Revue de direction

[Brown]

bonjour à tous 

 

j’ai un petit souci avec deux point dans la revue de direction 2017

1- les modifications des enjeux internes et externes : on veut dire les modifications des enjeux pour 2018 ? y’a t il des exemples ?

2- l’efficacité des actions mises en oeuvre face aux risques et opportunités : Comment on peut l’introduire dans la revue ?

 

merci  

[THAUMASIA_Academie]

Bonjour Brown,

Les deux dispositions dont il s’agit sont des éléments auxquels vous avez répondu en dehors de la revue de direction :

– vous avez identifié les enjeux externes et internes

– vous avez identifié les actions face aux risques et opportunités et décidé, si nécessaire, des actions en conséquences (attention, il y a eu quelques débats enflammés ici à ce sujet, mais si vous avez déployé cette exigence utilement : elle vous a conduit à planifier des actions en conséquences de certains risques)

Lors de la revue de direction, il s’agit donc d’une “simple” revue qui portera sur :

– les éventuelles modifications des enjeux internes et externes qui peuvent avoir évolué depuis la précédente identification et nécessiter, cas échéant, des décisions, arbitrages, actions, évolutions de certains éléments du SMQ.

– le résultat (globalement ou action par action) des actions sur la maîtrise des risques. Par exemple : nous préconisons une représentation et un indice de calcul du taux de sensibilité aux risques et, lorsque les actions sont planifiées (puis, dans un second temps réalisés) nous pouvons présenter un nouveau taux de sensibilité afin de démontrer la réduction de la sensibilité aux risques d’une entreprises (voir nos vidéos à ce sujet sur notre chaine youtube).

Ces deux revues peuvent générer le besoin de déployer, pourquoi pas, des actions d’amélioration. Par exemple…

[Brown]

merci infiniment 

[Henri]

Hello !

Pareil pour moi :

1 – Lors de sa revue périodique du SMQ la direction doit se demander si les enjeux pertinents qu’elle a identifiés pour son SMQ (cf 4.1) ont évolué, et réagir le cas échéant. Si ces enjeux n’ont pas évolué, il n’y a à rien de nouveau à envisager.

2- De même lors de cette revue la direction doit s’interroger sur l’efficacité des actions qu’elle a déployées face aux risques et opportunités qu’elle a déterminés pour son SMQ (cf 6.1).

Remarque à propos de la prise en compte de l’efficacité de ces actions dans la revue de direction : là la direction est un peu coinçée je trouve. Si elle considère que ses actions ont été efficaces (ce qui est globalement fort probable ou alors c’est que la direction n’a pas été pertinente dans son analyse et ses choix), alors les risques et opportunités correspondants disparaissent, et la direction va devoir plus ou moins se forcer à en “inventer” d’autres à terme… Sinon il sera difficile de considérer en regard des exigences 6.1 qu’on n’en a plus… Ou alors pour continuer à avoir du grain (R&O) à moudre il va falloir se forcer à considérer que les actions engagées n’ont pas été (assez) efficaces afin de pouvoir les reconduire (?) ou plutôt en déterminer d’autres… mais lesquelles d’une plus grande pertinence pour ces mêmes R&O auxquelles on n’auraient pas déjà pensé précédemment ? Le devenir de ces R&O dans le temps me rend perplexe…

A+

[THAUMASIA_Academie]

Bien que, normalement, si un système de pondération de la criticité a été mis en oeuvre : les actions ne disparaissent pas, mais voient l’une ou l’autre de leurs pondérations diminuer ainsi que leurs criticités.

Mais sur le principe, très peu disparaissent…

[Henri]

(suite)

Thaumasia j’ai beaucoup de mal avec l’histoire de la “criticité” des risques*, mais son emploi ne change rien : si on a correctement “fait face à un risque” (cf 6.1.2), son éventuelle “criticité” est au plus bas, autant dire que le risque n’en est plus un… et en tout cas qu’il n’y a absolument plus aucune raison de continuer à considérer ce risque comme “nécessaire de prendre en compte dans le SMQ” (cf 6.1.1) par une nouvelle action ! Sinon ça voudrait dire que son éventuelle “criticité” serait restée significative… ou je me trompe ?

* j’imagine que tu voulais parler de la criticité des risques et non de la criticité des actions, ton clavier a fourché.

Avec ou sans “criticité” ma remarque reste, la direction est prise au piège comme je l’ai évoqué.

“Sur le principe” (mais quel principe ?) ou pas, que très peu d’actions pour faire face aux risques disparaissent… est tout à fait anomal ! Sauf à reconnaître alors qu’elles sont généralement inefficaces ! Mais si elles sont normalement efficaces elles disparaissent avec les risques auxquels elles ont fait face, et en 6.1.1 il faut oser constater qu’on n’a plus vraiment de risques à prendre en compte ou alors il nous reste à en “inventer” à tout prix… Le piège est là.

D’autres avis ? A+

[THAUMASIA_Academie]

Oui, mon clavier à fourché : les risques ne disparaissent pas, mais perdent bel et bien leurs criticités si les actions ont efficacement eu un impact sur la pondération de l’un ou de l’autre des critères de calcul de la pondération

 A force de faire 10 000 choses en même temps : les mots se mêlent et même se mélangent…

[Henri]

(suite)

On est d’accord, de toute façon une action lancée pour faire face à un risque qu’on a identifié comme devant être pris en compte est limitée dans le temps et normalement efficace (on peut à l’occasion la prolonger ou la compléter mais elle arrivera à terme). Alors le risque est traité et n’a plus à être pris en compte. Il va falloir oser dire qu’on a traité des risques et qu’à l’occasion on n’en a plus à prendre en compte…

A+

[THAUMASIA_Academie]

Oui, c’est une manière de faire effectivement.

Pour notre part, nous préférons (sauf quelques rares exceptions) conserver les risques dans le portefeuille.

En effet, d’une part, si l’analyse initiale est bien faite et à moins d’un changement radical de contexte : il s’ouvre régulièrement à d’autres risques, mais pas énormément. Il n’y a pas de risque d’inflation.

D’autre part, un risque jugé peu critique pourrait prendre une criticité plus forte si ses indices de cotation se dégradent dans le temps. Il est alors bon de les revoir régulièrement et de relever le niveau d’un risque si nécessaire.

Par exemple, un risque lié à l’absence de prise en compte d’une évolution règlementaire pourrait avoir un indice de criticité faible parce que l’organisme bénéficie d’un support d’une “maison mère” en terme juridique (la criticité serait évaluée à partir d’un impact fort, une probabilité faible, une maîtrise forte). Si l’organisme quitte le giron de cette maison mère (rattachement à une autre entité, essaimage…) la criticité serait alors différente (impact toujours fort, probabilité moyenne, maitrise faible…).

Et donc, il serait temps de déployer une action sur ce thème.

[Henri]

(suite)

Thaumasia, je veux bien… documenter un portefeuille* de “tous” les risques y compris ceux “faibles” (= ceux déterminés d’emblée comme inutiles à prendre en compte ou devenus tels car déjà “pris en compte” avec succès par le SMQ dans le passé), au cas où les uns s’activeraient ou les autres se réveilleraient à l’avenir… Je veux bien que cet inventaire serve de base de révision périodique des risques à déterminer éventuellement comme “nécessaire à (re)prendre en compte” un jour dans le cadre des articles 6.1.1 et 6.1.2. Mais cette mémoire des risques qu’il n’est pas “nécessaire de prendre en compte” n’est en rien exigée ni même suggérée par le modèle ISO 9001. D’autant qu’au fond je dirais qu’elle est assurée au plus simple (au moins pour les risques déjà maîtrisés dans le passé) par le simple archivage des revues de direction, si ce n’est même dans la mémoire des directeurs.

* Ca me fait penser à notre “DUER” en S&ST (cf processus d’EvRP et enregistrement exigés par la réglementation, exigences qu’on retrouve dans l’ISO 45001, avec identification de la méthode et critères d’EvRP ; toutes choses qu’on n’a pas dans ISO 9001). 

Admettons néanmoins qu’on assure cette mémoire active des risques “faibles”. Pour le moment on n’en tire évidement pas ou plus aucune action pour leur faire face. Et je maintiens alors que le piège serait de “s’inventer” à tout prix de nouveaux risques significatifs juste pour justifier de nouvelles actions à engager selon 6.1.2. Or je crains que beaucoup d’entreprise se cassent la tête à gérer un portefeuille permanent d’actions pour faire face à des risques même bidons… c’est le “piège” à éviter. Un peu de la même manière qu’on a vu avec la précédente version de l’ISO 9001 des entreprises rédiger une prétendue “lettre d’engagement de la direction” au titre de l’ex-article 5.1.

Par ailleurs pour ma curiosité et compréhension personnelles, à propos de ta “criticité” des risques (déterminée si j’ai bien compris en combinant les dimensions “impact, probabilité et maîtrise” des risques) : comment et sur quoi la “maîtrise” d’un risque agit-elle pour moduler sa “criticité” ? Que réduit-elle (puisqu’elle abaisse la “criticité” du risque) ? 

A+

[THAUMASIA_Academie]

Effectivement, il y a toujours cette presque dualité entre ce qu’exige la norme, et ce qui “serait” utile à déployer lorsque le contexte volontaire et éclairé d’un organisme le permet et y offre un intérêt.

 

Petite parenthèse : nous avons dans notre déontologie, par exemple, une règle (la 5ème et dernière) qui est “agir et proposer des solutions aux Clients dans leur strict intérêt, tout en tenant compte de la maturité, des objectifs, de la culture et des ressources de ce dernier” (déontologie que nous évaluons, une fois par trimestre, par intervenant et entre autres points). Lorsque nous déployons une approche risques, il y a donc des contextes dans lesquels une gestion et une projection fine et stratégique des risques est adaptée, des contextes dans lesquels cela ne l’est pas encore, des contextes dans lesquels cela ne le sera jamais.

Cette approche des risques est riche déployée avec une notion de “portefeuille” évolutif, révisé, sans diminuer son contenu (sauf à identifier des risques qui, après action, démontrent l’impossibilité qu’ils se manifestent un jour). Mais dans certains cas : les identifier, les tenir à jour est déjà pas mal.

 

A l’instar d’autres exigences : il y a ce qu’exige la norme, ce que l’on peut en faire, ce dont on se “méfie”.

Un exemple intéressant ces dernières années : cette notion de gestion des risques et des opportunités…

La norme demande explicitement de planifier les actions à mettre en oeuvre face aux risques et opportunités.

Nous préconisons généralement les deux interprétations suivantes : considérer que les actions déployées face aux risques “sont” des opportunités, et, intégrer l’ensemble des opportunités déjà identifiées au sein de l’organisme et déjà planifiées (issues des revues de direction, des audits internes par exemple…). Et hop ! Plus besoin de déployer quoi que ce soit pour répondre à cette perception des opportunités parce que tout système qui se respecte intègre et planifie déjà ces dernières…

Or, nous voyons parfois en audit (pas plus tard qu’il y a 15 jours) des entreprises déployant des dispositions particulières pour gérer… les opportunités. Comme si elles ne le faisaient pas jusqu’alors ?! Plus fort encore : une société ayant pris une non-conformité mineure (que nous n’avons pas accompagné) au prétexte que la gestion des opportunités n’était pas aussi solide que sa gestion des risques. Je pense que l’interprétation technique de l’auditrice ne lui a pas offert l’opportunité de ne garder raison et de se dire que, vu le SWOT plutôt bien fait et réactualisé depuis une 10 aine d’années, suivi d’actions, que le fait que cette société affiche une croissant de 30% régulière de son CA depuis ces dernières années notamment, qu’elle est à présent leader sur son marché en Europe, témoignent déjà d’une plutôt belle appréhension des opportunités…

 

Le DUER est un bon exemple également, et une belle hérésie proposé tel qu’il l’est aujourd’hui.

Dans une majorité des entreprises, le DUER n’est qu’une obligation parmi tant d’autres, au même titre que le règlement des cotisations, les déclarations aux organismes collecteurs… quant il n’est tout simplement pas ignoré (genre : “non non… je n’ai toujours pas entendu parler du RGPD et je le sais pas qu’il entre en vigueur dans 2 mois et, donc, tout va bien). Il n’est qu’un “truc” qui, parfois, peut se suffire d’un torchon imprimé en vert sur fond blanc avec des cases à cocher et une signature, proposé par certains médecins du travail.

L’ISO 9001 offrant la possibilité de jeter un oeil sur la conformité “de base” à la règlementation et à la législation (du DUER à la conformité des locaux en passant par pleins de petits détails enfin éclairés) lorsque nous déployons le DUER, pour le coup, depuis déjà quelques dizaines d’années, avec une méthodologie tout à fait analogue à la gestion des risques : une prise de conscience se fait au sein des équipes. Non pas un miracle, mais enfin une compréhension qu’au-delà des notions de risques, sécurité, investissements parfois, temps accordé… on “parle” de l’intégrité physique des personnes autour de nous, dans nos équipes. Du droit juste basique ne ne pas avoir mal, de ne pas être blessé, de ne pas devoir expliquer aux enfants que si “papa ou maman à mal au dos” il faut être patient.

Et dans ce cas, pour notre part, on se fout un peu de ce que demandera (ou pas) la 45001, de ce que proposait la 18001 ou de ce torche-### vert sur fond blanc qui a été vendu comme un graal à certaines entreprises : en approche qualité, on approche aussi un simple droit fondamental au respect.

Bon… je l’emporte un peu, mais je pense qu’il y a une montagne entre ce que l’ISO 9001 attend et ce que l’on peut en faire avec une bonne intention. Aucun référentiel ne sera jamais complet de toute manière et penser qu’y répondre assurera de maîtriser une composante d’une entreprise me semble illusoire sans ce bon sens qui nous a déjà valu des échanges.

Allez : top chrono ! On vient de nous annoncer le lancement d’un logiciel détectant les différences de salaires hommes – femmes. Si le sujet est fondamental évidemment (nous avons supprimé ce risque chez nous : il y a plus de “dames” que de “messieurs” et elles sont aux commandes des finances), en quoi fera-t-il avancer les cultures ? qui imagine un instant qu’un(e) patron(ne) d’entreprise va s’effondrer le premier soir en larme devant son listing en se disant : “mon dieu, si j’avais su ! quel monstre je suis…”. On en reparle dans 3 ans…

 

Je reviens à nos moutons égarés par cette envolée matinale

 

La notion de diminution de criticité est, là encore, une manière de voir “la chose”.

Nous avons une vidéo sur notre chaine qui donne des exemples de 5 à 6 manières différentes de calculer la criticité, mais je résume :

– si la criticité est calculée par : gravité x probabilité x maitrise (je rappelle : il s’agit d’une méthode parmi d’autres)

– si un action permet de renforcer la maîtrise, diminuer la probabilité (l’exposition par exemple)

– lorsqu’elle sera efficace (si elle l’est) elle abaissera la note de : gravité  x probabilité x maîtrise

La note résultante n’a que peu d’importance. Ce qui est intéressant : c’est le niveau de criticité des risques avant et après, c’est le comparatifs des pépins qu’on a eu et de la manière dont on les avait identifié ou pas, cotés ou mal, par exemple.

[THAUMASIA_Academie]

Hmm : j’ai peut-être abusé là.

Ne vous sentez pas obligés de lire tout ce qu’il y avant

Surtout qu’il était question de revue de direction… au départ…

[Brown]

merci beaucoup pour le temps que tu ‘as consacré pour écrire tous ça , en faite je commence à bien comprendre le boulot grâce à vos éclaircissements . 

[Papal]

Bonjour à tous,

J’ai une question à propos de l’adéquation des ressources (Matériels, infrastructures, ..) dans la REVUE DE DIRECTION, qu’est ce qu’on doit aborder exactement à ce niveau 

Merci d’avance

[Henri]

Hello !

Thaumasia, j’ai effectivement un peu perdu le fil de ton long message (le sujet ici c’est la compréhension de certaines exigences ISO 9001, ce n’est pas de faire de la retape pour ce que toi tu proposes à tes prospects au-delà de ces exigences…) et je n’ai pas vraiment saisi son rapport avec le “piège” que je perçois dans 6.1.1 et 6.1.2.

Deux rebonds néanmoins :

– Quel rapport fais-tu donc entre le DUER (réglementation management S&ST) et l’ISO 9001 (normalisation Q) ? Il n’y en a pas.

– Je trouve que tu n’as pas répondu à mon questionnement sur la maîtrise d’un risque (comment et sur quoi la “maîtrise” d’un risque agit-elle pour moduler sa “criticité” ? Que réduit-elle (puisqu’elle abaisse la “criticité” du risque). Bref, que change-t-elle dans le risque ?

A+

[Auteur]

Messages