logo PYX4
Alexandre Basse Par : | Le 11 Déc 2018 #Risques

AMDEC : la réponse aux exigences normatives de gestion des risques ?

Le terme AMDEC est fréquemment rencontré dans le cadre de la mise en place d’une démarche Qualité, notamment au sein des organisations qui visent l’obtention d’une certification.

L’ AMDEC: qu’est-ce que c’est ?

L’AMDEC, ou Analyse des Modes de Défaillance, de leurs Effets et de leur Criticité, a été créée en 1949 par l’US Air Force, afin d’assurer la fiabilité d’un produit en améliorant sa conception. Avec cette méthode, les défaillances sont classées en fonction de leur impact sur les personnes et sur le fonctionnement de l’équipement.

 

En 1993, l’ASQC (American Society for Quality Control) donne une nouvelle définition de l’AMDEC : «un procédé systématique pour identifier les modes potentiels et traiter les défaillances avant qu’elles ne surviennent, avec l’intention de les éliminer ou de minimiser les risques associés».

 

Avec les nouvelles versions des normes ISO et notamment l’introduction d’une dimension risques, les professionnels de la Qualité ont naturellement recherché un outil qui pourrait les aider à répondre à ces nouvelles orientations. L’AMDEC, bien maîtrisée par leurs services ou cabinets de conseils, est alors apparue comme la solution adéquate.

 

Mais peut-on facilement s’arranger avec les principes de cette méthode pour répondre aux exigences normatives, ou existe-t-il d’autres outils mieux adaptés ?

AMDEC Processus ou AMDEC Procédés ?

Même si la version 2015 de l’ISO 9001 introduit l’exigence d’une approche par les risques, celle-ci reste très évasive sur la façon de procéder.

 

Quelques éclairages existent dans le chapitre 4 : Contexte. Il y est ainsi mentionné :

  • « les enjeux externes et internes pertinents » qui influent sur la stratégie et l’atteinte des objectifs désignent les risques et opportunités.
  • la description des processus doit intégrer les risques et opportunités inhérents et être priorisée sur les processus portant les risques « pertinents » .

La démarche porte donc bien sur les risques susceptibles de remettre en cause la stratégie de l’organisation, en lien avec l’ensemble des processus. La méthode AMDEC, originellement très axée sur la qualité produit, est-elle par conséquent la mieux adaptée ? Peut-on considérer qu’une défaillance est équivalente à un risque ?

 

Pour répondre à ces questions, certains soulignent qu’il existe plusieurs déclinaisons d’AMDEC. Parmi celles-ci, l’AMDEC Processus permet d’analyser les risques majeurs des processus. Cette réponse est-elle toutefois suffisante?

 

L’AMDEC Processus étudie les conséquences que pourraient engendrer certaines défaillances pour l’utilisateur d’un produit et sur l’environnement de production. Les défaillances sont recherchées en considérant la description de l’opération. Les causes retenues sont liées à la description du procédé de production. Cette déclinaison adaptée fait donc encore référence à la notion de Qualité Produit, dans sa dimension « procédés de production », concept maladroitement traduit par « AMDEC Processus ».

 

L’ AMDEC Procédés de fabrication est-il donc applicable à l’ensemble des processus, en faisant  une réponse satisfaisante aux exigences de la norme ISO 9001 : 2015 ? Seul un décryptage précis de la méthodologie AMDEC permet de répondre à cette question.

L’ AMDEC comme réponse aux exigences normatives: partie qualitative

Reprenons tout d’abord la définition d’un « risque » dans les normes ISO : ce terme y désigne  l’effet de l’incertitude. L’ISO 31000 va plus loin, en introduisant la notion d’objectifs (via l’effet de l’incertitude sur les objectifs) et en précisant la définition du terme « risque » qui inclut alors :

  • une ou des sources: tout élément qui, seul ou combiné à d’autres, est susceptible d’engendrer un risque,
  • un événement potentiel: occurrence ou changement d’un ensemble particulier de circonstances,
  • une ou plusieurs causes,
  • des conséquences (effets d’un événement affectant les objectifs, positifs ou négatifs, qualitatifs ou quantitatifs).

 

Si l’on se réfère à  la méthodologie AMDEC, il convient tout d’abord d’identifier des défaillances lors d’ateliers de travail. Ceux-ci doivent regrouper des compétences pluridisciplinaires, afin d’avoir une  vision plus précise. Le groupe choisit alors un sujet d’étude (produit ou processus) et l’analyse dans toutes ses dimensions (définition du produit, structure, composantes, procédés, etc).

L’objectif du groupe de travail est ensuite de considérer toutes les étapes du processus et d’imaginer toutes les défaillances possibles de manière exhaustive pour chacune d’entre elles. Ainsi, pour un processus donné, on recherchera tout à la fois des défaillances au niveau du produit, la non-atteinte de l’objectif souhaité par le processus,ou un livrable non-conforme.

 

On cherchera ensuite à réaliser une étude qualitative de chaque défaillance, via :

  • l’analyse des modes de défaillance, c’est-à-dire manière dont la défaillance se manifeste, par exemple par une perte de performance ;  
  • l’analyse des causes de défaillance possibles ;
  • l’analyse des effets de ces défaillances.

 

Ainsi, l’AMDEC semble bien être une méthode adéquate pour répondre aux exigences liées à l’identification des risques dans les nouvelles versions des normes . Attention toutefois, car  cette méthodologie repose sur l’identification exhaustive des risques liés à un système qui est analysé très finement. Cela implique donc :

  • une charge de travail importante, pouvant conduire à un enlisement de la démarche de gestion de risques ;
  • une problématique autour de la consolidation des risques, car appliquée à l’ensemble des processus, la base de risques sera rapidement très volumineuse à gérer. Et ce d’autant plus que la norme ISO 9001 demande de se concentrer en premier lieu sur les risques majeurs de l’organisation.

 

Ainsi,  lors de la recherche des modes de défaillance principale, il conviendra de se fixer une limite du nombre de risques par processus.

La partie qualitative de l’AMDEC peut donc bien s’avérer compatible avec les nouvelles versions des normes.

L’ AMDEC comme réponse aux exigences normatives: partie quantitative

La partie quantitative de l’AMDEC consiste à estimer le risque associé à la défaillance potentielle à des fins de hiérarchisation et de priorisation des plans d’actions liés. Quel que soit le type d’AMDEC, la méthodologie définit une notation de l’indice de criticité (C) sur la base d’une combinaison de 3 variables :

 

C = G x O x D

  • G désigne la gravité de l’effet (les conséquences sur le client ou l’utilisateur) ;
  • O désigne la probabilité d’occurrence ( ou fréquence d’apparition de la défaillance) ;
  • où  D désigne la probabilité de non-détection ( ou risque que la défaillance ne soit pas détectée).

Chaque variable doit faire l’objet d’une échelle unique qui sera appliquée à l’ensemble des défaillances (triptyque Mode / Cause / Conséquence).

 

Cette notation, qui est centrale, répond-t-elle aux risques que  l’ISO 9001 v2015 préconise d’analyser ?

 

Si l’idée d’une échelle unique de cotation est indispensable pour hiérarchiser les risques, l’analyse des variables pose problème. En effet, dans l’AMDEC, la note de gravité doit intégrer, les conséquences sur le client final. Or, l’ISO 31000 désigne le risque comme « l’effet de l’incertitude sur les objectifs »: il est donc également nécessaire d’intégrer  les impacts du risque sur l’organisation (stratégie et objectifs liés) et non pas de se limiter aux impacts sur les clients . Pour répondre aux exigences des normes ISO v2015, la notion de mesure de la gravité dans l’AMDEC doit donc faire l’objet d’adaptations pour intégrer les dimensions de conséquences internes.

 

La probabilité de non détection (D)vb utilisée dans l’AMDEC est également sujette à des limitations. Cette variable est un pivot central  de l’AMDEC Produit, puisque l’objectif est d’être sûr qu’en cas de non-conformité d’un produit, elle soit détectée à temps pour que le produit ne soit pas mis sur le marché. Cependant, la probabilité de non détection  n’est pas adaptée à tous les risques et notamment aux risques stratégiques. Imaginons par exemple un risque stratégique de « défaillance du chiffre d’affaire lié à l’arrivée d’un nouveau concurrent sur le marché ». Scorer la probabilité de non-détection n’aura pas vraiment d’impact sur la note associée au risque. Plus grave, comme il est probable que l’apparition d’un nouveau concurrent soit détectée rapidement, la note du risque s’en trouvera minorée !

 

De même, la notion de non-détection sous-tend  la notion de « contrôle à mettre en place ». Or la maîtrise d’un risque ne se résume pas à sa détection en cas de survenance, et  intègre d’autres dimensions. Dans notre précédent exemple, la maîtrise du risque considéré passe par exemple par une cellule de veille concurrentielle, mais aussi par la mise en place de barrières à l’entrée sur le marché, la mise en place d’une politique tarifaire révisée, ou encore d’une politique de R&D adaptée.  Autant d’éléments désignés comme dispositifs de maîtrise dans l’ISO 31000 qui ne sont pas pris en compte dans l’AMDEC.

 

Ces limitations de l’AMDEC poussent un certain nombre de professionnels à se tourner vers l’AMDE (Analyse des Modes de Défaillance et de leurs Effets). Dérivée de l’AMDEC, cette méthode se limite à  sa partie qualitative et n’implique plus d’analyser la criticité des défaillances. Mais cette solution connaît à son tour des limites s’il est question de répondre à des exigences normatives, puisqu’elle ne permet pas de hiérarchiser les risques, et donc d’identifier « les enjeux externes et internes » pertinents, c’est-à-dire majeurs par rapport à ceux non majeurs.

 

Face aux nouvelles exigences des normes ISO v2015 quant à la gestion des risques, beaucoup de professionnels de la Qualité se sont spontanément tournés vers des outils dont ils disposaient d’un bon niveau de maîtrise, tels que l’AMDEC. Si ce réflexe est naturel, l’AMDEC connaît toutefois un certain nombre de limites dans la maîtrise des risques stratégiques, et d’autres méthodes sont certainement mieux adaptées. Par exemple, la norme ISO 31000 est une option intéressante, mais encore trop peu connue du monde de la Qualité, certainement car non certifiante.

 

La réponse est sûrement ailleurs et notamment dans l’ISO 31000 qui, n’étant pas une norme certifiante est encore peu connue du monde de la Qualité.

Téléchargez notre Livre Blanc sur la gestion des risques dans l’ISO 31000 v2018
Partager :