Méthodes existantes de gestion des risques

La figure 2 présente la démarche de gestion des risques telle que décrite par le guide ISO, que nous avons adaptée sous forme de diagramme d‟activités UML. La première étape, la « définition de l‟utilisation prévue et du mauvais usage raisonnablement prévisible » inclut également la définition des groupes d‟utilisateurs probables, ce qui est mentionné dans la norme sans apparaître dans le diagramme. Les étapes suivantes concernent l‟identification des phénomènes qui pourraient mener à des risques, et cela en tenant compte de toutes les conditions d‟utilisation des produits, services ou procédés. Par la suite, ces risques peuvent être analysés et évalués, suite à quoi une décision doit être prise à savoir si un risque tolérable est obtenu. Si ce n‟est pas le cas, une étape de réduction du risque doit être entreprise et le processus doit recommencer au complet. Si un risque tolérable est obtenu, celui-ci est ensuite partagé entre les parties impliquées, soit les fournisseurs d‟un bien ou service et les utilisateurs, ce que (Bédard, 1986) désignait comme absorption du risque résiduel par les parties. Selon Bédard (1986), cette absorption sera répartie entre les parties en fonction des lois et règlements locaux, et peut mener à une absorption totale pour le fournisseur, une absorption totale par l‟utilisateur, ou une absorption partielle pour chacun.

Figure 2 : Gestion des risques adaptée du Guide ISO/CEI 51

Malgré que ce guide présente des principes de gestion des risques intéressants, il ne prévoit pas de mesure de documentation ni de suivi des risques après que ceux-ci aient été identifiés (Levesque, 2008). Par contre, les méthodes de gestion du risque proposées dans le domaine de la gestion de projets incluent généralement une telle étape, c‟est pourquoi une méthode provenant du Project

Management Institute est présentée à la Figure 3. Celle-ci illustre les étapes de documentation et de

suivi qui peuvent être primordiales suite à l‟identification d‟un risque. Les notions d‟évaluation et de réduction de risque, qui ont été présentées très brièvement jusqu‟à maintenant, seront aussi explicitées.

Figure 3 : Méthode de gestion des risques dans le domaine de la gestion de projets

Les premières étapes sont très semblables à celles qui ont été présentées dans le guide ISO/CEI, c‟est-à-dire une étape de planification, puis une étape d‟identification. On retrouve plusieurs rétroactions dans cette figure, particulièrement en ce qui concerne la réponse aux risques. En gestion de projets, une démarche de gestion des risques doit être flexible étant donné que de nouveaux risques peuvent survenir en cours de route, ou que la nature des risques peut évoluer. Les deux étapes sur lesquelles portent principalement les travaux de ce mémoire sont l‟identification des risques par l‟utilisateur d‟un portail ainsi que la réponse associée à ces risques.

L‟identification des risques est une étape très importante d‟un processus de gestion des risques. En effet, il est impossible de gérer un risque s‟il n‟est pas identifié, à moins de contracter une assurance. Même si les étapes de qualification ou de quantification des risques succèdent généralement à l‟étape d‟identification, il est possible d‟associer une réponse à un risque dès son identification. Dans une démarche de gestion de projets traditionnelle, cette activité est effectuée de façon itérative tout au long du projet lorsque de nouveaux risques apparaissent.

Certaines méthodes de gestion des risques dans le domaine de la gestion de projets ne distinguent pas les étapes de l‟analyse qualitative de l‟analyse quantitative des risques, par exemple Kerzner (2009), qui propose plutôt une seule étape d‟analyse du risque. Dans le domaine de la gestion de projets, l‟analyse qualitative implique d‟utiliser une échelle de risques avec une matrice d‟analyse afin de combiner la probabilité d‟occurrence et la gravité du risque. Cette matrice sera présentée dans la section suivante, qui montre des applications de la gestion des risques en géomatique. Les méthodes d‟analyse quantitative, de leur côté, reposent sur des matrices de coût, des arbres de décision ou une simulation de Monte-Carlo.

Afin de s‟assurer que l‟évaluation des risques est faite correctement et que la réponse planifiée est adéquate, il est important de documenter les risques, ce qui inclut les causes du risque, sa description ainsi que les conséquences possibles de ce risque, tel que le propose (Levesque, 2008). Cette étape de documentation est également importante pour le suivi historique des risques. En effet, lors d‟un nouveau projet, il peut être avisé de consulter la documentation de projets similaires afin de connaître les risques qui avaient été identifiés dans des projets antérieurs afin de faciliter l‟identification des risques. Cela peut également s‟apparenter à l‟acquisition d‟un jeu de données ; en effet, un utilisateur qui n‟en est pas à sa première acquisition peut se baser sur les risques qu‟il avait identifiés auparavant.

Dans le domaine de la gestion de projets, l‟objectif de l‟étape de réponse aux risques est de déterminer quelles sont les actions qui vont permettre au projet de bien se réaliser, tout en tenant compte des contraintes en place. Cela implique de déterminer quelles sont les ressources impliquées pour gérer le risque, le délai de réponse ainsi que les coûts qui y sont reliés. Il faut également s‟assurer que la stratégie de réponse retenue ne crée pas de nouveaux risques reliés au projet, risques qui devront également être gérés. Traditionnellement, dans cette étape, on retrouve quatre stratégies de gestion du risque.

Évitement : Comme son nom l‟indique, cette stratégie implique d‟éviter le risque, c‟est-à-dire de s‟assurer que ce risque n‟aura aucun effet sur le déroulement du projet. Cela peut aussi impliquer de laisser tomber le projet si les conséquences anticipées du risque sont trop grandes.

Transfert : Cette stratégie implique de faire reposer le risque sur les épaules d‟une tierce partie plus apte à en assumer les conséquences. Par exemple, l‟acquisition d‟une assurance est une stratégie de transfert de risque.

Contrôle : Le contrôle, ou « mitigation » en anglais, est la stratégie de gestion du risque la plus répandue. Il s‟agit d‟identifier les actions qui vont permettre de diminuer la probabilité d‟occurrence de ce risque ou d‟en minimiser les impacts. Plusieurs stratégies de contrôle des risques reliés à l‟utilisation de données géospatiales seront présentées dans le quatrième chapitre de ce mémoire. Indifférence : Lorsque les stratégies précédemment mentionnées ne sont pas applicables, il arrive que la solution retenue soit d‟ignorer le risque, c‟est-à-dire de n‟entreprendre aucune action visant à minimiser ses conséquences et d‟agir uniquement si le risque se présente vraiment. Cette stratégie est souvent utilisée par les utilisateurs de données géospatiales étant donné qu‟ils n‟ont pas vraiment le choix d‟utiliser les données qui se présentent à eux.

Parmi ces quatre stratégies, celles de transfert et de contrôle permettent plus de variété dans les actions spécifiques utilisées pour les mettre en œuvre. En effet, en ce qui concerne l‟utilisation d‟un jeu de données géospatiales, la stratégie d‟évitement consiste simplement à ne pas utiliser les données pour l‟usage envisagé, tandis que pour la stratégie d‟indifférence, les données sont utilisées peu importe les risques associés. La stratégie de contrôle est la seule pour laquelle il a été possible d‟identifier des actions spécifiques de gestion de projet qui sont propres au domaine géospatial et non pas seulement des actions générales de gestion de projet (Gervais et al., 2012).