- Ce sujet contient 11 réponses, 3 participants et a été mis à jour pour la dernière fois par
, le il y a 5 années et 5 mois.
-
Messages
-
Bonjour,
Je viens vous demander votre avis à propos de l’approche risque dans la nouvelle version de l’ISO 9001.
Nous avons réalisé une analyse des risques cette année dans mon service. Nous sommes partis des processus pour aboutir à une liste de risques “opérationnels”. Puis nous avons réfléchis aux risques “stratégiques” en partant de la SWOT. Le tout pour aboutir à une liste d’une quinzaine de risques, auxquels nous opposons des moyens de maitrise.
Après réflexion et ré-étude de cette liste, je trouve qu’elle a une forte connotation “opérationnel”, alors qu’à mon sens la norme a plutôt pour objectif de lier ces risques à la stratégie de l’organisme.
1) Je trouve ça étrange de faire cohabiter dans une même liste des risques stratégiques (ex : nouvelle loi mise en vigueur dans l’année) et des risques opérationnels (ex : erreur de saisie opérateur entrainant un retard sur les objectifs). D’un autre côté, je trouve que ce serait trop lourd de réaliser plusieurs analyse de risques selon leur nature. Votre avis ?
2) De manière plus générale, quelle méthode me conseilleriez-vous pour déterminer les risques ? Partir plutôt de la SWOT avec la Direction, ou bien partir des processus avec l’encadrement + les opérationnels, ou bien un mixe des deux ?
Merci d’avance pour vos retours
Bonjour WEB222,
Il n’est pas rare de voir cohabiter plusieurs dispositifs d’identification et de maîtrise des risques et, effectivement, assez souvent le SWOT pour la stratégie et une approche plus méthodologiquement classique et complète pour les processus ou thèmes opérationnels et supports.
Les principales raisons de cette cohabitation semblent reposer sur le fait que des méthodes plus “complètes” ne sont pas aisément perçues par les Directions (manque de construction et de pilotage des processus… de management).
Les démarches satisfaisantes sont souvent à base d’une analyse de risques identique quel que soit le processus, puis, éventuellement, doublée d’autres approches non dépendantes du processus mais des données entrantes différentes ou d’un autre niveau.
Bonjour,
Merci Thaumasia_Academie pour cette réponse. Il m’est venu une nouvelle question en consultant une vidéo sur votre chaine Youtube (très intéressante par ailleurs!) :
Concernant l’approche risques/opportunités, vous dites qu’il peut suffire de “déterminer les opportunités comme des actions résultant des risques”.
Ce parti pris ne présente-t-il pas un risque justement vis à vis d’un auditeur, qui pourrait penser que cette approche des opportunités est réductrice en comparaison d’une approche de détermination des risques “complète” (identification, cotation, plan d’action, suivi…) ?
Ne serait-il pas judicieux de compléter cette approche des opportunités ?
Par exemple dans un plan d’action :
– les actions résultant des risques sont identifiées par le thème “risques”. On considèrent donc qu’elles sont des opportunités et sont rattachés à un numéro d’identification de risque
– des actions complémentaire sont identifiées par le thème “opportunités”. Elles ne sont pas rattachées à un risque. Ces actions peuvent être déterminées à n’importe quel moment de l’année.
Qu’en pensez vous ?
Hello !
Web, j’imagine que c’est bien à propos de l’art 6.1 “Actions à mettre en oeuvre face aux risques et opportunités” que tu t’interroges. Voici mes remarques et éléments de réponses à tes questions :
ISO 9001 ne demande pas vraiment une “analyse” des risques mais simplement leur “détermination”. On peut toujours en faire plus bien sûr, mais on peut aussi s’en tenir aux exigences du référentiel pour les satisfaire de manière efficiente.
L’art 6.1 ne suggère pas de déterminer des “types” ou “natures” de risques. Si dans ton entreprise vous déterminez 2 types de risques (opérationnels et stratégiques) c’est un choix ; si vous les déterminez avec des méthodes différentes, c’est un choix ; si vous les groupez pour les documenter, c’est encore un choix… Et tous vos choix sont acceptables si au global les exigences 6.1 sont satisfaites.
A considérer ces deux types de risques, faire plancher la direction sur les risques “stratégiques” et les acteurs des processus sur les risques “opérationnels” me semble une bonne idée.
Par contre Web tu n’évoques que la détermination des “risques”. Vous ne déterminez pas des “opportunités” ?
A leur propos je ne partage pas l’avis que tu attribues à Thaumasia selon lequel “il peut suffire de déterminer les opportunités comme des actions résultant des risques” (s’il faut comprendre par là qu’une action mise en place pour faire face à un “risque” serait de fait un “opportunité”) : les notes 1 et 2 de l’article 6.1.2 montrent clairement que ce n’est pas du tout le cas ! ISO 9001 distingue bien ces deux notions, le traitement d’un risque n’est pas une “opportunité” (gag : pourquoi pas alors, pendant qu’on y est, considérer que toute opportunité identifie un risque ?). La norme envisage même que “prendre un risque” puisse être une façon de lui faire face si cette prise de risque permet de saisir une opportunité, c’est dire !
Donc un plan d’actions permettant de faire de faire face aux risques et opportunités du moment comporte des actions faisant face à des risques et d’autres faisant face à des opportunités… mais les actions de traitement de risques ne peuvent pas être identifiées comme des opportunités.
A+
Les actions face au risques peuvent (elles ne sont pas les seules) être considérées comme des opportunités.
C’est possible, c’est admis, cela existe, cela fonctionne… mais cela nécessite une certaine ouverture d’esprit.
Nous avons déjà listé, lors d’autres réponses sur cette thématique, d’autres exemples d’identification d’opportunités.
(suite)
D’où tiens-tu cela Thaumasia ? Ce n’est pas vraiment ce que montrent les notes 1 et 2 en question… Pourrais-tu illustrer de manière réaliste des actions traitant des risques et considérées comme des opportunités, histoire qu’on comprenne ?
Un forum se répète souvent car les interlocuteurs sont de passage… répondre que certaines choses ont déjà été listées sans les redire n’est pas très utile à la discussion ne cours.
A+
Je tiens cela de 87 audits de certification (renouvellement, initial ou transition) effectués par 5 organismes certificateurs différents ayant accepté et compris ces arguments…
(suite)
Tu ne tiens donc pas ça du référentiel et tu ne donnes aucune illustration concrète de ces actions anti-risque considérées miraculeusement comme des opportunités, ce qui qui arrange bien tout le monde (audit et auditeur)…
A+
Je préfère ne pas relancer des échanges déjà maintes fois déroulés ici et qui ne me semblent pas pouvoir produire autre chose que de flatter des égos et d’occuper des temps de vies disponibles…
De rien Web.
Thaumasia, la redite est de mise sur un forum qui “tourne”. Un tel forum n’est pas une base de données ou une bibliothèque… et il y a des réponses qui méritent vraiment les répétitions ! Mais bon on n’aura pas d’illustrations d’actions de traitement de risques rebaptisées actions d’opportunités… ce qui est une démonstration en soi.
A+
- Vous devez être connecté pour répondre à ce sujet.