[Henri]

Hello !

Thaumasia, j’ai effectivement un peu perdu le fil de ton long message (le sujet ici c’est la compréhension de certaines exigences ISO 9001, ce n’est pas de faire de la retape pour ce que toi tu proposes à tes prospects au-delà de ces exigences…) et je n’ai pas vraiment saisi son rapport avec le “piège” que je perçois dans 6.1.1 et 6.1.2.

Deux rebonds néanmoins :

– Quel rapport fais-tu donc entre le DUER (réglementation management S&ST) et l’ISO 9001 (normalisation Q) ? Il n’y en a pas.

– Je trouve que tu n’as pas répondu à mon questionnement sur la maîtrise d’un risque (comment et sur quoi la “maîtrise” d’un risque agit-elle pour moduler sa “criticité” ? Que réduit-elle (puisqu’elle abaisse la “criticité” du risque). Bref, que change-t-elle dans le risque ?

A+

[Henri]

(suite)

Thaumasia, je veux bien… documenter un portefeuille* de “tous” les risques y compris ceux “faibles” (= ceux déterminés d’emblée comme inutiles à prendre en compte ou devenus tels car déjà “pris en compte” avec succès par le SMQ dans le passé), au cas où les uns s’activeraient ou les autres se réveilleraient à l’avenir… Je veux bien que cet inventaire serve de base de révision périodique des risques à déterminer éventuellement comme “nécessaire à (re)prendre en compte” un jour dans le cadre des articles 6.1.1 et 6.1.2. Mais cette mémoire des risques qu’il n’est pas “nécessaire de prendre en compte” n’est en rien exigée ni même suggérée par le modèle ISO 9001. D’autant qu’au fond je dirais qu’elle est assurée au plus simple (au moins pour les risques déjà maîtrisés dans le passé) par le simple archivage des revues de direction, si ce n’est même dans la mémoire des directeurs.

* Ca me fait penser à notre “DUER” en S&ST (cf processus d’EvRP et enregistrement exigés par la réglementation, exigences qu’on retrouve dans l’ISO 45001, avec identification de la méthode et critères d’EvRP ; toutes choses qu’on n’a pas dans ISO 9001). 

Admettons néanmoins qu’on assure cette mémoire active des risques “faibles”. Pour le moment on n’en tire évidement pas ou plus aucune action pour leur faire face. Et je maintiens alors que le piège serait de “s’inventer” à tout prix de nouveaux risques significatifs juste pour justifier de nouvelles actions à engager selon 6.1.2. Or je crains que beaucoup d’entreprise se cassent la tête à gérer un portefeuille permanent d’actions pour faire face à des risques même bidons… c’est le “piège” à éviter. Un peu de la même manière qu’on a vu avec la précédente version de l’ISO 9001 des entreprises rédiger une prétendue “lettre d’engagement de la direction” au titre de l’ex-article 5.1.

Par ailleurs pour ma curiosité et compréhension personnelles, à propos de ta “criticité” des risques (déterminée si j’ai bien compris en combinant les dimensions “impact, probabilité et maîtrise” des risques) : comment et sur quoi la “maîtrise” d’un risque agit-elle pour moduler sa “criticité” ? Que réduit-elle (puisqu’elle abaisse la “criticité” du risque) ? 

A+

[Henri]

(suite)

On est d’accord, de toute façon une action lancée pour faire face à un risque qu’on a identifié comme devant être pris en compte est limitée dans le temps et normalement efficace (on peut à l’occasion la prolonger ou la compléter mais elle arrivera à terme). Alors le risque est traité et n’a plus à être pris en compte. Il va falloir oser dire qu’on a traité des risques et qu’à l’occasion on n’en a plus à prendre en compte…

A+

[Henri]

(suite)

Thaumasia j’ai beaucoup de mal avec l’histoire de la “criticité” des risques*, mais son emploi ne change rien : si on a correctement “fait face à un risque” (cf 6.1.2), son éventuelle “criticité” est au plus bas, autant dire que le risque n’en est plus un… et en tout cas qu’il n’y a absolument plus aucune raison de continuer à considérer ce risque comme “nécessaire de prendre en compte dans le SMQ” (cf 6.1.1) par une nouvelle action ! Sinon ça voudrait dire que son éventuelle “criticité” serait restée significative… ou je me trompe ?

* j’imagine que tu voulais parler de la criticité des risques et non de la criticité des actions, ton clavier a fourché.

Avec ou sans “criticité” ma remarque reste, la direction est prise au piège comme je l’ai évoqué.

“Sur le principe” (mais quel principe ?) ou pas, que très peu d’actions pour faire face aux risques disparaissent… est tout à fait anomal ! Sauf à reconnaître alors qu’elles sont généralement inefficaces ! Mais si elles sont normalement efficaces elles disparaissent avec les risques auxquels elles ont fait face, et en 6.1.1 il faut oser constater qu’on n’a plus vraiment de risques à prendre en compte ou alors il nous reste à en “inventer” à tout prix… Le piège est là.

D’autres avis ? A+

[Henri]

Hello !

Alors je rends à Delphine ce qui n’appartient pas à Thaumasia.

Delphine, quand on décline un objectif “global” par processus, au niveau de chacun de ces processus on a bien “1 indicateur par (sous)objectif”, mais ce n’est pas pour autant qu’on a “1 objectif global <=> plusieurs indicateurs”… et le fond du problème est justement de savoir comment on apprécie la tenue de l’objectif global dans ce cas. C’était ma question.

Dans l’exemple on peut effectivement constaté que le processus “client publics” a dépassé son objectif et que le processus “clients  privé” n’a pas atteint le sien. Mais je me demande bien comment tu peux affirmer que l’objectif global de la direction n’est pas atteint.

La seule dispo des indicateurs processus ne suffit absolument pas pour dire si l’objectif global est atteint ou pas, il lui faut bien son propre indicateur (ce qui illustre “1 objectif global <=> plusieurs indicateurs“). En l’occurrence l’objectif global de la direction peut parfaitement avoir été atteint si le portefeuille “clients publics est sensiblement plus gros que celui du portefeuille “clients privés”… dans ce cas l’augmentation du taux de satisfaction de l’ensemble des clients peut dépasser +20% malgré la moindre performance d’un des processus.

Ici un petit calcul montre que l’objectif global +20% est atteint si l’entreprise a environ 2 clients “publics” pour 1 client “privé” (en dessous ce cette proportion la croissance de +20% du taux de satisfaction visé n’est pas atteinte).

Walid, même si on est passé par la déclinaison d’un objectif en sous-objectifs je confirme qu’un objectif ne peut être suivi que par un seul indicateur.

A+

[Henri]

Hello !

Pareil pour moi :

1 – Lors de sa revue périodique du SMQ la direction doit se demander si les enjeux pertinents qu’elle a identifiés pour son SMQ (cf 4.1) ont évolué, et réagir le cas échéant. Si ces enjeux n’ont pas évolué, il n’y a à rien de nouveau à envisager.

2- De même lors de cette revue la direction doit s’interroger sur l’efficacité des actions qu’elle a déployées face aux risques et opportunités qu’elle a déterminés pour son SMQ (cf 6.1).

Remarque à propos de la prise en compte de l’efficacité de ces actions dans la revue de direction : là la direction est un peu coinçée je trouve. Si elle considère que ses actions ont été efficaces (ce qui est globalement fort probable ou alors c’est que la direction n’a pas été pertinente dans son analyse et ses choix), alors les risques et opportunités correspondants disparaissent, et la direction va devoir plus ou moins se forcer à en “inventer” d’autres à terme… Sinon il sera difficile de considérer en regard des exigences 6.1 qu’on n’en a plus… Ou alors pour continuer à avoir du grain (R&O) à moudre il va falloir se forcer à considérer que les actions engagées n’ont pas été (assez) efficaces afin de pouvoir les reconduire (?) ou plutôt en déterminer d’autres… mais lesquelles d’une plus grande pertinence pour ces mêmes R&O auxquelles on n’auraient pas déjà pensé précédemment ? Le devenir de ces R&O dans le temps me rend perplexe…

A+

[Henri]

Hello !

Bon je crois que c’est clair pour tout le monde : 1 objectif <=> 1 indicateur ! 

A+

[Henri]

PS à propos de mon illustration de la problématique de suivi d’un objectif avec plusieurs indicateurs : je reste curieux de vos réponses à ma question sur la proposition de Thaumasia (qui suggère qu’un objectif pourrait être suivi par plusieurs indicateurs).

Je rappelle ce cas d’école : un objectif de +20% sur l’année du taux de satisfaction des clients suivi est suivi à l’aide de deux indicateurs, le “Taux de satisfaction des clients publics” et le “Taux de satisfaction des clients privés”. Si par exemple en fin d’année le 1er indicateur arrive à +25% et le 2ème à +12%… l’entreprise a-t-elle atteint ou pas son objectif de +20% de taux de satisfaction clients ?

A vous lire pour confirmer ou infirmer ma réponse à la question initiale de Walid.

[Henri]

(suite suivante)

QQ rebonds :

– Walid si tu ne veux pas trop en dire sur les objectifs de l’entreprise dans son MQ, il te suffit de ne pas les mentionner dans le MQ… D’autant qu’ISO 9001 n’exige rien de tel* et n’exige même pas de MQ !

* il y a bien une exigence de communication des objectifs (article 6.2.1), particulièrement en interne (7.3), mais l’entreprise est libre de la pertinence de sa communication externe notamment (7.4). 

– Faute d’illustration (ne serait-ce qu’avec l’exemple de Thaumasia ?) je ne suis pas certain d’avoir complètement saisi ton mode de combinaison en “poids et nature” d’impact des sous-indicateurs mais je perçois que c’est un mode d’élaboration d’une sorte d’indice d’atteinte des objectifs globaux.

– D’une certaine manière tes sous-objectifs “ne sont que” les actions du plan d’action décidé pour atteindre l’objectif. Si toutes les actions sont menées à bien et efficace l’objectif a des chances d’être atteint. 

A+

[Henri]

(suite suiveuse)

Thaumasia, comme nous sommes en phase cette fois, je vais aller un peu plus loin. Ok pour dire la certification d’un système est censée reconnaitre la capacité d’un organisme à déployer un système de management pour son propre bien et celui de ses parties intéressées, mais il faut ajouter qu’elle n’atteste pas de la réussite de l’entreprise pour le bien de ses parties intéressées.

Ton exemple est fort intéressant, mais je trouve qu’il a encore un petit goût de confusion “SM = certification”. Ce qui est vraiment dommage dans le cas de ton client c’est qu’il ne va pas au bout de son idée. Pour être cohérent il ne devrait pas faire “certifier” son SMQ, mais seulement le faire “auditer” par des auditeurs externes compétents (posture que j’ai réussi à faire adopter plusieurs année par une entreprise du CAC40). Et il pourrait aisément communiquer dans ce sens auprès de ses clients (ISO 9001 est aussi faite pour ça).

J’ai eu plusieurs fois l’occasion d’aborder “hors micro” ce sujet avec des auditeurs de certif, et plusieurs auraient préféré auditer plus souvent “hors perspective de certification” pour avoir des rapports plus sains avec leurs clients et éviter à l’occasion le grand écart face à des SM “bachotes la veille” mais à qui il fallait pourtant livrer la sacro-sainte certification (c’est le marché). Mais c’est sûr cette approche ne fait pas l’affaire des organismes certificateurs.

J’ai aussi exemple (vécu) ubuesque : il y a un certain temps une de nos structures était proche de la certif et voilà-t-y pas que le Qualiticien change de crémerie ? Réaction de la direction : on reporte la certif en attendant de trouver un nouveau Qualiticien… Quand on sait qu’ISO 9001 comporte toutes sortes d’exigences sauf celle d’avoir un Qualiticien on peut douter du leadership et de l’engagement de cette direction dans “son” SMQ ! C’est peut-être aussi le revers de la médaille des “Qualiticiens” qui se font appeler “RQ” comme s’il était responsables de la qualité.

A+

[Henri]

Hello !

Désolé Maryam mais je ne dispose pas de la norme ISO 17025, donc difficile de rentrer dans les détails. Mais je peux donner une réponse générale (sachant néanmoins que ISO 17025 et 9001 ont des finalités et des champs différents).

Donc ton laboratoire d’analyses microbiologiques des eaux est déjà accrédité selon l’ancienne version de l’ISO 17025 et veut  s’actualiser selon sa version actuelle. Par ailleurs il a déjà adopté la version actuelle de l’ISO 9001.

Ces deux référentiels formulent chacun un certain nombre d’exigences. Pour les appliquer tous les deux on a deux cas : quand ces exigences respectives sont différentes, il s’agit de les satisfaire chacune dans le cadre de leur référentiel, quand elles se rapprochent beaucoup ou sont quasi identiques on fait d’une pierre deux coups ! Mais quel est ton besoin ou ta véritable problématique en fait ?

Autres réflexions : ISO 17025 formulant les exigences générales de compétence, d’impartialité et de cohérence de fonctionnement des laboratoires je pense qu’elle se marie bien avec l’article 7.2 “Compétences” de l’ISO 9001 pour commencer. J’imagine qu’ISO 17025 exige également certaines documentations qu’on peut judicieusement gérer en accord avec l’article 7.4 “Documentation” de l’ISO 9001. Au fond ISO 17025 est également une sorte d’exigences applicables aux produits de ton entreprise, à ce titre elle relève de l’art 8.2 “Exigences relatives aux produits et services” de l’ISO 9001. Etc…

… 

A suivre.

[Henri]

Delphine… je dirais même plus… ah non je dirais la même chose…

[Henri]

(suite)

Emyy, selon la nature de tes produits et des NC réglementaires en question, ces NC réglementaires constitueront effectivement une NC plus ou moins majeure dans l’audit du SMQ, mais ça n’empêchera pas la certification du SMQ puisqu’ISO 9001 n’exige pas la conformité réglementaire. Par contre espérons que ça pousse ton entreprise à travailler la question.

Thaumasia, quand tu évoques “ce que la certification devrait produire : l’amélioration en premier lieu” dans ton message (dont je partage divers aspects) je trouve que tu illustre bien la confusion “SM = certification” rabâchée par beaucoup. Je suis désolé, mais l’amélioration qu’on espère et qu’on constate souvent est produite par l’élaboration (sur un modèle X ou Y) et la mise en oeuvre éclairée d’un SMQ par l’entreprise, et non par la certification prononcée par un organisme certificateur sous-traitant l’audit du SMQ à un intervenant ! Mes expériences personnelles me l’ont clairement montré et je ne suis certainement pas le seul dans ce cas.

A+

[Henri]

(suite)

Désolé Walid, mais ton document est exprimé d’une manière bien trop générique. Il est impossible de débattre de la pertinence de suivre l’atteinte d’un objectif global W non formulé à l’aide de plusieurs indicateurs x, y et z non formulés… (c’est comme si tu demandais par ailleurs “une action # est-elle judicieuse pour traiter la Non-Conformité § ?”). Et j’en reste à “1 objectif <=> 1 indicateur”.

Alors que je pourrais facilement dénoncer la perspective de suivi d’un objectif chiffré “augmentation des clients très satisfaits” avec un indicateur chiffré “taux de rebut en production” et un autre “augmentation du CA” par exemple (de principe)…

Par contre je note que tu introduis de fait la déclinaison d’objectifs globaux en objectifs opérationnels. Cette déclinaison se marie bien avec l’affectation d’1 indicateur pour 1 objectif. Et ton tableau pourrait évoluer de ceci…

Objectif global  /  Indicateur  /  Cible  /  Actions-Objectifs opérationnel  / Processus concerné / Structure

… en quelque chose de ce genre :

Objectifs globaux  / xxxx  /  Sous-objectifs opérationnels  / Indicateurs-Cibles  /  Processus-Structures responsables

La colonne “xxxx” figure des Indicateurs-Cibles “combinant” ceux de tes éventuels Sous-objectifs opérationnels qui déclinent un objectif global. Mais il reste alors à “inventer” au cas par cas le mode de “combinaison pertinente” de plusieurs sous-indicateurs si j’ose dire pour composer l’indicateur global d’un objectif global (c’est tout le problème d’un “balance score-card” par exemple).

Illustration de cette problématique de combinaison avec l’exemple pris par Thaumasia d’un objectif d’augmentation du taux de satisfaction des clients de +20% sur l’année avec deux indicateurs : 1 le “Taux de satisfaction des clients publics” et 2 le “Taux de satisfaction des clients privés”. Admettons qu’en fin d’année l’indicateur 1 arrive à +25% et l’indicateur arrive à +12%… Je suis curieux de savoir qui peut répondre à cette question : l’entreprise a-t-elle atteint son objectif global de +20% de taux de satisfaction clients ?

A+

[Henri]

(suite)

La discussion en cours ne porte pas sur certaines exigences ISO 9001 qui se révèleraient non applicables dans une une entreprise, mais à l’inverse sur la volonté d’une direction (gênée aux entournures par les libertés qu’elle prend avec la réglementation) ne pas appliquer le modèle ISO 9001 à une partie de l’entreprise.

La question du sens ou de la crédibilité d’une certification de SM est effectivement une autre question. Personnellement je n’ai jamais lu d’étude significative sur l’apport spécifique d’une certification de SM (en plus de ce qu’apporte le SM lui-même). Les acteurs du domaine font tout pour qu’on confonde le concept de SM et la notion de certification. Mais en tout cas si certains pays faiblissent en certification de SM ce n’est probablement pas pour rien (cette certification étant un produit comme un autre).

Le beau certificat affiché dans une entreprise (hall d’entrée, bureau du patron, salles de réunion…) et le logo ISO xxxxx collé sur les véhicules de l’entreprise restent un véritable un écran de fumée par rapport au niveau de pratique et performance de l’entreprise dans le domaine de management visé. Les parties intéressées seraient bien plus “intéressées” justement qu’on leur communique les conclusions du dernier audit SM… Mais c’est effectivement une autre histoire, bien qu’au fond la direction d’Emyy me semble justement rechercher cet écran de fumée.

A+

[Auteur]

Messages