Management Des Risques ISO 31000

La norme ISO 31000

Formation en intra entreprise réalisée pour le compte de INDUSTRIES ALIMENTAIRES DE TUNISIE - 2016

Management des risques ISO 31000

1

Contexte et enjeux



Les nouvelles versions des normes ISO 9001 et ISO 14001 ex gen

e açon exp c e, ’ app ca on e ’ approc e par

les risques « Risk-based thinking » 

Ces normes ne comportent plus d’articles relatifs aux actions préventives. Le concept d’action préventive est ’



’

L’approche par les risques est essentielle à l’obtention d’un système de management efficace et efficient 2 2

www.conseilplus.tn

1

Domaines d’application



,



Santé et sécurité des personnes et des biens



Conformité aux exigences légales et réglementaires



Protection de l'environnement



Management de projets



Efficacité opérationnelle



…

3 3

Exigences ISO 9001:2015 L’application de l’approche par les risques



• § 4.4-f Approche processus • § 5.1-d Engagement de la direction • § 5.1.2-b Orientation client • § 6.1 Actions à mettre en œuvre face aux risques et opportunités • § 9.1.3-e Analyse et évaluation • § 9.3.2-e Revue de direction • § 10.2.1-e Non-conformité et action corrective

4 4

www.conseilplus.tn

2

ISO 9001 § 4.4 4.4 Système de management de la quali té et ses proc essus 

L’organisme doit déterminer les processus



Déterminer les éléments d’entrée et les éléments de sortie ’

 

 

Déterminer et appliquer les critères et les méthodes pour assurer le fonctionnement et la maîtrise efficaces de ces processus; Déterminer les ressources nécessaires  Attribuer les responsabilités et autorités pour ces processus



Prendre en compte les risques et opportunités



Evaluer ces processus



 Améliorer les processus et le système de management de la qualité

5 5

ISO 9001 § 5.1.2 5.1.2 Orientation client La direction doit démontrer son leadership et son engagement ’

’

a) les exigences du client ainsi que les exigences légales et réglementaires applicables sont déterminées, comprises et satisfaites en permanence; b) les risques et les opportunités susceptibles d’avoir une incidence sur la conformité des produits et des services et sur l’aptitude à améliorer la satisfaction du client sont déterminés et pris en compte; c) la priorité d’accroissement de la satisfaction du client est préservé. 6 6

www.conseilplus.tn

3

ISO 9001 § 6.1 6 Planifi cation 6.1 Actions à mettre en œuvre face aux risques et opportunités Dans le cadre de la planification de son système de management de la qualité, l’organisme doit déterminer les risques et opportunités qu’il est nécessaire de prendre en compte pour: a) donner l’assurance que le système de management de la ualité eut atteindre le ou les résultats escom tés b) accroître les effets souhaitables; c) prévenir ou réduire les effets indésirables; et d) s’améliorer . 7

ISO 9001 § 6.1 (suite)

L’organisme doit : a) planifier les actions à mettre en œuvre face aux risques et opportunités; b) intégrer et mettre en œuvre ces actions au sein des processus du système de management de la qualité; ’

.

8 8

www.conseilplus.tn

4

Normes de référence ISO

,

-

lignes directrices 

ISO 31010:2009, Management du risque - Techniques d'évaluation des risques



ISO Guide 73:2009, Management du risque - Vocabulaire

9

9

Normes de référence ONR 

ONR : Österreichische Normungsinstitut Regeln - Institut autrichien de normalisation 10 10

www.conseilplus.tn

5

Méthodes – Processus de management des risques

ONR 49002-2, Leitfaden für die Methoden der Risikobeurteilung 

 

Brainstorming  Analyse des scénarios



CIRS (Critical Incident Reporting System)



CBRM (Change Based Risk Management)



FMEA (Failure Mode and Effects Analysis) azar an



pera

y

u y



HACCP (Hazard and Critical Control Point)



…..

11

Définitions – ISO 31000 § 2.1 Risque : effet de l'incertitude sur l'atteinte des objectifs

NOTE 1 Un effet est un écart ositif et ou né atif ar ra ort à une attente. NOTE 2 Les objectifs peuvent avoir différents aspects (par exemple buts financiers, de santé et de sécurité, ou environnementaux) et peuvent concerner différents niveaux (niveau stratégique, niveau d'un projet, d'un produit, d'un processus ou d'un organisme tout entier). NOTE 3 Un risque est souvent caractérisé en référence à des événements et des conséquences potentiels ou à une combinaison des deux. n r sque es souven expr m en ermes e com na son es conséquences d'un événement et de sa probabilité.

12

www.conseilplus.tn

6

Principes – ISO 31000 § 3









Le management du risque crée de la valeur et contribue de façon tangible à l'atteinte des objectifs et à l'amélioration des performances. Le management du risque est intégré aux processus organisationnels et relève de la responsabilité de la direction. Le management du risque est intégré au processus de prise de décision. Il aide les décideurs à faire des choix argumentés et à définir des priorités d'actions. L'implication appropriée des parties prenantes, et notamment des décideurs à tous les niveaux de l'organisme, garantit que le management du risque reste pertinent et actuel.

13

Principes – ISO 31000 § 3 (suit e)









Le management du risque est systématique, structuré et utilisé en temps utile. Les données d'entrée du processus de management du risque reposent sur des sources d'information, comme des données historiques, l'expérience, les retours d'information des parties prenantes, les observations, les prévisions et les avis d'experts. Le management du risque est adapté et s'aligne sur le contexte externe et interne de l'organisme et son profil de risque. Le management du risque est dynamique et réactif au changement 14

www.conseilplus.tn

7

Process us de management du risque ISO 31000

15

Identification des risques Définition : 

Identification des risques : processus de recherche, de

Finalité :  



Dresser une liste exhaustive des risques Identifier les événements susceptibles d'empêcher ou de êner l'atteinte des ob ectifs Un risque non identifié à ce stade ne sera pas inclus dans une analyse ultérieure

16

www.conseilplus.tn

8

Exemple : Processus achat et approvisionnement  Activité : sélectionner et évaluer les fournisseurs Risques associés aux fournisseurs : • Organisation du fournisseur ne répond pas aux exigences • Fuite de données confidentielles communiquées aux fournisseurs • Site du fournisseur dans une zone sensible aux catastrophes naturelles qui

peut affecter les activités d’approvisionnement • L’instabilité politique du pays peut affecter les activités du fournisseur • Non respect des règles d’éthiques par le fournisseur : corruption, fraude, non-respect des droits de l’homme • Les risques financiers du fournisseur : pas d'autonomie, de profitabilité et • • • • •

Mauvaise compréhension du cahier des charges et des spécifications Livraison de produit non conforme Non respect des délais Manque de compétence et de qualification du personnel Le fournisseur ne dispose pas de processus de fabrication approprié …. 17

 Analyse des risques Définition : 



 Analyse du risque : processus mis en œuvre pour comprendre la nature d'un risque et pour déterminer le niveau de risque L'analyse du risque fournit la base de l'évaluation du risque et les décisions relatives au traitement du risque

Finalité :  

 Acquérir une compréhension du risque Lister les conséquences du risque ’

 

Déterminer les causes

18

www.conseilplus.tn

9

Evaluation des risques Définition : 



Evaluation du risque : processus de comparaison des résultats de l'analyse du risque avec les critères de risque afin de déterminer si le L'évaluation du risque aide à la prise de décision relative au traitement du risque

Finalité : 



 Aider les décideurs à déterminer les risques nécessitant un traitement et la priorité dans la mise en œuvre des trait ements Hiérarchiser les risques

19

Critères de risque Définition : 





Critères de risque : termes de référence vis-à-vis desquels l'importance d'un risque est évaluée Les critères de risque sont fondés sur les objectifs de l'organisme ainsi que sur le contexte externe et interne. Les critères de risque peuvent être issus de normes, de lois, de politiques et d'autres exigences. na

:



Définir les critères de risque (Gravité, Probabilité, etc.)



Etablir un standard interne

20

www.conseilplus.tn

10

Evaluation des risques

21

Traitement des risques Définition : 

Traitement du risque : processus destiné à modifier un risque

Finalité : Prendre une décision et définir des plans d’actions 

Refus du risque en décidant de ne pas démarrer ou ne pas poursuivre l'activité porteuse du risque,



Elimination de la source de risque,



Modification de la probabilité / fréquence,



Modification des conséquences,



Maintien du risque fondé sur une décision argumentée

22

www.conseilplus.tn

11

Surveillance et revue Les objectifs de la surveillance et de la revue : • •

•

•

S'assurer que les moyens de maîtrise sont efficaces,  Analyser les incidents, non-conformités, réclamations, etc., Détecter les changements dans le contexte interne et externe et identifier les nouveaux risques, ’ des risques

, ’

, ’

23

www.conseilplus.tn

12