Toutes mes réponses sur les forums
-
Messages
-
Alors, pas tout à fait.
Il n’y a pas d’exigence de disposer d’un indicateur mesurant le respect des exigences légales et règlementaires. Il y a plutôt la possibilité que l’auditeur ait réagit par sa propre expérience.
MAIS… (encore ce “mais”) il vous faut de toute manière démontrer votre conformité aux exigences légales et règlementaires (veille, analyse, décision, planification… surtout pour l’ISO 14001). En outre, il n’est pas rare de voir, dans certains systèmes de management jeunes, des indicateurs propres à l’ISO 14001 sur la conformité à la règlementation.
Vous l’avez peut-être vécu, en ISO 14001, toute entreprise est censée être conforme à la règlementation de toute manière. Mais une première revue révèle souvent beaucoup “d’alignements” nécessaires.
P.S. : pardonnez moi d’avoir pris la liberté d’avoir légèrement retouché votre message précédent. Il nous apparait plus prudent de ne pas citer le nom des sociétés pour lesquelles les contribut.eurs.rices interviennent afin de ne pas créer de risque d’image. En effet, le hasard pourrait faire que certain.e.s (concurrents, détracteurs, collaborateurs, responsables hiérarchiques…) voient le nom de votre société cité avec une question ou un constat qui ne regarde que vous.
Alors… sans forcément que cela soit nommé “spécifiquement” un plan de communication, le principe est de “planifier la communication”. Au delà de l’explication et de sa description, il vous faut avoir (sous une forme ou une autre) la planification (planning, liste, périodicité…) de ce que vous allez communiquer.
Que cela soit récurrent (des communications récurrentes sur les résultats par exemple), ou conjoncturel (communications sur un avancement de démarche, de projet, d’évolution de règlementation…). Compte tenu de votre contexte : cela devrait être très simple (entreprise de 23 personnes).
Oui : la démonstration de vos communications passées et de la prise en compte des besoins des parties intéressées est également une preuve de votre conformité (notamment sur l’adaptation, si nécessaire, aux publics visés).
Concernant la réaction et la prise en compte aux observations pertinentes, il y a deux écoles. Je serais plutôt pour la première (dans votre contexte) qui pencherai sur le fait de montrer à l’auditeur que vous le faites effectivement et que vous avez des exemples d’actions déployées suite à de telles observation.
Maintenant, la deuxième école, que pratiquent certain.e.s audit.eurs.rices consiste à croire faussement qu’écrire un maximum de dispositions permettra d’en maîtriser un maximum (cela provoque souvent le contraire). Il est donc difficile de juger de la manière dont votre auditeur va réagir (mais souvenez-vous que la norme ne vous demande pas de l’écrire…).
Si je puis me permettre : quel est votre organisme certificateur ?
Oui, vous pouvez m’envoyer votre document et je le relirais en assurant la confidentialité des informations. Simplement, pour ne pas “trop” déroger à la bienséance de notre hôte (nous sommes hébergés par QUALISPHERE qui fait un métier proche… du notre) je vous propose de nous joindre via notre chaine Youtube dont le nom apparait dans ma signature.
En fait, votre situation ne dépend pas “que” des exigences de la norme, mais elle dépend également de la manière dont vous avez démontré votre conformité à l’auditeur.
Ainsi, effectivement, il n’y a AUCUNE exigence de la norme concernant la nécessité de définir des objectifs par rapport à la règlementation (cela peut s’entendre en 14001, mais pas en 9001).
Mais… parce qu’il y a toujours un “mais”… si vous avez répondu à l’auditeur ou si vous avez inscrit dans votre politique qualité (ou autre) non pas un engagement en terme de conformité règlementaire mais un “objectif” de conformité règlementaire, il est légitime qu’il vous en demande l’évalaution (pas très mature, mais, “techniquement”, cela est compréhensible).
En revanche, si cela n’est pas le cas : il aurait été prudent de réfuter ce dernier point du constat. Cela peut encore être fait… mais vous l’avez déjà accepté, c’est un peu plus touchy
Bonjour,
Vous avez déjà rendu “objectifs” ces éléments à partir du moment ou vous avez identifié les “quoi”, “quand”, “qui” et “comment”.
Simplement, assurez-vous (selon votre contexte justement) d’identifier les “à qui (communiquer)” afin d’identifier les éventuelles adaptations (langue, langage, mode de communication…) nécessaires de vos messages ou informations.
Quel est, justement, votre contexte ?
Bonjour,
En fait… si… on parle bien “d’intégration” lorsque des normes basées sur le même schéma (l’High Level Structure) sont intégrées et non déployées une à une, ou, comme cela est votre cas : intégrées à un existant.
Il est vrai que, dans 95% des cas, l’intégration se fait d’une norme de type ISO 14001, 45001, 27001… dans un socle 9001. Dans ce sens, la chose est plus facile. Lorsque vous présentez une certification, la majorité des organismes de certification évaluent avec vous le degré d’intégration de votre/vos système de management et cela impacte (dans une petite mesure mais il y a un impact) le planning et la durée d’audit.
Mais il y a “intégration” et “intégration”…
Soit elle est seulement une demande : intégrez deux nouvelles certifications à celle existante et… en avant, soit il s’agit bien d’une demande d’intégration au sens de ce qui a été présenté précédemment.
Dans ce cas, à la conception de votre système de management, il faudra définir dès le début certains principes nécessaires :
– une seule approche processus pour les 3 référentiels (si vous choisissez de la représenter en cartographie : une seule cartographie. Ceci vous permettra de lever la dualité de la notion de processus maladroite de l’ISO 45001)
– des dispositions uniques et multi-référentiels : pour les revues de Direction, la gestion documentaire, les politiques et le champ d’application
– des dispositions uniques si possibles : pour les audits internes, la gestion des compétences et… la gestion des risques (qui prends des noms différents selon les référentiels)
Avant de vous préconiser quoi que ce soit :
– quelle est votre expérience en la matière ?
– combien de temps va durer votre stage ?
– quel “livrable” attend votre entreprise et pour quand ?
– combien de personnes / sites pour cette entreprise ?
Cordialement,
Bonjour,
Les actions sont planifiées selon les risques identifiés et leurs criticités.
Quels sont vos risques (et criticités) identifiés s’il vous plaît ?
Houlala… je ne me fierais pas à mon souvenir de ces calculs que je faisais il y a bien longtemps, mais visiblement : internet regorge de supports pédagogiques plutôt bien faits pour comprendre les capabilités court terme et le centrage.
Par exemple :
http://www.technologuepro.com/cours-controle-quaite/chapitre-1-capabilite-machine-processus.pdf (chap. 4.1)
http://www.obilog.fr/images/stories/technique/RappelNormatifSPC.pdf (chap. 5.1.1)
Bonsoir,
Par rapport à l’OHSAS 18001, vous avez plusieurs compléments importants à prendre en compte :
4.2 : dans l’intégration très probable des intervenants extérieurs au titre des parties intéressées (dont les besoins et attentes sont à identifier)
7.4.1 : dans la planification de la communication aux intervenants extérieurs
8.2 : dans la communication des informations relatives aux situations d’urgences à ces mêmes intervenants
8.1.4.1 : dans le déploiement d’un processus de maîtrise de l’acquisition des produits et des services
8.1.4.2 : dans la coordination de vos processus et des processus des intervenants extérieurs afin d’identifier les dangers et de maîtriser les risques. Dans l’intégration de critères de santé et sécurité à la sélection des intervenants extérieurs également (et leur contractualisation lorsque nécessaire)
8.1.4.3 : dans la maîtrise des processus externalisés et leur cohérence par rapport aux exigences
Si je puis me permettre, avant de vous répondre, je vais à mon tour vous poser une question… La voici : quelles sont les raisons, les contextes, qui vous poussent à décortiquer et à détailler à ce point cette “petite” exigence de la norme ISO 9001 ?
Bonjour,
“Normativement” et “ISO 9001-tement” parlant : aucune différence dans la mesure ou les normes de management établissent le concept d’enjeux uniquement.
Maintenant, selon votre structure, votre organisation et votre stratégie : si des axes stratégiques ont été définis dans votre société ils peuvent être assimilés à des enjeux (tout ou partie), ou alors vous pouvez considérer que l’un de vos enjeux internes est de répondre aux axes stratégiques, ou décliner les axes en enjeux ou bien même avec des enjeux indifféremment des axes selon votre contexte (mais ce dernier point vous posera rapidement des problèmes de cohérence de votre système). Il est préférable de privilégier : axes stratégiques = enjeux si votre contexte s’y prête.
D’où vient votre notion d’axes stratégiques s’il vous plaît ?
Félicitations à vous et n’hésitez pas à venir régulièrement nous faire part de votre expérience et à la transmettre à d’autres
Bonsoir,
Ce sont effectivement les exigences 7.5.2 a) et 7.5.3.2 c) en ce qui concerne l’ISO 9001 et les exigences (en option A) 8.3.2 c) et sans additif LAB REF 02.
Mais ce qui compte vraiment est l’objet de ces exigences…
Il peut être résumé ainsi :
– si un contenu nécessite d’être protégé contre les altérations / adaptations pour toute raison possible : son évolution ne peut être acceptée (et portée à la connaissance des utilisateurs) qu’après revue et approbation par des fonctions définies
– si un contenu nécessite d’être adapté dans un document, et que cela fait partie du process normal de production de ce document, il doit également suivre le process de revue et approbation défini pour ces informations modifiées, très souvent simplifié.
Un document peut porter les deux natures de contenu…
Par exemple : si un organisme dispose d’un bon de commande pour passer commande de… choses… le support de bon de commande (les typologies d’informations et leur agencement, les informations obligatoires : zone de référence aux devis… et le contenu des conditions générales d’achat si elles existent) sont des informations que ne doivent pas pouvoir adapter les utilisateurs. Il serait malvenu de modifier des calculs de TVA, des clauses juridiques dans les conditions générales. Si cela devait être le cas : le document serait alors mis à jour, revue et approuvé, et diffusé auprès des utilisat.eurs.rices. Son indexage serait alors mis à jour (de la version C à la version D, de la version de juillet 2019 à celle de septembre 2020…)
Mais les éléments enregistrés dans ce bon de commande : nature de la commande, achet.eur.euse, conditions de règlement, cahier des charges spécifiques… sont mis à jour à chaque fois et leur suivi se fait généralement non sur un indexage, mais sur une date ou une version de contenu (bon de commande n°2020/487, bon de commande KILOURIEN du 21/09/20…). Dans ce cas, l’approbation suivra également ce que vous aurez établi pour le contenu : signature par l’achet.eur.euse, validation par la hiérarchie, le contrôle de gestion…
Ainsi, s’il est dans vos pratiques et normal que cette personne modifie des données en “dur” de ce document, que cela soit nécessaire à réaliser pour chaque convention : pas de souci du moment que vous conserviez un enregistrement de chaque convention à fin de traçabilité. En réalité, dans ce cas, les informations modifiées ne sont “pas dures”. Il est souvent préférable de les détacher ou de les mettre en valeur d’une manière ou d’une autre pour distinguer le fond du contenu implémenté.
En revanche, s’il n’est pas prévu (planifié dans votre système de management) de mettre à jour ces informations lors de l’établissement des conventions, si cela n’est pas nécessaire : c’est donc bien une information que vous nommez “en dur” et… ce n’est pas conforme aux exigences de maîtrise documentaire.
Du reste, en lisant votre texte et les mots employés : cette pratique semble ne pas vous convenir du tout. Pourquoi ? Quel est le risque s’il vous plait ?
Tout à fait, ce serait une bonne manière d’évaluer (si leur impact sur votre propre conformité le nécessite) leur performance et leur conformité à vos exigences.
En revanche, sur le principe : la norme “ne vous oblige à rien” d’autre que de définir le degré de maîtrise de vos prestataires externes et, en fonction de cette analyse, de “vous” doter des dispositions de maîtrise qui “vous” semblent adéquates.
Bonjour Hamster08,
Je vous remercie pour cette réponse et cette participation et je vous en courage à poursuivre.
Cependant, je vais retirer le lien vers le site que vous avez proposé (par courtoisie pour notre hébergeur). En effet , ce forum est administré par une société prodiguant, notamment, une application ainsi que des conseils répondant justement à ce besoin.
Vous pouvez échanger ces pistes en direct, ou cliquer là-haut sur le lien QUALISHARE pour prendre connaissance de ce que propose notre “hébergeur”.
J’espère que vous comprendrez ce choix, très cordialement.
Pour la première reformulation : tout à fait. Cette première évaluation est souvent faite sur ces critères de qualité, coût et délais, mais il est bon de dépasser cette “habitude” et de vous interroger sur les critères qui ont réellement un impact sur votre maitrise et sur la conformité de la prestation. Ainsi, si la qualité semble évidente, d’autres critères peuvent être importants selon votre contexte : proximité, réactivité, expérience, qualification (certification, accréditation pour les laboratoires par exemple), réponse technique…
1) et 2) : c’est tout à fait cela.
Concernant votre questionnement sur le dispatching de la maîtrise ou de la surveillance en 8.4.2 d), je vous conseille (et cela est également le cas de l’interprétation de la grande majorité des référentiels, les référentiels plus techniques tels que l’ISO 17065 et 27002 à part) de prendre de la hauteur.
Ainsi : comprendre que “certains” prestataires externes méritent d’être évalués (sur la base de critères) et sélectionnés (avec une maîtrise ultérieure dépendant de leur capacité par rapport aux exigences attendues), puis surveillés (lors ou à l’issue de leurs prestations) et ré-évalués (pour disposer d’une vue, d’une synthèse de leur performance) est important. Vous avez les éléments fondamentaux. Mais il n’est pas utile de chercher à tout prix à les allouer exactement au 8.4.2 d) ou au 8.4.3 b) 3)… comme cela est le cas de bon nombre d’exigences : une disposition pourra répondre à plusieurs exigences et une exigence pourra entrainer le déploiement de plusieurs dispositions. Déployez ce qui vous semble bon de mettre en place pour répondre à cette exigence fondamentale de maîtrise des processus, produits et services fournis par des prestataires externes, et ne vous forcez pas à cocher chaque ligne de la norme par rapport à une procédure ou une disposition (au maximum, checkez la couverture de votre système de management par rapport au 8.4.1, 8.4.2 et 8.4.3 c’est déjà largement suffisant).
Les sources vous ayant précisé que la ré-évaluation est uniquement destinée aux prestataires externes considérés comme “mauvais” n’ont pas tout à fait compris ces principes fondamentaux… La ré-évalution à pour but de valider le fait que vos prestataires répondent toujours à vos attentes et on démontré leur performance (elle peut se faire de plusieurs manières : par synthèse de leur performance dans la délivrance de la prestation, par audit fournisseur…). Elle concerne tous les prestataires que vous avez jugé nécessaire d’évaluer, et donc, de ré-évaluer pour confirmer leur qualité (et identifier des dérives éventuelles). En revanche, cela est juste : lorsque cette ré-évaluation démontre une performance insuffisante, il vous faut alors planifier les actions correctives nécessaires. Parmi celles-ci, la mise sous surveillance peut effectivement être une disposition adéquate.
Est-ce que ces autres sources sont typées “automobile / aéronautique / spatial / nucléaire” ? Auxquels cas, ce type de mise sous surveillance, de période probatoire, est relativement habituel (mais pas imposé par le norme ISO 9001).
