Comment décliner l’approche risques aux niveaux système, processus et opérations

Le concept d’approche par les risques est omniprésent dans cette nouvelle version de l’ISO 9001. Il est associé à l’approche processus et à la prise en compte de l’orientation client. Il est considéré lors de la planification du système de management de la qualité, dans la maîtrise opérationnelle et dans l’évaluation de la performance et de l’amélioration.

• Chapitre 4 : la norme précise, dans ce chapitre, les caractéristiques qui déterminent les processus de l’entreprise (éléments d’entrée, de sortie, les méthodes, les ressources). Elle précise aussi que l’entreprise doit également déterminer les risques associés aux processus et les actions pour les traiter.
• Chapitre 5 : dans la section qui aborde l’orientation client, il est demandé à la direction de s’assurer que les risques susceptibles d’avoir une incidence sur la conformité des produits et services, ainsi que sur la satisfaction client, soient déterminés et traités.
• Chapitre 6 : lors de la planification du système de management de la qualité, il est demandé de déterminer les risques et de planifier les actions au regard de l’impact potentiel sur la conformité des produits et services. La détermination de ces risques doit prendre en considération les résultats de l’analyse du contexte (§ 4.1) et de la compréhension des besoins des parties intéressées (§ 4.2).
• Chapitre 8 : l’entreprise doit mettre en œuvre les processus et maîtriser les risques. Elle doit prendre en considération les risques sur les produits et services tout au long du cycle de vie du produit, y compris dans les activités après livraison.
• Chapitre 9 : concernant l’évaluation de la performance, l’entreprise doit suivre, mesurer, analyser et évaluer les actions mises en œuvre suite à la détermination des risques. Elle doit aussi revoir, en revue de direction, l’efficacité de ces actions.

Par ailleurs, l’annexe A informative précise certains éléments concernant l’approche par les risques, notamment le fait que les exigences de l’ISO 9001:2015 ne demandent pas un « management du risque formel ou un processus de management du risque documenté ». Cette remarque fait écho à la définition de l’approche par les risques présentée dans les généralités : « Les organismes peuvent opter pour une approche basée sur le risque plus étendue que ne l’exige la présente norme internationale, et l’ISO 31000 fournit des lignes directrices sur le management formel du risque qui peuvent être appropriées dans certains contextes de l’organisme. »

En intégrant cette approche dans les diverses composantes du système de management de la qualité, l’organisme devient proactif et le système de management de la qualité devient un réel outil de prévention. L’annexe A précise que l’approche par les risques remplace, de ce fait, la notion d’action préventive des versions précédentes.

L’approche par les risques apparaît ainsi comme un outil permettant une réelle adaptabilité des systèmes de management de la qualité aux entreprises, en fonction de leur contexte, de leurs produits et services et de leur organisation.