Académique Documents
Professionnel Documents
Culture Documents
Guide de L'audit: Systèmes de Management QSE À L'attention Des Auditeurs
Guide de L'audit: Systèmes de Management QSE À L'attention Des Auditeurs
l’audit
Systèmes de
Management QSE
à l’attention
des Auditeurs
AFNOR Certification - Siège : 11, rue Francis de Pressensé - 93571 La Plaine Saint-Denis Cedex – France
T. +33 (0)1 41 62 80 00 - F. +33 (0)1 49 17 90 00
SAS au capital de 18 187 000 € - 479 076 002 RCS Bobigny
GUIDE DE L’AUDIT - AUDITEURS
SOMMAIRE
SOMMAIRE ____________________________________________________________________________________________2
AVANT PROPOS ______________________________________________________________________________________3
INTRODUCTION ______________________________________________________________________________________4
1. TERMES, DEFINITIONS ET COMMENTAIRES _________________________________________6
1.1 TERMES RELATIFS AUX CONSTATS D’AUDIT ____________________________________________________________6
1.2 TERMES RELATIFS AUX AUDITS DE SYSTEMES DE MANAGEMENT _______________________________________7
1.3 ABREVIATIONS ________________________________________________________________________________________8
AVANT PROPOS
Le Groupe AFNOR remercie les contributeurs à Ce guide ne contient plus d’informations sur
l’amélioration du rapport et de ce Guide de l’Audit l’utilisation des systèmes d’information. Le
QSE à l’attention des Auditeurs. Cette nouvelle fonctionnement en dehors de la France s’appuie sur
version du guide prend en compte les évolutions des outils informatiques (bases de données et
majeures suivantes. moyens de communication). De ce fait, des guides
informatiques spécifiques sont prévus. Contactez la
Mise en place au sein du Groupe AFNOR d’un cellule certification régionale de votre OC pour
nouveau Rapport d’Audit QSE qui sera utilisé à terme connaître le guide SI nécessaire et applicable. Ils
par tous les organismes de certification de Systèmes seront mis en ligne dans les espaces WEB dédiés
de Management du Groupe AFNOR. Le rapport aux auditeurs.
contient une synthèse globale de l’audit et en annexe
tous les éléments techniques relatifs aux constats, Deux versions du présent guide sont publiées en
écarts et preuves d’audit. De ce fait, la lisibilité tout parallèle : Le guide QSE Clients qui s’adresse aux
public du rapport est facilitée, tout en rendant les clients, mais que tout auditeur doit connaître et sur
éléments techniques de l’audit accessibles dans les lequel il doit s’appuyer pour expliquer la démarche de
annexes. certification à nos clients ; et le présent guide qui
Ce nouveau rapport ne modifie pas le fonctionnement s‘adresse uniquement aux auditeurs et donne des
interne des Organismes. compléments d’informations au guide client. Le guide
auditeurs n’est pas diffusable hors du groupe.
L’ancienne terminologie de Remarque, de Non-
Conformité et d’audit de suivi a été abandonnée. Elle Les rapports et guides décrits ci après ont été
a été alignée sur la pratique internationale de Non- modifiés et revus en conséquence.
conformité mineure , de Non-conformité majeure et
d’audits de surveillance. Il conviendra de bien La version 2008 de l’ISO 9001 a été prise en
expliquer cette évolution à nos clients habitués à compte. Cette nouvelle version n’apporte pas de
l’ancienne terminologie, principalement en France. nouvelle exigence, mais des précisions dans le texte
et assure une meilleure compatibilité avec l’ISO
Les guides et trames nécessaires à la rédaction des 14001 : 2004. Il n’y a pas d’impact sur les
rapports sont édités de manière synchrone en déroulements d’audits. Vos Ordres de Mission
français et en anglais. Les trames du rapport pourront précisent la version applicable en audit.
ultérieurement être traduites dans d’autres langues.
Les trames sont éditées initialement pour l’OC
« AFNOR Certification », mais seront adaptées aux Les règles spécifiquement applicables au sein
autres Organismes de Certification du groupe tout en d’AFNOR Certification sont mises en évidence à
maintenant la même charte graphique. l’aide de ce fond de page spécifique.
INTRODUCTION
Cette Norme internationale a été Le Chapitre 2 présente les Chapitres et paragraphes du Guide à
adoptée par le Groupe AFNOR l’attention des organismes Clients que tout Auditeur missionné par l’OC
pour l’audit des deux Systèmes doit connaître.
de Management précités, mais
aussi pour l’audit des Systèmes Le Chapitre 3 donne les règles d’application, les recommandations et les
de Management de la Santé et précisions nécessaires à tout Auditeur missionné par l’OC pour qu’il
de la Sécurité au Travail. comprenne et applique les conseils donnés dans l’Article 6 de l’ISO
19011:2002 (« Activités d’audit »).
Pour tout audit de Système de Ce Chapitre a été construit en rassemblant l’expérience acquise par le
Management Qualité (ISO Groupe AFNOR et ses Auditeurs, dans le domaine de l’audit de
9001:2000 / 2008), Santé et certification.
Sécurité au Travail (OHSAS Afin de faciliter le lien entre l’ISO 19011:2002 et ce Chapitre :
18001:2007, ILO-OSH 2001) ou Les libellés des paragraphes de l’Article 6 de l’ISO 19011:2002 ont
Environnemental (ISO été repris.
14001:2004), qu’il soit combiné Pour chacune des règles d’application, il est fait référence au
ou mono Système, des règles et paragraphe correspondant de l’ISO 19011:2002.
des compléments sont fournis
dans : Le Chapitre 4 est à prendre comme une check-list des exigences à
auditer sur site.
Le «Guide de l’Audit des Cette check-list est à utiliser pour tout type d’audit de certification, qu’il soit
Systèmes de Management QSE combiné ou mono Système et plus particulièrement lors des audits de
à l’attention des organismes surveillance.
Clients», pour ce qui concerne le
processus de certification vu par Le Chapitre 5 s’appuie à la fois sur les besoins et attentes des
l’organisme Client, mais à organismes Clients, des Auditeurs, de l’OC afin de présenter la logique et
appliquer également par les la composition du rapport d’audit QSE.
auditeurs. L’évaluation de la
maturité du Système QSE y est Le Chapitre 6 précise les objectifs de chaque fichier du rapport d’audit
décrite. triennal QSE et en complète les règles d’utilisation qui sont données dans
son Annexe.
Le présent Guide, pour tout
ce qui concerne des informations Comme pour tout Guide élaboré par le Groupe AFNOR, les Guides de
complémentaires sur les l’audit, qu’ils soient à l’attention des organismes Clients ou des Auditeurs,
activités d’audit de certification à ne sont pas des référentiels d’audit : aucun constat d’audit et, en
appliquer plus spécifiquement particulier, aucune Non-conformité majeure et aucune Non-conformité
par les auditeurs. mineure ne peut s’y référer.
Les principes de l’audit qui Afin de faciliter la compréhension de ce Guide :
permettent à l’Auditeur de Chaque spécificité SMQ, SMS, SME ou bien TPE fait l’objet d’un
comprendre les fondements de encadré.
l’audit (cf. Article 4 de l’ISO Lorsqu’une règle d’application est développée dans une Règle
19011:2002) ne sont pas Pratique, la référence de cette Règle Pratique est indiquée (Les
recopiés dans ce Guide. Règles Pratiques sont accessibles aux Auditeurs et disponibles en
français ainsi qu’en anglais, contactez l’OC pour en connaître le
chemin d’accès).
En complément des définitions données dans l’Article 3 de l’ISO 19011:2002, les définitions et les abréviations ci-dessous
s’appliquent.
Les commentaires donnés sont soit des règles d’application, soit des précisions. Il est indispensable de comprendre et
d’utiliser ces commentaires.
Ecart reconduit Non-Conformité majeure ou Non-Conformité mineure émise lors de l’audit précédent, non
levée et reformulée en une nouvelle Non-Conformité Majeure ou Non-Conformité mineure.
Commentaire :
Un écart reconduit implique :
la clôture de la fiche d’écart établie lors de l’audit précédent.
l’établissement d’une nouvelle fiche d’écart.
Le classement du nouvel écart (Non-Conformité Majeure ou Non-Conformité mineure) est
indépendant du classement de l’écart précédent (c’est à dire de l’écart qui a été reconduit).
Point Sensible Elément du Système de Management sur lequel des preuves d’audit montrent que
l’organisme, actuellement conforme, risque de ne plus atteindre les exigences du
référentiel à court ou moyen terme.
Commentaire :
le risque, en cas de dégradation, est à expliquer à l’Audité.
un Point Sensible étant un constat particulier de conformité par rapport au référentiel
d’audit :
o son libellé ne doit pas prêter à confusion.
o l’Instance de Décision ne peut pas le re-qualifier en Non-Conformité Majeure
ou Non-Conformité mineure.
un point sensible doit être réévalué à l’audit suivant.
Point Fort Elément du Système de Management sur lequel l’organisme soit dépasse les exigences du
référentiel d’audit, soit se distingue par une pratique, méthode ou technique performante.
Commentaire :
Un Point Fort est donc :
soit un élément qui dépasse les exigences du référentiel d’audit.
soit un élément qui ne dépasse pas les exigences du référentiel d’audit, mais sur lequel
l’organisme Client a démontré une bonne pratique et une efficacité remarquable
La formulation d’un Point Fort doit être étayée.
Audit combiné Audit où plusieurs Systèmes de Management (SMQ, SMS, SME) sont audités ensemble.
Commentaire :
L’audit combiné n’est réalisable qu’avec des Systèmes de Management présentant un minimum
d’intégration.
Audit complet Audit où toutes les exigences du référentiel d’audit sont auditées.
Audit d’Etape 1 L’audit d’Etape 1 est une préparation approfondie réalisée généralement sur site par le
RA. Cela vous est précisé dans vos Ordres de Mission. L’audit d’Etape 1 est obligatoire dans le
cadre d’une certification initiale. Il est également obligatoire dans le cas d’entreprise ayant connu
des changements importants (fusion, extension…). Cet audit est documenté par le RA dans le
rapport spécifique composé de deux documents : le « rapport d’audit d’Etape 1 » avec en
annexe la « revue préparatoire et projet de plan d’audit ». (Stage 1 Audit)
Audit d’Etape 2 ou Audit : Quelle que soit la terminologie utilisée, cet audit est l’audit système réalisé par l’équipe
d’audit complète selon le plan d’audit établi et validé avec le client.
Audits de Surveillance Les activités de surveillance selon l’ISO 17021, sont définies pour vous au travers de vos
Ordres de Mission. Les audits de surveillance, appelés précédemment « audits de suivi »
au sein d’AFNOR Certification sont une des composantes des activités de surveillance.
(Surveillance audit or Follow up audit)
Audit mono-Système Audit où un seul Système de Management (SMQ, SMS, SME) est audité.
Audit partiel Audit où seulement une partie des exigences du référentiel d’audit est auditée.
Champ de l’audit Etendue et limites d’un audit (cf. ISO 19011:2002).(« Audit scope »)
Commentaire :
AFNOR Certification utilise deux termes pour désigner l’étendue et les limites d’un audit :
Le « périmètre » pour les lieux et unités organisationnelles (liste et adresse des sites).
Le « champ » pour les processus et les activités. (Libellé de la certification)
Voir les modalités dans les autres OC.
Contrat Cadre Contrat signé par le DGECE définissant les modalités de prestation de service pour le
Groupe AFNOR. Il est d’application pour les auditeurs France et certains auditeurs hors France.
Code de Conduite Ce document définissant les règles de confidentialité applicables est signé par tous les
auditeurs du Groupe AFNOR. Sa gestion est suivie par le DGECE.
Cycle d’audit Ensemble d’audits du Système de Management d’un organisme, réalisé par le même
Responsable d’Audit en général sur un contrat de 3 ans.
Commentaire :
Un cycle d’audit est en effet calé sur le cycle suivi par le même Responsable d’Audit qui, sauf
exceptions, est de trois ans (un audit initial ou de renouvellement pour la première année, un
audit de surveillance 1 pour la deuxième année et un audit de surveillance 2 pour la troisième
année). (ceci correspond au Programme d’audit selon ISO 17021)
Guide SI Guide ou document assimilé, à l’attention des auditeurs, spécifique par région et mis à
disposition par votre OC. Il décrit les solutions et règles liées aux applications
informatiques en place régionalement que les auditeurs doivent connaître. Veuillez
contacter votre OC ou ChA si vous ne l’avez pas.
Instance de Décision Groupe d’évaluation et de décision (Experts qualifiés par l’OC) et personnel du Groupe
AFNOR qualifié pour la prise de décision relative à la certification.
Ordre de Mission Document émis par l’OC à l’auditeur lui définissant les objectifs de l‘audit, le contenu et
éventuellement les spécificités (par exemple traitement de plaintes enregistrées par l’OC, etc…)
de l’audit qu’il doit réaliser pour le compte de l’OC.
Très Petite Entreprise Organisme toujours mono site n’appartenant pas à un groupe et d’un effectif total
inférieur à 20 personnes.
Commentaire :
Afin de prendre en compte les besoins spécifiques des « Très Petites Entreprises », le Groupe
AFNOR a mis en place une approche d’audit permettant de répondre à ces besoins spécifiques.
Ces spécificités sont précisées dans les encadrés « Approche TPE ».
Les autres informations fournies dans ce Guide sont applicables, sauf mention contraire dans les
encadrés.
1.3 ABREVIATIONS
Notre traduction en anglais vous est ponctuellement fournie en italique afin de faciliter et d’homogénéiser la terminologie à
utiliser au sein du groupe dans le cadre de missions d’audits à l’international.
CERTI I 0419.2 – 12/2008 8/53
© Toute reproduction intégrale ou partielle, faite en dehors d’une autorisation expresse d’AFNOR Certification ou de ses ayants cause, est illicite
GUIDE DE L’AUDIT - AUDITEURS
ChA Chargé d’Affaires : Interface client au sein de l’OC. (« Files Handler » or FiH en anglais)
CAAT « Computer Assisted Auditing Techniques », c’est à dire techniques d’audit assistées par
Ordinateur. L’ISO 17021 :2006 et le document IAF MD 4 :2008 autorisent l’emploi de solutions
techniques telles que la conférence téléphonique, la visioconférence, l’accès à distance via WEB
à des processus / documents du système de management et leur emploi dans des audits de
système de management sous réserve que leur utilisation ne dépasse pas 30% du temps d’audit
sur site. Un site distant audité avec ces techniques peut être validé par le RA comme faisant
partie de l’échantillonnage. C’est au RA de vérifier et de déclarer que les moyens d’investigation
retenus sont adéquats.
FNC Fiche de Non Conformité = formulaire utilisé afin de documenter les deux types de Non
Conformités ci-dessous. («NCR» ou «Non Conformity Report»)
NC-min Non-Conformité mineure documentée sur une Fiche de Non Conformité (FNC)
(anciennement appelée Remarque au sein d’AFNOR Certification). (« minor Non Conformity
Report » ou min NCR en anglais)
SI Système d’Information de l’OC, c’est à dire les moyens informatiques mis à disposition et
à utiliser afin de réaliser une mission d’audit conforme pour l’OC.
SM Système de Management Qualité (ISO 9001:2000 / 2008) et/ou Santé et Sécurité (OHSAS
18001:2007, ILO-OSH 2001) et/ou Environnemental (ISO 14001:2004) (« Management System »
ou « MS » en anglais)
SMQ Système de Management Qualité (ISO 9001:2000 / 2008) (« QMS », Quality Management
System)
ORGANISMES CLIENTS
Le Guide à l’attention des organismes Clients fournit à l’Auditeur des compléments qui lui seront utiles, voire
indispensables et qui ne sont pas repris dans le présent guide.
L’auditeur doit s’en servir comme d’un outil de communication. Les auditeurs doivent en conserver un exemplaire
ou savoir accéder au fichier afin de pouvoir le rendre accessible au client en cas de besoin.
le chapitre 2 précise l’organisation et les caractéristiques des différents types d’audit, des vérifications
documentaires et des suivis documentaires.
le chapitre 5 détaille la prestation complémentaire qui est proposée aux organismes Clients, à savoir une
évaluation de la maturité de leur Système de Management.
Tout Auditeur réalisant cette prestation doit exploiter ce chapitre afin que l’organisme s’auto évalue avant l’audit.
3.0 GENERALITES
(Complément applicatif du paragraphe 6.1 de l’ISO 19011 : 2002)
La pratique actuelle de contrat liant un OC à un client pour des certifications de systèmes de management précise :
qu’un cycle habituel d’audit est composé de 3 audits répartis sur 3 ans,
une équipe d’audit est constituée et missionnée généralement pour la durée du cycle dans le cas du Responsable
d’Audit.
Ce cycle d’audit est également appelé programme d’audit dans l’ISO 17021.
Chaque ordre de mission, établi lors d’un déclenchement d’audit définit exactement, pour l’équipe d’audit choisie, l’objet et le
contenu de sa mission .
Vous trouverez ci-dessous une représentation du cycle périodique de gestion des audits. Chacune des étapes est détaillée et
expliquée dans les sous chapitres ci après.
§3.1 INITIALISATION
D’UN CYCLE
§ 3.2 DECLENCHEMENT
D’AUDIT DE 3 ANS
DE L’AUDIT
§ 3.3 REALISATION
DE LA REVUE DES
DOCUMENTS ET/OU
§3.8 SUIVI D’AUDIT § 3.9 FIN DU AUDIT D’ETAPE 1
CYCLE
Le logigramme ci-dessous montre les principaux échanges avec les auditeurs en terme de documents et données techniques
pour la réalisation d’un audit :
Le responsable d’audit est en interface avec le chargé d’affaires, le client et son équipe d’audit.
Les auditeurs, une fois missionnés par le chargé d’affaires, travaillent sous la direction du responsable d’audit qui
pilote l’audit et les interfaces client.
Les auditeurs n’ont pas de contact direct avec l’instance de décision ni avec les services commerciaux de l’OC.
Auditeurs Client
Responsable
d’audit
Objectif:
Règles d’application
Cette phase est de la responsabilité du responsable commercial ou du chargé d’affaires en charge de la gestion du client.
Après signature du contrat, le commercial ou le chargé d’affaires assure le déclenchement d’audit (voir également phase 3.2).
Nos auditeurs peuvent être consultés, mais ne sont pas actifs dans cette étape.
Les auditeurs sont des contributeurs essentiels à l’efficacité commerciale de l’OC par leur connaissance du marché, mais
aussi par leur contact et leur niveau de relation avec nos clients. Ils se doivent de faire remonter les informations sur les
besoins et les attentes des clients dont ils ont connaissance via :
Toutes ces informations sont exploitées par l’OC en respectant le code de déontologie et en assurant un retour d’information
au RA.
Objectifs:
arrêter une date d’audit avec le client et constituer une équipe d’audit adaptée,
s’assurer que l’équipe d’audit choisie a compris et a accepté sa mission et qu’elle est en situation de réaliser l’audit.
Processus:
Client :
- confirme son accord sur l’équipe et les dates d’audit.
- a la possibilité de récuser les auditeurs. (écrit avec
justification)
ChA:
- le cas échéant, adapte les dates et /ou l’équipe
d’audit.
ChA->RA/A : RA : Statut
Ordres de mission, libellé - contacte le client et définit avec lui les dates
de certification , liste et Equipe d’audit confirmée dans
Prise en charge de la mission par le RA
d’audit précises,
adresses des sites du - communique au ChA ces dates ( cas où le ChA a sa mission et prête pour
périmètre de certification, défini une période d’audit et non des dates précises). démarrer l’audit.
copie du/des dernier(s)
rapport(s), copie de RA :
l’ancien certificat,
- charge sur son PC les données de la mission,
programme
les trames et outils nécessaires ainsi que les
d’échantillonnage
demandé, Réclamations documentations mises à disposition par le ChA
éventuelles,… ou le client.
- contacte les membres de son équipe d’audit et
SI -> RA/A : s’assure qu’ils ont reçu les informations et
Guides d’audit, Trames documentations du SM.
du rapport & extraits de la
base client, Outils
d’audit.
Une équipe d’audit ne peut pas être constituée de plusieurs prestataires de services appartenant à un même organisme
externe.
Pour des raisons pratiques, le RA ne peut pas être associé au choix des membres de l’équipe, mais il a la possibilité de
récuser le ou les équipiers ainsi que les éventuels observateurs proposés; dans ce cas, il envoie au ChA sa demande,
dûment justifiée, de récusation du /des équipiers, du/des observateurs.
- à signaler toute relation avec un concurrent direct de l’organisme Client qui pourrait faire douter de leur
indépendance,
- à ne pas tirer profit de leur mission pour établir dans les deux années qui suivent des liens commerciaux avec
l’Audité.
Des éventuelles règles spécifiques relatives aux frais de mission sont définies dans l’ordre de mission qui vous
Approche est transmis.
TPE
Pour ces entreprises, les audits d’Etape 1 et 2 sont également réalisés lors d’un audit initial, mais à l’occasion
d’une même visite. Les conditions générales définissent les conditions particulières dans le cadre d’un audit
TPE.
L’AUDIT D’ETAPE 1
§ 3.2 DECLENCHEMENT
D’AUDIT DE 3 ANS
DE L’AUDIT
§ 3.3 REALISATION
DE LA REVUE DES
DOCUMENTS ET/OU
(Complément applicatif du paragraphe 6.3 de l’ISO 19011 : 2002) §3.8 SUIVI D’AUDIT § 3.9 FIN DU
CYCLE
AUDIT D’ETAPE 1
Pilote : le RA
Objectifs:
Analyser et comprendre le système de management du client au regard des produits / prestations offerts sur base des
documents rendus accessibles par le client.
S‘assurer et vérifier que ces documents répondent aux exigences des référentiels d’audit applicables et au champ à
certifier.
Processus:
le RA :
du ChA : - analyse les documents en main et contacte le > Client/A/ChA :
client afin d’avoir les compléments qu’il juge
l’OdM précise au RA pour utiles et nécessaires pour cette revue. Revue des documents
la réalisation de la revue transmise et contact
des documents si elle se les A :
Revue des Documents
téléphonique immédiat si
fait : - remontent leurs commentaires et propositions
résultat négatif.
éventuelles au RA.
- dans le cadre d’un Audit le RA :
d’Etape 1 sur Site - documente le résultat de l’analyse dans le fichier
« revue des documents ».
- dans le cadre d’un Audit
- poursuit son travail par la préparation des
d’Etape 1 hors site
activités sur site cf. §3.4
- ou si c’est une revue - dans le cadre d’un audit d’Etape 1 il complète
des documents dans le également le rapport d’audit d’Etape 1 sur ce
cadre d’un audit sans thème. Si le résultat est négatif, il complète la
audit d’Etape 1. revue et la transmet au client. Il prend contact
avec le client par téléphone afin de convenir de la
suite à donner.
Règles d’application
La revue des documents ne donne jamais lieu à l’établissement de fiches d’écart.
De façon générale, lorsque le RA doute de la faisabilité de la mission d’audit dans les temps impartis ou s’il constate une
incohérence entre le libellé du certificat, le périmètre de certification et les documents fournis, il informe le ChA dans les
meilleurs délais afin de convenir de la suite à donner.
Audits de renouvellement : La revue des documents doit comprendre une revue des performances du SM sur la période de
certification précédente et inclure la revue des rapports d’audits de surveillance précédents (en général les deux audits de
surveillance précédents) (cf. §9.4.1.2 ISO 17021 : 2006)
S’assurer que les pré requis sont remplis et démontrés au RA par le client avant l’audit d’Etape 2.
En cas de problèmes importants identifiés, le RA doit les documenter, s’assurer que le client les a compris et sera en
situation de les résoudre d’ici l’audit d’Etape 2.
Processus:
Le RA réalise cet audit sur preuves c’est à dire sur base de documents et d’interviews de personnes.
le RA :
Cas d’audit d’Etape 1 sur site
Client -> RA : le RA :
Cas d’audit d’Etape 1
Règles d’application :
Avec la mise en œuvre de l’ISO 17021 : 2006, il n’y a plus de différence fondamentale dans l’approche d’audit d’un SMQ, d’un
SME ou d’un SMS en terme de préparation dans le cadre de certification initiale
Cet audit se déroule quelques semaines avant l’audit d’Etape 2 selon le programme décrit au Guide Client de la façon
suivante :
Soit chez le client (cas général) : dans ce cas, le RA découvre le SM ou les modifications apportées au SM lors de
sa visite. Une visite du site sera possible si jugée pertinente. Les documents dont il a besoin lui seront fournis par le
client lors de sa visite. Le RA doit s’assurer en parallèle de leur transmission au reste de l’équipe d’audit.
Alternativement, la revue et la préparation peuvent être réalisées immédiatement avant l’audit d’Etape 2 sur site. Ceci
est particulièrement le cas pour les audits qui engendreraient des coûts et des temps de déplacement « prohibitifs ».
Ceci aura été décidé en amont entre l’organisme Client et le ChA et précisé dans l’ordre de mission. Ces dispositions
doivent restées exceptionnelles.
L’Etape 1 réalisée sur place permet en complément de mieux appréhender l’environnement du client, de voir ses
produits / services, de prendre connaissance du site et de faciliter la mise au point d’un projet de plan d’audit
pertinent. Le choix du site adéquat dans le cadre d’entreprises multi sites pour l’Etape 1 est fait par le ChA en
concertation avec le RA et le Client.
Coté client, l’audit sur site crée une situation plus sereine et rassurante.
Soit à distance (cas particulier) : Dans ce cas, le RA doit obtenir suffisamment en avance les documents et
informations nécessaires du client afin de réaliser son audit d’Etape 1 et de transmettre son rapport dans les délais
(au moins 14 jours calendaires avant l’audit d’étape 2). Des contacts et interviews téléphoniques complémentaires
sont nécessaires.
Les éléments relatifs aux éventuelles réclamations faites auprès de l’OC à l’encontre de l’organisme Client, le cas
échéant.
Site Internet
S’il existe, ne pas oublier de consulter le site Internet de l’organisme Client. Vous y trouverez certainement des informations
utiles pour mieux comprendre l’organisme, ses Clients et ses produits.
Par ailleurs, dans le cas où l’organisme Client utilise sur son site la marque de l’OC, vous pourrez vérifier si son usage vous
paraît « clair et sincère » et si le règlement de la marque y est respecté.
Passage de relais
Si cela est nécessaire pour assurer l’homogénéité et la cohérence globales de nos interventions, le RA peut contacter le RA du
cycle d’audit précédent. Ses coordonnées sont sur la page de garde du rapport précédent.
Cas des Revues et préparations sur site (§ 6.3 et § 6.4 : ISO 19011 : 2002)
La revue et la préparation des activités d’audit qui étaient réalisées sur site, deux à cinq semaines avant la date d’audit initial
se font maintenant dans le cadre des audits d’Etape 1 programmés avec le client par le ChA tel que défini au §3.2.
L’expérience montre qu’un délai de 3 semaines est à privilégier avant l’audit d’Etape 2.
Dans le cadre des audits de renouvellement avec un nouveau RA, la réalisation d’une préparation sur site n’est plus
imposée par l’ISO 17021 : 2006. Elle reste à convenir avec le client par le Chargé d’affaires ou le commercial. Cette
préparation sur site peut être refusée par certains clients. Le RA doit en être informé dans le cadre de l’acceptation
de sa mission.
Approche TPE
Pour les audits initialisant un nouveau cycle d’audits, la revue et la préparation comportent une visite rapide du site permettant
de prendre connaissance des activités de l’organisme Client.
Anticipation de la revue et de la préparation sur site (§ 6.3 et § 6.4 : ISO 19011 : 2002)
Si le RA souhaite anticiper la revue et la préparation sur site, il peut, avant l’audit sur site, demander à l’Audité sa
documentation et le compte rendu de sa dernière revue de direction.
Cette activité fait suite à l’activité « Réalisation de la revue des documents » (cf. Paragraphe 3.3).
Le lieu de réalisation de la préparation des activités d’audit est précisé dans le paragraphe précédent.
Objectif:
Mettre au point un plan d’audit en accord avec les autres membres de l’équipe d’audit et le client.
Processus:
le RA :
Elaboration du projet de plan
d’audit par le RA en relation
ChA -> RA : retient pour cet audit en respectant le programme > Client/ChA/A :
d’échantillonnage qui lui a été fourni le cas échéant.
OdM, résultats du - répartit les taches et les temps d’audit par auditeur Projet de plan d’audit
§3.3 ci-dessus afin d’évaluer les référentiels d’audit concernés, transmis pour
- élabore le projet de plan d’audit commentaire et afin
- transmet la revue préparatoire et projet de plan qu’ils le complètent.
d’audit.
Cas de l’audit d’Etape 1 : Le projet de plan d’audit est
joint au rapport d’audit d’Etape 1.
Autres Audits sans Etape 1 : La revue documentaire et
le projet de plan d’audit sont transmis seuls.
Diffusion du plan d’audit complété et
le RA :
validé par le client avant l’audit :
Règles d’application
Le plan d’audit doit permettre d’évaluer auprès de fonctions appropriées et clairement définies sur les sites retenus pour l’audit
(échantillonnages) :
toutes les exigences du/des référentiel(s) d’audit,
les écarts et PS du précédent audit (ou des précédents audits s’il en subsiste de plus anciens),
ainsi que les éventuelles réclamations applicables au système de management.
Un plan d’audit n’est pas une liste d’exigences qui seront auditées les unes après les autres sans autre précisions.
Les principes et choix d’échantillonnage sur lesquels se base tout audit sont ainsi arrêtés et les aspects logistiques importants
clarifiés (transport, communication, accompagnateurs, fonctions utiles à rencontrer etc…).
Le plan d’un audit initial couvre la totalité des éléments du SM applicables au champ et au périmètre de la certification
contractuellement définis.
Les conditions minimales pour qu’un audit de certification puisse être engagé sont précisées dans les Règles Pratiques Q-
0051 et E-0063.
Planification d’éléments à auditer systématiquement hors audit initial (§ 6.4.1 selon ISO 19011 : 2002 )
Le RA doit systématiquement inclure dans son plan d’audit les éléments suivants :
Evolutions de l’organisme Client, du champ de l’audit et du SM, s’il y a lieu.
Efficacité des actions mises en œuvre par l’organisme Client, si des écarts ont été émis lors de l’audit précédent.
« Points spécifiques à auditer » (cf. Revue préparatoire).
Usage et respect de la marque de l’OC.(cf. également au §8.4 de l’ISO 17021 : 2002)
Traitement des réclamations faites auprès de l’OC, s’il y a lieu.
Voir chapitre 4 pour plus de précisions.
Pour tout nouveau cycle d’audit et principalement dans le cadre des audits d’Etape 2, si la revue préparatoire et le
plan d’audit n’ont pas été réalisés sur le site, prévoir dans le plan une visite rapide du site afin que l’équipe d’audit
prenne connaissance des activités de l’organisme Client. La visite éventuelle doit être prévue au plan d’audit.
Planification des activités d’audit interne et de revue de direction (§ 6.4.1 selon ISO 19011 : 2002)
Les activités d’audit interne et de revue de direction sont en général auditées en fin d’audit afin de:
ne pas être influencé, lors de l’audit, par les résultats des audits internes,
pouvoir réaliser un bouclage final à partir des constats fait lors de l’audit.
Ces thèmes sont toujours audités au moins par le RA qui peut prévoir à son plan d’audit la présence des auditeurs dans le cas
d’une équipe d’audit.
Le RA communique le résultat de la « revue préparatoire et projet de plan d’audit » , au moins 14 jours calendaires avant le
début de l’audit sur site :
au ChA pour approbation (vérification des dates, des sites et de la durée globale d’audit),
au correspondant de l’organisme Client,
à chaque membre de l’équipe d’audit et, s’il y a lieu,
à l’observateur lorsque celui-ci a été accepté.
Le RA précise dans le paragraphe «programme d’échantillonnage retenu et repris au plan d’audit» l’échantillonnage qu’il
applique dans cet audit. Le RA précise et argumente éventuellement s’il y a des différences entre l’échantillonnage demandé
dans son ordre de mission et celui qu’il applique dans son plan d’audit :
Par exemple choix d’un site différent, échantillonnage plus important en nombre que celui prévu, …
Dans ces cas, il lui est demandé d’obtenir l’accord du ChA au plutôt.
En l’absence de commentaire de la part du ChA dans les 7 jours calendaires, le plan d’audit prévisionnel devient applicable.
Cette répartition est à préciser dans le plan d’audit (cf. Colonne « Equipe d’audit »).
Il peut être fait usage de techniques d’audit via des moyens électroniques dites « CAAT » telles que visioconférence,
téléconférences, WEB meetings, audits en utilisant d’autres solutions WEB sous réserve que leur temps global ne dépasse
pas 30% de la durée totale d’audit sur site et que leur emploi soit planifié et cité au plan d’audit.
Choix de la présentation des résultats dans les rapports d’audit (§ 6.4.3 selon ISO 19011 : 2002)
La présentation des résultats de tout audit de certification peut se faire sous différentes formes:
suivant les processus du SM (pour les SMQ principalement) de l’Audité.
suivant les principes du management QSE.
suivant l’organisation de l’Audité (Départements et, si nécessaire, Services).
Le type de présentation est à choisir lors de la préparation de l’audit qui initialise un cycle d’audit (généralement un cycle
d’audit commence lorsqu’un nouveau RA est missionné pour réaliser l’audit).
Le choix est fait par l’organisme Client et le RA (Nous préconisons une présentation suivant les processus).
Afin de garder la traçabilité des résultats des audits du cycle, le type de présentation ne sera pas changé en cours de cycle.
Document de travail :
Il est recommandé que les auditeurs aient un accès facile au Guide de l’audit des Systèmes de Management QSE à
l’attention des Auditeurs ainsi qu’à celui à l’attention des organismes Clients, mais aussi au règlement sur l’usage de
la marque de l’OC.
Les documents de travail nécessaires à imprimer pour la réalisation de l’audit d’Etape 1 sur site :
La trame d’audit d’Etape 1
La trame de revue préparatoire et projet de plan d’audit.
Les documents de travail nécessaires pour l’audit ou audit d’Etape 2 sur site comprennent au minimum :
La fiche vierge « Réunion de clôture ».
Des fiches d’écarts vierges.
L’onglet « Processus / Organisation » dûment renseigné.
Le plan d’audit validé avec le client
Audits de SMQ
Logique du plan d’audit en 3 phases
Pour un audit sur site d’une durée égale ou supérieure à 2 jours, il convient de consacrer :
0,5 jour pour la réunion d’ouverture et le management (évolutions, flux allant de l’écoute Client aux objectifs
qualité, planification, responsabilités, SMQ).
0,5 jour en fin d’audit (avant la préparation de la réunion de clôture) pour l’amélioration continue et le bouclage
final avec la revue de direction.
Le reste du temps pour l’audit des processus de réalisation et de support.
La même logique est suivie pour un audit sur site d’une durée égale ou inférieure à 1,5 jour :
2 heures environ pour la réunion d’ouverture et le management.
2 heures environ en fin d’audit pour l’amélioration continue et le bouclage final avec la revue de direction.
Le reste pour l’audit des processus.
Approche TPE
Planification des réunions quotidiennes de synthèse et de clôture (§ 6.4.1 selon ISO 19011 : 2002)
La réunion quotidienne de synthèse et la réunion de clôture doivent être planifiées suffisamment tôt pour que le RA ait le
temps de finaliser le rapport d’audit QSE avant son départ du site et que l’organisme Client ait également le temps de
répondre aux écarts, s’il y a lieu.
En fin d’un audit d’Etape 1, il convient de planifier un point avec le client si des problèmes importants sont détectés tout en
sachant que l’audit d’Etape 2 sera réalisé dans la foulée sauf cas exceptionnel.
CERTI I 0419.2 – 12/2008 21/53
© Toute reproduction intégrale ou partielle, faite en dehors d’une autorisation expresse d’AFNOR Certification ou de ses ayants cause, est illicite
GUIDE DE L’AUDIT - AUDITEURS
3.5.1 Audit d’Etape 1 : Activité de préparation réalisée généralement sur site, lieu défini au préalable avec le client et
communiquée au RA dans le cadre de son Ordre de Mission.
Voir ce qui est indiqué précédemment au § 3.3
Objectif:
Réaliser l’audit selon le planning prévu et arriver lors de la clôture d’audit à apporter une conclusion partagée par le
RA avec son équipe et le client basée sur des constats factuels au regard des exigences du/des référentiel(s).
Processus:
le RA :
Client -> RA : - ajuste, rediffuse puis suit le plan d’audit, > Client /A :
besoins de - pilote les réunions et son équipe, plan d’audit si modifié
modification du Plan - convient avec son équipe des modalités de
d’audit , Imprévus de collecte et d’enregistrement des constats en cours
en cours d’audit
les RA+A :
Préparation réunion de
Réunion de concertation entre le RA et les Auditeurs (§ 6.5.2 selon ISO 19011 : 2002)
Lorsque l’équipe est composée de plusieurs Auditeurs, une réunion de concertation est organisée sur le site de l’Audité avant
la réunion d’ouverture.
Cette réunion a trois objectifs :
1. Unir les membres de l’équipe qui, en général, ne se sont pas encore vus: « un pour tous et tous pour un ! »
2. Confirmer le rôle de chacun.
3. Le RA doit préciser la méthode à suivre par les Auditeurs pour remettre au RA leurs constats d’audit et leurs
commentaires d’audit.
Cette réunion ne se substitue pas à la revue préparatoire qui est faite préalablement par chaque membre de l’équipe d’audit
(cf. Paragraphe 3.3 de ce Guide).
Sa durée ne devrait pas dépasser 15 minutes.
Non influence et non-ingérence d’un guide ou d’un observateur (§ 6.5.3 selon ISO 19011 : 2002)
Un guide, une personne qui accompagne un Auditeur et qui appartient (ou non ) à l’effectif de l’Audité, ne doit exercer aucune
influence ou ingérence dans la façon dont est réalisée l’audit
Un observateur ne doit exercer aucune influence ou ingérence dans la façon dont est réalisée l’audit et ne doit jamais
intervenir oralement tout au long de l’audit.
Si un guide ou un observateur ne respecte pas cette règle, le RA doit prendre les dispositions nécessaires pour que l’audit
puisse se poursuivre :
Si l’Observateur a été proposé par l’OC : Le RA en réfère au ChA dès que possible.
Point Sensible émis lors de l’audit précédent (§ 6.5.5 selon ISO 19011 : 2002)
Tout Point Sensible émis à l’audit précédent (audit n-1), est réévalué lors de l’audit n. Le résultat de cette vérification est
simplement rappelé dans les constats pour les audits de renouvellement, mais enregistré dans le fichier Excel relatif aux
« constats d’audit de l’année n-1 » dans le cadre des audits de surveillance.
Si le PS n’a plus lieu d’être, le RA lui donnera le statut de « fermé » sur le fichier constats de l’audit n-1. Ce PS n’apparaîtra de
ce fait pas sur les constats de l’année en cours.
Ce constat peut aussi subsister, il convient alors de lui donner le statut « reconduit » sur les constats de l’année n-1. Le RA ou
A doit alors le reformuler sur les constats de l’audit en cours. Le RA peut alors le classifier soit à nouveau comme PS ou
alternativement comme NC. Dans ce dernier cas, une fiche de NC majeure ou mineure est ouverte en complément du constat
dans le fichier Excel « constats d’audit »,
Ecart identifié lors d’un audit partiel (§ 6.5.5 selon ISO 19011 : 2002)
Si lors d’un audit partiel, l’équipe d’audit identifie un écart hors du cadre fixé dans le plan d’audit, il établit tout de même une
fiche d’écart quel que soit le type d’audit. Un des objectifs d’un audit est de constater que le SM est conforme au référentiel
d’audit et non uniquement conforme pour la partie prévue au plan d’audit.
Ecart levé en cours d’audit (§ 6.5.5 et § 6.5.7 selon ISO 19011 : 2002)
Lorsqu'un écart a été identifié au cours de l'audit, il ne peut être considéré comme levé que si des preuves tangibles ont été
apportées par l'organisme. Le RA devra alors vérifier :
- que le traitement complet de l'écart (aspect curatif) a été effectué,
- que le plan d'actions correctives est pertinent au vu de l'analyse des causes profondes effectuée par l'organisme (dont
systémiques)
- que l'efficacité de l'ensemble des actions correctives mises en œuvre est bien démontrée.
Si ces conditions sont effectivement remplies en totalité, alors l'écart peut être levé en réunion de clôture, une fiche d'écart est
néanmoins établie, intégrée au rapport, comptabilisée dans le total des fiches de NC et comptée sur la fiche « Réunion de
clôture ».
Conclusions d’audit :
o Non-Conformités majeures, Non-Conformités mineures, PS, et PF. (Notes et Pistes de progrès peuvent être
citées, mais il convient d’aller à l’essentiel dans une réunion de clôture et de ne pas vouloir passer en revue
tous les constats d’audit.
o Libellés modifiés si nécessaire.
o Validation des libellés des Non-Conformités Majeures et des Non-Conformités mineures (qui deviendront alors
définitifs).
Les conclusions d’audit sont présentées de sorte que l’Audité les comprenne et les accepte (choisir une présentation
adaptée à l’organisme Client intégrant, s’il y a lieu, le résultat de l’évaluation de la maturité du SM).
S’il y a lieu, toute opinion divergente entre l’Audité et l’équipe d’audit, est enregistrée par l’Audité d’une part et par le
RA d’autre part, sur la fiche « Réunion de clôture ».
A la fin de la réunion de clôture, le RA remet une copie de toutes les fiches d’écarts (de l’audit n-1 et de l’audit n s’il y a lieu) et
une copie du document « Réunion de clôture » rempli.
Le document « Réunion de clôture » doit être faxé au Chargé d’affaires si possible avant de quitter l’entreprise ou au plus tard
sous 48 heures.
Le RA doit envoyer l’original papier de la « Réunion de clôture » avec sa facture et les justificatifs de dépenses au Chargé
d’affaires dans les délais convenus par l’OC.
AUDITS DE SMQ
Logique de l’Auditeur
La logique de l’Auditeur se résume en quatre points :
1. Se mettre en permanence dans la situation du Client de l’Audité afin de mieux apprécier la conformité au référentiel
d’audit.
2. Aborder le SMQ par l’observation des pratiques de l’Audité plutôt que par les procédures : l’audit est un audit
« terrain ».
3. Apprécier le risque de non-satisfaction Client plutôt que le simple constat documentaire.
4. Raisonner « efficacité » plutôt que « stricte conformité à un texte normatif ou au référentiel d’audit» : l’audit est axé
sur les résultats.
L’audit d’un SMQ favorise le résultat et donc l’application et la pratique.
Lorsqu’un écart est identifié, l’Auditeur pense toujours :
Risque, pour la satisfaction du Client de l’Audité.
Ecart à valeur ajoutée, pour l’Audité.
Objectif:
Produire un rapport conforme à l’objectif défini dans l’OdM qui est le reflet exact et argumenté de la mission.
Processus:
Données d’entrée Actions Données de sortie
le RA :
Auditeurs -> RA : - rédige le rapport d’audit en tenant compte des éléments > Client/ChA :
transmis par son équipe d’audit,
commentaires, - saisit les fiches d’écart remplies manuellement en fin Rapport provisoire
constats à intégrer d’audit, avec fiches d’écart
au rapport d’audit. - actualise le plan d’audit afin qu’il soit le reflet de l’audit transmis
réalisé, Courrier de demande
- transmet aux auditeurs le rapport provisoire pour le de traitement des NC
compléter éventuellement.
- le RA finalise le rapport
a) s’il y a des écarts :
Audit avec écarts
commentaires,
RA> Client/A :
constats qu’ils
Mail d’info que le rapport a
souhaitent voir
été transmis à l’OC pour
intégrés au rapport décision.
d’audit
Le rapport n’ est transmis
au client que sur sa
demande expresse à cette
phase.
Le rapport d’audit QSE est destiné à différents types de lecteurs (l’organisme Client, les Auditeurs, les Instances de Décision,
l’OC, les accréditeurs de votre OC et parfois les Clients des organismes Clients) et à ce titre :
Rédigez un rapport complet, précis, concis et clair (cf. paragraphe 6.6.1 selon ISO 19011 : 2002) et conforme aux
règles fixées par l’OC et ce guide.
Soyez crédibles: Non aux PS libellés comme des Non-Conformités mineures et Non aux PF qui n’en sont pas !
Apportez de la valeur ajoutée avec la description du risque dans chaque écart et de part des Pistes de Progrès
identifiées à valeur ajoutée.
Soyez cohérent avec la proposition définitive qui est donnée à l’Instance de Décision.
Evitez les «scoops» par rapport aux conclusions présentées en réunion de clôture. Cela est inacceptable pour le
client, mais en cas d’oubli constaté après coup (nous ne sommes pas parfaits), notez cet aspect sur le commentaire
pour l’OC dans points à signaler pour le prochain audit, ainsi vous y repenserez l’année suivante.
Utilisez des éléments quantitatifs dans vos constats, par exemple: 3 appareils de mesure sur les 5 examinés . . ., les 4
dossiers fournisseurs examinés . . ..
Proscrivez les sigles, les abréviations et les termes «maison» non explicites, mais vous pouvez utiliser ceux de vos
clients à bon escient.
Evitez tout terme imprécis comme ; un peu, beaucoup, parfois, souvent, rarement, ponctuellement,
occasionnellement, pas clairement, pas explicitement, . . . (il y en a encore « beaucoup » d’autres !).
Evitez également tout terme du type conseil comme: définir, ajouter, . . . (en d’autres termes, en évitant l’infinitif).
*) Méthode à suivre pour répondre aux écarts émis et apprécier la pertinence de la réponse (§ 6.6.2 selon ISO 19011 :
2002)
Il est demandé à l’organisme Client de répondre conformément aux règles qu’il s’est fixées :
« Traitement de l’écart » revient à corriger l’écart (aspect curatif) en agissant sur ses effets.
« Analyse des causes de l’écart / Action corrective » revient à agir sur les causes probables et systémiques de l’écart
afin d’éviter son renouvellement.
« date cible » et responsable de l’action corrective
A réception des réponses de l’organisme Client, le RA apprécie pour chaque écart la pertinence de la réponse et de la date
cible.
Si la proposition n’est pas pertinente du point de vue du RA, ce dernier contacte l’organisme Client afin de parvenir à une
réponse pertinente. Il commente ensuite, sur la fiche, la proposition finale de l’organisme Client (dans le cas particulier où la
lacune concerne l’analyse des causes, le RA commente la proposition de l’organisme Client par une formule du type:
«Analyse des causes à regarder lors du prochain audit»).
APPROCHE TPE
Diffusion du rapport (§ 6.6.2 selon ISO 19011 : 2002)
Le rapport d’audit QSE final (c’est à dire avec les réponses de l’Audité aux écarts, s’il y a lieu) est remis à l’organisme Client
avant que le RA ne quitte le site.
Ce rapport est adressé au ChA le lendemain de l’audit sur site avec, si possible, la facture et les justificatifs des frais de
mission.
Dans le cas où des Non-Conformités majeures auraient été émises, le RA propose à l’organisme Client de répondre à ces NC
dans un délai de 7 jours calendaires, afin que celui-ci puisse étayer ses réponses par des preuves de mise en œuvre d’actions
correctives (et permettre ainsi au RA, le cas échéant, de lever les NC émises).
En cas d’accord de l’organisme Client, le RA lui remet alors, sur demande du client et avant de quitter le site, un rapport
provisoire.
Il informe le ChA du délai accordé.
A réception de la réponse de l’organisme Client (sous 7 jours calendaires), il complète le rapport et l’adresse au ChA (avec, si
possible, la facture et les justificatifs des frais de mission) ainsi qu’à l’organisme Client.
Le Guide des bonnes relations administratives (DGE/J/0556) avec nos auditeurs est d’application au sein d’AFNOR
Certification. Des directives existent également au sein des autres OC. La réception des rapports finalisés conditionne le
règlement des factures et frais de déplacement des auditeurs.
Des délais courts et des facturations rapides et conformes sont des critères qualitatifs pour nos clients !
Objectifs:
Processus:
est obtenue par le ChA l’issue de la mission d’audit ou au plus tard à la a reçu le rapport.
afin de la traiter. fin du cycle d’audit.
ChA -> Client /RA : - actualisent leur calendrier prévisionnel des > RA/A :
transmission de la copie pour info de la décision
audits.
décision et du calendrier de l’OC
prévisionnel des audits
Règle d’application
Les documents ou informations nécessaires à la revue préparatoire et à la préparation des activités d’audit, réunis au cours de
l’audit et communiqués pour la levée des écarts sont à détruire en respectant la confidentialité. Les données du rapport d’audit
sont soumises aux mêmes règles de confidentialité.
Objectif:
Les actions nécessaires identifiées par le RA au cours de l’audit ci-dessus sont prises en compte par le Chargé
d’Affaires qui identifie les responsabilités pour leur bon suivi interne par l’OC ou de leur programmation pour le
prochain audit.
Processus:
le ChA :
Cas d’un suivi documentaire
>RA :
- réalise le suivi documentaire d’actions
demandée par l’instance de décision. Ordre de mission pour un
suivi documentaire =
- conserve les conclusions de ce suivi dans le relance d’un cycle selon le §
dossier client et le SI. Les conclusions seront 3.2 même s’il n’y a pas
données au RA dans le cadre de l’OdM qui
d’audit sur site.
sera établi pour l’audit suivant.
Règle d’application
- Soit proposer une équipe d’audit différente afin d’apporter un oeil neuf d’auditeur au client. Sur les dossiers
nécessitant une équipe de plusieurs auditeurs il peut être judicieux de conserver un membre de l’ancienne équipe
d’audit afin d’assurer le suivi et historique du dossier pour la nouvelle équipe.
- Soit proposer de réaffecter la mission à la même équipe sur demande du client sous réserve d’acceptation de
cette nouvelle mission par les auditeurs concernés.
Le RA peut expliquer également ses recommandations et arguments sur ce thème dans ses « commentaires pour l’organisme
certificateur ».
(Complément applicatif du paragraphe 6.8 de l’ISO 19011 : 2002) §3.8 SUIVI D’AUDIT § 3.9 FIN DU
DE LA REVUE DES
DOCUMENTS ET/OU
AUDIT D’ETAPE 1
CYCLE
Objectif:
Le contrat de trois années arrivant à échéance, l’OC planifie et met en œuvre les actions adaptées afin de proposer
au client la poursuite du partenariat. Un nouveau devis est établi . Afin de le gagner et de conserver la confiance du
client, les auditeurs peuvent être associés aux échanges avec le client.
Processus:
audit,
transmise. Confidentialité respectée.
- détruisent de manière appropriée les
informations et documents collectés dans le
respect des règles de confidentialité en fin du
cycle ou du contrat .
d’information des
besoins client via même auditeur, l’ensemble
principalement la fiche des informations nécessaires
leur seront alors à nouveau
« commentaires pour
transmis.
l’OC suite au dernier
audit» ou le mail
infopartenaires@afnor.org
Pour un audit complet, l’ensemble des exigences du référentiel d’audit est à auditer.
Pour un audit de surveillance, les exigences à auditer sont précisées dans les tableaux qui suivent :
Les exigences codifiées « OBL » pour obligatoire, doivent être systématiquement auditées au cours de chaque audit
de surveillance. Il faut donc les planifier sur le plan d’audit.
Les exigences codifiées « SEL » pour Sélectionnées dans le cadre d’un échantillonnage sont à auditer :
o sur les processus sélectionnés pour l’audit à venir (échantillonnage du système par processus),
o systématiquement si des modifications ou évolutions ont été apportées au système,
o si nécessaire, en fonction de l’importance de ces exigences pour la satisfaction client ou de leur impact sur
les résultats de l’organisme,
o si cette exigence présentait des écarts ou points sensibles au dernier audit.
le premier tableau donne les exigences à auditer pour l’ISO 9001 : 2008, l’ISO 14001 : 2004 et l’OHSAS 18001 : 2007
le second donne les correspondances entre l’ILO-OSH 2001 et l’OHSAS 18001 :2007 ainsi que les exigences à
auditer
Rappelons que pour un audit de surveillance la majorité des exigences du référentiel d’audit est à auditer pendant l’audit d’un
échantillonnage de processus de réalisation et, de façon générale, pendant l’audit des d’activités de réalisation.
Pour des audits de surveillance semestriels (Contrat particulier avec l’organisme Client), les exigences à auditer sont précisées
par le ChA.
Les principes et programmes d’échantillonnage doivent vous permettre de porter un jugement sur l’efficacité globale et le
périmètre global à certifier ou déjà certifié. Un auditeur ne peut jamais tout auditer.
De ce fait le principe de l’échantillonnage qui est à la base de tout audit, doit être représentatif et pertinent afin que le RA
puisse en tirer des conclusions .
o des lignes produits, de production si elles se basent sur des principes similaires
o sur des activités sur des sites temporaires / chantiers (par exemple pour entreprise de nettoyage travaillant avec 10
équipes en clientèle, l’audit site peut porter sur 3 des 10 équipes).
o etc.…
Pour les entreprises multi-sites un programme d’échantillonnage vous est communiqué dans le cadre de vos ordres de
missions dans la phase de « déclenchement de l’audit ».
Tableau des exigences à auditer dans le cadre d’un audit de surveillance mono référentiel ou pour un audit de
surveillance combiné SMQ, SME et/ou SMS. Les correspondances entre référentiels sont visualisés dans ce
tableau.
ISO 9001: 2000 / 2008 ISO 14001: 2004 et/ou OHSAS 18001: 2007
5.3 Politique qualité OBL 4.2 Politique environnementale / Politique SST OBL
Note : Le libellé complet de l’exigence 4.3.1 de OHSAS 18001 : 2007 est : « Identification des dangers, évaluation des risques
et moyens de maîtrise ».
D’AUDIT QSE
Le rapport d’audit est avec le certificat l’un des produits fournis au client.
Afin de répondre aux besoins et attentes des organismes Clients, des Auditeurs et des Organismes Certificateurs du groupe
AFNOR, le rapport d’audit a été revu en totalité au cours de l’année 2008 afin d’aboutir à un rapport commun pour tous les
organismes de certification du groupe.
une composition de rapport identique et unique, pour les audits combinés ou mono-Systèmes.
un rapport plus accessible pour les personnes qui souhaite une restitution d’audit synthétique, facile à
comprendre et sans entrer dans des considérations techniques liées aux référentiels. Le corps du rapport répond
à cette demande, résumant pour le Management, mais également pour tout collaborateur la synthèse des forces,
et des faiblesses et rappelant l’objet de l’audit.
des annexes de rapport dans lesquelles, les spécialistes de l’audit et le représentant de la direction, trouveront
les constats détaillés et autres précisions sur l’audit, au regard des référentiels applicables. La démonstration de
la conformité attendue et des détails de constats y est documentée.
une focalisation sur la conformité par rapport au référentiel d’audit (c.f. Non-Conformité Majeure, Non-Conformité
mineure et Point Sensible), mais aussi sur l’amélioration continue (cf. Piste de Progrès et Point Fort).
une intégration possible de prestations complémentaires telles que dans le cadre d’audits dans le secteur
aéronautique, de l’automobile qui seront alors documentés dans des annexes spécifiques supplémentaires au
rapport précité (développement à venir).
Le rapport initialisant un cycle d’audit se focalise sur la conformité par rapport au référentiel et sur l’amélioration
continue.
Il n’est plus demandé de fournir de check-list par référentiel, néanmoins en cas de besoin, celles-ci peuvent être
jointes au rapport dans les annexes.
Valeur ajoutée
Le rapport d’audit doit être utile à l’organisme Client. Ce rapport doit donc être :
o Complet, précis, concis et clair.
o Dynamique dans le temps.
Evaluation et décision
CERTI I 0419.2 – 12/2008 35/53
© Toute reproduction intégrale ou partielle, faite en dehors d’une autorisation expresse d’AFNOR Certification ou de ses ayants cause, est illicite
GUIDE DE L’AUDIT - AUDITEURS
L’Instance de Décision de l’OC décide de la certification, de son maintien, de son renouvellement ou de son
retrait.
Le rapport doit apporter les éléments nécessaires et suffisants pour que l’Instance de Décision prenne les
décisions adéquates ; il doit donc être complet, précis, concis, clair et conforme aux règles fixées par l’OC.
Accréditation
Les accréditeurs de l’OC nous auditent afin de déterminer dans quelle mesure nous satisfaisons aux exigences
reconnues internationalement (ISO/CEI 17021:2006, ISO 19011:2002 et directives IAF) et, en conséquence de
décider du maintien de nos accréditations. Tout rapport d’audit doit donc être conforme aux règles fixées par
l’OC, de ce fait conforme aux spécifications données dans ce guide.
Un audit initial est décomposé en deux phases qui sont documentées dans deux rapports distincts : Le rapport d’audit d’Etape
1 puis celui de l’audit d’Etape 2.
Les autres audits tel que les audits de Surveillance se caractérisent par un seul rapport d’audit correspondant à l’audit d’Etape
2 ci-dessus.
5.3.2 Composition d’un rapport d’audit (d’Etape 2 si précédé d’un audit d’Etape 1)
Le corps du rapport
Fichier Word unique composé de plusieurs pages et restituant de façon synthétique et résumée les
conclusions d’audit. Il est composé des feuilles principales suivantes:
o Page de garde
o Sommaire du rapport d’audit
o La Présentation de l’organisme, de l’audit et des évolutions – contexte – champ et périmètre
o Conclusions générales - Proposition
o Management – Synthèse - Forces
o Management – Synthèse – Faiblesses
o Eléments techniques de l’audit
o Annexes du rapport d’audit
D’autres annexes peuvent se rajouter selon les référentiels applicables à l’audit. Les annexes sont toutes à lister,
particulièrement dans le cadre d’audits de l’Aéronautique et de l’automobile. (développement à venir)
Selon l’OC et son système de management opérationnel, les auditeurs peuvent être missionnés et recevoir les fichiers
nécessaires à la rédaction du rapport par différents moyens. Néanmoins l’équipe recevra toujours les éléments suivants :
Un ordre de mission, « OdM » en abrégé dans ce guide donnant les conditions de réalisation de la mission : les
objectifs de l’audit, le champ couvert par la certification ainsi que les critères d’audit applicables. L’OdM doit contenir
le programme d’échantillonnage dans le cadre d’entreprises multi-sites.
Le moyen d’accès aux fichiers nécessaires à la réalisation de leur mission d’audit et des rapports (moyens
informatiques tels que via Livelink, la Messagerie, Lotus Notes, RAP6 etc qui sont décrits dans un guide SI spécifique
à chaque OC ou région). Ces fichiers seront soit vierges, soit pré remplis avec les données techniques de votre OdM.
Les fichiers pré remplis sont une aide, néanmoins ces données seront toujours à vérifier et à valider par le RA. En cas
d’erreurs constatées dans un champ pré-renseigné, le RA les corrige et informe le ChA pour qu’à son tour, il corrige
l’information dans sa base de données.
Des informations complémentaires peuvent leur être fournies si cela s’avère nécessaire
Les audits suivent un cycle sur trois années, mais chaque audit se déroule selon le schéma ci-dessous qui a déjà été explicité
auparavant.
§3.1 INITIALISATION
D’UN CYCLE
§ 3.2 DECLENCHEMENT
D’AUDIT DE 3 ANS
DE L’AUDIT
§ 3.3 REALISATION
DE LA REVUE DES
DOCUMENTS ET/OU
§3.8 SUIVI D’AUDIT § 3.9 FIN DU AUDIT D’ETAPE 1
CYCLE
Nous vous rappelons que le paiement des frais d’audit à l’auditeur au sein d’AFNOR Certification est conditionné au respect
des conditions de la mission et notamment à la réception du rapport d’audit final. (cf. Guide des bonnes relations
administratives DGE/J/0556 Ordre de Mission + Contrat Cadre) (NA dans les autres OC du groupe AFNOR)
L’utilisation du fichier destiné à la rédaction du rapport d’audit d’Etape 1 est décrit au § 3.3.2.
Objectif du fichier
Ce fichier s’adresse à tout manager et collaborateur de l’entreprise et donne un aperçu global de l’audit réalisé.
Dans le chapitre « Proposition du responsable d’audit » de la partie « Conclusions générales – Proposition », le RA formule les
conclusions générales de l’audit ainsi que la proposition faite par le RA à l’Instance de Décision.
Dans la partie « Management - Synthèse », une synthèse de l’audit est présentée en deux parties, la synthèse des forces
d’une part et la synthèse des faiblesses d’autre part.
Le corps du rapport ne vise pas à répéter les constats d’audit (cf. annexe sous forme d’un fichier Excel spécifique), ni les
écarts (également annexés), mais de donner un résumé concis de ce qu’il convient de retenir de cet audit et qui se veut facile
à lire pour toute personne non spécialiste des référentiels audités.
La notion de tri annualité est uniquement maintenue dans le fichier Excel des constats et dans la synthèse de situations
environnementales / santé sécurité au travail.
Afin d’optimiser le temps de rédaction, d’éviter des redites et des redondances, il est recommandé de suivre la chronologie
suivante :
Dans la phase « préparation d’audit », la présentation en page 3 du rapport peut être complétée ou cela peut être fait
ultérieurement si jugé nécessaire.
Après l’audit, l’ensemble des documents en annexe du rapport est à remplir avant de rédiger le corps du rapport lui même.
Cette méthode permet d’être exhaustif dans les annexes et synthétique dans le rapport .
o finalisez et inventoriez les constats amenant des écarts et ceux classés en points sensibles lors de la
préparation de la restitution d’audit.
o Rédigez manuellement les écarts sur des fiches FNC (copie à remettre en fin d’audit au client). Les
FNC de l’audit précédent sont également à compléter .
o complétez et signez le document « réunion de clôture » en fin d’audit avec le client puis faxez le au
Chargé d’Affaires avant votre départ de l’entreprise (ou transmettez lui sous 48 h maxi par tout
autre moyen).
o le plus tôt possible suite à l’audit, finalisez et saisissez tous les constats de l’audit. Vérifiez que toutes
les FNC et PS de l’audit précédent y sont traités et qu’un statut clair leur est donné.
o Complétez le plan d’audit afin qu’il soit le reflet de l’audit qui s’est déroulé, principalement en terme de
personnes rencontrées, horaires et éventuellement compléments réalisés.
o Les annexes étant complétées et finalisées, conclure l’audit dans le corps du rapport en veillant à être
synthétique tout en dégageant les messages clés que vous souhaitez faire passer. Evitez toute redite
quitte à renvoyer aux annexes pour plus de détails.
o Aller du détail des annexes vers les messages forts et synthétiques dans le rapport.. Le corps du
rapport deviendra un texte moins technique et de ce fait plus concis et simple à lire pour le
Management. Et ainsi cette méthode vous évitera toute redondance et doit être une démarche logique
Cette page cite l’OC du Groupe Afnor responsable de cet audit. Il doit y figurer également :
L’appellation juridique de l’Organisme audité (non pas l’appellation commerciale)
les référentiels d’audit et leur version,
la date d’audit codifiée par le Mois / Année relative au dernier jour d’audit,
la référence de l’organisme audité (code de l’organisme de nos bases de données, voir OdM)
les nom et coordonnées du Chargé d’affaires en charge du suivi de cet organisme,
les nom et coordonnées du responsable d’audit.
Sommaire
Il est automatiquement rempli (Macro du traitement de texte)
Page « Présentation »
Organisme :
Cette partie du fichier est pré-remplie à partir de la base de donnée de l’OC, ou à remplir manuellement par le RA à partir de
son OdM.
Libellé des activités auditées : dans ce cadre figure le libellé prévu à votre OdM dans la langue de l’audit, et non celui
éventuellement modifié par l’entreprise en cours d’audit.
Audit :
Mêmes principes que ceux pour la partie Organisme.
Sites audités: Merci d’y lister de façon exhaustive les sites audités y compris les sites temporaires choisis pour cet
audit. Vous pouvez alternativement faire référence à une liste qui est dans ce cas à annexer au rapport.
Modification du certificat: cette information précise si l’OC devra éditer un nouveau certificat à l’issue de cet audit. Le
libellé et le périmètre (liste des sites certifiés), approuvés par le RA avec l’entreprise, sont à reporter à la page
suivante sous le § « Modifications de libellé». C’est toujours le cas pour un audit initial ou de renouvellement.
Date du rapport : c’est la date de finalisation du rapport par le RA. (tout d’abord la date du rapport provisoire, puis la
date effective de finalisation du rapport définitif)
Etat du Système de management : le QCM est à renseigner sachant que les constats et preuves d’audit sont soit
annexés soit conservés par l’OC ou le RA tout en respectant les règles de confidentialité internes. Toute case cochée
« non » suppose une Non Conformité sur le thème cité.
Nombre de constats : la feuille «Bilan» du fichier Excel indique succinctement les données à reporter sur cette ligne.
Proposition du responsable d’audit : Une ou plusieurs cases peuvent être activées. Pour le SM (audit mono-Système)
ou chacun des SM (audit combiné), le RA précise sa proposition à l’Instance de Décision. Si les renseignements
fournis dans la liste ne sont pas suffisamment explicites, le RA renseigne sous «précisions sur les référentiels
concernés» les clarifications qu’il lui semble nécessaires. Par exemple: Demande de certification Initiale immédiate
pour l’ISO 14001, demande de maintien pour l’ISO 9001 et demande d’un audit complémentaire recommandé pour
l’OHSAS 18001.
CERTI I 0419.2 – 12/2008 40/53
© Toute reproduction intégrale ou partielle, faite en dehors d’une autorisation expresse d’AFNOR Certification ou de ses ayants cause, est illicite
GUIDE DE L’AUDIT - AUDITEURS
Modification de libellé : reporter ici le libellé modifié convenu au plus tard en clôture d’audit avec le client. Les
traductions, listes et adresses des sites peuvent être jointes en annexe du rapport si trop volumineux pour ce §.
Sur la base des constats effectués lors de l’audit, le Responsable d’audit apporte la conclusion suivante :
Les conclusions générales sont plus conséquentes lors du premier audit du cycle d’audit puisque les conclusions
générales des audits suivants et des éventuelles vérifications documentaires sont axées sur les évolutions par rapport
à la situation antérieure.
Argumenter en quelques phrases les raisons de la proposition figurant ci-dessus. Pour les audits multi-référentiels, le
RA peut être amené à structurer ses conclusions par référentiel selon leur niveau d’intégration.
Si ces SM ne sont que partiellement intégrés, voire non intégrés, le RA pourra structurer ses conclusions en 2 ou 3
parties clairement identifiées (exemple : pour un audit combiné où les 3 SM ISO 9001: 2008, OHSAS 18001:2007 et
ISO 14001:2004 ne sont pas intégrés, le RA pourra créer une première partie avec pour titre « Système de
Management Qualité », une deuxième partie avec pour titre « Système de Management Santé et Sécurité au Travail »
et une troisième partie avec pour titre « Système de Management Environnemental »).
« clients/affaires » : doivent y être précisés les éléments marquants de l’année du point de vue économique,
satisfaction clients, gestion des affaires de l’organisme en relation avec ses budgets, chiffres d’affaires et
prévisions de l’an passé.
« Ecosystème –environnement de l’Organisme – partenaires – fournisseurs ». Sous ce thème, ce sont plus les
environnements et conditions de fonctionnement significatifs sur le/les système(s) de l’entreprise qui peuvent y
être mentionnés.
«Processus – organisation – métier - maîtrise opérationnelle». Ici ce sont plus l’environnement et les conditions
d’exploitation et de production ainsi que les résultats obtenus qui sont à développer.
«Entreprise apprenante – ressources – amélioration continue». Avez-vous constaté des évolutions factuelles, les
objectifs fixés par la direction sont-ils atteints?
Dans les « forces », les quatre thèmes ci-dessus ainsi que les « bonnes pratiques constatées » sont à renseigner.
le renvoi sur des « risques identifiés - impacts sur le système de management » lors de l’audit. Ceci peut être par
exemple la mise en place d’un ERP dans des temps très courts, un déménagement peu planifié, des risques
technologiques, des ruptures technologiques prévues, une modification de titulaires de fonctions clés etc…
des « opportunités d’améliorations identifiées »: le but n’est pas de rappeler les Pistes de progrès et Points
Sensibles cités, mais d’en faire une synthèse. Vous pouvez en complément rappeler que x PP et y PS donnent
des informations dans l’annexe « constats d’audit »
Lors de votre synthèse, si un thème n’est pas applicable ou que vous n’avez rien à mentionner, vous indiquerez « néant » dans
la zone de saisie. Vous ne pouvez effacer les têtes de chapitre.
Une synthèse n’est pas censée reprendre un à un les écarts, mais doit plus les replacer dans leur environnement et mettre en
lumière leurs causes et effets.
Evènements remarquables depuis le dernier audit : thèmes principalement destinés aux audits E/S (Incidents),
mais pouvant également concerner la qualité dans des cas particuliers (incendie, impacts de la crise pétrolière, intégration
dans un groupe par ex…).
Le RA doit remonter ce type d’informations au ChA dans ce paragraphe. Il n’a pas de FNC à établir sur l’usage non conforme
éventuel de la marque.
Lorsque l’OC a reçu une réclamation d’un Client d’un organisme Client certifié ou d’une partie intéressée, le ChA en informe le
RA et lui donne les enregistrements adéquats.
Le RA examine sur site le traitement apporté à la réclamation. Le résultat de cet examen est à présenter dans ce paragraphe
sur les thèmes suivants :
o actions, enregistrements et conséquences de la réclamation,
o efficacité des actions menées pour éliminer les causes de la réclamation,
o état des relations entre le plaignant et l’audité,
o nombre total de réclamations enregistrées par l’Audité sur l’année en cours et sur l’année précédente.
Pour toute réclamation citée sur l’OdM, le RA doit apporter dans ce paragraphe suffisamment d’éléments à l’OC pour
qu’il puisse répondre au plaignant à l’issue de l’audit et l’informer.
les fiches de non conformité : le nombre de fiches à citer et à joindre correspond à la somme des FNC à vérifier au
cours de l’audit et des nouvelles fiches d’écart de cet audit. Citer le nombre de fiches d’écart et non pas le nombre de
fichiers ou de pages,
la synthèse de situations E/S, si c’est un audit E/S. Dans le cas contraire, supprimer l’intitulé,
s’y rajoutent et sont à lister toutes les annexes additionnelles faisant partie de ce rapport d’audit. Ceci est le cas pour
des audits dans les secteurs de l’Aéronautique, de l’Automobile ou d’autres référentiels.
Cette page sans saisie par le RA donne une aide à la lecture de la synthèse au Management ainsi que des définitions des
classements des constats. C’est la première annexe du rapport.
Ce fichier Excel permet de saisir en cours d’audit tous les constats, sans avoir à se préoccuper de leur ordre pour la
restitution.
Ce fichier permet d’enregistrer tous les constats d’audit d’un cycle d’audit complet sur trois ans, qui sont ainsi rendus
accessibles à l’organisme client. Cinq feuilles sont affichées. Une feuille différente de saisie doit être utilisée par audit.
Si des audits additionnels sont nécessaires il est possible d’en afficher deux supplémentaires qui sont initialement
masquées. En cas de besoin dans Excel cliquez sur « Format », puis « Feuille » puis « Afficher » afin d’afficher une
feuille « surveillance 3 » ou « surveillance 4 » supplémentaire. Ces feuilles peuvent également servir pour un audit
complémentaire.
Chaque constat est lié à un audit défini du cycle, à une exigence de référentiel, à un processus ou un élément de
l’organisation, à l’une des 6 familles de constats définis au §1.3: PF, PP, Note, PS, NC min, NC maj. De ce fait le
fichier Excel permet de faire une saisie dans un ordre indifférent. L’ordre logique et utile pour la restitution au client
peut être obtenu par la fonction tri. Une colonne additionnelle intitulée « tri », non imprimée, permet de codifier
individuellement chaque ligne à des fins de tri personnalisé par le RA.
Ce fichier permet de générer l’annexe « constats d’audit » de l’audit pour votre rapport.
Une feuille spécifique (« bilan ») aide le RA à comptabiliser ses constats. Il permet de s’assurer que les constats des
audits précédents de ce fichier sont bien tous traités et renseignés.
Ce fichier contient toutes les preuves de réalisation de l’audit « terrain ». Les exemples choisis lors de l’audit peuvent
y être cités afin d’appuyer un constat. Le corps du rapport qui sera établi ultérieurement sera une synthèse de ce qui
figure de façon détaillée dans le fichier Excel des constats.
A la revue documentaire du premier audit du cycle, le RA saisit dans la feuille « Processus / Organisation » les
intitulés, processus ou autres critères de présentation choisis pour la restitution avec l’entreprise. Lors des audits
suivants le RA peut compléter cette liste, mais ne doit plus modifier les saisies « processus/organisation »
précédents.
Au cours des audits, les auditeurs saisissent dans une des feuilles correspondantes (« initial/renouvellement » ou
« surveillance») les constats au fur et à mesure de l’avancement de l’audit.
Lors de la préparation de la réunion de clôture, les auditeurs (en cas d’équipe d’audit) passent ensemble en revue
tous les constats de l’audit. Les constats faisant l’objet d’un classement en Non conformité sont alors reformulés sur
le formulaire spécifique prévu à cet effet. Les Points Sensibles sont également passés en revue et finalisés avec
l’équipe d’audit afin de pouvoir être comptabilisés et présentés à la réunion de clôture. Les autres constats peuvent
être évoqués ultérieurement lors de la rédaction du rapport provisoire.
La lecture de la feuille bilan permet de voir instantanément le nombre de constats par type. Cette même feuille permet
de vérifier dans le cadre d’audits de surveillance que tous les constats du type NC et PS, des audits précédents sont
bien traités. (Pour les audits de renouvellement ceci doit être fait en utilisant le rapport papier de l’audit précédent)
Avant de rédiger ses conclusions synthétiques prévues dans le corps du rapport, le RA finalise tous les constats de
l’audit. La rédaction de la synthèse est facilitée par les différents tris possibles (par processus, par thème, par
référentiel etc..)
Le RA doit choisir avec le client en début de cycle, les éléments organisationnels à retenir afin d’y lier tous les constats qui
seront faits lors du cycle d’audits. Cet onglet est renseigné par le RA lors de la préparation des activités d’audit (cf. « Choix de
la présentation des résultats dans les rapports d’audit » au paragraphe 3.4 de ce Guide). Les choix les plus fréquemment
rencontrés sont les suivants :
par processus: ce choix est les plus courant dans les systèmes de management de la qualité et SM intégrés.
(préconisation de l’OC si le client n’a pas de souhaits spécifiques),
par Départements, service ou sites pour les entreprises à structures complexes ou pilotées par des
managers sectoriels par exemple,
par lignes produits dans des structures à management matriciel souhaitant cette forme de restitution des
constats.
Dans les 3 feuilles de saisie des constats une colonne « Tri » vous permet de définir un ordre de classement des constats de
façon totalement manuelle.
Modification de l’enregistrement
Afin de garder la traçabilité des résultats des audits du cycle, le type de présentation ne devra pas être changé en cours de
cycle, mais pourra être complété. Ainsi, dans le cas d’une présentation par processus :
Si l’organisme Client identifie un nouveau processus, le nouveau libellé sera ajouté à la liste.
Si l’organisme Client supprime un processus, le libellé devenu obsolète ne sera pas effacé de la liste, mais ne devra
plus choisi dans le menu déroulant lors de la saisie des constats.
Si l’organisme modifie le libellé d’un processus, le nouveau libellé sera ajouté à la liste et le libellé devenu obsolète ne
sera pas effacé de la liste, mais ne sera plus utilisé.
Si l’organisme Client regroupe 2 processus, le nom du nouveau processus sera ajouté à la liste et les noms des 2
anciens processus ne seront pas effacés de la liste.
Si le RA souhaite faire un constat générique applicable à tous les processus saisissez « constat tous processus »
Nota : Si vous corrigez une erreur dans les saisies sous « processus/organisation », cette modification sera effective pour les
nouveaux constats renseignés avec le menu déroulant, mais pas pour les constats où le menu déroulant a été utilisé avant
cette modification.
Dans ces feuilles, le RA enregistre tous les constats des audits sur site et des vérifications documentaires éventuelles.
Ces constats sont exprimés en termes de Non-Conformités majeures, Non-Conformités mineures, PS, PP, PF et Notes.
Au cours de l’audit suivant, chaque Non conformité (majeure ou mineure) ainsi que les Points Sensibles sont à réévaluer afin
de leur donner le statut de « levé » ou de « reconduit ».
Ces constats doivent être complets, précis, concis et clairs. Afin d’y répondre évitez les sigles, abréviations et termes
« maison » . Si vous en utilisez, un glossaire doit être inséré en tête du fichier. Vous pouvez par contre utiliser toute
terminologie familière et propre au client.
sélectionnez le processus / principe / Organisation concerné. Choissez avec le menu déroulant les données que vous
avez saisies au préalable dans la feuille « Processus/Organisation ». Si aucun choix ne s’offre à vous, vérifiez ou
complétez la liste dans la feuille « Processus/Organisation ».
sélectionnez le type de constat. Les constats sont exprimés en termes de Non-Conformités majeures, Non-
Conformités mineures, en PS, PP, PF et Notes. Vous pouvez modifier ce classement lors de la finalisation du rapport.
donnez un numéro d’ordre aux constats par type : NC maj., NC min, PP, PS, PF. Ce n’est pas demandé pour les
« notes ».
les constats d’audit sont focalisés sur la conformité par rapport au référentiel d’audit et sur l’amélioration continue. Le
constat « note » permet de conserver une information jugée significative et nécessaire sans connotation positive ou
négative. Exemple : dans le département x, le dossier Y a été audité.
Sélectionnez le ou les n° de paragraphe de l’exigence concernée du/des référentiel(s) d’audit (Q, S et/ou E) afin
d’aider le client à comprendre à quoi vous vous référez. (menu déroulant)
La dernière colonne « Fermé/ reconduit » vous servira à la finalisation du rapport au plus tard à l’audit suivant afin de
statuer sur les PS et les NC. Les autres constats ne font pas l’objet d’un suivi particulier.
Pour les PS issus d’un précédent cycle d’audit pour lequel vous n’avez pas le fichier Excel accessible, mais
uniquement une copie du rapport précédent, vous devez citer dans les constats d’audit de l’année en cours ce qu’est
CERTI I 0419.2 – 12/2008 44/53
© Toute reproduction intégrale ou partielle, faite en dehors d’une autorisation expresse d’AFNOR Certification ou de ses ayants cause, est illicite
GUIDE DE L’AUDIT - AUDITEURS
devenu ce PS (Par exemple : le PS6 de l’audit de surveillance 2 de 2006 a été traité par le client et n’est plus
d’application). L’évolution peut être positive, dans ce cas le constat sera devenu une piste de progrès, une note ou
éventuellement un PF. Si l’évolution est négative, cet ancien PS est soit maintenu sous forme d’un PS qui est alors à
reformuler, soit a évolué vers une NC mineure, voir une NC majeure. Dans le libellé du constat, rappelez la référence
du précédent PS par Exemple PS4 du Surveillance 2.
La Feuille « Bilan »
à visualiser rapidement en fin d’audit le nombre de constats par type afin de renseigner le rapport,
à vérifier également à l’audit suivant que tous les constats du type PS et NC de l’année précédente sont « fermés »
ou « reconduits ». Dans le cas contraire, un chiffre vous indiquera le nombre de constats NC ou PS non évalués et
que vous devez encore traiter avant de finaliser le rapport.
Cette feuille n’est pas modifiable, il n’y a aucune saisie à faire et elle n’est qu’une aide au RA. Elle est protégée en
écriture.
6.4 Troisième annexe du rapport : les Fiches de Non Conformités (mineures ou majeures)
Afin d’avoir une dénomination internationale unique, il a été choisi pour tout écart la terminologie de Non Conformité déclinée
en NC mineure ou NC majeure.
Objectifs du fichier
Apporter un constat d’écart clair, factuel et facile à comprendre pour le client. Il convient de différencier l’aspect
systémique de l’aspect preuve tangible pour chaque écart. Ceci incitera le client à analyser les causes profondes de
son système ayant contribué à l’écart et de ne pas se limiter à un simple traitement curatif de l’écart.
Préciser à l’organisme Client et à l’Instance de Décision, le risque induit par l’écart émis.
Garder trace des causes racine identifiées et des actions planifiées par l’organisme pour lever l’écart.
Apporter la preuve que les actions mises en œuvre pour éliminer l’écart et ses causes ont été efficaces.
Il est important de rappeler qu'un écart ne peut pas être levé uniquement sur des preuves de traitement curatif que le client doit
mentionner au § « Traitement de l’écart » sur la FNC. Le RA doit s’assurer en complément qu’il ait précisé dans le § « analyse
des causes racine / action corrective proposée » :
la mise en oeuvre complète du plan d'actions correctives jugé au préalable pertinent par le RA au vu des causes
profondes (dont systémiques) analysées par l'organisme
la vérification de l'efficacité de l'ensemble du plan d'actions correctives mis en oeuvre par le client.
Si ces conditions ne sont pas réunies, le RA peut proposer en fonction du classement de l'écart (NC majeure ou mineure), et
donc du risque, de lever l'écart concerné dans le cadre d'un audit complémentaire à planifier ou lors de l’audit à venir.
Commentaires et précisions
«Ecart constaté » : Pour chaque nouvelle Non-Conformité, le RA crée une fiche de Non conformité qu’il peut grouper
dans un seul fichier informatique ou pas, selon les aspects pratiques dans leur gestion ultérieure.
o « Rappel de l’exigence (référence . . .) » : Ce champ peut être renseigné après l’audit (manuellement
préciser au moins le numéro du paragraphe concerné). Si l’écart concerne plusieurs exigences, le RA
retranscrit uniquement l’exigence la plus significative qui est celle qui correspond au risque le plus significatif.
Dans ce cas, le RA précise dans la ligne concernée de l’onglet Excel « Saisie » que l’écart concerne plusieurs
exigences (par exemple §5.6 ISO 9001).
o « Libellé de l’écart » : Il est demandé au RA de bien séparer la défaillance système rencontrée, de la preuve
tangible constatée qui étaye cet écart. Ceci pousse le client à définir une proposition d’action s’adressant aux
deux aspects de l’écart.
o « Risque (client / produit / processus / système) » : Ce champ peut être renseigné après l’audit lors du
remplissage sur informatique de la fiche d’écart. Le RA doit rappeler au client les risques identifiés liés à cet
écart dans son environnement spécifique.
o « Site(s) concerné(s) » : Les sites sont ceux où l’écart a été constaté.
o « Nom de l’Auditeur » : Le nom de l’Auditeur qui a identifié l’écart.
o « Date » : La date est celle de la réunion de clôture. C’est à ce moment que les FNC sont finalisées et validées
avec l’équipe d’audit au complet (et non la date d’identification de l’écart).
« Proposition d’actions de l’Organisme » : Sous 7 jours calendaires après réception du rapport, l’organisme Client
doit renseigner cette partie. Rappelons que pour chaque écart, il est demandé à l’organisme Client de répondre en
entrant dans une logique PDCA (voir la « Méthode à suivre pour répondre aux écarts émis et apprécier la pertinence
de la réponse » au paragraphe 3.6 de ce Guide).
Il est demandé au client d’identifier les causes racine de son système ayant eu pour conséquence cet écart.
« Commentaire sur la proposition d’actions de l’organisme » : Sous 7 jours calendaires après réception de la
réponse de l’organisme Client, le RA apprécie la pertinence de la réponse en cochant les cases « O/N ». Il est
demandé au RA de noter en quelques mots les justifications présentées par le client (que l’action soit ou non
pertinente). Il doit également préciser si cette vérification est à prévoir sur site ou hors site.
« Vérification de l’efficacité des actions menées » : Cette vérification est faite soit :
o à partir des preuves envoyées par l’organisme Client (traitement hors site sur base des preuves envoyées en
complément de la fiche de Non Conformité par le client).
o au cours d’un audit sur site (audit complémentaire ou audit suivant). Le RA renseigne alors cette partie lors de
l’audit.
o ou bien au cours d’une vérification documentaire ultérieure donc également prévue hors site. Les résultats de
cette évaluation seront à documenter dans cette partie par l’auditeur responsable de ce suivi.
Dans tous les cas, le RA doit documenter ses constats, statuer sur les preuves présentées par l’organisme qu’il
rappelle dans cette partie.
o l’écart est définitivement levé, cocher la case « écart levé » et renseigner la colonne « fermé » dans la feuille
des constats.
o cet écart est reconduit. La reconduction entraîne la clôture de cette FNC du fait que le §4 est à présent
rempli, mais entraîne l’ouverture d’une nouvelle fiche d’écart (écart reconduit). Noter sur l’ancienne FNC, le
N° de la nouvelle fiche qui alors rajoutée au rapport définitif. Une nouvelle ligne de constats est à rajouter au
fichier Excel et le constat ayant amené l’ancienne FNC doit passer au statut reconduit. Le nombre de FNC
est actualisé en conséquence. Le RA n’ayant pu lever l’ancienne FNC doit prendre contact avec le client afin
de lui expliquer et signifier la situation à travers la nouvelle FNC et lui demander téléphoniquement un
engagement d’action défini avec une date cible qu’il reporte ainsi dans la nouvelle FNC (échange de mails
également possible). Le client devra alors engager les actions qui seront de ce fait documentées dans le
rapport définitif. Le délai de 7 jours calendaires pour clôturer le rapport n’est pas allongé pour autant !
« Nature et justification de la modification de l’écart décidée par l’Instance de Décision (s’il nécessaire) » :
L’instance de décision de l’OC peut, dans certains cas rares, être amenée à revoir une FNC. Ceci se fait uniquement
en cas de modification par rapport à la prise de position du RA et après l’avoir consulté.
L’Instance de Décision justifie et date sa décision. Afin de respecter l’anonymat des membres de l’Instance de
Décision, c’est le chargé d’affaires qui vise la nature et la justification de la modification.
Dans le cas où l’Instance de Décision modifie le classement d’un écart, le ChA modifie en conséquence, le nombre de
Non-Conformités majeures et le nombre de Non-Conformités mineures dans le corps de son rapport final.
Le RA peut demander à l’organisme Client de préciser les éléments qui seront intégrés dans ce fichier avant l’audit sur site.
Objectifs du fichier
Préciser, de manière synthétique, les situations environnementales et/ou santé et sécurité au travail de l’organisme
Client avec la description des aspects environnementaux associés à ses activités ainsi que celle des dangers et
risques associés à ses activités.
Fournir une traçabilité de toutes les synthèses des situations environnementales et/ou santé et sécurité au travail
depuis le début du cycle d’audit.
Commentaires et précisions
Le RA décrit les aspects et impacts génériques de l’activité puis précise la sensibilité spécifique de chaque site (présence
d’habitations, présence de zones protégées, . . .).
La synthèse est faite sur la base d’échantillons et d’observations durant l’audit sur site et ne se prétend pas exhaustive.
Les éléments à renseigner dans ce fichier sont plus détaillés lors du premier audit du cycle d’audit. Lors des audits suivants,
seules les évolutions par rapport à la situation antérieure sont à renseigner.
Situation environnementale
2 Les relations externes (existence, fréquence, qualité des contacts, . . .) avec les parties intéressées
telles que avec :
des services administratifs
le voisinage
des associations
d’autres relations externes
3 Les aspects et impacts environnementaux en situation normale selon les thèmes ci-dessous. Veuillez
préciser l’exhaustivité de l’identification de ces aspects et impacts liés:
aux activités
aux produits
aux services
3 Les dangers et les risques significatifs associés liés aux activités en situation normale et la
description des méthodes de maîtrise de risque
4 Les dangers et les risques significatifs associés liés aux activités en situation accidentelle
Présentation du rapport
Le RA peut adapter, s’il le souhaite, la partie pré-remplie pour les prochains audits du cycle (audits n+i).
Objectifs du fichier
Revue préparatoire
Rappeler le libellé prévu, les sites concernés par le périmètre à certifier, les points à auditer issus du dernier audit,
l’existence éventuelle d’une plainte à vérifier dans le cadre de l’audit, rappeler les documents mis à disposition et
analysés par le RA.
Formaliser pour l’organisme Client ses commentaires ou problèmes constatés sur les documents analysés.
De façon générale, faciliter la coordination des activités d’audit et fournir un planning diffusable au sein de l’organisme
audité.
Les exigences à auditer dans le cadre des audits de surveillance sont décrites au chapitre 4 de ce guide.
Pour les audits de surveillance, le RA ne renseigne que les éléments du fichier apportant une valeur ajoutée. Sinon, il se
contente d’activer la case « Oui » du fichier, exprimant ainsi qu’il a effectué la revue et que l’audit peut être mené aux dates
prévues.
APPROCHE TPE
Revue préparatoire
La revue préparatoire et le plan d’audit se font sur place en début d’audit chez le client. Il n’y a pas de préparation ou analyse
documentaire dans la démarche TPE avant d’arriver sur site.
Dans le cas d’un plan d’audit établi en coopération avec l’organisme Client, il est possible d’utiliser le fichier ou le format de
l’Audité sous réserve de s’assurer que tous les éléments demandés y figurent.
Le RA précise alors dans la partie « Commentaires » de la revue préparatoire que le plan d’audit se trouve dans un fichier
spécifique.
Le plan d’audit joint au rapport final devra toujours être le plan de l’audit réellement réalisé, avec le nom des personnes
rencontrées (preuves d’audit). Dès que cela est fait, cochez la case en dernière page « audit réalisé ».
Objectif du fichier
o Confirmer le libellé d’audit ou documenter un libellé modifié convenu avec le client. Ceci est à faire dans la langue de l’audit
(et peut être complétée par une traduction en anglais.)
o Confirmer la dénomination sociale du client, l’exactitude du nombre et des adresses des sites concernés par la certification.
Tout changement est à annoter.
o Formaliser l’accord ou le désaccord sur les conclusions d’audit qui ont été présentées par l’équipe d’audit, garder trace des
participants à la réunion et du nombre de NC majeures ou mineures à l’issue de l’audit concerné.
o Si vous remplissez un compte rendu de « réunion de clôture » sur un site intermédiaire, donc avant la réunion de clôture de
l’audit complet, veuillez utiliser la page 2 et mentionnez le lieu et site concerné par ce Compte Rendu intermédiaire. Ne
notez que des écarts spécifiques au site sous réserve qu’ils soient définitifs. Précisez aux personnes présentes que les
écarts seront finalisés et listés qu’en fin d’audit lors de la clôture finale de l’audit..
Commentaires et précisions
Libellé : les libellés sont à confirmer, corriger ou modifier manuellement ou à joindre sous forme d’une annexe. Rayez alors le
libellé et renvoyez à l’annexe concernée .
Dénominations sociales, nombre et annexes des sites : Ces informations sont fournies sur un document joint à l’ordre de
mission au RA. Ces données sont à vérifier, modifier ou confirmer avant la fin d’audit. En cas de modification, ce document
corrigé est à joindre au rapport.
Nombre de NC :
Ce nombre correspond aux NC de cet audit (même si des écarts ont pu être levés en cours d’audit). Une NC reconduite de
l’année précédente sera automatiquement formulée sur une nouvelle FNC.
Visa du représentant de l’Organisme : Cette zone est à compléter par l’Organisme. Ceci est d’autant plus important que
cette signature confirme le libellé modifié demandé à l’OC.
Dans le cas éventuel d’un désaccord sur les conclusions d’audit, l’organisme peut apporter ses commentaires dans l’espace
prévu ou préciser les modalités prévues par l’entreprise pour contester ces conclusions.
Finalisation du document : Rappelons que le RA doit adresser au ChA l’original de la fiche dûment remplie en même temps
que sa facture et les justificatifs suite à audit, mais surtout la faxer si possible dès la fin d’audit (maxi 48h)
Le Chapitre 5 du Guide à l’attention des organismes Clients détaille cette prestation complémentaire proposée aux organismes
Clients. Son contenu n’a pas évolué depuis la dernière version des guides de février 2008.
1) Dans le tableau, mettre un « X » sur le niveau de maturité constaté et discuté avec le client.
2) Dans les « Thèmes » A à D, enregistrer les éléments significatifs discutés que vous souhaitez signaler, « bonnes
pratiques » constatées ou visées etc…
3) Dans « appréciation globale », rédigez une conclusion synthétique sur la méthode utilisée ( auto évaluation. + évaluation par
l’ auditeur, seule appréciation d’auditeur etc…) et les évolutions éventuelles constatées ou attendues.
Objectifs du fichier
Documente l’échantillonnage recommandé par le RA qui semble le plus pertinent pour le prochain audit, que vous
soyez le RA ou qu’il y ait une nouvelle équipe d’auditeurs qui pourront alors profiter des enseignements acquis lors de
vos audits.
Indique les besoins et les attentes de l’organisme Client ainsi que des opportunités commerciales identifiées pour le
groupe AFNOR lors de vos activités d’audit. Pour cela, de nouvelles zones de saisie ont été définies, dont certaines
sont simplement à cocher.
Documente pour la prochaine équipe d’audit et à l’OC les commentaires que vous jugez importants, relatifs à l’activité
et l’environnement d’audit.
Exprime les difficultés rencontrées lors de la réalisation d’une ou plusieurs activités d’audit. Vous pouvez y inclure des
aspects de temps, logistiques, compétences spécifiques nécessaires etc…
Commentaires et précisions
En particulier :
o Le RA précise les difficultés rencontrées soit dans l’interprétation du référentiel d’audit, soit dans le contexte
de la réalisation de l’audit.
o Il va de soi que, dans l’onglet « Constats » du fichier Excel, il n’exprime pas ses doutes.
o Si le temps imparti pour la réalisation de l’audit sur site a été trop court ou trop long, le RA l’indique en
l’explicitant.
o Dans le cas d’une organisation du travail particulière (exemples : travail de nuit, travail 7j/7), le RA précise sa
position quant à la nécessité d’auditer certaines activités à des heures ou des jours inhabituels pour un audit.
Ceci est également le cas concernant des activités chantier, sites temporaires ou travails postés.
o Zone « Echantillonnage à prévoir ou recommandé pour le prochain audit » : Dans le cas d’un audit multi
sites, le RA documente les raisons de ses choix pour cet audit et précise les sites qui, à son avis, devraient
être audités lors du prochain audit.
Dans cette partie, le RA indique les besoins et attentes de l’organisme Client qui ont été identifiés par l’équipe d’audit :
le formulaire a été revu afin de faciliter son remplissage par des QCM rapides et des zones de saisie pour des détails .
L’OC fera tout son possible afin de tenir compte de vos souhaits ou demandes. Vous serez informés en retour de leur
exploitation.
« Autres Commentaires »
Fournir au Chargé d’affaires les éléments factuels justifiant un éventuel non respect des délais d’envoi du plan d’audit
ou des rapports. (Exemple manuel qualité transmis par le client le --/--/--, soit 14 jours avant le début d’audit, etc…)
Ces éléments sont analysés par le Chargé d’Affaires lors de l’évaluation de vos performances « FEPRA » (Fiche
d’Evaluation de la prestation du RA)
Ce Guide, élaboré par une équipe d’AFNOR Certification avec la collaboration du groupe AFNOR et d’Auditeurs du
groupe AFNOR, doit permettre à l’ensemble des parties intéressées de faire progresser nos organismes Clients.
AFNOR Certification
Département Innovation Développement
11 rue Francis de Pressensé
93571 LA PLAINE SAINT-DENIS Cedex
leurs remarques, suggestions ou critiques. Il en sera tenu le plus grand compte dans les éditions ultérieures.