ISO 19011:2018 – Lignes

directrices pour auditer les

systèmes de management
Supplément technique :
Comparaison ISO 19011:2011 / ISO
19011:2018 : Changements significatifs

Presentation 1.8 Version 2018-12_Dec 2018– IRCA QMS ISO 9001:2015 Lead Auditor Course - © TÜV Rheinland Academy
 Définition de l’Audit
ISO 19011:2011 ISO 19011:2018
Processus systématique, Processus systématique,
indépendant et documenté pour indépendant et documenté pour
obtenir des preuves d’audit et les obtenir des preuves objectives et
évaluer objectivement pour les évaluer objectivement pour
déterminer dans quelle mesure les déterminer dans quelle mesure les
critères d’audit sont satisfaits critères d’audit sont satisfaits

Presentation 1.8 Version 2018-12_Dec 2018– IRCA QMS ISO 9001:2015 Lead Auditor Course - © TÜV Rheinland Academy
2
 L’audit
Tel que défini dans la norme
ISO 19011:2018

Preuve objective
-Donnée attestant de
l’existence ou de la
réalité de quelque-chose

Presentation 1.8 Version 2018-12_Dec 2018– IRCA QMS ISO 9001:2015 Lead Auditor Course - © TÜV Rheinland Academy
3
 L’audit

Tel que défini dans la norme

ISO 19011:2018

Preuve d’audit
Enregistrement, fait ou
autre information qui
est pertinente au
regard des critères
d’audit et qui est
vérifiable
Presentation 1.8 Version 2018-12_Dec 2018– IRCA QMS ISO 9001:2015 Lead Auditor Course - © TÜV Rheinland Academy
4
 Etablir des objectifs de programme d’audit
Exemples d’objectifs de programme d’audit:

- Identifier les opportunités pour l’amélioration du système de management et sa

performance ;
- Evaluer la capacité de l’audité à déterminer le contexte ;
- Evaluer la capacité de l’audité à identifier les risques et opportunités et à
mettre en œuvre des actions efficaces permettant de les traiter ;
- Se conformer à toutes les exigences applicables ;
- Obtenir et maintenir la confiance en la capacité d’un fournisseur externe ;
- Déterminer la pertinence continue, l’adéquation et l’efficacité du système de
management de l’audité ;
- Evaluer la compatibilité et l’alignement des objectifs du système de management
avec l’orientation stratégique de l’organisation.

5
Principes de l’audit de systèmes de management
Tel que décrit dans l’ISO 19011:2011, Tel que décrit dans l’ISO 19011:2018,
1. Intégrité 1. Intégrité
2. Présentation juste 2. Présentation juste
3. Professionnalisme 3. Professionnalisme
4. Confidentialité 4. Confidentialité
5. Indépendance 5. Indépendance
6. Approche fondée sur la preuve 6. Approche fondée sur la preuve
7. Approche fondée sur le
risque

6
Presentation 1.8 Version 2018-12_Dec 2018– IRCA QMS ISO 9001:2015 Lead Auditor Course - © TÜV Rheinland Academy
Principes de l’audit de systèmes de management

7. Approche fondée sur le

risque : une démarche d’audit
qui prend en compte les
risques et opportunités

- L’approche fondée sur le risque doit

influencer de façon substantielle le
programme d’audit, la conduite de
l’audit et le rapport, de façon à assurer
que les audits se concentrent sur des
points qui sont significatifs pour l’audit
du client et pour atteindre les objectifs
du programme d’audit.

Presentation 1.8 Version 2018-12_Dec 2018– IRCA QMS ISO 9001:2015 Lead Auditor Course - © TÜV Rheinland Academy
7
Approche basée sur le risque
Les risques d’audit peuvent aussi être vus en termes de risqué
sur les objectifs d’audit objectives et sur le
professionnalisme. Dans de tels cas, il est nécessaire de
s’assurer que l’audit :

 est professionnel
 est délivré
 est porteur de valeur ajoutée
 contribue au système de l’assurance
 renforce la réputation de l’auditeur
 inclut un plan d’audit

8
 Principales différences de l’ISO 19011
(2011 vs 2018)
 L’approche fondée sur le risque est ajoutée aux principes
d’audit ;
 Renforcement sur la gestion du programme d’audit en incluant
le risque du programme d’audit
 Renforcement sur la conduite de l’audit, en particulier, la
section sur la planification de l’audit
 Renforcement des exigences génériques de compétences
pour les auditeurs ;
 Ajustement de la terminologie pour refléter le processus et non
l’objet ;

Presentation 1.8 Version 2018-12_Dec 2018– IRCA QMS ISO 9001:2015 Lead Auditor Course - © TÜV Rheinland Academy
9
 Principales différences (en comparant à la
seconde édition)
 L’annexe contenant les exigences de compétences pour
auditer des systèmes de management de domaines
spécifiques a été retirée (en raison du large nombre de
référentiels de systèmes de management, il n’aurait pas été
envisageable d’intégrer toutes les exigences de compétences
pour toutes les disciplines) ;

 Extension de l’Annexe A pour proposer une orientation sur les

concepts (nouveaux) d’audit tels que le contexte de
l’organisation, le leadership, l’engagement, les audits virtuels,
la “compliance” et la “supply chain”.

Presentation 1.8 Version 2018-12_Dec 2018– IRCA QMS ISO 9001:2015 Lead Auditor Course - © TÜV Rheinland Academy
10
 Le programme d’audit

Organisation pour un ensemble d’un

ou de plusieurs audits planifiés sur
une période déterminée et dirigés vers
un but précis

11
 Flux organisationnel pour la gestion d’un
programme d’audit
Etablir les objectifs du programme d’audit

Plan
Etablir le programme d’audit

Compétence et
Mettre en oeuvre
évaluation des auditeurs
le programme Do
d’audit
Réaliser l’audit

Surveiller le programme d’audit Check

Revoir et améliorer le programme d’audit Act
ISO 19011:2011
12
 Flux organisationnel pour la gestion d’un
programme d’audit
Plan Do Check Act

Etablir les objectifs

du programme
d’audit

Revoir et améliorer le
Déterminer et programme d’audit
Évaluer les risques et
opportunités du programme
d’audit

Etablir le programme Mettre en oeuvre Surveiller le

d’audit le programme d’audit programme d’audit

ISO 19011:2018
13
 Flux organisationnel pour la gestion d’un
programme d’audit
Plan Do Check Act
Surveiller le
Mettre en oeuvre le
programme
Programme d‘audit
d’audit

Initier l’audit

Réaliser le suivi
de l’audit
Préparer les Conduire les
activités d’audit activités d’audit

Préparer et
remettre le rapport Finaliser l’audit
ISO 19011:2018 d’audit
14
 Gestion d’un programme d’audit

Determiner et évaluer les risques et

opportunités du programme d’audit

Ressources Sélection de
Planification Communication
l’équipe d’audit

Maîtrise des
Surveillance et Disponibilité et
Mise en oeuvre informations
Examen coopération
documentées

15
 Déterminer et évaluer les risques et
opportunités du programme d’audit
 Risques additionnels avec :
- Communication, par exemple, processus/circuits de
communication internes/externes inefficaces;
- Disponibilité et coopération de l’audité et disponibilité des
preuves à échantillonner

 Opportunités d’améliorer le programme d’audit :

- Audits multiples
- Minimisation du temps et de la distance
- Adapter les niveaux de compétences
- Aligner les dates d’audit

16
 Rôles et responsabilités des personnes gérant le
programme d’audit
 Recommandations pour les personnes gérant le programme d’audit :
- Déterminer l’étendue et déterminer les enjeux internes et externes ainsi que les
risques et opportunités ;
- Assurer la sélection des équipes d’audit et la compétence globale sur les
activités d’audit ;
- Etablir les processus pertinents pour :
• La coordination et la planification des audits;
• L’établissement des objectifs d’audit;
• L’évaluation des auditeurs;
• L’établissement des processus de
communication internes et externes, tels qu’approprié
• Le règlement des différends et la gestion des plaintes ;
• Le suivi d’audit si applicable ;
• Le « reporting » au client de l’audit et aux parties intéressées pertinentes, tel
qu’approprié.

17
 Rôles et responsabilités des personnes gérant le
programme d’audit
 Recommandations pour les personnes gérant le programme d’audit (suite) :

- Déterminer et assurer la fourniture de toutes les ressources nécessaires ;

- Assurer que des informations documentées pertinentes sont préparées et
maintenues ;
- Suivre, examiner, améliorer le programme
d’audit;
- Communiquer le programme d’audit au client
de l’audit et aux parties intéressées pertinentes

18
Facteurs impactant l’étendue du programme
d’audit

Référentiels de
Objectifs, Périmètre Critères d’audit
Systèmes de Activités
et Durée applicables
management

Résultats de
Résultats de
précédentes revues Langue, Culture & Enjeux des parties
précédents audits et
de programmes aspects sociaux intéressées
revues de direction
d’audit

Disponibilité de
Changements Risques et
‘l’information et des Survenue
significatifs du opportunités du
technologies de d’évènements
context de l’audité marché
communication

19
 Déterminer les ressources du programme
d’audit
 A prendre en considération :
- Les ressources financières et ressources en termes de temps
- Les méthodes d’audit
- La disponibilité des audités et des experts techniques
- L’étendue du programme d’audit
- Le temps de déplacement, les coûts
et l’hébergement
- Impact du décalage horaire
- Disponibilité des ressources informatiques
- La disponibilité de tout outil, équipement, toute technologie requise ;
- La disponibilité des informations documentées nécessaires ;
- Les exigences relatives à l’usine/au site.

20
 Etablir le contact avec l’audité
 Le Responsable d’audit doit assurer que le contact est établi
avec l’audité pour :
- Confirmer les circuits de communication ;
- Confirmer l’autorité pour conduire l’audit ;
- Fournir les informations pertinentes ;
- Demander l’accès aux informations pertinentes ;
- Déterminer les exigences légales applicables ;
- Confirmer les engagements auprès de l’audité ;
- Prévoir la logistique ;
- Déterminer les exigences spécifiques à certains sites ;
- Se mettre d’accord sur les points d’intérêt ;
- Résoudre les problèmes relatifs à la composition de l’équipe d’audit
avec l’audité

21
 Mettre en oeuvre le programme d’audit
Les personnes gérant le programme d’audit doivent :

- Communiquer le programme d’audit ;

- Définir les objectifs, le périmètre et les critères
pour chaque audit;
- Sélectionner les méthodes d’audit ;
- Coordonner et planifier l’audit;
- Assurer que les équipes d’audit ont les compétences nécessaires ;
- Fournir les ressources nécessaires ;

22
 Mettre en oeuvre le programme d’audit
Les personnes gérant le programme d’audit doivent :

- Assurer la conduite de l’audit en accord avec le programme d’audit et

assurer que les informations documentées pertinentes sont
correctement gérées et maintenues ;
- Définir et mettre en oeuvre les contrôles opérationnels
nécessaires pour le suivi du programme d’audit
- Revoir le programme d’audit pour identifier les “OFI”.

23
 Gérer les résultats du programme d’audit
Les personnes gérant le programme d’audit assurent que les
activités suivantes sont réalisées :
- Evaluation de l’atteinte des objectifs pour chacun audit au sein d’un
programme d’audit ;
- Revue et approbation des rapports d’audits ;
- Revue de l’efficacité des actions prises pour traiter les constats d’audits ;
- Remise du rapport d’audit ;
- Détermination de la nécessité d’un audit de suivi ;

Autres éléments à considérer dans la gestion des résultats:

- Communiquer les résultats d’audit et les meilleures pratiques à d’autres
secteurs de l’organisation ;
- Les implications pour les autres processus.

24
 Surveiller le programme d’audit

Les personnes gérant le programme d’audit doivent

assurer l’évaluation :
- Du rapport d’audit et de la communication
- De la compétence et la performance des auditeurs
- De la conformité avec le programme d’audit, les
plannings, les objectifs
- des retours obtenus
- De la quantité et l’adéquation des informations
documentées de l’ensemble du processus d’audit

25
 Préparer et remettre le rapport d’audit
Les points devant être inclus sont :
- Les objectifs de l’audit et le périmètre ;
- L’identification du client de l’audit, de l’équipe d’audit et des personnes
ayant participé à l’audit du côté de l’audité ;
- Dates et lieux où les activités d’audit ont été réalisées ;
- Les critères d’audit, les constats d’audits et les preuves associées ;
- La conclusion d’audit et un commentaire sur le niveau de satisfaction
des critères d’audit ;
- Toute divergence d’opinion non résolue entre l’équipe d’audit et l’audit ;
- Les audits sont par nature un exercice d’échantillonnage ; en tant que
tel il existe un risque pour qu’une preuve d’audit examinée ne soit pas
représentative.

26
 Revoir et améliorer le programme d’audit

Les personnes gérant le programme d’audit doivent

assurer :
- La revue de la mise en oeuvre globale du programme d’audit ;
- Identification des secteurs et “OFI”;
- Application des changements au programme d’audit ;
- Revue du développement professionnel des auditeurs ;
- Reporting des résultats du programme d’audit.

27
 Revoir et améliorer le programme d’audit

La revue du programme d’audit devrait considérer ce

qui suit :

- Résultats et tendances établis au regard du suivi du programme

d’audit ;
- Conformité avec les processus de programme d’audit et les
informations documentées pertinentes ;
- Les besoins et les attentes des parties
intéressées pertinentes ;
- Les enregistrements du programme d’audit ;

28
 Revoir et améliorer le programme d’audit

La revue du programme d’audit devrait considérer ce

qui suit (suite) :
- Les méthodes alternatives ou les nouvelles méthodes d’audit;
- Les méthodes alternatives ou les nouvelles méthodes pour évaluer
les auditeurs ;
- L’efficacité des actions pour traiter les risques et opportunités
- La confidentialité et les enjeux de sécurité de l’information

29
Suppléments de l’Annexe A - ISO 19011:2018

Approche processus pour auditer

Jugement professionnel
Résultats des performances

30
 Suppléments de l’Annexe A - ISO 19011:2018

Approche processus pour auditer

L’utilisation de l’approche processus est une exigence pour
tous les référentiels ISO de systèmes de management, en
accord avec les Directives ISO/IEC , Partie 1, Annexe SL.
Les auditeurs doivent comprendre qu’auditer un système de
management, c’est auditer les processus d’une organisation
et ses interactions avec un ou plusieurs référentiels de
systèmes de management.

31
 Suppléments de l’Annexe A - ISO 19011:2018

Jugement professionnel
Les auditeurs doivent appliquer un jugement professionnel
pendant le processus d’audit et éviter de se concentrer sur
les exigences spécifiques de chaque clause du référentiel au
détriment de l’atteinte des objectifs d’un système de
management.
Les auditeurs doivent utiliser leur jugement professionnel
pour déterminer si l’intention de la clause a été respectée.

32
 Suppléments de l’Annexe A - ISO 19011:2018

Résultats de performance
Les auditeurs doivent se concentrer sur les résultats
attendus d’un système de management au travers du
processus d’audit.
Alors que les processus et ce qu’ils permettent d’attendre est
important, les résultats du système de management sont ce
qui importe le plus.
L’absence de processus ou de documentation peut être un
risque important pour des organisations complexes mais
moins significatif dans d’autres organisations.

33
Renforcement de l’audit de la “compliance”
 La norme ISO 19011:2018 encadre l’audit de nouveaux
concepts tels que l’audit de la “compliance” au sein d’un
système de management.
 Selon l’annexe A.7, l’équipe d’audit devrait évaluer si
l’audité a des processus efficaces pour :
o identifier les exigences légales et réglementaires qu’il
s’engage à respecter ;
o gérer ses activités, produits pour se conformer à ces
exigences
o évaluer son niveau de conformité.

34
 Suppléments de l’Annexe A - ISO 19011:2018

 Le contexte d’audit
Une organisation peut utiliser différentes techniques pour des analyses et
planifications stratégiques. Les auditeurs doivent confirmer que des
processus adaptés ont été développés en ce sens et qu’ils sont utilisés de
façon efficace de façon à ce que les résultats fournissent une base fiable
pour déterminer le périmètre et le développement du système de
management. Les auditeurs doivent considérer des preuves objectives
relatives à ce qui suit :

a) Les processus et méthodes utilisées ;

b) L’adéquation et les compétences des personnes
c) Les résultats des processus ;
d) L’application des résultats pour déterminer le périmètre du système
de management ;
e) Des revues périodiques du contexte

35
 Renforcement sur l’audit du leadership et de
l’engagement
La norme ISO 19011:2018 a renforcé les exigences pour la
le leadership de la Direction Générale et l’engagement en
leur attribuant la responsabilité de l’efficacité du système de
management
En tant que tel, l’Annexe A.9 a listé quelques activités
auxquelles les auditeurs doivent veiller quand il s’agit
d’auditer le leadership et l’engagement à différents niveaux
du management.

36
 Suppléments de l’Annexe A - ISO 19011:2018

 Auditer les risques et opportunités

La détermination et la gestion des risques et opportunités d’une organisation
sont à inclure dans la mission d’audit
Un auditeur doit agir en accord avec les étapes suivantes et collecter les
preuves objectives comme suit :
a) Les données utilisées par l’organisation pour déterminer les risques
et opportunités;
b) Les méthodes avec lesquelles les risques et opportunités ont été
évalués, qui peuvent différer selon les disciplines et les secteurs.
- Le traitement des risques et opportunités par l’organisation, incluant la
définition du niveau de risque acceptable ainsi que les moyens de contrôle
des risques et opportunités feront l’objet de l’application du jugement
professionnel par l’auditeur.

37
 Suppléments de l’Annexe A - ISO 19011:2018

 Le cycle de vie
- Cette approche permet à l’organisation d’identifier ces
secteurs où, en considérant le périmètre, il est possible de
réduire l’impact sur l’environnement tout en ajoutant de la
valeur à l’organisation

 L’Audit de la supply chain

- L’audit de la supply chain selon des exigences spécifiques
peut être requis. Le périmètre d’un audit de la supply chain
peut varier, par exemple audit complet du système de
management, audit d’un processus unique, audit produit, audit
de configuration.

38
 Renforcement sur les audits virtuels
La nouvelle annexe A souligne l’importance des audits
virtuels et des activités d’audit virtuelles au sein du
processus d’audit global.
Les nouvelles parties ajoutées dans l’annexe A.15 c) et
A.16 mettent en évidence les activités d’audit virtuelles, les
technologies appropriées pour les audits virtuels, les
compétences des auditeurs, et les points à considérer dans
le contexte de l’audit virtuel.

39
Merci. www.tuv.com/ph

40