Toutes mes réponses sur les forums
-
Messages
-
Ramassez donc vos bras Henri… ils risquent de tomber plus d’une fois. Comme vous l’avez déjà cité : vous n’êtes pas spécialiste de la norme ISO 9001, il serait donc judicieux d’éviter d’interdire ici et, pourquoi pas, de laisser aussi la parole à ceux qui tout autant l’expérience, sinon plus, et d’en profiter pour élargir votre champ de perception ? (vous avez vu ? j’évite de parler de chakras à présent…)
Lecteurs de blog :
– comprenez qu’aucune norme ne demande de document unique (il s’agit là d’une règlementation franco-française), pas même les normes en matière de sécurité
– que les normes de type 45001 et 18001 demandent l’identification et la maîtrise des risques et que, pour cela, le DUER est bien pratique (toujours en France)
– que la norme ISO 9001 demande la conformité aux exigences règlementaires et il est bon de traiter, notamment, celle du document unique pour les raisons présentées quelques posts précédemment et pour, cela est toujours utile, éviter de prendre un écart comme il s’en dispense régulièrement (en France tout du moins) lorsque l’on a pas déployé un DUER auquel on est soumis. Tout comme, cela est le dada de certains auditeurs en 9001 de vous demander les preuves des contrôles obligatoires…
– qu’il vous appartient de prendre les risques que vous voulez (c’est quand même, globalement, votre entreprise), comme des grands, même si l’on vous présente des expériences issues d’années de constats et d’accompagnements
Evidemment, celui qui irait chercher toutes les règlementations pour le plaisir de les déployer serait un… âne ? Point n’est besoin de commenter plus cette phrase.
Vous me rassurez Henri, je pensais que vous vous étiez endormis dans votre capacité de critique déconstructive
Bonjour,
Bigre… gérer un processus qui se nomme, à la base, “processus problème” nécessite déjà une sacrée motivation
Parmi les indicateurs intéressants sur les processus d’amélioration dans ce domaine, on trouve par exemple :
– effectivement les notions de bloquant / pas bloquant comme l’évoque Elotana, avec, souvent, des objectifs de temps de résolution différents pour les uns et les autres
– la récurrence des incidents et la récurrence des problèmes
– lTIL supposant le développement : le taux de succès des correctifs par exemple
– le délai de première réponse aux tickets
– …
C’est déjà un bon début ?
Bonjour,
Si je puis me permette, par rapport à votre réponse Elotana : il s’agit d’une vision des processus et il n’existe pas de règle en la matière, hormis celle de faire en sorte que l’enchainement des processus “parle” à vos collaborateurs et instigue une notion de chronologie, de dépendance.
Aussi, souvent lorsque se pose (ou se croise) le principe de commercial, de SAV, il est constaté :
– que les processus VENTE et SAV ne sont pas majoritairement imbriqué l’un dans l’autre (en effet, entre la VENTE et le SAV, il y a eu des activités d’usage par le client, une livraison ou un retrait ou une prise en compte de la prestation / produit, et un retour / réclamation / attente du client déclenchant le SAV). Mais cela dépend surtout de votre organisation.
– encore une fois, à la prudence de ne pas connaitre ni votre activité, ni votre contexte, ni vos prestations, une chaine plus complète peu proposer : marketing / vente / service après vent (et parfois même les activités de reprise de produit ensuite). Ces processus sont très rarement au niveau du management. Ils sont bien plus souvent dans la partie métier / opérationnelle si vous choisissez de les ranger par famille.
Nous avons lancé une série de vidéo avec exemples sur les processus (mais il faudra encore un mois pour que les 10 vidéos soient publiées). Je pense que cela vous éclairera sur une telle question.
Il est des choses qui ne changeront pas
mais j’en ai de plus intéressantes à faire ici que de la retape de propositions.T’expliquer par exemple que l’ISO 9001 intègre l’exigence de conformité avec la règlementation et que, donc, elle permet la prise en compte du DUER qui n’est pas que l’apanage de la sécurité, et celui de t’inviter sereinement et cordialement à relire les 6 dernières lignes de cet (affectivement long) texte qui, comme les autres, ne t’est pas exclusivement destiné
Hmm : j’ai peut-être abusé là.
Ne vous sentez pas obligés de lire tout ce qu’il y avant
Surtout qu’il était question de revue de direction… au départ…
Effectivement, il y a toujours cette presque dualité entre ce qu’exige la norme, et ce qui “serait” utile à déployer lorsque le contexte volontaire et éclairé d’un organisme le permet et y offre un intérêt.
Petite parenthèse : nous avons dans notre déontologie, par exemple, une règle (la 5ème et dernière) qui est “agir et proposer des solutions aux Clients dans leur strict intérêt, tout en tenant compte de la maturité, des objectifs, de la culture et des ressources de ce dernier” (déontologie que nous évaluons, une fois par trimestre, par intervenant et entre autres points). Lorsque nous déployons une approche risques, il y a donc des contextes dans lesquels une gestion et une projection fine et stratégique des risques est adaptée, des contextes dans lesquels cela ne l’est pas encore, des contextes dans lesquels cela ne le sera jamais.
Cette approche des risques est riche déployée avec une notion de “portefeuille” évolutif, révisé, sans diminuer son contenu (sauf à identifier des risques qui, après action, démontrent l’impossibilité qu’ils se manifestent un jour). Mais dans certains cas : les identifier, les tenir à jour est déjà pas mal.
A l’instar d’autres exigences : il y a ce qu’exige la norme, ce que l’on peut en faire, ce dont on se “méfie”.
Un exemple intéressant ces dernières années : cette notion de gestion des risques et des opportunités…
La norme demande explicitement de planifier les actions à mettre en oeuvre face aux risques et opportunités.
Nous préconisons généralement les deux interprétations suivantes : considérer que les actions déployées face aux risques “sont” des opportunités, et, intégrer l’ensemble des opportunités déjà identifiées au sein de l’organisme et déjà planifiées (issues des revues de direction, des audits internes par exemple…). Et hop ! Plus besoin de déployer quoi que ce soit pour répondre à cette perception des opportunités parce que tout système qui se respecte intègre et planifie déjà ces dernières…
Or, nous voyons parfois en audit (pas plus tard qu’il y a 15 jours) des entreprises déployant des dispositions particulières pour gérer… les opportunités. Comme si elles ne le faisaient pas jusqu’alors ?! Plus fort encore : une société ayant pris une non-conformité mineure (que nous n’avons pas accompagné) au prétexte que la gestion des opportunités n’était pas aussi solide que sa gestion des risques. Je pense que l’interprétation technique de l’auditrice ne lui a pas offert l’opportunité de ne garder raison et de se dire que, vu le SWOT plutôt bien fait et réactualisé depuis une 10 aine d’années, suivi d’actions, que le fait que cette société affiche une croissant de 30% régulière de son CA depuis ces dernières années notamment, qu’elle est à présent leader sur son marché en Europe, témoignent déjà d’une plutôt belle appréhension des opportunités…
Le DUER est un bon exemple également, et une belle hérésie proposé tel qu’il l’est aujourd’hui.
Dans une majorité des entreprises, le DUER n’est qu’une obligation parmi tant d’autres, au même titre que le règlement des cotisations, les déclarations aux organismes collecteurs… quant il n’est tout simplement pas ignoré (genre : “non non… je n’ai toujours pas entendu parler du RGPD et je le sais pas qu’il entre en vigueur dans 2 mois et, donc, tout va bien). Il n’est qu’un “truc” qui, parfois, peut se suffire d’un torchon imprimé en vert sur fond blanc avec des cases à cocher et une signature, proposé par certains médecins du travail.
L’ISO 9001 offrant la possibilité de jeter un oeil sur la conformité “de base” à la règlementation et à la législation (du DUER à la conformité des locaux en passant par pleins de petits détails enfin éclairés) lorsque nous déployons le DUER, pour le coup, depuis déjà quelques dizaines d’années, avec une méthodologie tout à fait analogue à la gestion des risques : une prise de conscience se fait au sein des équipes. Non pas un miracle, mais enfin une compréhension qu’au-delà des notions de risques, sécurité, investissements parfois, temps accordé… on “parle” de l’intégrité physique des personnes autour de nous, dans nos équipes. Du droit juste basique ne ne pas avoir mal, de ne pas être blessé, de ne pas devoir expliquer aux enfants que si “papa ou maman à mal au dos” il faut être patient.
Et dans ce cas, pour notre part, on se fout un peu de ce que demandera (ou pas) la 45001, de ce que proposait la 18001 ou de ce torche-### vert sur fond blanc qui a été vendu comme un graal à certaines entreprises : en approche qualité, on approche aussi un simple droit fondamental au respect.
Bon… je l’emporte un peu, mais je pense qu’il y a une montagne entre ce que l’ISO 9001 attend et ce que l’on peut en faire avec une bonne intention. Aucun référentiel ne sera jamais complet de toute manière et penser qu’y répondre assurera de maîtriser une composante d’une entreprise me semble illusoire sans ce bon sens qui nous a déjà valu des échanges.
Allez : top chrono ! On vient de nous annoncer le lancement d’un logiciel détectant les différences de salaires hommes – femmes. Si le sujet est fondamental évidemment (nous avons supprimé ce risque chez nous : il y a plus de “dames” que de “messieurs”
et elles sont aux commandes des finances), en quoi fera-t-il avancer les cultures ? qui imagine un instant qu’un(e) patron(ne) d’entreprise va s’effondrer le premier soir en larme devant son listing en se disant : “mon dieu, si j’avais su ! quel monstre je suis…”. On en reparle dans 3 ans…Je reviens à nos moutons égarés par cette envolée matinale
La notion de diminution de criticité est, là encore, une manière de voir “la chose”.
Nous avons une vidéo sur notre chaine qui donne des exemples de 5 à 6 manières différentes de calculer la criticité, mais je résume :
– si la criticité est calculée par : gravité x probabilité x maitrise (je rappelle : il s’agit d’une méthode parmi d’autres)
– si un action permet de renforcer la maîtrise, diminuer la probabilité (l’exposition par exemple)
– lorsqu’elle sera efficace (si elle l’est) elle abaissera la note de : gravité x probabilité x maîtrise
La note résultante n’a que peu d’importance. Ce qui est intéressant : c’est le niveau de criticité des risques avant et après, c’est le comparatifs des pépins qu’on a eu et de la manière dont on les avait identifié ou pas, cotés ou mal, par exemple.
Oui, c’est une manière de faire effectivement.
Pour notre part, nous préférons (sauf quelques rares exceptions) conserver les risques dans le portefeuille.
En effet, d’une part, si l’analyse initiale est bien faite et à moins d’un changement radical de contexte : il s’ouvre régulièrement à d’autres risques, mais pas énormément. Il n’y a pas de risque d’inflation.
D’autre part, un risque jugé peu critique pourrait prendre une criticité plus forte si ses indices de cotation se dégradent dans le temps. Il est alors bon de les revoir régulièrement et de relever le niveau d’un risque si nécessaire.
Par exemple, un risque lié à l’absence de prise en compte d’une évolution règlementaire pourrait avoir un indice de criticité faible parce que l’organisme bénéficie d’un support d’une “maison mère” en terme juridique (la criticité serait évaluée à partir d’un impact fort, une probabilité faible, une maîtrise forte). Si l’organisme quitte le giron de cette maison mère (rattachement à une autre entité, essaimage…) la criticité serait alors différente (impact toujours fort, probabilité moyenne, maitrise faible…).
Et donc, il serait temps de déployer une action sur ce thème.
Oui, mon clavier à fourché : les risques ne disparaissent pas, mais perdent bel et bien leurs criticités si les actions ont efficacement eu un impact sur la pondération de l’un ou de l’autre des critères de calcul de la pondération
A force de faire 10 000 choses en même temps : les mots se mêlent et même se mélangent…
Bien que, normalement, si un système de pondération de la criticité a été mis en oeuvre : les actions ne disparaissent pas, mais voient l’une ou l’autre de leurs pondérations diminuer ainsi que leurs criticités.
Mais sur le principe, très peu disparaissent…
Bonjour Brown,
Les deux dispositions dont il s’agit sont des éléments auxquels vous avez répondu en dehors de la revue de direction :
– vous avez identifié les enjeux externes et internes
– vous avez identifié les actions face aux risques et opportunités et décidé, si nécessaire, des actions en conséquences (attention, il y a eu quelques débats enflammés ici à ce sujet, mais si vous avez déployé cette exigence utilement : elle vous a conduit à planifier des actions en conséquences de certains risques)
Lors de la revue de direction, il s’agit donc d’une “simple” revue qui portera sur :
– les éventuelles modifications des enjeux internes et externes qui peuvent avoir évolué depuis la précédente identification et nécessiter, cas échéant, des décisions, arbitrages, actions, évolutions de certains éléments du SMQ.
– le résultat (globalement ou action par action) des actions sur la maîtrise des risques. Par exemple : nous préconisons une représentation et un indice de calcul du taux de sensibilité aux risques et, lorsque les actions sont planifiées (puis, dans un second temps réalisés) nous pouvons présenter un nouveau taux de sensibilité afin de démontrer la réduction de la sensibilité aux risques d’une entreprises (voir nos vidéos à ce sujet sur notre chaine youtube).
Ces deux revues peuvent générer le besoin de déployer, pourquoi pas, des actions d’amélioration. Par exemple…
C’est comme “vous le sentez”, ainsi que nous l’avons répondu récemment : il faut que le sujet vous inspire.
Néanmoins, l’insertion de la maîtrise des risques dans l’ISO 17025 : 2017 est un sujet passionnant.
Comme je l’ai exprimé ici (je crois) il y a quelques semaines : lors de la présentation de l’ISO 17025 : 2017 par le COFRAC au LNE en fin d’année passée (à Paris), nous avons été étonné (nous étions quelques uns de nos équipes et de nos clients dans la salle) de voir que malgré des changements importants sur, par exemple, les incertitudes de mesures, les 2/3 des questions portaient sur cette “fameuse” maîtrise des risques. Je ne sais plus combien il y avait de participants… quelque chose comme 200 représentant(e)s de laboratoires.
Ce sujet sera donc “chaud” tant pour les auditeurs que pour les entreprises. Il mérite donc qu’on s’y attache.
Attention, juste pour rappel : dans les évolutions récentes de l’ISO 17025 il n’y a pas d’approche processus. Ce n’est pas un point commun avec l’ISO 9001 : 2015.
En revanche, le paragraphe relatif aux risques est exactement le même, aussi, si vous avez identifié les risques d’un processus dans lequel se trouve un laboratoire : à priori, cela suffira et vous pourrez vous y référer sans avoir besoin de refaire le travail. D’autant que vous êtes alors sous le couvert de l’option B de l’ISO 17025 : 2017…
Le LAB REF 02 version 10 vous donne les interprétations du COFRAC (téléchargeable gratuitement sur le site du COFRAC) des évolutions entre la version précédente et la version 2017.
Justement, dans le cas de ce client, lorsque nous lui avons proposé de ne plus maintenir une certification (reconnaissant lui même que l’apport en audit interne était plus riche qu’en audit de certification) : son souhait a été de maintenir malgré tout ce rendez-vous afin de bénéficier d’une autre reconnaissance, pour ses collaborateurs, du travail accompli.
Le principe de SM = certification ou, pire, certification = SM, demeure un duo qui fait souvent les premières rencontres. Le décorticage ne vient que par les avis, justement, éclairés.
Bonjour Maryam,
Pour faire simple : approche processus “non”, gestion des risques “oui”.
Mais il y a quelques détails en plus quand même sur la nouvelle 17025…
Oui Henri, je pense que nous sommes tout à fait en phase avec cela.
La certification est censée reconnaitre la capacité d’un organisme à déployer un système de management pour son propre bien et celui de ses parties intéressées. Mais elle ne doit surtout pas être une finalité et il est bien évident que c’est la mise en oeuvre éclairée (j’aime bien ce terme) qui apporte ce “bien”.
Un organisme devrait s’appuyer sur la certification comme preuve et non comme but, et la certification devrait avoir une image de sérieux apportant confiance.
Mais ce n’est hélas pas / plus / pas encore le cas…
La responsabilité de cette perte de confiance et de cette dénaturation d’une disposition qui pourrait être un bel élan incombe, entre autres, aux organismes certificateurs eux-mêmes. Bon… à pas mal d’autres acteurs également, mais nous en parlerons bientôt.
Pour exemple, une situation ubuesque : l’un de nos clients est certifiés depuis 10 ans, mais nous avons un accord de confidentialité avec lui parce qu’il ne souhaite pas que cela se sache. Parce qu’il est heureux de son système, il s’améliore en permanence et profite des bons effets de ces réflexions, mais il ne veux pas que ses propres clients (grands donneurs d’ordres), dont il entend régulièrement les affres d’un SMQ uniquement fait pour la certification, l’assimilent à leurs propres et désastreuses expériences.
C’est tellement dommage…
