10 ans après sa première parution, la norme NF EN ISO 19011 évolue et s’intitule dorénavant : « Lignes directrices pour l’audit des systèmes de management ». De prime abord, là où la petite sœur ne « s’intéressait » qu’aux systèmes de management de la qualité et environnemental, celle-ci s’applique à l’ensemble des systèmes de management (santé et sécurité, risque, sécurité des denrée alimentaire, etc…).
Pour rappel, l’ISO 19011, parue en 2002, fait partie de la famille des normes qualité avec ses trois sœurs : l’ISO 9000, « le Larousse » de la qualité ; l’ISO 9001, définissant les exigences certifiables pour les systèmes de management de la qualité ; et l’ISO 9004 pour la gestion des performances durables de l’organisme.
Cette deuxième édition de la NF EN ISO 19011 annule et remplace la NF EN ISO 19011:2002 qui a fait l’objet d’une révision technique. Les principales différences entre les versions de 2002 et 2011 de la NF EN ISO 19011 sont les suivantes :
- le domaine d’application de la présente Norme internationale qui se limitait dans la version précédente à l’audit des systèmes de management de la qualité et de management environnemental, concerne cette fois l’audit de tous les systèmes de management quels qu’ils soient ;
- la relation entre la NF EN ISO 19011 et la NF EN ISO/CEI 17021 est clarifiée ;
- les méthodes d’audit à distance et le concept de risque sont introduits ;
- la confidentialité est ajoutée comme nouveau principe ;
- les Articles 5, 6 et 7 ont été réorganisés ;
- une nouvelle Annexe B contient les informations supplémentaires, ce qui a conduit à la suppression des textes encadrés ;
- le processus de détermination et d’évaluation des compétences est renforcé ;
- une nouvelle Annexe A présente des exemples illustratifs des connaissances et aptitudes spécifiques à la discipline.
Et dans le détail, qu’en est-il ? S’agit-il d’une simple évolution, un « toilettage » ou peut-on parler d’une révolution ?
1. Un domaine d’application élargi et clarifié
Cette nouvelle mouture, s’adresse à tous les utilisateurs s’intéressant à la réalisation des audits des systèmes de management, qu’ils soient internes (première partie), portant sur les fournisseurs (deuxième partie) ou pour les audits tierce partie (à titre de bonnes pratiques). On notera que pour la réalisation des audits tierce partie, c’est toujours la norme NF EN ISO/CEI 17021:2011 qui définit les « règles du jeu ». Les interactions entre ces deux référentiels s’éclaircissent donc, si tant est qu’un doute subsistait…
L’ISO 19001 ne spécifie par d’exigences (certifiables) mais fournit des lignes directrices sur le management d’un programme d’audit, la planification et la réalisation d’un audit du système de management, ainsi que sur la compétence et l’évaluation d’un auditeur et d’une équipe d’audit.
Ces 10 dernières années ont été marquées par l’émergence des systèmes de management intégrés, s’appuyant sur de nouvelles normes de management telles que l’ISO 26000, l’ISO 31000, l’ISO 22000, l’ISO 27001, l’ISO 13485, l’ISO 15189, etc… la liste est longue ! Il était donc devenu nécessaire, tant dans son appellation, que dans son domaine d’application de l’étendre à ces nouveaux systèmes de management.
En résumé, sur ce point, hormis le changement de nom, il n’y a pas de différence notable en terme de lignes directrices. [suite]
2. Introduction de la notion de risque
Ca y est… La notion de risque est enfin clairement introduite dans la famille des normes qualité !
L’approche adoptée se rapporte à la fois au risque que le processus d’audit n’atteint pas ses objectifs et à l’éventualité que l’audit influe sur les activités et les processus de l’audité.
On a droit, au passage, à une définition plutôt laconique du terme « risque », à savoir qu’il s’agit de l’effet de l’incertitude sur les objectifs.
Concrètement, cette notion de risque est intervient à trois reprises :
- lors de l’élaboration du programme des audits (§ 5.3.4), où il convient d’évaluer les risques qui pourraient compromettre l’atteinte des objectifs du programme ;
- lors de la préparation de l’audit (§ 6.3.2), où il convient d’identifier les risques liés à la réalisation des audits pour les entités auditées. Il s’agit ici dans risques liés à la santé, l’environnement, la qualité des produits ou services, …
- lors de la réalisation de l’audit lui-même (§ 6.4), où l’équipe d’audit doit présenter (en réunion d’ouverture) la conduite à tenir en cas de risque généré par l’audit pour les équipes auditées et communiquer aux audités si un risque immédiat et significatif est détecté lors des entretiens.
En résumé, il est conseillé de faire évoluer vos procédures d’audit pour y intégrer cette évaluation des risques et des actions entreprises pour limiter / réduire ces risques. La revue du programme d’audit (planning des audits) doit dorénavant intégrer l’évaluation des risques et de l’efficacité des mesures prises pour traiter ces derniers. Du côté des compétences, les auditeurs doivent à présent (si tel n’était pas le cas…) être capables de comprendre et d’évaluer les différents types de risques liés à l’audit.
Cette notion, à donc une importance particulière, qui ne bouleversera pas celles et ceux qui étaient déjà orientés « risque » mais qui devrait améliorer les pratiques d’audit pour les autres…
3. Introduction des méthodes d’audit à distance
Sur ce point, l’annexe B vient préciser quelques méthodes d’audit à distance, applicables si un niveau de confiance suffisant existe entre l’auditeur et le personnel de l’audité. En résumé, on n’y apprend rien de très surprenant mais cela reste un rappel utile… [suite]
4. Ajout du principe de confidentialité
Bien que la précédente version insistait sur les principes déontologiques de l’auditeur, la version 2012 accorde un traitement privilégié et nécessaire à cette notion de confidentialité. En effet, les audits sont des vecteurs de risque en ce qui concerne la maîtrise de la propriété intellectuelle des entreprises. Qu’à cela ne tienne, l’auditeur est donc en garde sur le respect de la confidentialité : un rappel utile !
Concrètement, la procédure d’audit (interne et/ou fournisseurs) doit prévoir les modalités visant à garantir la confidentialité et la sécurité des données obtenues avant, pendant et après l’audit et un rappel à ce sujet devra être évoqué lors de la réunion d’ouverture. Le plan d’audit pourra également inclure une déclaration de confidentialité afin de rassurer les audités…
5. Des exemples, encore des exemples !
Pour celles et ceux qui, comme moi, sont avides d’exemples concrets et pratiques, vous en aurez pour votre argent !
En effet, l’annexe A propose de nombreux exemples concrets en ce qui concerne les connaissances et aptitudes spécifiques à la discipline des auditeurs sur diverses thématiques :
- le management de sécurité des transports ;
- le management environnemental ;
- le management de la qualité ;
- le management des enregistrements ;
- le management des résilience, sûreté, état de préparation et continuité ;
- la sûreté des informations ;
- le management de la santé et de la sécurité au travail.
L’annexe B, quant à elle, vient fournir de précieuses informations complémentaires pour la planification et la réalisation des audits :
- Application des méthodes d’audit ;
- Choix des sources d’information ;
- Réalisation de la revue des documents ;
- Préparation des documents de travail ;
- Échantillonnage ;
- Visites du site de l’audité ;
- Conduite des entretiens ;
- Constatations d’audit.
Ces informations étaient, pour la plupart, présentes sous forme d’encadrés dans la précédente version. Cette nouvelle approche facilite grandement la lecture de la norme. Il s’agit d’un plus non négligeable !
En conclusion
Si certaines évolutions normatives peuvent laisser perplexe, comme l’ISO 9001:2008, l’ISO 19011:2012 est sans conteste une excellente surprise en ce début d’année. Pour répondre à la question posée en préambule, on ne peut pas vraiment parler de révolution mais d’une évolution nécessaire et donc bienvenue.
Pour 86 € HT, vous ferez un excellent investissement, qui, sur votre table de chevet, vous tiendra compagnie durant les longues soirées d’hiver !
___
Pour information, son homologue internationale, l’ISO 19011, est disponible depuis novembre 2011 mais vous devrait débourser 36 € de plus. Ne me demandez pas pourquoi, je n’ai pas la réponse…
Par Jérémy Cicéro, responsable et auteur du Qualiblog
Jérémy CICÉRO
Jérémy Cicéro est consultant, formateur, et auditeur ICA pour le Qualipole Languedoc-Roussillon. Il est aussi formateur pour le Laboratoire National de Métrologie et d’Essai (LNE).
Ancien commercial puis responsable qualité dans les poids et mesures, il accompagne depuis plusieurs années les TPE et PME de la région Languedoc-Roussillon (tous secteurs d’activités) pour la mise en place et l’amélioration de leurs systèmes de management.
Il intervient également comme expert qualité sur le site Manager-Go! en répondant aux questions des internautes soucieux de comprendre les mécanismes de la qualité.
Pour aller plus loin :
Découvrez les fiches pratiques Techniques de l’Ingénieur :
Réagissez à cet article
Vous avez déjà un compte ? Connectez-vous et retrouvez plus tard tous vos commentaires dans votre espace personnel.
Inscrivez-vous !
Vous n'avez pas encore de compte ?
CRÉER UN COMPTE