Pourquoi abordez l'analyse de risque, tout simplement pour anticiper une probable évolution de la future édition de l'ISO/CEI 17025, qui pourrait suivre la tendance de la Norme ISO 9001 à paraître normalement en 2015 et qui dans son § 6.1: Actions pour gérer les risques et les opportunités décrit:

"Lors de la planification de son système de management de la qualité, l'organisation examine les facteurs visés à l'article 4.1 (Comprendre l'organisation et son contexte) et les exigences visées au point 4.2 (Comprendre les besoins et les attentes des parties intéressées) et détermine les risques et les opportunités liés à la conformité des produits et à la satisfaction client qui doivent être abordés pour assurer que le système de gestion de la qualité peut atteindre: le résultat prévu, anticiper ou réduire les effets indésirables et l'amélioration continue."

"L'organisme doit planifier:

a) les actions pour remédier à ces risques et les opportunités et
b) la façon d'intégrer et de mettre en œuvre les actions dans les processus du système de management de la qualité (voir 4.4), évaluer l'efficacité de ces actions.

L'organisation veille à la nécessité de fournir régulièrement un produit conforme aux exigences des clients et d'améliorer la satisfaction du client qui est un facteur décisif pour déterminer les actions pour faire face aux risques, par exemple au moment de choisir entre des options telles que le refus du risque, l'atténuation du risque ou l'acceptation du risque."

Le mot "risque" est cité 43 fois dans la prochaine norme ISO 9001 et cela ce traduit par une certaine incompréhension du lecteur car concrêtement, qu'est ce que cela signifie?

Pour chaque processus critique, il va falloir anticiper les risques directs, indirects et sous-jacents qui pourraient se traduire par une dérive, une anomalie, une non-conformité ou une réclamation client.

En d'autres termes, les actions préventives trouvent toutes leurs places dans cette nouvelle mouture (voir Amélioration continue).

Encore faut-il mettre en œuvre un outil qui puisse répondre à cette éventuelle nouvelle exigence:

un Processus d'analyse des facteurs de risque (RFA: Risk Factor Analysis):

Le tableau en fin d'article donne tous les outils pour identitfier et analyser le risque, certains ne sont pas applicables pour toutes les situations, ceux qui sont identifiés avec une flèche correspondent à tous les cas de figure, leurs mises en œuvre est plus ou moins délicates en fonction de l'expérience des acteurs.

L'objectif du RFA qui s'inspire du "Risk indices" est d'identifier et de comprendre les facteurs sous-jacents qui, à terme peuvent modifier le calendrier, les coût et la mesure des performances techniques d'un projet ou d'un processus.

Un exemple est donné dans cette fiche techique pour bien comprendre la méthodologie.

Les principales étapes impliquées dans la réalisation d'une analyse de facteur de risque sont les suivantes:

• Etablir une liste des activités, des tâches ou autres éléments du processus
• Identifier les facteurs de risque techniques ou managérials applicables
• Élaborer une échelle de classement du risque pour chaque facteur de risque
• Classer les risques pour chaque activité pour chaque facteur de risque
• Sommer les résultats au travers des facteurs de risque pour chaque activité
• Documenter les résultats et identifier les actions potentielles de réduction des risques

Chacune de ces étapes est décrite dans les paragraphes qui suivent:

Etablir une liste des activités:

La première étape est l'identification des activités importantes (risques techniques ou financiers importants) du Laboratoire et en utilisant cette information et les données obtenues, on va développer une liste des activités pour organiser le RFA.

Identification des facteurs de risque:

Les facteurs de risque sont les questions, sujets ou les préoccupations qui peuvent finalement conduire à une dégradation du processus pour une activité donnée. Le but est de rechercher systématiquement les activités porteuses de ces facteurs de risque.
Pour aider à l'identification des risques pertinents, on divise ce risque global en cinq grandes catégories de risque (libre à tout un chacun d'en choisir d'autres ou plus).

Elaborer une échelle de classement du risque pour chaque facteur de risque:

Un facteur de pondération est attribué pour chaque échelle du risque sur l'impact du risque et sur sa probabilité.

Impact du risque: I Rank Probabilité: P Rank
Insignifiant

1

Très faible

1

Mineur 2 Faible 2
Modéré 3 Médiane 3
Majeur 4 Importante 4
Catastrophique 5 Très importante 5

Classer les risques pour chaque activité pour chaque facteur de risque:

Par exemple, Le risque humain est majeur (4) mais la probabilité est faible (2).

Sommer les résultats au travers des facteurs de risque pour chaque activité:

L'exposition au risque est donnée par la formule RE = P x I, dans l'exemple précédent: RE = 2 x 4 =8.

Documenter les résultats et identifier les actions potentielles de réduction des risques:

Le résultat final se formalise sous la forme d'une matrice ou d'un diagramme de Pareto pour exploiter les données et agir en conséquence sur les risques critiques afin de diminuer leur importances.

L'efficacité des actions peut se mesurer en calculant:

Si l'efficacité est ≤ 1: le bénéfice ne vaut pas l'investissement

Si l'efficacité est légèrement > 1: le bénéfice est très discutable

Si l'efficacité est > 2: le bénéfice est satisfaisant.

Vous aurez forcément des risques "résiduels" qu'il faudra accepter ou maîtriser.

Prenons un exemple pour concrétiser cette méthodologie

Données d'entrées:

Laboratoire ouvert en 1988 de 15 personnes avec du personnel relativement stable, la moyenne de la pyramide des âges est de 45 ans, son activité est soumise à une forte concurrence, il ne possède pas de service commercial, son principal client représente 40 % de son activité.

Le bénéfice nette du laboratoire ne lui permet pas d'investir dans du gros équipement chaque année, un emprunt bancaire est obligatoire.

Ses équipements ont entre 10 et 20 ans d'existence.

Analyse du risque sur le processus "Réclamation Client"

RECLAMATION CLIENT
Nature du risque: N Incidence I P RE
Risque Client

Perte du client

Perte de crédibilité

Son client en parle avec d'autres clients

4 3 12
Risque Financier

Perte de marchés

Perte de chiffre d'affaire

5 3 15
Risque Technique

Remise en cause de la prestation

Fiabilité des équipements

2 2 4
Risque Humain

Démotivation du personnel

Pas d'augmentation

Démission / sécurité de l'emploi

2 2 4
Risque fournisseur - 1 1 1
Somme globale 36

Diagramme de PARETO

On voit bien, qu'il va falloir travailler sur le risque client car le risque financier est complètement dépendant de la perte des clients.

Ce qui n'empêche pas de travailler sur le risque financier en proposant les activités du laboratoire vers d'autres clients.

Considérons maintenant le coût que cela représenterait pour lancer ces actions.

Coût Financier Rank
Très faible

1

Faible 2
Modéré 3
Important 4
Très important 5

 

Nature du risque: N Actions Rank
Risque Financier

Développement d'un service commercial avec embauche d'une personne

Démarchage téléphonique, envoi de brochures

5

2
Risque Client

Eviter les réclamations clients par une Sensibilisation / Formation du personnel sur l'importance du client pour une petite structure.

2

On va supposer que les actions ont été mises en place (car la mesure de l'efficacité ne peut être quantifiable qu'après mesure du bénéfice des actions), mais le calcul peut tout de même permettre de vérifier en amont si l'action est supposée rentable.

RECLAMATION CLIENT

Après

les actions

Delta 

Rank

du coût

Efficacité Commentaire
Nature du risque I P RE1 I P RE2
Risque Client 4 3 12 3 2 6 6 2 3,0 Le bénéfice est satisfaisant si le personnel a pleinement conscience de l'importance de sa fonction et de ses responsabilités.
Risque Financier 5 3 15 3 2 6 9 5 1,8

Si le commercial n'est pas convaincu par sa fonction et non convaincant, le coût engendré par le recrutement ne sera pas bénéfique pour le laboratoire (analyse des résultats en fin de période d'essai pour éviter un risque trop important).

2 4,5 Le gain financier sera toujours un plus en rapport de la faible dépense consacrée à cette action.
Risque Technique 2 2 4 2 2 4 0 - - -
Risque Humain 2 2 4 1 1 1 3 2 1,5 Une action de sensibilité n'enpêchera par un turn-over du personnel sauf si les gains financiers servent en partie à fidéliser les salariés et c'est une action indirecte.
Risque fournisseur 1 1 1 1 1 1 0 - -  
Somme globale 36   17  

Conclusion:

La taille du laboratoire, la répartition de ses clients, l'âge de son personnel, son management, son appartenance à un groupe, la nature de ses prestations sont autant de critères qui changent la donne dans une estimation du risque, chacun doit se faire sa propre opinion, la direction qui connaît le mieux les rouages du laboratoire doit être très impliquée dans cette démarche.

Il va s'en dire que cette démarche est dynamique, elle évolue au grès de la vie du laboratoire et alimente les données d'entrées de l'amélioration continue et par conséquent de la revue de direction.

Les processus qui peuvent nécessiter ce type d'analyse sont: Revue des appels d'offres, sous-traitance des essais, Achats de service, service au client, maîtrise des travaux non conformes, personnel, assurer la qualité des résultats d'essais, les équipements sont plutôt concernés par une AMDEC, une FMEA et les méthodes par HACCP.