Les matrices conséquences-probabilités pour décider de l

20e Congrès de maîtrise des risques et de sûreté de fonctionnement - Saint-Malo 11-13 octobre 2016

Les matrices conséquences-probabilités pour décider de l’acceptabilité du risque : un paradoxe économique

Consequences-probabilities matrices to decide on the acceptability of risk: an economic

paradox Francis CLAUDE Sébastien NOUET Ecole Spéciale des Travaux Publics du Bâtiment et de l’Industrie (ESTP)

Ecole Spéciale des Travaux Publics du Bâtiment et de l’Industrie (ESTP)

Institut de Recherche en Constructibilité (IRC). Institut de Recherche en Constructibilité (IRC). 28 avenue du Président Wilson 28 avenue du Président Wilson 94 234 Cachan Cedex. 94 234 Cachan Cedex. 01 78 12 30 14 02 78 12 30 14 [email protected] [email protected]

Résumé Dans l’industrie, d’une méthode initialement utilisée par l’armée, elle fait désormais partie de la boite à outils des expertises QHSE, maîtrise des risques, sûreté de fonctionnement et sert aussi à cartographier et contrôler les risques de l’entreprise par le contrôle interne et l’audit externe. L’outil est aussi très répandu en management de projets compte tenu du nombre de référentiels qui en font la promotion. A ce titre, la méthode s’intègre comme le sous-processus analyse des risques du processus d’ensemble de management du projet. Du point de vue de l’ingénierie dirigée par les modèles, la méthode « matrice conséquence - probabilité » permet de réaliser l’exercice qui consiste à décrire à travers un modèle (la matrice), des concepts (conséquence ou gravité ou impacts ; probabilité ou fréquence ; niveau de risque ; catégories de risques), un langage (pour ordonner les conséquences et les probabilités afin de spécifier des niveaux de risque et des catégories de risques), à la fois le problème posé : comment décider de l’acceptabilité des risques (le besoin) et sa solution : générer un niveau de risque et/ou un classement des risques acceptables après traitement du risque (la satisfaction des exigences par la réduction des risques à un niveau acceptable et donc accepté par l’organisation). L’ISO 31010 classe la technique aux étapes du processus d’appréciation du risque comme parfaitement applicable pour l’identification et l’analyse et applicable pour l’évaluation du risque. La méthode sert aussi d’évaluation de la criticité pour l’AMDEC, l’HAZOP et la MBF. Ainsi après avoir discuté de la méthode, de ses extensions et de ses fondements, les critiques et une expérimentation plaident pour son obsolescence ainsi que pour la criticité comme mesure du risque. Une perspective nouvelle de tarification des projets qui intègre le risque est présentée. Cet article se positionne sur la nécessaire réévaluation de la méthode pour décider de l’acceptabilité des risques encourus dans le cadre des activités et sur le besoin de processus structurés, de méthodologies et de mesures de risque pour contrôler la performance d’ensemble de l’organisation corrigée du risque. Summary In industry, originally reserved for the reliability engineers, this method is now part of the toolbox of QHSE expertise, risk mastering, dependability and also used to map and master the risks of the corporate companies by the internal control and external audit. The tool is also widely considered for project management given the amount of normative references that promote it. As such, the method is integrated as the risk analysis sub-process of the project management global process. From the perspective of the model-driven engineering, the "consequence - probability matrix" method allows – through a model (the matrix) - the description of concepts (consequence or severity or impacts; probability or frequency, level of risk; risk categories), a language (to rank consequences and probabilities in order to specify levels of risk and risk categories) and simultaneously the considered problem - How to decide the acceptability of risks? (the need) - and the solution - generate a level of risk and/or a ranking of acceptable risk after a risk treatment (meeting the requirements by reducing risk to an acceptable level and therefore accepted by the organization). The ISO 31010 normative reference consider the technique as a part of the risk appreciation process and perfectly applicable for the identification and analysis and applicable for the assessment of risk. The method is also used for assessing criticality for FMEA and HAZOP. Thus, after discussing the method, its extensions and its foundations, critics and experimentation call for its obsolescence as well as criticity as a risk measure. A new perspective of projects pricing that integrates the risk is presented. This article is positioned on the necessary revaluation of the methodology to determine the acceptability of risks involved in the activities and the need for structured processes, methodologies and risk measures to master the aggregates risk-adjusted organization’s overall performance.

Communication 4B /2 page 1/10

mailto:[email protected]

mailto:[email protected]


Tout d’abord l’article décrit la méthode n°29 de l’ISO 31010, ses variantes, ses contributions techniques principales, ses promoteurs, ses fondements et les évolutions dans ses applications. Puis la critique sur la base de rares publications identifiées auxquelles nous ajoutons de nouveaux éléments sur son aptitude à permettre de décider de l’acceptabilité des risques. Enfin les résultats d’une expérimentation sur un projet de construction en cours et compare les résultats avec ceux d’une matrice de risques. Puis en considérant un projet comme un bien économique contingent, un bien soumis à l’aléatoire, une perspective nouvelle de tarification des projets qui intègre le risque est présentée, à laquelle nous ajoutons une variable pour le flux de contrôle. Cette communication intervient dans le cadre du projet du Fond Unique Interministériel n°19 soutenu par le Conseil Régional d’Ile-de-France et la Banque Publique d’investissement RiD Project Management (Risk intelligence & Decisions for Complex Project Management), dont l’objectif est de réconcilier les visions économiques et financières (incertaines) des projets complexes avec les attentes comptables.

1 Une technique pour résoudre le problème complexe de l’acceptabilité des risques 1.1 La méthode matrice conséquence – probabilités n°29 de l’ISO 31010 Les trois normes de la famille 31000 de l’ISO définissent les principes et les lignes directrices avec l’ISO 31000 : 2009, 31 techniques d’évaluation des risques avec l’ISO/CEI 30010 : 2009 et enfin le vocabulaire du management des risques avec l’ISO GUIDE 73. La description de l’ISO 31010 de la méthode n°29 reflète les utilisations en pratique. Avant de présenter les 31 techniques, la norme décrit les concepts d’évaluation des risques ainsi que le processus d’appréciation des risques comme celui de l’identification, de l’analyse et de l’évaluation du risque qui dépend du contexte mais également des méthodes utilisées aux différentes étapes. L’annexe A évalue la méthode matrice conséquence – probabilité (C-P) comme une technique parfaitement applicable pour l’identification, les trois dimensions de l’analyse (conséquence, probabilité, niveau de risque) et applicable pour l’évaluation des risques. Dans une seconde table, en termes d’attributs d’un choix d’outils selon la pertinence des facteurs influents (ressources et aptitudes, nature et degré d’incertitude, complexité) et la livraison d’un résultat quantitatif, la méthode n°29 n’est pas classée. Toutefois l’Analyse des Modes de Défaillance, de leurs Effets et de leur Criticité, l’Etude de danger et d’exploitabilité (HAzard and OPerability study )et la Maintenance Basée sur la Fiabilité y figurent comme analyses fonctionnelles et une matrice C-P est employée respectivement pour l’analyse des défaillances potentielles, de la criticité et l’évaluation de la criticité des écarts ainsi que pour la définition des priorités. Pour l’ISO, la matrice C-P est un moyen de combiner des classements qualitatifs ou semi-quantitatifs de conséquences et de probabilités pour générer un niveau de risque ou un classement des risques et il est « important d’utiliser la probabilité correspondant à la conséquence sélectionnée et non à la probabilité dans son ensemble ». Son objectif premier est de comparer et de classer les risques ou d’obtenir une liste ordonnée des risques aux niveaux d’importance définis.. Son utilisation, appropriée aux circonstances, permet alors de définir des priorités de traitement des risques en fonction des niveaux de risque. Son rôle est aussi de contribuer à la communication et à la concertation sur les risques au sein du projet ou de l’organisation et doit permettre une cohérence avec la volonté de prise de risque de l’organisation. Le processus fixe en entrée des échelles adaptées au contexte pour les conséquences (le caractère C) et les probabilités (le caractère P) formant les colonnes et/ou les rangs d’une table à double entrée. Plusieurs types de conséquences peuvent être prises en compte (financière, sécurité, environnement…). Elle est présentée comme un outil d’identification des risques et de priorisation pour des analyses de risques complémentaires. Au stade de l’analyse, une matrice de risque, combinant la fréquence de la défaillance et les conséquences, permet d’établir des catégories qualitatives de niveau de risque généralement distinguées par des couleurs. Il est préconisé de mettre l’accent sur les résultats crédibles les plus graves et considéré comme pertinent de renseigner les problèmes habituels et les catastrophes comme des risques distincts. Une fois l’objectif réalisé, le processus d’appréciation du risque est achevé. Les avantages sont pour l’ISO la simplicité et la rapidité de classement des risques. Les inconvénients sont la difficulté à l’appliquer à toute une organisation, une utilisation subjective, une impossibilité d’agrégation des risques d’une catégorie en un risque appartenant à une catégorie supérieure, de comparer le niveau de risque de différentes catégories de conséquences et de sous estimer le niveau de risque réel si de nombreux scenarii tiennent compte de faibles probabilités. Toutefois, si le niveau de risque défini par la matrice est associé à une règle de décision on détermine si un risque est acceptable ou inacceptable et nous pouvons décider de l’acceptabilité des risques. Pour le traitement des risques, par réduction de l’exposition au risque à un niveau acceptable il peut se réaliser directement à partir de la matrice. Si les deux caractères 𝐶𝐶 et 𝑃𝑃 sont quantitatifs la criticité du risque peut être calculée. Un graphe [Mortureux, 2001] indique alors les deux composantes du risque et des courbes d’iso-risques identifient chaque risque selon leur niveau de criticité. Le plan est partagé en trois zones deux à deux disjointes, la courbe fixant la limite d’acceptation des risques et les deux demi-plans des risques acceptables et inacceptables et pour décider entre l’acceptable et l’inacceptable : la criticité. Pour [Magne et al. 2006], en termes mathématiques, la criticité est une « vraie mesure » du risque. La criticité 𝐶𝐶𝑅𝑅 du risque 𝑅𝑅 se mesure comme le produit de sa probabilité 𝑝𝑝 et de sa gravité 𝑐𝑐 ou 𝐶𝐶𝑅𝑅𝑅𝑅 par la somme des produits des probabilités et des gravités du risque 𝑖𝑖 :

{1} 𝐶𝐶𝑅𝑅 = 𝑝𝑝. 𝑐𝑐 ou 𝐶𝐶𝑅𝑅𝑅𝑅 = ∑𝑝𝑝𝑅𝑅 . 𝑐𝑐𝑅𝑅

1.2 Les variantes identifiées et les contributions principales à d’autres méthodes de l’ISO 31010 Le point commun à tous les utilisateurs de matrices C-P est de considérer l’ensemble fini Ω des résultats possibles d’une expérience aléatoire et 𝐶𝐶 et 𝑃𝑃 comme les deux composantes du risque. Les deux caractères 𝐶𝐶 et 𝑃𝑃 sont des applications définies sur Ω et à valeurs dans ℝ (caractère quantitatif) ou dans un ensemble E s’ils définissent des situations qualitatives (caractère qualitatif). Si 𝑐𝑐1, 𝑐𝑐2,…𝑐𝑐𝑅𝑅 , … , 𝑐𝑐𝑝𝑝 et 𝑝𝑝1,,𝑝𝑝2, … ,𝑝𝑝𝑗𝑗 , … , 𝑝𝑝𝑞𝑞 sont respectivement les modalités, les différentes valeurs possibles des deux caractères 𝐶𝐶 et 𝑃𝑃, la matrice donne, pour chaque couple �𝑐𝑐𝑅𝑅 ,𝑝𝑝𝑗𝑗�, les résultats possibles présentant simultanément les modalités 𝑐𝑐𝑅𝑅 et 𝑝𝑝𝑗𝑗 dans une même cellule. En sortie, les niveaux de risque attribués aux cellules de la matrice dépendent des différentes modalités des caractères 𝐶𝐶 et 𝑃𝑃, ils regroupent plusieurs conséquences jugées équivalentes en terme de niveau de risque et des catégories de risque vont regrouper plusieurs niveaux de risque généralement identifiées par des couleurs différentes. Le projet Germa [Germa, 2012] identifie quatre niveaux de métrique possibles : 1. Langage parlé. 2. Langage parlé et règles logiques (à laquelle nous ajoutons le niveau 2+). 3. Echelle d’intervalle et 4. Mesure de distance. Les caractères exclusivement qualitatifs du niveau 1 servent à décrire les conséquences et les occurrences des risques avec l’usage du langage courant dont les modalités pour la « gravité » d’un risque, sont par exemple, « faible », « substantielle », « moyenne », « importante », « très importante » et les occurrences des divers risques seront qualitativement exprimées avec des modalités comme « très rare », « peu fréquent », « très fréquent », etc. ». Trois ou quatre catégories de risques normalisent l’appréciation du risque (par exemple vert – faible, bleu – moyen, jaune – fort et rouge – critique). Le niveau 2 est celui de l’usage du langage courant auquel s’ajoute des règles logiques, les caractères sont alors semi-quantitatifs et permettent d’appréhender de façon un peu plus précise les risques (« très rare »:f < 0,15 ; « très grave » :Décès > 1). Les règles logiques spécifient l’échelle des conséquences et celle des probabilités. La métrique de niveau 2 de Germa (Table 1) est celle retenue par l’IPRA [Walewski, 2005], un projet de recherche aux Etats-Unis dont l’objectif était d’identifier les relations entre les risques et les performances des projets de construction à l’international. L’IPRA a établi les matrices C-P sur la base des revues des équipes de recherche et de l’évaluation de la littérature et des pratiques dans l’industrie américaine et pas exclusivement celle de la construction pour déterminer et affecter une probabilité. Enfin nous pouvons ajouter une troisième variante, le niveau 2+, qui est celui de l’usage du langage courant auquel s’ajoute des règles logiques ainsi que les objectifs du projet (délais de réalisation, coût, performance d’usage, sécurité des personnes et image de marque par exemple). Les risques 𝑅𝑅 renseignés dans la Table 1 sont ceux utilisés dans notre expérimentation (Cf. 2.2. Table 3).



Gra

vité

> 300 K€ D R5 R1 Critique < 300 K€ C R6 < 200 K€ B R10 Moyen R3 Fort < 100 K€ A Faible R4.R7.R9 R2.R8

1 2 3 4 < 0,15 0,15 < f < 0,45 0,45 < f < 0,85 0,85 < f < 1 Probabilité

Table 1 - Matrice conséquence – probabilité et métrique de niveau 2 Germa Les contributions techniques majeures retenues des matrices C-P à d’autres méthodes de l’ISO sont : l’AMDEC, l’HAZOP et la MBF. Développée en 1950, l’AMDEC (Failure Mode and Effects Analysis) s’utilise aujourd’hui pour l’ISO pour les composants ou les produits (AMDE Conception ou Produit), pour les processus de fabrication (AMDE Système), pour les logiciels (AMDE Logiciels), pour les services (AMDE Services), pour une Organisation où la méthode s’applique aux différents niveaux du processus d’affaires, du premier niveau qui englobe le système de gestion, le système d’information, le système production, le système personnel, le système marketing et le système finance, jusqu’au dernier niveau comme l’organisation d’une tâche de travail. L’AMDE Sécurité permet d’assurer la sécurité des opérateurs dans les procédés. Le passage de l’AMDE à l’AMDEC intervient lorsque chacun des modes de défaillance sont identifiés en fonction de leur criticité et dont le calcul peut prendre des formes différentes que l’équation (1). Pour l’ISO, la pertinence des facteurs influents dans le choix de l’AMDEC est moyen sur tous les attributs et permet un résultat quantitatif. A la différence de l’AMDEC, les analystes du risque tiennent compte avec l’HAZOP des résultats et des écarts indésirables par rapport aux résultats et conditions prévues puis reviennent aux causes et modes de défaillance possibles, tandis que l’AMDEC commence par identifier les modes de défaillance. En termes d’application elle a tout d’abord été développée pour analyser les systèmes de production chimique mais elle s’est depuis développée à d’autres types de systèmes et d’opérations complexes. Elle est aussi utilisée pour les études de danger de sites industriels. La pertinence des facteurs influents dans le choix de la méthode est de moyen à élevée. La MBF fournit un processus décisionnel permettant d’identifier les exigences de maintenance compte tenu des équipements et en fonction des conséquences (sécurité, fonctionnelles et économiques) des défaillances et du mécanisme de dégradation qui en est responsable. L’ISO la considère parfaitement applicable à toutes les étapes de l’appréciation du risque, la pertinence des trois facteurs explicatifs est considérée comme moyenne et la méthode permet un résultat quantitatif. Les matrices C-P sont utilisées dans ces méthodes pour déterminer les niveaux de risques, la criticité et les degrés de priorité des risques.

1.3 Les promoteurs, les fondements et les évolutions des applications de la méthode Les promoteurs de la méthode sont tout d’abord ses propres contributions techniques mais principalement les différentes formes de l’AMDEC dans les industries : spatiale, armement, mécanique, électronique, électrotechnique, automobile, nucléaire, aéronautique, chimie, informatique puis dans les services. Dans l’industrie, très souvent, l’AMDEC est la méthode-solution pour apprécier les risques Le CEI (Commission Electrotechnique International) par sa production de normes est un promoteur important. Il existe aussi de nombreux référentiels en matière de management de projets et de management des risques dans les projets qui prescrivent la méthode des matrices C-P selon les métriques 1, 2 ou 2+ : PMBOK (Project Management Body of Knowledge) du Project Management Institute, RAMP (Risk Analysis and Management for Projects) ICE (lnstitution of Civil Engineers), PRAM (Project Risk Analysis and Management – de l’Association for Project Management). PMI (Project Management Institute). A ce titre, compte tenu de l’hypothèse de sa finalité, à savoir de résoudre le problème complexe de l’acceptabilité des risques, la méthode s’insère, faute d’alternative, comme le processus d’appréciation des risques du projet. Pour la santé et la sécurité au travail (SST) les matrices C-P reprennent dans les référentiels nationaux les principes directeurs concernant les systèmes de gestion de la sécurité et de la santé au travail du Bureau International du Travail où le risque est défini comme combinaison de la probabilité de la manifestation d'un événement dangereux et de la gravité de la lésion ou de l'atteinte à la santé causée à des personnes par cet événement. Le Document Unique repose en France sur une matrice C-P. Depuis 2013 un comité de projet élabore la norme ISO 45001 à partir du référentiel OHSAS pour faciliter son intégration aux autres systèmes de management dont celui de la qualité et du management environnemental. Cependant les promoteurs de la méthode dépassent les contributions techniques, le management de projets ou celui de la SST car la méthode fait partie désormais de la boite à outils des expertises Qualité, sûreté de fonctionnement, maîtrise des risques, QHSE mais aussi du contrôle interne et de l’audit externe. Son développement, ses variantes, ses contributions techniques ainsi que l’élargissement de ses applications militaires aux activités civiles, industrielles puis de services, sont réalisés grâce à deux systèmes de management intégré : la qualité puis celui de la sécurité adapté aux produits et aux projets en tant que systèmes complexes. Pour le management intégré des risques de l’entreprise, la méthode s’introduit avec la transformation des audits ponctuels en véritable processus de contrôle interne au début des années 90. Ils ne cessent de progresser dans les organisations depuis les scandales Enron (2001) et Worldcom (2002) notamment par la mise en conformité aux lois Sarbannes-Oxley aux Etats-Unis en 2002 et de Sécurité Financière en France en 2003. Nous retenons quatre étapes dans l’évolution de la gestion de la qualité. La qualité émerge par le contrôle qualité des produits manufacturés avec les travaux de W.A. Schewart (physicien et statisticien) de Bell Telephone Laboratories pour améliorer la qualité des produits par les statistiques qui crée un département qualité en 1924. En 1928, J.M Juran donne un premier cours de Contrôle Qualité [Juran, Godfrey, 1951] et compte tenu de la forte augmentation de la production pendant la seconde guerre mondiale, un programme de formation à la maîtrise de la qualité est établi par W.E Deming, statisticien, et J.M Juran dans les usines d’armement US. En 1940, le Département de la Défense rend public les STD-MIL sur la qualité (1930 - 1945). Après la guerre, le Pr. Deming [Deming, 1982] au Japon popularise le principe de PDCA (Plan-Do-Check-Act) de Schewart pour structurer les étapes et améliorer la gestion de qualité. Des outils et indicateurs de gestion se développent (diagramme de Pareto pour la classification des défauts…) ainsi que les audits. Du contrôle qualité, le concept de qualité totale émerge ainsi que celui de l’assurance qualité. Le Pr Ishikawa K., ingénieur chimiste japonais, théorise la gestion de la qualité et conçoit le diagramme des causes et effets (méthode n°17 de l’ISO 31010) et crée l’Union des Scientifiques et Ingénieurs Japonais. Le système Qualité compose alors avec le contrôle qualité, la qualité totale, la prévention, l’implication du personnel et les documents écrits (traçabilité). La qualité tend vers la confiance apportée dans la garantie de la qualité du produit final. Après les activités militaires, les industries spatiales, nucléaires et aéronautiques sont pionnières dans le domaine. Sur une première base de travail qui se concrétise à l’après-guerre, c’est en 1961 que Lawrence Delos Miles [Miles, 1989] formalise l’approche fonctionnelle de l’analyse de la valeur afin d’identifier les coûts selon les besoins et prendre des décisions afin d’éliminer les coûts inutiles. Dans l’entreprise l’AMDEC est initialement utilisée par Mc Donnell Douglas en 1966 avec comme finalité de dresser la liste des composants d’un produit (analyse fonctionnelle) et à cumuler des informations passées sur les modes de défaillance, leur fréquence et leurs conséquences (1950 - 1960). La qualité totale avec comme sous jacent le zéro défaut se généralise dans les années 70 aux USA et en Europe. En 1974, Electricité de France impose à ses fournisseurs une organisation de la qualité pour la construction des centrales nucléaires. Du produit, la qualité intègre maintenant les processus et les applications sont industrielles et commerciales. Le développement des échanges favorisent sont extension. La maîtrise de la qualité, l’assurance qualité, la planification de la qualité avec son principe d’amélioration continue se généralise et devient transversal à l’organisation. Le management QHSE intégré se développe dans les sites industriels (1970 - 1990). La version de la norme ISO 9001 : 2015 adopte une structure-cadre et accorde une plus grande importance au risque (1990 à nos jours). Par la Qualité, les matrices C-P ont pour sujet d’étude les défauts, les défaillances, les erreurs, les incidents, les accidents du travail, les anomalies mais aussi les risques, les risques projet et les risques d’entreprise qu’il faut réduire. Le management intégré de la sécurité adapté aux systèmes complexes qui traite de l’acceptabilité des risques en intégrant une vue probabiliste



d’ensemble débute avec les travaux de F.R. Farmer [Farmer, 1967] qui marque, avec un diagramme conséquences – probabilités, intégrant un critère quantitatif de sûreté, une évolution majeure de l’approche probabiliste du risque dans le domaine du nucléaire civil et une innovation dans l’approche des systèmes techniques par la gestion de leur sécurité comme méthode décisionnelle dans l’acceptabilité des techniques à risque. Pour les produits et les projets complexes (comme fonction de production des produits) un système formel est présenté par l’Armée de l’Air Américaine avec les normes MIL-STD progressivement étendues au Département de la Défense. De 1969 à 1984, la norme évolue de système de management de l’ingénierie aux exigences d’un système de gestion de la sécurité et la prévention des accidents est considérée comme une préoccupation majeure tout au long du cycle de vie d’un système et en restera le fondement dans ses évolutions. La méthode avec la métrique de niveau 1 apparaît dans la norme MIL-STD-882B en 1984 pour évaluer les risques de danger et une autre application des matrices est proposée permettant d’associer les tâches par type de tâches (management, ingénierie) en relation avec les phases du programme. La métrique de niveau 2+ apparaît dans la norme MIL-STD-882C (1993) et l’Annexe A fournit trois exemples de matrices. Les deux premières concernent l’évaluation du risque de danger avec un index permettant de déterminer les catégories de risques et des critères suggérés pour décider de l’acceptabilité des risques en relation avec le processus décisionnel du projet. L’échelle des fréquences considère les modalités suivantes : « Fréquent » : 𝑋𝑋 > 10−1, « Probable : 10−1 > 𝑋𝑋 >10−2, « Occasionnel » : 10−2 > 𝑋𝑋 > 10−3, « Eloigné » : 10−3 > 𝑋𝑋 > 106 et « Improbable » 10−6 > 𝑋𝑋. Le troisième exemple traite des risques résiduels selon trois niveaux et renvoie pour acceptation à des fonctions de management identifiées. Les normes ECSS (European Cooperation for Space Standardization) sont le modèle normatif professionnel actualisé des MIL-STD en termes d’intégration de la qualité, de l’ingénierie (dont la sûreté) et du management (dont celui des risques) pour produire des produits complexes dans le cadre de projets complexes. S’agissant d’accidents ou de menaces il est logique que la stratégie soit de les réduire à un seuil acceptable concernant le projet ou les(s) produit(s) du projet. Le périmètre des MIL-STD a concerné les contrats avec les sous-traitants qui devaient contenir des analyses de fiabilité. Avec plusieurs secteurs industriels concernés en France cela a influencé la création du métier de fiabiliste pour lesquels le produit devait embarquer avec lui son potentiel de fiabilité. Pour partager leurs expériences, les premiers fiabilistes, véritables pionniers, adhérent à l'AFCIQ (Association Française pour le Contrôle Industriel de la Qualité) et regroupe les partisans d’une approche technique de la qualité (une orientation d’avantage vers les ressources humaines était proposée par l’Association Française des CERcles de Qualité) et formalisent la sûreté de fonctionnement dans les années 80/90 au sein de l’Institut pour la Sûreté de Fonctionnement. La Sdf se définit comme l'aptitude d'un système à remplir une ou plusieurs fonctions requises dans des conditions données ; elle englobe principalement quatre composantes : la fiabilité, la maintenabilité, la disponibilité et la sécurité. L’Institut de Maîtrise des Risques lui succède grâce au rapprochement avec l’Institut Européen des Cyndiniques. La SdF tend vers l’intégration des deux significations de la Qualité de Juran, pour les techniques complexes à risques. D’une part, répondre aux exigences des clients, les caractéristiques (ou fonctions) du produit pour satisfaire leurs besoins, grâce à des fonctions objectifs et des fonctions contraintes (coûts, marge…). Cette signification de la Qualité désigne les caractéristiques des produits qui répondent aux besoins des clients (fitness for use) contribuant ainsi à les satisfaire : une plus grande qualité coûte plus cher. D’autre part, réduire les éléments comme les défauts, les défaillances, les erreurs... Cette seconde signification de la Qualité désigne l’absence de déficiences (anomalies), d’erreurs qui nécessitent une reprise ou qui entrainent des pannes, une insatisfaction du client, des réclamations des clients, etc…à cet égard la Qualité est orienté vers les coûts : une plus grande qualité coûte moins cher. L’expertise de la Maîtrise des Risques se situe dans le paradigme de la sécurité des systèmes et donc de celui de la qualité dont une interprétation des travaux de Farmer est le fondement conceptuel et les matrices C-P un outil de référence. L’Analyse Globale des Risques [Desroches et al., 2016] dépasse les aspects liés au produit et propose une méthode structurée avec l’objectif d’identifier, d’évaluer, de hiérarchiser et de maîtriser les risques structurels, fonctionnels et conjoncturels consécutifs à l’exposition d’un système à un ensemble de dangers tout au long de sa mission ou de son cycle de vie. Toutefois un autre processus d’intégration pour les risques d’entreprise se développe. Les référentiels COSO I1 (1992) et COSO 2013, pour tenir compte de nouveaux risques et de la complexité, sont propres au contrôle interne. Dans le cadre du management des risques de l’entreprise (ERM) avec COSO II (2004) le contrôle interne, le management des risques et l’audit externe doivent désormais apporter l’assurance à un conseil d’administration que les processus de gestion du risque fonctionnent correctement, que les risques sont bien gérés et que les principaux risques sont maintenus à un niveau acceptable. Il s’agit de s’assurer que les expositions de l’entreprise dans le cadre des activités sont contrôlées et d’apporter des réponses efficaces aux risques et aux opportunités associées renforçant ainsi la capacité de création de valeur de l’organisation. En France, c’est majoritairement le contrôle interne qui assure le leadership dans le pilotage de la cartographie des risques, la mise en place et le suivi des plans d’actions préventifs et correctifs, jusqu’à la préparation de la certification des comptes. Avec l’audit interne, ces expertises sont friandes de matrices C-P pour outiller leurs activités. Pourtant, en France, avec le cadre de référence sur les dispositifs de gestion des risques et de contrôle interne de l’Autorité des Marchés Financiers (2010) dont le principal objet est d’améliorer la gestion des entreprises et qui demande aux sociétés de mettre l’accent sur les éléments et informations susceptibles d’avoir un impact significatif sur leur patrimoine ou leurs résultats, avec une version adaptée au petites et moyennes valeurs, un questionnement pourrait avoir lieu comme le fait le Lambda Mu 20 sur l’actualité de la boite à outils. En synthèse de cette première partie on constate que le substrat technique de la méthode est identique depuis 70 ans. Or, il apparaît clairement que la méthode est utilisée : 1. Pour contribuer à gérer des objets différents (produits, produits complexes, projets, projets complexe, entreprise). 2. Des activités différentes (militaires, civiles). 3. Des organisations de missions et de tailles différentes (industrielles, services). 4. Avec des critères d’analyse de la performance différents (défaut, défaillances, erreurs, accidents…). 5. Par des expertises différentes (qualité, SST, management environnemental, fiabilité, sûreté de fonctionnement, maîtrise des risques, contrôle interne, audit interne.). De plus, le concept de création de valeur a évolué. Il ressort une grande confusion dans la lisibilité possible d’une mesure de la performance d’ensemble de l’organisation corrigée du risque et l’universalité de ses utilisations, soulève l’interrogation, illustre l’absence de prise en compte réelle de la complexité dans les modélisations et entraîne, du seul point de vue du management des risques, des critiques ainsi que sur la criticité comme mesure du risque.

2 Obsolescence des matrices C-P et première adaptation à l’économie de l’incertain pour un constructeur Cette seconde partie débute par les rares critiques identifiées des matrices C-P comme méthode performante pour le management des risques auxquelles nous ajoutons de nouveaux éléments sur l’aptitude de la méthode à permettre in fine de décider de l’acceptabilité des risques ainsi que sur la criticité à mesurer les risques. Une expérimentation sur un cas réel justifie des critiques exprimées et nous proposons sur la base d’un modèle théorique d’intégrer l’incertitude dans le résultat d’un constructeur et le financement des risques de façon explicite dans le prix des projets. 2.1 Les critiques L.A Cox [Cox, 2008] identifie le peu de recherches qui valide la performance de la méthode pour améliorer les décisions en matière de management des risques. Son article met en relief quatre points principaux 1) une faible résolution qui restitue dans un certain nombre de cas des niveaux de risque identiques à des risques très différents sur un plan quantitatif. 2) des erreurs car la matrice peut attribuer des scores qualitatifs plus élevés à des risques quantitativement plus faibles. 3) une allocation des ressources sous-optimale car le traitement du risque ne peut être basé sur les

1 Committee Of Sponsoring Organizations of the Treadway Commission est une initiative privée aux Etats-Unis destinée à élaborer des cadres de référence et des orientations pour le contrôle interne, la lutte contre la fraude (COSO I et 2013) et l’Enterprise Risk Management (COSO II).



catégories fournies par la matrice. 4) des entrées et sorties ambigües car elles requièrent des interprétations subjectives et des utilisateurs peuvent obtenir des classement différents sur la base de la même quantification des risques. Dans cet article, la méthode est par conséquent principalement critiquées : i) vis-à-vis de la qualité des niveaux de risque, risque par risque pouvant conduire à des mauvaises décisions, surtout lorsque les niveaux de risque calculés sont basés sur des modalités qualitatives et non quantitatives. ii) au sujet de la variabilité du risque global, obtenu en fonction de la segmentation des risques choisi par l’industriel, particulièrement si figurent des risques extrêmes dans la matrice, c'est-à-dire des risques à faibles fréquences et forts couts de sinistres. iii) un facteur d’incertitude dans la comparaison des risques, lorsqu’il s’agit de risques à forte variance (et inobservée) avec un coût alors nécessairement considéré en espérance. Cf. 3.1 pour des illustrations à partir de notre cas réel des points 1, 2 et 4 ii. Pour le management des risques dans l’industrie l’article de [Beaudoin, Munier, 2009] ne se limite pas à la critique des matrices C-P. Les auteurs donnent les mérites et les limites de l’AMDEC, de l’HAZOP, des arbres de défaillances et du concept de défense en profondeur mais insiste sur le fait que ces méthodes ne parviennent pas à remplir 1) les objectifs fondamentaux du management des risques, 2) à intégrer une vue probabiliste du monde, 3) à obtenir des évaluations correctes du risque en jeu 4) à une communication et une concertation efficace sur les risques et 5) à permettre de réaliser des arbitrages de politiques de gestion des risques efficaces. L’article se place aussi du pont de vue de l’analyse économique et principalement de l’aide à la décision en situation de risque et d’incertitude. La théorie des perspectives (Prospect Theory), dont [Wakker, 2010] en donne un inventaire rigoureux et opératoire, regroupe aujourd’hui des travaux d’économistes et plus récemment (les années 80) ceux de psychologues et permet d’aborder de façon cohérente les deux typologies de l’incertitude : celle où nous disposons de probabilités statistiques sur les événements futurs incertains (le risque) et celle où nous n’en disposons pas, l’ambigüité. Dans ce cadre, le problème complexe à résoudre pour les auteurs est celui du management des risques dans les organisations. Pour ce faire, les auteurs proposent d’utiliser une méthode adaptée pour résoudre des problèmes complexes qui est celle de Simon [Lemoigne,1999]. Deux parties de l’article traitent de la décision multicritère en situation de risque (permettant de déterminer des solutions de traitement unique, métrique de niveau 3, plus adaptée que celle de niveau 2+) et d’ambiguïté. Dans un troisième article [Dehouck, Munier, 2011] le traitement de la gestion des risques par les normes de la qualité est remis en cause, notamment en ce qui concerne l’utilisation des matrices C-P, où ils confirment les arguments de [Cox, 2008]. Pour les auteurs la gestion des risques diffère de la gestion de la qualité car ne partageant pas les mêmes concepts de base. Les auteurs rappellent des résultats empiriques importants sur le risque et la prise de risque et notamment la prise en compte des biais cognitifs. Ils montrent en quoi les principes de management des risques ne se rencontrent pas avec les méthodes couramment en pratique dont les matrices C-P et insiste sur l’amalgame entre management de la qualité et management des risques car ces deux expertises diffèrent parce qu’elles ne partagent pas les mêmes concepts de base, diagnostics, méthodes et solutions. La première critique est rigoureuse sur un plan technique. La seconde sous-tend le principe qu’en situation d’incertitude les notions de valeur, d’optimisation et d’efficience doivent être reconsidérées. Enfin, la troisième alerte sur la tentation des organisateurs de système de management, dont l’ISO fait partie, d’englober le management des risques dans le management de la qualité or l’ISO 9001:2015 s’y est engagée. Les matrices C-P ont la prétention de satisfaire les étapes du processus d’appréciation du risque et de résoudre, en toutes circonstances, le problème complexe de l’acceptabilité des risques en cohérence avec la volonté de prise de risque de l’organisation. Nous considérons ce point de vue comme très optimiste. Pour nos critiques nous retiendrons pour cette discussion que les matrices C-P ne précisent jamais l’échelle de temps à considérer, ne permettent pas d’identifier les risques par rapport à des aléas mais surtout ne donnent aucune indication sur la variabilité des résultats risque par risque et au niveau d’ensemble ainsi que sur leurs corrélations avant et après traitement. Dès lors, comment agréger les risques de plusieurs matrices pour bénéficier d’une vision d’ensemble ? De plus, sont introduits dans les matrices uniquement les résultats d’événements défavorables (accidents, incidents, pannes, défaillances …). Deux états 𝒜𝒜 et ℬ sont considérés pour évaluer une perspective risquée 𝑅𝑅 : 1) 𝑅𝑅 prend la valeur 𝑐𝑐𝒜𝒜, non nulle, dans l’état 𝒜𝒜 (survenance) qui survient avec une probabilité ℙ(𝒜𝒜) non nulle ou 2) 𝑅𝑅 prend la valeur 𝑐𝑐ℬ, nulle, dans l’état ℬ (pas de survenance) qui survient avec une probabilité ℙ(ℬ) = 1 − ℙ(𝒜𝒜) non nulle. Exple : On considère le risque suivant : 1) perdre la conséquence 𝑐𝑐𝒜𝒜 = 100 dans l’état 𝒜𝒜 avec une probabilité ℙ(𝒜𝒜) de 0,7 ou 2) perdre la conséquence 𝑐𝑐ℬ = 0 dans l’état ℬ avec une probabilité ℙ(ℬ) de 0,3. Dans une matrice ce sera bien le couple (-100, 0,7) qui sera retenu et -100 qui sera enregistré en entrée dans une cellule compte tenu des modalités de 𝐶𝐶 et de 𝑃𝑃. Ainsi, le contexte ne tient pas compte des deux significations de la qualité de Juran, car les seules pertes sont retenues et la seule stratégie (apparemment logique) retenue en matière de traitement des risques est celle de la réduction des risques. L’organisation se prive alors d’une modélisation d’ensemble tenant compte des gains possibles ainsi que d’autres stratégies de traitement qui sont de transférer, de partager voire d’éviter le risque. Pour l’industrie la référence d’une « mesure de risque » obtenue par l’estimation de la probabilité de défaillance et l’évaluation des conséquences est [Farmer, 1967]. Pour le traitement des risques par réduction, agir sur l’axe « probabilités » revient à faire de la prévention (auto-protection) et agir sur l’axe « conséquences » revient à faire de la protection (auto-assurance), la référence Farmer est-elle justifiée ? Les points d’un diagramme C-P de Farmer (Fig. 1.a) sont bien des couples (𝑐𝑐, 𝑝𝑝) mais issus d’échelles différentes d’une matrice C-P car si l’axe des abscisses sont des conséquences de scénarios d’accidents en quantités de rejets d’iode 131 au sol, l’axe des ordonnées représente l’intervalle de temps moyen entre conséquences (la période de retour comme la probabilité statistique) rapporté en années de fonctionnement de réacteur et anticipant une croissance du parc. Le plan (Fig.1.b) est partagé en trois zones deux à deux disjointes, une droite fixant une limite possible d’acceptation des risques et les deux demi-plans des risques faibles et des risques élevés. Or, la pente de la droite à un coefficient de -1,5, pour imposer une réduction de trois ordres de grandeur la fréquence d'une conséquence dont la sévérité augmente de deux et détermine un critère quantitatif de sûreté en étant une borne supérieure de probabilité possibles pour les conséquences (inexistante dans une matrice). L’acceptabilité du risque entre les concepteurs, les évaluateurs et le public peut s’apprécier en établissant des parallèles à ce critère sur une représentation cumulative des fréquences qui n’existe pas avec une matrice C-P. L’arbitrage retenu est entre un Min (103, 103) et un Max où le nombre de cancer de la tyroïde est de 10 à 100 fois plus élevé et celui de décéder d’un accident 10 000 fois plus grand que ceux dûs à l’existence des réacteurs. La courbe (Fig.1.c) donne la fonction cumulative (dont les extrêmes) du risque accepté et détermine la fonction objectif pour une politique de sûreté à l’image d’une fonction de répartition ce qui n’est pas le cas avec une matrice C-P qui ne peut traiter des risques que localement et sans recherche d’optimum possible.

(a) (b) (c)

Figure 1 - Diagramme de Farmer de 1967



De plus, aujourd’hui, les diagrammes dits abusivement de Farmer représentent un risque par une courbe d’iso-risque (qui transforme une droite par abandon de l’échelle logarithmique) ou chaque point de la courbe est un couple (𝑐𝑐,𝑝𝑝) dont la valeur est 𝐶𝐶𝑅𝑅 = 𝑝𝑝. 𝑐𝑐 = 𝑐𝑐𝑐𝑐𝑐𝑐𝑐𝑐𝑐𝑐𝑐𝑐𝑐𝑐𝑐𝑐𝑐𝑐 : la criticité. La limite d’acceptation des risques actuelle 𝐶𝐶𝑅𝑅∗ n’est plus subséquente au principe de Farmer (qui sous-tend sa règle) selon lequel, plus les conséquences d’une défaillance sont importantes, plus sa probabilité doit être faible. Or, aujourd’hui, ce sont les « scores » 𝐶𝐶𝑅𝑅 qui pour être acceptés doivent être tels que 𝐶𝐶𝑅𝑅 ≤ 𝐶𝐶𝑅𝑅∗. Les organisations ne traitent pas le risque (−1000,70), ni sa conséquence (-100) ou sa probabilité (0,7) mais la criticité (-70) : une formule mathématique. Nous pouvons dès lors prévoir la volonté de prise de risque de toute organisation avant et après le traitement des risques. Pour l’ISO, l’attitude face au risque est l’approche d'un organisme pour apprécier un risque (effet de l’incertitude sur l’atteinte des objectifs) avant, éventuellement, de saisir ou préserver une opportunité ou de prendre ou rejeter un risque. On désigne par 𝑐𝑐 la fonction de score qui va caractériser l’attitude de l’entreprise face au risque pour observer comment elle corrige, comme Farmer, les probabilités en fonction de l’augmentation de la criticité cumulée. s(t) s’obtient en normalisant 𝑐𝑐, les criticités cumulées, sur l’intervalle [0,1] (Table. 2 avec les données d’entrées de la Table 3).

Table 2 - Criticité et fonction de score Figure 2 - Attitude face au risque et criticité comme critère de choix Avec la représentation (Fig. 2) l’organisation n’a ni appétence, ni aversion pour le risque, elle est neutre face au risque, elle accepte une variance infinie des risques dans ses choix et cela caractérise sa volonté de prise de risque. Avec la criticité, le nombre et la variance des risques ne concourent pas de acceptabilité des risques. Il n’y a pas de préférences marquées pour des pertes limitées car il faudrait pour cela spécifier une fonction pour les coûts faibles. Même si la criticité cumulée aura diminué après traitement du risque cette attitude restera identique. La criticité agit avec l’équation (1) comme « vrai critère de choix » entre perspectives risquées. En référence aux travaux de Piaget et Inhelder chez l’enfant [Wakker, 2010] identifie dans ce cas une extrême insensibilité aux différents niveaux d’incertitude car seuls trois niveaux sont distingués (certitude, incertitude, un niveau de probabilité). Ces éléments vont poser des problèmes en matière d’évaluation du risque comme nous allons l’aborder mais aussi dans l’évaluation des opportunités car elles se feront en horizon risk neutre laissant présager d’une propension (subjective) à prendre des risques en inadéquation avec la capacité (objective) de l’entreprise à les supporter car mal évalués. Ces résultats nous paraissent paradoxaux sur un plan économique pour une méthode censée résoudre le problème complexe de l’acceptabilité des risques et pour une mesure, la criticité, censée mesurer le risque. En résumé de nos critiques, une matrice C-P et une mesure de risque par la criticité ne riment pas très bien avec sûreté de fonctionnement et maîtrise des risques…dans un monde en mouvement. Pour reprendre Alfred Korzybski avec une conception de la cartographie des risques sous les fondements de la Qualité et de la non-acceptation de l’incertitude : « la carte n’est pas le territoire » des risques. 2.2 Expérimentation sur un cas réel et justification de critiques L’expérimentation est réalisée sur la base d’un projet de construction en cours. Une même matière première initiale, les couples (𝑐𝑐, 𝑝𝑝) habituels ainsi que le Max par type de risque (Table 3 gauche), permet de comparer les résultats issus d’une matrice C-P (Table 1) et les criticités (Table 2) et les nôtres. Par suite, nous considérons un projet de construction comme un bien économique contingent, un bien soumis à l’aléatoire, et un modèle théorique actuariel d’assurance dommage appliquée à la construction illustre une conception du pilotage du résultat d’un projet en fonction du profil de risque du projet possiblement en évolution tout au long du cycle de vie. Une variable pour le flux de contrôle (contrôle interne, audit externe) sur la variabilité du résultat attendu de la stratégie du projet est proposée. L’acceptabilité du risque est alors revue comme l’équilibre dynamique entre le financement des objectifs de la stratégie et celui des risques. Il devient dès lors explicite que la rentabilité du projet ne sera connue qu’une fois la totalité des flux financiers écoulés, ce qui peut pour un projet de construction intégrer dix ans (fin de la garantie décennale) et plusieurs décennies dans le cadre de contrats de conception, réalisation et maintenance. Une adaptation des industries non-financière au risque, par une inversion du cycle de production classique, permet d’envisager une adaptation à l’économie de l’incertain. Dans un premier temps, nous modélisons la survenance des sinistres sur un ensemble de projets en partant de l’hypothèse des deux composantes du risque fournies 𝐶𝐶 et 𝑃𝑃. Dans un second temps, pour bénéficier d’une appréciation d’ensemble, l’analyse prolonge en effectuant des simulations sur le portefeuille des 10 types de risques.

i Types de risques Nature Fréq.SC Coût KE

Max K€

Fréq.SP Fréq.SO

1 Interface grue à tour avec chantier voisin Travaux 30,00% 1 000 2 000 20,22% 8,31% 2 Peu de place pour les livraisons Travaux 50,00% 2 5 33,70% 13,85% 3 Pénalités pour la propreté de la voirie (boues) Travaux 50,00% 100 200 33,70% 13,85% 4 Réalisation de canalisations enterrées avec une pente de 1% Travaux 20,00% 40 60 13,48% 5,54% 5 Coffrage de grande hauteur Travaux 1,00% 1 000 1 500 0,67% 0,28% 6 Valider étude d'éclairement Etudes 50,00% 200 400 33,70% 13,85% 7 Positionnement des micro switch Etudes 30,00% 50 70 20,22% 8,31% 8 Garde corps Galva au lieu d'inox Nég. Client 80,00% 50 70 53,93% 22,16% 9 Traitement de la 5ème façade Nég. Client 40,00% 20 40 26,96% 11,08% 10 Modif. du mode de fondation liée aux découvertes sur chantier Travaux 10,00% 180 280 6,74% 2,77%

Probabilité (Absence de Sinistre par Projet) 0,52% 5% 34% Table 3 - Matière première – données initiales – Scénarios

Afin de modéliser la survenance des sinistres sur un ensemble de projets, la Table 3 (partie droite) permet tout d’abord de restituer deux autres scénarios. En effet, trois types de scénarios sont étudiés : le « Scénario constructeur » avec des fréquences de survenance type de risque par type de risque (Fréq. SC), le « Scénario pessimiste » (Fréq. SP) et le « Scénario optimiste » (Fréq. SO). Chacun des 10 types de risque est étiqueté. Par

Rang n° ci pi ci.pi

t = 𝐶𝐶𝑅𝑅 Cum. s(t) 0 0 0 0 0 0 0,00 1 2 2 000 0,1385 277 277 0,00 2 9 20 000 0,1108 2216 2 493 0,02 3 4 40 000 0,0554 2216 4 709 0,03 4 7 50 000 0,0831 2770 7 479 0,05 5 8 50 000 0,2216 4155 11 634 0,08 6 10 180 000 0,0277 4986 16 620 0,11 7 3 100 000 0,1385 11080 27 701 0,18 8 6 200 000 0,1385 13850 41 551 0,27 9 5 1 000 000 0,0028 27701 69 252 0,45 10 1 1 000 000 0,0831 83102 152 355 1,00



exemple le type de risque 1 est étiqueté « Interface grue à tour avec chantier voisin » dont l’aléa industriel associé désigne un sinistre et ses conséquences potentielles en relation directe avec cette étiquette. Les deux autres scénarios de l’étude correspondent à des fréquences qui ont été retraitées et dont les caractérisations sont les suivantes. Dans les colonnes Coût K€ et Max K€, sont exposées les conséquences en termes de coût, ceci avec des coûts vus en espérance. Les 180 projets représentent 180 risques dans la mutualité du type de risque « i », avec 𝑖𝑖 = {1,2 … ,10} soit au total 1.800 risques segmentés en 10 mutualités ou groupes. Le risque de survenance, est considéré par période de 18 mois (durée de vie du projet), ceci type de risque par type de risque. A l’aide de la liste des 10 fréquences du « Scénario constructeur », nous pouvons calculer la probabilité de non survenance de sinistre, sur l’ensemble des 10 risques, par projet et par période, égale au produit des 10 probabilités complémentaires, chacune étant égale à 1 moins la fréquence pour un type de risque fixé. Elle est égale à 0,0052 avec les fréquences du scénario constructeur ce qui signifie que sur 200 projets, il y aura statistiquement 1 seul projet sans sinistre, ceci avec les hypothèses retenues par le constructeur. Or, la probabilité de survenance par projet, très proche de 1, laisse entendre qu’il y à presque 100% de chance d’avoir au moins un sinistre par projet ce qui est très voire trop pessimiste. Ce résultat tient au fait que les probabilités présentes dans la quatrième colonne de la Table 3 sont vraisemblablement surestimées. D’un point de vue industriel cela s’explique par le fait que les intitulés de la seconde colonne correspondent à des actions dépendantes et non à des évènements indépendants. En effet, les aléas industriels associés aux différents types de risque sont d’intersection non vide. Les aléas associés aux types de risque 1 et 2 ne peuvent pas être disjoints. Par exemple : « peu de place pour les livraisons » désorganise le chantier et peut impliquer un risque d’accident importants lors des livraisons. Il en va de même pour les types de risque 1 et 5, en considérant une rupture de la charge de la grue suite à une interface avec une autre grue (type de risque 1) dont la chute est extrêmement dangereuse pour les ouvriers travaillant sur site (type de risque 5). C’est d’ailleurs un biais identifié par Germa que de surestimer les probabilités d’événements conjoints dans les projets de construction. Afin de réduire ces probabilités surestimés associées à chacun des types de risque, permettant ainsi de considérer des actions qui soient « devenues » alors des évènements indépendants nous faisons le choix d’utiliser comme variable de contrôle : la probabilité d’absence de sinistre qui désigne la probabilité que l’évènement sous forme de 10-uplets (pas de sinistre typé R1, …., pas de sinistre typé R10), soit réalisé au cours d’un projet de 18 mois. Cet évènement est l’évènement complémentaire défini par la survenance d’au moins 1 sinistre typé entre 1 et 10. Le choix du niveau de cette variable est défini de manière équivalente par rapport au choix du niveau de la valeur de normalisation des fréquences (VN). Cette valeur diminuera les fréquences du constructeur en les divisant de manière identique. Le choix du niveau de cette probabilité, ou de celui de VN qualifiera le nom du scénario : « Scénario optimiste » pour VN égale à 361% (avec une probabilité égale à 34%) et « Scénario pessimiste » pour VN égale à 148% (probabilité de 5%). De manière explicite les fréquences/probabilités du constructeur, sont divisées uniformément par trois différentes valeurs de normalisation, ce qui restitue trois listes de 10 probabilités, où chaque liste est associée à une seule VN. La première VN est égale à 100% ce qui caractérise le « Scénario constructeur », restituant ainsi une probabilité d’absence de sinistre égale à 0,5%. La seconde, est égale à la somme des fréquences de départs, soit 361%, ce qui caractérise le « Scénario optimiste » restituant ainsi une probabilité égale à 34%. La troisième, égale à 148% pour le « Scénario pessimiste » et restitue une probabilité de 5% : la probabilité d’absence de sinistre est une fonction croissante de la valeur de normalisation VN. Nous partons du « Scénario optimiste » en effectuant des simulations à la fois, sur la composante « Fréquence » par un processus de poisson, et sur celle du « Cout de sinistre », avec le choix de trois lois différentes (gamma, normale, lognormale) dont l’une est centrée et les deux autres décentrées. Le choix des lois n’est pas arbitraire car l’objectif était de respecter au plus juste la matière première communiquée. Le « Scénario optimiste » décrit des pertes estimées plus importantes que celles anticipées par le constructeur. Il n’est donc pas nécessaire d’étudier les autres scénarios moins favorables ou plus sévères pour démontrer la défaillance de la méthode d’appréciation des pertes par les matrices C-P. Dans l’étude les coûts de sinistres restitués par la seconde composante, n’ont pas été retraités car correspondent à des couts de sinistres observés. Nos simulations sur la seconde composante s’effectuent avec les deux conditions suivantes : (1) La moyenne empirique de la loi simulée pour le risque numéro « 𝑖𝑖 » coïncide approximativement (entre 5% et 10%) avec la moyenne théorique de ce risque « 𝑖𝑖 ». (2) Le quantile de cette loi dont le niveau est fixé et égal à la probabilité du risque « 𝑖𝑖 » doit coïncider approximativement (entre 5% et 10%) avec cette moyenne théorique. La première condition est imposée dans la modélisation, la seconde est satisfaite en faisant varier le coefficient de variation (CV) de la loi simulée égal au rapport entre l’écart-type empirique et la moyenne empirique. Il traduit la dispersion des valeurs simulées autour de la moyenne. Les CV obtenus par type de risque et pour chacune des trois lois, sont en moyenne égaux à 25% et compris entre 10% et 40% (voire 50%) dans notre étude (si 33% est dépassé ce qui correspond à une distribution de valeurs simulées dont l’ensemble n’est pas très homogène autour de la moyenne et qui s’observe en pratique). Nous présentons (Table 4) les simulations des coûts de sinistres simulés en fonction des trois lois de l’étude. Les minima présentés correspondent en général à des bornes inférieures, des bornes non atteintes lorsque le minimum associé au risque étudié est égal à 0 et à des bornes atteintes lorsque ce minimum est différent de 0. Les minima égaux à 0, ne peuvent être atteints car cela impliquerait l’existence de sinistres de valeur nulle qui seraient intégrés dans le calcul de la probabilité ce qui n’est pas le cas, ni dans nos simulations (modèle collectif), ni dans le tableau des données initiales. Les résultats sont comparés à ceux de la matrice C-P de la Table 1 et les couleurs des catégories de risque sont reportées.

1 003 878 2 014 99 037 39 893 992 957 200 127 49 815 49 984 20 059 179 824 Sinistre moyen 1 355 461 5 000 200 000 56 859 1 294 264 400 000 66 178 65 641 35 430 244 114 Sinistre Max 721 410 395 30 000 28 664 654 990 25 504 35 949 36 245 8 523 126 168 Sinistre Min Risque1 Risque2 Risque3 Risque4 Risque5 Risque6 Risque7 Risque8 Risque9 Risque10 GAMMA 995 970 1 993 100 186 39 968 997 498 199 418 49 854 50 142 20 120 179 783 Sinistre moyen

1 322 568 3 733 200 000 53 564 1 413 682 400 000 67 959 65 667 40 000 274 738 Sinistre Max 745 750 943 30 000 29 293 691 118 82 175 34 806 36 173 7 501 132 439 Sinistre Min Risque1 Risque2 Risque3 Risque4 Risque5 Risque6 Risque7 Risque8 Risque9 Risque10 LOGNORMALE 998 183 1 990 104 003 39 818 1 008 102 196 671 49 984 49 860 20 016 179 776 Sinistre moyen

1 312 617 5 000 200 000 52 893 1 289 117 400 000 65 460 65 554 33 360 250 269 Sinistre Max 682 617 0 30 000 28 098 702 474 0 34 497 34 641 7 314 131 321 Sinistre Min Risque1 Risque2 Risque3 Risque4 Risque5 Risque6 Risque7 Risque8 Risque9 Risque10 NORMALE

1 000 000 2 000 100 000 40 000 1 000 000 200 000 50 000 50 000 20 000 180 000 Conséquences 2 000 000 5 000 200 000 60 000 1 500 000 400 000 70 000 70 000 40 000 280 000 Max

0 0 30 000 0 0 0 0 0 0 0 Min Risque1 Risque2 Risque3 Risque4 Risque5 Risque6 Risque7 Risque8 Risque9 Risque10 Matière première Rouge Bleu Jaune Vert Rouge Jaune Vert Bleu Vert Bleu Catégorie

Table 4 - Résultat des simulations des 10 risques pour les trois lois et report des catégories de risque de la table 1 Comparons les résultats obtenus issus de la modélisation de survenance des sinistres avec la matrice C-P de la Table 1. Pour les catégories de risque on remarque que R2 (bleu-moyen) est toujours au moins 10 fois plus faible que les trois risques R4, R7, R9 pourtant dans la catégorie « vert-faible ». R4, R7, R8 pourraient être dans la même catégorie ce qui n’est pas le cas. Il y a un facteur 3,6 entre R10 et R8 et un facteur 90 entre R10 et R2 (bleu) pourtant dans la même catégorie. Pour les niveaux de risques, R2 et R8 sont de même niveau alors qu’il existe un facteur 25 sur les pertes. R4, R7 pourrait être considérés de même niveau mais le facteur est de 2 avec R9. Pour les pertes maximales, les risques 1 et 5 ressortent bien



comme les risques les plus importants (critique) avec la matrice. Toutefois le risque 5 obtient sur les trois lois le Max le plus élevé avec 1 413 682 et, avec un calcul de criticité (équation 1), le risque 5 est classé en septième position. Même si l’on tient compte des limites de la méthode pour l’ISO 31010, il n’y a pas de relation d’ordre décidée traduisant les préférences qualitatives au sein d’un niveau de risque, entre les niveaux de risques et entre les catégories de risques. On rappelle que l’objectif premier d’une matrice C-P est de comparer et de classer les risques ou d’obtenir une liste ordonnée des risques aux niveaux d’importance définis. De plus, le risque mesuré par la criticité, n’a pas ordonné correctement les risques en fonction de leur criticité réelle notamment le plus risqué classé en septième position sur 10. Certaines des remarques de Cox sont observables et les deux éléments caractérisent l’obsolescence de la méthode C-P et de la mesure de criticité comme mesure de risque nécessite leur réévaluation sinon comment justifier d’une « maîtrise des risques » ou d’une « sûreté de fonctionnement » avec une telle méthode et une telle mesure…de risque. Pour une appréciation, d’ensemble le choix de modélisation pour représenter le caractère aléatoire des risques est une convolution des risques par un modèle collectif. Nos deux types de simulations : « probabilité » et « coût de sinistre » sont convolés projet par projet. Sur certains projets aucun risque ne se déclare parmi les 10 types de risques et nous obtenons des simulations de coût de sinistres sur les 10 risques, projet par projet, en faisant varier le nombre de projets entre les bornes 180 et 4.469. La corrélation des types de risque est très faible au niveau du portefeuille et les résultats des pertes potentielles restituées sont présentés dans la Table 5 par : (1) la structure et cohérences des résultats car l’étude permet l’évaluation de pertes potentielles maximum associées à un niveau de risque (95% par exemple) pour les 𝑁𝑁 projets. La proportion des projets sans sinistre est de 35% dans nos trois cas simulés et la proportion théorique restituée par la matrice est de 34% (avec normalisation des probabilités). La moyenne empirique de la sinistralité associée à nos 4.469 projets est proche de 141.000 euros et on observe bien une convergence vers la moyenne théorique (avec normalisation des probabilités 152.355 euros - scénario optimiste). (2) la variance des pertes, indicateur de base de la variabilité des résultats autour de la moyenne non pris en compte avec une matrice C-P et avec la criticité. (3) Les pertes potentielles maximum du modèle selon deux mesures de risque. Dans l’industrie avec la criticité, la perte potentielle maximum pourrait être identifiée à la somme-produit sur les 10 risques, de la composante « probabilité » (non normalisée, Fréq. SC) avec celle du « coût de sinistre » : 550.000 euros. (i) la Value at Risk où 𝑉𝑉𝑐𝑐𝑅𝑅(𝑆𝑆,𝛼𝛼) désigne la valeur de la perte totale 𝑆𝑆 par projet de 18 mois, telle que la probabilité pour la variable « perte » d’être inférieure ou égale à cette valeur est égale à 𝛼𝛼. Pour les niveaux élevés ou supérieurs à 95% la perte encourue est approximativement égale à 1.000.000 d’euros ce qui contraste avec la perte calculée par la criticité comme mesure du risque (550K€). (ii). la TailVaR donne des informations à propos de ce qui se passe lorsque la VaR, au même niveau est dépassée. Si l’on cherche à s’intéresser de façon consistante à la fois à la probabilité de réalisation de la variable aléatoire et à sa sévérité c.-a-d. à préciser la dangerosité du risque compte tenu de la capacité objective de l’organisation à le supporter. Pour chaque cas de loi simulée nous avons recherché le niveau de perte potentielle maximum correspondant à 𝑉𝑉𝑐𝑐𝑅𝑅(550 𝐾𝐾€;𝛼𝛼) : 92,36%, 92,40% et 92,37%. Il est par deux fois supérieur au calcul de criticité obtenu avec les données du scénario constructeur (qui sont pourtant avec des fréquences surestimées). 𝔼𝔼(𝑆𝑆) = 𝑇𝑇𝑉𝑉𝑐𝑐𝑅𝑅(𝑆𝑆; 0) ce qui signifie que la probabilité que la quantité 𝔼𝔼(𝑆𝑆) soit une vérification des hypothèses faites a priori est nulle. Le calcul de la criticité (équation 1) est assimilable au calcul de l’espérance de 𝑆𝑆 et c’est donc une certitude que la quantité calculée par la criticité ne sera jamais une conséquence sauf par chance pure. Or, cette quantité marque traditionnellement la quantité initiale à partir de laquelle le traitement du risque est effectué. Ces éléments plaident pour l’obsolescence de la criticité comme mesure de risque. Nos résultats ont été jugés crédibles par le constructeur.

4469 projets Cas Gamma Cas LogNormale Cas Normale Espérance 141 167 141 130 141 433 Ecart type 295 935 294 598 295 916 VaR (99%) 1 240 960 1 268 138 1 255 598 VaR (95%) 999 309 990 031 1 000 364 VaR (90%) 334 614 321 927 345 516 VaR (85%) 216 631 220 039 223 170 VaR (80%) 159 704 170 677 163 469 VaR (75%) 118 542 123 539 116 167 VaR (50%) 42 370 42 533 40 034 VaR (25%) 0 0 0 TVaR (0%) 140 805 140 779 141 080

TVaR (92,36%) 1 087 928 TVaR (92,40%) 1 087 344 TVaR (92,37%) 1 087 351

Table 5 - Mesures de risque pour 4 469 projets Figure 3 - Fonction de répartition de la loi de perte L’usage en gestion des risques est de considérer un espace probabilisé (Ω,𝐴𝐴,𝑃𝑃) et un risque par une variable aléatoire réelle. Or, une v.a.r, est un être mathématique qui n’est ni variable (c’est une fonction de Ω dans ℝ), ni aléatoire (c’est un élément déterminé de 𝐴𝐴). L’illusion est de considérer une matrice C-P comme représentation de l’aléatoire. Une v.a.r est plutôt une fonction soumise à aléa. La fonction de la loi de perte associée à la loi gamma (Fig. 3) est une fonction soumise à aléa et restitue en abscisse les conséquences cumulées (les niveaux de risques de pertes) et les niveaux de probabilités associés en ordonnées. En plus d’une vision en 2D, les composantes 𝐶𝐶 et 𝑃𝑃, elle permet de mesurer son accroissement et de comparer les risques selon différents ordres stochastiques. A partir de cette fonction une fonctionnelle de préférences pour les pertes faibles est spécifiée pour un traitement stratégique du risque. L’organisation dispose alors d’un propriétaire des risques (pour l’ISO, personne ou entité ayant la responsabilité du risque et autorité pour le gérer) et nous proposons que ces rôles soient ceux que le contrôle interne ne doit pas jouer [IAA, 2004] : définir l’appétence pour le risque ; définir des processus de gestion du risque ; gérer l’assurance sur les risques (assurables, non assurables et financiers) ; décider de la manière de réagir face aux risques ; mettre en œuvre des mesures de gestion des risques au nom de la direction de façon à disposer d’une vision d’ensemble et savoir où allouer les ressources rares pour contrôler les valeurs d’équilibre entre le financement des risques et celui de la stratégie. Il à le mandat de sa direction pour accepter un seuil d’incertitude à 𝑇𝑇𝑉𝑉𝑐𝑐𝑅𝑅(𝑋𝑋; 90%) à horizon des 18 prochains mois sur le portefeuille de projets. Compte tenu des objectifs de la stratégie il formule l’appétit pour le risque de l’entreprise par filiale, par type de contrat et par type de projets. Il décline ce profil en tolérance par catégorie de risque et organise le pilotage et le suivi opérationnel à l’aide d’indicateurs clés par type de risque (KRI). Il est dès lors en mesure d’assurer une gestion stratégique des risques de l’entreprise et de contribuer à l’amélioration de son profil valeur/risque. Il doit financer les pertes attendues et un airbag de sécurité : l’écart (métrique de niveau 4 de Germa) entre les pertes attendues 𝔼𝔼(𝑆𝑆) et 𝑇𝑇𝑉𝑉𝑐𝑐𝑅𝑅(𝑆𝑆; 90%). Ainsi présenté, la criticité du risque 𝐶𝐶𝑅𝑅 = 𝔼𝔼(𝑆𝑆) ne mesure pas d’écart par rapport aux objectifs et ne permet pas cette approche. 2.3 Intégration de l’incertitude sur le résultat technique d’un constructeur Pour une entreprise non-financière (industrie, services…), le prix de revient d’un bien économique est connu avant la vente de ce dernier compte tenu de son coût de production. Le producteur reçoit le paiement du prix en échange de la livraison immédiate du bien au consommateur. Or, dans le monde réel, pour un projet de construction et dans de nombreuses autres activités industrielles, l’énoncé précèdent est faux pour une comptabilité qui doit intégrer le risque. Dans le secteur de la construction il est d’usage de calculer un prix de vente hors taxes d’un projet de la façon suivante :

{2} PV HT = DS + FC + FoP + FG + B&𝐴𝐴



avec DS = Déboursé Sec, FC = Frais de Chantier, FoP : Frais d’Opération, FG = Frais Généraux et B&A la composante Bénéfice et Aléa. Le prix de revient réel ne sera connu de façon « certaine » qu’une fois les risques des contrats résolus sur un plan comptable. Par rapport à un contexte de certitude, la proposition de G. Debreu [Debreu, 2001] d’une Théorie de la Valeur dont la notion de valeur dépasse celle de prix, de rapport d’échange ou de coûts, reconsidère deux éléments afin de tenir compte de l’incertitude tout en étant « libre de tout concept de probabilités ». Le premier consiste en la nécessaire redéfinition de bien économique comme un bien contingent (soumis à l’aléatoire). Le second est de tenir compte de l’attitude par rapport au risque des consommateurs (les clients). La théorie ne tient pas compte du profil de risque du producteur car les effets des événements futurs incertains, qui vont conditionner la livraison sont connus des agents avant la production et intégrés dans le prix. Ainsi le producteur n’a pas besoin d’une « attitude par rapport aux risques » (mot pout mot ceux de G. Debreu lors de la première édition en …1959) pour déterminer son plan de production. Or, n’est-il pas optimiste de considérer que dans tout projet (de construction) les effets des événements qui vont conditionner la livraison sont connus en toute transparence avant la production et soient intégrés dans le prix de vente de l’ouvrage avec acceptation de toutes les parties prenantes au contrat et qu’il ne fera lieu d’aucun ajustement ? En inversant le cycle de production économique on se donne les moyens de calculer le prix de revient a postériori compte tenu de la réalisation ou non du risque. Le constructeur met dès lors en place des mécanismes destinés à éviter de mettre en péril la mutualité notamment en reconsidérant le processus de management des risques et sa mise à jour au cours du temps (Cf. Editorial de M. Lardeux du Congrès Lambda Mu) et de réévaluer ainsi la représentation systémique qu’il se fait du risque. Dans un premier temps le constructeur doit donc connaître pour chaque projet, le risque du projet, le profil de risque de son client et disposer d’une attitude face au risque en conséquence afin d’anticiper les conditions de la rentabilité économique et financière des contrats et du portefeuille de contrats. L’activité intègre dans ses méthodes de travail, les notions d’incertitude et de déviation possible du risque pour chacune des composantes de son portefeuille de projets, en quantifiant notamment leurs impacts possibles sur le compte de résultat et sur les besoins en fonds propres. Le constructeur prend ainsi en compte l’incertitude relative à la souscription de chacun de ses risques (les projets) afin de sécuriser son résultat et minimiser son risque de défaut ce qui est une voie vers la solvabilité de l’offre. Le premier stade de la tarification débute par le calcul de la prime pure, segmenté, type de risque par type de risque. Pour un type de risque fixé, elle est égale par définition, au coût du sinistre annuel considéré en espérance, multiplié par sa fréquence annuelle. Ce couple (fréquence, coût) est estimé de manière empirique et historique, type de risque par type de risque, il est de plus actualisé au cours du temps. Ensuite, l’assureur prend en compte l’incertitude associée au type de risque dont on considère ici qu’elle correspond au calcul de l’écart-type empirique associé à ce type de risque. De façon très pragmatique, ce qui intéresse le propriétaire des risques et le chef de projet c’est principalement de pouvoir apprécier les impacts des aléas sur le chiffre d’affaires, le résultat net et les performances d’usage attendues de l’ouvrage. Nous nous concentrons sur les écarts qui peuvent peser sur le CA et le résultat compte tenu des risques évalués. Afin de simplifier la présentation de la démarche du constructeur nous raisonnons avec le modèle individuel de [Petauton, 2000], c’est-à-dire avec une fréquence intégrée (formellement seulement) à la comptabilisation des sinistres par exercice comptable, où les assurés qui ne déclarent pas de sinistre sont comptabilisés 0, ceci type de risque par type de risque. 𝑋𝑋𝑅𝑅 désigne ici la sinistralité totale associée au type de risque numéroté « 𝑖𝑖 », avec 𝑖𝑖 variant entre 1 et 𝑐𝑐 (dans la Table 3, 𝑐𝑐 = 10). Dans notre cas pratique, l’entreprise gère 180 projets qui peuvent être vus comme 180 assurés, ou 180 contrats/risques ayant souscrits aux 𝑐𝑐 types de risques. Par type de risque nous obtenons ainsi une mutualité de 180 projets assurés.

{3} 𝑋𝑋𝑅𝑅 = ∑ 𝑋𝑋𝑅𝑅𝑗𝑗𝑁𝑁

𝑗𝑗=1 𝑋𝑋𝑅𝑅 correspond désormais à la somme des sinistres sur les N projets assurés « 𝑗𝑗 », pour 𝑗𝑗 variant de 1 à N, constante commune à tous les types de risques qui varient dans nos simulations entre 180 et 4.469. Les 𝑐𝑐 types de risques sont considérés comme indépendants, ainsi que la mutualité des N projets associés (contrats), les primes ne sont pas placées sur les marchés financiers et l’entreprise s’auto-assure. Ainsi, dans ce modèle (individuel), pour le type de risque « 𝑖𝑖 », la prime pure facturée par le propriétaire des risques du constructeur au projet est égale à l’espérance 𝔼𝔼[𝑋𝑋𝑅𝑅] qui est la prime pure du type de risque « 𝑖𝑖 » : 𝑃𝑃𝑝𝑝𝑅𝑅. C’est le montant moyen du risque à financer par le propriétaire des risques. Son résultat correspond alors à la différence entre les encaissements des primes issues des projets et facturées au client, et les décaissements suite aux sinistres au cours de l’exercice. Il applique un chargement de sécurité 𝜌𝜌 (rhô), commun à tous les types de risques, transformant 𝑃𝑃𝑝𝑝𝑅𝑅 en une prime chargée 𝑃𝑃𝑐𝑐.

{4} 𝑃𝑃𝑐𝑐(𝑆𝑆) = 𝔼𝔼(𝑆𝑆). (1 + 𝜌𝜌) Les encaissements sont la somme des (1 + 𝜌𝜌) × 𝑃𝑃𝑝𝑝𝑅𝑅 avec la somme des 𝑃𝑃𝑝𝑝𝑅𝑅 notée 𝑈𝑈 et les décaissements sont la somme des 𝑐𝑐 variables aléatoires 𝑋𝑋𝑅𝑅 au cours de l’exercice, notée 𝑆𝑆. Par différence son résultat 𝑅𝑅 s’écrit : 𝑅𝑅 = [(1 + 𝜌𝜌) × 𝑈𝑈] − 𝑆𝑆 qui est le résultat du propriétaire des risques du constructeur. L’objectif est, du fait de la tarification à la prime pure augmentée du coefficient de chargement, de minimiser la probabilité que son résultat soit trop faible et/ou négatif en fonction du nombre de projets. L’espérance du résultat du propriétaire des risques est 𝔼𝔼(𝑅𝑅) = (1 + 𝜌𝜌).𝑈𝑈 −𝔼𝔼(𝑆𝑆), avec 𝔼𝔼(𝑆𝑆) = 𝑈𝑈. Ainsi 𝔼𝔼(𝑅𝑅) = 𝜌𝜌.𝑈𝑈, et on obtient la variance du résultat du propriétaire des risques comme :

{5} 𝑉𝑉𝑐𝑐𝑉𝑉(𝑅𝑅) = 𝑉𝑉𝑐𝑐𝑉𝑉(𝑆𝑆) = ∑ 𝑉𝑉𝑐𝑐𝑉𝑉(𝑋𝑋𝑅𝑅)𝑛𝑛𝑅𝑅=1 = 𝑇𝑇2

L’application du théorème de Bienaymé-Tchebychev à notre cas, restitue (6) et en choisissant 𝑐𝑐 tel que la borne inférieure s’annule, on obtient (7) : {6} Pr[𝜌𝜌.𝑈𝑈 − 𝑐𝑐.𝑇𝑇 ≤ 𝑅𝑅 ≤ 𝜌𝜌.𝑈𝑈 + 𝑐𝑐.𝑇𝑇] > 1 − 1

𝑡𝑡2 ,

{7} Pr[0 < 𝑅𝑅 ≤ 2.𝜌𝜌.𝑈𝑈] > 1 − 1𝑡𝑡2

, avec : 𝑐𝑐 = 𝜌𝜌.𝑈𝑈𝑇𝑇

Grâce à l’acceptation de l’incertitude par type de risque par le critère de la variance 𝑉𝑉𝑐𝑐𝑉𝑉(𝑋𝑋𝑅𝑅) = 𝜎𝜎(𝑋𝑋𝑅𝑅)2, le propriétaire des risques probabilise l’encadrement de son résultat avec une variable pour le flux de contrôle et peut garantir à l’entreprise un résultat sur le financement des risques non négatif, ceci avec un niveau de confiance 1 − 𝛼𝛼2 avec α = 𝑇𝑇/(𝜌𝜌.𝑈𝑈) qui désigne l’incertitude agrégée, et normalisée des 𝑐𝑐 types de risques (modulo l’inverse de ρ), car divisée ici par la prime pure. Avec ce modèle, le propriétaire des risques est maintenant en mesure d’encadrer son résultat de manière probabiliste, au niveau de confiance fixé à 1 − 𝛼𝛼2, grâce à la connaissance de l’incertitude acquise par l’observation dans le temps et équivalente ici à la connaissance des variances empiriques, catégorisées type de risque par type de risque. L’inégalité (6) est valable en toute généralité quelque soit la loi de 𝑆𝑆 et nous reconnaissons qu’elle est conservatrice car sa borne supérieure est souvent très prudente. Dans un deuxième temps, afin d’établir le lien avec notre expérimentation nous retenons que les 𝑐𝑐 types de risques du propriétaire des risques du constructeur peuvent se transposer aux 10 types de risques fournis par le chef de projet (Table 3). On va dès lors imposer implicitement deux équivalences : une première équivalence entre les N assurés du propriétaire des risques et les N projets du constructeur (compris entre 180 dans la réalité et 4.469 par extension dans notre étude), et une seconde entre les bénéfices et aléas (B&A) facturés au client et (1 + 𝜌𝜌) × 𝑈𝑈 où 𝑈𝑈 désigne la somme des espérances des sinistres sur les 10 types de risques. Pour le calcul du prix de vente du constructeur (équation 2) on considère que le chef de projet s’assure auprès du propriétaire des risques à l’interne. Le coût de revient CR du projet est l’ensemble des dépenses qu’il faut effectuer pour réaliser une opération et qui est considéré comme une mesure de l’importance d’une opération :

{8} CR = DS + FC + FoP + FG. Soit l’écart entre le montant total facturé par le constructeur au client et CR : Δ = PV HT − CR, donc : Δ = B&𝐴𝐴. Nous n’avons pas trouvé de quantification de 𝐴𝐴 (Aléas) dans la littérature. On doit alors considérer l’équipe projet ou la Business Unit (BU) en charge du projet où s’associe des compétences (commerce, conception, étude – prix et technique et travaux) à la laquelle s’ajoute les services supports. La BU fait face à l’incertitude quant à l’écart entre les prévisions économiques et financières (incertaines) et le résultat comptable qu’elle recevra effectivement à la date 𝑇𝑇 marquant la résolution de l’ensemble des flux comptable du projet. On modélise cette incertitude grâce à un ensemble d’états finis 𝑆𝑆𝑇𝑇 ou 𝑇𝑇 signifie que l’incertitude sera résolue à la date 𝑇𝑇. Grâce à l’outil Probaction©, comme probabilité dans l’action, une matrice par blocs permet d’identifier et



d’apprécier les risques par ceux sur les lesquels pèsent le risque et qui doivent réaliser les objectifs selon un périmètre Aléas X Filiales X Activités X Type de contrat X Type de projet proposée par le propriétaire des risques sur une échelle de fréquence adaptée à la stratégie de l’entreprise. Ce sont les informations issue de l’expérience de l’équipe projet concernant de précédentes résolution de l’incertitude à des dates 𝑐𝑐 < 𝑇𝑇. Cependant, à ce stade nous n’avons qu’une vision historique sur un horizon de temps passé. Or, pour tenir compte du fait que les expériences ne se répètent pas de façon strictement identiques nous intégrons volontairement à ce stade des connaissances l’ambigüité qui est ici une réconciliation des expériences passées avec le contexte présent et les événements futurs incertains singuliers compte tenu des objectifs à réaliser non pas appréciés à la date 𝑐𝑐 < 𝑇𝑇 mais à horizon de 𝑇𝑇. En effet, même dans le cas d’une activité, d’un type de contrat et d’un type de projet nous allons trouver une homogénéité, il n’est pas rationnel de considérer uniquement les probabilités statistiques calculées sur 𝑐𝑐 − 1 expériences car la mesure des grandeurs attachées aux évènements futurs incertains : les probabilités vraies de la 𝑐𝑐𝑖𝑖è𝑚𝑚𝑐𝑐 pourront toujours être différentes de celles calculées initialement même dans le cas de répétition d’expérience strictement homogènes. L’outil RiDProfile© permet alors d’évaluer les événements futurs incertains à date 𝑇𝑇. En substance, l’algorithme intègre [Machina, Schmeidler, 1992] pour bénéficier d’un modèle de statistique décisionnel pour préparer, si acceptation des risques du projet il y a du Comité de Bouclage présent dans toute entreprise (générale) de construction, compte tenu des gains et pertes potentielles en jeu, un transfert des risques techniques et financiers efficace au chef de projet ainsi que les indicateurs clés de risque (KRI) pour les revues de surveillance. Pour tarifer le projet l’outil RiD Project Simulator© intègre le fait que l’on a obligatoirement Δ = PV HT −CR = (1 + 𝜌𝜌).𝑈𝑈 + B. Avec 𝑆𝑆 la charge totale de sinistres sur l’exercice. Puisque le propriétaire des risques assure le projet, on peut décomposer maintenant l’espérance de résultat 𝔼𝔼(𝑅𝑅) du projet pour l’entreprise en une composante métier (ou opérationnelle) égale à 𝐵𝐵 et une composante assurantielle égale à 𝜌𝜌.𝑈𝑈. Le résultat 𝑅𝑅 corrigé du risque pour l’entreprise peut s’écrire 𝑅𝑅𝐶𝐶𝑅𝑅 = [(1 + 𝜌𝜌).𝑈𝑈 + B + CR] − [𝑆𝑆 + CR] ou Δ (delta) finance exactement la prime chargée (1 + 𝜌𝜌) × 𝑈𝑈 et le bénéfice B. Le constructeur finance ici l’assurance de ses risques (assurables, non assurables et financiers) par les clients, sur lesquels est facturé, par l’intermédiaire des projets, le paiement de la prime chargée. Il mutualise ainsi son risque sur les 10 types de risques et les N projets. On peut alors décomposer l’espérance de résultat avec 𝔼𝔼(𝑅𝑅𝐶𝐶𝑅𝑅) = 𝜌𝜌.𝑈𝑈 + 𝐵𝐵. Sur la base du modèle théorique en assurance dommage, pour un portefeuille de projets, le problème complexe de l’acceptabilité des risques a suivi un processus structuré et, de plus, l’entreprise dispose d’un indicateur clé de risque (KRI) pour contrôler l’écart entre son résultat espéré et les risques réellement encourus dans le cadre des activités. Toutes les stratégies de traitement des risques restent ouvertes comme des options. Ce résultat nous paraît être substantiel pour illustrer l’intérêt d’accepter la variance des risques et les risques extrêmes à l’échelle du projet, de la filiale et de l’entreprise comparativement à la méthode n°29 de l’ISO 31010 ainsi qu’à l’assimilation de la criticité à une mesure de risque pour le secteur de la construction.

Conclusion Cet article se positionne sur la réévaluation de la méthode n°29 de l’ISO 31010 comme méthode parfaitement applicable pour l’identification et l’analyse et applicable pour l’évaluation des risques. Le processus d’appréciation du risque ne tient pas compte de l’attitude face au risque de l’organisme et/ou de ses managers et de leurs équipes et la mesure des niveaux de risques par la criticité conduit, pour décider de l’acceptabilité des risques, à ne pas tenir compte du nombre de risques et de la variance du risque global avant et après le traitement. En terme d’allocation de ressources pour le traitement du risque de perte, la sous-optimalité n’est pas seulement locale, sectorielle ou associée à une catégorie de risques particulière mais globale car la seule stratégie de réduction est retenue. Le raisonnement économique est parfois contre-intuitif par rapport au sens commun : il prend alors la forme de paradoxe. En matière de sciences de la décision, le vocable est employé dans le sens de contre exemple à une « théorie » (celle des matrices C-P) ou à un critère de choix (la criticité) en vigueur jusque-là. Il existe un besoin de processus structurés, de méthodologies et de mesures de risque actualisés pour contrôler la performance corrigée du risque pour un projet, un portefeuille de projets ou l’organisation dans son ensemble. Le modèle technique proposé pour accompagner le management des risques permet une vision innovante du risque dans la construction en mesure de tenir compte de statistiques historiques, du contexte présent et de la perception du risque des managers dans le futur compte tenu des objectifs à réaliser sur un horizon temporel déterminé. Ouvert à des traitements techniques de type Big Data et ancré dans l’analyse de la décision moderne c’est un modèle de statistique décisionnel dynamique adapté aux décisions lorsque nous disposons de probabilités statistiques associées aux événements futurs incertains (le risque) et lorsque nous n’en disposons pas (l’ambigüité). L’objectif du modèle est de pouvoir réconcilier les visions économique et financière (incertaines) d’un projet complexe avec les attentes comptables. Au niveau Corporate, réconcilier les visions en terme de résultat net et de valorisation (incertaines) avec les attentes comptables peut aussi être considéré comme un projet complexe. Des recherches complémentaires sont nécessaires pour intégrer le financement des écarts entre la variance des pertes et le seuil d’incertitude retenu, ainsi que pour produire un modèle de hors-bilan de façon à doter les entreprises non-financières d’une capacité de modélisation susceptible de calculer le résultat espéré et d’évaluer la résilience des projets et de l’organisations face aux chocs économiques et financiers (dont les extrêmes) plutôt que de rester seulement avec les éléments comptables actuels. Remerciements Les auteurs remercient Monsieur Jean-Pierre Petit pour l’accès à la bibliothèque de l’IMdR pour la partie 1.3 de l’article et notamment le DVD : Fiabiliste, l’histoire d’un métier singulier, Institut de Maîtrise des Risques. Bibliographie Mortureux, Y. (2001). La sûreté de fonctionnement : méthodes pour maîtriser les risques. (bm 5008). Techniques de l’Ingénieur, Editions TI. Magne, L. et al. (2006). Risques industriels. Complexité, incertitude et décision : une approche interdisciplinaire, Collection EDF R&D, Paris. Germa (2012). Management des Risques des Projets Complexes de Génie Civil et Urbain. Le Moniteur des Travaux Publics et du Bâtiment N° 5682 Walewski, J. A. (2005). International Project Risk Assessment, Dissertation for the degree of philosophie, The University of Texas, 1–402. Juran, J.M. Blanton Godfrey, A. (1951). Quality Handbook, 5ème édition. 1999. The Mc-Graw Hill Companies. Deming, W.E. (1982). Out of the crises. Cambridge Mass. MIT Press. Miles, L,.D. (1989) Techniques of Value Analysis and Engineering, 3ème éd. L.D Miles Value Foundation. Eleanor Miles Walker. Farmer, F.R. (1967). Siting Criteria - A New Approach, Proceedings of the IAEA symposium on nuclear siting, IAEA, pp. 303-329. Desroches A. et al. . (2016). Analyse globale des risques : Principes et pratique (éd. (2° Éd.)). Paris: Lavoisier. Cox, L. A. (2008). What’s wrong with risk matrices. Risk analysis 28(2): 497-512. Beaudoin, F., & Munier, B. (2009). A Revision of Industrial Risk Management : Decisions and Experimental Tools in Risk Business. Risk and Decision Analysis , 1, 3-20. Wakker, P. P. (2010). Prospect Theory. New York: Cambridge University Press. Lemoigne, J.L. (1999). La Modélisation des Systèmes Complexes, Dunod, Paris. Dehouck, Munier. (2011). How integrated should risk management and quality management be. Conférence CASP. Borel, E. (1939). Valeurs Pratiques et Philosophie des Probabilités. Paris, France: Gauthier-Villars. The Institute of Internal Auditors. IAA.( 2004) – Le Rôle de l’audit Interne dans le Mangement des Risques de l’Entreprise. 29 Septembre 2004. Debreu, G. (2001). Théorie de la Valeur. Analyse Axiomatique de l'Equilibre Economique. Paris, France: Dunod. Petauton, P. (2000). Théorie de l’assurance dommages. Dunod. Paris. Machina, M. J., & Schmeidler, D. (1992). A More Robust Definition of Subjective Probability. Econometrica , 60 (4), 745-780.


Documents

Les matrices conséquences-probabilités pour décider de l