ISO9001:2015 et l’approche par les risques

Introduction

La planification a toujours été un élément familier d’ISO9001, mais maintenant, une attention plus précise est requise pour s’assurer que la planification  considère aussi le contexte et les parties intéressées. Selon tous les sondages à ces jours incluant les commentaires suivis dans les blogues, l’analyse des risques est l’un des sujets les moins maîtrisés dans une proportion d’environ 52%.  Ce nouveau concept est l’un des changements les plus importants par la pratique du management. Les risques doivent être vus comme faisant partie des connaissances mêmes de l’organisation. Cet élément est important, car une organisation mal gérée devient apparente pour les professionnels et investisseurs lorsqu’ils regardent plus loin que seulement la certification.

La première partie de la clause 6  concerne l’évaluation des risques, tandis que la seconde concerne le traitement des risques. Lors de la détermination d’actions visant à identifier les risques et les opportunités, ceux-ci doivent être proportionnels à l’impact potentiel qu’ils peuvent avoir sur la conformité des produits et des services. On peut par exemple inclure les lancements de nouveaux produits, l’expansion géographique, les nouveaux partenariats ou les nouvelles technologies.

L’organisation s’efforcera de planifier des actions pour aborder à la fois les risques et les opportunités, comment intégrer et mettre en œuvre les actions dans ses processus de système de gestion et évaluer l’efficacité de ces actions. Les actions doivent être surveillées, gérées et communiquées à l’ensemble de l’organisation.

Une méthode en quelques étapes simples

En fait, à partir de l’analyse du contexte externe (Opportunités et Menaces) et du contexte internes (Forces et Faiblesses), il s’agit d’identifier les quelques éléments les plus significatifs dans chacun des cas , de les mettre en relation avec une matrice TOWS, et de se posé 2 questions pour analyser et prioriser pour chacun  des éléments identifiés dans le contexte de l’organisation et des parties intéressées, soit :

  • Qu’est-ce qui peut aller mal ? (Risques)
  • Qu’est-ce qui peut bien aller ? (opportunités)

Ref. Image tirée de google (exemple)

Ensuite  deux questions sont aussi possibles pour vérifier la mise en place, soit:

  • Qu’est-ce qui peut être évité, éliminer et réduit ?
  • Est-ce que les actions ont été efficaces ?

Les réponses obtenues de ces 2 questions vont inévitablement mettre en plan des actions d’améliorations pour vos processus d’affaires dans lequel en principe, les processus de gestion de la qualité sont intégrés.

Un des moyens de représenter ces résultats est d’utiliser un fichier de travail  comme celui ci-dessous par exemple.

Même si les Normes ISO 31000 et 31010 ne sont pas obligatoires, elles sont une excellente source  d’information comme guide pour construire un programme d’analyse des risques et opportunités.

 Les attentes de  la norme

La norme est assez claire. Il est assez facile d’identifier les risques, plus difficile d’identifier les opportunités, mais le plus difficile encore est de la mise en œuvre d’actions (6.1) face aux risques et opportunités. La notion d’opportunité remplace en partie les actions préventives de la version précédente de la norme.  Il existe certains débats à ce sujet et la norme IATF 16949 :2016 par exemple a réintroduit en exigences supplémentaires concernant les actions préventives.

L’élément 6.1.1 est relativement facile à faire. Par contre, sa mise en action en 6.1.2 est plus complexe.

L’organisme doit planifier comment intégrer et mettre en œuvre ces actions au sein des processus du système de management de la qualité et d’en évaluer l’efficacité de façon proportionnelle à leurs impacts. Cet élément peut être plus difficile à vérifier lors de la transition, mais peut devenir un élément important au moment de l’audit de maintien.

Le tableau suivant indique le nombre de fois que nous voyons le risque (ou la terminologie liée au risque) dans ISO 9001: 2015. Le mot risque lui-même n’est pas si courant, mais lorsqu’il est examiné dans le contexte de la terminologie telle que «Conséquence», «Effet», «Empêcher» et «Contrôle», il figure dans bon nombre des clauses de la norme.

L’auditeur cherchera des preuves sous forme d’informations documentées par exemple, les minutes de rencontres de direction, analyse FFOM, rapports de clients, activités de remue-méninge,  analysent de la compétition. Plan stratégique d’affaires, etc.

Quels sont les signes d’une mauvaise gestion des risques

Il n’y a pas au départ de méthode  structurée, un lexique de base et une formation adéquate afin que le travail d’analyse en équipe soit efficace.  Souvent l’organisation s’en remet aux audits et aux revues de direction pour identifier les risques. Les risques sont donc rarement considérés pour capturer et contrôler les menaces émergentes.

Les risques sont également souvent gérés de manière centralisée par une entreprise. Les organisations manquent généralement d’intuition, de portée et de souplesse nécessaires pour gérer les risques qui se produisent au niveau local.  Souvent ont réagi a une situation.  Les actions de prévention et d’atténuation des risques sont soit inexistantes, parfois retardées, car les employés n’ont pas été impliqués dans l’évaluation des risques,  autorisés, ni responsables pour prendre des mesures préventives et correctives.

Voici donc quelques éléments de mise en garde.

Incertitude: l’organisation s’efforce de recueillir correctement, ou suffisamment d’informations sur ses risques. Les vérifications et mises à jour sont trop rares.  La portée de l’information sur le risque de l’organisation est trop limitée.

Complexité: l’organisation collecte d’énormes quantités d’informations sur ces risques. Les décideurs ne peuvent pas interpréter l’information et les opportunités sont négligées.

Ambiguïté: l’organisation n’est pas en mesure de formuler les bonnes questions pour comprendre ces risques. L’information supplémentaire est inutile parce que les risques ne sont pas compris.

Équivalence: il existe plusieurs interprétations du risque entre les individus de l’organisation. La gestion des risques est mutuellement exclusive ou en conflit. Une lutte de pouvoir s’ensuit généralement entre des individus avec des opinions et des croyances conflictuelles.

Mentalité en silo (organisation plus large): différentes unités d’affaires résistent à la communication d’informations sur les risques dans l’organisation. Ceci conduit typiquement à une condition d’incertitude et d’équivoque et met en lumière un problème de leadership.

 CONCLUSION

Les gestionnaires  qui prennent le temps de bien comprendre les approches de la norme en viennent à la conclusion que son application est très logique et facile à intégrer dans leurs stratégies d’affaires.  Comme plusieurs m’ont dit ‘C’est que du gros bon sens’.

L’approche par les risques n’est pas nouvelle, c’est quelque chose que l’on fait déjà en continu. Par contre, le défi est de taille, car cette approche est identique à des techniques utilisées pour la création de plan stratégique d’affaires, plan marketing et autres.  Il n’y a pas ici d’innovation et d’invention, seulement l’application logique de bonnes pratiques d’affaires. Malgré cette évidence, un faible pourcentage d’entreprise ont un plan stratégique bien structuré et à jour. Le danger ici  est d’avoir une structure isolée en silos ou la gestion de la qualité n’est pas intégrée. Le premier réflexe est de construire une analyse des risques et opportunités isolée et sans intégration aux processus d’affaires.  Un autre danger, dans un cas comme celui-ci est le manque de leadership de la direction.

Pour faciliter le travail, Il s’agit de bien choisir la méthode pour l’analyse des risques en fonction des besoins, de faire le travail en équipe pour assurer la responsabilisation de tous, de bien comprendre les exigences des normes et d’en assurer une intégration avec le plan stratégique d’affaires. L’approche par les risques est maintenant un élément important dans la planification stratégique de la qualité pour assurer le succès à tous les niveaux de l’organisation.

 

Références

  • Norme ISO9000 :2015
  • Norme ISO9001 :2015
  • Moving from ISO9001 :2008 to ISO9001 :2015 transition guide, BSI, 2015
  • Risk – A key concept of the 2015 standards, NQA Blog
  • Simon Cole, Risk based thinking is important to your organization, NQA Blog
  • Auditing Practices Group Guidance on Risk Based thinking, ISO & IAF 2016
  • Risk based thinking in ISO9001:2015, ISO/TC 176/SC2/N1284, iso.org/tc176/sc02/public

 

 

 

Laisser un commentaire