In my experience, Risk Analysis is primarily about communication. If the communication going around the project is Selon mon expérience, l’Analyse de Risques concerne principalement la communication. Si la communication qui circule autour du projet n’est pas ouverte et efficace, aucune approche d’analyse de risques ne le sauvera. D’autre part, s’il y a une bonne communication, une méthodologie simple d’analyse de risques fera des merveilles.
L’objectif d’une analyse de risques est d’identifier, quantifier et autant que possible atténuer les effets d’événements qui ont le potentiel d’empêcher un projet d’atteindre ses objectifs. Une analyse de risques ne consiste pas à identifier des dysfonctionnements ou des gens à blâmer.
Les buts d’une analyse de risques sont de :
- donner confiance au Chef de Projet que toutes les contingences ont été considérées
- aider les équipes de travail à se concentrer sur les questions clés
- atténuer l’impact potentiel de certains risques
- aider à se préparer à l’inattendu
- améliorer le contrôle sur le cycle de vie de développement et augmenter la capacité à atteindre les objectifs du projet
Une méthode commune consiste en sessions de brainstorming, qui permettent d’établir une liste de risques. Chaque risque a un responsable assigné, qui aura la responsabilité d’aider à analyser le risque, généralement l’expert en la matière. Rappelons-nous maintenant un principe fondamental de l’analyse de risques : « Aucune idée n’est trop stupide pour être mentionnée ». C’est pourquoi les petits risques et les risques très importants seront listés côte à côte. Puis chaque risque fait l’objet d’une analyse détaillée, qui permettra de déterminer la valeur d’un certain nombre d’attributs. En particulier, les risques sont classifiés par catégorie.
Les catégories suivantes peuvent être considérées pour les projets de Développement Logiciel :
- Exigences
- Analyse et Conception
- Codage
- Test
- Déploiement
- Formation et Documentation
- Maintenance et Support
- Général
Chaque risque se voit aussi allouer une valeur d’importance. Le calcul de l’importance est réalisé en utilisant une matrice Probabilité-Impact. Dans l’exemple suivant, la matrice donne plus d’importance à l’impact qu’à la probabilité :
| Probabilité \ Gravité | Faible | Moyenne | Elevée |
| Faible | 1 | 3 | 5 |
| Moyenne | 2 | 6 | 8 |
| Elevée | 4 | 7 | 9 |
en relation avec le coût, la qualité et la planification, afin de prendre en compte les impératifs du projet.
Une analyse de risques permettra de mettre en évidence un certain nombre de solutions susceptibles d’atténuer les risques. Les solutions se traduiront en actions. Certaines de ces actions devront être entreprises rapidement, afin de prévenir l’apparition de risques. Ce sont des actions préventives. Certaines dépendront du déclenchement du risque. Ce sont des actions curatives. Chaque action se voit aussi allouer une valeur d’importance, qui est calculée avec l’importance des risques qu’elle atténue.
Les risques peuvent par la suite être gérés en utilisant un document de type Plan de Gestion des Risques, ou un document de type suivi de projet, tel qu’une Évaluation de Statut.
La source d’information devrait aussi être documentée, comme contexte pour l’analyse de risques. Par exemple, lister les sessions de brainstorming qui ont eu lieu et les participants.
Lors de la documentation des résultats de l’analyse de risques, il est recommandé de fournir d’abord le catalogue de risques comme résumé, trié par importance. Puis décrire les risques en détail par catégorie. Les attributs suivants doivent être documentés pour chaque risque :
- Description – de quoi il s’agit
- Indicateur – comment nous le découvrons
- Impact (partie source, partie impactée, probabilité, gravité d’impact sur le coût, la qualité et la planification)
- Solutions possibles – faisant référence aux actions
La répartition des risques peut être documentée en utilisant des graphiques comme par exemple :
- Répartition de gravité pour la planification, la qualité et/ou le coût
- Répartition des risques par catégorie (nombre de risques et % d’importance)
- Répartition de contrôle des risques (risques par personne, équipe, groupe et/ou organisation)
Les actions proposées sont listées avec une référence, une description, un mécanisme d’entreprise et les risques associés (qui sont atténués par l’action).
En conclusion, la plupart des actions proposées devraient être préventives et donc entreprises dès que possible, car un principe fondamental de l’analyse de risques consiste à anticiper les problèmes. En effet l’analyse de risques n’est pas supposée fournir des solutions aux problèmes existants, car c’est considéré comme étant trop tard. Il est recommandé d’entreprendre une analyse de processus, selon la méthodologie RUP par exemple, afin de décrire les actions en détail et de les ancrer dans une méthodologie bien connue.
Finalement l’analyse de risques identifie les Nouveaux risques. La gestion des risques consiste à faire passer les risques de Nouveau à Ouvert quand ils sont déclenchés, et à les faire passer d’Ouvert à Fermé quand ils ont été traités.
Les problèmes existants, au moment de l’analyse de risques, ne sont pas identifiés comme risques, puisqu’aucune probabilité ne peut être associée, mais ils peuvent être gérés comme risques ouverts pendant la gestion des risques.