1 Le contexte de l’audit sur les risques
-
1.1 La naissance d’une démarche d’audit des risques
Les normes de certification NF EN ISO 9001:2015 et de recommandation NF EN ISO 9004:2018 ont renforcé les exigences concernant la maîtrise globale des risques via les processus des organismes certifiés. Il en a été de même pour les normes de la série 14000 concernant l’environnement puis 45000 concernant la santé et la sécurité au travail. De nos jours, de nombreux audits se déploient de façon intégrée (QSE : qualité, sécurité, environnement) afin de traiter en une seule fois le tronc commun que présentent les préoccupations de ces trois domaines intimement liés car complémentaires.
Par la nature même de ses activités, et depuis ses origines, le secteur spatial est très attaché à la maîtrise des risques. La démarche a essentiellement été initiée en matière de risques techniques puisque l’une des spécifications de management de projet dans les programmes spatiaux est dédiée à l’assurance produit. Ce terme recouvre à la fois l’assurance de la qualité et la sûreté de fonctionnement (SDF) qui intègre elle-même la fiabilité, la sécurité, la maintenabilité et la disponibilité. Après le succès d’une phase de démonstration de la faisabilité technique pour une Europe devenue autonome quant à son accès à l’Espace début 1980, l’ère de la commercialisation en concurrence internationale est apparue. Au-delà des risques techniques et programmatiques, il a fallu s’intéresser de très près aux risques financiers.
Dans le secteur de la filière Ariane, une nouvelle spécification de management a été créée en 1981 afin de manager les nouveaux développements dans la logique de la conception à coût objectif (CCO et CCGO, en anglais design to cost et design to life cycle cost). Le coût récurrent de production pour un lanceur non réutilisable ou de cycle de vie pour un satellite ne doit plus être considéré comme la seule conséquence des projets en fin de développement. En effet, lorsque le système est qualifié, il est trop tard pour agir significativement sur ces coûts. Le coût devient donc une performance à atteindre au même titre que les autres, car les gènes des coûts sont dans la conception. Il faut faire les bons choix d’architecture de systèmes et de produits au bon moment pendant la phase de développement. Des règles contractuelles ont été instaurées afin de maîtriser les risques de dérapage économique. Il s’agit bien désormais d’une maîtrise globale des risques.
Encore faut-il s’assurer que la démarche contractuellement spécifiée entre les donneurs d’ordre (maîtrise d’ouvrage [MOA] et maîtrise d’œuvre [MOE]) et les contractants, quel que soit leur niveau dans l’organisation industrielle, est bien comprise et bien appliquée avec une évaluation de l’efficacité, voire de l’efficience, sur l’ensemble des résultats attendus. L’idée initiale a donc été d’orienter une grande proportion des audits seconde partie (donneurs d’ordres sur fournisseurs) pour analyser la maîtrise des risques à leur source.
Enfin, pour étendre ou renforcer le périmètre d’action de la maîtrise globale des risques, les audits internes, audits seconde partie et audits tierce partie sont apparus comme des moyens puissants permettant de cartographier tous les risques, qu’ils soient techniques, économiques ou programmatiques.