Colloque ISO 9001:2015

Gestion du risque Colloque ISO 9001:2015

Un nouveau pilier de la norme ISO 9001:2015 LA GESTION DES RISQUES

La gestion du risque au quotidien Traverser une rue, Conduire une auto, Jouer au hockey, Manger au resto, Acheter des actions, Prendre un pont Copyright 1994 by Garry Trudeau

Plan de la présentation 1. La gestion des risques et l ISO 9001 2. Les ressources normatives du risque 3. La famille ISO 31000 - Gestion du risque 4. Les définitions, concepts et processus 5. Outils/techniques d évaluation du risque 6. Quelques cas d application

Valérie Gilbert, ing. MBA PDG chez Mindcore service conseil Ingénieure industrielle depuis 2000 Les animateurs MBA spécialisée en financement des entreprises en 2007 CSSBB de l ASQ Conseillère stratégique en déploiement de culture d amélioration continue Formatrice Lean Six Sigma (Champion, BB, GB) Coach de centaines de projets Lean six sigma Conseillère auprès de milliers de spécialistes en efficacité opérationnelle Accompagnement d une centaine d organisations dans la mise en place des outils de la qualité Près de 20 années d expérience en génie industriel et amélioration

Jean-François Péloquin, ing. M.Ing. Les animateurs Conseiller sénior et enseignant universitaire (ÉTS, UQAM, HEC) Administrateur d entreprise et d OSBL CQE de l ASQ et formateur Lean Six Sigma (Champion, BB, GB) Ingénieur industriel depuis 1988 et plus de 25 ans d expérience Maitrise en gestion de l ingénierie en optimisation des processus Activités de recherche au niveau doctoral à HEC Montréal Réalise des mandats de formation, de planification stratégique, de redressement d entreprise et organisation de l amélioration continue Auditeur responsable et spécialiste qualité selon la norme ISO 9001 Facilitateur Qualimètre et chef évaluateur 5 années au GPQQ Intérêt pour l optimisation, l éthique et la responsabilité sociétale

1. La gestion des risques et l ISO 9001 «Le management est l'art de prendre des décisions à partir d'informations insuffisantes.» Rowan Roy

1. La gestion des risques et l ISO 9001 Encore une exigence additionnelle??? Ou trouver le temps pour gérer ça??? Espace libéré de gestion en 2015 Moins de gestion documentaire Action préventive implicite à la gestion qualité Pas d obligation d évaluation chiffrée des risques Vos pratiques d Amélioration l incluent

1. La gestion des risques et l ISO 9001 La révision de la norme ISO 9001:2015 Nouveau pilier fondamental : le risque Était une notion implicite auparavant Concept ajouté et appuyé Mention du terme risque dans la norme ISO 9001:2008 2 mentions ISO 9001:2015 43 mentions (stade de projet) Définition proposée du risque: «Effet de l incertitude sur un résultat escompté»

1. La gestion des risques et l ISO 9001 Le Risque de faillite est le pire Environnement externe PESTEL Éléments internes de l entreprise La nouveauté et les nouveaux risques Nouveaux employés Nouveaux processus ou méthodes Nouvelles technologies ou infrastructures Nouveaux produits ou nouveaux secteurs Nouveaux dirigeants (relève)

1. La gestion des risques et l ISO 9001 ISO 9001 vous laisse le déterminer Risque qui touche la qualité/performance Objectifs opérationnels : Q-D-Q-L-C Objectif ultime: satisfaction client Hypothèse de continuité des entreprises Actionnaires, employés, clients, financierse Désir commun de continuité de l organisation

Rappelez vous la loi de Murphy 1. Rien n'est aussi simple qu'il y paraît. 2. Tout prend plus de temps que ce que vous croyez. 3. Tout ce qui est susceptible de mal tourner, tournera nécessairement mal. 4. S'il existe plusieurs façons pour les choses de mal se passer, c'est celle qui fera le plus de dégâts qui se produira. Corollaire : C'est au pire moment que les choses tourneront mal. 5. Si quelque chose "ne peut tout simplement pas mal tourner", ca tournera mal quand même. 6. Si vous avez trouvez plusieurs façons pour les choses de mal se passer, mais que vous les avez circonvenues, une autre façon apparaîtra spontanément. 7. Laissées à elles-mêmes, les choses ont tendance à aller de mal en pis. 8. Si tout semble manifestement bien se passer, c'est que quelque chose vous a échappé. 9. La Nature frappe toujours au défaut de la cuirasse. 10. Mère Nature est une chienne. L'univers n'est pas indifférent à l'intelligence, il lui est activement hostile. 11. Il est impossible de faire quoi que ce soit à l'épreuve des imbéciles : les imbéciles se montrent toujours si ingénieux! 12. Si vous décidez de faire quelque chose, il y aura toujours autre chose à faire avant. 13. Chaque solution apporte de nouveaux problèmes. Source internet : http://www.e-scio.net/cqfd/loi.php3 1. La gestion des risques et l ISO 9001

2. Les ressources normatives du risque «Le danger, ce n'est pas ce qu'on ignore, c'est ce que l'on tient pour certain et qui ne l'est pas.» Mark Twain

2. Les ressources normatives du risque Le risque est dans tous les domaines Risque en qualité: ISO 9000 Risque environnemental : ISO 14000 Risque en santé et sécurité : ISO 45000 Risque d innocuité alimentaire : ISO 22000 Risque de sécurité informatique : ISO 27000 Risque sociétal : ISO 26000

2. Les ressources normatives du risque Beaucoup de normes spécifiques Biologie Médical Transport Financier Sécurité de fonctionnement Gestion de projet Informatique

2. Les ressources normatives du risque Lesquelles sont requises dans mon organisation? Celles qui traitent des risques pertinents Pour éviter de compromettre la survie de l organisation Permettre d atteindre vos objectifs Quelles sont les bonnes pratiques? Une famille de norme est dédié au risque

3. La famille ISO 31000 - Gestion du risque «Il faut toujours prendre le maximum de risques avec le maximum de précautions.» Rudyard Kipling

3. La famille ISO 31000 - Gestion du risque Des normes pour vous guider ISO 31000:2009 - Management du risque Principes et lignes directrices IEC/ISO 31010:2009 - Gestion des risques Techniques d évaluation des risques Guide ISO 73:2009 - Management du risque - Vocabulaire Fournissent les bonnes pratiques Proposent principes, concepts et outils

La norme ISO 31000 3. La famille ISO 31000 - Gestion du risque Non disponible pour la certification Offre un processus consensuel sur la gestion du risque par un comité international Vise à obtenir de bons résultats organisationnels et atteindre leurs objectifs Devient un référentiel reconnu pour bien gérer les risques et gouverner efficacement Traite des risques négatifs et positifs Menaces et opportunités

3. La famille ISO 31000 - Gestion du risque Le but de la norme ISO 31000 S adapter à tout type d organisation Aider à atteindre de meilleurs résultats Processus éprouvé pour gérer l incertitude Aux niveaux stratégique et opérationnel Approche intégrée pour les risques multiples ERM (Enterprise Risk Management)

3. La famille ISO 31000 - Gestion du risque Relations entre les principes, le cadre organisationnel et le processus de management du risque https://www.iso.org/obp/ui/fr/#iso:std:iso:31000:ed-1:v1:fr

3. La famille ISO 31000 - Gestion du risque Établissement du contexte Leadership Communication et consultation Appréciation des risques Identification des risques Analyse des risques Évaluation des risques Traitement des risques Identification des mesures potentielles Évaluation et sélection des mesures Suivi et révision Exemple d application du modèle de gestion des risques pour la sécurité civile Planification et mise en œuvre Gestion des risques en sécurité civile http://www.securitepublique.gouv.qc.ca/fileadmin/documents/securite_civ ile/publications/gestion_risques/gestion_risques.pdf 22

3. La famille ISO 31000 - Gestion du risque Les étapes du processus de gestion des risques 1. Identifier et percevoir les risques 2. Évaluer les risques (étude d impact) 3. Prévenir ou mitiger les risques et leurs impacts 4. Gérer et intervenir durant la crise 5. Rétablissement des activités et réhabilitation à une situation normale

3. La famille ISO 31000 - Gestion du risque http://www.irr-neram.ca/pdf_files/iso%2031000.pdf http://www.icsi-eu.org/francais/dev_cs/cahiers/csi- ISO31000-10-questions.pdf http://www.theirm.org/documents/sarm_final.pdf 24

4. Les définitions, concepts et processus «Un jour j'irai vivre en Théorie, car en Théorie tout se passe bien.» Machiavel

4. Les définitions, concepts et processus Définition proposée du risque: «Effet de l incertitude sur un résultat escompté» «Effet de l incertitude sur les objectifs» Remplace la définition classique «Combinaison de probabilité d évènement et de sa conséquence» Le Guide 73 de l ISO fournit un vocabulaire Commun aux divers champs et domaines Facilite les échanges entre intervenants 26

4. Les définitions, concepts et processus On ne vise pas uniquement les éléments de vulnérabilité «Faille qui peut être exploité par une menace» Correspond au risque négatif, aux menaces On peut aussi viser l aspect positif Correspond alors aux opportunités Visant l amélioration continue Autrefois visé par les actions préventives Le concept de risque existait donc 27

Coffre à outils en gestion des risques Statistique Probabilité Graphiques Simulation 4. Les définitions, concepts et processus Méthodes et outils d évaluation Méthodes et outils de prise de décision Processus de gestion de crise et de retour aux affaires 28

Méthodes d évaluation et d appréciation du risque Qualitative: «élevé», «moyen» et «faible» et peut combiner conséquence et probabilité pour évaluer le niveau de risque qui en découle Semi-quantitatives: utilisent des échelles d'évaluation numérique de probabilité et de conséquence et les combinent pour obtenir un niveau de risque grâce à une formule Quantitative: 4. Les définitions, concepts et processus estime les conséquences et la probabilité liées à des valeurs réalistes et produit des valeurs de niveau de risque dans des unités spécifiques définies lors du développement du contexte Ref: ISO 31010 29

4. Les définitions, concepts et processus Pourquoi l analyse statistique? Consiste à présenter, analyser quantitativement des données recueillies Reflète le portrait global d une population Permette la compréhension de certains phénomènes et des facteurs les influençant Aide à la prise de décision et à la résolution de problème en mesurant la situation présente (initiale) 30

4. Les définitions, concepts et processus Structure des techniques statistiques Probabilités et statistiques Mesurer Analyser Statistique Descriptive Probabilités Inférence Statistique Mesure de la tendance centrale Mesure de la variation Caractéristique de la forme Propriétés des probabilités Lois de probabilités Estimation des paramètres Test d hypothèses 31

5. Outils/techniques d évaluation du risque «Plus faibles sont les risques, meilleure est l'entreprise.» Sophocle

5. Outils/techniques d évaluation du risque IEC/ISO 31010 Risk management Risk assessment techniques Gestion des risques Techniques d évaluation des risques

5. Outils/techniques d évaluation du risque La norme IEC/ISO 31010 Propose de nombreux outils et techniques Aide à la sélection des bonnes techniques Plus de 31 outils présentés Du Brainstorming à l Analyse de décision à critères multiples (ADCM) Présentation, utilisation, entrées, processus et résultat

5. Outils/techniques d évaluation du risque La norme IEC/ISO 31010 Techniques d appréciation des risques 1. Identification du risque : recherche, reconnaissance et enregistrement 2. Analyse du risque : comprendre et étudier conséquence et probabilité 3. Évaluation du risque : évaluer l importance relative des risques selon les critères du contexte pour la décision future de traitement En anglais : risk assessment peut se traduire soit par Évaluation des risques ou par Appréciation du risque

5. Outils/techniques d évaluation du risque Étape du processus d'évaluation des risques : identification du risque analyse du risque analyse des conséquences; estimation de probabilité qualitative, semi-quantitative ou quantitative: évaluation de l'efficacité des contrôles existants; estimation du niveau de risque; évaluation des risques

5. Outils/techniques d évaluation du risque Les facteurs qui influencent le choix des techniques d évaluations des risques sont subdivisés en attributs. Les méthodes rattachées sont décrits en termes de : complexité du problème et méthodes nécessaires à son analyse, nature et degré d'incertitude de l'évaluation des risques reposant sur la quantité d'informations disponibles et sur les éléments nécessaires à la satisfaction des objectifs, étendue des ressources nécessaires en termes de durée et de niveau des expertises, de données nécessaires ou de coût, possibilité pour la méthode de fournir des résultats quantitatifs.

5. Outils/techniques d évaluation du risque Attributs d un choix d outils d évaluation des risques 1. Méthodes de recherche 2. Méthodes de soutien 3. Analyse du scénario 4. Analyse fonctionnelle 5. Évaluation des contrôles 6. Méthodes statistiques

5. Outils/techniques d évaluation du risque MÉTHODES DE MÉTHODES DE ANALYSE DU ANALYSE ÉVALUATION DES MÉTHODES RECHERCHE SOUTIEN SCÉNARIO FONCTIONNELLE CONTRÔLES STATISTIQUES Liste de contrôle Brainstorming ou remue-méninges Analyse de causes profondes AMDEC (Analyse des modes de défaillance et effets) Analyse des niveaux de protection (LOPA) Analyse de Markov Analyse préliminaire du danger Entretiens structurés ou semistructurés Analyse de scénario Analyse des conditions insidieuses (transitoire) Analyse «nœud papillon» Simulation de Monte-Carlo Technique Delphi Évaluation des risques toxicologiques Études de danger et d exploitabilité (HAZOP) Analyse bayésienne et réseau de Bayes Méthode ( what if ) Analyse d impact sur l activité Maintenance basée sur la fiabilité Analyse de fiabilité humaine Analyse par arbre de panne HACCP (Analyse des dangers critiques pour leur maîtrise) Analyse par arbre d évènements Analyse causesconséquences Analyse des causes et de leurs effets (Ishikawa)

5. Outils/techniques d évaluation du risque Suite des outils également disponibles dans la norme Arbre de décision Évaluation des risques environnementaux Courbes FN (concept ALARP) Indices de risque Matrice conséquence-probabilité Analyse coût-bénéfice Analyse de décision à critères multiples (ADCM)

6. Quelques cas d application «93% des entreprises sans plan de continuité des opérations font faillite dans les 5 ans suivant le sinistre!» Micheal Barbara, 2007

6. Quelques cas d application Identification du risque Analyse du risque Évaluation du risque