La matrise des risques

Les nouvelles solutions de gestion de projet

Introduction
La criticit dun projet se dfinit comme le niveau de risque encouru dans la poursuite de ses objectifs.
A loppos, la fiabilit dun projet est son aptitude fonctionner sans dfaillance, conformment aux
attentes des acteurs impliqus. Dans les mtiers de linformatique, les volutions et la complexit des
technologies sont telles quaucune routine ne semble garantir le succs dun nouveau projet.
Comment garantir nos projets un niveau optimal de fiabilit ? L rside la motivation de la gestion des
risques. Elle consiste, dans un premier temps, valuer le niveau des risques encourus et, ensuite, le
rduire en concevant les parades appropries. Il sagit donc, sous cette appellation, de formaliser et de
capitaliser lexprience des responsables de projet, ceci afin dlaborer des techniques qui viendront au
secours de la conduite de projet.

Fondements pour la matrise des risques

Le risque est la probabilit que survienne un vnement considr comme nfaste. Les vnements quon
souhaite viter ont un cot quil est possible, le plus souvent, destimer. On cherche donc rduire le
risque. On met en balance :
dun ct, le cot supporter si lvnement se produit,
de lautre, le cot des parades qui rduisent le risque.
On ne peut rduire les risques quen agissant sur les facteurs qui les dterminent (Figure 1). Une part
importante de la gestion des risques consiste identifier ces facteurs, puis surveiller leur volution
pendant le projet.

RISQUE

vnement
(nfaste)

probabilit que survienne un

a un

est caus par

vite

rduit
entrane

Cot
Facteur de
risques

agit sur

Parade

Figure 1 - Le modle des notions

Extrait de la Lettre de lADELI N25 - Octobre 1996

Typologie des risques

Une typologie des risques doit servir guider lanalyse. Il faut donc quelle soit maniable et en rapport
direct avec les proccupations des acteurs du projet. La typologie doit prsenter des risques qui sont des
vnements observables et mesurables. Elle doit se garder de confondre les facteurs et les risques, sinon
elle perd en lisibilit.
La typologie propose (Figure 2) retient sept risques, chacun tant ramen un point de vue particulier
port sur le projet. Pour la pratique, il est essentiel que la typologie se borne une liste restreinte.

Risque dchec du projet

selon le point de vue

Client

DOI

Difficult
dintgration

DG

Maintenance

Utilisateur

Dpassement
de budget

Insatisfaction
des
utilisateurs

Mainteneur

Cot lv
de
maintenance

Fournisseur

Dveloppeur Commercial

Dmotivation

Non
satistfaction
du client

DG

Dpassement
de budget

Figure 2
Une proposition pour la typologie des risques (dans le cadre dun projet de dveloppement)

Linsatisfaction des utilisateurs est un risque complexe dans lequel on peut distinguer trois sources :
linsatisfaction relative au produit,
les perturbations dans lactivit des utilisateurs,
une insatisfaction diffuse qui relve plus dune analyse organisationnelle ou sociologique.

Linsatisfaction du client (ou de lacqureur), telle quelle affecte le "commercial" du fournisseur, est
un risque de second degr : il combine les risques perus par le client.

Extrait de la Lettre de lADELI N25 - Octobre 1996

Modles danalyse des risques

A partir de ltat de lart et de lexprience de chacun, il est possible de construire des "modles de
risques" utilisant, par exemple, le formalisme des diagrammes de causes et effets1 (Figure 3).
Certes, il revient aux responsables des projets de dessiner les diagrammes dcrivant leurs propres
contextes et de dbusquer les risques et les facteurs spcifiques. Cependant, les modles de risques
constituent des pense-btes utiles qui peuvent senrichir continuellement. Les figures 4 et 5 en
fournissent des exemples simplifis.
Cause principale

Cause principale

Cause
secondaire

Cause
secondaire

Cause
secondaire

Cause
secondaire

Cause
secondaire

Risque
Facteur
secondaire

Facteur

Facteur
secondaire

Facteur
Facteur de risques

Agrgat

Facteur principal

Figure 3 - Le formalisme du diagramme de causes et effets (Kaoru Ishikawa, 1943)

Mauvaise qualit
du produit
Mauvaise
structuration
du produit

Mauvaise qualit
de la documentation

Description
insuffisante des
technologies

Absence de
composants

Htrognit
des solutions

Erreurs
rsiduelles
Rdaction
insuffisante

Absence de standard...

Absence de
traabilit

Faiblesse de la
gestion de
configuration

Difficult de
l'analyse d'impact

Ignorance des
rgles de production

Dcalage par
rapport la version
du produit
Absence de
communication
avec l'quipe de
dveloppement

Prparation
insuffisante
de la base
de test

Documentation
insuffisante
des rgles de
production

Cot de
maintenance

Pas d'outil
de test

Insuffisances dans
l'activit de test

volution de
l'environnement de
dveloppement

Figure 4 - Exemple de diagramme pour le risque "cot de maintenance lev"

1 galement appels diagrammes en artes de poisson ou diagrammes dIshikawa.

Extrait de la Lettre de lADELI N25 - Octobre 1996

Causes =
facteurs de risques

Analyse des
consquences

RISQUE

Cots

Cots pour le
fournisseur

Erreurs de
planification
interne
Fort degr
d'innovation
Matrise insuffisante
des activits
du projet

Charges Pnalits
consommes
non rmunres

Retard
de
livraison
Difficults
d'organisation

Erreurs de
planification
externe

Insuffisances
du management
de projet

Immobilisation
de moyens
Perturbation
ou retard de
l'activit
Cots pour le
client

Figure 5 - Enrichissement du formalisme pour lanalyse du risque "Retard de livraison"

Classification des facteurs de risques

Si, pour les risques, il est possible et souhaitable dobtenir une typologie ferme, il nen va pas de mme
avec les facteurs de risques.
Ceux-ci sont en nombre virtuellement infini. Certaines approches prconisent dexaminer les facteurs de
risques, prioritairement voire exclusivement. Cest le cas dEuromthode et de son analyse
situationnelle. Nous avons, en effet, lalternative suivante :
Solution I
INDUCTION

1 Identifier les risques par rapport aux objectifs du projet.

2 Rechercher et analyser les facteurs pour chacun des risques retenus.
3 laborer les parades partir des facteurs ainsi dsigns.

Solution II
DDUCTION

1 Analyser les facteurs (en utilisant des check-lists2).

2 Dduire et mesurer les risques (prvisions).
3 Classer les facteurs en fonction de leurs consquences.
4 laborer les parades.

La solution I est, en gnral, plus efficace et pertinente puisquelle se focalise sur les spcificits du
projet. Par contre, la solution II offre lavantage dune grille de lecture appliquer mcaniquement.

2 Ces listes de facteurs donnent, en fait, lensemble des paramtres dun projet informatique.

Extrait de la Lettre de lADELI N25 - Octobre 1996

Facteurs de risques
Ressources humaines

Systme d'information
Organisation

Individus
Groupes

Structures
Cultures
Procdures

Organisation
Comptences
relationnelles

Stratgie

Systme d'acteurs

Projet de dveloppement
Moyens

Systme
informatique
Fonctionnalits
Architecture
Techniques

Produit

Dmarche

Planification

Activits
Cadre
contractuel

tat initial
tat final

Management
Dveloppement
Environnement
Accompagnement

Figure 6 - Une structuration des facteurs de risques (liste ouverte)

Mise en uvre sur les projets informatiques

Lanalyse des risques se place dans le cadre plus gnral de lanalyse de contexte. On la mne avec
profit au tout dbut du projet, par exemple en rdigeant les plans qualit.
Lanalyse des risques nest quun pralable dans la gestion des risques pour un projet. Elle se prolonge,
bien sr, de tentatives pour rduire les risques. On peut associer certaines solutions des facteurs types.
Toutefois, il faut rester vigilant lgard des "configurations de risques" qui ne se rduisent pas une
logique linaire.
Les parades rejoignent, par exemple, les dispositions rassembles dans les plans de projet (plan des
livraisons, plan qualit, plan de dveloppement, plans associs, etc.).
Au-del de la construction du dispositif projet, une autre activit intervient aux fins de matrise des
risques : la surveillance. Il importe, en effet, de suivre lvolution des facteurs, de contrler la pertinence
des dispositions et, ventuellement, de corriger le dispositif projet (Figure 7).
Analyse
des
risques

Capitalisation

Matrise
des
risques

Rduction
des
risques

Surveillance
des
risques

Figure 7 - Les activits concourant la matrise des risques

Extrait de la Lettre de lADELI N25 - Octobre 1996

Cas particuliers de la gestion des risques

En informatique, lestimation des charges soulve toujours des difficults irrductibles. Elle constitue
une source importante de risques. Dans notre typologie, lincertitude quelle engendre contribue au
dpassement de budget et au retard de livraison. Indirectement, elle peut affecter aussi les autres risques
puisquune sous-estimation peut provoquer des comportements nuisibles pour la qualit.
Les projets en technologie oriente objet mritent une attention particulire. Non seulement ils
subissent les risques propres toute innovation (rceptivit culturelle, diffusion des connaissances, non
stabilit des produits, exploration, etc.), mais encore certains facteurs sont irrmdiablement lis la
dmarche objet : incitation labstraction, drive de gnricit, imprdictibilit de cette drive, forts
besoins de communication... Qui plus est, on associe souvent ces projets des dmarches "souples" :
prototypage, RAD. Aussi appellent-ils une analyse des risques rigoureuse.
Les grands projets allient la complexit du systme dinformation aux contraintes de lorganisation.
Dune part, il sagit de faire voluer un systme technique et humain souvent complexe et fragile.
Dautre part, les grands projets mobilisent des ressources importantes dont la cohabitation ne va pas de
soi. En pareils cas, lanalyse des risques et plus encore la surveillance des risques sont vitales.
Parmi les parades envisageables, on peut recommander :
Au plan du processus de dveloppement : ladministration des rfrentiels, larticulation
rigoureuse des processus (entre chantiers et sur plusieurs niveaux).
Au plan du produit : un soin extrme dans la dfinition de larchitecture (modles pour les
architectures logique, physique, matrielle et logicielle).
Au plan des ressources humaines : arbres de connaissances et de comptences, techniques de
gestion des ides.
La gestion des risques concentre lessentiel de la connaissance que nous avons des projets
informatiques. Elle constitue une plaque tournante dans toute dmarche qualit. Elle conjoint la fois
lanalyse critique des projets et une approche constructive. Sa formalisation permet de transmettre
chacun lexprience parfois malheureuse que dautres ont vcue.
Dans une politique de formation, on peut lutiliser comme un point dentre sur le corpus des
connaissances mthodologiques. Elle a lavantage de motiver particulirement les chefs de projets et de
ramener toute solution formelle des cas dexprience.
La matrise des risques, en tant que technique, rpond au besoin exprim par le rfrentiel normatif ISO
9000 (voir, par exemple, ISO 9000-3 4.4.c), savoir "dclencher les actions prventives pour prendre
en compte les problmes selon les risques encourus".
Dans les termes de la norme ISO/CEI 12207, la gestion des risques apparat comme un procd au
service des processus suivants :
dveloppement (au niveau des projets) et autres processus de base,
rsolution de problmes,
amlioration. s

Dominique Vauquier

Extrait de la Lettre de lADELI N25 - Octobre 1996