- Ce sujet contient 10 réponses, 3 participants et a été mis à jour pour la dernière fois par
, le il y a 5 années et 11 mois.
-
Messages
-
Bonjour à tous,
Les questions que je me pose sur la norme concernant les risques ( oui, encore eux !
est la suivante :Qui doit exactement identifier les risques dans l’entreprise (même si les risques doivent être pris en compte au niveau process ? ) Qui doit les évaluer, les analyser, décider des actions à mettre en place face aux risques ? Est-ce au pilote qu’incombe cette responsabilité ? Est-ce à lui d’identifier, d’analyser , de décider de la méthode d’analyse, de pondérer les risques et de décider des actions à mener ? Est-ce que ça ne devrait pas être fait au niveau de la Direction plutôt ? Est-ce qu’on ne devrait pas faire ce travail à ce niveau là avec bien sûr, la collaboration des pilotes, des responsables métiers et opérationnels?
Le risk mangement est pris en compte dans beaucoup d’entreprises en dehors de la norme ISO 9001 :2015 et sous d’autres référentiels.Il y a toute une stratégie et un processus de gestion des risques qui sont développés. Dans ces entreprises , Ils désignent même un risk manager qui bosse avec le top managment , les responsables métier et opérationnels et ils décident d’un commun accord de tout ce travail là . Et le risk manager lui , fait en plus la coordination, l’aide à l’identification des rsiques au niveau des méters , le suivi , l’alerte , l’information, la révision …
Personnellement, je trouve cette tâche trop lourde pour qu’un pilote s’en charge seul et ça ira dans tous les sens si chaque pilote fait à sa manière. Du moins pour ce qui est des risques majeurs qui mettent en jeu la pérennité de l’entreprise. On est vraiment pas d’accord sur la façon de procéder un collègue et moi-même qui pense lui , que ce travail est strictement la responsabilité du pilote de processus. Elle est où dans la norme cette obligation ?
Eclairez-moi svp
Hello !
Bin… euh… il suffit de lire l’article 6.1.1 de l’ISO 9001 pour répondre à ta question : c’est “l’organisme” qui doit déterminer les risques et opportunités qu’il est nécessaire de prendre en compte à travers son SMQ… Autrement dit c’est la direction qui organise cette détermination comme bon lui semble et notamment désigne qui elle en charge si elle ne l’assure pas elle-même.
A+
Bonjour Lylia,
Faisons original : cela dépend totalement de votre contexte, de la nature de votre activité, de la construction de votre système de management, des acteurs et de leur maturité, de votre animation du système de management et de l’implication du personnel.
Maintenant que cela est dit, pourriez-vous nous éclairer sur : quelle est votre activité ? combien de sites / personnes ? combien de niveau hiérarchiques ? combien de processus ?
Et nous pourrons trouver ensemble les “bons” métriques.
Hello !
Thaumasia, répondre souvent “cela dépend du contexte” à nos interlocuteurs n’est pas une réponse qui fait vraiment avancer le Schmilblick…
Ici il vaut mieux confirmer à Lilya que les modèles de SM ne disent pas “qui doit exactement identifier les risques dans l’entreprise”. D’ailleurs elles sont globalement muettes sur l’identification des acteurs des processus ou activités qu’elles exigent : en général elles disent simplement que c’est “l’organisme” qui doit faire ceci ou cela (mais dans certains cas elles précisent que c’est la “direction” elles-même qui doit faire certaines choses).
Donc globalement c’est forcément la direction de l’entreprise qui organise ses activités à son gré (j’enfonce une porte ouverte). Mais on est bien d’accord une direction va évidemment tenir compte de ce qu’est son entreprise pour l’organiser et notamment attribuer des rôles responsabilités et autorités dans son organigramme…
A+
Répondre sans tenir compte du contexte me semble bien plus préjudiciable, maladroit et risque de faire avancer un Schmilblick d’une manière inadaptée.
Si je tiens, et tiendrais encore, à préciser qu’il est aussi illusoire que maladroit de penser qu’il existe des réponses types sans tenir compte du contexte c’est tout simplement parce qu’il s’agit là d’une réalité.
Aussi, c’est la raison pour laquelle j’ai posé à Lilya des questions afin d’identifier les meilleures réponses à apporter.
Personnellement, je préfère orienter sur ce qui est à faire, plutôt sur ce qu’il ne faut pas faire, et le faire en fonction d’un contexte.
Par exemple : non, ce n’est pas forcément à la direction de l’entreprise de faire cela. Cela dépend d’un contexte. Un petite société de 10 personnes se reposera peut-être sur la Direction, une organisation de 40 personnes fera peut-être appel à sa Fonction Qualité, au-delà d’une 100 aine de personnes, les pilotes ou directions intermédiaires seront certainement en charge de cela, et, au-delà de 200 personnes, on espère que la direction aura d’autres choses à faire que d’animer ce mécanisme (elle pourra y participer ponctuellement). Voilà ce que je nomme un contexte (en tout cas, ici, un contexte posé sur les effectifs dans le meilleur niveau à qui attribuer la gestion des risques).
Chacun ses approches..
direction (suite)
Mettons-nous d’accord :
La réponse à la question “qui doit déterminer les risques selon ISO 9001 ?” ou encore “dans la norme où est l’obligation que ce serait la responsabilité des pilotes de processus ?” (questions initiales) ne dépend pas du contexte de l’entreprise mais du contenu de cette norme.
La réponse à la question “qui dans mon entreprise doit déterminer les risques comme exigé par ISO 9001 ?” (puisque la norme ISO ne le dit pas) relève de la direction en fonction de la structure et des ressources de l’entreprise (pas vraiment de son contexte d’ailleurs).
Personnellement, je préfère répondre aux questions posées, et orienter sur ce qui est à faire ou à ne faut pas faire, mais toujours en fonction de la réalité du demandeur.
A+
Mettons-nous d’accord : c’est une approche possible.
Je la trouve, par expérience d’un peu plus d’une centaine d’entreprises et de contextes accompagnés dans ces dernières année : assez maladroite Henri. Mais bon… nous n’avons pas la même expérience et nous en avons déjà largement assez débattu ici.
Je suis d’accord, en revanche, sur un point : répondons aux questions posées.
Lilya, pour ma part, je vous offrirai ma meilleure réponse en comprenant votre contexte
Hello !
Quelle approche précisément trouves-tu assez maladroite Thaumasia ? Et pour quelles raisons ?
A+
Bonjour Lilya.
Ha ! Voilà un élément de contexte fondamental : 2000 personnes.
Deux choix s’offrent à vous, donc, en terme de pilotage :
– faire une analyse de risques complète avec les Directions, dont les actions et préconisations redescendront (ou pas) au sein des services,
– faire une analyse de risques à deux niveaux : une première sur les pilotages, déploiements des politiques et stratégies dans les Directions, et ensuite, des analyses de risques plus opérationnelles sur les activités au sein des services,
Ces deux approches dépendent effectivement des implications et maturités à ces deux niveaux.
Si vous avez un “risque” ou une “insuffisance” sur la maturité, c’est une excellente chose que de le savoir.
Là également, deux cas possibles :
– le plus simple : les pilotes ou porteurs de l’analyse des risques ont peu de culture “risques”. C’est assez simple : il vous suffit de les former…
– le plus complexe : ces mêmes intervenants n’ont pas de maturité sur les risques parce qu’ils n’en ont pas sur le système de management et pas forcément d’envie de s’y impliquer. Là, avant de les titiller sur les risques, il va être nécessaire de reprendre un travail de fond
- Vous devez être connecté pour répondre à ce sujet.