Guides QSE Auditeurs Clients CERTI - I - 0419.9 - 07.2016 FR

²²
Guide de
l’audit
Systèmes de
Management QSEÉ
à l’attention
des Clients et des Auditeurs
Édition Juillet 2016
AFNOR Certification - Siège : 11, rue Francis de Pressensé – 93571 La Plaine Saint-Denis Cedex – France
T. +33 (0)1 41 62 80 00 – F. +33 (0)1 49 17 90 00
SAS au capital de 18 187 000 € - 479 076 002 RCS Bobigny
GUIDE DE L'AUDIT QSEÉ – ORGANISMES CLIENTS ET AUDITEURS
Sommaire
Avant-propos .............................................................................................................................. 3
Introduction ................................................................................................................................ 4
1. Termes, définitions et abréviations utilisés........................................................................ 5

1.1. Termes relatifs aux constats d’audit .............................................................................................................. 5
1.2. Termes relatifs aux audits de systèmes de management ............................................................................. 6
1.3. Abréviations ................................................................................................................................................. 10
2. Différents types d’audit ...................................................................................................... 12

2.1. L’audit initial : Audit d’Etape 1 et Audit d’Etape 2 ....................................................................................... 12
2.2. L’audit de surveillance ................................................................................................................................. 12
2.3. L’audit de renouvellement ........................................................................................................................... 12
2.4. Cas d’audits particuliers .............................................................................................................................. 13
2.5. La Vérification documentaire par le RA et le Suivi Documentaire par l’OC. ...............................................15
2.6. Traitement des Appels et plaintes par l’OC ................................................................................................. 15
3. Différentes phases d’un audit ............................................................................................ 16

3.1. Contractualisation d’un cycle d’audit sur trois ans ...................................................................................... 19
3.2. Déclenchement d’un audit ........................................................................................................................... 20
3.3. Réalisation de la revue des documents (et de l’audit d’étape 1 si nécessaire) .........................................24
3.4. Rédaction et mise au point du plan d’audit ................................................................................................. 30
3.5. Réalisation des activités d’audit sur site ..................................................................................................... 34
3.6. Préparation, approbation et diffusion du rapport d’audit QSEÉ .................................................................. 40
3.7. Actions de l’OC suite à audit ....................................................................................................................... 42
3.8. Programmation des suites de l’audit et suivi des besoins de l’organisme client ........................................43
3.9. Fin de Cycle et renouvellement d’une Certification ..................................................................................... 44
4. Particularité pour l’audit par échantillonnage d’une entreprise multi sites................... 45

4.1. Définitions (Extraits de la règle IAF MD 1:2007) ......................................................................................... 45
4.2. Déroulement chronologique d’une certification dans le cadre d’une entreprise multi sites : ......................47
4.3. Enregistrements spécifiques du RA dans le rapport d'audit ....................................................................... 51
4.4. Conclusions : ............................................................................................................................................... 52
5. Logique et composition du rapport d’audit QSEÉ ........................................................... 53

5.1. Caractéristiques du rapport d’audit QSEÉ .................................................................................................. 54
5.2. Logique et composition du rapport d’audit QSEÉ ....................................................................................... 54
6. Règles d’utilisation des éléments du rapport d’audit QSEÉ remplis par le RA en

interface avec le client ............................................................................................................. 56
6.1. La revue préparatoire et le plan d’audit ....................................................................................................... 56
6.2. Les Fiches de Non Conformités .................................................................................................................. 57
6.3. Le Fichier « Réunion d’ouverture et de clôture » ........................................................................................ 59
7. Annexes à ce guide ............................................................................................................ 61
8. Références normatives à ce guide .................................................................................... 62
CERTI I 0419.9 – 07/2016 2/62

© Toute reproduction intégrale ou partielle, faite en dehors d’une autorisation expresse d’AFNOR Certification ou de ses ayants cause, est illicite.
GUIDE DE L'AUDIT QSEÉ– CLIENTS ET AUDITEURS
Avant-propos
Nous remercions les contributeurs à l’amélioration des trames du rapport et des Guides de l’Audit QSEÉ.
Cette nouvelle version du guide prend en compte les évolutions suivantes. Elles apparaissent en bleu dans le
texte:
• intégration des directives relatives au management de l’Energie en complément du Management QSE,
d’où l’appellation QSEÉ.
• rajout de précisions suite à des retours faits dans le cadre d’une enquête satisfaction réalisée fin 2015.
• prise en compte des recommandations de notre comité de surveillance et d’amélioration, le CSA,
• pris en compte des exigences des normes et documents suivants :
o l’SO 17021-1 version du 8 septembre 2015, Evaluation de la conformité – Exigences pour les
organismes procédant à l’audit et à la certification de systèmes de management – Partie 1 :
exigences.
o NF ISO 50003 version du 14 Février 2015 : Systèmes de management de l’énergie – Exigences
pour les organismes procédant à l’audit et à la certification de systèmes de management de
l’énergie.
o Document IAF MD 5 : 2015 : Détermination du temps d’audit des systèmes de management de la
qualité et des systèmes de management environnemental Version 3
• suppression de l’évaluation de la maturité
Vu la mise en production de notre nouvel outil de rédaction et de gestion des rapports d’audit « OPERA » début
2016 en remplacement progressif de RAP6, ce guide se limitera dorénavant aux informations techniques en ce qui
concerne le contenu du rapport indépendamment des logiciels servant à saisir ces données. Ces dernières
informations sont disponibles par ailleurs.
Les trames du rapport sont éditées initialement en français et en anglais par l’OC « AFNOR Certification », mais
peuvent être traduites sous leur responsabilité par les autres Organismes de Certification du groupe ou
représentations à l’international tout en maintenant la même charte graphique.
Ce guide peut, de ce fait, également exister dans d’autres langues bien que ce soit la version anglaise qui soit le
plus largement utilisée à l’international.
Il est demandé aux auditeurs d’appliquer les directives de ce guide et annexes dès leur parution.
.
CERTI I 0419.9 – 07/2016 3/62

Introduction
Ce guide s’adresse à tout audit de

Système de Management
- Qualité (ISO 9001: 2008 et/ou
2015),
- Santé et Sécurité au Travail
(OHSAS 18001:2007, ILO-OSH
2001)
- Environnemental (ISO 14001:
2004 et/ou 2015), - qu’il soit
combiné ou mono Système
- de l’énergie (ISO 50001 de 2011)
- des annexes complémentaires
pour d’autres référentiels sont
disponibles ; voir chapitre 7.
Règles de transition entre la version V10-07/2016 du rapport QSEÉ et les versions précédentes
Le groupe AFNOR établit et documente ses audits de systèmes de management à travers un rapport unique.
Nous cherchons systématiquement à adapter nos outils aux évolutions des normes, des bonnes pratiques et aux
règles d’accréditation. Il est donc important que nos auditeurs utilisent toujours la dernière version de ces trames.
Les auditeurs reçoivent :

• Un ordre de mission décrivant l’objet et les données techniques relatives à l’audit à réaliser,
• Un accès aux outils et trames pré remplies du rapport. Il est important d’utiliser la dernière version des
trames ainsi fournies. Les usagers de notre application Opéra ont accès automatiquement à la
dernière version des trames du rapport sans avoir à s’occuper de leur mise à jour, il convient
néanmoins à ce qu’ils ne fassent pas usage d’autres documents ou trames hors de celles fournies à
chaque audit.
• Certains documents permettent de tracer l’évolution de l’entreprise sur un cycle de trois ans (synthèse
des situations Environnementales, SST ou relatives au management de l’énergie). Ils peuvent être
conservés sous réserve de tenir compte des évolutions introduites par la nouvelle version.
o Par exemple sur la synthèse des situations QSE n’ont pas évolué, Les auditeurs peuvent
récupérer dans Opéra les documents du dernier audit dans les « audits clos » et les compléter
pour l’audit en cours.
o Par contre la synthèse des situations relatives à l’énergie a été totalement revue, il convient
donc d’utiliser la nouvelle version de cette trame dès le prochain audit à réaliser quitte à
réutiliser les informations mentionnées dans la dernière synthèse.
Les trames accessibles aux auditeurs en France sont au nom d’AFNOR Certification, mais les autres certificateurs
du groupe les mettent à leur nom et les traduisent dans la langue du pays tout en conservant la charte graphique
du groupe AFNOR.
CERTI I 0419.9 – 07/2016 4/62

1. Termes, définitions et abréviations utilisés
En complément des définitions données dans l’Article 3 de l’ISO 17021, les définitions et les abréviations ci-
dessous s’appliquent.
Les commentaires donnés sont soit des règles d’application, soit des précisions. Il est indispensable de
comprendre et d’utiliser ces commentaires.
Afin de vous familiariser avec les terminologies anglaises et des termes techniques utilisés en certification de
systèmes à l’international, vous trouverez dans ce guide le terme équivalent en anglais entre parenthèses et en
italique en complément de sa définition. Vous pouvez également vous référer à ce même guide en version
anglaise.
1.1. Termes relatifs aux constats d’audit
Non-Conformité majeure Non-satisfaction d’une exigence du référentiel touchant l’organisation, l’application ou la

(Major Nonconformity) formalisation du Système de Management et entraînant un risque avéré de non-respect,
récurrent ou unique en cas de risque très important, d’une exigence spécifiée.
(Abréviation NC Maj)
Non-satisfaction d’une exigence mettant en cause l’efficacité ou l’amélioration du
Système de Management.
Commentaire :
Une certification ne peut être délivrée, maintenue ou renouvelée tant qu’il reste une Non-
conformité majeure non levée.
Selon le Système de Management, les risques à prendre en compte concernent des parties
intéressées différentes :
• en qualité, il s’agira essentiellement des Clients mais aussi des parties intéressées
pertinentes (V2015).
• en santé et en sécurité au travail, il s’agira du personnel, des visiteurs, intérimaires.
• en environnement, il s’agira des parties intéressées au sens large.
Dans le cadre d’un audit 50001, les constats suivants peuvent être classés en tant que NC
Majeures dans les situations suivantes :
o — preuves d’audit que l’amélioration de la performance énergétique n’a pas été
réalisée;
o — doute significatif quant à la présence d’un contrôle efficace de processus;
o — un certain nombre de non-conformités mineures portant sur les mêmes
exigences ou un problème pouvant démontrer une défaillance systémique et ainsi
constituer une non-conformité majeure.
Non-Conformité mineure Non-satisfaction d’une exigence du référentiel touchant l’organisation, l’application ou la

(minor Nonconformity) formalisation du Système de Management, et n’entraînant pas de risque important de
non-respect d’une exigence spécifiée.
Non-satisfaction d’une exigence ne compromettant pas l’efficacité ou l’amélioration du
Système de Management. (Abréviation NC min)
Commentaire :
Une certification peut, sur recommandation du RA, être délivrée, maintenue ou renouvelée en
présence de Non-conformités mineures non levées.
Un ensemble de Non-conformités mineures non levées peut être éventuellement considéré par
l’Instance de Décision comme constituant globalement une Non-conformité majeure.
Non-conformité reconduite Non-conformité majeure ou Non-conformité mineure émise lors de l’audit précédent, non
(Maintenance of a levée et reformulée en une nouvelle Non-conformité Majeure ou Non-conformité mineure.
Nonconformity) Commentaire :
Une NC reconduite implique :
• la clôture de la fiche de NC établie lors de l’audit précédent.
• l’établissement d’une nouvelle fiche de NC.
Le classement de la Non-conformité Majeure ou de la Non-conformité mineure est
indépendante du classement de la NC précédente qui a été ainsi reconduite et reformulée.
CERTI I 0419.9 – 07/2016 5/62

Point Sensible Elément du Système de Management sur lequel des preuves d’audit montrent que
(Area of Concern) l’organisme, actuellement conforme, risque de ne plus atteindre les exigences du
référentiel à court ou moyen terme.
Commentaire :
• le risque associé au PS ou la non prise en compte d’un point sensible doit être expliqué à
l’Audité.
• un Point Sensible étant un constat particulier de conformité par rapport au référentiel
d’audit :
o son libellé ne doit pas prêter à confusion et le classement en PS doit être étayé par un
constat du RA.
o l’Instance de Décision ne peut pas requalifier le PS en NC Majeure ou NC mineure.
• un point sensible doit être réexaminé à l’audit suivant.
Piste de Progrès Voie identifiée sur laquelle l’organisme peut progresser.

(Opportunity for Improvement) Commentaire :
Une Piste de Progrès donne à l’organisme Client la possibilité :
• soit de dépasser les exigences du référentiel d’audit pour un élément de son Système de
Management.
• soit d’améliorer la performance d’un élément de son Système de Management sans
toutefois dépasser les exigences du référentiel d’audit.
• il ne faut pas confondre la Piste de Progrès avec du conseil que le groupe AFNOR
s’interdit de donner par déontologie.
• le client n’a pas à se justifier de la prise en compte ou non d’une Piste de Progrès. (Pas de
contrainte d’action)
Point Fort Elément du Système de Management sur lequel l’organisme soit dépasse les exigences
(Strong Point) du référentiel d’audit, soit se distingue par une pratique, méthode ou technique
performante.
Commentaire :
Un Point Fort est donc :
• soit un élément qui dépasse les exigences du référentiel d’audit.
• soit un élément qui ne dépasse pas les exigences du référentiel d’audit, mais sur lequel
l’organisme Client a démontré une pratique exemplaire et une efficacité remarquable
La formulation d’un Point Fort doit être étayée.
Note (Note) Constat de conformité par rapport au référentiel d’audit.

Commentaire :
Une note est utilisée pour :
• démontrer en premier lieu la conformité à un critère audité,
• répondre aux « points spécifiques à auditer » (cf. Revue préparatoire),
• préciser une spécificité notable du Système de Management,
• garder trace d’un constat effectué lors de l’audit et documenté dans le rapport sans
qualificatif particulier.
• Les Notes complètent tous les autres constats faits par ailleurs sous forme de PF, PP, PS,
NC min et NC maj.
1.2. Termes relatifs aux audits de systèmes de management
Accès à distance Dans le cadre d’un audit, l’accès à distance à des données, à des personnes via des
moyens électroniques tel que la « Visio-conférence », ou d’autres moyens, permet
parfois d’échantillonner des données tout en limitant les temps et coûts de déplacement.
(Dans le cadre de l’audit d’un site virtuel les mêmes principes s’appliquent). Ces
modalités d’audit peuvent être proposées au client par le RA et inversement. Si ces moyens
sont retenus par l’organisme, les accès et moyens nécessaires seront dans ces cas planifiés
avec le RA et à détailler précisément au plan d’audit (par exemple : salle, heures, participants,
codes de connexions, pré requis etc…). Les résultats d’audit ainsi obtenus peuvent être
considérés comme un échantillonnage d’un site distant.
CERTI I 0419.9 – 07/2016 6/62

Audit combiné Audit où plusieurs Systèmes de Management (SMQ, SMS, SME) sont audités ensemble.
(Combined Audit) Commentaire :
L’audit combiné n’est réalisable qu’avec des Systèmes de Management présentant un
minimum d’intégration.
Audit complet Audit où toutes les exigences du référentiel d’audit sont auditées.
(Complete Audit)
Audit d’Etape 1 L’audit d’Etape 1 est une préparation approfondie réalisée généralement sur site par le
(Stage 1 Audit) RA.
L’ordre de Mission transmis au RA précise l’accord pris avec le client. L’audit d’Etape 1 est
obligatoire dans le cadre d’une certification initiale. Il est également obligatoire dans le cas
d’entreprise ayant connu des changements importants (fusion, extension…).
Cet audit est documenté par le RA dans un rapport spécifique composé de deux documents :
• le « rapport d’audit d’Etape 1 » (Stage 1 Audit) avec en annexe
• la « revue préparatoire et projet de plan d’audit ».
Audit d’Etape 2 ou Audit Quelle que soit la terminologie utilisée, cet audit est l’audit système réalisé par l’équipe
(Stage 2 Audit or System d’audit complète selon le plan d’audit établi et validé avec le client.
Audit)
Audits de Surveillance Les activités de surveillance selon l’ISO 17021, sont définies au travers des Ordres de
(Surveillance Audit) Mission adressé à l’équipe d’audit. Les audits de surveillance, appelés précédemment
« audits de suivi » au sein d’AFNOR Certification sont une des composantes des
activités de surveillance. (Surveillance audit or Follow up audit)
Audit mono-Système Audit où un seul Système de Management (SMQ, SMS, SME) est audité.
(Mono system Audit)
Audit partiel Audit où seulement une partie des exigences du référentiel d’audit est auditée.
(Partial Audit)
CAAT C’est à dire techniques d’audits assistés par Ordinateur.

(Computer Assisted Auditing L’ISO 17021:2011 et le document IAF MD 4:2008 autorisent l’emploi de solutions techniques
Techniques) telles que la conférence téléphonique, la visioconférence, l’accès à distance via WEB à des
sites virtuels / des processus / des documents du système de management et leur emploi dans
des audits de système de management sous réserve que leur utilisation ne dépasse pas 30%
du temps d’audit sur site. Un site distant ou un site virtuel audité avec ces techniques peut être
validé par le RA comme faisant partie de l’échantillonnage. C’est au RA de vérifier et de
déclarer que les moyens d’investigation retenus en concertation avec le client sont adéquats.
Champ de l’audit Etendue et limites d’un audit (cf. périmètre de l’audit selon § 9.1.2.2.3 ISO 17021 :2011).
Périmètre de l’audit (« Audit scope »)
(Audit Scope) Commentaire :
AFNOR Certification utilise deux termes pour désigner l’étendue et les limites d’un audit :
• Le « périmètre » pour les lieux et unités organisationnelles (liste et adresse des sites).
• Le « champ » pour les processus et les activités. (Libellé de la certification)
• Il n’est fait usage que de périmètre d’audit dans ce guide.
Conseil Contribution à l’élaboration, à la mise en œuvre ou à l’entretien d’un Système de

(Advice) Management.
Commentaire :
Par déontologie, le groupe AFNOR s’interdit de donner tout conseil. En conséquence, aucun
conseil, verbal ou écrit, n’est donné lors de chacune des activités d’audit.
Constats Preuves d’audit (« audit evidence or audit issue »)

(Audit finding) Dans les constats sont enregistrés les preuves d’audit et l’exigence associée du référentiel.
Ceci permet au client de faire le lien avec le dossier, projet ou exemple pris lors de l’audit et
ainsi de pouvoir mieux faire le lien avec la conclusion qui en est tirée.
CERTI I 0419.9 – 07/2016 7/62

Contrat d’application de Contrat signé par l’auditeur avec AFNOR Certification définissant les modalités de
prestations d’audit prestation de service pour le groupe AFNOR. Il est d’application pour les auditeurs France et
(Certification contract) certains auditeurs hors France. (code CERTI F 0792.x). Ce contrat complète les clauses du
contrat cadre d’AFNOR Développement (CERTI F 0941.x) qui est également signé par
l’auditeur. Ce contrat règle également les questions relatives à la confidentialité et risques de
conflit d’intérêt (voir code de conduite ci-dessous).
Code de Conduite Ce document définissant les règles de confidentialité et la prévention des risques de
(Code of conduct) conflits d’intérêt est signé par tous les auditeurs du groupe AFNOR. Sa gestion est suivie
par le DGECE. (code du document CERTI F 0899.x)
Cycle d’audit Ensemble d’audits du Système de Management d’un organisme, réalisé par le même
(Audit cycle / Audit Responsable d’Audit en général sur un contrat de 3 ans.
programme) Commentaire :
Un cycle d’audit est en effet calé sur le cycle suivi par le même Responsable d’Audit qui, sauf
exceptions, est de trois ans (un audit initial ou de renouvellement pour la première année, un
audit de surveillance 1 pour la deuxième année et un audit de surveillance 2 pour la troisième
année). (ceci correspond au Programme d’audit selon ISO 17021)
Experts techniques Les connaissances et le savoir-faire des auditeurs peuvent être éventuellement
complétés par des experts techniques, traducteurs ou interprètes. Ils opéreront alors
tous sous la direction d’un auditeur, seront cités au plan d’audit et sont soumis aux
mêmes règles de confidentialité. Ces experts ne modifient pas la durée de l’audit et ne
sont que des aides pour les auditeurs. Ils peuvent intervenir dans toutes les phases de
l’audit, depuis la préparation jusqu’à l’aide à la rédaction du rapport.
Guide (accompagnateur) Un guide est une personne nommée par le client afin d’assister les auditeurs pendant
leur audit et de les guider au sein de l’organisme audité dans les différents services
précisés au plan d’audit vu qu’un auditeur n’est pas censé circuler sans
accompagnateur chez un client. Le client à libre choix pour choisir cet accompagnateur.
Guide SI Guide ou document assimilé, à l’attention des auditeurs, spécifique par région et mis à
(IT Guide) disposition par l’OC ou l’antenne régionale de l’OC. Il décrit les solutions et règles liées
aux applications informatiques en place nationalement que les auditeurs doivent
connaître.
Les auditeurs peuvent contacter l’OC ou CDC afin d’y avoir accès.
Instance de Décision C’est une personne qualifiée par l’OC qui prend la décision suite à chaque audit. Il peut
(Decision Making Body) en cas de besoin faire appel au Groupe d’Evaluation et de Décision (GED) : ce sont des
experts externes ou internes du groupe AFNOR, qualifiés par l’OC, qui peuvent donner
un avis avant la prise de décision.
Observateur Est une personne qui accompagne un auditeur mais qui n’intervient pas en audit.
Ordre de Mission Document émis par l’OC adressé à l’auditeur lui définissant les objectifs de l‘audit, le contenu et
(Purchase Order to Auditors ) éventuellement les spécificités (par exemple traitement de plaintes enregistrées par l’OC, etc.)
de l’audit qu’il doit réaliser.
Organisme Client Audité.

(Client organisation / Auditee) Commentaire :
Dans ce Guide, les termes « organisme Client », « Client » et « Audité » sont synonymes.
CERTI I 0419.9 – 07/2016 8/62

Programme Un programme d’échantillonnage se base sur un ou plusieurs lot(s) identifié(s) de même

d’échantillonnage activité se déroulant sur un ou plusieurs site(s).
(Sampling Programme) Ces lots doivent être homogènes du point de vue « système et maturité de management
» ce dont le responsable d’audit s’assure dans la phase préparatoire ou lors de l’audit
d’Etape 1. Pour ce faire, il peut s’appuyer sur l’analyse de la documentation (SM unique),
sur les comptes rendus d’audits internes (l’ensemble du lot est évalué) et sur les
performances mesurées via les revues de direction.
Par exemple, une entreprise qui a 20 agences qui ont la même activité, va démontrer, à l’aide
des résultats d’audits internes et des données de sa revue de direction, que ses 20 agences
ont une maturité système similaire et des performances comparables. De ce fait, ces agences
forment un lot homogène sur lequel les auditeurs peuvent échantillonner leurs audits. Par
exemple : 5 agences seront auditées en audit initial sur les 20 agences que comporte le lot
d’agences.
En cas de Non-conformité détectée au cours de l’audit sur l’une des agences, la
représentativité et l’homogénéité de l'échantillon défini peuvent être remises en cause par le
RA. Ceci fait que le RA devra vérifier si la NC ne concerne pas éventuellement d'autres
agences sur l'ensemble du lot (les 20 agences de cet exemple). Le RA devra s'assurer ensuite
de la résolution de cette NC sur tous les sites concernés du lot, et pas seulement sur les seuls
sites audités. Il devra faire la démonstration du résultat positif de cette vérification également
sur chacun de ces sites.
Ces principes sont décrits plus en détail au chapitre 4 de ce guide et sont documentés dans le
document « revue préparatoire et plan d’audit ».
Référentiel d’audit Critères d’audit.

(Audit reference criteria / audit Commentaire :
criteria)
Le référentiel d’audit est le référentiel de l’Audité (ensemble de politiques, procédures ou
exigences déterminés = son système de management documenté) et une ou plusieurs des
Normes internationales par exemple ISO 9001 + OHSAS 18001 + ISO 14001 + ISO 50001
associé à la version contractuelle.
Le terme de « Référentiel d’audit » ne doit pas être confondu avec le terme « Norme » ou le
contenu d’une Norme qui serait réducteur. Les constats d’audits sont exprimés par rapport au
« référentiel d’audit » et donc ne se limitent pas à la norme applicable.
Responsable d’audit (RA) C’est un auditeur qui a démontré qu’il a la capacité de conduire un audit et de restituer ses
conclusions dans la cadre d’un rapport d’audit en autonomie. Il peut intervenir seul ou diriger
une équipe d’auditeurs. Dans ce dernier cas il aura comme responsabilité de responsable
d’équipe d’audit tel que défini ci-après.
Responsable d’équipe Le responsable d’équipe d’audit est la personne qui dirige l’équipe d’audit. Ses compétences
d’audit (REA) (Audit team répondent aux critères suivants :
leader) • c'est a minima un RA, sur au moins un des référentiels de la mission,
• c'est normalement le RA du référentiel critique ou le plus sensible du client (si cette
notion existe),
• c’est un RA confirmé, habitué aux audits de groupes réalisés avec plusieurs auditeurs,
• il a une capacité de synthèse et d'autorité auprès des autres auditeurs de l’équipe. Il
doit veiller à aboutir à une conclusion d'audit claire et défendue par son équipe d'audit auprès
du client pour la globalité de la mission,
• il parle si possible la langue du siège de la société afin de présenter facilement les
conclusions d'audit à la direction.
Si un REA a été nommé dans le cadre d’un audit, considérez que toutes les mentions faites
avec le titre de RA dans ce guide sont applicables au REA
Situation énergétique de C’est une référence quantifiée servant de base pour la comparaison de performances
référence (SER) énergétiques. Elle reflète une période donnée. Elle peut être normalisée à l’aide de facteurs
affectant l’usage et/ou la consommation énergétique, tel que le niveau de production, des
degrés-jour (température extérieure), etc. Elle peut être utilisée pour calculer les économies
d’énergie, à titre de référence, avant et après mise en œuvre d’actions visant à améliorer la
performance énergétique. (ISO 50006 v2014)
Très Petite Entreprise Organisme n’appartenant pas à un groupe et d’un effectif total inférieur à 20 personnes.
(Very Small Company) Commentaire : Il n’y a plus de guide d‘audit spécifique TPE ni de trames de rapport
spécifiques pour les TPE en 2016.
CERTI I 0419.9 – 07/2016 9/62

1.3. Abréviations
Une traduction en anglais est ponctuellement fournie en italique afin de faciliter et d’homogénéiser la terminologie
utilisée au sein du groupe dans le cadre de missions d’audits à l’international.
CAAT « Computer Assisted Auditing Techniques », c’est à dire Techniques d’Audit Assistées par Ordinateur
(peut être également vu en abrégé sous l’appellation « TAAO »)
CDC Chargé de Clientèle : Interface client au sein de l’OC. (« Coordinator manager or Coordinator", en abrégé
CO en anglais). Ce terme remplace l’ancienne appellation de Chargé d’affaires.
DGECE Département Gestion des Expertises et Compétences Extérieures : ce département du groupe AFNOR a
pour mission d’identifier, de gérer et qualifier les compétences des auditeurs Français et Internationaux, de
proposer les auditeurs adaptés et compétents pour les missions en France, de gérer les contrats des
auditeurs et d’animer le réseau d’auditeurs ainsi constitué par le DGECE.
EPI Equipements de Protection Individuels : type chaussures de sécurité, lunettes, casque, protections
auditives, etc.
ES Système de management de l’Environnement et de la Santé, Sécurité au travail.
FNC Fiche de Non-conformité = formulaire utilisé afin de documenter les deux types de Non Conformités ci-
dessous. (« NCR » ou « Non Conformity Report » en anglais)
NC-Maj Non-conformité Majeure documentée sur une Fiche de Non-conformité (FNC) (« major Non Conformity
Report » ou maj NCR en anglais)
NC-min Non-conformité mineure documentée sur une Fiche de Non-Conformité (FNC) (« minor Non Conformity
Report » ou min NCR en anglais)
OdM Ordre de Mission (« Purchase Order to Auditors » en anglais)
OC Organisme de Certification : Organisme titulaire du contrat de certification, effectuant l’audit, prenant la

décision de certification et délivrant le certificat. (« CB » ou « Certification Body » en anglais)
PS Point Sensible (« Area of Concern » ou « AOC » en anglais)
PP Piste de Progrès (« Opportunity for Improvement » ou « OFI » en anglais)
PF Point Fort (« Strong Point » ou « SP » en anglais)
QSEÉ Qualité, Santé et Sécurité, Environnement, Énergie
REA Responsable d’équipe d’audit (Audit team leader)
RA Responsable d’Audit (« Lead Auditor » ou « LA » en anglais)

Voir également ci-dessus la définition du responsable d’équipe d’audit
SI Système d’Information, c’est à dire les moyens informatiques mis à disposition et à utiliser afin de réaliser
une mission d’audit conforme pour l’OC. (IT System)
SM Système de Management Qualité (ISO 9001:2008/2015) et/ou Santé et Sécurité (OHSAS 18001:2007, ILO-
OSH 2001) et/ou Environnemental (ISO 14001:2004/2015) dans les cas les plus fréquents (« Management
System » ou « MS » en anglais). Un système de management peut également être évalué selon une multitude
d’autres référentiels d’audit tel que l’ISO 50001 relatif à l’énergie.
SME Système de Management Environnemental (ISO 14001:2004/2015) (« EMS » ou « Environmental

Management System » en anglais)
SMÉ Système de Management de l’Énergie (ISO 50001 :2011) (« EMS » ou « Energy management system en
anglais)
CERTI I 0419.9 – 07/2016 10/62

SMQ Système de Management Qualité (ISO 9001:2008/2015) (« QMS » ou « Quality Management System » en
anglais)
SMS Système de Management de la Santé et de la Sécurité au Travail (OHSAS 18001:2007, ILO-OSH 2001)
(« OHSMS » ou « Occupational Health and Safety Management System » en anglais)
SOURCE Base de données gérée par le DGECE d’AFNOR contenant les caractéristiques, compétences et disponibilités
des auditeurs sous contrat avec le groupe AFNOR
SST Santé et Sécurité au Travail (« Occupational Health & Safety » ou « OH&S » en anglais)
TPE Très Petite Entreprise (Very Small Compagny / VSC en anglais)
CERTI I 0419.9 – 07/2016 11/62

2. Différents types d’audit
Un programme d’audit comprend un audit initial en deux étapes puis des audits de surveillance durant la première
et seconde année. Un audit de renouvellement est planifié au cours de la troisième année avant expiration de la
certification.
La définition de ces audits est donnée ci-après mais également celle d’autres types d’audit pouvant être
nécessaires selon les besoins du système audité.
2.1. L’audit initial : Audit d’Etape 1 et Audit d’Etape 2

Objectif
S’assurer que le Système de Management est conforme au référentiel d’audit et qu’il est mis en œuvre et
entretenu.
Caractéristique
L’audit initial couvre la totalité des éléments du SM du périmètre de la certification contractuellement défini. Il se fait
en deux Etapes.
• L’Etape 1 qui permet de préparer et d’évaluer sur site la faisabilité de l’audit d’Etape2.
• L’Etape 2 qui est l’audit de conformité aux référentiels choisis destiné à aboutir à une décision relative à la
certification demandée.
Le plan d’audit pour l’étape 2 est élaboré au cours de l’audit d’Etape 1. Il est mis en œuvre par le RA ou l’équipe
d’audit au cours de l’audit d’Etape 2.
Pour les TPE, la préparation des audits d’étape 1 et d’étape 2 peuvent être accolées. Les auditeurs ne disposent pas de temps
additionnel de rédaction du rapport. De ce fait, le RA finalise majoritairement le rapport sur site avant la réunion de clôture.
2.2. L’audit de surveillance

Objectif
S’assurer que le Système de Management déjà certifié demeure conforme au référentiel d’audit afin de confirmer
le maintien de la certification en cours.
Planification
Au minimum deux audits de surveillance sont prévus pendant la durée de validité du certificat soit :
• un premier audit de surveillance qui doit avoir lieu impérativement dans un délai maximal de douze mois à
ème
compter de la décision de certification initiale. (Il est programmé en général dans le 11 mois qui suit toute
certification initiale ou de renouvellement) : C’est l’audit de surveillance 1.
• un second audit de surveillance est programmé avec comme date cible 24 mois (+/-1mois) à compter de la date
de décision de certification. C’est l’audit de surveillance 2.
Alternative optionnelle: les audits de surveillance peuvent également être organisés tous les 6 mois de ce fait au
ème ème ème ème
6 , 12 , 18ème, 24 et 30 mois qui suit l’audit initial ou de renouvellement. Si ce type de surveillance est
souhaité par l’organisme, il doit être chiffré par le commercial afin d’être organisé par le Chargé de Clientèle.
Equipe d’audit
Sauf exception, les audits de surveillance sont réalisés par le RA qui a réalisé l’audit initial. Toutefois, en fonction
de la complexité et/ou de l’importance de l’audit, un ou plusieurs auditeurs de l’équipe initiale, peuvent
l’accompagner sur les audits de surveillance si nécessaire.
2.3. L’audit de renouvellement

Objectif
C’est de s’assurer à l’issue des trois années que le SM de l’organisme Client demeure conforme au(x)
référentiel(s) d’audit et qu’il est mis en œuvre et entretenu efficacement.
CERTI I 0419.9 – 07/2016 12/62

Planification
L’audit de renouvellement est planifié deux à trois mois avant la fin de validité du certificat afin de renouveler le
certificat impérativement avant sa fin de validité.
Cette planification laisse à l’organisme Client le temps de mener à bien d’éventuelles actions correctives avant
l’expiration du certificat en cours.
Caractéristique
L’audit de renouvellement couvre la totalité des éléments du SM et du périmètre de la certification
contractuellement défini.
Equipe d’audit
Les audits de renouvellement sont réalisés majoritairement par une équipe différente de celle du cycle d’audit
précédent. Néanmoins le maintien d’un auditeur peut s’avérer utile afin d’assurer une continuité d’information ou
une continuité d’audit dans un environnement complexe. Ceci peut dans des cas exceptionnels être envisagé par
le CDC avec le client et faire l’objet d’une dérogation.
2.4. Cas d’audits particuliers

2.4.1. Cas d’un audit avec modification des référentiels d’audit ou du libellé de la
certification existante (nouveaux sites, nouvelles activités à inclure dans le
périmètre déjà certifié…) appelé « audit d’extension »
Selon le cas, l’audit avec modification est traité :
• comme un audit initial ou de renouvellement, c’est à dire avec une durée d’audit augmentée ou diminuée par
rapport à l’audit initialement prévu si la modification est importante (exemple : extension d’un SM Qualité vers un
Système intégré Qualité et Environnement),
• ou avec une durée inchangée si l’audit d’une extension de sites ou d’activités est de faible ampleur au regard de
l’audit initialement prévu (exemple : extension du SM à une nouvelle activité sur un site déjà certifié pour
d’autres activités dans le cadre d’un audit de surveillance).
Chaque cas sera analysé et traité en fonction des besoins client. Une offre détaillée sera établie en cas de
changement de durée d’audit. Un audit d’Etape 1 peut s’avérer utile et nécessaire en cas de changements jugés
importants.
2.4.2. L’audit complémentaire

Objectif
C’est de permettre la levée de toutes les Non-Conformités majeures et du plus grand nombre de NC mineures.
Ceci s’applique lorsque ces NC nécessitent une vérification sur site de l’efficacité des actions que l’organisme
Client a mises en œuvre, donc un déplacement d’un auditeur sur site.
Planification
Après notification de la décision, le délai de réalisation est limité à 3 mois après cette date de décision ou au plus
tard jusqu’à la fin de validité du certificat afin de lever les Non-conformités majeures. Si ce délai n’est pas respecté
ou que la levée des NC Maj n’est pas confirmée, une suspension de certification peut être décidée par l’OC.
La durée sur site est adaptée au nombre d’exigences et de NC du SM de l’organisme Client à auditer (le plan
d’audit se focalise sur les activités qui ont donné lieu à ces Non Conformités).
Equipe d’audit
L’audit complémentaire est programmé et réalisé par le responsable de l’audit précédent.
CERTI I 0419.9 – 07/2016 13/62

2.4.3. L’audit de surveillance anticipé
Lorsque le système de management de l’organisme est déclaré conforme, mais que les conclusions d’audit sont
insuffisantes pour donner confiance quant à son fonctionnement effectif, l’Instance de Décision peut délivrer le
certificat sous la condition qu’un audit de surveillance anticipé soit organisé. Le SM en question est souvent un SM
conforme au référentiel d’audit mais récent dans sa mise en œuvre.
L’objectif et l’équipe d’audit sont identiques aux audits de surveillance, seule la planification diffère.
Planification
Deux audits de surveillance pendant la durée de validation du certificat sont maintenus mais avec une planification
spécifique:
• un audit de surveillance 1 anticipé et un audit de surveillance 2,
• ou bien un audit de surveillance 1 et un audit de surveillance 2 anticipé.
Caractéristiques
L’anticipation de l’audit de surveillance :
• est décidée en fonction des dates cibles des actions menées par l’organisme Client suite aux NC de l’audit
précédent,
• doit être réalisé au moins 3 mois avant la date du planning prévisionnel « classique ».
2.4.4. L’audit circonstancié (exceptionnel)
Ce type d’audit est décidé lorsque des faits font douter du maintien de la conformité ou de l’application du Système
de Management.
Cet audit est en général organisé suite à une réclamation majeure (mettant en cause le bon fonctionnement du
SM) et parfaitement argumentée par exemple:
- réclamation émise par un Client de l’organisme Client certifié,
- réclamation d’une partie intéressée, mise en demeure de l’administration.
Objectif
C’est de s’assurer que le Système de Management certifié est toujours conforme au référentiel d’audit et qu’il est
mis en œuvre et entretenu. L’auditeur analysera les causes de défaillance rencontrées ou supposées. Il collectera
des informations pour que l’organisme de certification puisse répondre au plaignant et de prendre une décision
relative au maintien de la certification.
Planification
L’organisme Client est prévenu mais avec un préavis court (de quelques jours).
Caractéristiques
Elles sont déterminées au cas par cas.
2.4.5. Cas d’un organisme Client en cours de restructuration
L’Organisme Certificateur peut organiser des audits adaptés qui permettent à un organisme Client en cours de
restructuration conséquente ou d’une situation transitoire de maintenir son certificat sous certaines conditions. Le
Chargé de Clientèle est à la disposition du client pour lui préciser les conditions.
Ci-dessous quelques types d’audits pour des situations spécifiques.
Audits de transition :
AFNOR Certification peut proposer à un client, dont l’organisation connaît des évolutions majeures (restructuration,
réorganisation, déménagement, fusion ou acquisition…) qui ont un impact important sur son Système de
Management, des dispositions spécifiques de maintien de sa certification pendant cette période dite de transition.
Ces dispositions sont les suivantes :

• Établissement par le client d’un plan de transition pour la période perturbée.
CERTI I 0419.9 – 07/2016 14/62

• Analyse et décision pour le maintien ou la suspension du certificat existant pour la période de transition
• Réalisation d’audits dits audits de transition afin de vérifier que le Système de Management est toujours
maîtrisé et le plan de transition appliqué dans le cas où le certificat a pu être maintenu. Un audit doit être réalisé
sur chaque période de 4 mois.
Un guide spécifique pour des audits de transition (CERTI I 0709) est disponible auprès de votre Chargé de
clientèle.
2.4.6. Transition vers les Versions 2015 de l’ISO 9001 et 14001 pour une entreprise déjà
certifiée mais ne souhaitant attendre l’audit de renouvellement:
Voir l’annexe 2 de ce guide
2.5. La Vérification documentaire par le RA et le Suivi Documentaire par

l’OC.
La vérification documentaire et le suivi documentaire sont réalisés depuis les bureaux, il n’y a pas de déplacement
d’auditeurs sur site.
2.5.1. La vérification documentaire par le RA

Objectif
C’est de permettre la levée de toutes les Non-Conformités majeures et du plus grand nombre NC mineures, dans
les cas où la levée des NC peut se faire par examen de documents ou d’enregistrements transmis par le client
suite aux NC, y compris photos, vidéos etc... Le RA peut être amené à avoir un entretien téléphonique ou à
demander des compléments ou des précisions par les moyens qu’il juge appropriés afin d’éviter un audit sur site.
Planification
Après notification de la décision, le délai de réalisation est limité à 3 mois. La durée est adaptée au nombre de
documents et d’enregistrements à examiner par le RA. Le RA reçoit également un ordre de mission pour cette
vérification.
Equipe d’audit
La vérification documentaire est réalisée par le RA de l’audit précédent.
Le contenu et la structure du rapport sont détaillés au § 1.5 de l’annexe 1 à ce guide.
2.5.2. Le suivi documentaire par l’OC
Le suivi documentaire est un examen, basé sur des preuves documentaires, du traitement des Non Conformités.
Planification
La date du suivi documentaire est fixée au cas par cas par l’Instance de Décision mais doit être réalisé sous 3 mois
maximum.
Réalisation
Le suivi documentaire est réalisé par le personnel qualifié de l’OC et non pas par le RA. Il porte sur les points
précisés par l’Instance de Décision de l’OC.
Ce suivi ne fait pas l’objet d’un rapport d’audit tel que celui présenté dans ce Guide, seuls les points examinés sont
vérifiés et enregistrés pour décision.
2.6. Traitement des Appels et plaintes par l’OC

Tout appel ou plainte client ou provenant d’une partie intéressée est enregistré, vérifié et traitée au sein de l’OC
concerné dans le respect du § 9.7 et §9.8 des exigences de l’ISO 17021. En cas de nécessité les auditeurs
(majoritairement le RA) peuvent être missionnés afin de vérifier le traitement d’une réclamation justifiée entrant
dans le périmètre de la certification de l’organisme audité. Les modalités de traitement de réclamations sont
accessibles en ligne à l’adresse suivante :
http://www.afnor.org/metiers/certification/engagements#p32531
CERTI I 0419.9 – 07/2016 15/62

3. Différentes phases d’un audit
Généralités
Le contrat qui lie un OC à un client pour des certifications de systèmes de management précise :
• qu’un cycle habituel d’audit est composé de 3 audits répartis sur 3 ans : audit initial ou de renouvellement, puis
deux audits de surveillance. Un audit de renouvellement est proposé à l’issue des 3 ans.
• qu’une équipe d’audit dirigée par un responsable d’audit est constituée et missionnée généralement pour la
durée de ce cycle.
Ce cycle d’audit est également appelé programme d’audit.
Par rapport à ce standard, il peut exister de multiples variantes :

• un audit complémentaire peut s’avérer nécessaire : le cycle de 3 ans comprend alors 4 audits,
• une extension/réduction de périmètre de certification (modification du libellé du certificat), du périmètre de la
certification (modification des sites concernés) ou de référentiels (extension à un référentiel supplémentaire) est
demandée par l’organisme client en cours de cycle : le cycle et le nombre d’audits peuvent rester identiques ou
évoluer, mais l’objectif d’un des audits sera modifié (audit d’extension en plus de l’audit de surveillance
initialement prévu).
Un ordre de mission est établi lors du déclenchement de chaque audit. Il définit exactement, pour l’équipe d’audit
choisie, l’objet et le contenu précis de sa mission dans le respect des engagements pris avec le client.
Ci-dessous sont présentées les étapes du cycle périodique de gestion des audits. Chacune de ces étapes est
détaillée et expliquée dans les sous chapitres suivants en précisant :
- le pilote / les acteurs
- les Objectifs
- le déroulement du Processus
- les Règles d’application
§ 3.1
Initialisation d'un cycle § 3.2
d'audit de 3 ans Déclenchement § 3.3
de l'audit Réalisation de la revue
des documents
et/ou audit d'étape 1
§ 3.8 § 3.9
Suivi d'audit Fin du cycle
§ 3.4
Préparation des activités
§ 3.7 d'audit sur site: plan d’audit
Clôture de l'audit
§ 3.5
§ 3.6 Réalisation des activités d'audit sur
Préparation, approbation et site (audit d'étape 2)
diffusion du rapport d'audit
CERTI I 0419.9 – 07/2016 16/62

Délais entre ces étapes :

Date cible Etape Actions ou étape d’avancement du dossier
J1- 4 mois §3.2 Le déclenchement d’audit se fait généralement 4 mois avant date de l’audit.
J1- 5 à 3 §3.3 L’audit d’Etape 1 se déroule s’il a lieu quelques semaines avant l’audit d’Etape 2 (sauf
semaines cas particulier des TPE) afin que le client ait le temps de corriger les éventuels problèmes
identifiés lors de cet audit. (> 2 semaines).
J1-15 jours §3.4 La préparation des activités d’audit sur site (revue documentaire) et l’envoi d’un projet
de plan d’audit doivent être finalisées et transmis au moins 15 jours avant le premier jour
d’audit au client et au chargé de clientèle.
J1-Jf §3.5 Audit sur site : J1 étant le premier jour d’audit et Jf= dernier jour d’audit sur site
Jf En cas de non-conformités identifiées lors de l’audit d’Etape 2 le RA formalise les FNC

et les rend disponible au client en fin d’audit. Par défaut il peut les présenter oralement en
expliquant le constat, l’exigence, le libellé de la NC et son classement en Majeur ou
mineur.
Jf+7 jours maxi Le RA finalise la rédaction du rapport y compris le rédactionnel définitif des NC et le
transmet au client.
En cas d’absence de NC et si le client ne souhaite pas relire ou commenter le rapport
d’audit, le RA peut envoyer directement le rapport à l’OC pour décision. Le client est en
copie. Sous Opéra, la validation du client est requise. En l’absence de réponse sous 7
jours, sa validation est considérée comme acquise et le RA peut finaliser le rapport
d’audit.
Jf+14 jours / §3.6 Il est demandé au client de :
sous 7 jours à - renseigner les FNC des éléments et actions qu’il prévoit,
réception des - de remonter ses commentaires ou souhaits relatifs au rapport d’audit,
NC par le client - transmettre ces infos au RA dans les meilleurs délais (sous 7 jours calendaires maxi.
Jf+21 jours §3.6 Le RA a ensuite 7 jours calendaires afin de compléter et finaliser ces FNC, pour finaliser
son rapport et le transmettre au CDC pour prise de décision par l’Organisme de
certification.
Jf + 1 mois §3.7 L’OC a pour objectif de transmettre sa décision, le certificat et le rapport finalisé au
maxi client sous un mois après le dernier jour d’audit.
Validité du La date de départ de la validité du certificat est la date de décision de l’OC et sa durée
certificat de validité est de 3 ans
Audit Initial : Si l’audit d’Etape 2 a mis en évidence des NC Maj qui n’ont pas pu être levées dans les
Levée des NC 6 mois suivant le dernier jour d’audit d’étape 2, un nouvel audit d’étape 2 complet devra
Majeures. être réalisé avant de pouvoir donner un avis favorable à la certification.
Date du Suivi 1 L’audit de surveillance 1 suivant un audit initial est programmé 11 mois après la date de
décision de certification initiale. La date limite de réalisation du premier audit de
Surveillance (S1) après l’audit initial est la date d’anniversaire de la décision.
Audit de La levée de NC Majeures doit être réalisée à l’occasion d’une action complémentaire
surveillance : (par exemple audit complémentaire, vérification documentaire…) dans un délai fixé par
levée des NC l’OC généralement de 3 mois suivant la décision.
Majeures.
Date de l’audit L’audit de renouvellement doit être réalisé 2 à 3 mois avant l’échéance du certificat en
de cours. Le rapport de renouvellement doit être transmis au plus vite par le RA afin que
renouvellement. l’OC puisse prendre la décision avant la fin de validité du certificat. L’OC ne peut pas
prolonger des certificats existants.
Audit de Si ces écarts ne peuvent pas être levés dans les 6 mois suivant la fin de validité du
renouvellement : certificat, un audit complet devra être réalisé. La durée de cet audit sera celui d’un audit
levée des NC initial sans étape1 avant de pouvoir donner un avis favorable à la rectification de
Majeures l’organisme. La validité du cycle de certification débutera avec la date de cette décision.
La levée de NC Majeures doit être réalisée avant la fin de validité du certificat.
Si une NC Majeure n’a pu être clôturée avant cette date, le renouvellement de la
certification ne peut être recommandé. La certification ne peut être prolongée. Le RA doit
CERTI I 0419.9 – 07/2016 17/62

informer le client de cette contrainte. Si ces écarts sont soldés dans les 6 mois suivant la
fin de validité du certificat, l’OC peut rétablir la certification en conservant la date
d’anniversaire du cycle précédant.
Logigramme des interfaces :
Le logigramme ci-dessous montre les principaux flux d’information en termes de documents et de données
techniques dans le cadre de la réalisation d’un audit :
• Le commercial est la personne qui renseigne, évalue les besoins client, fait les offres et contractualise une
demande de prestation d’audit de certification. Elle peut également intervenir pour des évolutions significatives
du périmètre de certification en cours de contrat ou lors du renouvellement de cette certification. (Phase 3.1)
• Le Chargé de Clientèle est le contact logistique et opérationnel de l’organisation. Il assure le bon déroulement
des audits selon le contrat préétabli. Il établit les ordres de mission des auditeurs et peut gérer des avenants et
modifications mineures du contrat en autonomie.
• L’Organisme client est au centre de ces échanges qui doivent faciliter l’atteinte des objectifs de l’audit. A ce
titre l’organisme nomme à l’OC une personne de contact.
• Le responsable d’équipe d’audit ou responsable d’audit est en interface avec le Chargé de Clientèle, le client et
l’équipe d’audit. Les auditeurs, une fois missionnés par le Chargé de Clientèle, travaillent sous la direction du
REA/RA qui pilote l’audit et les interfaces avec le client. Le livrable est un rapport d’audit et une recommandation
par rapport à la demande de certification à l’attention de l’OC qui reste seul décisionnaire. C’est l’OC qui
transmettra ou mettra en ligne les rapports définitifs et certificats pour l’Organisme
• L’instance de décision est sollicitée par le chargé de clientèle afin de délivrer une décision de certification, de
maintien ou pas d’une certification existante.
WEB
AFNOR Certification
Espace Client.
Commercial : Client : Responsable d’équipe

analyse les besoins, Contact de l’OC choisi d’audit,
Définit et chiffre un par l’organisme. Responsable d’audit
programme d’audit Auditeurs
en termes de couts Observateurs
et de durée d’audit. Experts
Traducteurs / Interprètes
Instance de décision : Chargé de Clientèle : Gestion des Auditeurs :

Organe de décision au B.D.D. Auditeurs gérée
sein de l’OC par le DGECE =
« Source »
CERTI I 0419.9 – 07/2016 18/62

§ 3.1
Initialisation d'un cycle § 3.2
3.1. Contractualisation d’un cycle d’audit sur trois d'audit de 3 ans Déclenchement
de l'audit
§ 3.3
Réalisation de la revue
des documents et/ou
ans § 3.8
Suivi d'audit
§ 3.9
Fin du cycle
audit d'étape 1
§ 3.4
§ 3.7 d'audit sur site
Clôture de l'audit
Pilote : un Commercial de l’OC avec le Client § 3.5

§ 3.6 Réalisation des activités d'audit
Préparation, approbation et sur site (audit d'étape 2)
Objectif
• Informer le client des différentes offres proposées par l’OC et le Groupe AFNOR.
• Fournir au client toutes les explications relatives à la certification de systèmes de management QSEÉ ou selon
d’autres référentiels si besoin est.
• Mettre au point les objectifs de l’audit et signer un contrat de certification de système de management avec le
client.
• Définir la durée d’audit la plus adaptée au regard du domaine d’activité de l’organisme client, à partir de
l’analyse des besoins et du niveau d’intégration des systèmes de management en cas d’audit d’un système multi
référentiels.
Règles d’application
Cette phase est de la responsabilité du responsable commercial ou du Chargé de Clientèle en charge de la gestion
du client dans le cadre de besoins d’évolution exprimés par le client. Après signature du contrat, le commercial
transmet les informations et contrat au Chargé de Clientèle qui assure le déclenchement d’audit (voir phase 3.2).
Processus
Données d’entrée Actions Données de sortie
Commercial -> client : recueil Commercial : Commercial -> CDC :

des besoins et attentes du Offre de services sur les différentes prestations et produits contrat signé avec le client
client proposés par l’OC. incluant le programme
Signature d’un contrat
Explications et fourniture des informations nécessaires sur d’audit sur 3 ans.

de certification
le déroulement d’audits de certification. Ou

Pour un audit multi référentiels, le commercial doit évaluer Contrat adapté suite à un
en partenariat avec le client le niveau d’intégration de son changement ou une
Système de management. Sept questions permettent de évolution de l’organisme
l’évaluer et ainsi d’ajuster le temps d’audit.
Le RA vérifiera les réponses données lors de l’audit
d’Etape 1, puis au cours des audits suivants, il suivra ainsi
l’évolution du niveau d’intégration dans le temps.
Formalisation de l’offre retenue dans le cadre d’un contrat
de certification
Exclusions d’activités, de processus ou d’exigences : En général un organisme demande une certification de son
système de management pour la globalité de ses activités. Le libellé de certification souhaité doit en être le reflet.
Cas particulier : Si des exclusions ou limitations de périmètre sont souhaitées par l’organisme, le commercial doit
obtenir un descriptif précis des éléments à certifier mais aussi des éléments du système ne devant pas être
certifiés. Ainsi il adaptera son devis et pourra mentionner dans son devis le périmètre à certifier et en informer
précisément l’équipe d’audit. Le libellé de certification visé par l’organisme devra exprimer clairement les activités
certifiées et ne pas prêter à confusion. Le périmètre des sites à certifier ou ceux exclus devront être clairement
définis. Ces éléments devront être compris et retranscrits dans la revue documentaire par le RA.
De même tout souhait d’extension de périmètre devra être signifiée au commercial afin d’adapter l’audit aux
besoins nouveaux exprimés par l’organisme.
Cas d’un audit 50001 : Dans ce cadre certaines données spécifiques sont indispensable afin d’estimer le temps
d’audit nécessaire. Le client fournira ces données en remplissant le document « Demande de devis en
management de l’énergie » CERTI F 1463. Le RA aura à vérifier ces données lors de l’audit d’Etape 1 ou de
renouvellement.
CERTI I 0419.9 – 07/2016 19/62

3.2. Déclenchement d’un audit § 3.1

Initialisation d'un cycle
d'audit de 3 ans
§ 3.2
Déclenchement § 3.3
de l'audit Réalisation de la revue
des documents et/ou
audit d'étape 1
§ 3.8 § 3.9
Pilote : le Chargé de Clientèle de l’OC § 3.4
Clôture de l'audit
§ 3.5
§ 3.6
Objectifs Préparation, approbation et
Réalisation des activités d'audit
sur site (audit d'étape 2)
• arrêter une date d’audit avec le client et constituer une équipe d’audit adaptée, qualifiée et compétente,
• s’assurer que les auditeurs de l’équipe d’audit choisie ont compris et accepté la mission décrite dans leurs
Ordres de Mission.
• s’assurer que cette équipe est en situation de réaliser l’audit dans le respect des objectifs de l’audit définis par
l’OC en accord avec le client en lui communiquant les informations utiles et nécessaires.
NB : Une vérification documentaire par le RA qui n’est pas à proprement parler un audit, sera également déclenché
par le chargé de clientèle avec un ordre de mission. Le RA aura à fournir un rapport (cf. ci-dessous et § 1.5 de
l’annexe 1 au guide)
Processus
Commercial -> CDC: Contrat CDC : RA/A : OdM validés

signé par le client - demande aux RA et A de confirmer leurs disponibilités
Revue d’offre pour la mission. CDC-> Client : Dates et
équipe d’audit confirmés,
Proposition de l’équipe d’audit au client
CDC->DGECE/OC : RA/A :
Définition des compétences - vérifient leurs disponibilités, leur indépendance et leur Pour les nouveaux clients
nécessaires pour l’audit. compétence vis à vis de l’audité, Ouverture de l’espace client
- s’engagent à assurer la mission et se sont assurés qu’ils et transmission des codes
DGECE/OC ->CDC: ont la compétence et la qualification nécessaire pour cette d’accès et mots de passe
Proposition d’équipe d’audit. mission au regard des référentiels et secteurs d’activité du d’accès. Ce guide est mis à
client. En cas de doute ou dans la négative ils contactent le disposition et actualisé
CDC pour vérifier cet aspect, régulièrement dans cet
- valident l’OdM espace client
CDC:
- propose l’Equipe d’audit aux dates souhaitées par le
client.
Client :
- confirme son accord sur l’équipe et les dates d’audit.
- il a la possibilité de récuser un ou des auditeurs sous
réserve de le justifier et de transmettre sa demande par
écrit.
CDC:
- le cas échéant, adapte les dates et /ou l’équipe d’audit.
CERTI I 0419.9 – 07/2016 20/62

CDC->RA/A : RA : Statut
Prise en charge de la mission par le RA
Ordres de mission, libellé de - contacte le client et définit/ confirme avec lui les dates
certification, liste et adresses d’audit précises, Equipe d’audit confirmée
des sites du périmètre de - communique au CDC ces dates (cas où le CDC a défini dans sa mission et prête à
certification, copie du/des une période d’audit et non des dates précises). démarrer l’audit.
dernier(s) rapport(s), copie de
l’ancien certificat, programme CDC : Equipe d’audit ayant en
d’échantillonnage demandé, - crée une souche dans le système d’information d’AFNOR main tous les outils afin de
Réclamations éventuelles,… Certification qui génère les trames pré remplies. documenter son audit dans
- communique les informations nécessaires à la réalisation un rapport d’audit pré
SI -> RA/A : de la mission d’audit. rempli
Guide d’audit, Trames du
rapport & extraits de la baseRA :
client, Outils d’audit. - charge sur son PC les données de la mission, les trames
et outils nécessaires ainsi que les documentations mises à
Client -> RA/A ou CDC: Mise à disposition par le CDC ou le client.
disposition de la - contacte les membres de son équipe d’audit et s’assure
documentation du SM à auditer qu’ils ont accès aux informations, documentations et outils.
• Constitution de l’équipe d’audit et affectation des missions
Les critères à prendre en compte pour la sélection des auditeurs sont transmis par le CDC au DGECE qui
réalise la recherche dans « Source ». Le DGECE lui propose une équipe qualifiée et disponible conforme à sa
demande.
Ces critères sont principalement :
o les caractéristiques organisationnelles (structure de l’organisme Client, référentiel d’audit,...),
o le ou les secteurs d’activité de l’organisme à auditer,
o les dates de l’audit souhaitées par le client,
o leur proximité géographique,
o éventuellement d’autres caractéristiques liées à la culture de l’organisme Client.
L’équipe d’audit constituée est proposée à l’organisme Client par le CDC. Elle est composée d’un Responsable
d’Audit et complétée, si nécessaire, d’un ou plusieurs Auditeurs et éventuellement d’un Expert. Cette équipe est
indiquée sur la notification de l’audit qui leur est transmise par le CDC.
L’organisme client peut récuser un ou plusieurs membres de l’équipe. Dans ce cas, son représentant doit
envoyer à l’OC sa demande, dûment justifiée, de récusation d’Auditeur(s) tel que défini dans les clauses des
conditions générales de certification.
Pour des raisons pratiques, le RA ne peut pas être associé au choix des membres de l’équipe, mais il a la
possibilité de récuser le ou les équipiers ainsi que les éventuels observateurs proposés ; dans ce cas, il envoie
au CDC sa demande, dûment justifiée, de récusation du /des équipiers, du/des observateurs.
Le CDC l’informe des suites données à sa demande.
Note : Une équipe d’audit ne peut pas être constituée de plusieurs prestataires de services appartenant à un
même organisme externe.
• Cas particulier où un « Responsable d’Equipe d’Audit » doit être identifié parmi plusieurs RA :
o audit QSEÉ où la qualification du RA ne couvre pas tous les référentiels ce qui nécessite la
nomination de plusieurs RA.
o audit d'un organisme multi sites où plusieurs équipes auditent de façon séparée plusieurs sites
avec formulation de conclusions par site et rédaction éventuelle de NC. Ceci nécessite qu'un RA
soit nommé par équipe d'où l'existence de plusieurs RA même s'il n'y a qu'un référentiel en jeu (à
l'opposé du cas ci-dessus). Le Responsable d’Equipe d’Audit sera prioritairement un RA auditant le
siège.
o Cas d'un groupe où plusieurs certifications ont lieu (pilotées par des RA différents) et où un
Responsable d’Equipe d’Audit doit apporter une synthèse globale au siège. Le Responsable
d’Equipe d’Audit doit assurer des transmissions transversales d'informations auprès des différents
RA afin de satisfaire au cahier des charges de la mission d'audit. Il assure dans le cadre des
échantillonnages d'audit multi sites l'éligibilité des lots, le suivi et l'interprétation des Non
Conformités identifiés.
CERTI I 0419.9 – 07/2016 21/62

• Mission du « Responsable d’Equipe d’Audit » en complément de sa mission de RA.

o assurer le lien de leader avec le client pour la mission globale.
o garantir l'élaboration d'un plan d'audit global, unique et optimisé pour l'ensemble des référentiels
avec les différents RA de la mission.
o assurer le relationnel nécessaire avec les autres RA pour la réussite de la mission.
o assurer le suivi du traitement des NC auprès du client et assure l'interface avec les autres RA de la
mission (contact client unique)
o assurer une restitution synthétique auprès de la direction au siège.
o assurer la finalisation du / des rapports globaux ou de synthèse. Il sera le seul auditeur noté par
l’OC via la « FEPRA » (Fiche d’Evaluation de la Prestation du Responsable d’Audit).
o responsable du bon déroulement de la mission globale envers le client. Il est l'interlocuteur
privilégié avec le chargé d'affaire de l'OC.
o défendre la proposition auprès de l'OC pour l'ensemble des référentiels mais peut s'adjoindre l'aide
d'un RA de son équipe.
o faire normalement partie de l'équipe d'audit d'Etape 1
Sa mission de Responsable d’Equipe d’Audit sera précisée dans son ordre de mission. Dans la suite de ce guide
et sur le rapport il ne sera fait mention que de RA, responsable d’audit.
• Indépendance des Auditeurs

Conformément au « Contrat Cadre » et au « contrat d’application » adressé annuellement par le DGECE pour
l’OC aux Auditeurs, ces derniers s’engagent :
o à signaler toute relation incompatible qu’ils ont ou qu’ils pourraient avoir eu avec l’organisme Client,
à titre personnel ou du fait de leur employeur (activité de conseils, liens familiaux,…),
o à signaler toute relation avec un concurrent direct de l’organisme Client qui pourrait faire douter de
leur indépendance,
o à ne pas tirer profit de leur mission pour établir dans les deux années qui suivent des liens
commerciaux avec l’Audité.
Cette démarche garantit pour les clients leur impartialité et indépendance.
De même le client a la possibilité de récuser des auditeurs tel que décrit ci-dessus plus particulièrement s’il a
des doutes sur leur indépendance.
• Cas particulier de déclenchement d’audit complémentaire

Cette décision étant prise par l’OC, cela revient à déclencher un nouvel audit et à demander un nouveau rapport
qui aura une portée néanmoins ciblée et limitée en général à la vérification des NC majeures et mineures sur le
terrain, de ce fait la revue préparatoire et le plan d’audit seront très ciblés sur ces points.
• Cas particulier de déclenchement d’une vérification documentaire par le RA

Cette décision étant prise par l’OC, cela revient à déclencher une nouvelle mission, mais sans déplacement sur
le site client. Le RA rédige un nouveau rapport qui se limite, en général, à la vérification des NC majeures et
mineures (voir aussi annexe 1 du Guide §1.5) suivi d’une proposition de décision. En l’absence d’un audit sur
site, il n’y pas de revue préparatoire ni de plan d’audit.
• Documents et informations fournis par le CDC avec leur ordre de mission

En fonction du type d’audit à réaliser, le CDC fournit à l’équipe d’audit :
• le Programme d’échantillonnage d’audit défini dans l’offre de certification. Ceci s‘applique principalement
pour les entreprises multi sites ou présentant des activités sur des sites temporaires.
• d’éventuels documents supplémentaires nécessaires à la revue et à la préparation : copie du certificat, copie
de l’Annexe technique ou document équivalent citant le libellé, la liste et les adresses des sites à certifier, le
niveau d’intégration du système de management pour un audit multi référentiels, les 2 rapports d’audit
précédents pour les audits de renouvellement.
• les éléments relatifs aux éventuelles plaintes et réclamations faites auprès de l’OC à l’encontre de
l’organisme Client, le cas échéant.
• Accord sur la notification de l’audit avec le client

o Audit initial : Après réception de l’accord client sur le périmètre et les conditions de l’audit (conditions
financières, équipe d’audit et dates), le CDC confirme la mission aux auditeurs, leur envoie leurs ordres de
mission ainsi que les informations nécessaires. Les auditeurs ont ainsi tous les éléments techniques en main
définissant le client, ses activités et l’objet de leur mission. En validant leur ordre de mission ils confirment
qu’ils ont les compétences nécessaires requises ainsi que l’indépendance nécessaire à la bonne exécution
CERTI I 0419.9 – 07/2016 22/62

de leur mission. Dans cette phase le RA a les coordonnées de son équipe d’audit, il les contacte si besoin
est, afin de connaitre leurs compétences spécifiques et de convenir des contributions attendues lors de
l’audit à venir. Dans la phase préparation du plan d’audit il peut les mettre à contribution et les consulter. Les
dates des audits d’étape 1 et d’étape 2 ont été arrêtées. L’audit d’Etape 1 se fera sur le site principal, sur un
site représentatif de l’activité ou au siège du client. (Exemple : pour une certification environnementale,
l’étape 1 se fera logiquement sur le site présentant le plus de risques environnementaux et non pas au
siège.)
o L’audit d’étape 2 : Il se déroule en principe à minima 2 semaines après l’audit d’Etape 1. Le rapport d’audit
d’Etape 1 contenant le projet de plan d’audit est transmis au client dans un délai lui permettant de traiter les
commentaires et de finaliser le projet de plan d’audit avec ses collaborateurs. Il faudra en retourner un
exemplaire complété au Responsable d’audit.
o Dans le cas où l’équipe d’audit ne comprendrait que le RA et qu’il ait été chargé de fixer la date exacte
d’audit, ce dernier contacte directement le correspondant de l’organisme Client, fixe avec lui la date de
l’audit à l’intérieur de la plage indiquée par le CDC et informe le CDC sous 7 jours calendaires de la date
retenue.
o Autres types de déroulements :
Au sein d’AFNOR UK, une fois le contrat signé, le RA devient l’interlocuteur privilégié du client et le CDC ne
suit plus le client sur le cycle d’audit sauf demande du RA.
Le RA contacte alors le correspondant de l’organisme Client afin de s’assurer que tous les membres de
l’équipe d’audit reçoivent les documents nécessaires à la revue des documents et à la préparation des
activités d’audit.
CERTI I 0419.9 – 07/2016 23/62

3.3. Réalisation de la revue des documents § 3.1

d'audit de 3 ans
§ 3.2
de l'audit
(et de l’audit d’étape 1 si nécessaire) § 3.8 § 3.9
Réalisation de la revue
des documents et/ou
audit d'étape 1
§ 3.4
Pilote : le RA Clôture de l'audit
Contributeur : le représentant du client § 3.6

§ 3.5
Réalisation des activités d'audit
Préparation, approbation et sur site (audit d'étape 2)
3.3.1. Revue des Documents
Pour tout audit (avec ou sans Etape 1) une revue des documents est à réaliser afin de pouvoir planifier l’audit et
préparer un plan d’audit tel que défini au § 3.4 ci-après, dans le respect des objectifs de l’audit, du périmètre et des
critères de l’audit défini par l’OC.
Objectifs
• Analyser et comprendre le système de management du client ou de son évolution entre deux audits au regard
des produits / prestations offerts sur base des documents rendus accessibles par le client.
• Mettre au point ou actualiser le programme d’échantillonnage pour les entreprises multi sites ou ayant des
activités sur sites temporaires (voir chapitre 4).
• S‘assurer et vérifier que ces documents répondent aux exigences des référentiels d’audit applicables et au
périmètre à certifier.
• Vérifier le niveau d’Intégration du Système de Management qui a été estimé par le commercial avec le client.
• Prendre connaissance des PS et NC restant à lever issus des audits précédents (revue des rapports des
audits précédents).
Processus
du CDC : le RA : > Client/A/CDC :

l’OdM précise au RA pour la - analyse les documents en main et contacte le client afin
réalisation de la revue des d’avoir les compléments qu’il juge utiles et nécessaires Revue des documents
documents si elle se fait : pour cette revue. transmise et contact
- dans le cadre d’un Audit téléphonique immédiat si
Revue des Documents
d’Etape 1 sur Site les A : résultat négatif.

- dans le cadre d’un Audit - remontent leurs commentaires et propositions éventuelles
d’Etape 1 hors site au RA. Dans le cas contraire
- ou si c’est un audit sans rédaction du projet de plan
Etape 1. le RA : d’audit (ou poursuite de
- documente le résultat de l’analyse dans le fichier « revue l’audit d’Etape 1)
des documents et plan d’audit».
- poursuit son travail par la préparation des activités sur
site cf. §3.4
- dans le cadre d’un audit d’Etape 1 il complète également
le rapport d’audit d’Etape 1 sur ce thème. Si le résultat est
négatif, il complète la revue et la transmet au client. Il
prend contact avec le client par téléphone afin de convenir
de la suite à donner.
Cette activité est réalisée par le responsable d’audit et a lieu en amont de l’audit.
La préparation de l’audit et la revue des documents sont en général faits hors site sauf dans le cas d’audits avec
Etape 1.
CERTI I 0419.9 – 07/2016 24/62

Dans le cas de modifications significatives du système de management ou si le client en éprouve le besoin du fait
de la confidentialité d’informations, de leur complexité ou pour d’autres raisons, ces activités peuvent également
être réalisées sur site et se feront alors selon les modalités précisées au paragraphe §3.3.2 : Audit d’Etape 1.
Organisation de la revue des documents et de la préparation des activités d’audit
• Prendre connaissance des PS et NC restant à lever mentionnés dans les rapports des audits précédents de
l’OC (revue des rapports des audits précédents). Il est demandé au RA de les positionner dans le plan de l’audit
à organiser.
Le RA demande au client de lui transmettre ainsi qu’à l’équipe d’audit au moins trois semaines à l’avance
l’ensemble des documents nécessaires à la préparation de l’audit. Si l’audit d’étape 1 a lieu sur site, les documents
seront remis et revus à ce moment-là.
Ces documents se composent majoritairement :
• du manuel ou descriptif du système de management de l’entreprise si existant,
• des documents principaux complémentaires nécessaires à la compréhension du management des processus
de l’organisme, des installations, des moyens de production et/ou des produits/prestations vendues par
l’organisme,
• du planning et les rapports de la dernière campagne d’audits internes,
• de la dernière revue de direction associée aux objectifs et des indicateurs de la direction,
• de l’analyse environnementale, analyse des risques, programmes de management, etc...
• de la revue énergétique, des usages énergétiques retenus et des indicateurs et mesures de performance
énergétiques choisis par l’organisme, des actions d’amélioration des performances énergétiques initiées et de
leurs effets,
• de toute information, document ou moyen que le client ou le RA juge utile afin de préparer l’audit.
Cas des entreprises multi site et/ou ayant des activités sur de multiples sites temporaires :
Le RA doit, en partenariat avec le représentant du client, mettre au point le programme d’échantillonnage pour
l’audit à venir (voir chapitre 4). Il le documente en bas de la page 1 du document « revue des documents et plan
d’audit »
Site Internet
• S’il existe, le RA doit consulter le site Internet de l’organisme Client. Il y trouvera certainement des informations
utiles pour mieux comprendre l’organisme, ses Clients et ses produits.
• Par ailleurs, dans le cas où l’organisme Client utilise sur son site la marque de l’OC, le RA pourra vérifier si son
usage lui paraît « clair et sincère » et si le règlement de la marque y est respecté.
• Dans le cadre d’un audit incluant un site virtuel, ce site sera à auditer impérativement.
Passage de relais
• Si cela est nécessaire pour assurer l’homogénéité et la cohérence globales des interventions d’audit, le RA
peut contacter le RA du cycle d’audit précédent. Ses coordonnées sont sur la page de garde du rapport
précédent.
Les résultats de cette analyse seront reportés par le RA dans la « revue préparatoire et plan d’audit ». Pour les
audits de systèmes de management, les documents analysés sont à mentionner.
La revue des documents ne donne jamais lieu à l’établissement de fiches de NC.

De façon générale, lorsque le RA doute de la faisabilité de la mission d’audit dans les temps impartis ou s’il
constate une incohérence entre le libellé du certificat, le périmètre de certification et les documents fournis, il
informe le CDC dans les meilleurs délais afin de convenir de la suite à donner.
Cas des audits de renouvellement : La revue des documents doit comprendre alors une revue des performances
du SM sur la période de certification précédente et inclut la revue des rapports d’audits de surveillance précédents
(en général les deux audits de surveillance précédents)
CERTI I 0419.9 – 07/2016 25/62

Approche TPE :
Revue et préparation habituelles sur site.
La revue des documents et la préparation des activités d’audit sont réalisées en début d’audit sur site sans
préparation préalable hors site. (Durée limitée à 1 à 2h sur site)
Pour un audit démarrant un cycle d’audit, la revue et la préparation comportent une visite rapide du site
permettant au responsable d’audit de prendre connaissance des activités du client.
Anticipation de la revue et de la préparation sur site.

Si le RA souhaite anticiper la revue et la préparation sur site, il peut demander à l’organisme avant l’audit sur
site, de lui transmettre les documents et informations nécessaires.
Choix de la présentation des Constats d’audit du rapport d’audit à convenir entre le RA et le

client au début de cycle d’audit.
La présentation des constats de tout audit de certification QSEÉ est faite par processus. Si une entreprise n’a pas
identifié de processus, les constats pourront être liés aux services, départements concernés ou sur la base d’un
autre critère à définir en début d’audit avec le RA. Dans le cadre d’un SMÉ, la restitution par usage énergétique
significatif peut être envisagé.
Pour les organisations multi-sites ou ayant des activités sur sites temporaires, chaque constat sera également relié
au site concerné. Un site virtuel sera pris en compte comme un site physique.
CERTI I 0419.9 – 07/2016 26/62

3.3.2. Cas d’un Audit d’Etape 1
Objectif de l’audit d’Etape 1

L’objectif du Responsable d’audit est :
• De confirmer la faisabilité de l’audit d’étape 2,
• pour un Système de management multi référentiels, de vérifier le niveau d’Intégration des systèmes de
management, via 7 questions précisées sur la trame du rapport d‘audit étape 1.
• établir en concertation avec le client un projet de plan de l’audit d’Etape 2. Les principes et échantillonnages
retenus (voir § ci-dessus) seront à renseigner sur la feuille revue préparatoire et plan d’audit. Le responsable
d’audit peut visualiser les échantillonnages réalisés au cours d’audits précédents afin de donner une vision de
l’échantillonnage réalisé sur plusieurs années. Il aura à minima à documenter l’échantillonnage du cycle d’audit
dont il aura la charge.
• en cas de détection de problèmes importants, c’est à dire pouvant amener des Non Conformités en cours
d’audit d’Etape 2, ceux-ci sont documentés dans le rapport et discutés par l’auditeur avec le client. (Il n’est jamais
rédigé de FNC lors d’un audit d’Etape 1). Le client peut alors en connaissance de cause décider du maintien ou
pas de la date d’audit d’étape 2. En cas de demande de report d’audit le responsable d’audit doit informer
immédiatement son équipe d’audit ainsi que le chargé de clientèle en charge du dossier.
• dans le cadre d’un audit 50001 de faire la revue de contrat au regard des données d’entrée de l’offre
commerciale (revue de l’effectif dédié, du nombre de sources d’énergie, de consommation totale annuelle, du
nombre d’UES identifiés) et de s’assurer que le système de management de l’énergie permette bien de statuer
sur l’amélioration des performances énergétiques au regard d’une période de référence choisie par l’organisme
Processus
Le RA réalise cet audit sur preuves c’est à dire sur base de documents et d’interviews de personnes.
CDC-> Client : le RA : > Client/CDC :

Cas d’audit d’Etape 1
Guide d’audit qui précise au

- peut établir un plan d’audit en amont de l’étape 1 si jugé
client l’objet et déroulement de
nécessaire et selon le nombre de personnes à rencontrer, rapport d’audit d’Etape 1
l’audit d’Etape 1.- analyse la documentation client selon § 3.3.1,
sur site
- déroule l’audit d’étape 1 sur site selon les thèmes du

Client -> RA : formulaire d’audit d’étape 1,
Manuels et documents du SM - clôture l’audit sur site avec le client,
remis en avance ou - transmet électroniquement le rapport complet d’Etape1
directement sur site. avec le projet de plan d’audit en annexe. (Audit 50001 : la
synthèse relative au SMÉ est également à joindre)
Client -> RA : le RA : > Client/CDC :

assure l’accès aux Manuels et - analyse la documentation client selon § 3.3.1
Cas d’audit
d’Etape 1
hors site
documents du SM - déroule l’audit selon les thèmes du formulaire d’audit rapport d’audit d’Etape 1
nécessaires. d’étape 1, en s’aidant de contacts téléphoniques là où
nécessaire
Rendez-vous téléphonique - clôture l’audit au téléphone avec le client.
convenu afin de questionner transmet le rapport d’audit Etape 1 complet.
du personnel.
Avec la mise en œuvre de l’ISO 17021:2011, il n’y a plus de différence fondamentale dans l’approche d’audit d’un
SMQ, d’un SME, d’un SMS ou d’un SMÉ en termes de préparation dans le cadre de certification initiale
L’audit d’étape 1 a une durée prédéfinie avec le client, généralement de ½ journée à 1 jour. Cet audit se déroule
quelques semaines avant l’audit d’Etape 2 (sauf cas particulier des TPE).
Le RA n’a pas de plan d’audit à établir mais il doit fixer le rendez-vous avec le représentant de la direction, avec
qui est passée en revue la majorité des points.
CERTI I 0419.9 – 07/2016 27/62

Choix de la localisation des Audits d’Etape 1

Le site pour la réalisation de l’étape 1 est défini par avance avec le chargé de clientèle ou le commercial en charge
du dossier. Il a lieu :
Soit chez le client (cas général) :

Le lieu de l’audit d’Etape 1 pour les entreprises multi sites doit être choisi par le CDC ou le RA afin de fournir un
maximum d’informations concrètes au RA. De ce fait un site de production sera souvent plus adéquat que le siège
de la même société. Ceci est d’autant plus vrai que l’audit est du type SME, SMS ou SMÉ.
• L’Etape 1 réalisée sur place permet en complément de mieux appréhender l’environnement du client, de voir
ses produits / services, de prendre connaissance du site et de faciliter la mise au point d’un projet de plan d’audit
pertinent. Le choix du site adéquat dans le cadre d’entreprises multi sites pour l’Etape 1 est fait par le CDC en
concertation avec le RA et le Client.
• Coté client, l’audit sur site crée une situation plus sereine et rassurante.
• L’étape 1 peut être réalisée à distance (voir ci-dessous). En dernier ressort la revue et la préparation peuvent
être réalisées immédiatement avant l’audit d’Etape 2 sur site. Ceci est particulièrement le cas pour les audits qui
engendreraient des coûts et des temps de déplacement « prohibitifs ». Ceci aura été décidé en amont entre
l’organisme Client et le CDC et précisé dans l’ordre de mission. Ces dispositions doivent rester exceptionnelles.
Soit à distance (cas particulier) :

Dans ce cas, le RA doit obtenir suffisamment en avance les documents et informations nécessaires du client afin
de réaliser son audit d’Etape 1 et de transmettre son rapport dans les délais (au moins 14 jours calendaires avant
l’audit d’étape 2). Des contacts et interviews téléphoniques complémentaires sont nécessaires.
Déroulement de l’audit d’Etape 1

Le RA découvre le SM ou les modifications apportées au SM lors de sa visite. Une visite du site sera généralement
pertinente.
• Les documents dont il a besoin lui seront fournis par le client lors de cette rencontre. Le RA doit s’assurer en
parallèle de leur transmission au reste de l’équipe d’audit. Prendre connaissance et auditer la documentation du
système de management La revue documentaire se déroule tel que défini au § 3.2.1.
• Le RA doit évaluer le lieu et les conditions spécifiques du site client et créer l’occasion d’un échange
d’informations avec le personnel afin de déterminer le niveau de préparation pour l’audit d’Etape 2.
• Le RA doit revoir les exigences des référentiels, de l’identification des performances clés, des processus, des
objectifs et des modalités de fonctionnement significatifs du système de management du client.
• Il réunit et partage avec le client les informations concernant le périmètre du système de management, les
processus déployés par site(s), les aspects réglementaires et légaux significatifs applicables.
• Il vérifie, sur la base des audits internes effectués et de la dernière revue de direction, que l’organisation est
prête pour l’audit d’Etape 2.
• Il vérifie pour un Système de management multi référentiels intégré, via 7 questions (voir Questionnaire
d’étape 1), le niveau d’Intégration du système de management de l’organisme. Il s’assure qu’il correspond bien à
minima au niveau d’intégration estimé par le commercial dans la phase de l’offre. Dans le cas contraire :
o le RA coche dans la conclusion générale de l’étape 1 la case « Le niveau d’intégration constaté lors
de l’étape 1 est inférieur au niveau d’intégration identifié lors de la phase commerciale. L’Organisme
de Certification doit de ce fait vérifier que la durée de l’audit à venir est suffisante.»
o le CDC vérifie si le temps d’audit est néanmoins suffisant avant la réalisation de l’audit d’étape 2 par
l’équipe d’audit. Dans le cas contraire il contacte le client et le RA pour adapter la durée d’audit de
l’étape 2.
• Il établit un projet de plan de l’audit d’Etape 2 en concertation avec son équipe d’audit et en tenant compte de
leurs compétences spécifiques, spécialités et qualifications.
Cas particulier d’un audit relatif au management de l’énergie selon ISO 50001 :
Pour un audit selon ce référentiel deux aspects importants doivent être passés en revue lors de l’étape 1 :
a) Les durées d’audit selon ISO 50001 sont définies par l’ISO 50003 v2014 et tiennent compte de quatre
variables : du nombre de sources d’énergie, de la consommation énergétique annuelle, du nombre
d’Usages Énergétiques significatifs définis par l’organisme et de l’effectif dédié au SMÉ (personnel qui
influe matériellement sur le SMÉ). Ces quatre variables sont à vérifier par le RA et sont à enregistrer au §1
de la Synthèse des situations relatives au SMÉ. Elles doivent correspondre aux données fournies par le
commercial dans le cadre de l’ordre de mission transmis au RA.
b) Pour chaque UES identifié, le RA doit :
CERTI I 0419.9 – 07/2016 28/62

a.
comprendre et décrire sommairement la période ou situation énergétique de référence retenue
(SER),
b. s’assurer de la pertinence des mesures et vérifications en place au regard des performances
énergétiques à évaluer,
c. et bien comprendre les facteurs pertinents pris en compte afin de s’assurer que le SMÉ ainsi mis
en place permette de mesurer effectivement des gains de performance énergétiques dans le
temps au sens de l’ISO 50001 en s’aidant de l’ISO 50006.
De ce fait chaque UES doit être renseigné dans le tableau au §1 et décrit au §2.3
Si pour ces deux aspects ne sont pas donnés, un problème important est identifié au sens d’un audit d’étape 1.
Pour l’audit et la documentation de ces aspects, la durée d’audit d’étape 1 peut être allongée au détriment de
l’audit d’étape 2.
Clôture de l’audit d’Etape 1

• En l’absence de problème important détecté lors de l’audit d’Etape 1, l’audit d’Etape 2 est maintenu aux dates
déjà planifiées et convenues avec l’équipe d’audit et le client (cas habituel). Le client n’a pas besoin de signer la
dernière partie du rapport.
• En cas de problèmes importants ou d’un niveau d’intégration moindre que celui estimé dans la phase
commerciale, la faisabilité de l’audit d’Etape 2 doit être discutée avec le client en fin d’audit afin d’aboutir avec lui
à une décision de maintien ou non de la date d’audit d’Etape 2. Le client doit en effet s’assurer qu’il aura le temps
nécessaire pour corriger ces aspects et ainsi éviter des NC s’y rapportant lors de l’audit d’Etape 2. La décision
finale lui revient et celle-ci est enregistrée en fin du rapport d’audit d’Etape 1. Si un report est demandé, le RA se
doit de communiquer sous 24 heures au CDC et à l’équipe d’audit la demande de report souhaitée par le client
qui sera ensuite traitée par le Chargé de Clientèle. Le RA doit informer le client qu’en cas de changements
important apportés par l’organisme à son SM dans le cadre de la résolution des problèmes identifiés lors de
l’audit d’étape 1, une partie de l’audit d’étape 1 devra éventuellement être renouvelé.
• Le rapport d’audit d’Etape 1 est finalisé et transmis au client et au Chargé de clientèle dans les meilleurs
délais, au plus tard 14 jours calendaires avant le début d’audit d’Etape 2, avec la revue des documents (§3.2.1)
et le projet de plan d’audit gérés selon §3.4.
Le rapport d’audit d’Etape 1 est composé de deux documents :

• le corps du rapport d’audit d’Etape 1,
• une annexe, la «revue préparatoire et projet de plan d’audit». Ce document est par ailleurs également utilisé
pour la préparation de tous les audits sans audit d’Etape 1. Si des problèmes identifiés laissent apparaître que
l’audit d’Etape 2 doit être reporté, un projet de plan d’audit est néanmoins rempli par le RA sans préciser les
dates qui seront convenues ultérieurement par le Chargé de clientèle avec le client.
• Ce rapport est un rapport indépendant et séparé de celui de l’étape 2.
• Dans le cadre d’un audit intégrant l’ISO 50001, la synthèse des situations relatives au management de
l’énergie doit être remplie (tableau au §1 et §2, dont le §2.3 principalement) et doit être jointe au rapport d’étape
1.
CERTI I 0419.9 – 07/2016 29/62

3.4. Rédaction et mise au point du plan d’audit § 3.1

d'audit de 3 ans
§ 3.2
de l'audit Réalisation de la revue des
documents et/ou audit
d'étape 1
§ 3.8 § 3.9
Pilote : le Responsable d’Audit § 3.4
Contributeur : le représentant du client § 3.7
Clôture de l'audit
d'audit sur site
§ 3.5
Cette activité fait suite à l’activité « Réalisation de la revue des documents » (cf. Paragraphe 3.3).
Le lieu de réalisation de la préparation des activités d’audit est précisé dans le paragraphe précédent.
Objectif
• Mettre au point un plan d’audit en accord avec les autres membres de l’équipe d’audit et le client et en tenant
compte du programme d’échantillonnage défini au §3.3,
• Tenir compte des compétences, qualifications, spécialités et si possibles souhaits de son équipe d’audit afin de
mettre au point un plan d’audit optimal pour le client.
Processus
CDC -> RA : le RA : > Client/CDC/A :

plan d’audit par le RA en
relation avec son équipe
Elaboration du projet de
- finalise les choix relatifs à l’échantillonnage qu’il retient

OdM, résultats du §3.3 ci- pour cet audit en respectant le programme Projet de plan d’audit
dessus d’échantillonnage qui lui a été fourni le cas échéant. transmis pour commentaire
- répartit les taches et les temps d’audit par auditeur afin et afin que le client le
d’audit
d’évaluer les référentiels d’audit concernés, complète

- élabore le projet de plan d’audit
- transmet la revue préparatoire et projet de plan d’audit.
Cas de l’audit d’Etape 1 : Le projet de plan d’audit est
transmis conjointement au rapport d’audit d’Etape 1.
Autres Audits sans Etape 1 : La revue documentaire et
projet de plan d’audit est transmis par le RA au client.
Client/A/OC-> RA : le RA : > Client/CDC/A :

Diffusion du plan d’audit
complété et validé par le
- récupère et s’assure que le plan est complet et logique,

client avant l’audit :
plan éventuellement - que les modifications et compléments apportés par le Plan d’audit finalisé
adapté, commenté, client sont acceptables,
complété avant la date - que tous les chapitres des référentiels selon le Chapitre 4
d’audit. sont bien listés et seront ainsi audités auprès de fonctions
identifiées,
- peut y rajouter des informations logistiques tels que
moyens de transport, les rendez-vous nécessaires avec
son équipe pour une dernière revue de concertation, les
choix d’hébergement etc.
- transmet le plan ainsi finalisé
CERTI I 0419.9 – 07/2016 30/62

Fondements du plan d’audit

Tout en privilégiant un déroulement du type « PDCA » (Plan, Do, Check, Act), c'est-à-dire de l’amélioration
continue, le plan d’audit est adapté au type d’audit, à l’organisme Client et à son organisation du travail (exemples :
travail de nuit, travail 7j/7). Il doit être adapté aux enjeux et risques QSEÉ de l’entreprise et de ses processus.
Le RA précise sur le projet de plan d’audit les horaires prévus par rendez-vous programmé afin d’auditer :
• les processus ou les activités citées
• toutes les exigences du/des référentiel(s) d’audit qui y seront vérifiés,
• les NC et PS du précédent audit ou des audits antérieurs s’il en subsiste à revoir et à lever,
• ainsi que les éventuelles réclamations applicables au système de management à analyser en cours d’audit.
• Adresse, sites et éventuelles salles peuvent être prévues,
Les principes et choix d’échantillonnage sur lesquels se base tout audit sont ainsi arrêtés et les aspects logistiques
importants clarifiés (transport, communication, accompagnateurs, fonctions utiles à rencontrer etc.…).
Lorsque le client gère du travail en équipes, les activités et passage de consigne qui ont lieu pendant les rotations
des équipes doivent être prises en compte lors du programme d’audit et des plans d’audit. Pour les entreprises
travaillant en 3x8 et/ou le WE, tous les postes sont potentiellement à auditer sur le cycle; ceci sera surtout le cas si
des activités spécifiques sont réalisées de nuit, les WE ou sur certains postes. Ils devront être auditées lors des
audits initiaux, de renouvellement et a minima une fois par cycle d’audit. Le programme d’échantillonnage sera
renseigné en conséquence.
Cette phase essentielle pour le déroulement d’un audit efficace met également les auditeurs et audités dans une
situation non stressante, planifiée et permet à chacun d’organiser son emploi du temps.
Un plan d’audit bien structuré selon les principes du PDCA et listant toutes les exigences met également les
auditeurs en situation de réaliser un audit cohérent et sans oubli, les référentiels ne pouvant servir de check-list
adaptée, c’est le plan d’audit qui remplit cette fonction.
Planification d’un audit initial

Le plan d’un audit initial couvre la totalité des éléments du SM applicables au périmètre de la certification
contractuellement définis.
Les conditions minimales pour qu’un audit de certification puisse être engagé sont précisées dans les Règles
Pratiques QES-0051/1 (cf. : http://regles-pratiques.afnor.org/)
Planification d’éléments à auditer systématiquement hors audit initial

Le RA doit systématiquement inclure dans son plan d’audit les éléments suivants :
o les évolutions de l’organisme Client, du périmètre de l’audit et du SM, s’il y a lieu.
o la vérification d’efficacité des actions mises en œuvre par l’organisme Client, si des NC ont été émis
lors de l’audit précédent.
o « Points spécifiques à auditer » (cf. Revue préparatoire).
o l’usage et respect de la marque de l’OC.
o le traitement des réclamations faites auprès de l’OC, s’il y a lieu.
o Voir chapitre 4 pour plus de précisions pour des audits multi sites par échantillonnage.
Planification des réunions

Le plan d’audit inclut 5 types de réunions :
o La réunion de concertation entre le RA et les Auditeurs (avant la réunion d’ouverture), lorsque
l’équipe est composée de plusieurs Auditeurs.
o La réunion d’ouverture qui doit se tenir avec la direction du client.
o La réunion quotidienne de synthèse pour un audit sur site de plus d’un jour.
o La réunion de préparation de la réunion de clôture.
o La réunion de clôture.
CERTI I 0419.9 – 07/2016 31/62

Planification de la visite du site

Pour tout nouveau cycle d’audit et principalement dans le cadre des audits d’Etape 2, si la revue préparatoire et le
plan d’audit n’ont pas été réalisés sur le site, prévoir dans le plan au moins une visite rapide du site afin que la
nouvelle équipe d’audit prenne connaissance des activités de l’organisme Client. La visite éventuelle, en activité,
doit être prévue au plan d’audit.
Planification des activités d’audit interne et de revue de direction

Les activités d’audit interne et de revue de direction sont en général auditées en fin d’audit afin de :
o ne pas être influencé, lors de l’audit, par les résultats des audits internes,
o pouvoir réaliser un bouclage final à partir des constats fait lors de l’audit.
Ces thèmes sont toujours audités au moins par le RA qui peut prévoir à son plan d’audit la présence des auditeurs
dans le cas d’une équipe d’audit.
Répartition des tâches

Le RA, en concertation avec l’équipe d’audit, attribue à chaque membre de l’équipe la responsabilité d’auditer des
processus, unités fonctionnelles, sites, domaines ou activités spécifiques en tenant compte de leurs compétences
et spécialités. Il est, de ce fait, amené dans la phase préparatoire d’un audit avec une nouvelle équipe d’audit, à
les contacter afin de vérifier leurs spécialités et leurs souhaits.
Cette répartition est à préciser dans le plan d’audit (cf. Colonne « Equipe d’audit »).
Il peut être fait usage de techniques d’audit via des moyens électroniques dites « CAAT » telles que
visioconférence, téléconférences, WEB meetings, audits en utilisant d’autres solutions WEB sous réserve que leur
temps global ne dépasse pas 30% de la durée totale d’audit sur site et que leur emploi soit planifié et cité au plan
d’audit.
Diffusion de la « revue préparatoire et projet de plan d’audit »

Le RA communique le résultat de la revue préparatoire et le projet de plan d’audit prévisionnel, deux semaines (au
moins 14 jours calendaires) avant le début de l’audit aux destinataires suivants:
o au correspondant de l’organisme Client,
o au CDC pour information et validation,
o à chaque membre de l’équipe d’audit.
Le RA précise dans le paragraphe «programme d’échantillonnage retenu et repris au plan d’audit»

l’échantillonnage qu’il appliquera dans cet audit. Le RA précise et argumente éventuellement s’il y a des
différences entre l’échantillonnage demandé dans son ordre de mission et celui qu’il applique dans son plan
d’audit : par exemple choix d’un site différent, échantillonnage plus important en nombre que celui prévu,… Dans
ces cas, il lui est demandé d’obtenir l’accord du CDC au plus tôt.
Le RA adaptera et complètera le tableau proposé sur le formulaire « revue documentaire et plan d’audit » afin de
tracer les principes d’échantillonnage prévus et réalisées au cours du cycle de l’audit de trois années. (Supprimez
le tableau s’il n’est pas adapté, par exemple pour une entreprise mono site simple sans activités sur sites
temporaires.)
Revue et validation du plan par le client

A réception du projet de plan d’audit, le client :
• prend connaissance du déroulé prévu,
• renseigne le nom des personnes et/ou les fonctions qui seront amenées à répondre à l’équipe d’audit par
rendez-vous. Il peut, en fonction de leur disponibilité, adapter les horaires tout en essayant au mieux de
coller au projet prévu. Il peut également adapter les durées des rendez-vous prévus s’il les juge trop longs
ou trop courts tout en respectant la durée globale d’audit prévue,
• peut contacter le RA afin d’optimiser ou demander des aménagements qu’il juge adaptés,
• précise les aspects logistiques tels que salles, connexions, projecteur, temps de déplacement,
accompagnateurs, EPI ou autres moyens qui peuvent compléter utilement le projet du plan d’audit.
• précise dans le cas de parties d’audit dématérialisé, les rendez-vous téléphoniques, les web meetings, les
Visio conférences, la localisation des interlocuteurs et les moyens de communication prévus dans le plan
d’audit.
CERTI I 0419.9 – 07/2016 32/62

Le plan ainsi complété et validé par le client est ensuite mis à disposition du RA dans les meilleurs délais, sachant
que des adaptations de dernière minute peuvent encore être faites en concertation avec le RA lors de la réunion
d’ouverture.
En l’absence de commentaire de la part du CDC dans les 7 jours calendaires, le plan d’audit prévisionnel devient
applicable.
Diffusion de la « revue préparatoire et projet de plan d’audit validé par le client»

Le RA communique le résultat de la revue préparatoire et le plan d’audit validé par le client, au plus tôt avant le
début de l’audit aux destinataires suivants:
o au correspondant de l’organisme Client,
o au CDC pour confirmation,
o à chaque membre de l’équipe d’audit et, s’il y a lieu,
o à l’observateur éventuel si celui-ci a été accepté par le client.
Il est recommandé au RA de préparer et renseigner en amont de l’audit :

• son outil pour la saisie des constats. Il peut renseigner avant l’audit la liste des « Processus » existants de
l’organisme afin d’avoir ces données disponibles en audit.
• les fiches de synthèse des situations Environnementales, SST et/ou Energie si applicables. Il pourra ainsi
plus facilement les compléter des données manquantes en cours d’audit.
Confidentialité
Voir le paragraphe 3.7 de ce Chapitre.
Document de travail
• Il est recommandé que les auditeurs aient un accès facile au Guide de l’audit des Systèmes de Management
QSEÉ et des annexes, mais aussi au règlement sur l’usage de la marque de l’OC.
Les documents de travail nécessaires à imprimer pour la réalisation de l’audit d’Etape 1 sur site :
• la trame d’audit d’Etape 1, sauf si rempli sur PC en audit
• la trame de revue préparatoire et projet de plan d’audit.
Les documents de travail nécessaires pour l’audit ou audit d’Etape 2 sur site comprennent au minimum :
• le Rapport d’étape 1
• la fiche vierge « Réunion de clôture ».
• la revue préparatoire et le plan d’audit validé avec le client
• les synthèses de situation ENV, SST, Energie,…
CERTI I 0419.9 – 07/2016 33/62

3.5. Réalisation des activités d’audit sur site § 3.1

d'audit de 3 ans
§ 3.2
d'étape 1
§ 3.8 § 3.9
Clôture de l'audit
§ 3.5
§ 3.6
3.5.1. Audit d’Etape 1 Préparation, approbation et
Réalisation des activités d'audit sur
site (audit d'étape 2)
Activité de préparation réalisée généralement sur site, lieu défini au préalable avec le client et communiquée au RA
dans le cadre de son Ordre de Mission.
L’objet et le déroulé de cet audit sont décrits au chapitre 3.3 de ce guide.
3.5.2. Audit d’Etape 2 ou conduite de l’audit terrain
Objectif
• Réaliser l’audit selon le planning prévu et arriver lors de la clôture d’audit à apporter une conclusion partagée
par le RA avec son équipe et le client basée sur des constats factuels au regard des exigences du/des
référentiel(s).
Processus
Client -> RA : le RA : > Client /A :

Réunion d’ouverture et en cours
besoins de - fait signer le « Compte rendu de réunion d’ouverture et de clôture plan d’audit si modifié
modification du Plan d’audit » lors de la réunion d’ouverture d’audit
d’audit, Imprévus de - ajuste, rediffuse puis suit le plan d’audit,
dernière minute, - pilote les réunions et son équipe,
- convient avec son équipe des modalités de collecte et > Client /A :
d’audit
Demandes client en d’enregistrement des constats en cours d’audit. plan d’audit

cours d’audit. éventuellement modifié
le RA : et rediffusé.
Client->A/RA : - clarifie toute difficulté et imprévu de dernière minute
accompagnement et > Client :
présentation du SM les A+RA : Restitution journalière
- collectent, analysent et restituent journellement au client l’essentiel,
mais surtout les sources de NC rencontrées et PS.
les RA+A : > Client :

réunion de clôture
- listent les PF, PS et NC en concertation avec l’équipe d’audit (les accord sur les FNC
Préparation
autres constats ne sont pas encore forcément tous finalisés pour des
questions de temps).
- arrêtent le libellé et le classement des NC et autres points à
présenter en clôture.
- les NC sont formalisés et si possible présentées au responsable
management avant la clôture.
CERTI I 0419.9 – 07/2016 34/62

le RA : > Client :
- dirige la réunion de clôture Informé du nombre et
- restitue au client les conclusions d’audit de son équipe objet des NC identifiées
- fait remplir et signer le « Compte rendu de réunion d’ouverture et de dans l’audit
clôture d’audit »
Réunion de clôture
les RA+A : les documents

- restituent en fin d’audit les documents éventuellement mis à confidentiels lui sont
disposition et non nécessaires pour la suite du processus. restitués.
Si le client a demandé une modification du libellé de son certificat.
le RA :
- Transmet électroniquement au CDC en fin de réunion ou sous 48 > CDC :
heures le « Compte rendu de réunion d’ouverture et de clôture accès au « Compte
d’audit » complété avec le client. Les modifications peuvent être rendu de réunion
notées manuellement, ou bien figurer sur un document d’ouverture et de clôture
d’accompagnement. d’audit » avec libellé
modifié par le client le
cas échéant.
Réunion de concertation entre le RA et les Auditeurs

Lorsque l’équipe est composée de plusieurs Auditeurs, une réunion de concertation est organisée sur le site de
l’Audité avant la réunion d’ouverture.
Cette réunion a trois objectifs :
1. Unir les membres de l’équipe qui, en général, ne se sont pas encore vus.
2. Confirmer le rôle de chacun.
3. Le RA doit préciser la méthode à suivre par les Auditeurs pour remettre au RA leurs constats d’audit et leurs
commentaires d’audit.
Cette réunion ne se substitue pas à la revue préparatoire qui est faite préalablement par chaque membre de
l’équipe d’audit (cf. Paragraphe 3.3 de ce Guide).
Sa durée ne devrait pas dépasser 15 minutes.
Réunion d’ouverture
Il est demandé par l’ISO 17021 que la direction de l’entreprise participe aux réunions d’ouverture et de clôture
d’audit.
Les sujets suivants sont à présenter par le RA en réunion d’ouverture selon la configuration de l’entreprise:
• Présentation des participants.
• Objectifs, périmètre de l’audit (libellé, référentiels, sites) et effectif impliqué par la certification. Dans ce cadre
les attentes spécifiques du client telles que formulées dans son ordre de mission ou demandées seront
rappelées et commentées en réunion d’ouverture.
• Méthode d’audit : Expliquer la prise de notes, le principe d’échantillonnage sur des exemples, les interviews, le
principe de la communication immédiate de constats pouvant amener à des NC avec rappel en synthèse
journalière, les règles de confidentialité applicables aux auditeurs, informations sur les conditions dans lesquelles
l’audit peut s’achever prématurément, la langue d’audit définie pour le rapport pour des audits à l’international, la
possibilité au client de poser des questions aux auditeurs pendant l’audit, …
• Rappel si nécessaire du classement des constats en PF, Notes, PP, PS, NC mineures et majeures et leurs
conséquences sur la recommandation du RA faite à l’OC.
• Confirmation du plan d’audit et si nécessaire le modifier ou le compléter.
• Point est à faire avec le client sur le besoin de port d’EPI, information de l’équipe d’audit sur les procédures
d’hygiène, d’urgence et/ou de santé et sécurité qu’ils devront respecter sur site en cours d’audit . En cas de
présence de risques significatifs ou si l’objectif de l’audit ne peut être atteint, le RA doit en référer au CDC et au
client.
• Présentation concise du rapport d’audit QSEÉ en rappelant le type de présentation choisi (cf. Choix de la
présentation des constats dans le rapport d’audit par processus, site, service, etc.). lors de cette présentation, le
RA rappelle que ce rapport est présenté dans le Guide de l’audit des Systèmes de Management QSEÉ à
l’attention des Clients et des auditeurs. (Guide accessible dans l’espace client)
• Rôle des Auditeurs, de l’Audité, des guides/accompagnateurs et, s’il y a lieu, de l’observateur, de l’expert
éventuel.
CERTI I 0419.9 – 07/2016 35/62

• Réponses aux questions de l’Audité sur la réalisation de l’audit.

• Rappel de la date et horaire de la réunion de clôture.
• Gestion des Imprévus du client : Le client doit faire part au plus tôt à l’équipe d’audit de tout imprévu,
absence ou impossibilité relative au déroulement de l’audit. Le RA recherchera avec le client et l’OC, la solution
la plus appropriée afin de perturber a minima le bon déroulé de l’audit dans le respect des objectifs d’audit. De ce
fait le plan d’audit peut être modifié mais il est tout à fait exceptionnel qu’un audit doive être interrompu ou
reporté. Dans ces derniers cas, un contact immédiat avec le chargé de clientèle est à assurer afin de prendre la
décision appropriée.
Présentation de la méthode d’audit

La présentation de la méthode d’audit qui est faite en réunion d’ouverture doit au minimum inclure les trois
fondamentaux suivants :
• L’audit est réalisé là où s’exerce l’activité auditée : l’audit « terrain » est privilégié.
• Un constat d’audit est fondé sur des informations recueillies et vérifiées ; ce n’est en aucun cas un conseil ou
un jugement.
• Un constat est indiqué à l’Audité au moment où il est établi.
o Si le constat risque de se matérialiser par une NC, l’Auditeur ne décidera pas immédiatement s’il
s’agit d’une NC Majeure ou Mineure : le classement définitif ne se fera qu’une fois le SM audité
(c’est à dire pendant la préparation de la réunion de clôture). La portée d’une NC dans le cadre d’un
site échantillonné sera également évaluée lors de la préparation de la réunion de clôture
o De même, si le constat est du type PS, PP ou PF, l’Auditeur ne s’engagera pas immédiatement sur
le classement.
Révision du plan d’audit

Toute révision du plan d’audit fait l’objet d’un accord entre les parties concernées avant de poursuivre l’audit sur
site. La révision peut inclure la modification de la répartition des tâches des membres de l’équipe d’audit.
Le compte rendu de réunion d’ouverture est à faire signer par les personnes présentes à la réunion.
Réunion quotidienne de synthèse

Cette réunion a deux objectifs :
1. Echanger sur les constats d’audit de la journée.
o But explicite : clarifier les éventuelles ambiguïtés.
o But implicite : préparer la réunion de clôture.
2. Rappeler brièvement les éléments audités et modifier, s’il y a lieu, le plan d’audit.
Bien que formellement planifiée (cf. Plan d’audit), cette réunion est un échange et non une réunion de clôture ! Elle
est menée avec l’Audité, en fin de journée et, en général, en comité restreint.
Bonne pratique : Il est fortement recommandé de renseigner tous les jours les constats d’audit, même si leur
classification par type n’est pas encore définitive. Cette méthode permet également aux auditeurs de l’équipe
d’audit de transmettre en continu et à chaud tous les constats (pas de rapports à fournir ultérieurement) et au RA
d’avoir en réunion de préparation de restitution d’audit déjà la majorité des constats d’enregistrés. Pour des audits
faits sur différents sites, chaque auditeur doit renseigner ses constats et les rendre accessibles au responsable
d’audit si possible chaque jour.
Non influence et non-ingérence d’un guide ou d’un observateur. Un guide ou un observateur est
une personne qui accompagne un Auditeur dans l’entreprise et qui appartient (ou non) à l’effectif
de l’Audité. Il ne doit exercer aucune influence ou ingérence dans la façon dont est réalisé l’audit.
Si un guide ou un observateur ne respecte pas cette règle, le RA doit prendre les dispositions nécessaires pour
que l’audit puisse se poursuivre :
• Si l’Observateur a été proposé par l’OC : Le RA en réfère au CDC dès que possible.
• Cas d’un Guide ou observateur proposé par l’Audité : Le RA en réfère à son guide ou au correspondant de
l’organisme Client et, si ce n’est pas suffisant, arrête l’audit et en réfère au CDC dès que possible.
Audit d’un site temporaire

Chaque organisme Client définit dans son SM l’autorité et l’autonomie du personnel opérationnel sur le site
temporaire (la définition d’un site temporaire est donnée dans la Fiche Pratique Q-0050).
CERTI I 0419.9 – 07/2016 36/62

En conséquence, le nombre et l’étendue des exigences auditées dépendent du SM de l’organisme Client

(exemple : un site temporaire ou chantier opérationnel sur plusieurs années dans le cadre de l’ingénierie liée à la
construction d’une centrale nucléaire donnera très probablement lieu à un audit de plus nombreuses exigences
qu’un site temporaire d’une durée limitée à quelques heures (entreprise de nettoyage de locaux)).
Usage et respect de la marque de l’OC

L’équipe d’audit apprécie l’aspect « clair et sincère » de l’usage de la marque de l’OC. Cette appréciation consiste
à s’assurer que le certifié ne cherche pas à induire en erreur les « destinataires » qui vont voir le logo.
Ces « destinataires » ne sont pas uniquement les Clients du certifié (exemple : si le logo est apposé sur un
véhicule, les « destinataires » seront toutes les personnes qui verront le véhicule).
L’équipe d’audit vérifie également que le règlement sur l’usage de la marque de l’OC est respecté.
Des commentaires et précisions sur ce sujet sont donnés dans le Chapitre 6 (cf. Partie relative à l’utilisation du
fichier « Présentation, contexte de l’organisme et commentaires généraux »).
Point Sensible émis lors de l’audit précédent

Tout Point Sensible émis lors de l’audit précédent (audit n-1) doit être réévalué lors de l’audit en cours. L’auditeur
doit impérativement établir et enregistrer un constat faisant référence au PS de l’audit passé et devant matérialiser
l’évolution de la maitrise de l’exigence concernée.
Non-conformité émise lors d’un audit précédent restant à lever

Les actions correctives planifiées suite à l’audit précédent doivent être vérifiées au cours de l’audit n sur la base
d’un exemple précis à enregistrer sur la FNC. La NC peut être à ce moment :
• Clôturée : c’est à dire prend le statut de « fermée » sur la feuille des constats si les actions correctives ont
démontré leur efficacité. Remplir le § 4 de la FNC et la preuve enregistrée sous « constatations »
• Reconduite : si la NC ne peut être levée, elle est alors « reconduite » sur une nouvelle fiche de Non-Conformité
(la FNC de l’année n-1 sera clôturée et jointe au rapport mais mentionnera le N° de la nouvelle FNC qui a été
ouverte). La nouvelle FNC sert à reformuler la NC afin d’aider le client à en comprendre l’évolution. Le
classement en Non-conformité mineure ou majeure est laissé à l’appréciation du RA. Un traitement non efficace
d’un NC mineure de l’année n-1 peut amener à une NC majeure à l’audit en cours, mais ceci reste à apprécier
par le RA.
• Dans nombre de constats page 3 du rapport ne sont comptabilisés que le nombre de FNC rédigées en cours
de l’audit n, mais dans la dernière page du rapport sous « annexes du rapport d’audit » est précisé le nombre
total de Fiches de NC jointes en annexe dans le rapport (Le RA y joint et dénombre toutes les FNC de l’audit n,
n-1 et plus si nécessaire)
Non-Conformité identifiée lors d’un audit partiel

Si lors d’un audit partiel, l’équipe d’audit identifie une Non-conformité hors du cadre fixé dans le plan d’audit, il
établit tout de même une FNC quel que soit le type d’audit. Un des objectifs d’un audit est de constater que le SM
est conforme au référentiel d’audit et non uniquement conforme pour la partie prévue au plan d’audit.
Non-Conformité levée en cours d’audit

Lorsqu'une NC a été identifiée au cours de l'audit, elle ne peut être considérée comme levée que si des preuves
tangibles ont été apportées par l'organisme. Le RA devra alors vérifier :
• que le traitement complet de la NC (aspect curatif) a été effectué,
• que le plan d'actions correctives est pertinent au vu de l'analyse des causes profondes effectuée par
l'organisme (dont systémiques)
• que l'efficacité de l'ensemble des actions correctives mises en œuvre est bien démontrée.
Si ces conditions sont effectivement remplies en totalité, alors la NC peut être levée en réunion de clôture, une
FNC est néanmoins établie, intégrée au rapport, comptabilisée dans le total des fiches de NC et comptée sur la
fiche « Compte rendu de réunion d’ouverture et de clôture d’audit » même si la NC a pu être clôturée en cours d’audit.
La démarche est similaire lorsqu’une NC majeure est partiellement levée :

• la NC majeure est « reconduite » sur une nouvelle FNC (en général une Non-conformité mineure).
• la nouvelle NC fait l’objet d’une nouvelle FNC codifiée dans l’audit n.
• les 2 fiches sont jointes au rapport.
• seule la nouvelle fiche NC est comptabilisée dans le total des fiches de NC.
CERTI I 0419.9 – 07/2016 37/62

Réunion de préparation de la réunion de clôture

Tous les membres de l’équipe d’audit participent à cette réunion animée par le REA. Elle a deux objectifs :
• Se mettre d’accord sur le libellé des Non-conformités Majeures et mineures ainsi que sur le nombre et contenu
des Points sensibles identifiés.
• Se mettre d’accord sur les conclusions d’audit et recommandations en fin d’audit (exemple : respecter des
saisonnalités, échantillonnages appropriés...)
Une réunion de clôture est plus efficace si une présentation des résultats est projetée lors de cette réunion par le
responsable d’audit. Une présentation Power Point type lui est mise à disposition avec les trames du rapport. Deux
façons de la remplir :
• les constats de l’audit sont déjà saisis. Le RA les transfère sous Excel et peut les classer selon les quatre
thèmes des conclusions générales. Ainsi le RA peut rapidement en tirer une synthèse par thématique en prenant
de la hauteur et n’étant pas trop analytique et la saisir dans le power point de clôture d’audit
• dans ce cas contraire le RA remplit directement le PPT des messages clés qu’il souhaite faire passer. Cette
présentation PPT est une aide qui est d’utilisation optionnelle et ne fait pas partie du rapport. Mais avec un peu
d’exercice les forces et faiblesses sont finalisées dans le PPT de la réunion de clôture. Il ne restera alors qu’à les
recopier dans le rapport final dans les forces et faiblesses.
Avant la réunion de clôture

Une fois la réunion de clôture préparée et avant l’arrivée des participants :
• Afin d’éviter des contestations et discussions en réunion de clôture, le RA devrait présenter le libellé des NC au
représentant de la direction, s’assurer de sa compréhension et lui rendre accessibles dans les meilleurs délais
les FNC de l’audit.
• Le RA présentera synthétiquement les grandes lignes de ses conclusions d’audit à la direction: ainsi
d’éventuelles incompréhensions, ambiguïtés, voire désaccords lors de la réunion de clôture seront évités.
Réunion de clôture
Les sujets suivants sont présentés en réunion de clôture :
• remerciements, revue d’éventuelles difficultés rencontrées en audit.
• le rappel qu’un audit est basé sur de l’échantillonnage et de ce fait présente toujours une certaine incertitude
sur les conclusions d’audit et que la décision est toujours prise par l’OC mais pas par l’équipe d’audit
• la confirmation du libellé de la certification qui est renseigné sur le compte rendu de la réunion de clôture : Si le
client exprime un souhait de modification de libellé en accord avec le RA, le RA modifie manuellement le libellé
ou joint une annexe et transmet électroniquement (sous 48h) le compte rendu finalisé au Chargé de Clientèle.
Les libellés sont prévus dans la langue de l’audit et une traduction équivalente en anglais. En même temps que
la dénomination sociale, le nombre et l’exactitude des adresses des sites certifiés sont à vérifier et à confirmer.
• Conclusions d’audit :
o NC majeures, NC mineures, PS, et PF. (Notes et Pistes de progrès peuvent être citées, mais il
convient d’aller à l’essentiel dans une réunion de clôture et de ne pas vouloir passer en revue tous
les constats d’audit),
o évolutions des PS et NC issus des audits précédents,
o libellés modifiés si nécessaire,
o validation des libellés des NC Majeures et des NC mineures (qui deviendront alors définitifs).
o Il peut être rappelé que certaines NC existaient peut être déjà lors de l’audit précédent mais
n’avaient pas été relevées par le précédent RA.
o Pour les organisations multi sites, le RA doit rappeler les principes d’échantillonnages appliqués
lors de cet audit. Les conclusions par lots de sites audités sont à présenter ainsi que les
conclusions que le RA en tire. Ceci permet également de confirmer ou de faire évoluer les
principes d’échantillonnages à appliquer pour l’audit à venir.
o En cas de besoin la procédure d’appel et de gestion des réclamations est à expliquer au client (voir
check contenu en fin du plan d’audit)
Les conclusions d’audit sont présentées de sorte que l’Audité les comprennent et les acceptent (choisir une
présentation adaptée à l’organisme Client).
CERTI I 0419.9 – 07/2016 38/62

S’il y a lieu, toute opinion divergente entre l’Audité et l’équipe d’audit, est enregistrée par l’Audité d’une part et
par le RA d’autre part, sur la fiche « Réunion de clôture » qu’il fait également signer aux personnes présentes
lors de cette réunion.
• Proposition du RA à l’Instance de Décision.

La proposition qui sera faite par le RA à l’Instance de Décision doit être communiquée et justifiée en réunion de
clôture.
Cette proposition doit évidemment correspondre à l’une des décisions que l’Instance de Décision pourra prendre
et qui figurent dans le rapport d’audit.
Afin d’éviter toute ambiguïté, le RA précise toujours que:
o La responsabilité de la décision revient exclusivement à l’Instance de Décision qui peut modifier le
classement des NC mineures et majeures.
o La proposition suppose que les actions correctives qui seront proposées par l’Audité suite à
d’éventuelles NC identifiées lors de l’audit seront pertinentes, avec un délai de mise en œuvre
acceptable, et présumées efficaces.
o Pour les organisations multi sites, le RA doit fournir suffisamment d’informations afin que l’instance
de décision comprenne les échantillonnages audités pour chaque lot de sites et les
recommandations formulées au regard des constats faits par site, qu’il soit permanent ou
temporaire (cas des chantiers / interventions en clientèle).
• Phases suivantes de l’audit (rapport d’audit QSEÉ et décision).

Le RA :
o précise la méthode à suivre et les délais à respecter pour répondre aux FNC émises (voir la
« Méthode à suivre pour répondre aux NC émises et apprécier la pertinence de la réponse » au
paragraphe 3.6 de ce Guide).
o demande à ce que l’audité ne répond pas uniquement par « Voir pièce jointe », mais au minimum
présente sur la FNC le contenu de la pièce jointe (l’Instance de Décision n’a pas la pièce jointe en
main).
o rappelle qu’un espace client avec accès protégé est à disposition Le client y trouvera des
informations utiles ainsi que le rapport final en format PDF. En cas de questions sur ce thème, il
renvoie sur le CDC qui est le bon interlocuteur pour lui donner toute information utile s’y rapportant.
Une hotline a été mise en place pour les usagers Opéra au numéro suivant : 01 41 62 61 61
o Informe le client sur les prochaines échéances et audits dans le cadre du processus de certification.
o Rappelle les conditions pour d’éventuelles plaintes ou appels.
A la fin de la réunion de clôture, le RA s’assure que le client ait accès aux FNC ou a minima ait en main les
formulations des NC et leur classement afin de pouvoir préparer ses réponses. Il peut conserver une copie du
document « Compte rendu de réunion d’ouverture et de clôture » s’il le souhaite.
Le document « Compte rendu de réunion d’ouverture et de clôture » doit être transmis systématiquement et
électroniquement au plus tard sous 48 heures au Chargé de Clientèle.
Le RA doit envoyer l’original papier avec sa facture et les justificatifs de dépenses au Chargé de Clientèle dans les
délais convenus par l’OC.
• Audits de SM de la Qualité : Logique de l’Auditeur

La logique de l’Auditeur se résume en quatre points :
1. Se mettre en permanence dans la situation du Client de l’Audité afin de mieux apprécier la conformité au
référentiel d’audit.
2. Aborder le SMQ par l’observation des pratiques de l’Audité plutôt que par les procédures : l’audit est un audit
« terrain ».
3. Apprécier le risque de non-satisfaction Client plutôt que le simple constat documentaire.
4. Raisonner « efficacité » plutôt que « stricte conformité à un texte normatif ou au référentiel d’audit » : l’audit
est axé sur les résultats.
L’audit d’un SMQ favorise le résultat et donc l’application et la pratique.
Lorsqu’une NC est identifiée, l’Auditeur:
o Cherche à déterminer et évaluer les risques induits par la NC et pouvant avoir un impact sur le
client final.
o Recherche à présenter la Non-Conformité comme une valeur ajoutée à venir pour l’Audité.
CERTI I 0419.9 – 07/2016 39/62

3.6. Préparation, approbation et diffusion § 3.1

d'audit de 3 ans
§ 3.2
de l'audit
du rapport d’audit QSEÉ § 3.8 § 3.9
Réalisation de la revue des
d'étape 1
§ 3.4
d'audit sur site
Clôture de l'audit
§ 3.5
Objectif
• Produire un rapport conforme à l’objectif défini dans l’OdM qui soit le reflet exact et argumenté de la mission.
Processus
Auditeurs -> RA : le RA : > Client/CDC :

- rédige le rapport d’audit en tenant compte des éléments transmis
Audit avec des Non Conformités ou cas où le client souhaite relire le rapport
commentaires, par son équipe d’audit, Rapport provisoire avec FNC

constats à intégrer - finalise la rédaction des FNC pré remplies en fin d’audit, transmises
au rapport d’audit. - complète les FNC des audits précédents (électroniquement si Courrier de demande de
disponible ou en manuel sur la FNC imprimée dans le cas traitement des NC
contraire. Ceci oblige à la scanner afin de la joindre au rapport
final).
- actualise le plan d’audit afin qu’il soit le reflet de l’audit réalisé,
- met à disposition des auditeurs le rapport provisoire afin qu’ils le
complètent éventuellement.
- finalise le rapport provisoire et le transmet au client.
1) s’il y a des NC :
- met à disposition du client sous 7 jours calendaires le rapport
avant finalisation.
complet dans sa version provisoire dont les FNC ouvertes.

Le courrier d’accompagnement doit demander au client de lui
retourner/mettre à disposition sous 7 jours calendaires le rapport et
les FNC complétées des propositions d’action ainsi que des
éventuels commentaires sur le rapport.
2) s’il n’a pas de non conformités : passer en b)
Client -> RA : le RA :
- analyse les réponses aux NC, complète chaque FNC, dans
FNC avec « commentaire » et éventuellement « vérification ».
propositions - Si le client n’a pas respecté le délai de 7 jours afin d’apporter la
d’action et des réponse aux NC, le RA signale ce retard au CDC dans
justificatifs commentaires de la fiche de commentaire pour l’OC afin de ne pas
éventuels *) être pénalisé des retards qui ne lui sont pas imputables. Le RA doit
néanmoins relancer le client à temps.
- si le client ne propose pas d’actions correctives pertinentes ou
dans des délais acceptables, le RA peut être amené à revoir la
conclusion d’audit exprimée en réunion de clôture. En effet l’OC
part du principe que tout client audité s’engage à solder les NC
sous un délai de 3 mois en ce qui concerne les NC majeures.
CERTI I 0419.9 – 07/2016 40/62

Auditeurs / client (b) RA>CDC :

> RA : Le rapport, les annexes ainsi
le RA : que le document
éventuels - analyse les retours du client et finalise sous 7 jours calendaires le « commentaire pour l’OC »
Finalisation du rapport définitif
commentaires, rapport d’audit qui devient ainsi définitif. Il actualise la date du renseigné.
sous 7 jours calendaires
constats qu’ils rapport. RA> Client/A :

souhaitent voir - Il renseigne également le document « Commentaire pour l’OC » Mail d’info que le rapport a
intégrés au rapport été transmis à l’OC pour
d’audit décision.
Le rapport n’est transmis au
client que sur sa demande
expresse à cette phase.
les RA/A : >CDC :

- s’assurent que les justificatifs et frais répondent bien à la charte Toutes les données et
relative aux voyages et déplacements des auditeurs signée avec justificatifs nécessaires à la
l’OC. facturation par l’OC des
prestations d’audit ainsi que
- les transmettent au CDC dans les meilleurs délais avec le compte le PV de clôture en version
rendu de réunion d’ouverture et de clôture original. originale.
*) Méthode à suivre par le client afin de répondre aux fiches de non-conformité émises et
comment sera apprécié la pertinence de la réponse par le RA
Il est demandé à l’organisme Client de renseigner les thèmes suivants:
• « Correction de la Non-Conformité » revient à corriger la NC (aspect curatif) en agissant sur ses effets.
• « Analyse des causes racines de la Non-Conformité ». Le client doit documenter ici les causes racines qui ont
amené à cette Non-Conformité
• « Action corrective proposée » revient à agir sur les causes probables identifiées et systémiques (amélioration
de son système de management) de la NC afin d’éviter leur réapparition.
• « responsable de l’action » et « date cible » sont à préciser par le client.
• Pour une Non-Conformité identifiée sur un site échantillonné, le client doit démontrer que l’analyse des causes
et les actions correctives ainsi que le suivi d’efficacité portent bien sur tous les sites inclus dans le lot en cause et
ne se limitent pas au site où la NC a été identifiée.
A réception des réponses de l’organisme Client, le RA apprécie pour chaque Non-Conformité la pertinence de la
réponse ainsi que de la date cible.
Si la proposition n’est pas pertinente du point de vue du RA, ce dernier contacte l’organisme Client afin de parvenir
à une réponse pertinente. Il commente ensuite, sur la fiche, la proposition finale de l’organisme Client (dans le cas
particulier où la lacune concerne l’analyse des causes, le RA commente la proposition de l’organisme Client par
une formule du type : « Analyse des causes à regarder lors du prochain audit »).
Si la réponse de l’organisme aux FNC n’est pas du tout celle espérée par le RA et que celle-ci remet en cause la
proposition à l’instance de décision prévue faite par le RA lors de la réunion de clôture, il convient impérativement
de contacter le client afin de l’informer des conséquences de sa réponse. Il renseigne alors, dans «autre
commentaires» des conclusions générales de l’audit cette nouvelle situation et l’argumente en complément des
informations sur les FNC. Le cas échéant il adapte son rapport.
Le client peut également soumettre des besoins de correction ou demander des précisions sur le rapport provisoire
reçu du RA, par exemple sur des erreurs de noms, des erreurs de terminologie maison, l’inexactitude d’une
donnée, sur un élément incompris du client etc…
CERTI I 0419.9 – 07/2016 41/62

3.7. Actions de l’OC suite à audit § 3.1

d'audit de 3 ans
§ 3.2
d'étape 1
§ 3.8 § 3.9
Pilote : le Chargé de Clientèle (CDC) § 3.4

§ 3.7
Autre acteurs : RA et auditeurs Clôture de l'audit
d'audit sur site
§ 3.5
La clôture de l’audit correspond à la clôture de l’ensemble des activités d’audit.
Objectifs
• Obtenir de l’OC la décision en tenant compte de la recommandation du RA.

• Facturer et clôturer cette mission auprès du client.
• Apporter les retours d’informations nécessaires et utiles de la mission à l’équipe d’audit et au DGECE.
• Rendre accessible à qui de droit en respectant les règles de confidentialité (public, marché,…) la liste à jour
des Organismes que l’OC a certifié.
Processus
CDC > Instance de les RA/A :

Décision -> CDC : CDC> Client :
Clôture d’audit
La décision suite à audit est - détruisent les documents et informations à l’issue de la informe de la décision prise,
obtenue par le CDC afin de mission d’audit ou à la fin du cycle d’audit et au plus tard transmet le rapport (et certificat
la traiter. lorsque l’audit de renouvellement a été finalisé. le cas échéant).
CDC -> Client /RA : - actualisent leur calendrier prévisionnel des audits de
transmission de la décision suivi dont ils auront à priori la charge > RA/A :
et du calendrier Reçoivent copie pour info de la
prévisionnel des audits décision de l’OC
Règle d’application
Confidentialité
Les documents ou informations nécessaires à la revue préparatoire et à la préparation des activités d’audit, réunis
au cours de l’audit et communiqués pour la levée des NC sont à détruire en respectant la confidentialité.
Les fichiers du rapport d’audit sont soumis aux mêmes règles de confidentialité, mais il est parfois utile de les
conserver jusqu’à la réalisation du renouvellement de la certification.
CERTI I 0419.9 – 07/2016 42/62

3.8. Programmation des suites de l’audit et suivi § 3.1

d'audit de 3 ans
§ 3.2
de l'audit
des besoins de l’organisme client § 3.8 § 3.9
d'étape 1
§ 3.4
Pilote : le Chargé de Clientèle (CDC) Clôture de l'audit
§ 3.5
Objectif
• Les actions nécessaires identifiées par le RA au cours de l’audit ci-dessus sont prises en compte par le Chargé
de Clientèle qui identifie les responsabilités pour leur bon suivi interne par l’OC ou de leur programmation pour le
prochain audit.
RA –CDC : le CDC : DGECE/OC-> RA :

rapport + Fiches de Non Les performances du RA sont
Conformités non levées, points analyse et enregistrement des données pour évaluées et transmises au RA.
Poursuite du cycle d’audit
sensibles non fermés des audits traitement. Des données relatives aux
précédents, recommandations enquêtes satisfaction obtenues
pour le prochain audit, L’Organisme Certification : par l’OC peuvent également lui
prévisionnel
commentaires pour l’OC Les performances de l’auditeur sont évaluées être communiquées.
par l’instance de décision et transmises au
DGECE. (FEPRA) CDC ->COM : Les
DGECE ->CDC en copie Les enquêtes satisfaction en retour des clients commentaires pour l’OC sont
(RA original) : restitution des sont collectées et analysées par le service analysés par le CDC. et
performances (FEPRA), Audits qualité de l’OC. transmis au service commercial
de supervision éventuellement Les supervisions d’auditeurs si programmées (ou toute autre entité du groupe
et ES clients sont collectées et transmises par l’OC au si nécessaire) pour traitement le
DGECE. cas échéant.
le CDC : Le CDC garde trace de

documentaire par
Cas d’un suivi
- réalise le suivi documentaire en vérifiant les vérifications effectuées dans le

actions demandées par l’instance de décision. dossier client et informe
l’OC
- conserve les conclusions de ce suivi dans le l’instance de décision de tout

dossier client et le SI. Les conclusions seront problème éventuellement
données au RA dans le cadre de l’OdM qui rencontré
sera établi pour l’audit suivant. .
le CDC : >RA :
documentaire par
- établit un OdM au RA si un suivi

vérification
Cas d’une,
documentaire par le RA est jugé nécessaire. Ordre de mission pour une

le RA
vérification documentaire =
Le RA relance d’un cycle selon le § 3.2
Accuse réception de cette nouvelle mission même s’il n’y a pas d’audit sur
site
CERTI I 0419.9 – 07/2016 43/62

3.9. Fin de Cycle et renouvellement d’une § 3.1

d'audit de 3 ans
§ 3.2
de l'audit
Certification § 3.8 § 3.9
d'étape 1
§ 3.4
Pilote : le Chargé de Clientèle (CDC) ou le Commercial § 3.7
d'audit sur site
Clôture de l'audit
§ 3.5
Objectif
• Le contrat de trois années arrivant à échéance, l’OC planifie et met en œuvre les actions adaptées afin de
proposer au client la poursuite du partenariat dans le cadre d’un renouvellement de la certification. Un nouveau
devis est établi. Afin de le gagner et de conserver la confiance du client, les auditeurs peuvent être associés aux
échanges avec le client. Un nouveau programme d’audit est établi en accord avec le client.
Processus
CDC -> RA. les RA + A :

En fin de Cycle
ou de contrat
La décision suite au dernier - clôturent leur mission et actions liées au dernier audit, OC :
audit est transmise.
- détruisent de manière appropriée les informations et Confidentialité respectée
documents collectés dans le respect des règles de
confidentialité en fin du cycle ou du contrat.
RA -> DGECE / CDC : Commercial OC / CDC: OC Voir phase 3.1 :

Relation Partenariat
remontées d’information Identification de nouveaux objectifs et attentes client Initialisation d’un nouveau cycle
auditeurs
des besoins client via reprises dans une nouvelle offre de certification. éventuellement avec le même
principalement la fiche auditeur, l’ensemble des
« commentaires pour l’OC Actions commerciales. informations nécessaires lui
suite au dernier audit » ou seront alors à nouveau
le mail transmis.
(infopartenaires@afnor.org
en France)
Règle d’application
En fin d’un cycle de 3 ans, l’OC:
• propose une nouvelle équipe d’audit. Sur les dossiers nécessitant une équipe de plusieurs auditeurs il peut
parfois être décidé de conserver un membre de l’ancienne équipe d’audit afin d’assurer le suivi et l’historique du
dossier dans la nouvelle équipe d’audit. Ce cas sera géré dans le cadre d’une dérogation interne.
• Le RA peut expliquer également ses recommandations et arguments sur ce thème dans ses « commentaires
pour l’organisme certificateur ».
CERTI I 0419.9 – 07/2016 44/62

4. Particularité pour l’audit par échantillonnage d’une entreprise multi

sites
Ce chapitre a pour objectif

• de différencier une entreprise implantée sur plusieurs sites mais que l’on ne peut échantillonner, d’une organisation du type multi site où le principe
d’échantillonnage peut être appliqué.
• de rappeler qu’une entreprise peut avoir des activités certifiées qu’elle réalise sur des sites « temporaires », même si ces sites ne seront pas
mentionnés sur le certificat. Cela peut être par exemple le cas des sites d’activité d’une entreprise de nettoyage de bureaux. Le principe
d’échantillonnage sera également appliqué dans ce cas sur un échantillon de sites temporaires afin de s’assurer de la maitrise des prestations pour le
client final.
• de faciliter la compréhension du principe de l'audit par échantillonnage qui peut être proposé par le commercial aux clients,
• d’en comprendre les principes de mise en œuvre au sein de l’organisme de certification,
• d’expliquer les prés requis concernant le système de management de l’organisme,
• de décrire ce qui sera réalisé en audit par les auditeurs et de la façon que le RA documentera un audit par échantillonnage dans le rapport d'audit.
Attention : dans le secteur Aéro., dans l’alimentaire et dans le secteur Automobile des règles spécifiques s’appliquent. Voir annexes au guide spécifiques pour
plus de précisions.
4.1. Définitions (Extraits de la règle IAF MD 1:2007)

(Consultable : site IAF en anglais http://www.iaf.nu/ voir publications MD 1:2007)
Une Organisation multi sites est définie comme une organisation présentant une fonction centrale identifiée (bureau central), de laquelle certaines activités
sont planifiées, contrôlées ou gérées ainsi que d'un réseau de sites (bureaux ou locaux) au sein desquels les activités à certifier sont en partie ou totalement
effectuées:
Un site permanent est un site (physique ou virtuel) où un client travaille et propose un service de manière constante. Exemple: un site de production, une
agence commerciale, un site de vente en ligne etc…
Le Site Virtuel (nouvelle notion apparue avec la publication de la règle IAF MD5 de 2015):
• Un site virtuel est considéré comme un lieu non physique où un organisme fournit un travail ou un service à l’aide d’un environnement en ligne,
permettant ainsi à des personnes d’exécuter des processus depuis n’importe quel emplacement physique.
• L’audit d’un site virtuel est à considérer comme l’audit d’un site physique. L’auditeur y consacre du temps. Il mentionne l’audit de ce site dans les
différents documents du rapport d’audit (plan d’audit, constats et autres…).
• Le site virtuel audité est mentionné sur le certificat via son adresse url dans le libellé de la certification.
CERTI I 0419.9 – 07/2016 45/62

Par opposition on entend par site provisoire ou temporaire, un site où est exécuté un travail spécifique ou un service pendant une période de temps définie
et limitée et qui ne deviendra pas un site permanent de l’organisme (Cas des chantiers). Les activités réalisées sur ces sites provisoires qui sont couverts par
le Système de management de l'organisation, doivent donc être audités par échantillonnage afin de fournir la preuve de la maîtrise de la prestation et donc de
l'efficacité du système de management à certifier. (Exemple : réalisation de prestations de nettoyage réalisées par l’organisme dans les locaux d’un de ses
clients. Les locaux du client sont identifiés comme un site provisoire de réalisation de la prestation).
Site additionnel: c’est un nouveau site ou un groupe de sites qui seront ajoutés au périmètre des sites déjà certifiés. (Exemple: un audit d'extension
concernant 4 agences commerciales additionnelles à inclure au périmètre des 20 agences du périmètre déjà certifié).
Un lot de sites est un groupe de sites présentant des caractéristiques semblables en termes d’activités, de risques ou de processus. (L’échantillonnage se
définit et se réalise pour chaque lot). L’échantillonnage fait sur certains sites d’un lot doit permettre de porter un jugement pertinent sur le lot complet de sites
de ce lot. De ce fait la constitution d’un lot de sites en vue de réaliser un audit par échantillonnage doit être défini en concertation avec l’organisme en
s’appuyant sur des données et des éléments du système de management : Exemple pour des agences, mêmes procédures, même processus applicables par
des équipes organisées de manière similaire (organigrammes et tailles d’agence comparables).
Un site « électron libre » est un site qui ne peut être intégré dans un lot car il a des activités, des risques ou l’organisme y applique des processus
spécifiques. (Exemple : un dépôt de pièces de rechange et logistique pour une entreprise ayant 5 sites de production).
On entend par Echantillonnage l’action de déterminer un nombre limité de sites représentatifs à auditer dans chaque lot de sites.
Critères d'éligibilité pour la réalisation d’audits multi-sites par échantillonnage :

Avant d’accepter de mettre en œuvre chez un client existant ou un prospect un audit de certification par échantillonnage, l’OC doit vérifier que l’organisme
candidat réunit les conditions suivantes. Un client a tout intérêt à bien analyser son organisation selon ces principes afin de savoir la présenter au commercial
pour la réalisation du devis de certification mais également afin d’optimiser la gestion de ses propres audits internes :
 Existence réelle d’une « organisation multi-sites », à savoir une organisation dans laquelle sont identifiés :
- un ou plusieurs sites sur lesquels sont implantées des fonctions centrales (ex : DG/ Equipe de management système / DSI / Finance / Marketing /
Communication / Achats / R&D /…)
- des sites sur lesquels s’exercent des fonctions opérationnelles ou de production (exemple agences commerciales, sites de production, etc),
- le cas échéant, de sites provisoires (exemple sites clients pour une entreprise de nettoyage, les chantiers pour une entreprise de construction, etc).
- existence de sites virtuels
 Réponse aux conditions suivantes relatives aux processus, au système de management, à l’aptitude de l’organisation à recueillir et analyser les
données :
 Est-ce que le système de management de l’organisation est piloté, géré et managé de manière centralisée et fait l’objet d’une revue de direction
globalisée ?
 Est-ce que la direction de l’organisation a bien autorité sur l’ensemble du périmètre concerné et a désigné un responsable du système de
management ?
CERTI I 0419.9 – 07/2016 46/62

 Est-ce que l’organisation a bien un Système de management global couvrant l’ensemble du périmètre ? Ou est-ce que à minima les processus de
tous les sites d’un même lot sont bien de même nature et sont bien mis en œuvre avec des méthodes et procédures similaires ?
Note : Lorsque certains des sites étudiés mettent en œuvre des processus similaires, mais en nombre inférieur à d’autres sites, il peut être envisagé de les inclure dans la certification
multi-sites dès lors que les sites qui conduisent la majorité des processus, ou des processus critiques font l’objet d’un audit complet.
 Est-ce que tous les sites concernés (y compris les fonctions centrales au sein du bureau central) sont bien intégrés au programme d’audit interne de
l’organisation ?
Ont-ils bien déjà été audités conformément à ce programme ? (Tous les sites doivent avoir été audités en audit interne avant l’audit de certification.)
 Est-ce que l'organisation peut démontrer son aptitude à recueillir et à analyser les données (y compris mais sans s'y limiter les points listés ci-
dessous) émanant de tous les sites y compris des fonctions centrales :
- la documentation et les modifications du système ;
- la revue de direction ;
- les réclamations ;
- l'évaluation des mesures correctives ;
- la planification de l’audit interne, sa réalisation et l’évaluation des résultats obtenus;
- les changements pour les aspects et les impacts associés aux systèmes de management environnemental, les risques SST, les enjeux
énergétiques et ;
- les différentes exigences réglementaires ?
 Est-ce que l'organisation peut démontrer son autorité et sa capacité à mettre en œuvre un changement organisationnel si nécessaire ?
Dans le cas d’activités particulières, l’OC se réserve le droit de ne pas accepter la mise en œuvre d’une certification multi-site par échantillonnage (site
SEVESO seuil haut, …)
4.2. Déroulement chronologique d’une certification dans le cadre d’une entreprise multi sites :
Acteur Problématique Action par acteur Objectif Définition Elément de sortie

Commerc Clarifier et Echanges avec le client sur son Le commercial doit comprendre Voir § 4.1 ci-dessus En, cas d’une organisation
ial + identifier organisation globale et par site. le modèle management du client. multi sites le commercial
Client ensemble si Client : identifier le périmètre choisit avec le client si un audit
l’organisation est géographique à certifier ainsi que le par échantillonnage est
du type multi libellé souhaité afin de préparer son possible et souhaité.
sites ou une futur certificat. Dans le cas contraire le
organisation chiffrage et devis sera similaire
unique répartie à une organisation mono site.
sur plusieurs
sites.
CERTI I 0419.9 – 07/2016 47/62

Commerc Le commercial Commercial : Obtenir du client la liste Identifier un ou plusieurs lots de Les sites peuvent être regroupés Avoir en main la liste globale
ial doit collecter des des sites avec les effectifs et leurs sites ayant des activités dans un même lot de sites à partir de de tous les sites à certifier,
+ client informations du adresses. Mais il lui faut surtout similaires afin d’échantillonner et moment ou ces sites sont éligibles. Y avoir Identifié :
client afin comprendre les activités par site avec de ne pas prévoir un audit de (cf. § 4.1 pour la définition) - le ou les sites centraux où se
d’identifier et de précision afin de les regrouper par tous les sites. trouvent les fonctions
constituer des « activités similaires ». Expliquer au client le principe de centrales,
lots pertinents Dans le cadre d’un audit 50001 les l'audit par échantillonnage qui lui - le/les sites à activité
pour la UES et les consommations par site sera retranscrit dans le unique(s),
certification d’une devront être communiqués. programme d’échantillonnage. - un ou plusieurs lots de sites
entreprise multi Convenir avec le client d’un avec des activités similaires
sites. Client : Identifier les prérequis afin programme d’échantillonnage que ce soit des sites
d’aller en confiance vers un audit par adapté à son organisation. permanents ou provisoires.
échantillonnage. (Le client devra
s’assurer en interne que ces
prérequis sont bien donnés avant le
début d’audit)
Commerc Calculer les Les sites centraux sont toujours Avoir une vision claire du nombre Durée d'audit pour: Proposition Commerciale
ial durées d'audit audités. de sites permanents ou - le site central citant le programme d'audit et
afin de produire Définir l'échantillonnage à appliquer temporaire à auditer afin - le/les sites uniques d'échantillonnage pour le
une proposition pour l'audit initial, de surveillance, de d'estimer les temps d'audit (et de - par site permanent x nb de sites à client.
commerciale. renouvellement pour chaque lot de transfert inter sites) auditer pour chaque lot
sites. Savoir expliquer au client : - par site temporaire x nb de sites à Annexe technique à jour des
Définir la stratégie d’audit qui sera à - le programme auditer sites à certifier (adresses) et le
appliquer sur trois ans pour tous les d'échantillonnage sur lequel se = durée globale d'audit dans le cadre libellé souhaité par le client.
sites uniques et relatif aux sites base son devis, d’un programme d'échantillonnage
provisoires. - les critères d'éligibilité des sites défini pour l'audit initial, l’audit de
à l'échantillonnage qui seront surveillance et de renouvellement.
vérifiés par le RA lors de l'audit.
Commerc Contractualiser Signer un contrat avec le client Transmettre toutes les
ial l’audit de en ayant clarifié le programme données au CDC afin qu’il
certification d’audit et d’échantillonnage puis puisse sélectionner l’équipe
le transmettre au chargé de d’audit et programmer l’audit
clientèle pour mise en œuvre. avec le client
CERTI I 0419.9 – 07/2016 48/62

CDC Comprendre la Faire préciser et convenir du libellé de Comprendre le programme Eligibilité voir ci-dessus §4.1 Ordres de mission pour les
prestation la certification demandée par le client, d'échantillonnage. auditeurs précisant:
vendue, le pouvant ou non mettre en évidence Informer le client comment et Pour un audit multi-sites : - le libellé prévu et le périmètre
périmètre à les activités des lots de site à certifier. quand l'éligibilité des sites sera • soit les sites à auditer par à certifier (annexe technique
certifier et le vérifié par le RA (audit d'étape 1, lot sont définis par le CDC, citant tous les sites)
programme préparation d'audit revue doc, • soit le CDC indique le - le programme
d'échantillonnage lors de l'audit sur site) nombre de sites que devra d'échantillonnage à appliquer
sur lequel se S’assurer que l'équipe d'audit sélectionner et auditer le par le RA
base le devis et comprenne et puisse expliquer le RA dans chaque lot de - l'échantillonnage à réaliser
devant être mis programme d'échantillonnage sites. Ce sera alors le RA lors de cet audit (nb ou sites à
en œuvre au vendu. qui les sélectionnera par auditer par lot)
cours de l'audit. Traduire les exigences d’audit lot. - précision si l’étape 1 se
dans l’Ordre de mission . déroule sur site ou non (audit
adressée aux auditeurs initiaux ou avec changements
significatifs = potentiellement
aussi pour les audits
d'extension en multi site)
RA Réaliser l’Audit Réalisation de l’audit d’étape 1 : Comprendre le périmètre à « éligibilité » voir §4.1 Rapport d'étape 1 rempli,
d'étape 1 certifier. citant tout problème par
Il doit s’assurer que : rapport au programme
Et mettre au point - les activités des sites à certifier par S'assurer que le programme d’échantillonnage même si
un plan d’audit lot sont bien de même nature, d'échantillonnage est adapté à la cela nécessite de revoir
- les procédures et des méthodes certification visée. commercialement l’offre (par
identiques / similaires sont exemple l’éligibilité des sites à
applicables au sein de chaque lot de Vérifier l'éligibilité de tous les l’échantillonnage n’est pas
sites à certifier, sites de chaque lot de sites avant acceptable)
- la revue de direction par le site d'échantillonner ces lots. Confirmer et documenter dans
central couvre bien tous les sites à le tableau prévu à cet effet
certifier, dans la revue documentaire
- qu’un programme d’audit interne a quel programme d’audit et
permis de s’assurer que chaque site à d’échantillonnage sera
certifier a été audité et applique le appliqué. Le RA y rappelle
SM. le(s) lot(s) identifiés et par lot
les sites sélectionnés pour
l’audit. (échantillonnage par
lot)
Ce tableau sera à reporter et à
compléter sur un cycle de trois
ans afin de tracer la
méthodologie et déroulement
de ces échantillonnages.
CERTI I 0419.9 – 07/2016 49/62

RA Préparer un plan Planifier pour les sites centraux, sur Sélectionner le nombre de sites Choix des sites voir définition Plan d'audit respectant le
d'audit les sites échantillonnés et sur les représentatifs prévus ou d'échantillonnage ci-dessous. programme d'échantillonnage
sites uniques les différentes activités/ demandés dans l'ODM afin que Le plan d'audit se fait tel que et définissant par site les
processus / exigences qui seront le RA puisse se prononcer sur la d'habitude mais en y précisant exigences/processus/activités
auditées. La particularité d’un plan certification demandée et pour le clairement chaque site audité. auditées. (le plan est souvent
d’audit pour une organisation multi périmètre total de la certification. Pensez à bien y mentionner les identique pour chaque
site c’est qu’il y a des transferts entre aspects logistiques de transfert inter échantillon d’un même lot)
sites à planifier. Le programme sites en termes de moyens et de
d’audit sur des sites d’un même lot temps.
peut être identique.
Equipe Réalisation de Le RA rappelle et explique à son Toute Non-conformité identifiée Aucune certification ne peut être Rapport d'audit
d'audit l'audit site. équipe l'objectif de l'audit avec sur un site faisant partie de délivrée si une NC subsiste sur un
l'échantillonnage défini au plan. l'échantillon peut logiquement site. Gestion adéquate des NC
Gestion des NC exister sur d'autres sites du lot Le représentant de l'organisme ne identifiés en audit et du mode
détectés sur un Des débriefes journaliers au sein de du fait d'un système de peut en cours d'audit retirer un site de résolution pour l'ensemble
site faisant partie l'équipe doivent se faire par téléphone management similaire. Une du périmètre et du lot de sites des sites concernés.
de en fin de journée afin que le RA communication efficace entre évalués du fait de l'existence d'une
l’échantillonnage puisse redistribuer les infos dans son auditeurs afin de s'en assurer sur NC sur ce site. Proposition pertinente pour
équipe d'audit. Chaque auditeur fait l'ensemble des sites audités est Le RA doit définir les modalités traiter les NC majeurs dans le
des restitutions journalières vers le nécessaire. Cette investigation adaptées pour traiter une NC cadre d'une proposition
client avant de quitter le site audité. est à documenter sur la FNC. apparue sur un site échantillonné. Il d'échantillonnage à applique à
doit considérer le fait qu'elle peut l'audit complémentaire si
exister sur l'ensemble des sites du nécessaire
lot. A l'organisme client de s'assurer
que ce n'est pas le cas et au RA de
le vérifier. Le nombre de sites
échantillonnés peut éventuellement
être remis en cause et revu à la
hausse par cette NC.
Client Gestion d’une NC 1°) Mise en place d’une action L’homogénéité de l’échantillon Non Conformités systémique : Non- Pour le Client : apporter une
identifié sur un curative immédiate sur les sites ayant été mis à défaut par une Conformité liée à une défaillance du analyse et plan d’action adapté
des sites concernés. NC par le RA, il revient à système. Il faut donc corriger le à la NC
échantillonnés 2°), Analyse des causes et vérification l’organisme d’apporter la système puis s’assurer que le
si cette NC n’existe pas sur d’autres preuve : système corrigé est déployé, RA : au vu de l’analyse et
sites • Soit que c’est une NC appliqué et efficace. traitement prévu ou réalisé par
3) identification d’une action localisée donc non générique le client faire une proposition à
corrective appropriée. et non systémique. l’OC sur les moyens à prévoir
4) Déploiement de cette action sur • Soit que c’est une NC pour s’assurer que cette NC
tous les sites concernés systémique qui a été corrigée est levée pour tous les sites
5) démonstration au RA que cette en tant que tel sur l’ensemble potentiellement concernés du
action est déployée et efficace sur des sites concernés. lot.
l’ensemble des sites concernés.
CERTI I 0419.9 – 07/2016 50/62

L’expert Prendre une La décision de l'OC s'appuie sur les Suite à un audit faisant appel à Décision de l'OC:
décisionn décision de recommandations du RA et la l’échantillonnage, prendre une - de certification, ou
aire de certification. compréhension de la méthodologie décision pour l’ensemble du - définition d’Actions afin de
l’OC d'échantillonnage déployée. périmètre certifié. lever des NC majeures ou
En cas de Non Conformités, cette mineures rencontrées en audit
compréhension est d'autant plus sur un lot de sites à certifier /
vitale pour le décisionnaire qu’il doit certifiés
choisir un mode de traitement adapté
et judicieux. Par exemple audit La décision s'appuie sur les
complémentaire sur NC-Maj. à vérifier sites échantillonnés mais porte
sur les mêmes sites, sur des sur le périmètre complet à
nouveaux sites, sur tous les sites ??? certifier.
. La recommandation argumentée du
RA doit l’y aider.
De même si des NC mineures ont été
vues sur certains sites échantillonnés,
quelle était la recommandation du
RA, que devrait décider l'OC ?
Sélection des sites à auditer:

- Choisir 25% des sites de l’échantillon de manière aléatoire,
- Compléter par des sites représentatifs ou présentant un intérêt particulier,
- Consulter le représentant de l’organisme pour voir si lui recommande ou souhaite voir plus particulièrement certains sites,
- Le choix des derniers sites sera déterminé en optimisant les transferts logistiques au regard des sites déjà sélectionnés.
Les sites sélectionnés seront listés en bas de page "revue préparatoire". La raison des choix peut être précisée par site (aléatoire, performance,
modifications, maturité SM, particularité etc…). Le nombre de sites audités doit correspondre à l’ODM, dans le cas contraire ou en cas d'impossibilité le CDC
doit être contacté.
4.3. Enregistrements spécifiques du RA dans le rapport d'audit

Les constats doivent être liés au site audité : Les constats d’audit doivent démontrer que l'audit a été mené sur l'ensemble des sites prévus du plan
d’audit. De ce fait, saisir pour chaque constat le site de rattachement de ce constat (exemple siège Paris ou Lyon, agence 78250, chantier XY)
Réunion de clôture:
Le RA doit rappeler que l'audit a été fait par échantillonnage, sur quels sites il a porté et quelles sont les conclusions qu'il en tire pour le périmètre global.
Rédaction de Non conformités: préciser toujours le/les "sites concernés" par la NC. Une NC peut concerner éventuellement tous les sites d’un lot
échantillonné, le préciser dans ce cas.
Si des NC ont été identifiées sur un des lots audités, le RA doit rappeler que c'est à l'organisme de s'assurer et de vérifier que ces Non Conformités n'existent
pas sur les autres sites non échantillonnés du lot. Une analyse des causes doit être faite. Le plan d'actions correctives de l'entreprise doit porter sur tous les
sites du lot concerné et ne pas se limiter aux seuls sites audités. La vérification d'efficacité des actions correctives par le RA ne se limitera de toute façon pas
aux seuls sites échantillonnés mais dépendra de la portée réelle de chaque NC. De plus la certification ne peut être recommandée par le RA tant qu'une NC
majeure n'est pas soldée et pour une NC mineure tant qu’un plan d’action concernant tout le lot incriminé n’est accepté par le RA.
CERTI I 0419.9 – 07/2016 51/62

Synthèse des situations Environnementales / SST / Energie: rattacher les commentaires aux sites concernés.
Chronologie de remplissage du corps du rapport d’audit:

Présentation de l’organisme, activités, produits ou évolutions – Contexte – champ – périmètre: rappeler ici que l'audit fait appel à l'échantillonnage qui porte
sur un ou plusieurs lots de sites en les définissant et rappelant le nombre de sites audités pour chaque lot.
Si des Non Conformités ou PS ont été identifiés ils sont cités dans les constats, il n'est pas nécessaire de les rappeler ici.
Management Synthèse des forces et faiblesses: Les commentaires du RA se basent sur les échantillonnages mais portent sur les lots complets de sites, objet
de l'audit. Le RA doit donc bien à adopter ce langage dans forces et faiblesses afin que le management du client en comprenne le principe et la portée.
Conclusions générales: Les conclusions du RA portent sur l'ensemble du système et concerne l'ensemble des sites du périmètre même si n’ont été audité
qu'un nombre limité de sites. Il est rappelé ici qu'aucune certification ne peut être recommandée si une NC majeures subsiste sur un site quelconque et que
pour les NC mineures il existe des plans d’actions avec une portée étendue à tous les sites pouvant être concernés par cette NC.
Commentaire pour l'OC: Dans "Points à signaler pour le prochain audit", le RA doit informer le Chargé de Clientèle sur :
• la pertinence dans le choix et la sélection de sites échantillonnés par lot s’ils avaient été définis par le CDC,
• sur d'éventuels besoins d'extension ou de modification.
• Dans "échantillonnage à prévoir" il informera également le CDC sur les sites qui lui semblent pertinent de prévoir au prochain audit. Il peut faire un
copier-coller du tableau présenté dans la revue des documents et y ajouter les sites qu’il estime judicieux d’auditer au prochain audit. Si le
prochain audit est un renouvellement avec un nouveau RA, ces informations sont vitales et impératives afin d’assurer la pertinence et l’efficacité des
audits pour la prochaine équipe d’audit.
De la même façon des recommandations du RA pour des sites provisoires sont attendues.
4.4. Conclusions :
La réussite d'un audit efficace d'une entreprise multi sites faisant appel à l'échantillonnage est conditionnée par la conjugaison efficace d'actions des quatre
acteurs : le commercial, le Chargé de Clientèle, l’équipe d’audit et le client. Tous doivent comprendre d'une part le principe d'échantillonnage et d'autre part
contribuer à bien identifier les lots de sites à certifier et les échantillons de sites à auditer pertinents par lot.
Les conclusions d’audits peuvent alors être clairement extrapolées à l'ensemble des sites du périmètre à certifier.
En cas de détection de NC en cours d’audit les modalités de traitement sont alors comprises de tous, ce qui en garantit un traitement efficace.
CERTI I 0419.9 – 07/2016 52/62

5. Logique et composition du rapport d’audit QSEÉ
Le rapport d’audit est avec le certificat l’un des produits majeurs fournis au client.
Les besoins et attentes des organismes Clients

Les organismes Clients attendent un rapport intégrant plusieurs Systèmes (SMQ, SMS, SME, SMÉn etc…), à
valeur ajoutée et facile à lire. Le rapport a été revu en conséquence. Ses caractéristiques sont :
• une composition de rapport identique et unique, pour les audits combinés ou mono-Système quel que soit le
pays ou l’organisme du groupe réalisant cette mission.
• un rapport plus accessible pour les personnes qui souhaitent une restitution d’audit synthétique, facile à
comprendre et sans entrer dans des considérations techniques liées aux référentiels. Le corps du rapport répond
à cette demande, résumant pour le Management, mais également pour tout collaborateur la synthèse des forces,
et des faiblesses.
• des annexes de rapport dans lesquelles, les spécialistes de l’audit et le représentant de la direction, trouveront
les constats détaillés et autres précisions sur l’audit, au regard des référentiels applicables. La démonstration de
la conformité attendue et les détails de constats y sont documentés.
• une focalisation sur la conformité par rapport au référentiel d’audit (cf. Non-conformité Majeure, Non-conformité
mineure, Point Sensible et Note), mais aussi sur l’amélioration continue (cf. Piste de Progrès et Point Fort).
• une intégration possible de prestations complémentaires telles que dans le cadre d’audits dans le secteur de
l’énergie, de l’alimentaire, du médical, qui seront alors documentées dans des annexes spécifiques
supplémentaires au rapport précité.
Les besoins et attentes des Auditeurs

Le rapport tel qu’il a été revu prend en compte les demandes des Auditeurs.
• La rédaction est simplifiée grâce à l’homogénéité globale des rapports d’audit.
• Une réduction ou suppression de toute saisie d’information redondante sans valeur ajoutée pour les utilisateurs
des versions totalement manuelles de ces fichiers.
• Le rapport initialisant un cycle d’audit se focalise sur la conformité par rapport au référentiel et sur
l’amélioration continue.
• Il n’est plus demandé de fournir de check-list par référentiel, néanmoins en cas de besoin, celles-ci peuvent
être jointes au rapport dans les annexes. (Cas de référentiels exigeant l’usage de check-list)
• La mise à disposition d’une présentation Power Point utilisable en réunion de clôture, facile à remplir à partir
des constats d’audits et pouvant ensuite être directement exploitée pour le rapport final d’audit (forces et
faiblesses).
Les besoins et attentes de l’OC

En ce qui concerne le rapport d’audit, les besoins et attentes de l’OC se traduisent par quatre impératifs :
• Valeur ajoutée
Le rapport d’audit doit être utile à l’organisme Client. Ce rapport doit donc être :
o Complet, précis, concis et clair.
o Dynamique dans le temps.
• Gestion facile et homogène des dossiers
Le CDC doit recevoir un rapport électronique complet (à savoir le corps du rapport avec ses Annexes qui seront
diffusés à l’organisme Client ainsi qu’un document spécifique pour les commentaires du RA, non diffusé à
l’organisme Client). Ces documents devront être conformes aux règles fixées par l’OC pour une gestion
maîtrisée du dossier.
• Evaluation et décision
L’Instance de Décision de l’OC doit pouvoir décider sur base de la proposition du responsable d’audit de la
certification, de son maintien, de la vérification ou audit complémentaire, de son renouvellement ou de son
éventuelle suspension ou retrait.
CERTI I 0419.9 – 07/2016 53/62

Le rapport doit apporter les éléments de démonstration de conformité nécessaires et suffisants ainsi que la
recommandation du RA pour que l’Instance de Décision prenne les décisions adéquates ; il doit donc être
complet, précis, concis, clair et conforme aux règles fixées par l’OC.
• Accréditation
Les accréditeurs auditent l’Organisme de Certification afin de déterminer dans quelle mesure ils satisfont aux
exigences reconnues internationalement (ISO/CEI 17021:2011 et directives IAF) et, en conséquence pour
décider du maintien des accréditations de l’OC. Tout rapport d’audit doit donc être conforme aux règles fixées
par l’OC, de ce fait conforme aux spécifications données dans ce guide et documents applicables aux
prestations des auditeurs travaillant pour leur compte.
5.1. Caractéristiques du rapport d’audit QSEÉ

Un audit initial est décomposé en deux phases qui sont documentées dans deux rapports distincts : Le rapport
d’audit d’Etape 1 puis celui de l’audit d’Etape 2.
Les autres audits tels que les audits de Surveillance et de renouvellement se caractérisent par un seul rapport
d’audit équivalent à l’audit d’Etape 2 ci-dessus.
Le rapport d’audit QSEÉ se caractérise par :

• L’intégration des référentiels
o Etablissement d’un seul rapport, pour les audits combinés ou mono-Systèmes.
• La valeur ajoutée
o Visualisation de l’évolution du système de management de l’organisme Client sur 3 ans.
o Focalisation sur la conformité et l’amélioration continue.
• La modularité
o Intégration possible de prestations complémentaires dans le rapport QSEÉ via des annexes
spécifiques pour une dizaine d’autres référentiels.
• La complétude, la précision, la concision, la clarté et la conformité par rapport aux règles fixées par
l’OC
• Le rapport sera unique et commun pour tous les OC du groupe AFNOR dans le monde. Les trames
nécessaires existent dans une dizaine de langues différentes. Ceci permet sur demande spécifique à l’OC
d’éditer le rapport dans d’autres langues pour des audits se déroulant sur plusieurs pays. La décision de l’OC se
fera néanmoins dans la majorité des cas sur un rapport en langue anglaise ou en français (sauf cas particulier
défini par l’OC).
5.2. Logique et composition du rapport d’audit QSEÉ

5.2.1. Composition d’un rapport d’audit d’Etape 1
• Le corps du rapport d’audit d’Etape 1 : l’utilisation du fichier a été décrite dans le § 3.3.2.
• En annexe : la revue préparatoire et le projet de plan d’audit (d’autres annexes spécifiques si nécessaire et
définies par le référentiel applicable)
• Pour des audits 50001 la synthèse des situations relatives au management de l’énergie doit être pré remplie
aux §1 et 2.3 et jointe au rapport d’étape 1. Cette annexe sera complétée lors de l’étape 2.
5.2.2. Composition d’un rapport d’audit (appelé d’Etape 2 si précédé d’un audit d’Etape 1)
• Le corps du rapport.
• Les constats de l’audit
• Les fiches de Non-Conformité : toutes les FNC de l’audit réalisé ainsi que celles à traiter issues des audits
précédents qu’elles soient levées ou non,
• La synthèse des situations E/SST/Énergie si ces référentiels sont applicables,
CERTI I 0419.9 – 07/2016 54/62

• Les synthèses de conformité de systèmes de management 9001 v2015 et/ou 14001 v2015 en cas
d’audit selon annexe 2 du guide.
• Le plan d’audit tel que réalisé.
• Le PV de réunion d’ouverture et de clôture
D’autres annexes peuvent se rajouter selon les référentiels applicables à l’audit. Les annexes sont toutes à lister.
Ne font pas partie du rapport d’audit :

• les Commentaires pour l’OC
• les preuves transmises au RA pour justifier des traitements des FNC,
• des check-lists de référentiels obligatoires utilisées éventuellement en audit
• les notes et informations collectées au cours de l'audit par l’équipe d’audit.
CERTI I 0419.9 – 07/2016 55/62

6. Règles d’utilisation des éléments du rapport

d’audit QSEÉ remplis par le RA en interface avec
le client
Ce chapitre précise :
• Les objectifs et les modalités d’utilisation des éléments du rapport d’audit QSEÉ remplis conjointement entre
les auditeurs et le client.
NB : L’usage des fichiers exclusivement remplis par les auditeurs sont traités dans l’annexe 1.
6.1. La revue préparatoire et le plan d’audit

(Le rapport d’étape 1 a déjà été décrit au chapitre 3.3.2 de ce guide et n’est pas répété ici.)
Ce document évolue en quatre phases :

• le RA établit un projet qui est transmis par mail au client,
• le client le complète et ou l’adapte à ses impératifs en concertation avec le RA,
• en réunion d’ouverture les dernières adaptations peuvent être convenues.
• puis l’équipe d’audit réalise l’audit selon ce plan et y consigne des modifications intervenues (horaires,
personnes réellement rencontrées, chronologie et horaires réels) afin que le plan actualisé joint au rapport
soit le reflet du déroulement réel de l’audit effectué. Cocher la case en conséquence : « audit tel que
réalisé » en fin du document.
Objectifs du fichier :
La revue préparatoire :
• Rappelle au client l’objectif de l’audit. Un nouvel espace est prévu afin de documenter un objectif
complémentaire et spécifique convenu dans le cadre de cet audit avec le client.
• rappelle les référentiels, les éditions et les types d'audits prévus par référentiel,
• cite le libellé prévu / ou actuellement encours de l’organisme à auditer,
• mentionne le ou les site(s) concernés par le périmètre à auditer. Pour des sites nombreux le RA peut faire
référence à un document annexé à la revue préparatoire,
• rappelle les points à auditer issus du dernier audit qui seront à revoir lors de l’audit à venir (problèmes
identifiés en Etape 1 ou nombre de PS et NC non soldés des audits précédents. Le RA peut faire un copier/coller
des constats de l’audit précédent afin d’en rappeler l’objet),
• mentionne l’existence éventuelle d’une plainte reçue par l’OC qui sera vérifiée dans le cadre de l’audit à venir,
• rappelle les documents (et versions) mis à disposition et analysés par le RA qui formeront le référentiel d'audit
avec les normes applicables à cet audit. Ceci englobe les conclusions du ou des derniers audits réalisés. Pour
les audits de SMÉ des informations plus précises sont requises, voir formulaire.
• formalise pour l’organisme Client les commentaires ou les problèmes constatés lors de l’analyse des
documents reçus par le RA,
• confirme ou non la faisabilité de l’audit sur site aux dates prévues.
• documente l’échantillonnage retenu par le RA qui doit être conforme à l’ordre de mission et défini en accord
avec l’entreprise. Le chapitre 4 de ce guide donne des précisions sur ce thème. Un tableau avec des exemples
est proposé à l’auditeur afin qu’il puisse renseigner les échantillonnages prévus et ceux déjà réalisés. Ceci
permet au client comme au décisionnaire de comprendre les principes adoptés et ainsi faciliter la lecture du
rapport. Pour des organisations travaillant en postes l’échantillonnage par poste est à préciser. L’échantillonnage
des processus (pilotage et application) peuvent également être suivis dans ce tableau
CERTI I 0419.9 – 07/2016 56/62

Le Plan d’audit :
• permet avant l’audit à l’organisme Client de connaître le déroulement détaillé prévu de son audit. Le Client peut
ainsi rechercher et vérifier la disponibilité des personnes adéquates afin de répondre aux points à auditer sans
les mobiliser pendant toute la durée de l’audit. Il lui permet aussi de mentionner les aspects logistiques prévus
(réservation de salles, billets ou transferts éventuels, accompagnateurs prévus, moyens logistiques…)
• D’établir un déroulé, une check-list et une répartition des rôles au sein de l’équipe d’audit et pour le client de
s’organiser afin qu’ils soient guidés lors de l’audit par le personnel adéquat.
• De façon générale, facilite la coordination des activités d’audit et fournit un planning diffusable au sein de
l’organisme audité.
• il permet également au RA après l’audit de documenter l’audit effectivement réalisé en y citant les horaires
réels, les personnes effectivement rencontrées, si utile de documenter des données et exemples d’audit, et
éventuels imprévus survenus en audit.
6.2. Les Fiches de Non Conformités

Objectifs d’une Fiche de Non-conformité :
• Apporter un constat de Non-Conformité clair, factuel et facile à comprendre pour le client.
• Préciser à l’organisme Client et à l’Instance de Décision, le risque identifié et évalué par le RA dans le cadre de
cette NC. Derrière toute NC il y a un risque que le RA doit savoir mettre en avant, ce qui revient parfois à éclairer
l’exigence du référentiel d’audit concerné.
• Tracer la réponse client relative à la correction de la NC, aux causes racine identifiées et aux actions
correctives planifiées pour corriger le système de management audité.
• Le déroulement en 4 étapes permet de démontrer le traitement depuis l’identification jusqu’à la clôture de la
NC:
o Non-Conformité identifiée et rédigée en fin d’audit par le RA,
o NC traitée et levée de manière efficace et démontrée par le client,
o actions jugées pertinentes et le délai de mise en œuvre acceptable par le RA
o et au final que l’efficacité des actions mises en œuvre par le client a été constatée par l’auditeur et
ainsi lever la NC.
Etape 1 : Eléments à renseigner par le RA

• Codification de la fiche de Non-Conformité
o « Date de l’audit » : Année / mois correspondant au dernier jour d’audit. Cette date permet
d’assurer la traçabilité des fichiers et des dossiers de l’OC.
o « mineure ou Majeure » : Cochez la nature de cette Fiche de Non-Conformité (FNC).
o « N° » chrono de la Non-conformité de cet audit avec Numérotation distincte des FNC majeures des
FNC mineures pour chaque audit.
• « Description de la non-conformité » : Pour chaque nouvelle Non-conformité, le RA crée une fiche de Non-
conformité.
o « Rappel de l’exigence (référence…) » : Ce champ peut être renseigné après l’audit (manuellement
préciser au moins le numéro du paragraphe concerné). Si la NC concerne plusieurs exigences, le
RA retranscrit uniquement l’exigence la plus significative qui est celle qui correspond au risque le
plus significatif. L’auditeur doit citer le N° du § auquel il se réfère, en complément il précise la
norme concernée si c’est un audit multi référentiel, ainsi que la phrase extraite de ce paragraphe
sur laquelle s’appuie la NC.
o « Constat factuel » reprise du constat déjà rempli par ailleurs. Si une fonction identifiée ou un
incident précis est cité ceci représente une preuve tangible et vérifiable amenant la NC qui suit. Un
client doit pouvoir retracer / retrouver le constat dans son organisation (la traçabilité de l’information
doit être donnée : noms, services, N° de dossier, N° de commande etc…)
CERTI I 0419.9 – 07/2016 57/62

o « Libellé de la non-conformité » : Le « libellé de la non-conformité » est une formulation exprimant

la défaillance du système de management (NC du Système) ou la défaillance constatée dans la
mise en œuvre d’un système répondant à la norme (NC d’application du système).
o L’auditeur doit bien différencier le constat factuel, de la défaillance constatée. Ceci incitera le
client à ne pas se limiter à un simple traitement curatif de la Non-Conformité mais à
rechercher et analyser les causes profondes dans son système ayant contribué à
l’apparition de cette NC ou n’ayant à minima pas permis de l’éviter.
o « Risque (client / produit / processus / système) » : Ce champ peut être renseigné après l’audit lors
du remplissage sur informatique de la FNC. Le RA doit rappeler au client les risques identifiés et
évalués liés à cette NC dans son environnement spécifique. Une NC majeure induit logiquement un
risque significatif, une NC mineure un risque moins important. Si l’auditeur n’arrive pas à identifier
ou à exprimer de risque il doit se poser la question sur le bien-fondé de cet écart et en revoir le
libellé ou le rattachement à l’exigence du référentiel d’audit.
o « Site(s) concerné(s) » : Le ou les sites sont ceux où cette NC a été constatée. Ce sera au client de
vérifier que d’autres sites ne sont pas également concernés par cette NC.
o « Nom de l’Auditeur » : Le nom de l’auditeur qui a identifié la NC.
o « Date » : La date est celle de la réunion de clôture. C’est à ce moment où les FNC sont finalisées
et validées avec l’équipe d’audit au complet (et non la date d’identification de la NC).
o
o La FNC ainsi remplie en fin d’audit est remise sous forme de copie au client lors de la réunion de
clôture.
Etape 2 : Eléments à renseigner par l’organisme Client

« Proposition d’actions de l’Organisme » : Il est demandé sous 7 jours calendaires à l’organisme Client de
répondre en entrant dans une logique PDCA et en respectant la logique de ces 4 étapes:
• dans « correction de la Non-conformité » le client indique ici les actions qu’il a mises en œuvre afin d’éliminer
sur le terrain la Non-conformité détectée (action curative immédiate, par exemple : blocage et décision de rebut
de la pièce vu que non réparable, information de l’opérateur de sa mauvaise interprétation du plan, reprise et
remplacement d’un produit défectueux...),
• dans « analyse des causes racine de la non-conformité » le client décrit les causes système ayant eu pour
conséquence l’apparition de cette NC,
• le client propose et documente une action corrective de son système sous « action corrective proposée » afin
d’éviter que l’erreur ne puisse se reproduire,
• définir « un responsable par action » au sein de son organisation ainsi qu’une « d’une date cible » réaliste et
acceptable de mise en œuvre pour chaque action identifiée. (Monsieur Méthode va réaliser cette action pour le
JJ.MM.AA, Madame Qualité va présenter la modification à la réunion qualité du …)
Il est important de rappeler qu'une NC ne peut pas être levée uniquement sur des preuves de traitement curatif
mais que le client doit mentionner les actions système qu’il a engagées.
Etape 3 : « Commentaire par le RA sur la proposition d’actions de l’organisme » :

Sous 7 jours calendaires après réception de la réponse de l’organisme Client, le RA apprécie la pertinence de la
réponse en cochant les cases « O/N ». Le RA doit détailler et justifier la pertinence des actions prévues par le
client.
Il doit également préciser si cette vérification est possible « hors site » ou s’il faut se rendre « sur site » client.
CERTI I 0419.9 – 07/2016 58/62

Etape 4 : « Vérification par le RA de l’efficacité des actions menées par le client» :

Cette vérification est faite soit :
• à partir des preuves envoyées par l’organisme Client (par exemple documents, photos, compte rendus, etc…).
• lors d’un nouvel audit sur site (audit complémentaire ou audit suivant). Le RA renseigne alors cette partie lors
de ce nouvel audit.
Dans tous les cas, le RA doit documenter ses constats, il doit statuer sur les preuves présentées par l’organisme
qu’il rappelle dans cette partie.
Le RA doit décider du résultat de cette vérification :

• si la NC est définitivement levée, il coche alors la case « non-conformité levé »
• si cette NC ne peut être levée du fait des constats réalisés il faut :
- enregistrer ces constats sur la FNC,
- cocher « Ecart reconduit en NC N° » et citer le N° de la nouvelle FNC ouverte et clôturer de cette FNC du
fait que cette partie de la FNC est à présent remplie,
- ouvrir une nouvelle FNC qui sera comptabilisée dans les NC de l’audit en cours. L’écart de cette nouvelle
NC devra être formulé de telle sorte que le client comprenne bien l’objet et la raison de cette reconduction
de NC.
Cas d’un traitement hors site : Le RA n’ayant pu lever l’ancienne FNC doit prendre contact avec le client
afin de lui expliquer et signifier la situation documentée sur la nouvelle FNC. Il lui demandera
téléphoniquement un engagement d’action défini avec une date cible qu’il reportera ainsi dans la nouvelle
FNC (échange de mails également possible). Le client devra alors engager les actions qui seront de ce fait
documentées dans le rapport définitif. Le délai de 7 jours calendaires pour clôturer le rapport n’est pas
allongé pour autant !
Cas du traitement sur site : Le RA ouvre une nouvelle FNC en reformulant les causes et le libellé de la
Non-conformité. Un client qui n’a pas réussi à traiter efficacement la NC précédente doit recevoir une
formulation revue et ciblée sur le problème subsistant dans son SM.
« Nature et justification de la modification de la non-conformité décidée par l’Instance de

Décision (s’il y a lieu) » :
L’instance de décision de l’OC peut, dans certains cas, être amenée à revoir une FNC. Ceci se fait uniquement en
cas de modification par rapport à la prise de position du RA et après l’avoir consulté.
L’Instance de Décision justifie et date sa décision. Afin de respecter l’anonymat des membres de l’Instance de
Décision, c’est le Chargé de Clientèle qui vise la nature et la justification de la modification.
Dans le cas où l’Instance de Décision modifie le classement d’une NC, le CDC modifie en conséquence, le nombre
de Non-conformités majeures et le nombre de Non-conformités mineures dans le corps du rapport final.
6.3. Le Fichier « Réunion d’ouverture et de clôture »

Ce document est un formulaire rempli à la main en début et fin d’audit. Le client peut en conserver une copie en fin
d’audit. Le document rempli sera transmis au chargé de clientèle sous 48h par le RA afin de l’informer du bon
déroulement d’audit, de ses conclusions en terme de Non-conformités mais surtout en terme de besoin
d’éventuelles modifications du certificat client.
Le déroulé suivant est à prévoir :
• Le formulaire est pré imprimé par le RA avant le début d’audit.
• Il est demandé aux personnes présentes à la réunion d’ouverture dont la direction de s’enregistrer sur le
formulaire. Pour des réunions téléphoniques ou en « visio » le nom des participants sont à mentionner sur le
formulaire
• En réunion de clôture :
o Le RA vérifie et adapte le libellé de la certification avec le client si celui-ci n’est pas ou plus adapté
à ses besoins ou à la réalité. (les deux parties signent le document modifié à la main)
o Le RA vérifie que le statut juridique de l’organisme n’a pas évolué et que les adresses sont exactes
ou n’ont pas changé. Dans le cas contraire il note les informations actualisées afin que l’OC puisse
mettre à jour le certificat pour le client.
CERTI I 0419.9 – 07/2016 59/62

o Le RA y renseigne le nombre de NC majeures et mineures ouvertes lors de l’audit (les NC non

levées entrainent en audit l’ouverture de nouvelles fiches qui seront alors comptabilisée dans cet
audit)
o Il est demandé aux personnes présentes à la réunion de clôture de s’enregistrer sur le formulaire, la
présence de la direction est demandée.
o En fin de réunion de clôture d’audit il est demandé à l’équipe d’audit et à la direction de signer le
document attestant ainsi son contenu.
o En cas de désaccord sur les conclusions d’audit le client dispose d’un espace lui permettant de
formuler l’objet de ce désaccord. Dans cette éventualité le RA doit informer en réunion de clôture le
client sur les processus de traitement des plaintes et d'appel existant au sein de l’OC. C’est
l’instance de décision de l’organisme qui tranchera sur l’objet du désaccord, il n’est pas
indispensable de trouver un accord avec l’équipe d’audit lors de la réunion de clôture.
CERTI I 0419.9 – 07/2016 60/62

7. Annexes à ce guide
Des annexes techniques à ce guide contiennent des directives complémentaires pour des cas d’application
particuliers dans le cadre d’audit de systèmes de management :
• Annexe 1 du guide de l’audit de Systèmes de Management QSEÉ à l’attention des Auditeurs : directives
complémentaires à ce guide réservée aux auditeurs et aux instances de décision de l’OC du fait qu’elles
ne sont d’aucun intérêt pour les clients. Cette annexe contient principalement des règles sur le remplissage
des trames du rapport d’audit et de gestion de leur mission d’audit. (CERTI I 0419)
• Annexe 2 du Guide de l’audit à l’attention des Clients et des auditeurs : Cette annexe traite des modalités
de Transition ISO 9001/2015 et de l’ISO 14001/2015 pour des clients déjà certifiés ISO 9001/2008 et/ou
ISO 14001/2004
• Annexe au guide de l’audit ISO/TS 16949, Secteur Automobile (CERTI I 0642)
• Annexe au guide de l’audit QSEÉ – Guide d’audit AEROSPATIAL & DEFENSE selon EN 9100/9110/9120
- AQAP 2110/2120 (CERTI I 0704)
• Annexe : Guide d’audit pour la Certification de la Visite Médicale (CERT I 0348)
• Annexe au guide d’audit QSEÉ à l’attention des organismes clients : Systèmes de Management dans le
secteur Technologie de l’Information: ISO/IEC 20000-1, ISO/IEC 27001 (CERTI I 0583)
• Guide à l’attention des auditeurs et des organismes clients : Maintien de la certification en période de
transition (CERTI I 0709). Le demander au chargé de clientèle en cas de besoin.
• D’autres annexes spécifiques sont prévues.
Ces supports sont accessibles de la façon suivant :

Pour nos clients via leur espace client en fonction de référentiels pour lesquels ils sont certifiés. Le chargé de
clientèle peut être contacté en cas de difficultés.
Pour nos auditeurs via :
• Le forum auditeur en ligne
• L’espace client pour certain de ces supports.
• Via l’antenne ou structure de rattachement
• Via les chargés de clientèle qui peuvent les fournir sur demande en relation avec les audits qui sont sous
traités
8. Références normatives à ce guide
NF EN ISO 17021-1 du 5 septembre 2015 : Évaluation de la conformité — Exigences pour les organismes
procédant à l'audit et à la certification des systèmes de management – Partie 1 Exigences
ISO 9000 15 Octobre 2015 : Systèmes de management de la qualité — Principes essentiels et vocabulaire
NF ISO 50003 du 14 Février 2015 : Systèmes de management de l’énergie – Exigences pour les Organismes
procédant à l’audit et à la certification de systèmes de management de l’énergie
Document d’exigences IAF MD 5 : 2015 : Détermination du temps d’audit des systèmes de management de la
qualité et des systèmes de management environnemental.
Ce Guide, élaboré par le Pôle Ingénierie et Audit du Département Innovation et Développement d’AFNOR
Certification avec la collaboration du groupe AFNOR, du Comité de Surveillance et d’Amélioration et d’Auditeurs
du groupe AFNOR, doit permettre à l’ensemble des parties intéressées de faire progresser nos organismes
Clients.
Nous serions reconnaissants à tous les lecteurs de communiquer à l’adresse ci-dessous :
AFNOR Certification
11 rue Francis de Pressensé
F 93571 LA PLAINE SAINT-DENIS Cedex
(Fax : 33/ 1 49 17 90 00)

ou via l’adresse mail suivante :
infopartenaires@afnor.org
leurs remarques, suggestions ou critiques. Il en sera tenu le plus grand compte dans les éditions ultérieures.

Guides QSE Auditeurs Clients CERTI - I - 0419.9 - 07.2016 FR

Transféré par

Informations du document

Titre original

Copyright

Formats disponibles

Partager ce document

Partager ou intégrer le document

Options de partage

Avez-vous trouvé ce document utile ?

Ce contenu est-il inapproprié ?

Droits d'auteur :

Formats disponibles

Guides QSE Auditeurs Clients CERTI - I - 0419.9 - 07.2016 FR

Transféré par

Droits d'auteur :

Formats disponibles

²²

1. Termes, définitions et abréviations utilisés........................................................................ 5

2. Différents types d’audit ...................................................................................................... 12

3. Différentes phases d’un audit ............................................................................................ 16

4. Particularité pour l’audit par échantillonnage d’une entreprise multi sites................... 45

5. Logique et composition du rapport d’audit QSEÉ ........................................................... 53

6. Règles d’utilisation des éléments du rapport d’audit QSEÉ remplis par le RA en

7. Annexes à ce guide ............................................................................................................ 61

8. Références normatives à ce guide .................................................................................... 62

CERTI I 0419.9 – 07/2016 2/62

CERTI I 0419.9 – 07/2016 3/62

Ce guide s’adresse à tout audit de

Les auditeurs reçoivent :

CERTI I 0419.9 – 07/2016 4/62

1. Termes, définitions et abréviations utilisés

1.1. Termes relatifs aux constats d’audit

Non-Conformité majeure Non-satisfaction d’une exigence du référentiel touchant l’organisation, l’application ou la

Non-Conformité mineure Non-satisfaction d’une exigence du référentiel touchant l’organisation, l’application ou la

CERTI I 0419.9 – 07/2016 5/62

Piste de Progrès Voie identifiée sur laquelle l’organisme peut progresser.

Note (Note) Constat de conformité par rapport au référentiel d’audit.

1.2. Termes relatifs aux audits de systèmes de management

CERTI I 0419.9 – 07/2016 6/62

CAAT C’est à dire techniques d’audits assistés par Ordinateur.

Conseil Contribution à l’élaboration, à la mise en œuvre ou à l’entretien d’un Système de

Constats Preuves d’audit (« audit evidence or audit issue »)

CERTI I 0419.9 – 07/2016 7/62

Organisme Client Audité.

CERTI I 0419.9 – 07/2016 8/62

Programme Un programme d’échantillonnage se base sur un ou plusieurs lot(s) identifié(s) de même

Référentiel d’audit Critères d’audit.

CERTI I 0419.9 – 07/2016 9/62

ES Système de management de l’Environnement et de la Santé, Sécurité au travail.

OdM Ordre de Mission (« Purchase Order to Auditors » en anglais)

OC Organisme de Certification : Organisme titulaire du contrat de certification, effectuant l’audit, prenant la

PS Point Sensible (« Area of Concern » ou « AOC » en anglais)

PP Piste de Progrès (« Opportunity for Improvement » ou « OFI » en anglais)

PF Point Fort (« Strong Point » ou « SP » en anglais)

QSEÉ Qualité, Santé et Sécurité, Environnement, Énergie

REA Responsable d’équipe d’audit (Audit team leader)

RA Responsable d’Audit (« Lead Auditor » ou « LA » en anglais)

SME Système de Management Environnemental (ISO 14001:2004/2015) (« EMS » ou « Environmental

CERTI I 0419.9 – 07/2016 10/62

TPE Très Petite Entreprise (Very Small Compagny / VSC en anglais)

CERTI I 0419.9 – 07/2016 11/62

2. Différents types d’audit

2.1. L’audit initial : Audit d’Etape 1 et Audit d’Etape 2

2.2. L’audit de surveillance

2.3. L’audit de renouvellement

CERTI I 0419.9 – 07/2016 12/62

2.4. Cas d’audits particuliers

2.4.2. L’audit complémentaire

CERTI I 0419.9 – 07/2016 13/62

2.4.3. L’audit de surveillance anticipé

2.4.4. L’audit circonstancié (exceptionnel)

2.4.5. Cas d’un organisme Client en cours de restructuration

Ces dispositions sont les suivantes :

CERTI I 0419.9 – 07/2016 14/62

Voir l’annexe 2 de ce guide

2.5. La Vérification documentaire par le RA et le Suivi Documentaire par

2.5.1. La vérification documentaire par le RA

2.5.2. Le suivi documentaire par l’OC

2.6. Traitement des Appels et plaintes par l’OC