· 

Comment mieux gérer l'information et les connaissances avec l'ISO 9001 : 2015 ?

Je complète mon article  "ISO 9001 : 2015 Etes-vous prêt ? » en focalisant sur un élément essentiel du fonctionnement de nos entreprises : la gestion des connaissances.  

 

Nous vivons une transformation majeure tant sur les plans sociétaux que technologiques, la gestion de l’information et des flux de connaissances n’a jamais été aussi importante.
La norme ISO 9001 : 2015 met l'accent sur cette exigence de gestion des connaissances, nous avons essayé à travers cet article de donner des clés pour :
  • mieux gérer l'information dans l'entreprise
  • traiter les exigences liées au chapitre 7.1.6 - Connaissances organisationnelles (ISO 9001 : 2015)

Quels sont les bénéfices attendus d'une meilleur gestion de l'information ?

Avec un peu de méthode nous allons pouvoir réduire de nombreux dysfonctionnements liés à la gestion de l’information et de la connaissance  :
  • Vol d’innovation ou d'information,
  • Vol de données clients,
  • Données commerciales ou projets indisponibles,
  • Complexité des informations à disposition,
  • Informations non à jour,
  • Départ d'un collaborateur ayant des connaissances stratégiques,
  • Absence de capitalisation sur les connaissances métiers,
  • ...

Une bonne gestion des connaissances permet aux entreprises de maîtriser ces différents effets par une approche de maîtrise des risques.

Tout d’abord qu’appelle-t-on connaissance organisationnelle dans la norme ISO 9001 ?

Connaissances, savoirs dont une entreprise a besoin pour fournir un service ou un produit. Cette connaissance se trouve dans des supports matériels (documents, applications, brevets,…) ou immatériels (savoirs détenus par les collaborateurs, mais aussi les partenaires de l’entreprise).

Quelles sont les exigences de l’ISO 9001 à prendre en compte ?

  • Déterminer les connaissances nécessaires à la mise en œuvre des processus et pour la conformité des produits (ne pas les laisser indéterminées, dans le flou). 
  • Les tenir à jour (pas en décalage avec l'état de l'art)
  • Les mettre à disposition autant que nécessaire (aux personnes qui ont besoin de les utiliser)
  •  Déterminer comment acquérir des connaissances supplémentaires quand c'est nécessaire (pour faire face aux évolutions de la situation) et comment mettre à jour les connaissances détenues.

Avant tout il ne s’agit pas de créer un second système documentaire ; il s’agit de montrer que les connaissances sont gérées. Ce sont des exigences de bon sens... la norme exige des résultats et de la cohérence (Cette connaissance est-elle nécessaire ? Alors elle doit être gérée). L’organisme doit nommer des personnes responsables  :

• d'enrichir et maintenir ces connaissances à jour (benchmark, REX…)

• de les rendre accessible (ex : intranet)

Rappel des exigences du 7.1.6 Connaissances Organisationnelles

  1. Déterminer les connaissances nécessaires à la mise en oeuvre de ses processus et à l’obtention de la conformité des produits et des services.
  2. Ces connaissances doivent être tenues à jour et mises à disposition autant que nécessaire.
  3. Prendre en compte ses connaissances actuelles et déterminer comment il peut acquérir ou accéder à toutes connaissances supplémentaires nécessaires et aux mises à jour requises. 

Comment maîtriser l’information dans l’entreprise et aller plus loin ?

Pour aller plus loin dans le traitement de ce thème nous pouvons nous appuyer sur deux démarches :

  • Les bonnes pratiques liées à la maîtrise des documents (chapitre 7.5 - Informations documentées - ISO 9001 : 2015) dont nous ferons un article prochainement,
  • Les méthodes liées à la sécurité de l'information ISO 27001 : 2013 dont un résumé de l'approche est expliquée ci-dessous. 

La démarche d'analyse des risques appliquée aux données

Pour mettre sous contrôle les connaissances et données de l'entreprise, je recommande de partir des données stratégiques de l'entreprise.

Cela permet d'aller plus loin que la norme ISO 9001 et d'améliorer en profondeur le contrôle et la maîtrise des données et informations :

 

  1. Identifier les données stratégiques de l’entreprise
  2. Identifier les besoins en matière de sécurité en fonction des processus opérationnels et des besoins clients
  3. Identifier et analyser les risques associés à ces données (les menaces, vulnérabilités associés)
  4. identifier ce qui est déjà en place et les solutions possibles pour amener ces risques à un niveau acceptable
  5. Mettre des objectifs et actions en place pour améliorer et maîtriser les connaissances

Pour aller plus loin je vous recommande de vous appuyer sur la série ISO 270xx des normes ISO sur la sécurité de l'information.


Écrire commentaire

Commentaires: 0