Gestion des risques et opportunités

Que dire de mon retour d'expérience sur la prise en main de ce chapitre 8.5 de la norme ISO 17025-2017 par les organismes: qu'il est abordé régulièrement de manière réductrice, peu enclin à sa réalisation, parfois compliqué, souvent trop superficiel et avec un pessimisme annoncé: beaucoup de risques pas toujours pertinents, peu d'opportunités, forces inexistantes, menaces inconnues.

Les écarts lors des évaluations sont rares surtout en initial ou lors d'une transition à la nouvelle version, l'équipe cherche surtout à recadrer les dérives pour éviter la sanction en audit de suivi.

Mais dans la grande majorité des cas, la survie de la méthodologie est menacée sur la durée, l'illusion sur son fonctionnement ne tiendra pas sur un cycle d'accréditation, sa présentation ne permet pas d'exercer le fameux PDCA (Plan, Do, Check, Act), le support est figé, les actions sont traitées sans mesure de leurs efficacités, la procédure non obligatoire permettrait pourtant à certains de formaliser un cadre de travail plus réfléchi, tant sur l'identification des R&O que sur leurs traitements.

De plus, le bénéfice de ce travail est souvent mal exploité et ne joue pas son rôle d'amélioration dans les arcanes du système de management de la qualité, certaines actions pourtant bénéfiques pour l'organisme ne sont pas intégrées à l'analyse, à contrario, la survenance régulière de problèmes n'a pas été identifiée.

Cela laisserait penser qu'il y a le fonctionnement du SMQ et à côté, les R&O alors que ces derniers doivent être intégrés dans toutes les phases des différents processus.

La cotation non obligatoire d'ailleurs est laissée à discrétion des organismes: occurrence, fréquence, probabilité, critique, modéré, négligeable, détectabilité sont les termes les plus usités dans l'approche de cette quantification qui se soldera par une multiplication de 2 ou 3 paramètres auxquels on aura attribué une note d'importance basée sur les critères de criticité et de fréquence pour n'en citer que deux.

Un premier conseil: éviter de faire une fonction trop compliquée (on voit les adeptes de l'AMDEC ou de l'HACCP) et représenter dans une matrice 2D ou 3D, l'ensemble des résultats probables en fonction de vos critères, il sera plus facile de définir les plages ou vous déciderez de mettre en œuvre une action pour réduire le risque / la menace.

Malheureusement, dans ce mode de cotation et une terminologie basée sur le risque, les forces et les opportunités ayant un caractère positif ne trouvent que difficilement leurs places dans le tableau récapitulatif.

On préfèrera donc le terme plus neutre "d'impact" qui pourra être "faible", "moyen ou modéré" ou "fort" tout gardant une probabilité d'occurrence "occasionnel", "probable" ou "fréquent".

Un second conseil: Le choix d'un tableur sera privilégié a un traitement de texte pour réaliser cette cotation, un jeu de couleur pourra renforcer les notes significatives, des conditions pourront être rajoutées pour rendre une lisibilité optimale.

Méthodologie:

La méthode décrite ci-dessous n'a pas pour prétention de définir une référence absolue en la matière, c'est un exemple qui reflète ma perception de la norme et qui permet de répondre aux exigences normatives et donne la possibilité de faire vivre le SMQ autour des R&O.

Que l'on soit laboratoire intégré ou indépendant, commencer par lister les processus supports internes au laboratoire (indépendant) et les processus supports "externes" au laboratoire (intégré) : Maintenance, IT, achat, Qualité, usinage, échantillonnage, préparation, expédition, RH, management, métrologie, ... : liste non exhaustive.

1) Pour chaque processus, définir les activités significatives pour le bon fonctionnement de l'organisme ou du laboratoire.

Par exemple,

Pour le Service Qualité: traitement des réclamations, gestion des non-conformités, gestion documentaire, .....

Pour le service Informatique (IT): gestion du parc informatique, archivage et récupération/conservation des données, .....

Pour le service Achat: commande et relance, suivi et règlement des fournisseurs, .....

Ne pas oublier le Laboratoire au sens strict du terme (la zone qui fournit des résultats): essai de traction

2) Pour chaque activité, définir les Interactions internes et externes:

Par exemple,

Pour le service Qualité et pour l'activité "réclamation": communication avec le client, suivi des actions

Pour le service Informatique et pour l'activité "gestion du parc informatique": mise à disposition d'une infrastructure numérique, achat équipement informatique

Pour le service Achat et pour l'activité "commande": communication avec les prestataires externes, sous-traitance des essais

Pour le laboratoire et pour l'activité "essai de traction": disponibilité de l'équipement, réponses techniques au client

3) définir les exigences ou les objectifs pour chaque interaction:

Par exemple,

Pour le service Qualité et pour l'activité "réclamation" et l'interaction "communication avec le client": accusé réception de la réclamation avec le plaignant

Pour le service Informatique et pour l'activité "gestion du parc informatique" et l'interaction "mise à disposition d'une infrastructure numérique": accessibilité aux données

Pour le service Achat et pour l'activité "commande" et l'interaction "communication avec les prestataires externes": définir les services achetés, les critères, les compétences et qualifications, les demandes spécifiques.

Pour la laboratoire et pour l'activité "essai de traction" et les 'interactions "réponses techniques au client": respect des délais et "disponibilité de l'équipement": réduire les délais

Bien entendu, il peut y-avoir plusieurs objectifs et/ou exigences pour une même interaction.

4) Définir la nature des R&O avec Date: Force / opportunité ou Menace / Faiblesse

La première partie du tableau pourrait ressembler à cela (laboratoire indépendant):

FO: Force, F: Faiblesse, O: Opportunité, M: Menace

Processus support*
Activité
Interactions internes et externes Exigences ou objectifs Date: Force / opportunité / Menace / Faiblesse
Service Qualité Réclamation Communication avec le client Accusé réception de la réclamation avec le plaignant  F: 16/09/20 Absence de communication avec le client 
Service Informatique Gestion du parc Mise à disposition d'une infrastructure numérique Accessibilité aux données F: 16/09/20   Réalisation impossible des essais et des rapports
Service Achat Commande Communication avec les prestataires externes Définir les services achetés, les critères, les compétences et qualifications, les demandes spécifiques M: 16/09/20   Prestation externe ne répondant pas à l'exigence du laboratoire
Laboratoire Essai de traction Réponses techniques au client Respect des délais  FO: 16/09/20 Suppléance du personnel
Disponibilité des équipements d'essai Réduire les délais O: 16/09/20 Améliorer la disponibilité des équipements

Pour un laboratoire intégré, les 2 services supports (Qualité et IT) sont considérés comme des prestataires externes, les faiblesses se transforment donc en menaces.

*liste arbitraire pour les exemples

5) la cotation:

EVALUATION = PROBABILITE x IMPACT

 

La probabilité ou l'occurrence sera basée sur 3 critères:

 

L'impact sera basé sur 3 critères:

 

On en déduit la matrice 2D des résultats de l'évaluation et la cotation finale:

 

 

6) Règles de décision concernant les actions à prendre:

1- Les évaluations > 4 « Majeures » seront systématiquement prises en compte pour mener des actions dans la mesure où les moyens de maîtrise du risque ou pour atteindre l’objectif sont inexistants ou incomplets.
2- Les évaluations ≤ 4 et > 2 « Modérées » pourront éventuellement faire l’objet d’actions si les moyens de maîtrise du risque ou pour atteindre l’objectif sont inexistants.
3- Les évaluations ≤ 2 « Négligeables » sont considérés comme des risques acceptables même si les moyens de maîtrise du risque ou pour atteindre l’objectif sont inexistants ou incomplets.
4- Les forces ayant un impact significatif ne feront pas l’objet d’actions mais devront être maintenu au niveau de qualité.

Les options de moyens de maîtrise peuvent comprendre:

• Évitez le risque en décidant de ne pas poursuivre une activité.
• Réduire la probabilité du risque : formation, maintenance, investissement…
• Réduire l’impact du risque : planification, investissement, sous-traitance….
• Transférer le risque à une autre partie : sous-traitance,….

7) Evaluation des risques:

La seconde partie du tableau pourrait ressembler à cela (laboratoire indépendant):

Date: Force / opportunité / Menace / Faiblesse Analyse des Risques & Opportunités
Impact Probabilité Score Evaluation
 F: 16/09/20 Absence de communication avec le client  3 1 3 Modérée
F: 16/09/20   Réalisation impossible des essais et des rapports 3 1 3 Modérée
M: 16/09/20   Prestation externe ne répondant pas à l'exigence du laboratoire 3 2 6 Majeure
 FO: 16/09/20 Suppléance du personnel 3 3 9 Force
O: 16/09/20 Améliorer la disponibilité des équipements 3 2 6 Majeure

 

La troisième partie du tableau pourrait ressembler à cela:

Moyen ou absence de maîtrise Re-cotation des Risques & Opportunités
Impact Probabilité Score Evaluation
Processus de réclamation clients PRS-SMQ-02 1 1 2 Négligeable
Plusieurs PC dans le laboratoire et stock à l'informatique 1 1 2 Négligeable
La laboratoire ne dispose pas d'une copie de la commande et n'est pas destinataire de l'accusé réception du prestataire 3 2 6 Majeure
3 personnes habilités peuvent réaliser les essais de traction 3 3 9 Force
Possibilité de passer en 2/8 après avis positif du personnel 3 3 9 Majeure

 

La quatrième et dernière partie du tableau pourrait ressembler à cela:

 

Action corrective N°
Evaluation du risque suite à action corrective
Evaluation de l'efficacité /Date Date de revue du risque
/ / / 20/12/2020
/ / / 20/12/2020
1: demander au service achat une copie systématique de la commande et être en copie de l'AR au prestataire Négligeable 20/09/2020 20/12/2020
/ / / 20/12/2020
2: passage en 2/8 pour deux techniciens volontaires Négligeable 20/10/2020 20/12/2020

 

L'évaluation du risque après action corrective est intégrée à la fiche d'action corrective ainsi que l'évaluation de l'efficacité:

1: réception de la copie de la commande et de l'AR du prestataire sur les 2 dernières commandes.

2: Amélioration de l'indicateur de délai sur le mois suite au passage en 2/8 des 2 techniciens

8) Revue des risques:

La revue du risque est réalisée annuellement avant la revue de direction ou lors d'un changement ayant un impact sur l'analyse de risque, il s'agit de vérifier si les moyens de maîtrise sont toujours pertinents pour maintenir le risque: l'opportunité, la menace ou la force à son niveau de cotation actuelle.

La réactualisation n'efface pas le risque/opportunité/menace ou opportunité identifiée mais la ligne n'est plus utilisée pour en créer une nouvelle, dans l'exemple ci-dessous, la force du laboratoire devient une faiblesse suite au départ d'un technicien (action corrective obligatoire pour revenir à une situation rationnelle: embauche d'un collaborateur, sous-traitance d'une partie des essais de traction, achat d'un second équipement pour revenir à un fonctionnement en journée,...).

Date: Force / opportunité / Menace / Faiblesse Analyse des Risques & Opportunités
Impact Probabilité Score Evaluation
 FO: 16/09/20 Suppléance du personnel 3 3 9 Force
F: 20/11/2020  Départ d'un technicien en 2/8 3 3 9 Majeure

 

"Bon courage"