N°69 : ISO 9001 version 2015 - 30 Octobre 2015 | Exaris.fr |
Télécharger au format PDF |
Verdict |
||
Nous avons déjà consacré deux ExarisInfo à la révision 2015 de la norme ISO9001 (cf. ExarisInfo n°45 et n°63), cette fois nous y sommes, depuis fin septembre la version définitive de la norme millésime 2015 est publiée. Comme l’on pouvait s’y attendre les éléments-clefs du « draft » de 2014 s’y retrouvent, nous ne reviendrons pas dans ce numéro sur le contexte et ses enjeux. Après étude attentive de la norme il nous semble que 7 points « saillants » peuvent être soulignés, marquant une franche évolution vis-à-vis de la version précédente : - Prise en compte des « parties intéressées » - Périmètre d’application: exclusions limitées - Approche basée sur les risques - Maîtrise des « connaissances organisationnelles » - Maîtrise des « informations documentées » - Maîtrise des processus, produits et services fournis par des prestataires externes - Planification des modifications Nous en avons sélectionné trois dont nous vous proposons d’approfondir l’impact | ||
1. Approche « par les risques » |
||
C’est dès l’avant-propos au chapitre § 0.3.3 qu’apparaît cette nouvelle notion : « L’approche par les risques (voir Article A.4) est essentielle à l’obtention d’un système de management de la qualité efficace. (…) Pour se conformer aux exigences de la présente Norme internationale, un organisme doit planifier et mettre en œuvre des actions face aux risques et opportunités. (…) Le risque est l’effet de l’incertitude et une telle incertitude peut avoir des effets positifs ou négatifs.(…) » On note au passage que la norme ISO9001 adopte la nouvelle définition du risque au sens large, telle que proposée par la norme ISO31000 (Management des risques), en s’écartant ainsi de la version « technique » pratiquée dans d’autres normes, notamment ISO22000, qui définit le risque comme une « Fonction de la probabilité et de la gravité (…) ». Cette définition technique reste valable, puisque plus précise que la première. Plus loin au § 4.4.1 la norme exige: « (…) L’organisme doit déterminer les processus nécessaires (…) et doit: (…) prendre en compte les risques et opportunités tels que déterminés (…) ». Attention, cette exigence de la norme n’est pas assortie d’une exigence de formalisation précise. Le premier réflexe d’une organisation voulant migrer vers la version 2015 pourrait être de vouloir formaliser une analyse des risques détaillée pour chacun des processus de sa cartographie. La norme n’exige pas cette approche. Il est notamment précisé dans l’annexe A (au § A.4) : « (…) Bien que le paragraphe 6.1 spécifie que l’organisme doit planifier des actions face aux risques, il n’y a pas d’exigence concernant des méthodes formelles de management du risque ou un processus de management du risque documenté. Les organismes peuvent décider d’opter ou non pour une méthodologie de management du risque plus étendue que ne l’exige la présente Norme internationale, par exemple par l’application d’autres lignes directrices ou normes.(…) » Enfin cette même annexe précise que la norme « ne comporte pas d’article ou paragraphe distinct relatif aux actions préventives. Le concept d’action préventive est intégré par l’utilisation d’une approche par les risques dans la formulation des exigences relatives au système de management de la qualité. (…) ». Ces précisions entérinent donc une approche à laquelle nous sommes très attachés : les analyses de risques spécifiques dédiées aux 3 piliers S-Q-E du système de management (EvRP ou Document Unique – HACCP - Analyse environnementale incluant le cas échéant la revue énergétique) constituent des éléments de réponse-clefs à cette exigence de la norme ISO9001. En effet bien que la norme se concentre sur le pilier Qsa les trois sont liés quant à leurs impacts croisés et leur influence sur l’objectif de performance de l’organisme. Restent les risques et opportunités liés à la Qualité au sens large (non satisfaction du client) et à la Performance… pour ceux-ci en effet les entreprises pourront s’interroger sur leur anticipation et leur prise en compte effective, tout en gardant à l’esprit qu’aucune exigence de méthode et/ou formalisation spécifique ne s’impose. Si chaque pilote de processus devra démontrer qu’il anticipe et prend en compte les risques et opportunités, l’entreprise est libre de définir le degré de formalisation requis en cohérence avec la valeur ajoutée attendue d’une telle approche. | ||
2. Prise en compte des parties intéressées |
||
La notion de « parties intéressées » (ou « parties prenantes ») est désormais incontournable depuis la parution de la norme ISO26000 relative à la Responsabilité Sociétale des Organisations et à leur développement durable (cf. ExarisInfo n°58). La norme ISO9000 :2014 en donne la définition suivante :
[SOURCE : ISOISO DIS 9000:2014, 3.2.1] 3.02 partie intéressée (terme recommandé) / partie prenante (terme admis) : personne ou organisme (3.01) qui peut avoir une incidence, être affecté par une décision ou activité ou avoir un point de vue susceptible de les affecter. EXEMPLE Clients (3.26), propriétaires, personnel d'un organisme (3.01), fournisseurs (3.27), banques, syndicats, partenaires ou société qui peut inclure des concurrents ou des groupes de pression d'opposition. Et la norme ISO 9001 :2015 d’exiger au § 4.2 : « (…) l’organisme doit déterminer: a) les parties intéressées qui sont pertinentes dans le cadre du système de management de la qualité; b) les exigences de ces parties intéressées dans le cadre du système de management de la qualité. L’organisme doit surveiller et revoir les informations relatives à ces parties intéressées et à leurs exigences pertinentes. » Cette exigence nous semble intéressante en ce qu’elle devrait conduire les entreprises à intégrer davantage l’ensemble des acteurs qui interagissent avec le système, au-delà des seuls clients. L’entreprise doit déterminer celles qui sont « pertinentes » pour le SMQ, autrement dit celles qui ont un impact sur ou sont impactées par les objectifs et résultats en matière de Qualité. Prenons l’exemple du processus « Maintenance » : les sous-traitants intervenant pour son compte au sein des installations sont des « parties intéressées » au sens de la norme, qui considère que la prise en compte de leurs contraintes, attentes et besoins augmente la capacité des deux parties à créer de la valeur. C’est également dans ce contexte que s’inscrit l’exigence de veille règlementaire (cf. ExarisInfo n°37), les législateurs d’un pays ou d’une région étant une partie intéressée pertinente au sens de la norme. Quant à l’exigence de « surveiller et revoir les informations relatives à ces parties intéressées » elle peut en revanche donner lieu à des interprétations sur lesquelles il faudra rester vigilant. Sur la base des deux exemples ci-dessus on comprend aisément que pour la veille règlementaire un processus formalisé de collecte d’information s’impose, en revanche pour ce qui est des informations relatives aux sous-traitants de maintenance elles seront captées différemment, au cas par cas. Il ne s’agirait pas que s’impose une « revue de contrat » étendue à tous les acteurs intéressés. Par ailleurs il est à souligner que la norme n’exige pas d’information documentée spécifique sur ce point… Enfin notons qu’il existe une étroite relation entre l’approche fondée sur les risques vue au point 1 et cette notion de parties intéressées, ces dernières ayant souvent des attentes plus ou moins fortes sur les 3 domaines de risques S-Q-E-P. | ||
3. Maîtrise des « connaissances organisationnelles » |
||
Une troisième notion est abordée au § 7.1.6, celle des « Connaissances organisationnelles » pour lesquelles la norme demande : « (…) Pour faire face à une modification des besoins et des tendances, l’organisme doit prendre en compte ses connaissances actuelles et déterminer comment il peut acquérir ou accéder à toutes connaissances supplémentaires nécessaires (…) ». Il s’agit sans doute de l’une des exigences qui donnera lieu à de nombreux débats quant à la manière de la satisfaire. Il conviendrait peut-être, pour commencer, de reformuler l’exigence en « connaissances de l’organisme ». Ce chapitre demande en effet aux entreprises de mettre en place une gestion des connaissances qui lui sont propres et de celles qui lui seraient nécessaires à l’avenir. Quelle est la capacité de l’entreprise à capitaliser ses connaissances (méthodes, produits, procédés, matériels…), à les maintenir de façon durable et à les enrichir ? Cet enjeu est réel bien que l’exigence de la norme puisse paraître peu explicite. Là encore il ne s’agira pas de répondre par une formalisation additionnelle excessive et non viable, mais d’analyser au travers des processus et de leurs risques et opportunités l’importance relative des connaissances et les moyens pour les maîtriser. | ||
Conclusion |
||
Le monde agroalimentaire ne marque pas son engouement pour la norme ISO9001, dont l’utilisation décline depuis 10 ans au profit des référentiels privés et de la norme ISO22000, plus directement valorisés auprès des clients. Il peut pourtant s’avérer intéressant de s’y pencher de nouveau à l’occasion de la publication de cette nouvelle version, plus ambitieuse, plus pragmatique, plus globale que les versions précédentes. La Qualité y étant présentée comme une composante de la performance globale dont l’organisation est au service, elle s’adresse en effet au moins autant aux dirigeants qu’aux qualiticiens… | ||
Découvrez notre catalogue des formations 2015-2016 ! |
||||
|
Découvrir ExaVeille® |
||
Siège social |
Tél. +33 (0)9 51 19 32 12 |