Projet Webmaster
Gestion de projets web ntic

Du concept au projet informatique - De la maîtrise d’oeuvre à la maîtrise d’ouvrage

Web-ntic MOE MOA > Gestion de Projets > Introduction à la gestion des risques

Introduction à la gestion des risques

jeudi 28 juin 2007, par saisas

Comment gérer les risques d’un projet, quelle méthode utiliser, existe il des outils, peut-on automatiser la gestion des risques ?

Le management des risques est reconnu aujourd’hui comme l’une des clés de la réussite ou de l’échec des projets.
Même les grands projets / programmes, quels que soient leurs enjeux (Ariane 5, Hubble, Airbus A380, etc.), sont en péril si leurs acteurs ne sont pas tous convaincus de la nécessité de manager les risques, et s’ils ne s’en donnent pas les vrais moyens. Le domaine reste encore principalement celui de l’expert, et les méthodes mises en place sont la plupart du temps insuffisantes, car trop fortement liées à l’homme (expert du management des risques, expert d’un domaine).

Le management des risques est aujourd’hui un des sujets à la mode pour aborder le management de projet en général, et pour fournir une explication, malheureusement a posteriori, aux problèmes rencontrés par les projets.
Nous ne parlerons pas ici des conséquences économiques, environnementales, humaines des risques, ni sur la priorité qu’il y a à résoudre ces problèmes : la chose est aujourd’hui validée, et de nombreuses communications traitent déjà de ce sujet.
Nous insisterons par contre sur le caractère très disparate du management des risques : de fait, tout événement futur peut avoir un impact potentiel sur un projet (technique,, économique, organisationnel, , etc.) dépendant ou non du projet. Difficile dans ces conditions de déterminer une méthode, une logique qui traite de tous les risques d’un projet ...

Nous n’allons pas non plus nous risquer à la tâche impossible de piloter son projet en essayant de prédire l’avenir. En revanche, et dans la mesure où le passé peut éclairer l’avenir, nous considérerons alors que : « manager les risques c’est considérer que l’occurrence de certains événements est de probabilité suffisamment forte pour justifier que l’on s’y intéresse ».

ETAT DE L’ART

Aujourd’hui, les méthodes utilisées pour ce qui reste encore souvent appelé la gestion des risques reposent sur un socle très partagé et agréé :

1. les risques du projet sont évalués

2. un plan d’action est mis en place

3. risques et plan d’action sont régulièrement suivis

La troisième étape est la plus facile à traiter par des outils, lorsqu’elle est traitée, ce qui n’est, de manière apparemment surprenante, pas toujours le cas. L’utilisation de tableurs, est ici d’un rapport coût performance inégalé.

En ce qui concerne la première et la deuxième étape, la problématique est plus complexe, et une seule méthode semble produire des résultats pertinents, c’est celle que nous pourrions qualifier de méthode « à dire d’expert ».
Cette méthode consiste à réunir pour un projet un ensemble de personnes représentatives des parties prenantes, incluant des experts, et dont le rôle consiste à effectuer cette analyse de risque. Si les participants se servent d’outils, de méthodes ou de check-lists, c’est l’intime conviction des experts qui produit risques et plans d’action.

Bien que la seule crédibilité que l’on puisse accorder au résultat repose sur la confiance, ou non, dans l’expert, cette méthode produit généralement de bons résultats. Elle présente néanmoins deux inconvénients majeurs.
Le premier est qu’une analyse de risque est un phénomène non déterministe : en effet, le résultat dépend de l’expert et de la vision qu’il défend. Il arrive même que les critères qu’utilise l’expert pour justifier son analyse soient difficilement compréhensibles.
Le second, plus trivial encore, est qu’il faut un expert. La disponibilité de l’expert est donc le facteur déterminant de l’existence du processus. On y trouve là une explication de la rareté d’un suivi efficace, l’expert préférant privilégier les nouvelles analyses au suivi, et les chefs de projet se refusant presque toujours à réévaluer les risques, c’est à dire les conclusions de l’expert, hors de sa présence.

En termes d’assistance au management des risques, les outils servent aujourd’hui plus de compléments d’analyse que de méthodes à part entière. On retrouve plusieurs types d’outils :

-  des outils statistiques
-  les bases d’intelligence artificielle
-  des modèles d’analyse
-  des outils heuristiques

LES OUTILS STATISTIQUES

L’outil statistique est à priori la méthode idéale pour traiter notre problème. C’est d’ailleurs la méthode de base des professionnels de la gestion des risques : assureurs et banquiers.
Dès lors que l’on dispose de statistiques, on devient capable de calculer la probabilité d’occurrence d’un risque.
La solution théorique consiste donc à mettre en œuvre des calculs de statistiques qui permettent de calculer la probabilité d’occurrence d’un risque.
Bien que peu pratiquée, et nous verrons plus loin pourquoi, cette solution donne d’excellents résultats dans les domaines connus : il est rare aujourd’hui que l’on se trompe dans la mise en œuvre d’une comptabilité ou d’une paie, compte tenu de l’expérience accumulée sur le sujet.

Cette méthode comporte néanmoins en elle-même les germes de son inapplicabilité pour ce qui nous intéresse.
Le premier élément qui la condamne est la non disponibilité / fiabilité de statistiques dans de nombreux domaines. Les statistiques sur les succès et échecs des projets sont souvent peu disponibles, pas toujours fiables, et en tout cas jamais dans les domaines où on en aurait besoin.
Le deuxième est que, par construction, elle ne permet de détecter que des problèmes qui ont déjà été mis en statistiques, c’est-à-dire des problèmes déjà rencontrés. Lorsque nous parlons d’intégration de système, par exemple, les problèmes que nous traitons sont par définition nouveaux : pour la plupart nous ne disposons ni de statistiques ni d’expérience complète sur le sujet ...
Enfin, le dernier élément et pas le moindre est l’influence très forte de la mesure des risques sur le résultat de la mesure. Par exemple, c’est l’une des raisons pour lesquelles les assureurs se sont longtemps refusés à assurer les projets informatiques : le fait d’être assuré augmentait alors de manière significative les risques d’échec du projet !

Cette approche reste néanmoins la plus employée dans la conduite des projets. A défaut d’être intégrée projet par projet, elle est généralement intégrée dans la consolidation des projets au niveau de l’entreprise : par exemple, aujourd’hui toute société de service intègre par construction dans son prix de journée le coût moyen du risque pris. Mais cela se limite bien souvent aux finances !

LES BASES D’INTELLIGENCE ARTIFICIELLE

La seconde idée qui vient à l’esprit est d’automatiser la méthode qui donne les meilleurs résultats : reprenons les savoirs de l’expert, traduisons ces savoirs en règles compréhensibles par la machine et effectuons des analyses sur la base de cette modélisation.

L’intelligence artificielle a été longtemps considérée comme la seule solution à des problèmes théoriques sur la simulation du comportement humain, et donc de l’expert. Malheureusement, les promesses n’ont pas été tenues. Il est d’ailleurs remarquable que la reconnaissance vocale ait trouvé sa solution sur la base d’un modèle statistique, alors que l’intelligence artificielle n’a jamais produit les résultats espérés.
Il reste néanmoins quelques retombées pratiques de cette piste dans le domaine du management des risques : un de ceux-ci est le modèle dit de « scoring ». On reprend les critères des experts, auxquels on attribue un poids. Il suffit ensuite d’additionner les poids de chaque risque pour établir le « score » du risque pour le projet.
Cette solution est pratiquée par exemple dans le domaine de la banque, où le « pouvoir de dire oui » s’est généralisé grâce aux outils de scoring.

Encore plus simple est la méthode de la « check-list ». Rarement automatisée, cette méthode est très employée aujourd’hui en complément du travail des experts, à qui elle sert au minimum d’aide-mémoire.
Une avancée significative, et qui semble produire des résultats intéressant concerne aujourd’hui les réseaux neuronaux.
Des moteurs de reconnaissance de caractères sont aujourd’hui développés en utilisant cette technique, et l’on peut espérer dans le futur modéliser d’autres parties du cerveau humain.
Cette technique est cependant aujourd’hui très complexe à mettre en œuvre. On se retrouve aussi dans une situation similaire à celle de l’expert, c’est-à-dire des résultats ni reproductibles ni franchement explicables ... et qui demandent donc de faire autant confiance à une machine qu’on ferait confiance à un expert ...

LES MODELES D’ANALYSE

Un autre axe de recherche de solutions en termes de risques consiste à reprendre les méthodes employées dans la gestion des risques industriels. Par exemple, les risques liés à une chaîne de production de l’industrie chimique peuvent être calculés grâce à la modélisation des réactions chimiques, dont on recherche ensuite les comportements aux limites pour enfin en déterminer les risques de divergence (explosion).

Pour l’appliquer au domaine des projets, il s’agit alors de modéliser le processus retenu pour le projet et d’en déduire les risques qui lui sont associés.
Un exemple de ce type de modélisation des risques est le sacro saint diagramme PERT utilisé dans la recherche du chemin critique et dans la gestion des risques liés au délai. Il est remarquable de noter que ce modèle s’appuie sur la règle stricte d’enchaînement des tâches dont chaque chef de projet un peu expérimenté sait qu’elle est très régulièrement bafouée par la pratique. Nous utilisons ici un modèle faux pour produire des chiffres que chacun reconnaît comme généralement « acceptables ».

Il est indispensable de mettre en évidence l’extrême importance que revêtent méthodes, méthodologies et outils dans chaque domaine. Imposer certaines méthodes, certaines façons de faire est un moyen très efficace de réduire fortement les risques des projets, dans la mesure bien sûr où elles sont de qualité.
Cette façon d’aborder les projets s’est généralisée dans les dernières années, accompagnant la normalisation, la certification (ISO) ou la classification (CMM-I). Cela contribue à diminuer très fortement un grand nombre de risques des projets.
Malheureusement, c’est le processus de management des risques lui-même qui marque les limites de cette solution : il est généralement décrit comme un sous processus, une activité qui produit des « sorties ».
Le management des risques devrait au contraire être intégré au processus projet comme LE mécanisme de pilotage du projet, LE pilotage de l’activité projets de l’entreprise. A ce titre, il devrait être inclus non pas dans le modèle, mais dans un « méta modèle » de description des processus projet. Même si des avancées dans cette direction sont proposées (le SPEM 2 pour les modèles de processus de développements informatiques), elles sont trop récentes et encore insuffisantes

En revanche, on constate que plusieurs sociétés de service renommées affichent aujourd’hui un pilotage de leurs projets par les risques. Au-delà de l’effet de mode, cela met en évidence un réel besoin des industriels.
Une seconde limite apparaît dans ce que l’on appelle la culture de l’entreprise : il s’agit de l’expérience accumulée au fil du temps qui, sans être toujours explicite, ni dans certains cas même pas consciente, maintient le « savoir faire ».
C’est notamment à cause de cela que certaines entreprises sont plus ou moins sensibles à certains risques. Cela complique d’autant plus notre recherche de solutions automatisables au management des risques.
Là encore, impossible de traiter le sujet sans parler du « retour d’expérience », c’est-à-dire l’action du management des risques dans l’autorégulation du processus : ce processus reste aujourd’hui essentiellement intégré à la culture d’entreprise.
Dans ce domaine, on ne peut constater qu’un demi-siècle d’expérience n’a été d’aucun secours dans la capitalisation des projets. La capitalisation reste cantonnée à un bilan de projet, qui s’effectue ou non une fois que tout est terminé, et qui est souvent caricatural :

-  le projet a réussi, et c’est forcement grâce aux méthodes employées
-  le projet a échoué, et le bilan est une séance d’auto flagellation ou d’ouverture de parapluies

C’est d’autant plus dommageable que certains projets réussissent malgré des mauvaises pratiques, alors que d’autres échouent pour des raisons complètement extérieures au projet, et sans que la manière dont le projet est mené soit en cause.

LES OUTILS HEURISTIQUES

Les outils heuristiques sont une combinaison de deux des méthodes vues précédemment, à savoir l’utilisation de modèles et la variation statistique de certains de leurs éléments pour calculer l’effet des variations sur les caractéristiques du projet.
Un exemple en est l’utilisation de simulation par une méthode « Monte-Carlo » sur notre diagramme PERT pour évaluer les risques concernant le respect des délais.
Nous retrouvons sur cet exemple tous les problèmes rencontrés lors de l’exploration de solutions. D’une part il faut que le modèle soit une représentation au minimum réaliste des projets, à défaut d’être proche de la réalité. D’autre part, il faut que l’application des méthodes heuristiques ne dégrade pas encore la qualité du résultat final.
Ces méthodes ne font aujourd’hui que renforcer une idée relativement répandue qui consiste à dire que le sort des projets ressemble plus à un jeu de hasard qu’à une activité professionnelle.

SYNTHESE EN FORME DE MODELE

Notre exploration de l’état de l’art nous a permis de mettre en évidence d’une part les méthodes les plus efficaces pour effectuer les analyses de risque, et d’autre part, les obstacles qu’il faudra surmonter pour pouvoir automatiser le management des risques.
Ce paragraphe en propose une synthèse sous forme d’affirmations qui sont ensuite détaillées :

1. La base doit être un modèle statistique
Le modèle statistique est le seul modèle qui soit ensuite exploitable dans les outils de management du chef de projet et de l’entreprise.
En effet, dès lors que l’on dispose des probabilités d’occurrence du risque, toute une série de déclinaisons sont alors possibles, sous forme de consolidation, de calculs d’espérances mathématiques pour traduire le risque en conséquences.

2. Il faut exploiter le savoir de l’expert
Nous avons en effet vu que l’expert est finalement le seul à obtenir un certain succès, d’une part parce qu’il tient naturellement compte du caractère unique de chaque projet, et qu’il sait d’autre part extrapoler les expériences passées pour en déduire leur validité dans le comportement de projets futurs.

3. Il faut compenser l’insuffisance de statistiques
Nous avons vu précédemment que le problème majeur est l’absence de statistiques, qui n’existent pas pour partie, et qui sont souvent insuffisantes en nombre ou en qualité pour permettre des calculs précis et valides.

4. Il faut tenir compte des spécificités de chaque entreprise et/ou projet
Nous avons en effet vu l’impact considérable des méthodes sur les risques. Cela fait de chaque entreprise un cas unique. Il faut donc être capable d’en tenir compte dans les statistiques produites par l’outil !
Cela veut dire qu’il faut être capable de récupérer des données statistiques de l’entreprise. En pratique, cela rend indispensable la mise en place d’un outil de capitalisation, et nécessite une très grande flexibilité dans le paramétrage de l’outil.

Pour pouvoir aller plus avant dans le raisonnement, examinons maintenant les termes de notre problème. Notre équation utilise les termes suivants :

1. les caractéristiques de notre projet, c’est-à-dire l’ensemble des éléments dont nous pouvons disposer pour effectuer l’analyse

2. les risques qui peuvent survenir au projet, c’est-à-dire les événements futurs « désagréables » pour le projet

3. les conséquences négatives pour le projet de l’occurrence de ces risques

Il va de soit que seul le premier point relève de faits, les deux autres n’étant au mieux qu’une hypothèse ou une spéculation sur le futur du projet : nous devons donc nous appuyer sur 1. pour calculer 2. et 3..
Nous proposons les définitions suivantes :

Facteurs de risque : Caractéristiques du projet permettant de calculer la probabilité d’occurrence des risques du projet.

Risques : Evénements futurs dont le projet peut être victime

Conséquences : Impact sur le projet de l’occurrence de risques.

Nous pouvons alors enchaîner une logique d’évaluation des risques de la manière suivante :

1. les caractéristiques de notre projet correspondant à des facteurs de risques sont identifiés

2. les risques qui peuvent survenir au projet, ainsi que leur probabilité en sont déduits

3. les conséquences négatives pour le projet de l’occurrence de ces risques sont estimées

4. des plans d’action sont mis en place pour traiter ces risques en fonction de leurs conséquences

LE PLAN D’ACTION

Le plan d’action est un des éléments clé de la gestion des risques, puisque c’est lui qui permet d’agir sur le projet. Il existe deux stratégies principales :

-  une stratégie de prévention, consistant à agir sur les facteurs de risque pour diminuer la probabilité d’occurrence du risque ; par exemple, on peut mettre en hauteur les produits toxiques pour éviter qu’un enfant ne les boive
-  une stratégie de correction, consistant à agir pour diminuer les conséquences ; par exemple, on peut aménager des couloirs d’avalanche pour minimiser ses conséquences

Il existe aussi des stratégies dites "alternatives", ou "palliatives" consistant à transformer l’occurence du risque en "opportunité". C’est par exemple le cas de l’assurance : elle ne diminue ni la probabilité ni les conséquences de l’incendie, mais elle fournit des compensations financières qui diminuent le préjudice subi.

La stratégie doit être déterminée en fonction du caractère endogène (interne au projet) ou exogène (extérieur au projet) des facteurs de risques. Plus le projet a la possibilité d’agir sur le facteur de risque, plus une stratégie de prévention pourra être mise en place. Plus le facteur de risque sera extérieur au projet, plus il sera nécessaire d’agir sur les conséquences. Il pourra même nécessiter dans certains cas des stratégies palliatives : il existe cependant rarement des assurances dans le domaine des projets informatiques.

EN GUISE DE CONCLUSION

La gestion des risques est une des clés du succès des projets : elle reste néanmoins difficile à mettre en œuvre. Parmi les solutions de l’état de l’art, l’emploi de méthodes de conduite de projets reste la plus efficace. Elle peut être accompagnée d’analyses de risques menées par des experts, dès lors que ceux-ci sont disponibles et efficaces.




Partagez cette page



Répondre à cet article et accéder au Forum Introduction à la gestion des risques

Imprimer Introduction à la gestion des risques