Toutes mes réponses sur les forums
-
Messages
-
Thaumasia, ce genre de réflexion relève bien plus d’un message personnel, ne représentant aucun intérêt public, que d’une contribution à l’évolution de la discussion lancée par Mademoiselle, comme c’est la vocation d’un forum. A+
Hello !
Mademoiselle, plutôt que de te répondre que je ne peux pas contribuer à ta phase documentaire de départ je préfère nourrir ta réflexion par qq commentaires.
Pour un tel sujet ma première base de réflexion serait les exigences de la norme NF EN ISO 19011 “Lignes directrices pour l’audit des systèmes de management”. Les conditions d’audit et notamment les compétences des auditeurs y sont précisées et alimenteront largement l’identification de risques que tu cherches à mener. C’est évidemment de là que nous étions partis dans ma boutique à une époque où nous voulions monter un “corps d’auditeurs internes”.
Une approche intéressante pourrait en particulier consister à considérer les risques relatifs au processus d’audits internes (qualité ou autre) par différence avec les audits “externes”. Sous cet éclairage la question de l’indépendance de l’auditeur interne / processus audité est par exemple un aspect problématique, par contre la confidentialité est à l’inverse une problématique de l’auditeur externe, etc…
Mais dans tous les cas et par expérience et pratique personnelle, je pense que le risque premier est l’incompétence de fond (théorique et pratique) de l’auditeur dans le domaine de management audité (j’ai croisé de nombreux auditeurs insuffisamment compétents dans tel domaine “X”, bombardés auditeurs “X” après avoir bénéficié d’une formation en technique d’audit et d’une formation au référentiel d’audit du domaine “X”, alors que leur métier-expérience c’était le domaine “Y”).
Autre réflexion, mais finalement sans grand rapport avec ta problématique, je pense que les entreprises qui font certifier leur SM ne devraient même pas avoir à mener des auteurs internes, puisque audits de suivi ou audits internes* c’est le même combat en fait ! Pourquoi gaspiller les ressources humaino-financières de l’entreprise ?
* ils peuvent être menés par des auditeurs externes…
A+
(suite)
Qu’on le veuille ou non, le terme de “processus” utilisé par telles normes est un terme générique* qui peu ou prou représente les “fonctions” ou “services” de l’organigramme d’une entreprise, pour ne pas dire des “directions”, même si elle ne les individualise pas toutes. En pratique les fonctions-services-ou-drections d’un organigramme sont des groupements de responsabilités de processus…, groupements plus ou moins massifs ou au contraire détaillés dans l’organigramme selon la taille** de l’entreprise.
* afin de pas présumer du vocabulaire employé ici ou là, tout comme l’emploi du terme générique “organisme” permet de pas présumer du type de structure (entreprise, groupe, association…) auxquelles peut s’appliquer telles normes.
** ex : toutes les entreprises on de fait une fonction “RH” dans le sens “processus”, ce qui ne veut pas dire qu’elles ont toutes une “DRH”. Mais le terme de processus peut être compris à une maille plus fine que direction par exemple (on peut déterminer plusieurs processus ou sous-processus dans une fonction-service-direction RH).
Tout ça pour dire que les “processus” et les “fonctions-services-directions-etc… d’un organigramme” s’emboîtent et qu’ils ne se combinent pas tous forcément en “matrice”. Une direction (si ce vocabulaire est employé dans ‘entreprise) porte forcément des processus (sinon quoi d’autre ?) et aucun processus n’est orphelin de direction. Donc envisager une matrice processus x directions, c’est forcément une matrice processus x processus en réalité. Personnellement je vois bien ce qu’on appelle les “processus supports” (tel que le processus-fonction-service-direction RH typiquement) se combiner en transverse (matrice) avec “processus opérationnels” de l’entreprise, mais je vois mal deux processus “clients” se croiser pour les mêmes clients…
Si je reprends le cas de Lilya, que sont les responsabilités et autorités des processus “clients entreprises” et “clients grand public” s’ils ne comportent pas celles de “relation clients” par exemple confiées à un autre processus ? Alors qu’il est tout à fait compréhensible que ces deux processus opérationnels soient “matricés” en autres par un processus support “RH”.
A+
Hello !
Thaumasia, pour qu’on comprenne bien peux-tu illustrer cette approche “matricielle” en regard des exigences processus 4.4.4 de l’ISO 9001 (dont l’attribution de responsabilités et autorités pour ces processus), et du rôle résiduel des “directions* produits ou prestations” ? Concrètement dans l’organigramme où se trouvent les personnes ayant un rôle “processus” par rapport aux directeurs ayant le rôle “produits ou prestations” ?
* inexistantes dans la norme.
A suivre.
.Hello !
Lilya, dans la détermination des processus (ISO 9001 4.4.1) l’exigence e) (“attribuer les responsabilités et autorités pour ces processus“) induit la séparation des processus visant les client “entreprises” et “grand public” puisque telle est l’organisation de ton entreprise sur ce point. Je ne vois pas bien comment une de tes deux directions en charge de tels clients pourrait se voir attribuer des responsabilités et autorités en ce qui concerne le portefeuille clients de l’autre direction… sauf à fusionner ces deux directions en une seule !
A propos de tes revendeurs : ce sont des “clients” de ton entreprise, pourquoi le processus relation client n’en tiendrait-il pas compte ? Ils ont simplement leurs propres profils, comme tous tes autres clients… A moins que je n’aie pas compris ce que sont tes “revendeurs”.
A+
Hello !
Chougra, il faut que tu relises le point 0.3.3 de la norme ISO 9001 et tu comprendras que ce qui était les “actions préventives” dans le volet amélioration du SMQ (ex 8.5) jusque alors, sont devenues les actuelles “actions pour traiter les risques & opportunités” dans le volet planification (6.1) du SMQ…
Quel besoin actuel de “procédure” évoques-tu ?
A+
Hello !
Ici on ne peut que bavarder et par écrit encore ! Mais certains bavardent plus longuement que d’autres. Pour ce qui est des proverbes chinois (que ce soit l’année du chien ou une autre) faisons global et court : http://www.unproverbe.com/proverbes-chinois.html
Au plaisir.
(suite)
Un conseil encore (!), il est toujours préférable d’assumer et d’expliquer ses idées même si certaines sont contrariées par d’autres plutôt que d’éluder la contradiction (vraiment l’essentiel de la direction n’est pas que son “engagement / la certification” !). C’est tout l’intérêt des échanges et la richesse des différences.
Sans aller chercher bien loin, voici des illustrations opportunes pour Charles (il y en a bien d’autres qui positionnent également le leadership de la direction bien au-dessus du bout de la lorgnette “certif”) : http://www.qualiblog.fr/documentation/la-cartographie-des-processus-soyez-originaux/ (même certains termes datent un peu).
A+
Hello !
Plus haut Thaumasia donne une vision possible des processus d’un SMQ ISO 9001 dont les deux premiers* m’intriguent : le “Management de l’entité / management de l’entité (engagement de la direction dans la démarche de certification)” et la “Qualité SMQ (ou “Management de la qualité”) / Qualité SMQ (suivi de la norme et de son application sur le site)”.
* Les autres processus illustrent l’organigramme et les fonctions classiques dans une entreprise.
Je ne perçois ou ne comprends pas pas ce doublon. C’est vraiment réduire à une peau de chagrin le rôle pourtant majeur de la direction d’une entreprise au seul “détail” accessoire qu’est la certification**. C’est transfigurer (voire falsifier !) les exigences ISO 9001 à charge de la direction (mais je veux bien être détrompé sur pièces). Alors que le “management de la qualité” c’est justement l’objet même d’un SMQ dont la conduite est la responsabilité majeure de la direction, non ? Je trouve que ce doublon de processus formule vraiment très le processus de management Q d’une entreprise par sa direction.
** Ce n’est même pas une exigence ISO 9001, alors si une direction ne “porte” que ça c’est qu’elle n’a rien compris à la finalité d’un SMQ.
D’autres avis ou éclairages ?
(suite)
Charles permets-toi d’aborder l’audit de ton SMQ de manière pertinente même si tu es peu expérimenté en la matière (?) et/ou lent pour commencer. Le but d’un audit n’est pas d’identifier ou analyser des risques mais de faire une sorte de double comparaison (ton SMQ de principe / son modèle normatif, ton SMQ de principe / sa pratique) afin d’identifier des écarts (à réduire ensuite pour améliorer le SMQ).
A+
Hello !
Charles, en procédant ainsi dans le sens “Processus => Chapitres” je crains que tu pratiques un audit très déséquilibré de ton SMQ : certains “chapitres” de la norme sont sur-audités (gaspillage de ressources auditeur) en les sondant via de nombreux (pilotes de) processus, d’autres sont sous-audités (audit partiel en fait) en les traitant via un seul ou deux (pilotes de) processus alors que leurs effets doivent se constater dans d’autres processus. Je ne pratique pas ainsi. D’autres avis ?
A+
Hello !
Chapitres de la norme à auditer par processus : audit ou pas, je crois que tu poses très bizarrement ta question Charles de savoir quels chapitres du modèle normatif de ton SMQ (l’ISO 9001 probablement) correspondent à tes différents processus. En effet c’est plutôt l’inverse, il s’agit de savoir quels processus* de ton SMQ correspondent aux chapitres de la norme**… Et là il n’y a que toi qui puisse le dire ! Et d’ailleurs ce n’est pas la norme (ses chaipitres) que tu vas auditer mais l’application de ton SMQ (ses processus) en déclinaison de la norme.
* Les chapitres de la norme sont connus, mais j’ignore quels sont les processus de ton SMQ… alors je ne peux pas les relier.
** La norme est le modèle de ton SMQ, qui n’en est qu’une application, une déclinaison, il ne faut pas renverser les choses.
Externalisation de certains processus du SMQ d’une entreprise Y dans un groupe : que ces processus soient externalisés dans une autre entreprise du groupe ou dans une entreprise indépendante du groupe ne change rien. La direction Y doit les identifier et les maîtriser en tant que tels selon les exigences de la norme (8.4 “Maîtrise des processus, produits et services fournis par des prestataires externes”).
A+
Hello !
Cette présentation, qui survole le sujet car trop générale, date du projet DIS1 (été 2016 – vote négatif). Depuis l’ISO a planché sur un projet DIS2 (été 2017 – vote positif) avec un certain nombre de remarques plus ou moins intégrées dans le projet final FDIS (vote positif en janvier 2018). La publication effective de la norme ISO 45001 est prévue le mois prochain normalement. Il aura fallu plus de 5 ans pour élaborer cette norme de SMS&ST.
A tout prendre voici une autre présentation AFNOR, tout aussi générale mais plus actuelle (janvier 2018) : https://wetransfer.com/downloads/6b7b0cdbc92ef2a298d333556ecdde4b20180219144328/35c36b8f89db8280137adfeeee5d00c520180219144328/873da4
Quelques points d’interrogation / cette présentation AFNOR :
– L’ISO 45001 “Remplacera la norme BS OHSAS 18001” ? (non !)
– Elle “Tient compte des principes généraux de prévention européens et de la directive cadre de 1989 (89/391/CEE)” ?
– Elle est “Compatible avec les principes adoptés par l’OIT” ? (cf note de l’OIT ci-dessous / non respect de leur accord par l’ISO…)
– Elle “Respecte les réglementations nationales” ? (elle est souvent en deçà)
– Une de ses tendances est d’ “Intégrer le bien-être et la qualité de vie au travail” ? (c’est de la divination !)
– D’où les 3 pages sur la norme canadienne BNQ 9700-800 avec laquelle ISO 45001 n’a pourtant aucun lien ?
– Evocation de la “Participation des travailleurs dans un sens déjà développé dans OHSAS” ? (mon oeil !)Voici une autre actualité à consulter venant de l’OIT cette fois et évoquant certaines faiblesses de la norme :
http://www.ilo.org/wcmsp5/groups/public/—ed_norm/—relconf/documents/meetingdocument/wcms_586667.pdfISO 45001 sera bien meilleure que la norme britannique mais restera moins pertinente que ILO-OSH. Voir son sommaire ci-dessous.
A+
Système de Management de la Santé et de la Sécurité au TravailExigences et lignes directrices pour son utilisation ISO 45001 – projet définitif
Avant-propos
Introduction
1 – Domaine d’application
2 – Références normatives
3 – Termes et définitions
4 – Contexte de l’organisme
4.1 Compréhension de l’organisme et de son contexte
4.2 Compréhension des besoins et attentes des travailleurs et des autres parties intéressées
4.3 Détermination du domaine d’application du SMS&ST
4.4 Système de management de la santé et de la sécurité au travail
5 – Leadership et participation des travailleurs
5.1 Leadership et engagement
5.2 Politique de santé et sécurité au travail
5.3 Rôles, responsabilités et autorités au sein de l’organisme
5.4 Consultation et participation des travailleurs
6 – Planification
6.1 Actions à mettre en œuvre face aux risques et opportunités
6.1.1 Généralités
6.1.2 Identification des dangers et évaluation des risques et des opportunités
6.1.3 Détermination des exigences légales et autres exigences
6.1.4 Planification d’actions
6.2 Objectifs de S&ST et planification des actions pour les atteindre
6.2.1 Objectifs de S&ST
6.2.2 Planification des actions pour atteindre les objectifs de S&ST
7 – Support
7.1 Ressources
7.2 Compétences
7.3 Sensibilisation
7.4 Communication
7.4.1 Généralités
7.4.2 Communication interne
7.4.3 Communication externe
7.5 Informations documentées
7.5.1 Généralités
7.5.2 Création et mise à jour des informations documentées
7.5.3 Maîtrise des informations documentées
8 – Réalisation des activités opérationnelles
8.1 Planification et maîtrise opérationnelles
8.1.1 Généralités
8.1.2 Élimination des dangers et réduction des risques pour la S&ST
8.1.3 Gestion du changement
8.1.4 Approvisionnement
8.2 Préparation et réponse aux situations d’urgence
9 – Évaluation des performances
9.1 Surveillance, mesure, analyse et évaluation des performances
9.1.1 Généralités
9.1.2 Évaluation de la conformité
9.2 Audit interne
9.2.1 Généralités
9.2.2 Programme d’audit interne
9.3 Revue de direction
10 – Amélioration
10.1 Généralités
10.2 Incident, non-conformité et action corrective
10.3 Amélioration continue
Annexe A Guide sur l’utilisation de ce document
Bibliographie
Index alphabétique des termes
Hello !
Désolé Abdallah, mais même un “FDIS” est publié (en diffusion restreinte) sous régime de “copyright”. Rassure-toi normalement l’ISO 45001 sera publiée officiellement le mois prochain et tu pourras donc bientôt l’acheter.
A+
Hello !
Alex en relisant le fil de discussion je réalise que je n’ai pas accusé réception de tes arguments visant à justifier l’identification d’une exigence “d’outil d’analyse des risques” dans ISO 9001 (ton “grain de sel” du 15 février, un forum étant fait pour ça) en réponse à la demande initiale de Charles cherchant une méthode de détermination des R&O.
En effet il n’y a pas de proposition d’outil* d’analyse des risques à faire pour répondre au fameux paragraphe 6.1 de cette norme (Actions à mettre en œuvre face aux R&O) car la norme ne demande que leur identification (6.1.1). D’où ma frilosité à reformuler cette exigence de détermination en une exigence d’analyse comme l’a fait Thaumasia* et à l’instrumenter dans la foulée avec une méthodo élaborée passant par des critères et une cotation. Mais on pouvait discuter de méthodes de “détermination”…
* En général les normes de SM n’impose aucun “outil” par rapport à leurs exigences.
Or les propositions de Thaumasia son carrément (!) titrées “Présentation de l’exigence et du déploiement de la gestion des risques et opportunités selon la norme ISO 9001:2015” (il me semble que malgré ce titre ces propositions ne portent d’ailleurs que sur les “risques” et relèvent clairement d’un concept de “gestion des risques seuls). Je suis désolé mais cette exigence n’existe pas ! Il suffit de lire l’ISO 9001 (A4) pour le confirmer :
“Bien que le paragraphe 6.1 spécifie que l’organisme doit planifier des actions face aux risques, il n’y a pas d’exigence concernant des méthodes formelles de management du risque ou un processus de management du risque documenté. Les organismes peuvent décider d’opter ou non pour une méthodologie de management du risque plus étendue que ne l’exige la présente Norme internationale, par exemple par l’application d’autres lignes directrices ou normes.“Pour ma part je dis simplement qu’un brain storming de l’état-major peut suffire à cette détermination. Delphine dit utiliser la méthode SWOT qui à tout prendre me paraît plus pertinente et surtout suffisante pour cibler les risques & opportunités ensemble.
Alex tes rappels de la norme concernant la planification des actions à mettre en œuvre face aux R&O (6.1.2) sont tout à fait pertinents. Ils confirment que, suite à la détermination des R&O (6.1.1), on ne planifie pas les actions R&O à entreprendre les yeux fermés. Mais cela ne justifie pas qu’on transforme cette exigence de détermination des R&O en une “exigence de déploiement d’une gestion des risques et opportunités selon la norme ISO 9001:2015″ comme proposé plus haut (avec du coup l’emploi d’outils sophistiqués). Je trouve que c’est clairement une lecture abusive des exigences 6.1 de la norme ISO 9001 comme le montre la citation ci-dessus tirée de son annexe “Clarifications concernant la nouvelle structure, la terminologie et les concepts“, même si elle ne nous empêche pas d’aller loin dans l’adoption et l’instrumentation d’une véritable gestion des R&O dépassant l’identification exigée.
Je rappelle (à titre d’appropriation comparative de ces exigences normatives) que par contre dans le même paragraphe 6.1 de la norme ISO 45001 (SMS&ST) l’ISO demande explicitement non seulement la “détermination” des R&O auxquels faire face (6.1.1 généralité), mais l’instrumente et la prolonge de manière poussée :
– établir, mettre en œuvre, tenir à jour et documenter un processus d’identification des dangers en cours et proactif (6.1.2.1),
– établir, mettre en œuvre et tenir à jour un processus d’évaluation des risques pour la S&ST et d’autres pour le SMS&ST” (6.1.2.2),
– établir, mettre en œuvre et tenir à jour un processus d’évaluation des opportunités de S&ST et d’autres pour le SMS&ST (6.1.2.3).
Ces trois exigences, fortes et explicites, de processus (6.1) ISO 45001 en S&ST (toute une page d’exigences détaillées) nous éclairent sur l’absence d’exigences similaires dans (6.1) ISO 9001, qui d’ailleurs ne passe même pas la notion de processus dans ses exigences face aux R&O (formulées en quelques lignes). Ceci n’interdit évidemment pas de dépasser le référentiel, mais en étant clair sur ce qui relève effectivement des exigences normatives et ce qui appartient à nos interprétations et choix personnels supplémentaires.
PS : moralité accessoire, même si ISO 9001, 14001 et 45001 notamment sont bâties selon la même “High level structure” des normes de SM, elles ont chacune des exigences plus ou moins poussées, ou spécialisées, en fonction de leur domaine.
A+
