ISO 9001 : L’approche par les risques et les opportunités

C’est quoi l’approche par les risques ? – Définitions

Dans la norme ISO 9000: 2015, « Les systèmes Fondamentaux de management de la qualité et de vocabulaire, » Le risque est défini comme les notes dans la définition décrire plus en détail le risque comme un « écart par rapport à l’attendu, » positif ou négatif « effet de l’incertitude. ». 

Le terme «incertitude» est défini comme un manque d’informations ou de connaissances sur un événement qui peut être exprimé en termes de conséquences sur la probabilité d’occurrence. Enfin, l’ISO 9000 indique que le risque est lié à des événements potentiels et qu’il s’exprime généralement en fonction de la probabilité et de la conséquence d’un tel événement.

Considérons le risque tel qu’il est défini dans ISO / FDIS 14001: 2015, «Systèmes de management environnemental», et dans ISO 31000, «Risk management – Principes et directives». La définition du risque dans ISO 14001 est identique à ISO 9000, même si elle ne comprend que quatre des six notes d’ISO 9000. Cependant, la définition du risque dans ISO 31000 est un peu plus spécifique que ISO 9001 et ISO 14001 et est définie comme un «effet de l’incertitude sur les objectifs».

C’est un bon moment pour souligner quelques notions sur le risque. Le risque selon ISO 9001: 2015 et ISO 14001: 2015 est général, c’est-à-dire qu’il peut être appliqué partout dans une organisation, y compris la planification (article 6.0), c’est-à-dire la définition des objectifs définis dans ISO 31000 Le risque peut être décrit comme un événement potentiel pouvant être exprimé en termes de conséquence, d’impact ou de gravité de l’impact et de sa probabilité d’occurrence.

Le risque est l’effet de l’incertitude sur un résultat escompté (voir la définition dans le chapitre 4 « Nouveaux éléments de vocabulaire », § 3.7.9 de la norme NF EN ISO 9000:2015).

Voici deux autres définitions standards de la notion de risque :

• C’est la probabilité d’un fait, d’un événement considéré comme un mal ou un dommage (source : Larousse).
• C’est la combinaison de la probabilité d’un événement et de ses conséquences (source : ISO/CEI 27002:2005).

Cette version intègre la notion de risque dans les exigences à prendre en compte dans un système de management de la qualité. Sur la problématique du risque, le lecteur pourra se reporter à l’ISO 31000 qui fournit des lignes directrices sur le management du risque. En fonction du contexte de l’organisme, des spécificités peuvent s’avérer nécessaires.

Par exemple, pour des exigences (et éventuellement une certification) relatives à la sécurité de l’information, le lecteur pourra se reporter au texte de l’ISO/ CEI 27001.

Tous les processus ne comportent pas le même niveau de risque. Certaines conséquences peuvent être très graves, voire fatales

Une réflexion fondée sur le risque doit être menée à partir des vulnérabilités détectées, pour identifier les risques potentiels et leurs niveaux de gravité. Cette détermination des risques et leur prise en compte doivent être effectives dans le système de management de la qualité. Toutefois, la nouvelle norme ne comporte pas d’exigence relative au management du risque ni un processus documenté pour cette gestion du risque.

En revanche, il est utile de rappeler les principes suivants : pour les risques qui ne sont pas acceptables, il faut déterminer et mener des actions en vue de les supprimer, ou tout au moins d’en réduire les effets jusqu’à un niveau acceptable. Enfin, pour les risques résiduels, il faut les faire approuver par la direction de l’organisme

Le management du risque est aussi l’objet d’un véritable processus afin d’en assurer la maîtrise. Le fascicule de documentation FD X 50-252 nous matérialise le logigramme de ce processus de gestion du risque (voir la figure 1, ci-après)

Préconisation et posture audit version 2015 dans un système de management de la qualité – Phase d’audit étape 2

Cinq évolutions existent, parmi elle l’approche par les risques :

Approche mixte auditeur/Evaluateur :

• Prendre la notion de maîtrise des risques et de valorisation des opportunités comme fil rouge pour structurer l’audit.
• S’assurer que l’approche risque est intégrée dans le management des processus
• Structurer le rapport par rapport à cette notion de risques.

Nota : il conviendra de ne pas oublier les opportunités.

Quelles sont les améliorations exigées par iso 9001 ?

D’un point de vue de la forme, l’ISO 9001 :2015 suit désormais « la structure de haut niveau » commune à celles des normes de management telles que l’ISO 14001 (systèmes de management environnemental) dans le but de favoriser leur compréhension et leur application. Ainsi la nouvelle version compte les articles suivants :

1. Domaine d’application
2. Références normatives
3. Termes et définitions
4. Contexte de l’organisme
5. Leadership
6. Planification
7. Support
8. Opération
9. Evaluation de la performance
10. Amélioration

Concernant les exigences, les principes de base qui sont la satisfaction client et l’approche processus restent inchangés. L’évolution majeure concerne d’une part l’analyse du contexte par l’organisme qui consiste à définir les enjeux et les exigences internes et externes qui peuvent impacter le système de management de la qualité et d’autre part la notion d’analyse de risques qui porte un intérêt particulier dans la nouvelle version.

Concernant les exigences, les principes de base qui sont la satisfaction client et l’approche
processus restent inchangés. L’évolution majeure concerne :

• L’analyse du contexte par l’organisme qui consiste à définir les enjeux internes et externes qui peuvent impacter le système de management de la qualité.
• L’analyse de risques qui porte un intérêt particulier dans la nouvelle version Implication plus importante de la direction.
• La notion de « Parties intéressées » qui désigne toute personne ou entité (personnel,
  fournisseurs, prestataire, collaborateur etc.) pouvant être impactée par les différentes
  décisions. En effet, désormais il ne s’agit pas seulement de prendre en compte les exigences
  des clients mais aussi celles des parties intéressées. L’iso 9001 :2015 compte
  309 articles contrairement à la précédente version qui contenait 304.

Quelles sont les nouvelles exigences de la norme iso 9001 2015 en matière de risque ?

Définition de la démarche fondée sur le risque – gestion du risque

La norme ISO 9001:2015 (0.3.3) définit le risque comme « l’effet de l’incertitude ». Par conséquent, tous les risques liés à la qualité, à la sécurité, au commerce ou à l’environnement, etc. peuvent être traités sous un seul aspect « multidisciplinaire » du système de management.

La démarche fondée sur le risque doit garantir que les risques et les opportunités sont pris en compte tout au long des opérations et des activités de votre entreprise. Grâce à la démarche fondée sur le risque, l’action préventive fait partie de la planification stratégique et opérationnelle.

L’identification des risques et des opportunités de votre entreprise dépend du contexte de votre organisation. La détermination des risques et des opportunités lors de la planification du système de management de la qualité doit inclure les données provenant de :

L’analyse des problèmes externes et internes (voir 4.1) ;
Les exigences des parties intéressées pertinentes (voir 4.2) ;
du champ d’application du SMQ de l’organisme (voir 4.3) ;
Les processus de l’organisme (voir 4.4) ;
L’orientation stratégique de l’organisme.

La nécessité d’identifier les risques peut également être déterminée sur la base des informations et des tendances concernant la performance et l’efficacité du système de management de la qualité. Les risques doivent être identifiés et évalués lorsque les données sur les performances en matière de qualité indiquent des tendances à la baisse de la capacité de qualité ou de l’efficacité du système de gestion de la qualité.

Développer une méthodologie de gestion des risques

Les risques influencent tous les aspects des opérations de votre organisation. En comprenant les risques et en les gérant de manière appropriée, votre organisation sera mieux à même de prendre de meilleures décisions, de protéger ses actifs et d’améliorer sa capacité à fournir des produits et des services et à réaliser sa mission et ses objectifs.

Un régime de gestion des risques, géré par l’utilisation de registres de risques de manière à permettre l’identification, l’évaluation et l’atténuation progressives des nouveaux risques, doit être mis en œuvre dans toute l’entreprise. Le principe est de s’assurer que :

Tous les risques significatifs pour le succès sont identifiés ;
Les risques identifiés sont compris et les conséquences potentielles atténuées ;
Les risques individuels sont évalués par rapport à d’autres risques afin de soutenir la définition des priorités et l’allocation des ressources ;
Les stratégies de traitement des risques tiennent compte des possibilités de traiter plus d’un risque ;
Le processus lui-même et les stratégies de traitement des risques sont mis en œuvre de manière rentable.

Il existe de nombreux autres outils et méthodes que vous pouvez adopter pour vous aider à gérer les risques et à identifier les opportunités (QRQC transforme un incident en opportunité), notamment : PEST (Political, Economic, Social, Technological), PESTLE (Political, Economic, Social, Technological, Legal, Environmental), SWOT (Strengths, Weaknesses, Opportunities, Threats), FMEA (Failure Modes and Effects Analysis) ou Hazard and Operability Study (HAZOP).

En tenant compte du risque dans l’ensemble de votre organisation, la probabilité d’atteindre les objectifs fixés est améliorée, la production est plus cohérente et les clients peuvent être sûrs qu’ils recevront le produit ou le service attendu. La démarche fondée sur le risque permet donc de :

Améliorer la confiance et la satisfaction des clients ;
Assurer la constance de la qualité des biens et des services ;
Instaurer une culture proactive de prévention et d’amélioration ;
Adopter intuitivement une approche fondée sur le risque.

Gestion des risques

Nous vous suggérons d’utiliser la méthodologie familière Plan-Do-Check-Act (PDCA) pour gérer la transition de votre organisation vers une démarche basée sur le risque, en utilisant une approche qui délimite les processus en « thèmes de risque » ou groupes tels que :

Planification des activités et orientation stratégique ;
Risques liés aux processus ;
Risques liés aux produits et services ;
Risques associés au contrôle des produits et services fournis par des tiers.

Eléments fondamentaux de l’approche par les risques dans la norme ISO 9001:2015

L’approche par les risques est l’une des grandes nouveautés de la norme ISO 9001:2015. Cette notion n’était pas totalement absente dans la version 2008 de la norme ISO 9001. Elle était mentionnée explicitement dans la clause dédiée aux actions préventives.

La norme ISO 9001:2015 prône une approche systématique intégrale pour les risques de telle sorte qu’ils soient identifiés, pris en compte et maitrisés tout au long du processus de la conception et de la mise en œuvre du SMQ. C’est une approche qui se veut proactive plutôt que réactive par la détection précoce et la prévention des effets indésirables.

L’approche par les risques est l’une des composantes du management par les processus. Toutefois, il est évident que le niveau de risque n’est pas le même pour tous les processus qui composent le SMQ. Les dispositions à planifier et à mettre en œuvre pour mitiger ces risques doivent être en adéquation avec les niveaux de ces risques.

Il est commun de considérer que les risques ne peuvent avoir que des conséquences négatives. Ceci n’est pas toujours vrai dans la mesure où les risques peuvent avoir des conséquences négatives ou positives.

Exemple :

En spéculant sur l’achat de titres à la baisse sur le marché de la bourse on prend un risque dont les conséquences peuvent être négatives si les prix baissent davantage ou positives si les titres repartent à la hausse car leur vente dégagerait une plus-value.

Dans la norme ISO 9001:2015 les risques opportunités sont cités conjointement 13 fois (dont 8 fois dans les chapitres des exigences). Contrairement à l’idée reçue, l’opportunité n’est pas « le côté positif » du risque. Une opportunité est un concours de circonstances qui rendent possible de faire une action bien déterminée. Par contre la décision de saisir ou ne pas saisir une opportunité peut être associée à un certain degré de prise de risque.

Les principales exigences de la norme ISO 9001:2015 relatives aux risques et opportunités

L’approche par les risques est évoquée à plusieurs endroits de la norme ISO 9001:2015 :

• L’approche par les risques est brièvement expliquée dans l’introduction
• L’organisme doit prendre en compte les risques et opportunités lors de la détermination des processus nécessaires au système de management de la qualité. (§ 4)
• La direction doit promouvant l’utilisation de l’approche processus et de l’approche par les risques et que les risques et les opportunités susceptibles d’avoir une incidence sur la conformité des produits et des services et sur l’aptitude à améliorer la satisfaction du client sont déterminés et pris en compte. (§ 5)
• l’organisme doit déterminer les risques et opportunités qu’il est nécessaire de prendre en compte pour donner l’assurance que l’efficacité du SMQ, accroître les effets souhaitables, prévenir ou réduire les effets indésirable et s’améliorer. (§ 6)
• La notion du risque n’apparait pas explicitement dans les chapitres 7 et 8 mais. Toutefois l’usage des termes « approprié » ou « adapté » dans ces 2 chapitres fait intervenir l’approche par les risques d’une façon implicite.
• l’efficacité des actions mises en œuvre face aux risques et opportunités doivent figurer parmi les données et informations que l’organisme doit régulièrement analyser (§ 9).
• L’organisme doit mettre à jour les risques et opportunités déterminés durant la planification, si nécessaire lorsqu’il s’agit de traiter les non-conformités et/ou entreprendre des actions correctives (§ 10)

Les raisons pour le recours à l’approche par les risques

Les retombées positive de la mise en œuvre de l’approche par les risques sont les suivantes :

• Améliorer la gouvernance de l’organisme
• Se porter plus sur l’action et instaurer une culture proactive
• Améliorer la conformité aux exigences
• Améliorer la qualité des produits et services
• Améliorer la satisfaction des clients

Quels sont les clauses de la normes iso 9001 version 2015 citant l’utilisation du risque ?

Le risque apparaît huit fois dans les parties normatives d’ISO 9001, et la pensée basée sur le risque apparaît une fois. La pensée basée sur le risque et le risque apparaît plusieurs fois plus lorsque nous étudions les parties informatives de la norme, par exemple les sections introductives et l’annexe.

Numéro de la clause	Titre	Explication
4.4.1	Pas de titre  Sous 4.4-QMS et ses processus	SMQ risque de processus et opportunités
5.1.2	Orientation client	Les risques et les opportunités qui peuvent affecter la conformité des produits et des services – ceci est donc assez large
6.1	Actions pour traiter les risques et les opportunités	Apparaît dans le titre
6.1.1	Pas de titre	Tenir compte des risques et des opportunités liés au contexte de l’organisation et aux attentes des parties intéressées afin que le SMQ atteigne ses «résultats attendus», c’est-à-dire ses objectifs, y compris l’amélioration. C’est la définition qui apparaît maintenant dans ISO 31000.
6.1.2	Pas de titre	Apparaît deux fois: Planifier des actions pour gérer les risques et les opportunités, y compris leur efficacité; et les actions entreprises doivent être proportionnées à l’impact potentiel.
9.1.3	Analyse et évaluation	Efficacité des mesures prises pour gérer les risques et les opportunités
9.3.2	Entrées de revue de gestion	Efficacité des mesures prises pour faire face aux risques et aux opportunités liés à la planification (6.1)

Tableau 1: Exigences ISO / FDIS 9001: 2015 pour le risque

Le tableau ci-dessus explique les exigences de l’ISO / FDIS 9001: 2015 pour l’analyse des risques et des opportunités au sein de l’organisation. Le concept de risques et d’opportunités, qui identifie les problèmes potentiels et les opportunités d’amélioration, doit être appliqué aux processus SMQ, à la conformité des produits et services et à la planification des objectifs du SMQ, y compris les actions pour les plans d’amélioration et l’évaluation de leur efficacité. .

Risque de processus et risque de planification -Ref. Clauses 4.1 et 6.1 
Lorsque les exigences de l’ISO / FDIS 9001: 2015 sont étudiées, il s’agit des relations indiquées en ce qui concerne les processus et la planification du SMQ:

Comment analyser les risques ?

Une bonne démarche d’analyse de risques pour tout entrepreneur freelance et créateur d’entreprise se doit de respecter les cinq phases suivantes : identification des risques, évaluation de la gravité, de la probabilité de survenance, identification des points critiques et enfin la prévention.

Mettre en œuvre l’approche par les risques dans la pratique

L’approche par les risques peut être mise en œuvre selon la démarche suivante :

1) Identifier les risques et opportunités :

L’identification des risques peut être faite en association avec les activités faisant partie des processus. Le passage en revue de toutes les activités identifiée permet d’établir une liste la plus exhaustive possible des risques et opportunités liés à ces activités

2) Analyser les risques en vue de les prioriser

Plusieurs critères peuvent être employés pour prioriser dépendent de leur criticité en relation avec leur impacts potentiels sur la conformité et service. Le niveau de criticité peut être attribué sous la forme d’une note (de 1 à 5 par exemple). La fréquence d’occurrences peut être utilisée comme un autre facteur d’appréciation qui peut aussi être noté de la même façon. Un Score global peut être obtenu par la multiplication des scores de criticité et d’occurrence

3) Planifier les actions à entreprendre en vue de mitiger les risques :

Les options face aux risques peuvent comprendre : éviter le risque, prendre le risque afin de saisir une opportunité, éliminer la source du risque, modifier la probabilité d’apparition ou les conséquences, partager le risque ou maintenir le risque sur la base d’une décision éclairée. Les opportunités peuvent conduire à l’adoption de nouvelles pratiques, au lancement de nouveaux produits, à l’ouverture à de nouveaux marchés, à la conquête de nouveaux clients, à l’instauration de partenariats, à l’utilisation d’une nouvelle technologie et d’autres possibilités souhaitables et viables de répondre aux besoins de l’organisme ou de ses clients.

La définition de l’horizon temporel des actions et leur priorisation doit être faite en concordance avec les scores établis dans l’étape précédente.

4) Mettre en œuvre les actions entreprises

Le responsable de processus en question est chargé de veiller au bon déroulement des actions selon le timing imparti et rend compte sur les avancements à la direction

5) Evaluer l’efficacité des actions entreprises :

Une action peut être jugée comme efficace si elle est achevée dans les délais impartis et que l’effet non-désiré qui pouvait être engendré par le risque objet de cette action ( ou l’effet désiré attendu de l’opportunité) a bien été maitrisé de la façon souhaité. Le score de l’efficacité peut être donné sous la forme d’une note sur une échelle (de 1à 5 par exemple) ou sous la forme d’un % ou autre.

Etape1 : Établissement d’un contrat prenant en compte vos spécificités,

Etape 2: Pré-audit (en option) : analyse des écarts et diagnostic de votre situation actuelle par rapport aux exigences du référentiel,
Etape 3 : Audit de certification en 2 étapes :

Etape 1 : revue documentaire pour évaluer le degré de maturité du système,

Etape 2 : audit.
Etape 4: Comité de certification (édition du certificat),
Etape 5: Audits de surveillance pour vérifier l’amélioration continue du système,
Etape 6: Après une période de 3 ans, nouveau contrat de certification.

A chaque étape d’audit, un rapport complet est rapidement délivré. Votre organisme peut ainsi poursuivre l’amélioration des performances de son système qualité.

Comment se préparer à la certification iso 9001 ? Démarche de Certification

1. L’étude d’opportunité/Analyse de besoin
2. L’organisation et la planification du projet Audit
3. La conception du système qualité
4. L’application du système qualité
5. L’audit à blanc
6. La certification
7. Le suivi et renouvellement de la certification

Vous pouvez mettre en œuvre la norme ISO 9001 version 2015 par vous-même en suivant les cinq étapes :

Étape 1 : Inventaire
Étape 2 : Élaboration des procédures et de la documentation
Étape 3 : Réalisation de l’audit interne
Étape 4 : Réaliser une revue de management
Étape 5 : Audit externe

pour plus de détails voir l’article suivant :

ISO 9001 version 2015 audit checklist de certification PDF

Pourquoi le cac commissaire au compte utilise une approche par les risques ?

Le commissaire au compte CAC ne peut pas tout vérifier et regarder toutes les transactions. Un bon CAC est celui qui va faire les bons choix. Toute sa mission va consister à identifier les transactions ou les catégories de transaction qui présentent les risques les plus élevés. Sa responsabilité civile pouvant être mis en cause en cas de non perception de certaines fautes, voire erreurs de la société auditée.

Le risque d’audit

Il est composé d’une équation :

Risque d’audit = Risque d’anomalies significatives + Risque de non détection

Risque d’anomalies significatives = Risque Inhérent (RI) + Risque de Contrôle Interne (RCI)

Ici, ce n’est pas le CAC. Il hérite simplement des forces et des faiblesses de l’entreprise auditée
Le risque d’audit doit tendre évidement vers 0 mais il n’est jamais égal à 0. Des cabinets chiffrent un maximum pour ce risque. Mais l’audit n’est pas une science exacte.

Les cabinets fixent souvent un risque maximum de 4% ou 5%.

Risque de non-détection

Risque de non-détection = Risque du mauvais choix des tests du contrôle interne + Risque
que les tests de détail soient mal choisis + Risque
En revanche, le risque de non détection est propre au CAC.

Le CAC acquiert une connaissance suffisante de l’entreprise afin d’identifier et d’évaluer le risque d’anomalies significatives dans les comptes et afin de concevoir et afin de mettre en œuvre des procédures d’audit permettant de fonder son opinion sur les comptes. C’est ce qu’on appelle le plan d’audit du CAC.

 Le risque inhérent est le risque qu’une erreur significative soit commise par l’entreprise dans l’établissement des états financiers, indépendamment de l’efficacité du contrôle interne.

L’évaluation du risque inhérent sera effectuée pour chaque assertion des états financiers.
Comment évalue t-on ce risque ?

• L’activité de l’entreprise
• Le secteur d’activité

 Le risque de contrôle interne, c’est le risque qu’une erreur significative ne soit pas décelée, ni corrigée par les procédures internes mises en place par la société.

L’évaluation du contrôle interne sera effectuée pour chaque assertion des états financiers.
Le contrôle interne a des objectifs de prévention et de détection.

Le seuil de signification

Déf : montant au delà duquel le jugement du CAC est susceptible d’être influencé. Lors de la
planification de l’audit, le CAC détermine d’abord :

• un seuil de signification au niveau des comptes pris dans son ensemble
• le cas échéant, des seuils de signification de montants inférieurs pour certaines
  catégories d’opérations, certains soldes de compte ou certaines opérations fournies.

En vue de formuler son opinion sur les comptes, le CAC met en œuvre une démarche d’audit afin d’obtenir l’assurance élevée mais non absolue, qualifiée par convention d’assurance raisonnable que les comptes vus dans son ensemble ne comportent pas d’anomalies significatives par leur montant ou par leur nature.

Pour évaluer le risque d’anomalies significatives, le CAC utilise un seuil ou des seuils de signification qui lui permettront aussi de déterminer la nature et l’étendue des procédures d’audit à mettre en œuvre.

Il utilise aussi ce seuil ou ces seuils pour évaluer l’incidence sur son opinion des anomalies détectées au cours de sa mission et non corrigées.

Plus le seuil de signification sera élevé, moins le CAC fera de diligence. Bien évidemment, si notre seuil de signification est élevé, le nombre d’erreurs de ce montant minimum sera faible et au contraire, si le seuil est petit, alors le nombre d’erreurs détectés sera plus important et le CAC devra corriger davantage d’erreurs.

La détermination du ou de seuils de signification relève du jugement professionnel. Il n’existe
pas de formule mathématique. Le CAC identifie des critères pertinents à partir desquels par application du taux, il détermine le seuil ou les seuils de signification Ces critères peuvent être par exemple : le résultat courant, le résultat net, le CA, les capitaux propres, ou l’endettement net.

Plus le seuil de signification sera élevé, moins le CAC fera de diligence. Bien évidemment, si notre seuil de signification est élevé, le nombre d’erreurs de ce montant minimum sera faible et au contraire, si le seuil est petit, alors le nombre d’erreurs détectés sera plus important et le CAC devra corriger davantage d’erreurs.

L’approche par les risques permet au commissaire aux comptes de définir les domaines où les contrôles seront approfondis, d’identifier les cycles d’activité significatifs, de planifier des interventions intercalaires pour la réalisation de certains contrôles ou le suivi de certains éléments (situation de trésorerie, indicateurs clés, …), et de définir un seuil de signification qui est l’appréciation, par le commissaire aux comptes, du montant à partir duquel une anomalie peut affecter la régularité, la sincérité et l’image fidèle des comptes et donc induire le lecteur de ces comptes en erreur.