Beruflich Dokumente
Kultur Dokumente
DataDrill EXPRESS
Bonnes Pratiques
Olivier Pinette Patrick Hamon Peter Baxter
STATUT : V1.4 OCTOBRE 2010/10/21 - VALIDE
Avant-Propos
Ce document fait partie dun ensemble de documents sur les Bonnes pratiques de dveloppement de
logiciels et systmes aides par les indicateurs.
1 Introduction
La compression budgtaire, la non maitrise des technologies, la volatilit des exigences, le turnover du
personnel, etc sont autant de dangers qui guettent le projet et peuvent provoquer son chec.
Les risques sont donc inhrents la vie des projets de dveloppement logiciels et systmes o ils sont
incontournables. Nous avons choisi de les tudier ici et de mettre en exergue les bonnes pratiques associes
leurs mesures.
2 Dfinition
Un risque est une exposition un danger, un prjudice ou tout autre vnement dommageable. Les projets
qui ne grent pas les risques ou ne les grent pas suffisamment bien, dcouvriront les problmes au dernier
moment, lorsquils surviennent, ce qui est parfois trop tard et dans certains cas mortel pour le projet.
Les risques sont par dfinition incertains, ce qui rend leur gestion dlicate. Certains projets ne retiendront
que la probabilit quils ne surviennent pas ou trouveront une quantit de mauvaises excuses pour ne pas
grer les risques, alors que dautres retiendront que les risques existent et peuvent survenir. De quel cot
vous placez vous ? Si il y a un danger, ne souhaiteriez vous pas le savoir le plus tt possible, pour pouvoir
prendre les bonnes dcisions ? La gestion des risques consiste prcisment en lvaluation et
lanticipation des risques, ainsi qu' la mise en place dun systme de surveillance et de collecte
systmatique des donnes pour dclencher les alertes.
Un risque est dfini par la probabilit dapparition de cet vnement et par l'ampleur de ses
consquences (probabilit et impact). Un plan dattnuation des risques sattachera donc maitriser leur
probabilit de survenance mais aussi rduire leur impact si les risques savrent.
www.spirula.fr
Ce standard est align sur ISO/IEC Software Engineering: Systeme and Software engineering - Life Cycle
Processes, Risk Management (Std 16085:2006). En voici quelques dtails:
1. Technical and Management Processes , qui est linfluence et les liens des autres processus sur la
gestion des risques. Ils dfinissent les exigences de la gestion des risques (besoins dinformation, types
de risques considrer, politique de gestion des risques, seuils dacceptabilit). En outre, ils dictent les
dcisions face aux risques, et induisent les recommandations damlioration du processus.
www.spirula.fr
2. Plan and Implement Risk Management , met en place la politique et le processus de gestion des
risques (inclus les activits, les parties prenantes, les responsabilits, les outils).
3. Manage the Project Risk Profile cre le rfrentiel (vue historise) des risques projet et de leurs
traitements. Cela inclus galement la dfinition type des risques traiter, des objectifs, des parties
prenantes, des seuils dacceptabilit du projet, et la communication des informations aux parties
prenantes.
4. Perform Risk Analysis liste les risques projet, estime leurs probabilits et impacts, les ordonne en
terme de priorit, propose les traitements applicables. Il inclut aussi la mise en place des indicateurs de
suivi de lefficacit des actions de traitement des risques.
5. Perform Risk Traitment Pour chaque risque slectionn, le traitement du risque en fonction de ce qui
t dfini en 4.
6. Perform Risk Monitoring permet la revue et mise jour individuelle de chaque risque, de son tat, de
lefficacit des actions associes. Identifie galement les ventuels nouveaux risques.
7. Evaluate the Risk Management Process assure la capitalisation de linformation. Identifie les
amliorations potentielles du processus, les propose au management, les met en place.
Nous pouvons ajouter que cette norme est dans la droite ligne de lISO/IEC 15939 :2007 Systems and
software engineering -- Measurement process .
www.spirula.fr
CMMI spare la gestion des risques en 3 parties, correspondant aux 3 objectifs du domaine de processus
RSKM:
1. La dfinition de la stratgie de gestion des risques.
2. Lidentification et lanalyse des risques.
3. La gestion des risques identifis.
SG1 Se prparer pour la gestion des risques
Dterminer les sources et les catgories de risques
Dfinir les paramtres utiliss pour analyser et catgoriser les risques, ainsi que les paramtres pour
contrler la charge de gestion des risques
Etablir et maintenir la stratgie qui sera utilise pour la gestion des risques
SG2 Les risques sont identifis et analyss pour dterminer leur importance relative
Identifier et documenter les risques
Evaluer et catgoriser chaque risque identifi en utilisant les catgories et les paramtres des risques
tablis et dterminer leur priorit relative
SG3 Les risques sont grs et attnus, lorsque ncessaires, afin de diminuer les impacts qui peuvent nuire
latteinte des objectifs
Dvelopper un plan dattnuation du risque pour les risques les plus importants du projet tel que
dfini dans la stratgie de gestion des risques.
Surveiller priodiquement le statut de chaque risque et mettre en uvre, selon les besoins, le plan
dattnuation du risque.
Au centre, nous trouvons le rfrentiel des risques incluant :
Une partie documentaire :
La liste des sources possibles de risque
Les catgories de risque
Les critres dvaluation, de catgorisation et de priorisation des risques
La stratgie de gestion des risques du projet
La liste des risques proprement dite avec :
Le contexte, les conditions et consquences de chaque risque
Une priorit attribue chaque risque
Les diffrentes options de traitement et dattnuation de chaque risque
Les actions en cas de survenance du risque
Les responsabilits
www.spirula.fr
Impact
Probabilit
Exemple :
ITEM
R25
Facteur de risque
Etendu
Probabilit
20 %
Impact cot
150 000
Impact dlai
+ 5 mois
Symptmes
www.spirula.fr
Figure 4 : Daprs SEI-Advanced Risk Analysis for High-Performing Organizations par Christopher Alberts et Audrey
Dorofee - 2006
(http://www.sei.cmu.edu/library/assets/advancedrisk.pdf)
Ainsi, nous ne pouvons que recommander davoir une vue globale de limpact des risques, ce qui permet :
- De mieux valuer limpact et/ou la probabilit des risques
- De mieux calculer lexposition relle aux risques
- De mieux anticiper les vnements imprvus
- De mettre en vidence les possibilits dattnuation des risques par modification des processus
www.spirula.fr
Chercher pro-activement
la source des rsiques
Nous pouvons galement montrer que limpact dun risque sera aussi dpendant de la faon dont
lorganisation sest prpare le recevoir.
Figure 5 : Daprs Going Up the Down Escalator par Robert Charette, ITABHI Corporation 1993
(http://www.itmpi.org/assets/base/images/itmpi/privaterooms/robertcharette/UpTheDownEscalator.pdf)
La meilleure lecture de cette figure/escalier consiste commencer par son centre, la marche 4. Cest une
marche de transition entre ragir face aux risques lorsquils arrivent et pro-agir sur la source des risques
pour viter quils narrivent. A ce niveau, nous nous efforons de prvenir les risques et traduisons cela
principalement en termes dordonnancement dactions mener. Mais face aux impondrables, quoi faire ?
Ragir la partie basse de lescalier
Par dfinition les risques ne sont pas connus avec certitude et peuvent donc tout fait ne pas survenir.
Parfois il est dcid de nagir que sur les consquences, voir de na pas agir du tout, tant quils ne sont
pas avrs. Nous sommes l dans la partie basse de lescalier ddi la raction qui consiste en 3
stratgies : Rduire le risque lapparition des symptmes, traiter le problme lorsquil survient, grer la
crise.
Rduire le risque aux symptmes (3) consiste gnralement, ds lapparition des premiers symptmes,
augmenter une ressource ou le temps pass pour couvrir la consquence du risque. Cette stratgie nest
efficace que si le planning et/ou le budget du projet ont de la marge. Traiter le problme lorsquil
survient (2) impose que les problmes narrivent que lorsque nous avions prvu quils arrivent. Par
exemple, la dtection des dfauts peut tre prvue pour arriver la fin des tests unitaires, puis des tests
dintgration. Mais que ce passe-t-il si les dfauts apparaissent trs tard, voir chez le client ? Nous nous
retrouvons alors sur la dernire marche devoir grer la crise (1).
www.spirula.fr
www.spirula.fr
La solution consiste donc donner une bonne visibilit du processus de gestion des risques et identifier le
vrai besoin dinformation associ. C'est--dire dfinir ce que nous avons besoin (dans notre contexte) de
savoir ou dapprendre pour contrler la gestion des risques, leurs traitements et leurs prvisions.
Pour cela, le matriel fourni par la norme ISO 15939 (ISO/IEC 15939 :2007 Systems and software engineering
-- Measurement process), mais aussi PSM (Pratical Software as System Measurement http://www.psmsc.com/) peut tre utilis pour dfinir formellement ce besoin dinformation.
www.spirula.fr
10
Indicateur
Modle
Mesure driv
Fonction
Mesure de base
Indicateur
Modle
Mesure driv
Fonction
Mesure de base
www.spirula.fr
11
Indicateur
Modle
Mesure driv
Fonction
Mesure de base
www.spirula.fr
12
Les mesures (mesures de base, mesures drives et indicateurs) dj gres par le processus de Mesure se
chevauchent avec les caractristiques des risques.
Ainsi le processus de
mesure ne donne pas
directement lvaluation ni
le statut global du risque,
mais fournit les
donnes/caractristiques
permettant de ltablir.
www.spirula.fr
13
www.spirula.fr
14
6 Conclusions
Lobjectif de la gestion des risques nest pas dliminer les risques, mais bien de maximiser les opportunits
et minimiser les mauvais effets des risques avrs. Nous avons montr que cette gestion repose en grande
parties sur les capacits du processus de mesure et analyse de lorganisation.
Lintgration des pratiques de gestion des risques dans le processus de dveloppement est indispensable
pour obtenir une bonne efficacit de la gestion des risques.
7 Spirula en bref
Depuis prs de 10 ans, Spirula propose des solutions pour mieux estimer et piloter les projets de
dveloppement de logiciels et systmes.
Leader sur son march, loffre Spirula expertise, outils, formation permet de mieux Comprendre le pass,
Piloter le prsent et Prvoir lavenir des projets dingnierie logicielle et systmes.
Nous aidons nos clients dfinir les processus de dveloppement les plus efficaces, implmenter des
tableaux de bords pour le suivi des projets et augmenter la fiabilit des estimations des cots, effort et dlais
des projets.
Nos consultants sont experts dans le pilotage de projet et les estimations et conduisent limplmentation
des bonnes pratiques, comme le CMMI, dont Spirula est un des co-auteurs.
Parmi nos clients, nous comptons des PME/PMI ayant une forte activit de dveloppement de logiciels et de
systmes ainsi que des grands comptes internationaux tel quAlstom, BAe, Continental, Philips, Renault,
Thales,
www.spirula.fr
15