Une gestion performante du risque permet aux Directions Informatiques de prendre l'avantage sur l'adversité

Dr. Bill Curtis, Chief Process Officer, Borland Software Corporation

Repenser la gestion du risque

Le risque est un puissant facteur de motivation dans la mesure oû une gestion défaillante peut avoir de redoutables conséquences tant personnelles que professionnelles : pertes de clientèle, de partenaires, d’opportunités de développement commercial ou de chiffre d’affaires ; lourdes amendes pénales, etc.

Dans ce contexte, de nombreuses entreprises, et plus spécifiquement leurs équipes informatiques, mettent en oeuvre des stratégies sophistiquées de contrôle et de réduction des risques afin de mieux les comprendre et les gérer – qu’ils proviennent de décisions technologiques, d'impératifs de conformité ou de changements de stratégie métier.

La gestion du risque n’est certes pas une discipline émergeante ; les entreprises doivent cependant lui donner une nouvelle dimension pour en faire un véritable facteur de performance. Une gestion stratégique des risques permet en effet de les contrebalancer — en les répartissant sur un portefeuille de projets et d'initiatives — et de prendre plus sereinement ceux qui sont incontournables pour créer de nouveaux produits, services, « business models » ou modes de concurrence sur le marché.

La direction informatique occupe une position privilégiée pour favoriser cette approche organisationnelle et stratégique du risque et l'automatiser dans toute l'entreprise.

Les directions informatiques ont en effet bien compris qu’il ne suffisait plus d’aligner les systèmes d’information avec les besoins métiers mais aussi de développer les performances et d'ouvrir de nouvelles options. Une vision progressiste de la gestion du risque — qui équilibre judicieusement stabilité et prise de risque — permet d'en limiter l'impact et d'entreprendre des projets plus ambitieux sans accroître l’exposition générale. Cette capacité à identifier et comprendre les risques à éviter à tout prix, et ceux qui méritent d’être courus, aide les départements informatiques à atteindre de nouveaux niveaux d’excellence opérationnelle et de compétitivité.

Première étape – Conduire l’évaluation du risque projet

Pour s'engager dans la voie d'une gestion proactive du risque, les entreprises peuvent s'inspirer des six étapes suivantes pour commencer à comprendre leurs besoins informationnels critiques et à identifier leurs sources.

1.Identifier les risques
Pour découvrir leurs causes sources et classer les facteurs de risque dans des catégories de haut niveau aidant à leur identification. Ces données permettent d’établir une base de connaissances, de collecter les résultats d’anciens projets et d’identifier et répertorier les risques dès le début de la planification des nouveaux projets. Pour améliorer les prises de décisions, il est possible d’augmenter la granularité des informations sur les principales catégories de risque jusqu’à leur cause source (la catégorie « Manque de ressources » peut par exemple comporter une sous-catégorie « Absence de recrutements »).
2. Développer une base de connaissances
Pour développer un référentiel dynamique contenant des informations sur les risques et les résultats des stratégies de contrôle. Une plate-forme intégrée de livraison des logiciels permet de suivre et d'administrer les activités, données et actifs de chaque fonction tout au long des différentes phases, et par conséquent, d’identifier les risques spécifiques à chaque projet. Ce système évite également de « réinventer » les facteurs de risque à chaque nouveau projet et constitue un précieux outil décisionnel pour les chefs de projets.
3. Conduire une analyse de risque
Des métriques de risque peuvent être utilisées pour quantifier ceux qui s’appliquent à un projet donné. Par exemple, la probabilité de chaque risque peut être exprimée sur une échelle de 0 à 1 et son impact quantifié dans une unité monétaire (perte potentielle en cas de survenance) ; de sorte que la multiplication de ces deux grandeurs quantifie l’impact potentiel du risque et la charge qu’il fait peser sur le projet. La somme de ces risques individuels fournit un indicateur de l’exposition totale du projet. Cette analyse peut donner lieu à la réalisation d’un tableau des 10 principaux risques – où le niveau d’exposition à chaque risque détermine son ordre de priorité de réduction et de contrôle.
4. Développer un plan de réduction d’exposition
Le plan de réduction des risques doit prévoir des actions de secours – si la première approche se révélait inefficace – et indiquer le propriétaire et la durée de chaque activité de réduction. Des métriques peuvent également être associées à chaque risque pour suivre ses évolutions tout au long du projet de développement (temps passé, budget engagé, nombre de défauts, etc.). Par exemple, dans le cas d’un risque associé à l’adoption d’une nouvelle technologie, il pourra s’agit du nombre de défauts liés à cette technologie découverts lors de la conception ou des revues de code ; des valeurs de seuil peuvent être associées à ces critères quantitatifs pour déclencher l’exécution d’un plan de secours.
5. Contrôler les risques
En suivant les métriques de risque, les chefs de projet peuvent périodiquement les reprioriser et déterminer quand activer des plans de réduction ou de secours. La liste des risques du projet doit être un composant standard des revues de progression hiérarchiques. Les membres des équipes doivent être encouragés à identifier les nouveaux risques qui pourraient se développer au cours de l'exécution du projet pour mieux les contrôler. Les plates-formes intégrées de livraison des logiciels, telles que Borland Core SDP, simplifient grandement les processus de gestion du risque grâce à des fonctions avancées de collecte, d’analyse et de communication.
6. Apprendre des risques
L’ajout de nouveaux risques au référentiel central et le suivi des résultats de différentes stratégies de réduction permettent d’acquérir une grande expertise des méthodes les plus efficaces en fonction des circonstances. En démarrant ainsi au niveau projet, les Directions informatiques peuvent développer une fonctionnalité applicable à la gestion du risque de l’ensemble du portefeuille. Cette approche de gestion d’un profil de risque équilibré sur l’ensemble du portefeuille permet également d’améliorer la contribution des technologies de l’information à la rentabilité générale de l’entreprise et de protéger leur capacité d’innovation pour capitaliser sur toute nouvelle opportunité.

À propos de l’auteur

Dr. Bill Curtis, Chief Process Officer de Borland Software, est coauteur du modèle de maturité CMM (Capability Maturity Model) for Software qui est la méthodologie leader d’amélioration des processus des organisations de développement logiciel. Il est également coauteur de quatre livres, éditorialiste de plusieurs revues et a publié plus de 150 articles sur le développement et l’administration des logiciels.