Forums › Management QSE › Management de la qualité › Gestion des risques et opportunités (ex: 9001)
- Ce sujet contient 10 réponses, 3 participants et a été mis à jour pour la dernière fois par THAUMASIA Conseil, le il y a 3 années et 10 mois.
-
AuteurMessages
-
3 février 2021 à 10 h 28 min #19449
Bonjour à tous
J’aurai souhaité comprendre concrètement pourquoi les penseurs et rédacteurs de l’ISO 9001 ont ajouté dans la version 2015 des exigences pour identifier et gérer les R/O de son entreprise…Pourquoi ils ont jugé que c’était une base fondamentale pour que l’organisation qualité de l’entreprise puisse satisfaire le client..Pourquoi ils se sont dis « Mince on avait pas pensé à mettre cela dans les versions précédentes ».
J’imagine qu’avant 2015, les entreprises n’avaient pas l’obligation (si ils étaient 9001) d’identifier et gérer leurs R/O. Certaines ne faisant pas cela, elles ont du se retrouver dans des situations problématiques niveau client même en suivant à la lettre les directives de la version 2008. Les personnes de l’ISO ont du avoir les remontées de ces histoires et donc juger nécessaire de l’intégrer dans la version de 2015.
Auriez-vous un exemple d’une entreprise Y qui ne gérait pas ses risques et opportunités et qui s’est retrouvée dans une situation qualité problématique à cause de cela?:) Une entreprise de votre carrière ou un exemple que vous pourriez imaginer pour illustrer
N’ayant pas connu les versions précédents celle de 2015, je n’ai pas vu expérimenter leurs lacunes et donc j’ai du mal à voir clairement la plus value de chacune des « couches d’exigences » qui ont été rajoutées en réponse à ces lacunes.
Merci à vous:)
Passez une bonne journée
3 février 2021 à 12 h 54 min #19450Alors… plusieurs choses…
Si… le concept de risque et opportunités existait déjà, sous une forme moins mature, dans la majorité des normes de systèmes de management, et cela s’appelait (aux temps jadis) les actions préventives. Mais il y avait une différence entre les entreprises avec un management « éclairé » qui répondaient à cette exigence par la mise en œuvre de réelles démarches de gestion des risques (et qui, pour la majorité, n’ont rien fait évoluer de plus en version 2015) et celles qui avaient déjà du mal à « pondre » de manière plus ou moins alambiquée une réponse aux actions préventives.
De tout temps, projeter ces risques au-delà des simples nécessités de correction d’un existant pas suffisamment maîtrisé est au cœur des stratégies de bonne gestion d’une organisation.
Mais, deux choses fondamentales :
1 > il n’y a aucun effet de levier systématique d’aucune disposition de la norme. Des entreprises géraient parfaitement leurs risques « avant » en version 2008 (et précédentes), beaucoup les géraient très bien et les gèrent encore sans certification du tout et, à l’inverse : certaines ne les géraient pas (pour 10 000 raisons dont celle de « la gestion des risques est une affaire de dirigeants ») et une partie n’est donc plus là pour en témoigner, et certaines gèrent très mal les risques encore aujourd’hui et ne seront plus là pour en parler dans quelques temps (mais, ce sont les limites de la certification : sont certifiées quand même…)
2 > toute norme a ses limites (celles d’un mécanisme de certification insuffisamment professionnel, à l’inverse des mécanismes d’accréditation) et être certifié n’est pas une assurance d’être solide pour autant ni d’être paré à l’avenir.
Quelques exemples non pas par rapport à des clients, mais par rapport a des métiers :
> les architectes (nous en connaissons pas mal) qui ont anticipé les risques il y a 10 ans des mutations profondes de leurs métiers : déport de prédominance vis à vis des constructeurs plutôt que vis à vis des architectes, arrivée du BIM… sont encore là pour en parler. Les autres, qui voyaient cela comme une mode passagère ont jeté l’éponge sauf dans de très rares eaux bleues
> les laboratoires accrédités 17025 qui ont eu l’obligation de produire des analyses de risques spécifique au COVID sur leur performance, leur conformité, ont plutôt bien remonté la pente par rapport à d’autres.
> les indépendants et TPE qui ont géré leurs risques en situation de COVID plutôt que de se laisser ballotter par un monde qui s’écroule s’en son (pour celles et ceux que nous connaissons) en moyenne plutôt bien mieux sortis que les autres
J’éviterais les exemples plus… parlants. Faute que certain.e.s se reconnaissent ici
3 février 2021 à 15 h 12 min #19452Bonjour Thaumasia:)
Merci à vous j’y vois plus claire.
Je vais peut-être m’exprimer de manière un peu vulgarisée mais pourriez-vous me dire si je vois juste dans mes propos ci-dessous? (J’essaye d’utiliser un vocabulaire relativement simple pour vendre la démarche à mes collègues ce n’est pas toujours très simple mais je ne veux pas perdre l’essence du contenu^^)
En faite , j’ai l’impression qu’à chacune des différentes versions de la norme, les rédacteurs de l’ISO ont fait évoluer et enrichir leurs conception du « Que doit faire un organisme au niveau de son organisation pour satisfaire son client »:
==>J’ai regardé la version 2008, en faite elles demandent des actions préventives mais on ne demande pas de faire d’analyse du contexte, de planifier ces actions, évaluer leurs efficacités. J’ai l’impression qu’elle ne poussait pas l’entreprise à être attentive à ce qui se passait autour d’elle et qui pouvait l’aider ou bien lui être problématique.
==>En 2015 je pense que les rédacteurs de la norme se sont dit « On a oublié un truc :une direction d’entreprise qui ne prête pas attention à ce qui se passe autour de son entreprise et à l’intérieur et qui n’y met pas des actions en mode PDCA risque de se retrouver dans des situations qui feront qu’elle ne pourra pas satisfaire son client. De la même manière elle risque de passer à côté d’opportunité qui pourraient l’aider à maintenir cette satisfaction ou à l’améliorer ». Du coup ils ont ajouté la notion de R/O dans la norme identifié à partir d’une analyse de contexte (4.1 4.2), planifié en 6.1, évaluation performance en 9 etc…
Je ne sais pas si vous êtes d’accord mais je pense les parties de la norme qui s’articulent autour du 6.1 sont plutôt des exigences pour « piloter l’entreprise dans le but de la faire perdurer ». Quand je vois tous ces exigences en transversale je vois un espèce de PDCA, de réferentiel dans le réferentiel qui explique de manière générale quoi faire pour piloter son entreprise avec son contexte. Les aboutissants de cette démarche en terme de satisfaction client sont plus dilués dans la masse de la norme si j’ose dire.
Pour moi ce n’est pas le cas du 6.2 où là on parle d’objectifs qualité, on se fixe des objectifs pour améliorer la satisfaction du client, le lien exigence-interêt satisfaction client est plus sensible je trouve.
D’ailleurs je me pose encore une question existentielle, pourquoi la norme distingue les actions face aux R/O d’un côté et celles liées aux objectifs qualité de l’autre?…Cela donnerait quoi si une entreprise traitait ses R/O sans se définir une politique qualité et y mettre des actions en PDCA? Qu’est-ce que l’un apporte que l’autre n’apporte pas?
Merci à vous.
Passez une bonne journée!
3 février 2021 à 18 h 27 min #19455Je vais tacher de vous répondre mais en précisant que je ne suis pas forcément l’unique référent dans ces interprétations. Je fonde mes réponses sur 25 années d’expériences (j’ai vu évoluer les référentiels et échangé avec des instances au cœur de ces évolutions), mes relations avec plusieurs organismes de certification et le fait que j’interviens pour plusieurs d’entre eux en tant qu’auditeur de certification.
Mais d’autres points de vues et d’autres avis peuvent être riches ici : avis à qui souhaite participer sur ces interprétations
C’est donc mon point de vue que ce qui suit va refléter…
A part la version 2008 qui a été un gigantesque pipeau planétaire (une absence quasi totale d’évolution déguisée en révolution entre la version 2000 et la version 2008) chaque évolution voit son lot d’avancées fondées sur les différents groupes de travail de chaque pays.
Mais il faut considérer que ces évolutions doivent obéir à plusieurs exigences qui vont au-delà de la logique de renforcement des systèmes de management et notamment doivent être « absorbables » (pour des raisons d’accompagnement de maturité autant que que commerciales afin de garder un maximum de personnes dans le bateau).
Aussi logiques soient-elles, les avancées ne doivent pas trop dépasser la capacité d’absorption moyenne des entreprises et de leurs Directions. Par exemple : intégrer les notions de contextes et d’enjeux est une jolie manière d’aborder la stratégie sans le faire (du moins, pas encore). Jusqu’en version 2015, un système de management pouvait être certifié en étant, dans certains cas, déconnecté de la stratégie (à la pertinence prêt des 20% d’audit.eurs.rices capables d’enfoncer des portes et de démontrer ce manque). Pour autant, si le référentiel abordait en version 2015 la notion toute basique d’aligner (d’intégrer, de calquer, de mettre au service etc…) le système de management à la stratégie, il y a fort à parier que certaines entreprises diraient « on se calme, qu’est ce que notre stratégie vient faire ici, contentez-vous de vous occuper de la qualité et laissez-nous bosser ».
Nous le savons, c’est dommage, mais toutes les Directions ne sont pas encore capable d’entendre que, derrière la notion de « système de management de la qualité » se trouve, pour être efficace et utile, un « système de management » tout court, au service d’une stratégie.
Alors, prendre la chose par un autre bout en se disant « tout de même, assurez vous que votre système est adapté à un contexte et un enjeu » est une manière progressive d’apporter le concept de « veillez à ce que le système de management de la qualité soit logique avec votre stratégie », pour un jour pouvoir dire « faites du système de management un outil de votre stratégie au même titre qu’un autre ».
Pas à pas, voilà comment évoluent des concepts tels que les risques : nommés « actions correctives » en ISO 9001:1987 (ch. 4.14 c) , puis « actions préventives » en ISO 9001:1994 (ch. 4.14.3), puis « actions préventives » avec un peu plus de choses en ISO 9001:2000 (ch. 8.5.3), on oublie la version 2008 sans intérêt, puis en risques en ISO 9001:2015.
Les autres normes HLSiennes ayant globalement connu ces mêmes mues.
Sur un autre principe : toutes les exigences, sans exception, sont définies afin de faire « perdurer » l’entreprise mais parce que cette capacité à durer est basée sur la capacité à contribuer à une stratégie, à apporter des outils pour projeter la stratégie et anticiper les évènements.
La lecture R/O et objectifs n’est pas déconnectée l’une de l’autre et, si vous voyez (à raison) l’ensemble d’un système comme un ensemble de boucles d’amélioration : les risques et opportunités peuvent permettre d’identifier des objectifs pertinents (salvateurs même) dont vous pouvez identifier des risques dans la non atteinte de ces objectifs, qui peuvent dont vous permettre d’identifier des objectifs pertinents dont vous pouvez identifier des risques…
Le norme est écrite de gauche à droite et de haut en bas parce que c’est notre convention d’écriture et induit un raisonnement séquentiel. Mais si vous la regardez de manière globale en extirpant et en assemblant ce qui est pertinent dans votre contexte : plus de questions existentielles…
Petite application modeste et limitée et l’hypothèse de Sapir-Whorf…
3 février 2021 à 19 h 46 min #19460Oui il y a une certaine réticence de certaines directions. Si j’ai bien compris vos propos:
D’un côté il doit y avoir des directions qui gèrent leurs risques et opportunités comme dans l’ISO 9001, mais sans vouloir le reconnaître et qui ne veulent pas que cela soit inclue dans le système qualité (ID, revue de direction). « Parce que ce ne sont pas les affaires du service qualité ». Même si leurs gestion est tout a fait efficace.
D’un autre côté il doit y avoir des directions qui ne gèrent pas leurs risques et opportunités ou pas de manière efficace et qui dirigent leur entreprise comme si ils étaient dans une boîte. Qui disent « Ce n’est pas une norme de qualité qui va me dire comment manager mon entreprise, je sais ce qui est bon ou mauvais pour elle »
Lorsque que vous avez audité des entreprises au cours de votre carrière, comment procédiez-vous concrètement pour cerner:
1)la stratégie de l’entreprise?
2)si les enjeux déterminés en 4.1 sont pertinents par rapport à cette stratégie?
3)si les enjeux déterminés en 4.1 sont pertinents par rapport à la finalité?
..les questions que vous posiez?les docs que vous demandiez? Quelles étaient vos astuces?
Merci
4 février 2021 à 8 h 14 min #19464AnonymeHello !
Une petite réflexion dans le sens R/O apparaissant dans l’ISO 9001 (et autre consoeurs de SMQ) : c’est aussi peut-être un effet induit par l’arrivée de la supra-structure HLS des normes de SM. Pour adopter cette structure générale commune et sachant que de leur coté les métiers de la prévention des risques environnementaux et professionnels typiquement ont depuis toujours l’approche par les risques dans leur ADN, il fallait bien qu’en Qualité on aborde clairement les risques…
D’ailleurs je ne partage pas vraiment l’idée que « Les autres normes HLSiennes aient globalement connu ces mêmes mues » (mêmes que l’ISO 9001), les normes de SMS&ST ou SME ont toujours été fondées sur l’identification des risques. Avec sa version actuelle l’ISO 9001s’est alignée si j’ose dire.
Autre réflexion, dans le passé les « vielles » notions Qualité d’actions préventives ou correctives n’avaient tout de même pas le goût actuel de la prévention des risques dans ou pour un MQ. Les deux notions étaient plutôt finales et réactives (et je dirais presque de l’ordre du contrôle Qualité) en cas de NC produit (selon l’effet potentiel ou effectif des NC constatées), plutôt qu’initiale et proactives.
A+
11 février 2021 à 20 h 30 min #19532Bonjour,
Dans le 4.1 de l’ISO 9001 on dit « L’organisme doit déterminer les enjeux qui sont pertinents par rapport à son orientation stratégique », mes questions sont les suivantes:
1)Qu’appelle-t-on exactement « Orientation stratégique » en entreprise?
2)Quel serait un enjeu qui ne serait pas pertinent par rapport à l’orientation stratégique d’un organisme? Si vous pouvez me donner un exemple..
3)Si une entreprise détermine un enjeu qui n’est pas pertinent par rapport à son orientation stratégique en quoi est-ce problématique ?
4)Lorsqu’un auditeur audite une entreprise, comment procède-t-il pour voir si les enjeux que l’entreprise a déterminé sont pertinents par rapport à son orientation stratégique? Comment peut-il trouver la preuve que l’organisme respecte cette exigence?
Merci:)
12 février 2021 à 9 h 05 min #19533AnonymeHello !
Aug, en attendant de répondre peut-être plus précisément à d’autres de tes questions voici des éléments de réflexion à propos des « orientations stratégiques » d’une entreprise :
Pour l’ISO une stratégie est un « plan pour atteindre un objectif à long terme ou global ». Disons que les « orientations » stratégiques sont les principaux volets de ce « plan ».
Quand on parle de stratégie d’une entreprise (celle de sa direction) c’est évidement au niveau global du devenir de l’entreprise. Cette stratégie n’est pas un élément du SMQ ou d’autres SM, par contre ces SM doivent bien sûr la soutenir, d’où sa prise en compte en amont pour la définition et le fonctionnement de chaque SM.
Par opposition à une direction qui conduirait l’entreprise « à l’intuition et à la petite semaine », définir une stratégie c’est mûrir une vision (à 5 ans généralement) vers laquelle conduire l’entreprise via certaines évolutions choisies. A titre de simple illustration voici les orientations stratégiques que s’était donné l’ISO pour ces dernières années : https://www.iso.org/files/live/sites/isoorg/files/store/fr/PUB100364_fr.pdf
On pourrait dire que la stratégie d’une entreprise (stratégie globale ou propre à un domaine Q par exemple) transparaît ou est documentée dans sa politique correspondante*. Par contre définir la stratégie de l’entreprise n’est pas une exigence de la norme ISO 9001. Son exigence est « simplement » d’en tenir compte pour la compatibilité du SMQ si j’ose dire (idem pour d’autres domaines structurés de management de l’entreprise). Encore faut-il que la direction ait effectivement construit sa stratégie…
* Remarque : la direction ne communique pas forcément à tout va sur ses orientations stratégiques globales, mais doit le faire sur sa politique Q selon ISO 9001.
A+
12 février 2021 à 10 h 11 min #19535Bonjour Henri,
Merci pour vos explications.
En faite si on voit les choses dans l’ordre chronologique.
Avant de parler stratégie, la direction doit d’abord avoir une vision (où elle veut que l’entreprise soit dans 5-10 ans).
Elle définit ensuite comment atteindre cette vision via une stratégie ou une orientation stratégique (pour moi c’est la même chose, je ne vois pas trop la différence).
En faite dans mon entreprise, on est assez « traditionnels » si j’ose dire, on est une petite PME. La direction n’a pas de vision ou de stratégie aussi élaborée, travaillée que la direction d’une grosse industrie. Disons que sa stratégie pour arriver à sa vision c’est de traiter les risques et opportunités justement^^. On ne fait pas de master plan, de carte stratégique, de réunion stratégique etc..
Vision: »Voilà on veut que dans 10 ans l’entreprise ne soit pas en décroissance mais au contraire qu’elle se développe, qu’on est plus de marché etc, c’est notre vision » çà n’est pas plus détaillée que çà
Stratégie: 4.1 et 4.2 : »Maintenant, aujourd’hui et tout au long de ces 10 ans, qu’est-ce qui peut nous aider ou nous perturber à atteindre cette vision? Quels sont nos risques et nos opportunités?. »
==>SWOT « Durant ces 10 ans, qu’est-ce qui à l’intérieur ou à l’extérieur de l’entreprise peut aider ou perturber l’entreprise à sa prospérité, à son développement »
==>PIP « Durant ces 10 ans, quels sont les partis qui peuvent nous mettre des bâtons dans les roues pour atteindre nos objectifs si on ne les satisfait pas (et quelles sont leurs attentes?)
==>6.1″SWOT et PIP on en retire des risques et opportunités. On ne peut pas tous les traiter donc on choisit ceux qui sont les plus pertinents de traiter
==>Les R/O partent en PA et ils sont PDCA par la suite
Est-ce que cela vous semble pertinent et conforme à la norme?
Merci
12 février 2021 à 13 h 32 min #19536Anonyme(suite)
Bin euh… si la stratégie de la direction se résume à « développer les parts de marché de l’entreprise d’ici 10 ans » c’est par rapport à cette stratégie qu’il s’agit de déterminer les enjeux externes/internes les plus susceptibles d’influencer les résultats Q de l’entreprise via son SMQ, cf art 4.1 de l’ISO 9001. Par contre son art 4.2 ne mobilise pas les orientations stratégiques de la direction. Mais d’autres articles les évoquent toujours dans l’idée que le SMQ soit en accord avec.
D’autres avis ?
21 février 2021 à 10 h 59 min #19570Aug24, les efforts de compréhension que vous déployez sont courageux et louables et surtout : persévérez ! Bravo !
Mais prenez également le temps de considérer les exigences comme un tout et non comme une chronologie.
Et là : vous verrez que beaucoup de choses deviennent bien plus évidentes
-
AuteurMessages
- Vous devez être connecté pour répondre à ce sujet.