Michel LICHOU IRIAF, Université de Poitiers Département Gestion des Risques Année Normes de systèmes de management / Risques

 Suite de la présentation d’Olivier RABILLOUD sur la norme ISO 9001:2015  Présentation d’autres normes de systèmes de management  Focus sur les risques et le développement durable, vers un système de management intégré ?  Retour d’expérience d’un auditeur  Travail en groupes pour réaliser des petites vidéos de 4 à 8 mn sur des sujets définis Normes de systèmes de management / Risques

 ISO 9001:2015  ISO14001:2015  ISO 50001:2018  ISO 45001:2018  ISO 22301:2014  ISO 27001:2013  Qualité  Environnement  Energie  Santé sécurité au travail  Continuité d’activité  Sécurité des systèmes d’information Normes de systèmes de management / Risques

 ISO 19011:2018 : Audit systèmes de management  ISO 31000:2018 : Management des risques  ISO 26000:2010 : Responsabilité sociétale des organisations  ISO 37001:2016 : Management anti- corruption Normes de systèmes de management / Risques

 IATF 16949:2016 = automobile  EN 9100:2016 = aéronautique  Référentiel IRIS = ferroviaire  ISO 13485:2016 = dispositifs médicaux Normes de systèmes de management / Risques

 Les bases de l’ISO 9001   Une approche par les risques  OYhs OYhs Normes de systèmes de management / Risques

1. L’amélioration continue (roue de Deming ou approche PDCA) ; 2. La nécessité d’un engagement de la direction ; 3. La planification et l’élaboration d’un programme ; 4. L’identification des risques et la prévention des dysfonctionnements ; 5. L’identification des exigences légales et autres ; 6. La définition d’une organisation, des autorités et des responsabilités ; 7. La nécessité de former et de sensibiliser le personnel (management des compétences) ; 8. La communication interne et externe ; 9. Les exigences en matière de gestion des documents et des enregistrements ; 10. La surveillance et la mesure ; 11. La gestion des non-conformités la définition et la mise en œuvre d’actions correctives et préventives ; 12. La mise en œuvre d’un processus d’audit. Normes de systèmes de management / Risques

 ISO 9001  1987  1994  2000  2008  2015  ISO  1996  2004  2015 Normes de systèmes de management / Risques Structure HLS (high level structure)

4.1- Exigences générales 4.2- Politique environnementale 4.3- Planification Aspects environnementaux Exigences légales et autres exigences Objectifs et cibles Programme(s) de management environnemental 4.4- Mise en œuvre et fonctionnement Structure et responsabilités Formation, sensibilisation et compétences Communication Documentation Maîtrise de la documentation Maîtrise opérationnelle Prévention des situations d'urgence et capacité à réagir 4.5- Contrôle et action corrective Surveillance et mesurage Non-conformité, action corrective et action préventive Enregistrements Audit 4.6- Revue de direction Normes de systèmes de management / Risques

 Audire  Le terme audit vient du latin audire qui signifie « écouter ». Un audit est une activité conduite en entreprise par un auditeur qualifié par un organisme de certification afin d’évaluer la conformité des appareils et des systèmes aux règles de certification.  Audit 1 ère partie (interne)  Audit seconde partie  Audit tierce partie (certification)  Audit à blanc ? Normes de systèmes de management / Risques

 Objectif : amélioration continue  Mettre en évidence ce qui ne va pas pour inciter à chercher des actions correctives  Echange de bonnes pratiques  Risque : sanction possible refus ou perte de certificat  Vérification de la conformité  Pas de mission de conseil Normes de systèmes de management / Risques

 Phase 1 : conformité du système de management aux exigences de la norme => écart documentaire  Phase 2 : conformité de la pratique à ce qui est spécifié dans le système de management => écart d’application  AUDIT V 2015 : s’attache aux résultats plus qu’à la simple conformité documentaire = évaluation.  On ne formalise plus tout mais uniquement ce qui représente un risque Normes de systèmes de management / Risques

Mieux accompagner les organismes dans la mise en œuvre de leurs politiques de progrès :  Par une meilleure écoute : La nouvelle version 2015 incite au dialogue. Les auditeurs vont s’attacher à mieux comprendre le contexte, les enjeux des organismes, et les attentes des parties intéressées vis-à-vis des organismes qu’ils auditent…  Par une meilleure compréhension et analyse des synergies entre le SM et la stratégie : En effet, même si l’auditeur n’a pas vocation à auditer la stratégie de l’organisation, il va chercher à la comprendre et à s’assurer que le SME concourt à celle-ci.  Par une approche pragmatique de l’audit en faveur de terrain et visant à démontrer la bonne appropriation du SME par les équipes, encore plus orientée sur les résultats et l’efficacité. Normes de systèmes de management / Risques

Dans la présente Norme internationale, les formes verbales suivantes sont utilisées: — « doit » indique une exigence; — « il convient » indique une recommandation; — « peut » indique une permission, une possibilité ou une capacité. Notes et annexes : uniquement explications. Il ne peut pas y avoir écart. Normes de systèmes de management / Risques

Repérer les mots : « doit » = exigence à respecter « documenté » = existence d’un document ou d’une mention dans un document Normes de systèmes de management / Risques

L’organisme doit déterminer les limites et l’applicabilité du système de management environnemental afin d’établir son domaine d’application. Lorsque l’organisme établit ce domaine d’application, il doit prendre en considération: a) les enjeux externes et internes auxquels il est fait référence en 4.1; b) les obligations de conformité auxquelles il est fait référence en 4.2; c) ses unités organisationnelles, fonctions et limites physiques; d) ses activités, produits et services; e) son autorité et sa capacité de maîtrise et d’influence. Une fois le domaine d’application défini, l’ensemble des activités, produits et services de l’organisme compris dans ce domaine d’application doit être inclus dans le système de management environnemental. Le domaine d’application doit être tenu à jour sous la forme d’une information documentée et doit être disponible vis-à-vis des parties intéressées. Normes de systèmes de management / Risques

 LA LA Normes de systèmes de management / Risques

 La compréhension du contexte des organismes - Enjeux globaux et anticipation des besoins et attentes des parties intéressées (§4)  Le renforcement du leadership et des liens entre la stratégie et la démarche environnementale (§5)  L’approche par les risques et opportunités (§6)  La maîtrise/influence des impacts sur l’ensemble de la chaîne de valeurs dans une perspective de cycle de vie (§8) associée à une meilleure communication vers les parties intéressées (§7)  L’amélioration des performances environnementales (§10) Normes de systèmes de management / Risques

La direction doit démontrer son leadership et engagement vis-à-vis du système de management environnemental en: a) assumant la responsabilité de l’efficacité du système de management environnemental; b) s’assurant que la politique et les objectifs sont établis pour le système de management environnemental et qu’ils sont compatibles avec l’orientation stratégique et le contexte de l’organisme; c) s’assurant que les exigences liées au système de management environnemental sont intégrées aux processus métiers de l’organisme; d) s’assurant que les ressources requises pour le système de management environnemental sont disponibles; e) communiquant sur l’importance de disposer d’un système de management environnemental efficace et de se conformer aux exigences liées à ce système; f) veillant à ce que le système de management environnemental atteigne les résultats attendus; g) orientant et soutenant les personnes pour qu’elles contribuent à l’efficacité du système de management environnemental; h) promouvant l’amélioration continue; i) soutenant les autres rôles managériaux pertinents afin de démontrer leurs responsabilités dans leurs domaines respectifs. Normes de systèmes de management / Risques

 Risque majeur  Criticité = probabilité x gravité  Méthodes d’analyse des risques  Ne pas oublier les opportunités  Outils possibles  SWOT strengths (forces), weaknesses (faiblesses), opportunities (opportunités), threats (menaces)  PESTEL Normes de systèmes de management / Risques

Source: de-vie.html

3.1.6 partie intéressée personne ou organisme (3.1.4) qui peut soit influer sur une décision ou une activité, soit être influencée ou s’estimer influencée par une décision ou une activité EXEMPLE Clients, collectivités, fournisseurs, régulateurs, organismes non gouvernementaux, investisseurs et employés. Note 1 à l’article: « S’estimer influencée » signifie que le point de vue a été porté à la connaissance de l’organisme. La présente Norme internationale utilise le terme «partie intéressée»; le terme «partie prenante» est un synonyme car il représente le même concept. Normes de systèmes de management / Risques

4.2 Compréhension des besoins et attentes des parties intéressées L’organisme doit déterminer: a) les parties intéressées qui sont pertinentes dans le cadre du système de management environnemental; b) les besoins et attentes pertinents (c’est-à- dire les exigences) de ces parties intéressées; c) lesquels de ces besoins et attentes deviennent ses obligations de conformité. Normes de systèmes de management / Risques

Energie Fluides Rejets liquides Déchets Rejets atmosphériques Risque d’accident ou de pollution

Afin d’obtenir les résultats escomptés, y compris l’amélioration de sa performance environnementale, l’organisme doit établir, mettre en œuvre, tenir à jour et améliorer en continu un système de management environnemental, y compris les processus nécessaires et leurs interactions, en accord avec les exigences de la présente Norme internationale. L’organisme doit prendre en considération les connaissances acquises en 4.1 et 4.2 lors de l’établissement et de la tenue à jour du système de management environnemental. Normes de systèmes de management / Risques

 Ce qui est utile (ou exigé), là où on en a besoin, dans un langage adapté  Plus de forme imposée (manuel, procédures)  Workflows création et mise à jour des documents  Accès sélectif aux systèmes d’information  Protection des données contre les erreurs de saisie (surtout si la donnée perdue ne peut pas être reconstituée), sauvegarde et restauration (informatique) Normes de systèmes de management / Risques

 Il s’agit d’actions visant à éliminer un défaut. C’est le cas d’une réparation, retouche, voire même d’une mise au rebut.  Exemple  Une roue crevée. L’action curative sera de la réparer. Normes de systèmes de management / Risques

 Ces actions vont porter sur des causes d’apparition du défaut. Elles nécessitent donc de se poser la question « pourquoi ». L’idéal est de la poser en cascade, c’est la méthode dite des 5 Pourquoi. On peut aussi utiliser l’arbre des causes. Il s’agit d’agir sur les causes profondes et d’identifier alors des solutions plus pérennes.  Exemple  Pour le cas de la roue crevée, une cause peut être la présence de clous dans mon garage. Donc action : ramasser les clous.  Une cause plus profonde sera éventuellement que mon fils a renversé une boite de clous. Une action corrective plus pérenne sera donc de ranger les clous hors de sa portée. Normes de systèmes de management / Risques

 Une action préventive permettra d’éviter un défaut qui n’est pas encore apparu.  De tels défauts peuvent être imaginés à partir d’analyses de risques, ou par transposition : défaut semblable pouvant survenir sur une autre ligne de fabrication, sur un autre produit, etc…  Exemple  En reprenant l’exemple précédent, on peut imaginer que de la même manière, mon fils pourrait jouer avec la boite d’allumettes. Il n’a pas encore mis le feu, le défaut est donc potentiel. Je vais mener l’action préventive de ranger aussi la boite d’allumettes hors de sa portée. Normes de systèmes de management / Risques

 Le terme d’action préventive a disparu de la norme ISO 14001:2015  6.1 Actions à mettre en œuvre face aux risques et opportunités  10.2 Non-conformité et actions correctives Normes de systèmes de management / Risques

Lorsque l’organisme planifie la façon dont ses objectifs environnementaux seront atteints, il doit déterminer: a) ce qui sera fait; b) les ressources qui seront nécessaires; c) qui sera responsable; d) les échéances; e) la façon dont les résultats seront évalués, y compris les indicateurs pour surveiller l’avancement de la réalisation de ses objectifs environnementaux mesurables (voir 9.1.1). L’organisme doit prendre en considération la manière dont les actions destinées à atteindre ses objectifs environnementaux peuvent être intégrées dans les processus métiers de l’organisme. Normes de systèmes de management / Risques

 Comment mesurer ce qui n’existe pas ?  Situation avant la mise en œuvre de l’action  Situation après la mise en œuvre de l’action  Facteurs pertinents pour analyser le progrès réel, corrigé des effets externes. Normes de systèmes de management / Risques

Source :  AFNOR Certification  Les clés de l’audit ISO V2015, mars 2017 Normes de systèmes de management / Risques

Les organismes sont invités à gérer leurs responsabilités environnementales en renforçant la prise en compte du pilier environnement du concept du développement durable par la mise en œuvre de recommandations du référentiel, tout en tenant compte des besoins socio- économiques. La compréhension des mécanismes des écosystèmes et des phénomènes engendrant leur dysfonctionnement, permet la mise en place d’actions proactives individuelles ou collectives, pour limiter ou supprimer tout préjudice et toute dégradation, telles que l’utilisation de ressources durables et l’atténuation des effets du changement climatique. La préservation des services éco-systémiques pour les générations actuelles et futures est un des objectifs internationaux. Normes de systèmes de management / Risques

Le système de management environnemental reste basé sur le recensement et l’évaluation des aspects et impacts environnementaux des activités, produits et services passés, actuels et futurs. Ainsi une attention particulière est portée sur la méthodologie de priorisation afin de contribuer efficacement à court, moyen et long terme à la préservation de l’environnement. Normes de systèmes de management / Risques

Le renforcement vient de l’élargissement du périmètre aux exigences pertinentes des parties intéressées et sur leurs modalités d’application dans l’organisme. Normes de systèmes de management / Risques

La prise en compte des situations anormales et situations d’urgence lors de l’identification des aspects et impacts environnementaux est une exigence clarifiée, car elle était seulement sous-entendue dans la version La gestion des situations d’urgences environnementales potentielles et les accidents potentiels restent un point majeur dans la gestion des risques environnementaux. Normes de systèmes de management / Risques

La direction doit faire la démonstration de son leadership ; Il y a un renforcement de la cohérence entre la politique environnementale et la stratégie de l’organisme. Un des renforcements est lié au fait que le responsable du système de management doit aussi rendre compte de la performance environnementale. Normes de systèmes de management / Risques

La simplification documentaire est une évolution significative mise en place à la demande des utilisateurs. La notion de procédure est abandonnée au profit d’informations documentées. Ces dernières devant être identifiées, maîtrisées et tenues à jour. Normes de systèmes de management / Risques

La nouvelle version de la norme exige une bonne compréhension du contexte dans lequel évolue l’organisme afin de mieux gérer les risques et les impacts environnementaux subis ou provoqués. Cette exigence implique donc une réflexion stratégique plus large sur les enjeux internes et externes susceptibles d’avoir une incidence sur la manière dont l’organisme gère ses responsabilités environnementales. L’identification des enjeux importants est un préalable à la définition et à l’établissement du SME et de son domaine d’application. Normes de systèmes de management / Risques

L’analyse environnementale devient plus large en orientant le questionnement vers les étapes amont et aval du cycle de vie du produit/service dans la limite de zone de maîtrise et d’influence de l’organisme (sourcing matières premières, achats, supply- chain, devenir du produit en fin de vie…). Il ne prend plus uniquement en compte le périmètre des activités, produits et services du site de production par exemple. Normes de systèmes de management / Risques

Afin de réduire l’incertitude associée à l’atteinte des objectifs du SME, la mise en œuvre systématique de l’approche par les risques a été introduite. Le recensement des risques qui pourrait favoriser ou freiner l’atteinte d’un résultat environnemental escompté se fera au regard du contexte global de l’organisme et de l’analyse environnementale. Normes de systèmes de management / Risques

L’objectif de ce nouveau chapitre est de mettre l’accent sur le rôle de la hiérarchie dans la promotion et l’appui dans la mise en œuvre du management environnemental. Bien que la direction reste responsable de l’efficacité du SME, les managers sont également amenés à traiter efficacement les impacts environnementaux et par là promouvoir une meilleure protection de l’environnement. Normes de systèmes de management / Risques

L’ISO introduit l’approche processus en exigeant de déterminer les processus du SME et leurs interactions. Elle laisse la liberté à chaque organisme d’apprécier le niveau de détail de son approche. On note donc une importance accrue du management environnemental dans les processus de planification stratégique et opérationnel de l’organisme. Le succès du management environnemental réside dans l’implication de la direction et des managers. La direction peut exploiter efficacement les opportunités dégagées en intégrant et mettant en œuvre les actions au sein des processus métiers. Normes de systèmes de management / Risques

Dans un souci de pérennisation et d’augmentation de la valeur d’une entreprise, les dirigeants peuvent renforcer leurs impacts environnementaux bénéfiques, notamment ceux ayant une implication d’ordre stratégique et concurrentiel. Ainsi la stratégie de l’entreprise peut être formalisée au travers d’une politique environnementale, avec des priorités adaptées aux risques et opportunités de l’organisme identifiés lors de l'analyse environnementale et du contexte (Enjeux internes et externes). Normes de systèmes de management / Risques

Un processus de communication interne et externe en doit être établi en prenant en compte les obligations de conformité (Ce qui inclut les besoins et attentes des parties intéressées pertinentes définis par l’organisme comme applicables). L’organisme doit s’assurer de la cohérence et de la fiabilité des données environnementales communiquées vis-à-vis de son SME. Normes de systèmes de management / Risques

Au regard de la précédente version, le référentiel se focalise aujourd’hui davantage sur l’amélioration de la performance environnementale, tout en conservant son niveau d’exigence sur l’efficacité du SME (Le terme performance environnementale est inscrit à plusieurs reprises dans le chapitre 9 de la norme). L’amélioration continue concerne l’ensemble du domaine d’application. Des critères doivent être établis pour évaluer la performance environnementale notamment vis-à-vis de la politique et des objectifs environnementaux fixés. Le niveau de performance environnementale atteint devient une donnée d’entrée de la revue de direction, au même titre que l’efficacité du SME (capacité à atteindre les objectifs fixé) Normes de systèmes de management / Risques

 Réaliser une vidéo d’une durée de 4 à 8 mn sur un thème donné  Base de travail : normes fournies + les conseils d’un enseignant – auditeur pour comprendre les normes  Moyens : un smartphone, un paper board ou un tableau blanc, un écran pour powerpoint  Une nécessité : de la bonne humeur et de l’originalité, mais c’est du sérieux  Les meilleures vidéos seront mises en ligne, pour longtemps !!! Normes de systèmes de management / Risques

1. Qu’est-ce que la norme ISO ? 2. Quels seraient les avantages pour une startup prestataire de services en informatique de mettre en pratique l’ISO 31000:2018 ? 3. Parle-t-on des mêmes risques et opportunités dans les normes ISO 9001:2015, ISO 14001:2015, ISO 45001:2018 et ISO 50001:2018 ? A quel niveau et avec quels outils analyser les risques ? 4. Je suis déjà certifié QSE (9001, 14001, 45001). Quel intérêt pour moi de m’intéresser à l’ISO ? 5. Qui sont les parties intéressées et parties prenantes dans les normes ISO 9001:2015, ISO 14001:2015, ISO 45001:2018 et ISO 50001:2018 ? Que sont les besoins et attentes ? 6. J’avais quatre systèmes de management distincts Qualité, Sécurité, Environnement et Energie. Avec la nouvelle structure HLS utilisée pour les normes ISO 9001:2015, ISO 14001:2015, ISO 45001:2018 et ISO 50001:2018, que faire pour passer réellement à un système de management intégré ? 7. Je gère un datacenter hébergeant les sites de milliers de particuliers et de petites entreprises. Sur quelles normes ai-je intérêt à être certifié ? Puis sur quoi communiquer ? 8. C’est quoi une politique dans un système de management ? Faut-il une ou plusieurs politiques quand on est multiréférentiel ? Voici un modèle de politique QSEé conforme aux exigences de la norme mais vraiment utile ! 9. Je suis une PME industrielle (production de pièces mécaniques de grandes dimensions pour l’industrie aéronautique). Quel serait mon intérêt d’être certifié ISO 22301:2014 ? 10. A quelle fréquence dois-je faire des audits internes de mes systèmes de management ? Pourquoi et comment ? 11. Quelles exigences dois-je suivre avec les nouvelles normes ISO 9001:2015, ISO 14001:2015, ISO 45001:2018 et ISO 50001:2018 ? J’utilisai précédemment un prestataire externe pour ma veille réglementaire. Comment faire maintenant ? 12. Je suis une ICPE classée SEVESO seuil haut (fabrication et stockage d’explosifs civils). Je suis certifié ISO 14001:2015 et ISO 45001:2018. Dois-je mettre en place un SGS ? 13. Nouvelles normes ISO en structure HLS : chapitre 10 ??? Normes de systèmes de management / Risques

 Modèle imposé pour repérer le sujet, les auteurs et l’IRIAF  Unité dans les vidéos qui seront mises en ligne  Coordonnées de contact Normes de systèmes de management / Risques

IRIAF Institut des Risques Industriels Assurantiels et Financiers Management des Risques Industriels et Environnementaux Management des Risques des Systèmes d’Information Pôle Universitaire de Niort 8-11 rue Archimède NIORT

IRIAF Institut des Risques Industriels Assurantiels et Financiers Thème de la vidéo Vidéo réalisée par Prénom NOM, Prénom NOM, Prénom NOM … sous l’encadrement de M. Michel LICHOU, Maître de conférences associé et Auditeur de systèmes de management Contact :

 dkINw dkINw  JAs4 JAs4 Normes de systèmes de management / Risques