Gestion des risques et opportunités
Que dire de mon retour d'expérience sur la prise en main de ce chapitre 8.5 de la norme ISO 17025-2017 par les organismes: qu'il est abordé régulièrement de manière réductrice, peu enclin à sa réalisation, parfois compliqué, souvent trop superficiel et avec un pessimisme annoncé: beaucoup de risques pas toujours pertinents, peu d'opportunités, forces inexistantes, menaces inconnues.
Les écarts lors des évaluations sont rares surtout en initial ou lors d'une transition à la nouvelle version, l'équipe cherche surtout à recadrer les dérives pour éviter la sanction en audit de suivi.
Mais dans la grande majorité des cas, la survie de la méthodologie est menacée sur la durée, l'illusion sur son fonctionnement ne tiendra pas sur un cycle d'accréditation, sa présentation ne permet pas d'exercer le fameux PDCA (Plan, Do, Check, Act), le support est figé, les actions sont traitées sans mesure de leurs efficacités, la procédure non obligatoire permettrait pourtant à certains de formaliser un cadre de travail plus réfléchi, tant sur l'identification des R&O que sur leurs traitements.
De plus, le bénéfice de ce travail est souvent mal exploité et ne joue pas son rôle d'amélioration dans les arcanes du système de management de la qualité, certaines actions pourtant bénéfiques pour l'organisme ne sont pas intégrées à l'analyse, à contrario, la survenance régulière de problèmes n'a pas été identifiée.
Cela laisserait penser qu'il y a le fonctionnement du SMQ et à côté, les R&O alors que ces derniers doivent être intégrés dans toutes les phases des différents processus.
La cotation non obligatoire d'ailleurs est laissée à discrétion des organismes: occurrence, fréquence, probabilité, critique, modéré, négligeable, détectabilité sont les termes les plus usités dans l'approche de cette quantification qui se soldera par une multiplication de 2 ou 3 paramètres auxquels on aura attribué une note d'importance basée sur les critères de criticité et de fréquence pour n'en citer que deux.
Un premier conseil: éviter de faire une fonction trop compliquée (on voit les adeptes de l'AMDEC ou de l'HACCP) et représenter dans une matrice 2D ou 3D, l'ensemble des résultats probables en fonction de vos critères, il sera plus facile de définir les plages ou vous déciderez de mettre en œuvre une action pour réduire le risque / la menace.
Malheureusement, dans ce mode de cotation et une terminologie basée sur le risque, les forces et les opportunités ayant un caractère positif ne trouvent que difficilement leurs places dans le tableau récapitulatif.
On préfèrera donc le terme plus neutre "d'impact" qui pourra être "faible", "moyen ou modéré" ou "fort" tout gardant une probabilité d'occurrence "occasionnel", "probable" ou "fréquent".
Un second conseil: Le choix d'un tableur sera privilégié a un traitement de texte pour réaliser cette cotation, un jeu de couleur pourra renforcer les notes significatives, des conditions pourront être rajoutées pour rendre une lisibilité optimale.
Méthodologie:
La méthode décrite ci-dessous n'a pas pour prétention de définir une référence absolue en la matière, c'est un exemple qui reflète ma perception de la norme et qui permet de répondre aux exigences normatives et donne la possibilité de faire vivre le SMQ autour des R&O.
Que l'on soit laboratoire intégré ou indépendant, commencer par lister les processus supports internes au laboratoire (indépendant) et les processus supports "externes" au laboratoire (intégré) : Maintenance, IT, achat, Qualité, usinage, échantillonnage, préparation, expédition, RH, management, métrologie, ... : liste non exhaustive.
1) Pour chaque processus, définir les activités significatives pour le bon fonctionnement de l'organisme ou du laboratoire.
Par exemple,
Pour le Service Qualité: traitement des réclamations, gestion des non-conformités, gestion documentaire, .....
Pour le service Informatique (IT): gestion du parc informatique, archivage et récupération/conservation des données, .....
Pour le service Achat: commande et relance, suivi et règlement des fournisseurs, .....
Ne pas oublier le Laboratoire au sens strict du terme (la zone qui fournit des résultats): essai de traction
2) Pour chaque activité, définir les Interactions internes et externes:
Par exemple,
Pour le service Qualité et pour l'activité "réclamation": communication avec le client, suivi des actions
Pour le service Informatique et pour l'activité "gestion du parc informatique": mise à disposition d'une infrastructure numérique, achat équipement informatique
Pour le service Achat et pour l'activité "commande": communication avec les prestataires externes, sous-traitance des essais
Pour le laboratoire et pour l'activité "essai de traction": disponibilité de l'équipement, réponses techniques au client
3) définir les exigences ou les objectifs pour chaque interaction:
Par exemple,
Pour le service Qualité et pour l'activité "réclamation" et l'interaction "communication avec le client": accusé réception de la réclamation avec le plaignant
Pour le service Informatique et pour l'activité "gestion du parc informatique" et l'interaction "mise à disposition d'une infrastructure numérique": accessibilité aux données
Pour le service Achat et pour l'activité "commande" et l'interaction "communication avec les prestataires externes": définir les services achetés, les critères, les compétences et qualifications, les demandes spécifiques.
Pour la laboratoire et pour l'activité "essai de traction" et les 'interactions "réponses techniques au client": respect des délais et "disponibilité de l'équipement": réduire les délais
Bien entendu, il peut y-avoir plusieurs objectifs et/ou exigences pour une même interaction.
4) Définir la nature des R&O avec Date: Force / opportunité ou Menace / Faiblesse
La première partie du tableau pourrait ressembler à cela (laboratoire indépendant):
FO: Force, F: Faiblesse, O: Opportunité, M: Menace
| Processus
support* |
Activité |
Interactions internes et externes | Exigences ou objectifs | Date: Force / opportunité / Menace / Faiblesse | |
| Service Qualité | Réclamation | Communication avec le client | Accusé réception de la réclamation avec le plaignant | M: 16/09/20 | Absence de communication avec le client |
| Service Informatique | Gestion du parc | Mise à disposition d'une infrastructure numérique | Accessibilité aux données | F: 16/09/20 | Réalisation impossible des essais et des rapports |
| Service Achat | Commande | Communication avec les prestataires externes | Définir les services achetés, les critères, les compétences et qualifications, les demandes spécifiques | M: 16/09/20 | Prestation externe ne répondant pas à l'exigence du laboratoire |
| Laboratoire | Essai de traction | Réponses techniques au client | Respect des délais | FO: 16/09/20 | Suppléance du personnel |
| Disponibilité des équipements d'essai | Réduire les délais | O: 16/09/20 | Améliorer la disponibilité des équipements | ||
Pour un laboratoire intégré, les 2 services supports (Qualité et IT) sont considérés comme des prestataires externes, les faiblesses se transforment donc en menaces.
*liste arbitraire pour les exemples
5) la cotation:
EVALUATION = PROBABILITE x IMPACT
La probabilité ou l'occurrence sera basée sur 3 critères:
L'impact sera basé sur 3 critères:
On en déduit la matrice 2D des résultats de l'évaluation et la cotation finale:
6) Règles de décision concernant les actions à prendre:
1- Les évaluations > 4 « Majeures » seront systématiquement
prises en compte pour mener des actions dans la mesure où les moyens
de maîtrise du risque ou pour atteindre l’objectif sont inexistants
ou incomplets.
2- Les évaluations ≤ 4 et > 2 « Modérées
» pourront éventuellement faire l’objet d’actions
si les moyens de maîtrise du risque ou pour atteindre l’objectif
sont inexistants.
3- Les évaluations ≤ 2 « Négligeables » sont
considérés comme des risques acceptables même si les moyens
de maîtrise du risque ou pour atteindre l’objectif sont inexistants
ou incomplets.
4- Les forces ayant un impact significatif ne feront pas l’objet d’actions
mais devront être maintenu au niveau de qualité.
Les options de moyens de maîtrise peuvent comprendre:
• Évitez le risque en décidant de ne pas poursuivre une
activité.
• Réduire la probabilité du risque : formation, maintenance,
investissement…
• Réduire l’impact du risque : planification, investissement,
sous-traitance….
• Transférer le risque à une autre partie : sous-traitance,….
7) Evaluation des risques:
La seconde partie du tableau pourrait ressembler à cela (laboratoire indépendant):
| Date: Force / opportunité / Menace / Faiblesse | Analyse des Risques & Opportunités | ||||
| Impact | Probabilité | Score | Evaluation | ||
| M: 16/09/20 | Absence de communication avec le client | 3 | 1 | 3 | Modérée |
| F: 16/09/20 | Réalisation impossible des essais et des rapports | 3 | 1 | 3 | Modérée |
| M: 16/09/20 | Prestation externe ne répondant pas à l'exigence du laboratoire | 3 | 2 | 6 | Majeure |
| FO: 16/09/20 | Suppléance du personnel | 3 | 3 | 9 | Force |
| O: 16/09/20 | Améliorer la disponibilité des équipements | 3 | 2 | 6 | Majeure |
La troisième partie du tableau pourrait ressembler à cela:
| Moyen ou absence de maîtrise | Re-cotation des Risques & Opportunités | |||
| Impact | Probabilité | Score | Evaluation | |
| Processus de réclamation clients PRS-SMQ-02 | 1 | 1 | 2 | Négligeable |
| Plusieurs PC dans le laboratoire et stock à l'informatique | 1 | 1 | 2 | Négligeable |
| La laboratoire ne dispose pas d'une copie de la commande et n'est pas destinataire de l'accusé réception du prestataire | 3 | 2 | 6 | Majeure |
| 3 personnes habilités peuvent réaliser les essais de traction | 3 | 3 | 9 | Force |
| Possibilité de passer en 2/8 après avis positif du personnel | 3 | 3 | 9 | Majeure |
La quatrième et dernière partie du tableau pourrait ressembler à cela:
| Action
corrective N° |
Evaluation
du risque suite à action corrective |
Evaluation de l'efficacité /Date | Date de revue du risque |
| / | / | / | 20/12/2020 |
| / | / | / | 20/12/2020 |
| 1: demander au service achat une copie systématique de la commande et être en copie de l'AR au prestataire | Négligeable | 20/09/2020 | 20/12/2020 |
| / | / | / | 20/12/2020 |
| 2: passage en 2/8 pour deux techniciens volontaires | Négligeable | 20/10/2020 | 20/12/2020 |
L'évaluation du risque après action corrective est intégrée à la fiche d'action corrective ainsi que l'évaluation de l'efficacité:
1: réception de la copie de la commande et de l'AR du prestataire sur les 2 dernières commandes.
2: Amélioration de l'indicateur de délai sur le mois suite au passage en 2/8 des 2 techniciens
8) Revue des risques:
La revue du risque est réalisée annuellement avant la revue de direction ou lors d'un changement ayant un impact sur l'analyse de risque, il s'agit de vérifier si les moyens de maîtrise sont toujours pertinents pour maintenir le risque: l'opportunité, la menace ou la force à son niveau de cotation actuelle.
La réactualisation n'efface pas le risque/opportunité/menace ou opportunité identifiée mais la ligne n'est plus utilisée pour en créer une nouvelle, dans l'exemple ci-dessous, la force du laboratoire devient une faiblesse suite au départ d'un technicien (action corrective obligatoire pour revenir à une situation rationnelle: embauche d'un collaborateur, sous-traitance d'une partie des essais de traction, achat d'un second équipement pour revenir à un fonctionnement en journée,...).
| Date: Force / opportunité / Menace / Faiblesse | Analyse des Risques & Opportunités | |||||
| Impact | Probabilité | Score | Evaluation | |||
| ⛔ | FO: 16/09/20 | Suppléance du personnel | 3 | 3 | 9 | Force |
| ↪ | F: 20/11/2020 | Départ d'un technicien en 2/8 | 3 | 3 | 9 | Majeure |
"Bon courage"