L’approche par les risques dans la norme ISO 9001:2015

1/ Eléments fondamentaux de l’approche par les risques dans la norme ISO 9001:2015

L’approche par les risques est l’une des grandes nouveautés de la norme ISO 9001:2015. Cette notion n’était pas totalement absente dans la version 2008 de la norme ISO 9001.  Elle était mentionnée explicitement dans la clause dédiée aux actions préventives.

La norme ISO 9001:2015 prône une approche systématique intégrale pour les risques de telle sorte qu’ils soient identifiés, pris en compte et maîtrises tout au long du processus de la conception et de la mise en œuvre du SMQ. C’est une approche qui se veut proactive plutôt que réactive par la détection précoce et la prévention des effets indésirables.

L’approche par les risques est l’une des composantes du management par les processus. Toutefois, il est évident que le niveau de risque n’est pas le même pour tous les processus qui composent le SMQ. Les dispositions à planifier et à mettre en œuvre pour mitiger ces risques doivent être en adéquation avec les niveaux de ces risques.

Il est commun de considérer que les risques ne peuvent avoir que des conséquences négatives. Ceci n’est pas toujours vrai dans la mesure où les risques peuvent avoir des conséquences négatives ou positives.

Exemple : En spéculant sur l’achat de titres à la baisse sur le marché de la bourse on prend un risque dont les conséquences peuvent être négatives si les prix baissent davantage ou positives si les titres repartent à la hausse car leur vente dégagerait une plus-value.

Dans la norme ISO 9001:2015 les risques opportunités sont cités conjointement 13 fois (dont 8 fois dans les chapitres des exigences). Contrairement à l’idée reçue, l’opportunité n’est pas « le côté positif » du risque. Une opportunité est un concours de circonstances qui rendent possible de faire une action bien déterminée. Par contre la décision de saisir ou ne pas saisir une opportunité peut être associée à un certain degré de prise de risque

2/ Les principales exigences de la norme ISO 9001:2015 relatives aux risques et opportunités

L’approche par les risques est évoquée à plusieurs endroits de la norme ISO 9001:2015

  • L’approche par les risques est brièvement expliquée dans l’introduction
  • L’organisme doit prendre en compte les risques et opportunités lors de la détermination des processus nécessaires au système de management de la qualité. (§ 4)
  • La direction doit promouvant l’utilisation de l’approche processus et de l’approche par les risques et que les risques et les opportunités susceptibles d’avoir une incidence sur la conformité des produits et des services et sur l’aptitude à améliorer la satisfaction du client sont déterminés et pris en compte. (§ 5)
  • l’organisme doit déterminer les risques et opportunités qu’il est nécessaire de prendre en compte pour donner l’assurance que l’efficacité du SMQ, accroître les effets souhaitables, prévenir ou réduire les effets indésirable et s’améliorer. (§ 6)
  • La notion du risque n’apparait pas explicitement dans les chapitres 7 et 8 mais. Toutefois l’usage des termes « approprié » ou « adapté » dans ces 2 chapitres fait intervenir l’approche par les risques d’une façon implicite.
  • l’efficacité des actions mises en œuvre face aux risques et opportunités doivent figurer parmi les données et informations que l’organisme doit régulièrement analyser (§ 9)
  • L’organisme doit mettre à jour les risques et opportunités déterminés durant la planification, si nécessaire lorsqu’il s’agit de traiter les non-conformités et/ou entreprendre des actions correctives (§ 10)

3/ Les raisons pour le recours à l’approche par les risques

Les retombées positive de la mise en œuvre de l’approche par les risques sont les suivantes :

  • Améliorer la gouvernance de l’organisme
  • Se porter plus sur l’action et instaurer une culture proactive
  • Améliorer la conformité aux exigences
  • Améliorer la qualité des produits et services
  • Améliorer la satisfaction des clients

4/ Mettre en œuvre l’approche par les risques dans la pratique

L’approche par les risques peut être mise en œuvre selon la démarche suivante

4.1/ Identifier les risques et opportunités :

L’identification des risques peut être faite en association avec les activités faisant partie des processus. Le passage en revue de toutes les activités identifiée permet d’établir une liste la plus exhaustive possible des risques et opportunités liés à ces activités

4.2/ Analyser les risques en vue de les prioriser

Plusieurs critères peuvent être employés pour prioriser dépendent de leur criticité en relation avec leur impacts potentiels sur la conformité et service. Le niveau de criticité peut être attribué sous la forme d’une note (de 1 à 5 par exemple). La fréquence d’occurrences peut être utilisée comme un autre facteur d’appréciation qui peut aussi être noté de la même façon. Un Score global peut être obtenu par la multiplication des scores de criticité et d’occurrence.

4.3/ Planifier les actions à entreprendre en vue de mitiger les risques

Les options face aux risques peuvent comprendre : éviter le risque, prendre le risque afin de saisir une opportunité, éliminer la source du risque, modifier la probabilité d’apparition ou les conséquences, partager le risque ou maintenir le risque sur la base d’une décision éclairée.

Les opportunités peuvent conduire à l’adoption de nouvelles pratiques, au lancement de nouveaux produits, à l’ouverture à de nouveaux marchés, à la conquête de nouveaux clients, à l’instauration de partenariats, à l’utilisation d’une nouvelle technologie et d’autres possibilités souhaitables et viables de répondre aux besoins  de l’organisme ou de ses clients.

La définition de l’horizon temporel des actions et leur priorisation doit être faite en concordance avec les scores établis dans l’étape précédente.

4.4/ Mettre en œuvre les actions entreprises

Le responsable de processus en question est chargé de veiller au bon déroulement des actions selon le timing imparti et rend compte sur les avancements à la direction.

4.5/ Evaluer l’efficacité des actions entreprises

Une action peut être jugée comme efficace si elle est achevée dans les délais impartis et que l’effet non-désiré qui pouvait être engendré par le risque objet de cette action ( ou l’effet désiré attendu de l’opportunité) a bien été maitrisé de la façon souhaité. Le score de l’efficacité peut être donné sous la forme d’une note sur une échelle (de 1à 5 par exemple) ou sous la forme d’un % ou autre.