moins importants que des risques plus modérés qui sont souvent négligés. En tenant compte à la fois de l'ampleur du risque et de ses chances d'avoir lieu, cette approche aide les chefs de projet à concentrer leurs efforts de gestion des risques sur des domaines qui auront le plus d'influence sur la bonne marche du projet.

Une fois que l'exposition à chaque risque a été déterminée, vous pouvez classer les risques par ordre décroissant d'exposition afin de créer votre liste des 10 risques les plus élevés.

Dans la mesure où l'évaluation de la plausibilité et du coût est en elle-même coûteuse et risquée, il suffit souvent d'évaluer l'impact des 10 ou 20 principaux risques. Des projets plus réduits peuvent prendre en compte moins de risques, alors que des projets plus conséquents présentent une "cible de risques" plus importante et possèdent ainsi un plus grand nombre de risques pertinents.

En plus de classer les risques par ordre décroissant d'exposition, il peut aussi être utile de regrouper les risques en catégories, selon l'ampleur de leur impact sur le projet (ampleur du risque). Généralement, cinq catégories sont suffisantes :

  1. Elevé
  2. Significatif
  3. Modéré
  4. Mineur
  5. Faible

Documenter les risques et les faire circuler parmi les membres de l'équipe du projet.

Identification des stratégies permettant d'éviter les risques
Objet Réorganiser le projet pour éliminer les risques 

Bien que cela ne soit pas toujours possible, vous pouvez parfois tout simplement éviter des risques. Les risques sont souvent créés par une portée de système peu efficace ; si vous pouvez réduire la portée du système (en éliminant les exigences non-essentielles), des sections entières de la liste des risques seront éliminées en même temps que les exigences abandonnées. L'un de ces risques principaux consiste à manquer de ressources (y compris en terme de temps) pour effectuer le travail.

Dans d'autres cas, il est possible d'acquérir de la technologie afin de réduire le risque de créer une fonctionnalité spécifique, une manière d'éviter les risques dans laquelle une série de risques (liés à la création de la technologie) est remplacée par une autre (dépendre de forces que l'on ne peut contrôler).

Pour finir le risque peut être transféré à d'autres organisations.

Identification des stratégies de limitation des risques
Objet Développer des plans pour limiter les risques, c'est-à-dire réduire leur impact. 

Pour les risques directs, c'est-à-dire,  les risques sur lesquels le projet possède un certain contrôle, identifier les actions à entreprendre pour réduire la probabilité du risque ou réduire son impact sur le projet (stratégies de limitation . Généralement, le risque vient d'un manque d'information ; la stratégie de limitation consiste souvent à examiner plus avant le sujet afin de réduire l'incertitude.

Pour certains risques, une mesure peut être prise pour matérialiser le risque ou le supprimer. Dans un processus de développement itératif, effectuer ces actions dans les premières itérations afin de limiter le risque le plus tôt possible. Faire face aux risques le plus tôt possible Si un risque est sous la forme "X peut-il échouer ?", alors essayez X aussi tôt que possible.

Exemples :

  • Pour réduire le risque que les produits X et Y ne puissent pas être intégrés, un prototype sera construit afin d'examiner la difficulté d'intégration. Les caractéristiques suivantes (à énumérer dans une liste) seront testées afin de s'assurer de la réussite de l'intégration.
  • Pour réduire le risque que la base de données 1 ne fonctionne pas de façon appropriée, elle sera évaluée en utilisant une série de tests qui modélisent la charge de travail de l'application cible.
  • Pour réduire le risque que l'outil de test Z ne puisse pas effectuer un test de régression de l'application de façon efficace, nous allons l'acquérir et l'utiliser pendant l'itération à venir.

Le résultat de ces actions doit être de réduire la probabilité que certains risques aient lieu, vers un pourcentage s'approchant de zéro. Dans les cas où le risque est confirmé, on y répond avec un plan d'urgence (Voir Identifier les stratégies d'urgence).

Identification des stratégies d'urgence
Objet Développer des plans alternatifs 

Pour chaque risque, que vous possédiez ou pas un plan pour le limiter de façon active, vous devez décider quelles actions doivent être entreprises quand ou si le risque se matérialise, c'est-à-dire, s'il devient un problème, un "événement de perte" dans le jargon des assurances. Ce plan est généralement appelé plan 'B' ou plan d'urgence. Un plan d'urgence est nécessaire lorsque le risque n'a pu être évité ni transféré, que la limitation n'a pas vraiment réussi, et que le risque doit être traité de front. C'est très souvent le cas des risques indirects, c'est-à-dire les risques sur lesquels le projet n'a aucun contrôle ou lorsque les stratégies de limitation sont trop chères à mettre en place.

Le plan d'urgence doit prendre en compte :

Risque 

Indicateur 

Action 

Quel est le risque ?  Comment saurez-vous que le risque est devenu une réalité ? Comment est-ce que l'"événement de perte"est-il reconnu ?  Quelles mesures doivent être prises pour traiter l'"événement de perte" (comment arrêter l'hémorragie ?) 

Identifier les indicateurs de risque

Certains risques peuvent être contrôlés en utilisant des métriques de projet, en examinant les tendances et le seuil; par exemple :

  • La reprise reste trop élevée
  • La rupture reste trop élevée
  • Les dépenses réelles sont largement supérieures aux plans

Certains risques peuvent être contrôlés selon les exigences du projet et les résultats des tests ; par exemple :

  • Les délais de réponse sont d'un degré supérieur aux exigences.

Certains risques sont liés à un événement spécifique ; par exemple :

  • Le composant logiciel n'a pas été livré à temps par le tiers.

Il y a beaucoup d'autres indicateurs plus "subtils" qui ne peuvent pas diagnostiquer le problème. Par exemple, il existe toujours un risque que le moral baisse (en fait, à certains stades du projet, c'est presque à prévoir). Il existe un certain nombre d'indicateurs : les grognements, l'humour noir, les échéances manquées, une qualité médiocre etc. Aucune des ces mesures n'est un indicateur certain ; plaisanter au sujet de la futilité d'un livrable spécifique peut être une façon saine de lutter contre le stress, mais si cela dure, cela peut indiquer que l'équipe sent l'approche d'une catastrophe imminente.

Prendre tous ces indicateurs en compte sans porter de jugement. Il est facile d'accuser le porteur de "mauvaises nouvelles" d'une mauvaise attitude ; derrière le cynisme il y a souvent une bonne part de vérité. Souvent le "porteur de mauvaises nouvelles" joue le rôle de "conscience du projet". La plupart des personnes souhaitent que le projet réussisse, et se sentent frustrés lorsque le projet est amené dans une autre direction.

Identification des plans d'urgence ou "plan B"

Dans des cas simples, le plan d'urgence énumère les solutions alternatives. Il entraîne souvent des coûts et des délais pour abandonner la solution actuelle et implémenter la nouvelle solution.

Pour d'autres risques plus subtils, il faut souvent entreprendre non pas une action mais plusieurs. Lorsque le moral chute, par exemple, il est conseillé d'admettre la situation et de réunir l'équipe afin de discuter des attitudes actuelles par rapport au projet. Ecouter les soucis, identifier les problèmes, et laisser les personnes s'exprimer. Après avoir laissé les personnes s'exprimer, passer à la résolution des problèmes. Utiliser la liste des risques de façon à diriger la discussion. Traduire les inquiétudes en un plan d'action concret en hiérarchisant de nouveau les risques et en reformulant les plans d'itérations pour traiter les risques principaux de façon systématique. Une action positive a un effet plus fort que des mots positifs (mais vides).

Bien que le moral soit bas, une perte de ce type a un aspect positif : elle force à agir. Il est trop souvent facile de repousser les risques en les ignorant, bercé par l'auto-satisfaction d'un calme apparent. Lorsqu'un événement de perte a lieu, une action est obligatoire. Le risque n'en est plus un, son occurrence n'est plus incertaine.

Pourtant, une perte représente aussi une incapacité à éviter ou à limiter le risque. Elle doit forcer à réexaminer la liste des risques pour déterminer si l'équipe du projet a des carences systématiques. Même si une auto-évaluation est particulièrement difficile, elle peut permettre d'éviter d'autres problèmes plus tard.

Réexamen des risques pendant l'itération
Objet S'assurer que la liste des risques est actualisée tout au long du projet. 

En fait, l'évaluation des risques est un processus continu, et n'a pas uniquement lieu à des intervalles spécifiques pendant le projet. Au minimum, il est conseillé de :

  • Réexaminer votre liste chaque semaine afin de voir ce qui a changé.
  • Rendre les dix principaux éléments visibles pour le projet global et insister pour que des actions soient entreprises à leur sujet. La liste des risques actuelle est souvent jointe à vos compte-rendus d'évaluation de statut.
Réexamen des risques à la fin d'une itération
Objet S'assurer que la liste des risques est actualisée tout au long du projet. 

A la fin d'une itération, se recentrer que les objectifs de l'itération par rapport à la liste des risques. En particulier :

  • Eliminer les risques qui ont été complètement limités.
  • Aborder les nouveaux risques découverts récemment.
  • Réévaluez l'ampleur et reclassez la liste de risques (voir aussi Analyse et hiérarchisation des risques).

Ne vous préoccupez pas trop si vous découvrez que la liste des risques augmente pendant les phases de création et d'élaboration. Lorsque les membres du projet effectuent le travail, ils se rendent compte que ce qu'ils pensaient être trivial comporte en fait des risques. Lorsque vous commencerez l'intégration, vous rencontrerez peut-être des difficultés cachées. Cependant les risques devraient diminuer progressivement au fur et à mesure que le projet atteint la fin de l'élaboration et pendant la construction. Si ce n'est pas le cas, vous ne traitez peut-être pas les risques de manière adaptée ou votre système est trop complexe ou impossible à créer de manière systématique et prévisible. Pour plus d'informations, voir aussi Instructions relatives au produit : Liste de risques.