Gérer les risques

Les risques impliquent que les résultats réels peuvent varier, parfois considérablement, par rapport aux résultats attendus. La probabilité de cette variation et le niveau de variation entre les résultats réels et les résultats attendus sont inclus dans le terme « risque ». Lorsque vous gérez les risques, vous réduisez la variation de façon stratégique entre le résultat souhaité et le résultat réel.

La capacité à identifier, classifier, analyser et gérer les risques est une fonctionnalité organisationnelle requise pour accomplir une évaluation SCAMPI (méthode d'évaluation CMMI standard pour l'amélioration des processus) de niveau 3. Pour plus d'informations concernant CMMI, consultez Informations générales sur CMMI.

La gestion de ces risques événementiels apporte une contribution significative à l'objectif global de gestion des risques au niveau du projet, du portefeuille et de l'organisation. Une bonne gestion des risques événementiels contribue à un résultat satisfaisant pour toutes les parties prenantes et qui dévie peu par rapport au résultat attendu initialement. Elle contribue à un travail serein et sans surprises.

Définir des risques

Le fait de réfléchir aux risques de cette manière est parfois appelé modèle de risque événementiel. Cela implique qu'une liste de risques est une liste d'événements futurs potentiels. Chaque risque décrit un événement qui peut se produire dans le futur. Il peut inclure des informations à propos de la probabilité de survenue de l'événement. Il doit comporter une description de l'impact d'un tel événement sur le plan de projet. Il peut également spécifier une description des moyens permettant de réduire la probabilité de l'événement et des façons d'atténuer son impact. Il peut également indiquer des suggestions quant à la récupération après un événement.

Pour chaque risque identifié, créez un élément de travail Risque dans le projet d'équipe.

Élément de travail Risque

Le domaine de processus de gestion des risques (RSKM) du CMMI se concentre sur la gestion de ces risques événementiels. MSF for CMMI Process Improvement et Visual Studio Team Foundation Server facilitent ce travail en fournissant le type d'élément de travail Risque. Grâce au type d'élément de travail Risque, vous pouvez définir une liste de risques et en effectuer le suivi. Il fournit des champs pour décrire le risque et la probabilité qu'il survienne. Il fournit également des champs pour les actions qui peuvent être entreprises pour réduire la probabilité de l'événement, atténuer son impact et implémenter des plans d'urgence pour la récupération après apparition du risque.

Les risques initiaux du projet doivent être identifiés au cours de la planification du projet. La liste des risques doit être à nouveau révisée pendant la planification des itérations au début de chaque itération de projet.

Le formulaire d'élément de travail d'un risque stocke des données dans les champs présentés dans l'illustration suivante :

Choisir les actions à entreprendre

Une fois que vous avez créé une liste de risques et que ceux-ci ont été suffisamment analysés, vous devez décider des éventuelles actions qui seront entreprises pour gérer ces risques. Existe-t-il des actions susceptibles de limiter la probabilité de survenue des risques que vous souhaitez entreprendre maintenant ou décrire dans un plan d'itération ? Existe-t-il des actions susceptibles d'atténuer l'impact de survenue des risques que vous souhaitez entreprendre maintenant ou décrire dans un plan d'itération ? La mise en œuvre d'actions pour réduire ou atténuer les risques coûte cher en temps et en ressources. Vous devez faire un choix entre cette mise en œuvre et l'utilisation des ressources et du temps disponible pour faire avancer le travail et transformer le projet en logiciel fonctionnel. Documentez les action de réduction et d'atténuation des risques que vous prévoyez dans l'onglet Atténuation du risque.

Le profil de risque global du projet doit être étudié lorsque vous décidez quand agir pour réduire la probabilité ou atténuer l'impact des risques. Si le profil de risque indique « toute perte de vie est inacceptable », tout risque susceptible de provoquer une perte de vie doit être géré, et des actions de réduction et d'atténuation des risques doivent être planifiées et entreprises.

Vous devez vous assurer que les risques sont gérés conformément aux contraintes de gouvernance du projet et dans le respect de la nécessité d'accomplir un travail à valeur ajoutée dans le cadre du temps et du budget impartis.

Si un risque est sélectionné afin de réduire la probabilité de sa survenue ou d'atténuer son impact, planifiez cette activité en la divisant en éléments de travail Tâche et liez chacun de ces éléments à un élément de travail Risque.

Surveiller les risques

Les risques d'un projet doivent être régulièrement surveillés.

Utilisez la requête Risques pour surveiller les risques. Analysez chaque risque actif de la liste, et déterminez si la probabilité de survenue du risque a augmenté, si l'impact potentiel a changé et si tous les événements déclencheurs d'atténuation se sont produits. Si les informations capturées pour un risque ont changé, mettez à jour l'élément de travail. Déterminez également si une action supplémentaire doit être entreprise pour réduire le risque ou atténuer son impact.

L'état de risque actuel du projet doit être communiqué. Les rapports doivent inclure des informations concernant les éventuels risques découverts récemment, les éventuelles actions de limitation ou d'atténuation en cours, et les éventuels changements d'état susceptibles de modifier l'évaluation antérieure du risque.

Créer des plans d'urgence

Pour les risques pour lesquels une action de récupération a été définie, un plan doit être créé pour implémenter cette action en cas de survenue de l'événement. Par exemple, s'il existe un risque qu'un serveur échoue et que l'action consiste à emprunter du matériel auprès d'un autre service, vous devez avoir un plan prévoyant cette action en cas d'échec du serveur. Le fait de créer des plans à l'avance réduit la difficulté liée à la coordination en cas de survenue de l'événement. Une organisation de maturité supérieure avec une importante capacité de gestion des risques crée des plans d'urgence et sait comment les activer sans générer d'impact significatif sur les autres activités du projet. Les organisations de maturité inférieure connaissent panique et chaos lors des tentatives de récupération suite à des événements inattendus. Une organisation qui souhaite une évaluation SCAMPI de niveau 3 doit avoir documenté la preuve indiquant que des plans d'urgence ont été créés, et le cas échéant, mis en œuvre.

Divisez le plan d'urgence en une série de tâches ou d'actions à effectuer. Estimez chaque tâche. Créez une planification et une liste recommandée de personnes assignées. Décrivez toutes les ressources requises pour exécuter le plan d'urgence.

Ajoutez le plan d'urgence à l'élément de travail Risque sous l'onglet Plan d'urgence ou ajoutez le plan en tant que pièce jointe.