N°73 - Processus, parties intéressées et détermination des risques - 18 Novembre 2016 | Exaris.fr

docExarisInfo 73 - Risques et processus.pdf
 

Comment augmenter la maîtrise opérationnelle

 

Il y a un an (cf. ExarisInfo n°69), nous abordions les nouveautés liées à la version 2015 de la norme ISO 9001. Depuis nous avons eu l’occasion d’approfondir le sujet dans des contextes divers à travers l’animation de sessions de formation et de réunions de travail, car bien qu’elle ne soit plus la norme de référence pour la réassurance des relations clients fournisseurs depuis l’émergence des référentiels « GFSI » (cf. Exarisinfo 39) la certification ISO9001 n’a pas été abandonnée de tous ! Et les concepts véhiculés par la norme restent très largement utilisés par toutes les entreprises pour construire, animer et améliorer leurs Systèmes de Management.

La version 2015 les renforce et en introduit quelques nouveaux, susceptibles d’intéresser toutes les entreprises, certifiées ou non : maîtrise accrue et augmentation de la performance sont à la clef. Nous ne reviendrons pas en détail dans ce numéro sur les évolutions du contenu de la norme (à cet effet nous vous invitons à relire ExarisInfo n°69) mais nous envisagerons les bénéfices significatifs que les entreprises peuvent en tirer, notamment au travers de trois notions-clefs:

-       « L’approche processus »

-       La prise en compte des parties intéressées

-       L’approche par les risques.

 

 
 

1. Les fameux « processus »

 

Ce concept de management nous vient de la version 2000 de la norme ISO9001 et a depuis été repris par de très nombreux standards : le référentiel IFS Food s’y réfère sans trop y croire (§1.2.9 – « La société doit s’assurer que tous les processus (documentés ou non) sont connus par le personnel concerné et appliqués de manière uniforme. »), les standards BRC utilisent le terme très souvent pour désigner les activités qu’ils veulent voir maîtrisées (par ex. au §3.12.2 du BRC Food v7: « La société doit s’assurer que tous les processus (documentés ou non) sont connus par le personnel concerné et appliqués de manière uniforme. »).

La version 2015 de la norme ISO9001 continue de promouvoir ce concept et définit un processus comme (un) « ensemble d'activités corrélées ou en interaction qui utilise des éléments d'entrée pour produire un résultat escompté ». L’idée est assez simple, pourtant bien des entreprises ont encore du mal à se l’approprier :

-       Le terme lui-même peut porter à confusion, sans doute trop proche de « process » et de « procédure »… et souvent superposé à la notion de « service » : une solution peut être de le remplacer par « activités-clefs »

-       Le concept a été introduit dans les entreprises par le biais d’une norme étiquetée « Qualité » et sa mise en œuvre a naturellement été confiée aux qualiticiens… or déployer l’approche processus au sein d’une entreprise est un projet global, concernant toutes les activités et couvrant tous les enjeux Sécurité/Qualité/Environnement/Performance (cf. concept SQEP) : c’est tout sauf un projet pour les seuls qualiticiens !…

-       Le niveau de formalisation attendu n’est pas toujours bien appréhendé (quel niveau de détail est requis pour décrire un processus… ?) : les figures 1 et 2 illustrent les informations-clefs permettant de caractériser un processus.

Il résulte très souvent de ces difficultés un décalage entre la formalisation « système qualité » et la réalité opérationnelle : les pilotes de processus ne se sont pas approprié « leur » processus et les indicateurs associés (les indicateurs du processus n’étant pas toujours ceux qui servent réellement au pilotage de leurs activités !).

Réussir le déploiement de « l’approche processus » implique donc en premier lieu que chacun se l’approprie. La version 2015 de la norme nous y aide en associant explicitement au processus deux nouvelles notions: les « parties intéressées » et  l’analyse des risques / opportunités appliquée à chaque processus.

 
 

2. Identifier ses « parties intéressées » : quel intérêt ?

 

L’un des enjeux-clefs à l’échelle d’un processus est de savoir précisément pour qui et avec qui on travaille. Les notions de « client » et « fournisseur » sont sous-jacentes mais désormais élargies au concept plus large de « partie intéressée », défini par la norme ISO 9000:2015 comme (toute) « personne ou organisme qui peut soit influer sur une décision ou une activité, soit être influencée ou s’estimer influencée par une décision ou une activité.

Exemples: Clients, propriétaires, personnel d'un organisme, prestataires, établissements financiers, autorités réglementaires, syndicats, partenaires ou société qui peut inclure des concurrents ou des groupes de pression d'opposition. »

Les interfaces avec chacune de ces parties intéressées sont régies par des composantes communes : flux de communication établis (fréquence, modalités, représentants impliqués,…), données d’entrée et de sortie attendus, supports d’information… Certaines parties intéressées « pèsent » plus que d’autres dans les activités d’un processus et sur sa capacité à atteindre ses résultats, se traduisant par des interactions plus ou moins fortes. Pour le processus « Acheter » par exemple (cf. fig.2) les fournisseurs ont bien évidemment un rôle-clef et la qualité des interfaces avec ces derniers seront déterminant… car impliquant une maîtrise précise des risques (et opportunités) associés.

Dans un système de management où chacun a clairement identifié ses vis-à-vis et leur importance relative dans l’atteinte des différents objectifs (SQEP) le niveau d’anticipation et de maîtrise augmente de manière significative avec l’augmentation de maturité et de responsabilité des acteurs.

 
 

3. Déterminer les « risques et opportunités » : contrainte ou bénéfice ?

 

La norme ISO 9000:2015 demande de déterminer pour chaque processus les risques (et opportunités), le risque étant défini comme « effet de l'incertitude (…) positif ou négatif, par rapport à une attente.» Les risques « positifs » étant de fait considérés comme des opportunités. Outre cette définition laconique et somme toute peu opérationnelle la norme fait également référence à la définition plus « technique » du risque (ou opportunité), défini comme une fonction de la probabilité et de la gravité (ou bénéfice) d’un événement indésirable (ou positif).

Prenons l’exemple d’un processus « Acheter les matières premières » (tab.2 ci-dessous).

Parties intéressées (en amont)

Eléments d’entrée

Activités

Eléments de sortie

Parties intéressées

(en aval)

Risque (R) / Opportunité (O)

Exemples de mesures de maîtrise

Actionnaires

Objectifs de Rentabilité

Définir la stratégie d’achats

Budget achats

Acheteurs

R : Achats de MP de moindre qualité pour respecter le budget

O : stratégie de « massification »

Respect de la politique SQEP dans le processus annuel de planification budgétaire

Fournisseurs

 

Processus R&D

 

Processus QSA

Besoins matières premières

Descriptif technique du besoin

 

Contraintes QSA pour le référencement (garanties exigées)

Référencer les fournisseurs

Couple fournisseurs  / matières premières référencés

Processus Appro. / production

Fournisseurs

R : Défaillance d’un fournisseur (rupture d’approvisionnement)

R : alerte sanitaire suite à une contamination des matières premières (cf. HACCP)

R : non respect des normes internationales de comportement (NIC)

O : création de partenariats

Vérification de solvabilité / Recherche de plusieurs fournisseurs pour une même matière / Définition d’un plan continuité d’activité (PCA)

HACCP intrants impliquant par exemple une exigence de certification GFSI…

 

Exigence de rating (Sedex, EcoVadis…)

 

Douanes

 Processus de veille règlementaire

 

Matières premières avec codes douanier

Assurer la conformité douanière des produits

Matières premières dédouanées

Processus Appro./ production

R : Refus / Retard de dédouanement

R : Droits de douane trop élevés si mauvais code douanier

Suivi rigoureux des opérations de dédouanement

Délais de sécurité

Suivi des codes douaniers

 

 

 

 

 

 

Dans cet exemple, nous n’avons volontairement pas évalué la criticité des risques (et opportunités) identifiées, à l’aide par exemple d’une grille probabilité d’occurrence/ gravité. Rappelons que la norme n’exige pas l’application de méthodes spécifiques : une approche qualitative telle que présentée ci-dessus de manière simplifiée peut déjà constituer une première réponse. Dans un second temps, si l’entreprise le juge utile, une évaluation plus précise des risques pourra être utile pour prioriser les plans d’action associés aux mesures de maîtrise identifiées, lorsque celles-ci ne sont pas réglementaires (risques QSE notamment). Par ailleurs on constate que les opportunités sont souvent le pendant positif des risques ; chercher à formuler systématiquement les deux ne s’avèrera pas forcément pertinent…

On trouvera à la clef de ce travail un système de management dans lequel chacun maîtrise en toute conscience les risques principaux (SQEP) liés à ses activités, avec le niveau de formalisation minimum requis pour en garantir la capitalisation… Et au-delà des risques l’entreprise « mature » capte de plus en plus d’opportunités, pour une performance durable.

 
 

Conclusion

 

Prendre du recul vis-à-vis de son organisation, dans une perspective globale, identifier ses processus-clefs, leurs parties intéressées et les risques et opportunités majeurs associés, le tout dans un système dynamique, non figé... telle est l’orientation que nous propose la version 2015 de la norme ISO9001 bien au-delà d’une simple logique de certification externe. Et nous y souscrivons pleinement.

 
Exaris

Siège social
20, boulevard Pierre Raunet
94370 Sucy-en-Brie
France

Tél. +33 (0)9 51 19 32 12
Nous contacter