· 

Guide iso 9001 : Répondre aux exigences de l'iso 9001 chapitre 6.1 - sur les risques


COMMENT METTRE EN PLACE LES EXIGENCES CONCERNANT LES RISQUES ET OPPORTUNITÉS DE LA NORME ISO 9001 : 2015 ?

La notion de Risque est définit selon la norme ISO 9000 comme « effet de l’incertitude » ; il s’agit donc de prendre des initiatives pour limiter, éviter et traiter les effets de l’incertitude. 

Afin d'éviter des approches déconnectées des réalités opérationnelles, il est important de relier l'incertitude aux objectifs business ou client. Réduire l'incertitude, c'est réduire l'incertitude d'atteindre les objectifs.

Les gaspillages, concurrents, le manque d'organisation, les pertes de temps sont autant de prédateurs pour l'entreprises et doivent être soit mis hors d'état de nuire, soit transformés pour atteindre les objectifs business. Les opportunités à identifier sont les situations et synergies que l'on va pouvoir utiliser pour atteindre nos proies (cad les objectifs business).


Contexte des exigences


L’analyse des Risques et des Opportunités, et les actions à mettre en œuvre, est traitée dans le chapitre 6 « Planification » de la norme ISO 9001:2015 ; cela induit que les actions des chapitres ultérieurs devront répondre à ces exigences d’analyse de Risques et Opportunités.

Ce chapitre fait également un renvoi vers le chapitre 4 « Contexte de l’organisme » car avant de planifier les actions en réponse aux Risques et Opportunités à prendre en compte, la norme demande de déterminer :

  • le contexte de l’organisme (Chap 4.1)
  • les besoins et attentes des parties intéressées (Chap 4.2) 

Les exigences de l'iso 9001 sur la gestion des risques


Ce qu'exige la norme

  • Identifier les Risques & Opportunités « nécessaires de prendre en compte » pour atteindre les résultats et s’améliorer 
  • Déterminer les actions à mettre en œuvre
  • Pouvoir expliquer comment ces actions permettent de réduire les risques
  • Evaluer l’efficacité de ces actions 

Ce que n'exige pas la norme

  • Traiter de manière exhaustive par une action l’ensemble des risques et opportunités identifiés (à moins d’avoir été identifié comme « nécessaires à prendre en compte »)
  • Une information documentée de l’ensemble de ces informations
  • Une méthodologie spécifique  

Approche du certificateur


Si un risque déterminé comme « nécessaire à prendre en compte » n’est pas suivi d’action, l’auditeur pourra l’identifier comme une " non-conformité ", tout dépend bien entendu de la portée du risque

L’auditeur veillera à la cohérence entre la détermination des risques et opportunités nécessaires à prendre en compte (qui peut être faite oralement) ET les actions mises en œuvre pour y répondre de manière opérationnelle (dans une logique d’atteinte des résultats et d’amélioration continue)

Comment démarrer ?


Il existe de nombreuses méthodes d'analyse des risques (ISO 31000, EBIOS, HACCP, AMDEC...). Si vous souhaitez rester simple et aider les manager à analyser leurs risques opérationnels, mieux vaut aborder l'exercice avec une méthode simple comme l'AMDEC.

Ce qui nous semble essentiel, c'est :

  • de partir des risques avérés et dysfonctionnements qui se sont déjà produits,
  • d'impliquer les opérateurs,
  • de relier les risques aux objectifs à atteindre,
  • s'assurer de la responsabilité du manager dans ce travail (c'est avant tout une discussion entre le manager et les membres de son équipe),
  • utiliser toutes les façon de traiter les risques : transférer le risque, accepter le risque, supprimer la cause, mettre en place des contrôles, se préparer aux effets ... 

Plus d'info ...


Note : veuillez remplir les champs marqués d'un *.