Dans ce billet je vais décrire comment la gestion des risques s’intègre bien avec l’agilité.

La gestion des risques

Un risque est la possibilité qu’un événement ait un impact positif ou négatif sur notre avenir. Gérer cette probabilité et son impact par des mesures permet de mieux faire face à des imprévus nuisant à notre projet ou de mieux profiter d’opportunités qui se présenteraient à nous.

La gestion des risques peut vous être imposée par des organismes externes à votre organisation ou vous pourriez décider sans pressions externes que ce serait une bonne idée de prévoir les « au cas où… »

L’agilité et la planification en gestion de risques

Plusieurs experts en agilité sont allergiques à la planification à moyen et long terme. Faire de la gestion des risques implique que l’on regarde le futur probable et que l’on investit dans des moyens pour palier à de possibles événements. Ne retrouve-t-on pas là une contradiction?

Repartons de la base philosophique de cette allergie à la planification. Elle provient d’un passé où des responsables de projets, pour respecter le budget et l’échéancier allaient tout faire pour éviter qu’une demande de changement ne bouleverse leur planification.

En agilité, on aime le changement pour mieux répondre aux besoins du client. On le voit arriver d’une manière positive mais, cela n’empêche pas d’essayer d’éviter qu’il génère des impacts négatifs à notre capacité à livrer de la valeur d’affaire. C’est là que la gestion des risques prend toute sa valeur!

D’une manière très concrète, voici un exemple vécu :

Une équipe de développement logiciel réalise que les demandes de changements sur leurs livrables sont trop fréquentes. Même s’ils font souvent des livraisons, les demandes de changement sont toujours là. Cette situation a un impact négatif sur leur capacité à livrer une solution complète et harmonisée à un rythme soutenu. Ils décident donc d’améliorer leur manière de définir les requis.

Ils ont réalisé qu’ils investissaient souvent du temps dans de la définition de requis qui n’allait jamais servir. Ils ont donc choisi de faire une définition sommaire pour remplir le backlog et si un item était choisi pour un sprint, ils préciseraient avec plus de détails les requis de l’item avant même de commencer le travail.

On a donc une équipe qui, pour gérer le risque des demandes de changements trop fréquentes, prend la mesure de travailler en amont pour réduire la probabilité d’une demande de changement en utilisant comme mesure de mitigation une meilleure définition des requis. De plus, ils veulent éviter le risque d’investir là où ce ne serait pas nécessaire, donc, ils intègrent dans leur processus deux étapes de définition des requis.

Ça semble évident n’est-ce pas? Oui, déjà les équipes agiles font de la gestion des risques.

Documenter notre gestion des risques

Gestion des risques est souvent associé à documentation volumineuse. En agilité, un des principes est de documenter seulement si cela provoque une valeur d’affaire. Tous ceux qui ont fait de la gestion des risques ont vu ce phénomène : On commence avec de bonnes intentions, on documente une première version puis, cela devient moins important et la gestion des risques devient la priorité numéro 13.

L’élément de documentation en gestion des risques qui est le plus important est le rendez-vous programmé à intervalle régulier pour revoir nos risques identifiés et vérifier si d’autres risques émergent. À cette rencontre, la question est simple : « Qu’est-ce qui nous a fait du mal (ou du bien) depuis la dernière rencontre et qu’est-ce qui pourrait bien nous arriver d’ici notre prochaine rencontre? »

Eh oui, ça ressemble à une rencontre de rétrospective…

Pour ce qui est de la quantité de documentation, ça dépend toujours de notre contexte. Je me suis déjà trouvé dans des milieux réglementés par la FDA américaine et là, il fallait très bien documenter notre gestion des risques. Il y a eu, aussi, de petits projets à livrer en trois mois avec une équipe de 5 personnes. On se doute bien que dans ce cas la documentation écrite était minimale. Pour un projet de plusieurs millions qui s’étend sur plusieurs années et avec un très gros impact politique, la documentation nous permettra probablement de mieux partager nos informations en gestion de risques et, aussi, d’éviter d’échapper des éléments importants.

Faut que ça fasse mal et qu’on le voit!

Pour que la gestion des risques prenne toute sa valeur, il faut être capable de prendre conscience qu’on en fait toujours et relever des exemples qui nous font mal (ou du bien). Il y a toujours des situations où l’on peut démontrer que si l’on avait prévu un peu plus en avance des moyens d’évitement (ou d’accroissement), ça aurait fait moins mal (ou plus de bien). Il faut donc rendre notre gestion des risques bien visible.

Vous faites tous des copies de sécurité! Voilà, on n’ira pas plus loin dans cet exemple.

Qui en est responsable?

La gestion des risques doit se définir à tous les niveaux : de l’équipe jusqu’à la haute direction. L’équipe peut dire à la haute direction : « Nous pouvons pousser la solution chez le client et si ça foire, on a la possibilité de reculer sans avoir fait de dommages ».

La haute direction peut aussi dire à l’équipe : « Le changement de réglementation prévu pour juillet nous amène une opportunité extraordinaire, nous avons donc décidé d’investir dans ce projet »

Si vous avez des SCRUM masters dans vos équipes, vous avez de grands gestionnaires de risques. En effet leur mission est d’enlever ou d’atténuer les bloquants et d’aider l’équipe à profiter des opportunités qui se présentent à elle. Je les imagine très bien en train d’animer une session de gestion des risques avec leur équipe.

KANBAN et gestion des risques?

KANBAN est une approche orientée événement tout comme la gestion des risques. Le flux rapide et les petites listes d’éléments à gérer aident à avoir une gestion des imprévus efficace. Si un problème arrive et qu’il y a peu de travail en cour, cela aura moins d’impact et probablement que des ressources seront plus facilement disponibles pour le gérer.

En KANBAN on évite de faire des estimations pour le futur, il faudra donc éviter d’investir dans de la gestion de risque basée sur des estimation d’efforts.

Là où ça devient intéressant c’est lorsqu’on utilise le principe de prendre nos décisions le plus tard possible. Pour la gestion des risques ça signifie de n’investir que le stricte nécessaire tant que l‘événement ne s’est pas produit et ça j’aime beaucoup ça. Ne créons pas de surprotection contre les risques.

Il y aurait beaucoup à dire sur le sujet mais je vais laisser le plaisir aux experts en Kanban le développer. Pour en savoir plus, vous pourriez consulter : Risk Management in Kanban

Conclusion

On a bien vu que ce n’est pas nécessaire d’être un expert en gestion de risque pour en faire. On en fait tous les jours. Le fait d’investir dans un processus de gestion des risques n’est surtout pas anti-agile car il permet de mieux nous préparer à créer de la valeur d’affaire pour notre client.

En fait, il permet d’aborder avec le sourire les inévitables changements.

Si vous avez des commentaires, n’hésitez pas à m’en faire part car ce texte se veut agile; soit en constante recherche d’amélioration.