Mesurer les risques

DataDrill EXPRESS
Bonnes Pratiques
Olivier Pinette Patrick Hamon Peter Baxter
STATUT : V1.4 OCTOBRE 2010/10/21 - VALIDE

Avant-Propos
Ce document fait partie dun ensemble de documents sur les Bonnes pratiques de dveloppement de
logiciels et systmes aides par les indicateurs.

1 Introduction
La compression budgtaire, la non maitrise des technologies, la volatilit des exigences, le turnover du
personnel, etc sont autant de dangers qui guettent le projet et peuvent provoquer son chec.
Les risques sont donc inhrents la vie des projets de dveloppement logiciels et systmes o ils sont
incontournables. Nous avons choisi de les tudier ici et de mettre en exergue les bonnes pratiques associes
leurs mesures.

2 Dfinition
Un risque est une exposition un danger, un prjudice ou tout autre vnement dommageable. Les projets
qui ne grent pas les risques ou ne les grent pas suffisamment bien, dcouvriront les problmes au dernier
moment, lorsquils surviennent, ce qui est parfois trop tard et dans certains cas mortel pour le projet.
Les risques sont par dfinition incertains, ce qui rend leur gestion dlicate. Certains projets ne retiendront
que la probabilit quils ne surviennent pas ou trouveront une quantit de mauvaises excuses pour ne pas
grer les risques, alors que dautres retiendront que les risques existent et peuvent survenir. De quel cot
vous placez vous ? Si il y a un danger, ne souhaiteriez vous pas le savoir le plus tt possible, pour pouvoir
prendre les bonnes dcisions ? La gestion des risques consiste prcisment en lvaluation et
lanticipation des risques, ainsi qu' la mise en place dun systme de surveillance et de collecte
systmatique des donnes pour dclencher les alertes.
Un risque est dfini par la probabilit dapparition de cet vnement et par l'ampleur de ses
consquences (probabilit et impact). Un plan dattnuation des risques sattachera donc maitriser leur
probabilit de survenance mais aussi rduire leur impact si les risques savrent.

3 Processus de gestion des risques

3.1 Grer les risques
Une gestion des risques formelle implique la mise en place dun processus logique pour le traitement des
risques tout au long du cycle de vie du projet/produit.
Tout commence par une phase de lancement o il convient de se prparer la gestion des risques. Il faut
obtenir les bons sponsors, les ressources, mettre en place le processus et les outils, puis communiquer et
former les parties prenantes.
Puis ensuite :
- Recenser, identifier et documenter les risques en particulier les symptmes/indices permettant de
penser que le risque est avr ou au contraire vit.

www.spirula.fr

Evaluer la probabilit et limpact de chaque risque

Grer les risques
Dvelopper et acter un plan dattnuation des risques.
Surveiller lapparition des symptmes et rvaluer constamment les risques
Grer la transition risque -> problme

3.2 La gestion des risques suivant lISO

Voici le processus de gestion des risques selon les normes en vigueur.

Figure 1 : IEEE - Software Risk Management Process Model (std 1540-2001)

Ce standard est align sur ISO/IEC Software Engineering: Systeme and Software engineering - Life Cycle
Processes, Risk Management (Std 16085:2006). En voici quelques dtails:
1. Technical and Management Processes , qui est linfluence et les liens des autres processus sur la
gestion des risques. Ils dfinissent les exigences de la gestion des risques (besoins dinformation, types
de risques considrer, politique de gestion des risques, seuils dacceptabilit). En outre, ils dictent les
dcisions face aux risques, et induisent les recommandations damlioration du processus.

www.spirula.fr

2. Plan and Implement Risk Management , met en place la politique et le processus de gestion des
risques (inclus les activits, les parties prenantes, les responsabilits, les outils).
3. Manage the Project Risk Profile cre le rfrentiel (vue historise) des risques projet et de leurs
traitements. Cela inclus galement la dfinition type des risques traiter, des objectifs, des parties
prenantes, des seuils dacceptabilit du projet, et la communication des informations aux parties
prenantes.
4. Perform Risk Analysis liste les risques projet, estime leurs probabilits et impacts, les ordonne en
terme de priorit, propose les traitements applicables. Il inclut aussi la mise en place des indicateurs de
suivi de lefficacit des actions de traitement des risques.
5. Perform Risk Traitment Pour chaque risque slectionn, le traitement du risque en fonction de ce qui
t dfini en 4.
6. Perform Risk Monitoring permet la revue et mise jour individuelle de chaque risque, de son tat, de
lefficacit des actions associes. Identifie galement les ventuels nouveaux risques.
7. Evaluate the Risk Management Process assure la capitalisation de linformation. Identifie les
amliorations potentielles du processus, les propose au management, les met en place.
Nous pouvons ajouter que cette norme est dans la droite ligne de lISO/IEC 15939 :2007 Systems and
software engineering -- Measurement process .

3.3 La gestion des risques suivant le CMMI

Voici maintenant ce que nous dit le CMMI sur la gestion des risques.

Figure 2 : CMMI Risk Management Process Area (RSKM)

www.spirula.fr

CMMI spare la gestion des risques en 3 parties, correspondant aux 3 objectifs du domaine de processus
RSKM:
1. La dfinition de la stratgie de gestion des risques.
2. Lidentification et lanalyse des risques.
3. La gestion des risques identifis.
SG1 Se prparer pour la gestion des risques
Dterminer les sources et les catgories de risques
Dfinir les paramtres utiliss pour analyser et catgoriser les risques, ainsi que les paramtres pour
contrler la charge de gestion des risques
Etablir et maintenir la stratgie qui sera utilise pour la gestion des risques
SG2 Les risques sont identifis et analyss pour dterminer leur importance relative
Identifier et documenter les risques
Evaluer et catgoriser chaque risque identifi en utilisant les catgories et les paramtres des risques
tablis et dterminer leur priorit relative
SG3 Les risques sont grs et attnus, lorsque ncessaires, afin de diminuer les impacts qui peuvent nuire
latteinte des objectifs
Dvelopper un plan dattnuation du risque pour les risques les plus importants du projet tel que
dfini dans la stratgie de gestion des risques.
Surveiller priodiquement le statut de chaque risque et mettre en uvre, selon les besoins, le plan
dattnuation du risque.
Au centre, nous trouvons le rfrentiel des risques incluant :
Une partie documentaire :
La liste des sources possibles de risque
Les catgories de risque
Les critres dvaluation, de catgorisation et de priorisation des risques
La stratgie de gestion des risques du projet
La liste des risques proprement dite avec :
Le contexte, les conditions et consquences de chaque risque
Une priorit attribue chaque risque
Les diffrentes options de traitement et dattnuation de chaque risque
Les actions en cas de survenance du risque
Les responsabilits

www.spirula.fr

4 Evaluation des risques

4.1 Evaluation de la probabilit et de limpact des risques
Aprs avoir rpertori les risques, il convient de les valuer et de les prioriser. Pour cela, nous utilisons
gnralement les 2 critres suivants :
- Probabilit dapparition
- Impact du risque, c'est--dire limportance des consquences sur le projet/produit (en terme de
cots, dlais et ventuellement qualit).
Remarque : La garantie de lefficacit de lvaluation des risques passe par son indpendance de toute
pression politique.
Les risques majeurs (et donc inacceptables), sont alors identifiables comme tant ceux qui cumulent la fois
un fort taux de probabilit de survenance et un impact lev.
Les risques peu critiques (et donc acceptables), sont a contrario les risques faible impact et/ou faible
probabilit.
Entre les deux, il y a les risques que nous appellerons critiques

Impact

Probabilit

Figure 3 : matrice des risques

Exemple :
ITEM

R25

Facteur de risque

Il peut s'avrer ncessaire d'crire un pilote d'imprimante spcifique.

Etendu

500 Points de fonctions

Probabilit

20 %

Impact cot

150 000

Impact dlai

+ 5 mois

Symptmes

Echec des tests dimpression utilisant le driver standard.

Limpact pondr (Impact * probabilit) est alors : 30 K et 1 mois

www.spirula.fr

4.2 Relation entre les risques

Les risques sont lis entre eux. Un ensemble de risques lis peut avoir un impact d'autant plus important sur
une mission donne. Nous entendons par mission la finalit dune activit ou dun processus. La non
excution de certaines missions peut avoir des consquences fortes sur le projet et l'organisation.

Figure 4 : Daprs SEI-Advanced Risk Analysis for High-Performing Organizations par Christopher Alberts et Audrey
Dorofee - 2006

(http://www.sei.cmu.edu/library/assets/advancedrisk.pdf)
Ainsi, nous ne pouvons que recommander davoir une vue globale de limpact des risques, ce qui permet :
- De mieux valuer limpact et/ou la probabilit des risques
- De mieux calculer lexposition relle aux risques
- De mieux anticiper les vnements imprvus
- De mettre en vidence les possibilits dattnuation des risques par modification des processus

www.spirula.fr

4.3 Limpact des risques

Ragir face aux risques

Chercher pro-activement
la source des rsiques

Nous pouvons galement montrer que limpact dun risque sera aussi dpendant de la faon dont
lorganisation sest prpare le recevoir.

Figure 5 : Daprs Going Up the Down Escalator par Robert Charette, ITABHI Corporation 1993

(http://www.itmpi.org/assets/base/images/itmpi/privaterooms/robertcharette/UpTheDownEscalator.pdf)
La meilleure lecture de cette figure/escalier consiste commencer par son centre, la marche 4. Cest une
marche de transition entre ragir face aux risques lorsquils arrivent et pro-agir sur la source des risques
pour viter quils narrivent. A ce niveau, nous nous efforons de prvenir les risques et traduisons cela
principalement en termes dordonnancement dactions mener. Mais face aux impondrables, quoi faire ?
Ragir la partie basse de lescalier
Par dfinition les risques ne sont pas connus avec certitude et peuvent donc tout fait ne pas survenir.
Parfois il est dcid de nagir que sur les consquences, voir de na pas agir du tout, tant quils ne sont
pas avrs. Nous sommes l dans la partie basse de lescalier ddi la raction qui consiste en 3
stratgies : Rduire le risque lapparition des symptmes, traiter le problme lorsquil survient, grer la
crise.
Rduire le risque aux symptmes (3) consiste gnralement, ds lapparition des premiers symptmes,
augmenter une ressource ou le temps pass pour couvrir la consquence du risque. Cette stratgie nest
efficace que si le planning et/ou le budget du projet ont de la marge. Traiter le problme lorsquil
survient (2) impose que les problmes narrivent que lorsque nous avions prvu quils arrivent. Par
exemple, la dtection des dfauts peut tre prvue pour arriver la fin des tests unitaires, puis des tests
dintgration. Mais que ce passe-t-il si les dfauts apparaissent trs tard, voir chez le client ? Nous nous
retrouvons alors sur la dernire marche devoir grer la crise (1).

www.spirula.fr

Pro-agir la partie haute de lescalier :

A loppos de la partie basse de lescalier o nous nous attachions ragir aux risques survenus sur
les produits et services livrs, nous nous attachons ici liminer les causes racines des risques (5) en
examinant et amliorant les processus. Cela implique obligatoirement que les processus soient
dfinis, rptables et mesurables. Cest de cette manire que les processus deviendront stables et
prdictibles. Cela implique donc de placer davantage de ressources pour grer les risques la o les
processus ne sont pas encore matures. La progression normale est alors de faire cela chaque fois
quun processus est cr ou rvis, o lon anticipe les changements provoqus et les risques
potentiels (6). La marche ultime tant de rentrer dans cette logique naturellement, celle o la
gestion du changement est toujours considre (7). Cest une sorte dasymptote enviable, mais aussi
dangereuse, car difficile grer et pouvant produire des ractions contre-productives.
Il a t pendant longtemps considr que la meilleure solution/compromis (effort/efficacit) pour la gestion
des risques tait la marche 3. Mais ctait oublier que nous ne pouvons pas prdire le futur. Alors la
dimension prvention (4) est apparue comme plus avantageuse. De plus, la prvention est une approche
gnralement rduite dans le temps, et trs dpendante de la priode o elle est mene. Do lide que
corriger le problme avant quil narrive pourrait tre bnfique. Cela permettait aussi de transformer les
risques en avantage. Nous avons alors franchi le niveau 4 pour atteindre le 5, puis le 6 o le traitement du
risque commence devenir naturel et mature.

4.4 Positiver la notion de risque

Par nature, la notion de risque a gnralement une consonance ngative, car met en exergue les possibilits
dchec du projet. Dit comme cela, nous ne voyons que la partie ngative du risque. Mais ce nest jamais
trs facile et trs motivant de grer des actions permettant de potentiellement ne pas perdre dargent.
Alors que diriez-vous dtendre et de transformer cette notion ngative du risque, pour la rendre plus
attractive, lui donner un aspect positif. Plutt que de risques, si nous parlions dopportunits. Nous
pourrions alors considrer les opportunits comme un moyen de gagner plus dargent cest tout de mme
plus motivant que ne pas perdre dargent. Ainsi certaines organisations prfrent parler de gestion des
risques et opportunits

5 Evaluer la gestion du risque

5.1 Difficults dvaluer le processus de gestion des risques
Nous venons dexpliquer, pourquoi suivre le nombre de risques ne pouvait pas tre suffisant pour
dterminer lefficacit des activits de gestion des risques. De plus nous sommes (tous) gnralement
optimistes et avons tendance sous-estimer les risques Par exemple, il nest pas rare quun projet dmarre
avec une liste de 100 risques identifis, aprs 6 mois 20 restent traiter, mais parmi ces 20, seulement 10
taient dans la liste initiale.

www.spirula.fr

La solution consiste donc donner une bonne visibilit du processus de gestion des risques et identifier le
vrai besoin dinformation associ. C'est--dire dfinir ce que nous avons besoin (dans notre contexte) de
savoir ou dapprendre pour contrler la gestion des risques, leurs traitements et leurs prvisions.
Pour cela, le matriel fourni par la norme ISO 15939 (ISO/IEC 15939 :2007 Systems and software engineering
-- Measurement process), mais aussi PSM (Pratical Software as System Measurement http://www.psmsc.com/) peut tre utilis pour dfinir formellement ce besoin dinformation.

Figure 6 : Modle d'information de ISO 15939

Utilisons ce formalisme pour dfinir les 4 besoins dinformation suivant :

Quelle est l'efficacit du processus de gestion des risques ?
Quels est la tendance et le cot actuels des risques ?
Quel est le cot prvu des actions d'attnuation des risques?
Quelle est lconomie ralise grce la gestion des risques ?

www.spirula.fr

10

Quelle est l'efficacit du processus de gestion des risques ?

Puis-je avoir confiance dans mon processus de gestion des risques ? Lapproche est assez semblable celle
utilise pour les dfauts :
Produit dinformation
Interprtation

Indicateur
Modle
Mesure driv
Fonction
Mesure de base

Prcision de la planification de la gestion des risques

< 20% -> ok
Entre 20 et 50% -> surveiller et analyser les risques
> 50 % -> replanifier/ rebudgter les risques
% risques non planifis (%Rnp)
%Rnp = 100 * Rnp/Rt
Risques non planifis (Rnp)
Rnp = Rt Rp
Rt= Total Risques : nb actuel de risques identifis sur le projet
Rp = Risques initiaux : nb risques identifis/prvus au dmarrage

Quels est la tendance et le cot actuels des risques ?

Produit dinformation
Interprtation

Indicateur
Modle
Mesure driv

Fonction

Mesure de base

Etat courant de lattnuation des risques

Pc entre 0.9 et 1.05 -> OK
Pc entre 0.75 et 0.9 ou entre 1.05 et 1.15 -> surveiller
Pc < 0.75 ou > 1.15 -> replanifier/ rebudgter les risques
Ta =Tendance daccroissement des risques
Pc= Indice de performance des cots des risques
Ta = Ro / Rf
Pc = Cr / Ce
Ro = Cumul des risques ouverts
Rf = Cumul des risques ferms
Ce = Cumul des cots estims
Cf = Cumul des cots rels
Ro = nb risques ouverts
Rf = nb risques ferms
Ce = Somme des cots prvus
Cr = Somme des cots rels engags
Chaque risques avec :
- tat (ouvert=non trait ou en attnuation, ferm=maitris)
- cot estim/prvu de lattnuation
- cot rel de lattnuation

www.spirula.fr

11

Quel est le cot prvu des actions d'attnuation des risques?

Produit dinformation
Interprtation

Indicateur
Modle
Mesure driv

Fonction

Mesure de base

Prvision du cot dattnuation des risques

Autour de 10% du budget -> ok
Entre 10 et 30% du budget -> surveiller
Suprieure 30% du budget -> rebudgter
Estimation du cot dattnuation des risques en % / budget
100 * Br / [E + E*%Rnp]
Br = Budget Restant= Restant du budget dattnuation des risques
E = Estimation Cot restant = estimation du cot pondr dattnuation
des risques non maitriss actuellement.
%Rnp = % risques non planifis comme calcul dans le premier indicateur
Br = Budget Restant = Budget cout rel
E = Estimation Cot restant = Somme (Proba * Impact) pour chaque
risque restant
Budget total : Budget total de lattnuation des risques
Cot rel = cot de lattnuation jusqu aujourdhui
Probabilit et impact (cot) de chaque risque restant (non maitris)

Quelle est lconomie ralise grce la gestion des risques ?

Produit dinformation
Interprtation
Indicateur
Modle
Mesure driv
Fonction
Mesure de base

Retour sur investissent

Acceptable si 0.90
Inacceptable si < 0.90
Retour sur investissent
ROI= Gain/Dpense
Dpense = Somme des ressources utilises la gestion des risques
Gain = Somme des cots vits par lattnuation des risques

www.spirula.fr

12

5.2 Difficult didentifier les indicateurs

Le programme de gestion des risques nest pas toujours intgr et/ou prise en compte par le processus de
mesure et analyse. Il est ncessaire dexaminer et dvaluer chaque risque individuellement et
manuellement, cela peut tre long et couteux
Il est gnralement facile dutiliser le systme de mesure de lorganisation pour grer les risques. Souvent les
caractristiques ncessaires lvaluation des risques sont dj plus ou moins prises en compte.

Evaluer un risque (pour lattnuer) consiste analyser

ltat courant du projet son apparition.

Analyser implique de dterminer dans quelle mesure

les conditions indiquant le risque, quon appelle
caractristiques, se sont manifestes

Un risque peut avoir un ensemble de caractristiques.

Les mesures (mesures de base, mesures drives et indicateurs) dj gres par le processus de Mesure se
chevauchent avec les caractristiques des risques.
Ainsi le processus de
mesure ne donne pas
directement lvaluation ni
le statut global du risque,
mais fournit les
donnes/caractristiques
permettant de ltablir.

www.spirula.fr

13

5.3 Difficult de quantifier lattnuation

Quand un risque est avr (c'est--dire lorsquil est devenu un problme), des actions pour lattnuer sont
mises en place afin de contrler et/ou limiter son impact. Si les actions dattnuation entreprises ne sont pas
suivies quantitativement, les manageurs nont aucun moyen de suivre lvolution du risque et ainsi valuer
lefficacit des dcisions dattnuation. Sans mesure quantitative il est impossible de dterminer si
lattnuation a effectivement contenu ou limit limpact du problme ou si elle a permi didentifier une
bonne pratique dattnuation quil sera intressant dincorporer aux prochains plans de gestion des risques.
Exemple:

5.4 Difficult capitaliser sur les problmes des projets

Lorsquun risque savre, il devient un problme pour le projet, qui doit le prendre en compte jusqu
fermeture. Durant la vie du projet, les manageurs grent les risques et les problmes lintrieur de leur
sphre de responsabilit et de leur budget. A la fin de chaque projet, lorganisation a donc une liste de
risques, de problmes et dactions sur lesquels elle peut capitaliser. Mais beaucoup dorganisations
nutilisent pas ces donnes en les rinjectant dans le processus de gestion des risques. Parfois parce que le
processus ne le prvoit pas, mais aussi souvent parce que les donnes ne sont pas accessibles.

www.spirula.fr

14

6 Conclusions
Lobjectif de la gestion des risques nest pas dliminer les risques, mais bien de maximiser les opportunits
et minimiser les mauvais effets des risques avrs. Nous avons montr que cette gestion repose en grande
parties sur les capacits du processus de mesure et analyse de lorganisation.
Lintgration des pratiques de gestion des risques dans le processus de dveloppement est indispensable
pour obtenir une bonne efficacit de la gestion des risques.

7 Spirula en bref
Depuis prs de 10 ans, Spirula propose des solutions pour mieux estimer et piloter les projets de
dveloppement de logiciels et systmes.
Leader sur son march, loffre Spirula expertise, outils, formation permet de mieux Comprendre le pass,
Piloter le prsent et Prvoir lavenir des projets dingnierie logicielle et systmes.
Nous aidons nos clients dfinir les processus de dveloppement les plus efficaces, implmenter des
tableaux de bords pour le suivi des projets et augmenter la fiabilit des estimations des cots, effort et dlais
des projets.
Nos consultants sont experts dans le pilotage de projet et les estimations et conduisent limplmentation
des bonnes pratiques, comme le CMMI, dont Spirula est un des co-auteurs.
Parmi nos clients, nous comptons des PME/PMI ayant une forte activit de dveloppement de logiciels et de
systmes ainsi que des grands comptes internationaux tel quAlstom, BAe, Continental, Philips, Renault,
Thales,

www.spirula.fr

15