Académique Documents
Professionnel Documents
Culture Documents
Guide de
l’audit
Systèmes de
Management QSEÉ
à l’attention
des Clients et des Auditeurs
Édition Juillet 2016
AFNOR Certification - Siège : 11, rue Francis de Pressensé – 93571 La Plaine Saint-Denis Cedex – France
T. +33 (0)1 41 62 80 00 – F. +33 (0)1 49 17 90 00
SAS au capital de 18 187 000 € - 479 076 002 RCS Bobigny
GUIDE DE L'AUDIT QSEÉ – ORGANISMES CLIENTS ET AUDITEURS
Sommaire
Avant-propos .............................................................................................................................. 3
Introduction ................................................................................................................................ 4
Avant-propos
Nous remercions les contributeurs à l’amélioration des trames du rapport et des Guides de l’Audit QSEÉ.
Cette nouvelle version du guide prend en compte les évolutions suivantes. Elles apparaissent en bleu dans le
texte:
• intégration des directives relatives au management de l’Energie en complément du Management QSE,
d’où l’appellation QSEÉ.
• rajout de précisions suite à des retours faits dans le cadre d’une enquête satisfaction réalisée fin 2015.
• prise en compte des recommandations de notre comité de surveillance et d’amélioration, le CSA,
• pris en compte des exigences des normes et documents suivants :
o l’SO 17021-1 version du 8 septembre 2015, Evaluation de la conformité – Exigences pour les
organismes procédant à l’audit et à la certification de systèmes de management – Partie 1 :
exigences.
o NF ISO 50003 version du 14 Février 2015 : Systèmes de management de l’énergie – Exigences
pour les organismes procédant à l’audit et à la certification de systèmes de management de
l’énergie.
o Document IAF MD 5 : 2015 : Détermination du temps d’audit des systèmes de management de la
qualité et des systèmes de management environnemental Version 3
• suppression de l’évaluation de la maturité
Vu la mise en production de notre nouvel outil de rédaction et de gestion des rapports d’audit « OPERA » début
2016 en remplacement progressif de RAP6, ce guide se limitera dorénavant aux informations techniques en ce qui
concerne le contenu du rapport indépendamment des logiciels servant à saisir ces données. Ces dernières
informations sont disponibles par ailleurs.
Les trames du rapport sont éditées initialement en français et en anglais par l’OC « AFNOR Certification », mais
peuvent être traduites sous leur responsabilité par les autres Organismes de Certification du groupe ou
représentations à l’international tout en maintenant la même charte graphique.
Ce guide peut, de ce fait, également exister dans d’autres langues bien que ce soit la version anglaise qui soit le
plus largement utilisée à l’international.
Il est demandé aux auditeurs d’appliquer les directives de ce guide et annexes dès leur parution.
.
Introduction
Règles de transition entre la version V10-07/2016 du rapport QSEÉ et les versions précédentes
Le groupe AFNOR établit et documente ses audits de systèmes de management à travers un rapport unique.
Nous cherchons systématiquement à adapter nos outils aux évolutions des normes, des bonnes pratiques et aux
règles d’accréditation. Il est donc important que nos auditeurs utilisent toujours la dernière version de ces trames.
Les trames accessibles aux auditeurs en France sont au nom d’AFNOR Certification, mais les autres certificateurs
du groupe les mettent à leur nom et les traduisent dans la langue du pays tout en conservant la charte graphique
du groupe AFNOR.
En complément des définitions données dans l’Article 3 de l’ISO 17021, les définitions et les abréviations ci-
dessous s’appliquent.
Les commentaires donnés sont soit des règles d’application, soit des précisions. Il est indispensable de
comprendre et d’utiliser ces commentaires.
Afin de vous familiariser avec les terminologies anglaises et des termes techniques utilisés en certification de
systèmes à l’international, vous trouverez dans ce guide le terme équivalent en anglais entre parenthèses et en
italique en complément de sa définition. Vous pouvez également vous référer à ce même guide en version
anglaise.
Non-conformité reconduite Non-conformité majeure ou Non-conformité mineure émise lors de l’audit précédent, non
(Maintenance of a levée et reformulée en une nouvelle Non-conformité Majeure ou Non-conformité mineure.
Nonconformity) Commentaire :
Une NC reconduite implique :
• la clôture de la fiche de NC établie lors de l’audit précédent.
• l’établissement d’une nouvelle fiche de NC.
Le classement de la Non-conformité Majeure ou de la Non-conformité mineure est
indépendante du classement de la NC précédente qui a été ainsi reconduite et reformulée.
Point Sensible Elément du Système de Management sur lequel des preuves d’audit montrent que
(Area of Concern) l’organisme, actuellement conforme, risque de ne plus atteindre les exigences du
référentiel à court ou moyen terme.
Commentaire :
• le risque associé au PS ou la non prise en compte d’un point sensible doit être expliqué à
l’Audité.
• un Point Sensible étant un constat particulier de conformité par rapport au référentiel
d’audit :
o son libellé ne doit pas prêter à confusion et le classement en PS doit être étayé par un
constat du RA.
o l’Instance de Décision ne peut pas requalifier le PS en NC Majeure ou NC mineure.
• un point sensible doit être réexaminé à l’audit suivant.
Point Fort Elément du Système de Management sur lequel l’organisme soit dépasse les exigences
(Strong Point) du référentiel d’audit, soit se distingue par une pratique, méthode ou technique
performante.
Commentaire :
Un Point Fort est donc :
• soit un élément qui dépasse les exigences du référentiel d’audit.
• soit un élément qui ne dépasse pas les exigences du référentiel d’audit, mais sur lequel
l’organisme Client a démontré une pratique exemplaire et une efficacité remarquable
La formulation d’un Point Fort doit être étayée.
Accès à distance Dans le cadre d’un audit, l’accès à distance à des données, à des personnes via des
moyens électroniques tel que la « Visio-conférence », ou d’autres moyens, permet
parfois d’échantillonner des données tout en limitant les temps et coûts de déplacement.
(Dans le cadre de l’audit d’un site virtuel les mêmes principes s’appliquent). Ces
modalités d’audit peuvent être proposées au client par le RA et inversement. Si ces moyens
sont retenus par l’organisme, les accès et moyens nécessaires seront dans ces cas planifiés
avec le RA et à détailler précisément au plan d’audit (par exemple : salle, heures, participants,
codes de connexions, pré requis etc…). Les résultats d’audit ainsi obtenus peuvent être
considérés comme un échantillonnage d’un site distant.
Audit combiné Audit où plusieurs Systèmes de Management (SMQ, SMS, SME) sont audités ensemble.
(Combined Audit) Commentaire :
L’audit combiné n’est réalisable qu’avec des Systèmes de Management présentant un
minimum d’intégration.
Audit complet Audit où toutes les exigences du référentiel d’audit sont auditées.
(Complete Audit)
Audit d’Etape 1 L’audit d’Etape 1 est une préparation approfondie réalisée généralement sur site par le
(Stage 1 Audit) RA.
L’ordre de Mission transmis au RA précise l’accord pris avec le client. L’audit d’Etape 1 est
obligatoire dans le cadre d’une certification initiale. Il est également obligatoire dans le cas
d’entreprise ayant connu des changements importants (fusion, extension…).
Cet audit est documenté par le RA dans un rapport spécifique composé de deux documents :
• le « rapport d’audit d’Etape 1 » (Stage 1 Audit) avec en annexe
• la « revue préparatoire et projet de plan d’audit ».
Audit d’Etape 2 ou Audit Quelle que soit la terminologie utilisée, cet audit est l’audit système réalisé par l’équipe
(Stage 2 Audit or System d’audit complète selon le plan d’audit établi et validé avec le client.
Audit)
Audits de Surveillance Les activités de surveillance selon l’ISO 17021, sont définies au travers des Ordres de
(Surveillance Audit) Mission adressé à l’équipe d’audit. Les audits de surveillance, appelés précédemment
« audits de suivi » au sein d’AFNOR Certification sont une des composantes des
activités de surveillance. (Surveillance audit or Follow up audit)
Audit mono-Système Audit où un seul Système de Management (SMQ, SMS, SME) est audité.
(Mono system Audit)
Audit partiel Audit où seulement une partie des exigences du référentiel d’audit est auditée.
(Partial Audit)
Champ de l’audit Etendue et limites d’un audit (cf. périmètre de l’audit selon § 9.1.2.2.3 ISO 17021 :2011).
Périmètre de l’audit (« Audit scope »)
(Audit Scope) Commentaire :
AFNOR Certification utilise deux termes pour désigner l’étendue et les limites d’un audit :
• Le « périmètre » pour les lieux et unités organisationnelles (liste et adresse des sites).
• Le « champ » pour les processus et les activités. (Libellé de la certification)
• Il n’est fait usage que de périmètre d’audit dans ce guide.
Contrat d’application de Contrat signé par l’auditeur avec AFNOR Certification définissant les modalités de
prestations d’audit prestation de service pour le groupe AFNOR. Il est d’application pour les auditeurs France et
(Certification contract) certains auditeurs hors France. (code CERTI F 0792.x). Ce contrat complète les clauses du
contrat cadre d’AFNOR Développement (CERTI F 0941.x) qui est également signé par
l’auditeur. Ce contrat règle également les questions relatives à la confidentialité et risques de
conflit d’intérêt (voir code de conduite ci-dessous).
Code de Conduite Ce document définissant les règles de confidentialité et la prévention des risques de
(Code of conduct) conflits d’intérêt est signé par tous les auditeurs du groupe AFNOR. Sa gestion est suivie
par le DGECE. (code du document CERTI F 0899.x)
Cycle d’audit Ensemble d’audits du Système de Management d’un organisme, réalisé par le même
(Audit cycle / Audit Responsable d’Audit en général sur un contrat de 3 ans.
programme) Commentaire :
Un cycle d’audit est en effet calé sur le cycle suivi par le même Responsable d’Audit qui, sauf
exceptions, est de trois ans (un audit initial ou de renouvellement pour la première année, un
audit de surveillance 1 pour la deuxième année et un audit de surveillance 2 pour la troisième
année). (ceci correspond au Programme d’audit selon ISO 17021)
Experts techniques Les connaissances et le savoir-faire des auditeurs peuvent être éventuellement
complétés par des experts techniques, traducteurs ou interprètes. Ils opéreront alors
tous sous la direction d’un auditeur, seront cités au plan d’audit et sont soumis aux
mêmes règles de confidentialité. Ces experts ne modifient pas la durée de l’audit et ne
sont que des aides pour les auditeurs. Ils peuvent intervenir dans toutes les phases de
l’audit, depuis la préparation jusqu’à l’aide à la rédaction du rapport.
Guide (accompagnateur) Un guide est une personne nommée par le client afin d’assister les auditeurs pendant
leur audit et de les guider au sein de l’organisme audité dans les différents services
précisés au plan d’audit vu qu’un auditeur n’est pas censé circuler sans
accompagnateur chez un client. Le client à libre choix pour choisir cet accompagnateur.
Guide SI Guide ou document assimilé, à l’attention des auditeurs, spécifique par région et mis à
(IT Guide) disposition par l’OC ou l’antenne régionale de l’OC. Il décrit les solutions et règles liées
aux applications informatiques en place nationalement que les auditeurs doivent
connaître.
Les auditeurs peuvent contacter l’OC ou CDC afin d’y avoir accès.
Instance de Décision C’est une personne qualifiée par l’OC qui prend la décision suite à chaque audit. Il peut
(Decision Making Body) en cas de besoin faire appel au Groupe d’Evaluation et de Décision (GED) : ce sont des
experts externes ou internes du groupe AFNOR, qualifiés par l’OC, qui peuvent donner
un avis avant la prise de décision.
Observateur Est une personne qui accompagne un auditeur mais qui n’intervient pas en audit.
Ordre de Mission Document émis par l’OC adressé à l’auditeur lui définissant les objectifs de l‘audit, le contenu et
(Purchase Order to Auditors ) éventuellement les spécificités (par exemple traitement de plaintes enregistrées par l’OC, etc.)
de l’audit qu’il doit réaliser.
Responsable d’audit (RA) C’est un auditeur qui a démontré qu’il a la capacité de conduire un audit et de restituer ses
conclusions dans la cadre d’un rapport d’audit en autonomie. Il peut intervenir seul ou diriger
une équipe d’auditeurs. Dans ce dernier cas il aura comme responsabilité de responsable
d’équipe d’audit tel que défini ci-après.
Responsable d’équipe Le responsable d’équipe d’audit est la personne qui dirige l’équipe d’audit. Ses compétences
d’audit (REA) (Audit team répondent aux critères suivants :
leader) • c'est a minima un RA, sur au moins un des référentiels de la mission,
• c'est normalement le RA du référentiel critique ou le plus sensible du client (si cette
notion existe),
• c’est un RA confirmé, habitué aux audits de groupes réalisés avec plusieurs auditeurs,
• il a une capacité de synthèse et d'autorité auprès des autres auditeurs de l’équipe. Il
doit veiller à aboutir à une conclusion d'audit claire et défendue par son équipe d'audit auprès
du client pour la globalité de la mission,
• il parle si possible la langue du siège de la société afin de présenter facilement les
conclusions d'audit à la direction.
Si un REA a été nommé dans le cadre d’un audit, considérez que toutes les mentions faites
avec le titre de RA dans ce guide sont applicables au REA
Situation énergétique de C’est une référence quantifiée servant de base pour la comparaison de performances
référence (SER) énergétiques. Elle reflète une période donnée. Elle peut être normalisée à l’aide de facteurs
affectant l’usage et/ou la consommation énergétique, tel que le niveau de production, des
degrés-jour (température extérieure), etc. Elle peut être utilisée pour calculer les économies
d’énergie, à titre de référence, avant et après mise en œuvre d’actions visant à améliorer la
performance énergétique. (ISO 50006 v2014)
Très Petite Entreprise Organisme n’appartenant pas à un groupe et d’un effectif total inférieur à 20 personnes.
(Very Small Company) Commentaire : Il n’y a plus de guide d‘audit spécifique TPE ni de trames de rapport
spécifiques pour les TPE en 2016.
1.3. Abréviations
Une traduction en anglais est ponctuellement fournie en italique afin de faciliter et d’homogénéiser la terminologie
utilisée au sein du groupe dans le cadre de missions d’audits à l’international.
CAAT « Computer Assisted Auditing Techniques », c’est à dire Techniques d’Audit Assistées par Ordinateur
(peut être également vu en abrégé sous l’appellation « TAAO »)
CDC Chargé de Clientèle : Interface client au sein de l’OC. (« Coordinator manager or Coordinator", en abrégé
CO en anglais). Ce terme remplace l’ancienne appellation de Chargé d’affaires.
DGECE Département Gestion des Expertises et Compétences Extérieures : ce département du groupe AFNOR a
pour mission d’identifier, de gérer et qualifier les compétences des auditeurs Français et Internationaux, de
proposer les auditeurs adaptés et compétents pour les missions en France, de gérer les contrats des
auditeurs et d’animer le réseau d’auditeurs ainsi constitué par le DGECE.
EPI Equipements de Protection Individuels : type chaussures de sécurité, lunettes, casque, protections
auditives, etc.
FNC Fiche de Non-conformité = formulaire utilisé afin de documenter les deux types de Non Conformités ci-
dessous. (« NCR » ou « Non Conformity Report » en anglais)
NC-Maj Non-conformité Majeure documentée sur une Fiche de Non-conformité (FNC) (« major Non Conformity
Report » ou maj NCR en anglais)
NC-min Non-conformité mineure documentée sur une Fiche de Non-Conformité (FNC) (« minor Non Conformity
Report » ou min NCR en anglais)
SI Système d’Information, c’est à dire les moyens informatiques mis à disposition et à utiliser afin de réaliser
une mission d’audit conforme pour l’OC. (IT System)
SM Système de Management Qualité (ISO 9001:2008/2015) et/ou Santé et Sécurité (OHSAS 18001:2007, ILO-
OSH 2001) et/ou Environnemental (ISO 14001:2004/2015) dans les cas les plus fréquents (« Management
System » ou « MS » en anglais). Un système de management peut également être évalué selon une multitude
d’autres référentiels d’audit tel que l’ISO 50001 relatif à l’énergie.
SMÉ Système de Management de l’Énergie (ISO 50001 :2011) (« EMS » ou « Energy management system en
anglais)
SMQ Système de Management Qualité (ISO 9001:2008/2015) (« QMS » ou « Quality Management System » en
anglais)
SMS Système de Management de la Santé et de la Sécurité au Travail (OHSAS 18001:2007, ILO-OSH 2001)
(« OHSMS » ou « Occupational Health and Safety Management System » en anglais)
SOURCE Base de données gérée par le DGECE d’AFNOR contenant les caractéristiques, compétences et disponibilités
des auditeurs sous contrat avec le groupe AFNOR
SST Santé et Sécurité au Travail (« Occupational Health & Safety » ou « OH&S » en anglais)
Un programme d’audit comprend un audit initial en deux étapes puis des audits de surveillance durant la première
et seconde année. Un audit de renouvellement est planifié au cours de la troisième année avant expiration de la
certification.
La définition de ces audits est donnée ci-après mais également celle d’autres types d’audit pouvant être
nécessaires selon les besoins du système audité.
Caractéristique
L’audit initial couvre la totalité des éléments du SM du périmètre de la certification contractuellement défini. Il se fait
en deux Etapes.
• L’Etape 1 qui permet de préparer et d’évaluer sur site la faisabilité de l’audit d’Etape2.
• L’Etape 2 qui est l’audit de conformité aux référentiels choisis destiné à aboutir à une décision relative à la
certification demandée.
Le plan d’audit pour l’étape 2 est élaboré au cours de l’audit d’Etape 1. Il est mis en œuvre par le RA ou l’équipe
d’audit au cours de l’audit d’Etape 2.
Pour les TPE, la préparation des audits d’étape 1 et d’étape 2 peuvent être accolées. Les auditeurs ne disposent pas de temps
additionnel de rédaction du rapport. De ce fait, le RA finalise majoritairement le rapport sur site avant la réunion de clôture.
Planification
Au minimum deux audits de surveillance sont prévus pendant la durée de validité du certificat soit :
• un premier audit de surveillance qui doit avoir lieu impérativement dans un délai maximal de douze mois à
ème
compter de la décision de certification initiale. (Il est programmé en général dans le 11 mois qui suit toute
certification initiale ou de renouvellement) : C’est l’audit de surveillance 1.
• un second audit de surveillance est programmé avec comme date cible 24 mois (+/-1mois) à compter de la date
de décision de certification. C’est l’audit de surveillance 2.
Alternative optionnelle: les audits de surveillance peuvent également être organisés tous les 6 mois de ce fait au
ème ème ème ème
6 , 12 , 18ème, 24 et 30 mois qui suit l’audit initial ou de renouvellement. Si ce type de surveillance est
souhaité par l’organisme, il doit être chiffré par le commercial afin d’être organisé par le Chargé de Clientèle.
Equipe d’audit
Sauf exception, les audits de surveillance sont réalisés par le RA qui a réalisé l’audit initial. Toutefois, en fonction
de la complexité et/ou de l’importance de l’audit, un ou plusieurs auditeurs de l’équipe initiale, peuvent
l’accompagner sur les audits de surveillance si nécessaire.
Planification
L’audit de renouvellement est planifié deux à trois mois avant la fin de validité du certificat afin de renouveler le
certificat impérativement avant sa fin de validité.
Cette planification laisse à l’organisme Client le temps de mener à bien d’éventuelles actions correctives avant
l’expiration du certificat en cours.
Caractéristique
L’audit de renouvellement couvre la totalité des éléments du SM et du périmètre de la certification
contractuellement défini.
Equipe d’audit
Les audits de renouvellement sont réalisés majoritairement par une équipe différente de celle du cycle d’audit
précédent. Néanmoins le maintien d’un auditeur peut s’avérer utile afin d’assurer une continuité d’information ou
une continuité d’audit dans un environnement complexe. Ceci peut dans des cas exceptionnels être envisagé par
le CDC avec le client et faire l’objet d’une dérogation.
Planification
Après notification de la décision, le délai de réalisation est limité à 3 mois après cette date de décision ou au plus
tard jusqu’à la fin de validité du certificat afin de lever les Non-conformités majeures. Si ce délai n’est pas respecté
ou que la levée des NC Maj n’est pas confirmée, une suspension de certification peut être décidée par l’OC.
La durée sur site est adaptée au nombre d’exigences et de NC du SM de l’organisme Client à auditer (le plan
d’audit se focalise sur les activités qui ont donné lieu à ces Non Conformités).
Equipe d’audit
L’audit complémentaire est programmé et réalisé par le responsable de l’audit précédent.
Lorsque le système de management de l’organisme est déclaré conforme, mais que les conclusions d’audit sont
insuffisantes pour donner confiance quant à son fonctionnement effectif, l’Instance de Décision peut délivrer le
certificat sous la condition qu’un audit de surveillance anticipé soit organisé. Le SM en question est souvent un SM
conforme au référentiel d’audit mais récent dans sa mise en œuvre.
L’objectif et l’équipe d’audit sont identiques aux audits de surveillance, seule la planification diffère.
Planification
Deux audits de surveillance pendant la durée de validation du certificat sont maintenus mais avec une planification
spécifique:
• un audit de surveillance 1 anticipé et un audit de surveillance 2,
• ou bien un audit de surveillance 1 et un audit de surveillance 2 anticipé.
Caractéristiques
L’anticipation de l’audit de surveillance :
• est décidée en fonction des dates cibles des actions menées par l’organisme Client suite aux NC de l’audit
précédent,
• doit être réalisé au moins 3 mois avant la date du planning prévisionnel « classique ».
Ce type d’audit est décidé lorsque des faits font douter du maintien de la conformité ou de l’application du Système
de Management.
Cet audit est en général organisé suite à une réclamation majeure (mettant en cause le bon fonctionnement du
SM) et parfaitement argumentée par exemple:
- réclamation émise par un Client de l’organisme Client certifié,
- réclamation d’une partie intéressée, mise en demeure de l’administration.
Objectif
C’est de s’assurer que le Système de Management certifié est toujours conforme au référentiel d’audit et qu’il est
mis en œuvre et entretenu. L’auditeur analysera les causes de défaillance rencontrées ou supposées. Il collectera
des informations pour que l’organisme de certification puisse répondre au plaignant et de prendre une décision
relative au maintien de la certification.
Planification
L’organisme Client est prévenu mais avec un préavis court (de quelques jours).
Caractéristiques
Elles sont déterminées au cas par cas.
L’Organisme Certificateur peut organiser des audits adaptés qui permettent à un organisme Client en cours de
restructuration conséquente ou d’une situation transitoire de maintenir son certificat sous certaines conditions. Le
Chargé de Clientèle est à la disposition du client pour lui préciser les conditions.
Ci-dessous quelques types d’audits pour des situations spécifiques.
Audits de transition :
AFNOR Certification peut proposer à un client, dont l’organisation connaît des évolutions majeures (restructuration,
réorganisation, déménagement, fusion ou acquisition…) qui ont un impact important sur son Système de
Management, des dispositions spécifiques de maintien de sa certification pendant cette période dite de transition.
• Analyse et décision pour le maintien ou la suspension du certificat existant pour la période de transition
• Réalisation d’audits dits audits de transition afin de vérifier que le Système de Management est toujours
maîtrisé et le plan de transition appliqué dans le cas où le certificat a pu être maintenu. Un audit doit être réalisé
sur chaque période de 4 mois.
Un guide spécifique pour des audits de transition (CERTI I 0709) est disponible auprès de votre Chargé de
clientèle.
2.4.6. Transition vers les Versions 2015 de l’ISO 9001 et 14001 pour une entreprise déjà
certifiée mais ne souhaitant attendre l’audit de renouvellement:
Planification
Après notification de la décision, le délai de réalisation est limité à 3 mois. La durée est adaptée au nombre de
documents et d’enregistrements à examiner par le RA. Le RA reçoit également un ordre de mission pour cette
vérification.
Equipe d’audit
La vérification documentaire est réalisée par le RA de l’audit précédent.
Le contenu et la structure du rapport sont détaillés au § 1.5 de l’annexe 1 à ce guide.
Le suivi documentaire est un examen, basé sur des preuves documentaires, du traitement des Non Conformités.
Planification
La date du suivi documentaire est fixée au cas par cas par l’Instance de Décision mais doit être réalisé sous 3 mois
maximum.
Réalisation
Le suivi documentaire est réalisé par le personnel qualifié de l’OC et non pas par le RA. Il porte sur les points
précisés par l’Instance de Décision de l’OC.
Ce suivi ne fait pas l’objet d’un rapport d’audit tel que celui présenté dans ce Guide, seuls les points examinés sont
vérifiés et enregistrés pour décision.
Généralités
Le contrat qui lie un OC à un client pour des certifications de systèmes de management précise :
• qu’un cycle habituel d’audit est composé de 3 audits répartis sur 3 ans : audit initial ou de renouvellement, puis
deux audits de surveillance. Un audit de renouvellement est proposé à l’issue des 3 ans.
• qu’une équipe d’audit dirigée par un responsable d’audit est constituée et missionnée généralement pour la
durée de ce cycle.
Un ordre de mission est établi lors du déclenchement de chaque audit. Il définit exactement, pour l’équipe d’audit
choisie, l’objet et le contenu précis de sa mission dans le respect des engagements pris avec le client.
Ci-dessous sont présentées les étapes du cycle périodique de gestion des audits. Chacune de ces étapes est
détaillée et expliquée dans les sous chapitres suivants en précisant :
- le pilote / les acteurs
- les Objectifs
- le déroulement du Processus
- les Règles d’application
§ 3.1
Initialisation d'un cycle § 3.2
d'audit de 3 ans Déclenchement § 3.3
de l'audit Réalisation de la revue
des documents
et/ou audit d'étape 1
§ 3.8 § 3.9
Suivi d'audit Fin du cycle
§ 3.4
Préparation des activités
§ 3.7 d'audit sur site: plan d’audit
Clôture de l'audit
§ 3.5
§ 3.6 Réalisation des activités d'audit sur
Préparation, approbation et site (audit d'étape 2)
diffusion du rapport d'audit
J1- 4 mois §3.2 Le déclenchement d’audit se fait généralement 4 mois avant date de l’audit.
J1- 5 à 3 §3.3 L’audit d’Etape 1 se déroule s’il a lieu quelques semaines avant l’audit d’Etape 2 (sauf
semaines cas particulier des TPE) afin que le client ait le temps de corriger les éventuels problèmes
identifiés lors de cet audit. (> 2 semaines).
J1-15 jours §3.4 La préparation des activités d’audit sur site (revue documentaire) et l’envoi d’un projet
de plan d’audit doivent être finalisées et transmis au moins 15 jours avant le premier jour
d’audit au client et au chargé de clientèle.
J1-Jf §3.5 Audit sur site : J1 étant le premier jour d’audit et Jf= dernier jour d’audit sur site
Jf+21 jours §3.6 Le RA a ensuite 7 jours calendaires afin de compléter et finaliser ces FNC, pour finaliser
son rapport et le transmettre au CDC pour prise de décision par l’Organisme de
certification.
Jf + 1 mois §3.7 L’OC a pour objectif de transmettre sa décision, le certificat et le rapport finalisé au
maxi client sous un mois après le dernier jour d’audit.
Validité du La date de départ de la validité du certificat est la date de décision de l’OC et sa durée
certificat de validité est de 3 ans
Audit Initial : Si l’audit d’Etape 2 a mis en évidence des NC Maj qui n’ont pas pu être levées dans les
Levée des NC 6 mois suivant le dernier jour d’audit d’étape 2, un nouvel audit d’étape 2 complet devra
Majeures. être réalisé avant de pouvoir donner un avis favorable à la certification.
Date du Suivi 1 L’audit de surveillance 1 suivant un audit initial est programmé 11 mois après la date de
décision de certification initiale. La date limite de réalisation du premier audit de
Surveillance (S1) après l’audit initial est la date d’anniversaire de la décision.
Audit de La levée de NC Majeures doit être réalisée à l’occasion d’une action complémentaire
surveillance : (par exemple audit complémentaire, vérification documentaire…) dans un délai fixé par
levée des NC l’OC généralement de 3 mois suivant la décision.
Majeures.
Date de l’audit L’audit de renouvellement doit être réalisé 2 à 3 mois avant l’échéance du certificat en
de cours. Le rapport de renouvellement doit être transmis au plus vite par le RA afin que
renouvellement. l’OC puisse prendre la décision avant la fin de validité du certificat. L’OC ne peut pas
prolonger des certificats existants.
Audit de Si ces écarts ne peuvent pas être levés dans les 6 mois suivant la fin de validité du
renouvellement : certificat, un audit complet devra être réalisé. La durée de cet audit sera celui d’un audit
levée des NC initial sans étape1 avant de pouvoir donner un avis favorable à la rectification de
Majeures l’organisme. La validité du cycle de certification débutera avec la date de cette décision.
La levée de NC Majeures doit être réalisée avant la fin de validité du certificat.
Si une NC Majeure n’a pu être clôturée avant cette date, le renouvellement de la
certification ne peut être recommandé. La certification ne peut être prolongée. Le RA doit
informer le client de cette contrainte. Si ces écarts sont soldés dans les 6 mois suivant la
fin de validité du certificat, l’OC peut rétablir la certification en conservant la date
d’anniversaire du cycle précédant.
Le logigramme ci-dessous montre les principaux flux d’information en termes de documents et de données
techniques dans le cadre de la réalisation d’un audit :
• Le commercial est la personne qui renseigne, évalue les besoins client, fait les offres et contractualise une
demande de prestation d’audit de certification. Elle peut également intervenir pour des évolutions significatives
du périmètre de certification en cours de contrat ou lors du renouvellement de cette certification. (Phase 3.1)
• Le Chargé de Clientèle est le contact logistique et opérationnel de l’organisation. Il assure le bon déroulement
des audits selon le contrat préétabli. Il établit les ordres de mission des auditeurs et peut gérer des avenants et
modifications mineures du contrat en autonomie.
• L’Organisme client est au centre de ces échanges qui doivent faciliter l’atteinte des objectifs de l’audit. A ce
titre l’organisme nomme à l’OC une personne de contact.
• Le responsable d’équipe d’audit ou responsable d’audit est en interface avec le Chargé de Clientèle, le client et
l’équipe d’audit. Les auditeurs, une fois missionnés par le Chargé de Clientèle, travaillent sous la direction du
REA/RA qui pilote l’audit et les interfaces avec le client. Le livrable est un rapport d’audit et une recommandation
par rapport à la demande de certification à l’attention de l’OC qui reste seul décisionnaire. C’est l’OC qui
transmettra ou mettra en ligne les rapports définitifs et certificats pour l’Organisme
• L’instance de décision est sollicitée par le chargé de clientèle afin de délivrer une décision de certification, de
maintien ou pas d’une certification existante.
WEB
AFNOR Certification
Espace Client.
§ 3.1
Initialisation d'un cycle § 3.2
3.1. Contractualisation d’un cycle d’audit sur trois d'audit de 3 ans Déclenchement
de l'audit
§ 3.3
Réalisation de la revue
des documents et/ou
ans § 3.8
Suivi d'audit
§ 3.9
Fin du cycle
audit d'étape 1
§ 3.4
Préparation des activités
§ 3.7 d'audit sur site
Clôture de l'audit
Objectif
• Informer le client des différentes offres proposées par l’OC et le Groupe AFNOR.
• Fournir au client toutes les explications relatives à la certification de systèmes de management QSEÉ ou selon
d’autres référentiels si besoin est.
• Mettre au point les objectifs de l’audit et signer un contrat de certification de système de management avec le
client.
• Définir la durée d’audit la plus adaptée au regard du domaine d’activité de l’organisme client, à partir de
l’analyse des besoins et du niveau d’intégration des systèmes de management en cas d’audit d’un système multi
référentiels.
Règles d’application
Cette phase est de la responsabilité du responsable commercial ou du Chargé de Clientèle en charge de la gestion
du client dans le cadre de besoins d’évolution exprimés par le client. Après signature du contrat, le commercial
transmet les informations et contrat au Chargé de Clientèle qui assure le déclenchement d’audit (voir phase 3.2).
Processus
Exclusions d’activités, de processus ou d’exigences : En général un organisme demande une certification de son
système de management pour la globalité de ses activités. Le libellé de certification souhaité doit en être le reflet.
Cas particulier : Si des exclusions ou limitations de périmètre sont souhaitées par l’organisme, le commercial doit
obtenir un descriptif précis des éléments à certifier mais aussi des éléments du système ne devant pas être
certifiés. Ainsi il adaptera son devis et pourra mentionner dans son devis le périmètre à certifier et en informer
précisément l’équipe d’audit. Le libellé de certification visé par l’organisme devra exprimer clairement les activités
certifiées et ne pas prêter à confusion. Le périmètre des sites à certifier ou ceux exclus devront être clairement
définis. Ces éléments devront être compris et retranscrits dans la revue documentaire par le RA.
De même tout souhait d’extension de périmètre devra être signifiée au commercial afin d’adapter l’audit aux
besoins nouveaux exprimés par l’organisme.
Cas d’un audit 50001 : Dans ce cadre certaines données spécifiques sont indispensable afin d’estimer le temps
d’audit nécessaire. Le client fournira ces données en remplissant le document « Demande de devis en
management de l’énergie » CERTI F 1463. Le RA aura à vérifier ces données lors de l’audit d’Etape 1 ou de
renouvellement.
§ 3.5
§ 3.6
Objectifs Préparation, approbation et
diffusion du rapport d'audit
Réalisation des activités d'audit
sur site (audit d'étape 2)
• arrêter une date d’audit avec le client et constituer une équipe d’audit adaptée, qualifiée et compétente,
• s’assurer que les auditeurs de l’équipe d’audit choisie ont compris et accepté la mission décrite dans leurs
Ordres de Mission.
• s’assurer que cette équipe est en situation de réaliser l’audit dans le respect des objectifs de l’audit définis par
l’OC en accord avec le client en lui communiquant les informations utiles et nécessaires.
NB : Une vérification documentaire par le RA qui n’est pas à proprement parler un audit, sera également déclenché
par le chargé de clientèle avec un ordre de mission. Le RA aura à fournir un rapport (cf. ci-dessous et § 1.5 de
l’annexe 1 au guide)
Processus
CDC->DGECE/OC : RA/A :
Définition des compétences - vérifient leurs disponibilités, leur indépendance et leur Pour les nouveaux clients
nécessaires pour l’audit. compétence vis à vis de l’audité, Ouverture de l’espace client
- s’engagent à assurer la mission et se sont assurés qu’ils et transmission des codes
DGECE/OC ->CDC: ont la compétence et la qualification nécessaire pour cette d’accès et mots de passe
Proposition d’équipe d’audit. mission au regard des référentiels et secteurs d’activité du d’accès. Ce guide est mis à
client. En cas de doute ou dans la négative ils contactent le disposition et actualisé
CDC pour vérifier cet aspect, régulièrement dans cet
- valident l’OdM espace client
CDC:
- propose l’Equipe d’audit aux dates souhaitées par le
client.
Client :
- confirme son accord sur l’équipe et les dates d’audit.
- il a la possibilité de récuser un ou des auditeurs sous
réserve de le justifier et de transmettre sa demande par
écrit.
CDC:
- le cas échéant, adapte les dates et /ou l’équipe d’audit.
CDC->RA/A : RA : Statut
Prise en charge de la mission par le RA
Ordres de mission, libellé de - contacte le client et définit/ confirme avec lui les dates
certification, liste et adresses d’audit précises, Equipe d’audit confirmée
des sites du périmètre de - communique au CDC ces dates (cas où le CDC a défini dans sa mission et prête à
certification, copie du/des une période d’audit et non des dates précises). démarrer l’audit.
dernier(s) rapport(s), copie de
l’ancien certificat, programme CDC : Equipe d’audit ayant en
d’échantillonnage demandé, - crée une souche dans le système d’information d’AFNOR main tous les outils afin de
Réclamations éventuelles,… Certification qui génère les trames pré remplies. documenter son audit dans
- communique les informations nécessaires à la réalisation un rapport d’audit pré
SI -> RA/A : de la mission d’audit. rempli
Guide d’audit, Trames du
rapport & extraits de la baseRA :
client, Outils d’audit. - charge sur son PC les données de la mission, les trames
et outils nécessaires ainsi que les documentations mises à
Client -> RA/A ou CDC: Mise à disposition par le CDC ou le client.
disposition de la - contacte les membres de son équipe d’audit et s’assure
documentation du SM à auditer qu’ils ont accès aux informations, documentations et outils.
Règles d’application
• Constitution de l’équipe d’audit et affectation des missions
Les critères à prendre en compte pour la sélection des auditeurs sont transmis par le CDC au DGECE qui
réalise la recherche dans « Source ». Le DGECE lui propose une équipe qualifiée et disponible conforme à sa
demande.
Ces critères sont principalement :
o les caractéristiques organisationnelles (structure de l’organisme Client, référentiel d’audit,...),
o le ou les secteurs d’activité de l’organisme à auditer,
o les dates de l’audit souhaitées par le client,
o leur proximité géographique,
o éventuellement d’autres caractéristiques liées à la culture de l’organisme Client.
L’équipe d’audit constituée est proposée à l’organisme Client par le CDC. Elle est composée d’un Responsable
d’Audit et complétée, si nécessaire, d’un ou plusieurs Auditeurs et éventuellement d’un Expert. Cette équipe est
indiquée sur la notification de l’audit qui leur est transmise par le CDC.
L’organisme client peut récuser un ou plusieurs membres de l’équipe. Dans ce cas, son représentant doit
envoyer à l’OC sa demande, dûment justifiée, de récusation d’Auditeur(s) tel que défini dans les clauses des
conditions générales de certification.
Pour des raisons pratiques, le RA ne peut pas être associé au choix des membres de l’équipe, mais il a la
possibilité de récuser le ou les équipiers ainsi que les éventuels observateurs proposés ; dans ce cas, il envoie
au CDC sa demande, dûment justifiée, de récusation du /des équipiers, du/des observateurs.
Le CDC l’informe des suites données à sa demande.
Note : Une équipe d’audit ne peut pas être constituée de plusieurs prestataires de services appartenant à un
même organisme externe.
• Cas particulier où un « Responsable d’Equipe d’Audit » doit être identifié parmi plusieurs RA :
o audit QSEÉ où la qualification du RA ne couvre pas tous les référentiels ce qui nécessite la
nomination de plusieurs RA.
o audit d'un organisme multi sites où plusieurs équipes auditent de façon séparée plusieurs sites
avec formulation de conclusions par site et rédaction éventuelle de NC. Ceci nécessite qu'un RA
soit nommé par équipe d'où l'existence de plusieurs RA même s'il n'y a qu'un référentiel en jeu (à
l'opposé du cas ci-dessus). Le Responsable d’Equipe d’Audit sera prioritairement un RA auditant le
siège.
o Cas d'un groupe où plusieurs certifications ont lieu (pilotées par des RA différents) et où un
Responsable d’Equipe d’Audit doit apporter une synthèse globale au siège. Le Responsable
d’Equipe d’Audit doit assurer des transmissions transversales d'informations auprès des différents
RA afin de satisfaire au cahier des charges de la mission d'audit. Il assure dans le cadre des
échantillonnages d'audit multi sites l'éligibilité des lots, le suivi et l'interprétation des Non
Conformités identifiés.
de leur mission. Dans cette phase le RA a les coordonnées de son équipe d’audit, il les contacte si besoin
est, afin de connaitre leurs compétences spécifiques et de convenir des contributions attendues lors de
l’audit à venir. Dans la phase préparation du plan d’audit il peut les mettre à contribution et les consulter. Les
dates des audits d’étape 1 et d’étape 2 ont été arrêtées. L’audit d’Etape 1 se fera sur le site principal, sur un
site représentatif de l’activité ou au siège du client. (Exemple : pour une certification environnementale,
l’étape 1 se fera logiquement sur le site présentant le plus de risques environnementaux et non pas au
siège.)
o L’audit d’étape 2 : Il se déroule en principe à minima 2 semaines après l’audit d’Etape 1. Le rapport d’audit
d’Etape 1 contenant le projet de plan d’audit est transmis au client dans un délai lui permettant de traiter les
commentaires et de finaliser le projet de plan d’audit avec ses collaborateurs. Il faudra en retourner un
exemplaire complété au Responsable d’audit.
o Dans le cas où l’équipe d’audit ne comprendrait que le RA et qu’il ait été chargé de fixer la date exacte
d’audit, ce dernier contacte directement le correspondant de l’organisme Client, fixe avec lui la date de
l’audit à l’intérieur de la plage indiquée par le CDC et informe le CDC sous 7 jours calendaires de la date
retenue.
o Autres types de déroulements :
Au sein d’AFNOR UK, une fois le contrat signé, le RA devient l’interlocuteur privilégié du client et le CDC ne
suit plus le client sur le cycle d’audit sauf demande du RA.
Le RA contacte alors le correspondant de l’organisme Client afin de s’assurer que tous les membres de
l’équipe d’audit reçoivent les documents nécessaires à la revue des documents et à la préparation des
activités d’audit.
Pour tout audit (avec ou sans Etape 1) une revue des documents est à réaliser afin de pouvoir planifier l’audit et
préparer un plan d’audit tel que défini au § 3.4 ci-après, dans le respect des objectifs de l’audit, du périmètre et des
critères de l’audit défini par l’OC.
Objectifs
• Analyser et comprendre le système de management du client ou de son évolution entre deux audits au regard
des produits / prestations offerts sur base des documents rendus accessibles par le client.
• Mettre au point ou actualiser le programme d’échantillonnage pour les entreprises multi sites ou ayant des
activités sur sites temporaires (voir chapitre 4).
• S‘assurer et vérifier que ces documents répondent aux exigences des référentiels d’audit applicables et au
périmètre à certifier.
• Vérifier le niveau d’Intégration du Système de Management qui a été estimé par le commercial avec le client.
• Prendre connaissance des PS et NC restant à lever issus des audits précédents (revue des rapports des
audits précédents).
Processus
Règles d’application
Cette activité est réalisée par le responsable d’audit et a lieu en amont de l’audit.
La préparation de l’audit et la revue des documents sont en général faits hors site sauf dans le cas d’audits avec
Etape 1.
Dans le cas de modifications significatives du système de management ou si le client en éprouve le besoin du fait
de la confidentialité d’informations, de leur complexité ou pour d’autres raisons, ces activités peuvent également
être réalisées sur site et se feront alors selon les modalités précisées au paragraphe §3.3.2 : Audit d’Etape 1.
• Prendre connaissance des PS et NC restant à lever mentionnés dans les rapports des audits précédents de
l’OC (revue des rapports des audits précédents). Il est demandé au RA de les positionner dans le plan de l’audit
à organiser.
Le RA demande au client de lui transmettre ainsi qu’à l’équipe d’audit au moins trois semaines à l’avance
l’ensemble des documents nécessaires à la préparation de l’audit. Si l’audit d’étape 1 a lieu sur site, les documents
seront remis et revus à ce moment-là.
Ces documents se composent majoritairement :
• du manuel ou descriptif du système de management de l’entreprise si existant,
• des documents principaux complémentaires nécessaires à la compréhension du management des processus
de l’organisme, des installations, des moyens de production et/ou des produits/prestations vendues par
l’organisme,
• du planning et les rapports de la dernière campagne d’audits internes,
• de la dernière revue de direction associée aux objectifs et des indicateurs de la direction,
• de l’analyse environnementale, analyse des risques, programmes de management, etc...
• de la revue énergétique, des usages énergétiques retenus et des indicateurs et mesures de performance
énergétiques choisis par l’organisme, des actions d’amélioration des performances énergétiques initiées et de
leurs effets,
• de toute information, document ou moyen que le client ou le RA juge utile afin de préparer l’audit.
Cas des entreprises multi site et/ou ayant des activités sur de multiples sites temporaires :
Le RA doit, en partenariat avec le représentant du client, mettre au point le programme d’échantillonnage pour
l’audit à venir (voir chapitre 4). Il le documente en bas de la page 1 du document « revue des documents et plan
d’audit »
Site Internet
• S’il existe, le RA doit consulter le site Internet de l’organisme Client. Il y trouvera certainement des informations
utiles pour mieux comprendre l’organisme, ses Clients et ses produits.
• Par ailleurs, dans le cas où l’organisme Client utilise sur son site la marque de l’OC, le RA pourra vérifier si son
usage lui paraît « clair et sincère » et si le règlement de la marque y est respecté.
• Dans le cadre d’un audit incluant un site virtuel, ce site sera à auditer impérativement.
Passage de relais
• Si cela est nécessaire pour assurer l’homogénéité et la cohérence globales des interventions d’audit, le RA
peut contacter le RA du cycle d’audit précédent. Ses coordonnées sont sur la page de garde du rapport
précédent.
Les résultats de cette analyse seront reportés par le RA dans la « revue préparatoire et plan d’audit ». Pour les
audits de systèmes de management, les documents analysés sont à mentionner.
Cas des audits de renouvellement : La revue des documents doit comprendre alors une revue des performances
du SM sur la période de certification précédente et inclut la revue des rapports d’audits de surveillance précédents
(en général les deux audits de surveillance précédents)
Approche TPE :
Revue et préparation habituelles sur site.
La revue des documents et la préparation des activités d’audit sont réalisées en début d’audit sur site sans
préparation préalable hors site. (Durée limitée à 1 à 2h sur site)
Pour un audit démarrant un cycle d’audit, la revue et la préparation comportent une visite rapide du site
permettant au responsable d’audit de prendre connaissance des activités du client.
Pour les organisations multi-sites ou ayant des activités sur sites temporaires, chaque constat sera également relié
au site concerné. Un site virtuel sera pris en compte comme un site physique.
Processus
Le RA réalise cet audit sur preuves c’est à dire sur base de documents et d’interviews de personnes.
documents du SM - déroule l’audit selon les thèmes du formulaire d’audit rapport d’audit d’Etape 1
nécessaires. d’étape 1, en s’aidant de contacts téléphoniques là où
nécessaire
Rendez-vous téléphonique - clôture l’audit au téléphone avec le client.
convenu afin de questionner transmet le rapport d’audit Etape 1 complet.
du personnel.
Règles d’application
Avec la mise en œuvre de l’ISO 17021:2011, il n’y a plus de différence fondamentale dans l’approche d’audit d’un
SMQ, d’un SME, d’un SMS ou d’un SMÉ en termes de préparation dans le cadre de certification initiale
L’audit d’étape 1 a une durée prédéfinie avec le client, généralement de ½ journée à 1 jour. Cet audit se déroule
quelques semaines avant l’audit d’Etape 2 (sauf cas particulier des TPE).
Le RA n’a pas de plan d’audit à établir mais il doit fixer le rendez-vous avec le représentant de la direction, avec
qui est passée en revue la majorité des points.
• Il établit un projet de plan de l’audit d’Etape 2 en concertation avec son équipe d’audit et en tenant compte de
leurs compétences spécifiques, spécialités et qualifications.
Cas particulier d’un audit relatif au management de l’énergie selon ISO 50001 :
Pour un audit selon ce référentiel deux aspects importants doivent être passés en revue lors de l’étape 1 :
a) Les durées d’audit selon ISO 50001 sont définies par l’ISO 50003 v2014 et tiennent compte de quatre
variables : du nombre de sources d’énergie, de la consommation énergétique annuelle, du nombre
d’Usages Énergétiques significatifs définis par l’organisme et de l’effectif dédié au SMÉ (personnel qui
influe matériellement sur le SMÉ). Ces quatre variables sont à vérifier par le RA et sont à enregistrer au §1
de la Synthèse des situations relatives au SMÉ. Elles doivent correspondre aux données fournies par le
commercial dans le cadre de l’ordre de mission transmis au RA.
b) Pour chaque UES identifié, le RA doit :
a.
comprendre et décrire sommairement la période ou situation énergétique de référence retenue
(SER),
b. s’assurer de la pertinence des mesures et vérifications en place au regard des performances
énergétiques à évaluer,
c. et bien comprendre les facteurs pertinents pris en compte afin de s’assurer que le SMÉ ainsi mis
en place permette de mesurer effectivement des gains de performance énergétiques dans le
temps au sens de l’ISO 50001 en s’aidant de l’ISO 50006.
De ce fait chaque UES doit être renseigné dans le tableau au §1 et décrit au §2.3
Si pour ces deux aspects ne sont pas donnés, un problème important est identifié au sens d’un audit d’étape 1.
Pour l’audit et la documentation de ces aspects, la durée d’audit d’étape 1 peut être allongée au détriment de
l’audit d’étape 2.
§ 3.5
§ 3.6 Réalisation des activités d'audit sur
Préparation, approbation et site (audit d'étape 2)
diffusion du rapport d'audit
Cette activité fait suite à l’activité « Réalisation de la revue des documents » (cf. Paragraphe 3.3).
Le lieu de réalisation de la préparation des activités d’audit est précisé dans le paragraphe précédent.
Objectif
• Mettre au point un plan d’audit en accord avec les autres membres de l’équipe d’audit et le client et en tenant
compte du programme d’échantillonnage défini au §3.3,
• Tenir compte des compétences, qualifications, spécialités et si possibles souhaits de son équipe d’audit afin de
mettre au point un plan d’audit optimal pour le client.
Processus
plan éventuellement - que les modifications et compléments apportés par le Plan d’audit finalisé
adapté, commenté, client sont acceptables,
complété avant la date - que tous les chapitres des référentiels selon le Chapitre 4
d’audit. sont bien listés et seront ainsi audités auprès de fonctions
identifiées,
- peut y rajouter des informations logistiques tels que
moyens de transport, les rendez-vous nécessaires avec
son équipe pour une dernière revue de concertation, les
choix d’hébergement etc.
- transmet le plan ainsi finalisé
Règles d’application
Le RA précise sur le projet de plan d’audit les horaires prévus par rendez-vous programmé afin d’auditer :
• les processus ou les activités citées
• toutes les exigences du/des référentiel(s) d’audit qui y seront vérifiés,
• les NC et PS du précédent audit ou des audits antérieurs s’il en subsiste à revoir et à lever,
• ainsi que les éventuelles réclamations applicables au système de management à analyser en cours d’audit.
• Adresse, sites et éventuelles salles peuvent être prévues,
Les principes et choix d’échantillonnage sur lesquels se base tout audit sont ainsi arrêtés et les aspects logistiques
importants clarifiés (transport, communication, accompagnateurs, fonctions utiles à rencontrer etc.…).
Lorsque le client gère du travail en équipes, les activités et passage de consigne qui ont lieu pendant les rotations
des équipes doivent être prises en compte lors du programme d’audit et des plans d’audit. Pour les entreprises
travaillant en 3x8 et/ou le WE, tous les postes sont potentiellement à auditer sur le cycle; ceci sera surtout le cas si
des activités spécifiques sont réalisées de nuit, les WE ou sur certains postes. Ils devront être auditées lors des
audits initiaux, de renouvellement et a minima une fois par cycle d’audit. Le programme d’échantillonnage sera
renseigné en conséquence.
Cette phase essentielle pour le déroulement d’un audit efficace met également les auditeurs et audités dans une
situation non stressante, planifiée et permet à chacun d’organiser son emploi du temps.
Un plan d’audit bien structuré selon les principes du PDCA et listant toutes les exigences met également les
auditeurs en situation de réaliser un audit cohérent et sans oubli, les référentiels ne pouvant servir de check-list
adaptée, c’est le plan d’audit qui remplit cette fonction.
Les conditions minimales pour qu’un audit de certification puisse être engagé sont précisées dans les Règles
Pratiques QES-0051/1 (cf. : http://regles-pratiques.afnor.org/)
Le RA adaptera et complètera le tableau proposé sur le formulaire « revue documentaire et plan d’audit » afin de
tracer les principes d’échantillonnage prévus et réalisées au cours du cycle de l’audit de trois années. (Supprimez
le tableau s’il n’est pas adapté, par exemple pour une entreprise mono site simple sans activités sur sites
temporaires.)
Le plan ainsi complété et validé par le client est ensuite mis à disposition du RA dans les meilleurs délais, sachant
que des adaptations de dernière minute peuvent encore être faites en concertation avec le RA lors de la réunion
d’ouverture.
En l’absence de commentaire de la part du CDC dans les 7 jours calendaires, le plan d’audit prévisionnel devient
applicable.
Confidentialité
Voir le paragraphe 3.7 de ce Chapitre.
Document de travail
• Il est recommandé que les auditeurs aient un accès facile au Guide de l’audit des Systèmes de Management
QSEÉ et des annexes, mais aussi au règlement sur l’usage de la marque de l’OC.
Les documents de travail nécessaires à imprimer pour la réalisation de l’audit d’Etape 1 sur site :
• la trame d’audit d’Etape 1, sauf si rempli sur PC en audit
• la trame de revue préparatoire et projet de plan d’audit.
Les documents de travail nécessaires pour l’audit ou audit d’Etape 2 sur site comprennent au minimum :
• le Rapport d’étape 1
• la fiche vierge « Réunion de clôture ».
• la revue préparatoire et le plan d’audit validé avec le client
• les synthèses de situation ENV, SST, Energie,…
§ 3.5
§ 3.6
3.5.1. Audit d’Etape 1 Préparation, approbation et
diffusion du rapport d'audit
Réalisation des activités d'audit sur
site (audit d'étape 2)
Activité de préparation réalisée généralement sur site, lieu défini au préalable avec le client et communiquée au RA
dans le cadre de son Ordre de Mission.
L’objet et le déroulé de cet audit sont décrits au chapitre 3.3 de ce guide.
Objectif
• Réaliser l’audit selon le planning prévu et arriver lors de la clôture d’audit à apporter une conclusion partagée
par le RA avec son équipe et le client basée sur des constats factuels au regard des exigences du/des
référentiel(s).
Processus
besoins de - fait signer le « Compte rendu de réunion d’ouverture et de clôture plan d’audit si modifié
modification du Plan d’audit » lors de la réunion d’ouverture d’audit
d’audit, Imprévus de - ajuste, rediffuse puis suit le plan d’audit,
dernière minute, - pilote les réunions et son équipe,
- convient avec son équipe des modalités de collecte et > Client /A :
d’audit
- listent les PF, PS et NC en concertation avec l’équipe d’audit (les accord sur les FNC
Préparation
autres constats ne sont pas encore forcément tous finalisés pour des
questions de temps).
- arrêtent le libellé et le classement des NC et autres points à
présenter en clôture.
- les NC sont formalisés et si possible présentées au responsable
management avant la clôture.
le RA : > Client :
- dirige la réunion de clôture Informé du nombre et
- restitue au client les conclusions d’audit de son équipe objet des NC identifiées
- fait remplir et signer le « Compte rendu de réunion d’ouverture et de dans l’audit
clôture d’audit »
Réunion de clôture
Règles d’application
Réunion d’ouverture
Il est demandé par l’ISO 17021 que la direction de l’entreprise participe aux réunions d’ouverture et de clôture
d’audit.
Les sujets suivants sont à présenter par le RA en réunion d’ouverture selon la configuration de l’entreprise:
• Présentation des participants.
• Objectifs, périmètre de l’audit (libellé, référentiels, sites) et effectif impliqué par la certification. Dans ce cadre
les attentes spécifiques du client telles que formulées dans son ordre de mission ou demandées seront
rappelées et commentées en réunion d’ouverture.
• Méthode d’audit : Expliquer la prise de notes, le principe d’échantillonnage sur des exemples, les interviews, le
principe de la communication immédiate de constats pouvant amener à des NC avec rappel en synthèse
journalière, les règles de confidentialité applicables aux auditeurs, informations sur les conditions dans lesquelles
l’audit peut s’achever prématurément, la langue d’audit définie pour le rapport pour des audits à l’international, la
possibilité au client de poser des questions aux auditeurs pendant l’audit, …
• Rappel si nécessaire du classement des constats en PF, Notes, PP, PS, NC mineures et majeures et leurs
conséquences sur la recommandation du RA faite à l’OC.
• Confirmation du plan d’audit et si nécessaire le modifier ou le compléter.
• Point est à faire avec le client sur le besoin de port d’EPI, information de l’équipe d’audit sur les procédures
d’hygiène, d’urgence et/ou de santé et sécurité qu’ils devront respecter sur site en cours d’audit . En cas de
présence de risques significatifs ou si l’objectif de l’audit ne peut être atteint, le RA doit en référer au CDC et au
client.
• Présentation concise du rapport d’audit QSEÉ en rappelant le type de présentation choisi (cf. Choix de la
présentation des constats dans le rapport d’audit par processus, site, service, etc.). lors de cette présentation, le
RA rappelle que ce rapport est présenté dans le Guide de l’audit des Systèmes de Management QSEÉ à
l’attention des Clients et des auditeurs. (Guide accessible dans l’espace client)
• Rôle des Auditeurs, de l’Audité, des guides/accompagnateurs et, s’il y a lieu, de l’observateur, de l’expert
éventuel.
Le compte rendu de réunion d’ouverture est à faire signer par les personnes présentes à la réunion.
Non influence et non-ingérence d’un guide ou d’un observateur. Un guide ou un observateur est
une personne qui accompagne un Auditeur dans l’entreprise et qui appartient (ou non) à l’effectif
de l’Audité. Il ne doit exercer aucune influence ou ingérence dans la façon dont est réalisé l’audit.
Si un guide ou un observateur ne respecte pas cette règle, le RA doit prendre les dispositions nécessaires pour
que l’audit puisse se poursuivre :
• Si l’Observateur a été proposé par l’OC : Le RA en réfère au CDC dès que possible.
• Cas d’un Guide ou observateur proposé par l’Audité : Le RA en réfère à son guide ou au correspondant de
l’organisme Client et, si ce n’est pas suffisant, arrête l’audit et en réfère au CDC dès que possible.
Une réunion de clôture est plus efficace si une présentation des résultats est projetée lors de cette réunion par le
responsable d’audit. Une présentation Power Point type lui est mise à disposition avec les trames du rapport. Deux
façons de la remplir :
• les constats de l’audit sont déjà saisis. Le RA les transfère sous Excel et peut les classer selon les quatre
thèmes des conclusions générales. Ainsi le RA peut rapidement en tirer une synthèse par thématique en prenant
de la hauteur et n’étant pas trop analytique et la saisir dans le power point de clôture d’audit
• dans ce cas contraire le RA remplit directement le PPT des messages clés qu’il souhaite faire passer. Cette
présentation PPT est une aide qui est d’utilisation optionnelle et ne fait pas partie du rapport. Mais avec un peu
d’exercice les forces et faiblesses sont finalisées dans le PPT de la réunion de clôture. Il ne restera alors qu’à les
recopier dans le rapport final dans les forces et faiblesses.
Réunion de clôture
Les sujets suivants sont présentés en réunion de clôture :
• remerciements, revue d’éventuelles difficultés rencontrées en audit.
• le rappel qu’un audit est basé sur de l’échantillonnage et de ce fait présente toujours une certaine incertitude
sur les conclusions d’audit et que la décision est toujours prise par l’OC mais pas par l’équipe d’audit
• la confirmation du libellé de la certification qui est renseigné sur le compte rendu de la réunion de clôture : Si le
client exprime un souhait de modification de libellé en accord avec le RA, le RA modifie manuellement le libellé
ou joint une annexe et transmet électroniquement (sous 48h) le compte rendu finalisé au Chargé de Clientèle.
Les libellés sont prévus dans la langue de l’audit et une traduction équivalente en anglais. En même temps que
la dénomination sociale, le nombre et l’exactitude des adresses des sites certifiés sont à vérifier et à confirmer.
• Conclusions d’audit :
o NC majeures, NC mineures, PS, et PF. (Notes et Pistes de progrès peuvent être citées, mais il
convient d’aller à l’essentiel dans une réunion de clôture et de ne pas vouloir passer en revue tous
les constats d’audit),
o évolutions des PS et NC issus des audits précédents,
o libellés modifiés si nécessaire,
o validation des libellés des NC Majeures et des NC mineures (qui deviendront alors définitifs).
o Il peut être rappelé que certaines NC existaient peut être déjà lors de l’audit précédent mais
n’avaient pas été relevées par le précédent RA.
o Pour les organisations multi sites, le RA doit rappeler les principes d’échantillonnages appliqués
lors de cet audit. Les conclusions par lots de sites audités sont à présenter ainsi que les
conclusions que le RA en tire. Ceci permet également de confirmer ou de faire évoluer les
principes d’échantillonnages à appliquer pour l’audit à venir.
o En cas de besoin la procédure d’appel et de gestion des réclamations est à expliquer au client (voir
check contenu en fin du plan d’audit)
Les conclusions d’audit sont présentées de sorte que l’Audité les comprennent et les acceptent (choisir une
présentation adaptée à l’organisme Client).
S’il y a lieu, toute opinion divergente entre l’Audité et l’équipe d’audit, est enregistrée par l’Audité d’une part et
par le RA d’autre part, sur la fiche « Réunion de clôture » qu’il fait également signer aux personnes présentes
lors de cette réunion.
A la fin de la réunion de clôture, le RA s’assure que le client ait accès aux FNC ou a minima ait en main les
formulations des NC et leur classement afin de pouvoir préparer ses réponses. Il peut conserver une copie du
document « Compte rendu de réunion d’ouverture et de clôture » s’il le souhaite.
Le document « Compte rendu de réunion d’ouverture et de clôture » doit être transmis systématiquement et
électroniquement au plus tard sous 48 heures au Chargé de Clientèle.
Le RA doit envoyer l’original papier avec sa facture et les justificatifs de dépenses au Chargé de Clientèle dans les
délais convenus par l’OC.
§ 3.5
§ 3.6 Réalisation des activités d'audit sur
Préparation, approbation et site (audit d'étape 2)
diffusion du rapport d'audit
Objectif
• Produire un rapport conforme à l’objectif défini dans l’OdM qui soit le reflet exact et argumenté de la mission.
Processus
Client -> RA : le RA :
- analyse les réponses aux NC, complète chaque FNC, dans
FNC avec « commentaire » et éventuellement « vérification ».
propositions - Si le client n’a pas respecté le délai de 7 jours afin d’apporter la
d’action et des réponse aux NC, le RA signale ce retard au CDC dans
justificatifs commentaires de la fiche de commentaire pour l’OC afin de ne pas
éventuels *) être pénalisé des retards qui ne lui sont pas imputables. Le RA doit
néanmoins relancer le client à temps.
- si le client ne propose pas d’actions correctives pertinentes ou
dans des délais acceptables, le RA peut être amené à revoir la
conclusion d’audit exprimée en réunion de clôture. En effet l’OC
part du principe que tout client audité s’engage à solder les NC
sous un délai de 3 mois en ce qui concerne les NC majeures.
commentaires, rapport d’audit qui devient ainsi définitif. Il actualise la date du renseigné.
sous 7 jours calendaires
Règles d’application
*) Méthode à suivre par le client afin de répondre aux fiches de non-conformité émises et
comment sera apprécié la pertinence de la réponse par le RA
Il est demandé à l’organisme Client de renseigner les thèmes suivants:
• « Correction de la Non-Conformité » revient à corriger la NC (aspect curatif) en agissant sur ses effets.
• « Analyse des causes racines de la Non-Conformité ». Le client doit documenter ici les causes racines qui ont
amené à cette Non-Conformité
• « Action corrective proposée » revient à agir sur les causes probables identifiées et systémiques (amélioration
de son système de management) de la NC afin d’éviter leur réapparition.
• « responsable de l’action » et « date cible » sont à préciser par le client.
• Pour une Non-Conformité identifiée sur un site échantillonné, le client doit démontrer que l’analyse des causes
et les actions correctives ainsi que le suivi d’efficacité portent bien sur tous les sites inclus dans le lot en cause et
ne se limitent pas au site où la NC a été identifiée.
A réception des réponses de l’organisme Client, le RA apprécie pour chaque Non-Conformité la pertinence de la
réponse ainsi que de la date cible.
Si la proposition n’est pas pertinente du point de vue du RA, ce dernier contacte l’organisme Client afin de parvenir
à une réponse pertinente. Il commente ensuite, sur la fiche, la proposition finale de l’organisme Client (dans le cas
particulier où la lacune concerne l’analyse des causes, le RA commente la proposition de l’organisme Client par
une formule du type : « Analyse des causes à regarder lors du prochain audit »).
Si la réponse de l’organisme aux FNC n’est pas du tout celle espérée par le RA et que celle-ci remet en cause la
proposition à l’instance de décision prévue faite par le RA lors de la réunion de clôture, il convient impérativement
de contacter le client afin de l’informer des conséquences de sa réponse. Il renseigne alors, dans «autre
commentaires» des conclusions générales de l’audit cette nouvelle situation et l’argumente en complément des
informations sur les FNC. Le cas échéant il adapte son rapport.
Le client peut également soumettre des besoins de correction ou demander des précisions sur le rapport provisoire
reçu du RA, par exemple sur des erreurs de noms, des erreurs de terminologie maison, l’inexactitude d’une
donnée, sur un élément incompris du client etc…
§ 3.5
§ 3.6 Réalisation des activités d'audit sur
Préparation, approbation et site (audit d'étape 2)
diffusion du rapport d'audit
La clôture de l’audit correspond à la clôture de l’ensemble des activités d’audit.
Objectifs
Processus
La décision suite à audit est - détruisent les documents et informations à l’issue de la informe de la décision prise,
obtenue par le CDC afin de mission d’audit ou à la fin du cycle d’audit et au plus tard transmet le rapport (et certificat
la traiter. lorsque l’audit de renouvellement a été finalisé. le cas échéant).
CDC -> Client /RA : - actualisent leur calendrier prévisionnel des audits de
transmission de la décision suivi dont ils auront à priori la charge > RA/A :
et du calendrier Reçoivent copie pour info de la
prévisionnel des audits décision de l’OC
Règle d’application
Confidentialité
Les documents ou informations nécessaires à la revue préparatoire et à la préparation des activités d’audit, réunis
au cours de l’audit et communiqués pour la levée des NC sont à détruire en respectant la confidentialité.
Les fichiers du rapport d’audit sont soumis aux mêmes règles de confidentialité, mais il est parfois utile de les
conserver jusqu’à la réalisation du renouvellement de la certification.
§ 3.5
§ 3.6 Réalisation des activités d'audit sur
Préparation, approbation et site (audit d'étape 2)
diffusion du rapport d'audit
Objectif
• Les actions nécessaires identifiées par le RA au cours de l’audit ci-dessus sont prises en compte par le Chargé
de Clientèle qui identifie les responsabilités pour leur bon suivi interne par l’OC ou de leur programmation pour le
prochain audit.
sensibles non fermés des audits traitement. Des données relatives aux
précédents, recommandations enquêtes satisfaction obtenues
pour le prochain audit, L’Organisme Certification : par l’OC peuvent également lui
prévisionnel
commentaires pour l’OC Les performances de l’auditeur sont évaluées être communiquées.
par l’instance de décision et transmises au
DGECE. (FEPRA) CDC ->COM : Les
DGECE ->CDC en copie Les enquêtes satisfaction en retour des clients commentaires pour l’OC sont
(RA original) : restitution des sont collectées et analysées par le service analysés par le CDC. et
performances (FEPRA), Audits qualité de l’OC. transmis au service commercial
de supervision éventuellement Les supervisions d’auditeurs si programmées (ou toute autre entité du groupe
et ES clients sont collectées et transmises par l’OC au si nécessaire) pour traitement le
DGECE. cas échéant.
le CDC : >RA :
documentaire par
vérification documentaire =
Le RA relance d’un cycle selon le § 3.2
Accuse réception de cette nouvelle mission même s’il n’y a pas d’audit sur
site
§ 3.5
§ 3.6 Réalisation des activités d'audit sur
Préparation, approbation et site (audit d'étape 2)
diffusion du rapport d'audit
Objectif
• Le contrat de trois années arrivant à échéance, l’OC planifie et met en œuvre les actions adaptées afin de
proposer au client la poursuite du partenariat dans le cadre d’un renouvellement de la certification. Un nouveau
devis est établi. Afin de le gagner et de conserver la confiance du client, les auditeurs peuvent être associés aux
échanges avec le client. Un nouveau programme d’audit est établi en accord avec le client.
Processus
La décision suite au dernier - clôturent leur mission et actions liées au dernier audit, OC :
audit est transmise.
- détruisent de manière appropriée les informations et Confidentialité respectée
documents collectés dans le respect des règles de
confidentialité en fin du cycle ou du contrat.
remontées d’information Identification de nouveaux objectifs et attentes client Initialisation d’un nouveau cycle
auditeurs
des besoins client via reprises dans une nouvelle offre de certification. éventuellement avec le même
principalement la fiche auditeur, l’ensemble des
« commentaires pour l’OC Actions commerciales. informations nécessaires lui
suite au dernier audit » ou seront alors à nouveau
le mail transmis.
(infopartenaires@afnor.org
en France)
Règle d’application
En fin d’un cycle de 3 ans, l’OC:
• propose une nouvelle équipe d’audit. Sur les dossiers nécessitant une équipe de plusieurs auditeurs il peut
parfois être décidé de conserver un membre de l’ancienne équipe d’audit afin d’assurer le suivi et l’historique du
dossier dans la nouvelle équipe d’audit. Ce cas sera géré dans le cadre d’une dérogation interne.
• Le RA peut expliquer également ses recommandations et arguments sur ce thème dans ses « commentaires
pour l’organisme certificateur ».
Attention : dans le secteur Aéro., dans l’alimentaire et dans le secteur Automobile des règles spécifiques s’appliquent. Voir annexes au guide spécifiques pour
plus de précisions.
Une Organisation multi sites est définie comme une organisation présentant une fonction centrale identifiée (bureau central), de laquelle certaines activités
sont planifiées, contrôlées ou gérées ainsi que d'un réseau de sites (bureaux ou locaux) au sein desquels les activités à certifier sont en partie ou totalement
effectuées:
Un site permanent est un site (physique ou virtuel) où un client travaille et propose un service de manière constante. Exemple: un site de production, une
agence commerciale, un site de vente en ligne etc…
Le Site Virtuel (nouvelle notion apparue avec la publication de la règle IAF MD5 de 2015):
• Un site virtuel est considéré comme un lieu non physique où un organisme fournit un travail ou un service à l’aide d’un environnement en ligne,
permettant ainsi à des personnes d’exécuter des processus depuis n’importe quel emplacement physique.
• L’audit d’un site virtuel est à considérer comme l’audit d’un site physique. L’auditeur y consacre du temps. Il mentionne l’audit de ce site dans les
différents documents du rapport d’audit (plan d’audit, constats et autres…).
• Le site virtuel audité est mentionné sur le certificat via son adresse url dans le libellé de la certification.
Par opposition on entend par site provisoire ou temporaire, un site où est exécuté un travail spécifique ou un service pendant une période de temps définie
et limitée et qui ne deviendra pas un site permanent de l’organisme (Cas des chantiers). Les activités réalisées sur ces sites provisoires qui sont couverts par
le Système de management de l'organisation, doivent donc être audités par échantillonnage afin de fournir la preuve de la maîtrise de la prestation et donc de
l'efficacité du système de management à certifier. (Exemple : réalisation de prestations de nettoyage réalisées par l’organisme dans les locaux d’un de ses
clients. Les locaux du client sont identifiés comme un site provisoire de réalisation de la prestation).
Site additionnel: c’est un nouveau site ou un groupe de sites qui seront ajoutés au périmètre des sites déjà certifiés. (Exemple: un audit d'extension
concernant 4 agences commerciales additionnelles à inclure au périmètre des 20 agences du périmètre déjà certifié).
Un lot de sites est un groupe de sites présentant des caractéristiques semblables en termes d’activités, de risques ou de processus. (L’échantillonnage se
définit et se réalise pour chaque lot). L’échantillonnage fait sur certains sites d’un lot doit permettre de porter un jugement pertinent sur le lot complet de sites
de ce lot. De ce fait la constitution d’un lot de sites en vue de réaliser un audit par échantillonnage doit être défini en concertation avec l’organisme en
s’appuyant sur des données et des éléments du système de management : Exemple pour des agences, mêmes procédures, même processus applicables par
des équipes organisées de manière similaire (organigrammes et tailles d’agence comparables).
Un site « électron libre » est un site qui ne peut être intégré dans un lot car il a des activités, des risques ou l’organisme y applique des processus
spécifiques. (Exemple : un dépôt de pièces de rechange et logistique pour une entreprise ayant 5 sites de production).
On entend par Echantillonnage l’action de déterminer un nombre limité de sites représentatifs à auditer dans chaque lot de sites.
Existence réelle d’une « organisation multi-sites », à savoir une organisation dans laquelle sont identifiés :
- un ou plusieurs sites sur lesquels sont implantées des fonctions centrales (ex : DG/ Equipe de management système / DSI / Finance / Marketing /
Communication / Achats / R&D /…)
- des sites sur lesquels s’exercent des fonctions opérationnelles ou de production (exemple agences commerciales, sites de production, etc),
- le cas échéant, de sites provisoires (exemple sites clients pour une entreprise de nettoyage, les chantiers pour une entreprise de construction, etc).
- existence de sites virtuels
Réponse aux conditions suivantes relatives aux processus, au système de management, à l’aptitude de l’organisation à recueillir et analyser les
données :
Est-ce que le système de management de l’organisation est piloté, géré et managé de manière centralisée et fait l’objet d’une revue de direction
globalisée ?
Est-ce que la direction de l’organisation a bien autorité sur l’ensemble du périmètre concerné et a désigné un responsable du système de
management ?
Est-ce que tous les sites concernés (y compris les fonctions centrales au sein du bureau central) sont bien intégrés au programme d’audit interne de
l’organisation ?
Ont-ils bien déjà été audités conformément à ce programme ? (Tous les sites doivent avoir été audités en audit interne avant l’audit de certification.)
Est-ce que l'organisation peut démontrer son aptitude à recueillir et à analyser les données (y compris mais sans s'y limiter les points listés ci-
dessous) émanant de tous les sites y compris des fonctions centrales :
- la documentation et les modifications du système ;
- la revue de direction ;
- les réclamations ;
- l'évaluation des mesures correctives ;
- la planification de l’audit interne, sa réalisation et l’évaluation des résultats obtenus;
- les changements pour les aspects et les impacts associés aux systèmes de management environnemental, les risques SST, les enjeux
énergétiques et ;
- les différentes exigences réglementaires ?
Est-ce que l'organisation peut démontrer son autorité et sa capacité à mettre en œuvre un changement organisationnel si nécessaire ?
Dans le cas d’activités particulières, l’OC se réserve le droit de ne pas accepter la mise en œuvre d’une certification multi-site par échantillonnage (site
SEVESO seuil haut, …)
4.2. Déroulement chronologique d’une certification dans le cadre d’une entreprise multi sites :
Réunion de clôture:
Le RA doit rappeler que l'audit a été fait par échantillonnage, sur quels sites il a porté et quelles sont les conclusions qu'il en tire pour le périmètre global.
Rédaction de Non conformités: préciser toujours le/les "sites concernés" par la NC. Une NC peut concerner éventuellement tous les sites d’un lot
échantillonné, le préciser dans ce cas.
Si des NC ont été identifiées sur un des lots audités, le RA doit rappeler que c'est à l'organisme de s'assurer et de vérifier que ces Non Conformités n'existent
pas sur les autres sites non échantillonnés du lot. Une analyse des causes doit être faite. Le plan d'actions correctives de l'entreprise doit porter sur tous les
sites du lot concerné et ne pas se limiter aux seuls sites audités. La vérification d'efficacité des actions correctives par le RA ne se limitera de toute façon pas
aux seuls sites échantillonnés mais dépendra de la portée réelle de chaque NC. De plus la certification ne peut être recommandée par le RA tant qu'une NC
majeure n'est pas soldée et pour une NC mineure tant qu’un plan d’action concernant tout le lot incriminé n’est accepté par le RA.
Synthèse des situations Environnementales / SST / Energie: rattacher les commentaires aux sites concernés.
Management Synthèse des forces et faiblesses: Les commentaires du RA se basent sur les échantillonnages mais portent sur les lots complets de sites, objet
de l'audit. Le RA doit donc bien à adopter ce langage dans forces et faiblesses afin que le management du client en comprenne le principe et la portée.
Conclusions générales: Les conclusions du RA portent sur l'ensemble du système et concerne l'ensemble des sites du périmètre même si n’ont été audité
qu'un nombre limité de sites. Il est rappelé ici qu'aucune certification ne peut être recommandée si une NC majeures subsiste sur un site quelconque et que
pour les NC mineures il existe des plans d’actions avec une portée étendue à tous les sites pouvant être concernés par cette NC.
Commentaire pour l'OC: Dans "Points à signaler pour le prochain audit", le RA doit informer le Chargé de Clientèle sur :
• la pertinence dans le choix et la sélection de sites échantillonnés par lot s’ils avaient été définis par le CDC,
• sur d'éventuels besoins d'extension ou de modification.
• Dans "échantillonnage à prévoir" il informera également le CDC sur les sites qui lui semblent pertinent de prévoir au prochain audit. Il peut faire un
copier-coller du tableau présenté dans la revue des documents et y ajouter les sites qu’il estime judicieux d’auditer au prochain audit. Si le
prochain audit est un renouvellement avec un nouveau RA, ces informations sont vitales et impératives afin d’assurer la pertinence et l’efficacité des
audits pour la prochaine équipe d’audit.
De la même façon des recommandations du RA pour des sites provisoires sont attendues.
4.4. Conclusions :
La réussite d'un audit efficace d'une entreprise multi sites faisant appel à l'échantillonnage est conditionnée par la conjugaison efficace d'actions des quatre
acteurs : le commercial, le Chargé de Clientèle, l’équipe d’audit et le client. Tous doivent comprendre d'une part le principe d'échantillonnage et d'autre part
contribuer à bien identifier les lots de sites à certifier et les échantillons de sites à auditer pertinents par lot.
Les conclusions d’audits peuvent alors être clairement extrapolées à l'ensemble des sites du périmètre à certifier.
En cas de détection de NC en cours d’audit les modalités de traitement sont alors comprises de tous, ce qui en garantit un traitement efficace.
Le rapport d’audit est avec le certificat l’un des produits majeurs fournis au client.
Le rapport doit apporter les éléments de démonstration de conformité nécessaires et suffisants ainsi que la
recommandation du RA pour que l’Instance de Décision prenne les décisions adéquates ; il doit donc être
complet, précis, concis, clair et conforme aux règles fixées par l’OC.
• Accréditation
Les accréditeurs auditent l’Organisme de Certification afin de déterminer dans quelle mesure ils satisfont aux
exigences reconnues internationalement (ISO/CEI 17021:2011 et directives IAF) et, en conséquence pour
décider du maintien des accréditations de l’OC. Tout rapport d’audit doit donc être conforme aux règles fixées
par l’OC, de ce fait conforme aux spécifications données dans ce guide et documents applicables aux
prestations des auditeurs travaillant pour leur compte.
Les autres audits tels que les audits de Surveillance et de renouvellement se caractérisent par un seul rapport
d’audit équivalent à l’audit d’Etape 2 ci-dessus.
• Le corps du rapport d’audit d’Etape 1 : l’utilisation du fichier a été décrite dans le § 3.3.2.
• En annexe : la revue préparatoire et le projet de plan d’audit (d’autres annexes spécifiques si nécessaire et
définies par le référentiel applicable)
• Pour des audits 50001 la synthèse des situations relatives au management de l’énergie doit être pré remplie
aux §1 et 2.3 et jointe au rapport d’étape 1. Cette annexe sera complétée lors de l’étape 2.
5.2.2. Composition d’un rapport d’audit (appelé d’Etape 2 si précédé d’un audit d’Etape 1)
• Le corps du rapport.
• Les constats de l’audit
• Les fiches de Non-Conformité : toutes les FNC de l’audit réalisé ainsi que celles à traiter issues des audits
précédents qu’elles soient levées ou non,
• La synthèse des situations E/SST/Énergie si ces référentiels sont applicables,
• Les synthèses de conformité de systèmes de management 9001 v2015 et/ou 14001 v2015 en cas
d’audit selon annexe 2 du guide.
• Le plan d’audit tel que réalisé.
• Le PV de réunion d’ouverture et de clôture
D’autres annexes peuvent se rajouter selon les référentiels applicables à l’audit. Les annexes sont toutes à lister.
Ce chapitre précise :
• Les objectifs et les modalités d’utilisation des éléments du rapport d’audit QSEÉ remplis conjointement entre
les auditeurs et le client.
NB : L’usage des fichiers exclusivement remplis par les auditeurs sont traités dans l’annexe 1.
Objectifs du fichier :
La revue préparatoire :
• Rappelle au client l’objectif de l’audit. Un nouvel espace est prévu afin de documenter un objectif
complémentaire et spécifique convenu dans le cadre de cet audit avec le client.
• rappelle les référentiels, les éditions et les types d'audits prévus par référentiel,
• cite le libellé prévu / ou actuellement encours de l’organisme à auditer,
• mentionne le ou les site(s) concernés par le périmètre à auditer. Pour des sites nombreux le RA peut faire
référence à un document annexé à la revue préparatoire,
• rappelle les points à auditer issus du dernier audit qui seront à revoir lors de l’audit à venir (problèmes
identifiés en Etape 1 ou nombre de PS et NC non soldés des audits précédents. Le RA peut faire un copier/coller
des constats de l’audit précédent afin d’en rappeler l’objet),
• mentionne l’existence éventuelle d’une plainte reçue par l’OC qui sera vérifiée dans le cadre de l’audit à venir,
• rappelle les documents (et versions) mis à disposition et analysés par le RA qui formeront le référentiel d'audit
avec les normes applicables à cet audit. Ceci englobe les conclusions du ou des derniers audits réalisés. Pour
les audits de SMÉ des informations plus précises sont requises, voir formulaire.
• formalise pour l’organisme Client les commentaires ou les problèmes constatés lors de l’analyse des
documents reçus par le RA,
• confirme ou non la faisabilité de l’audit sur site aux dates prévues.
• documente l’échantillonnage retenu par le RA qui doit être conforme à l’ordre de mission et défini en accord
avec l’entreprise. Le chapitre 4 de ce guide donne des précisions sur ce thème. Un tableau avec des exemples
est proposé à l’auditeur afin qu’il puisse renseigner les échantillonnages prévus et ceux déjà réalisés. Ceci
permet au client comme au décisionnaire de comprendre les principes adoptés et ainsi faciliter la lecture du
rapport. Pour des organisations travaillant en postes l’échantillonnage par poste est à préciser. L’échantillonnage
des processus (pilotage et application) peuvent également être suivis dans ce tableau
Le Plan d’audit :
• permet avant l’audit à l’organisme Client de connaître le déroulement détaillé prévu de son audit. Le Client peut
ainsi rechercher et vérifier la disponibilité des personnes adéquates afin de répondre aux points à auditer sans
les mobiliser pendant toute la durée de l’audit. Il lui permet aussi de mentionner les aspects logistiques prévus
(réservation de salles, billets ou transferts éventuels, accompagnateurs prévus, moyens logistiques…)
• D’établir un déroulé, une check-list et une répartition des rôles au sein de l’équipe d’audit et pour le client de
s’organiser afin qu’ils soient guidés lors de l’audit par le personnel adéquat.
• De façon générale, facilite la coordination des activités d’audit et fournit un planning diffusable au sein de
l’organisme audité.
• il permet également au RA après l’audit de documenter l’audit effectivement réalisé en y citant les horaires
réels, les personnes effectivement rencontrées, si utile de documenter des données et exemples d’audit, et
éventuels imprévus survenus en audit.
o « Constat factuel » reprise du constat déjà rempli par ailleurs. Si une fonction identifiée ou un
incident précis est cité ceci représente une preuve tangible et vérifiable amenant la NC qui suit. Un
client doit pouvoir retracer / retrouver le constat dans son organisation (la traçabilité de l’information
doit être donnée : noms, services, N° de dossier, N° de commande etc…)
o « Risque (client / produit / processus / système) » : Ce champ peut être renseigné après l’audit lors
du remplissage sur informatique de la FNC. Le RA doit rappeler au client les risques identifiés et
évalués liés à cette NC dans son environnement spécifique. Une NC majeure induit logiquement un
risque significatif, une NC mineure un risque moins important. Si l’auditeur n’arrive pas à identifier
ou à exprimer de risque il doit se poser la question sur le bien-fondé de cet écart et en revoir le
libellé ou le rattachement à l’exigence du référentiel d’audit.
o « Site(s) concerné(s) » : Le ou les sites sont ceux où cette NC a été constatée. Ce sera au client de
vérifier que d’autres sites ne sont pas également concernés par cette NC.
o « Date » : La date est celle de la réunion de clôture. C’est à ce moment où les FNC sont finalisées
et validées avec l’équipe d’audit au complet (et non la date d’identification de la NC).
o
o La FNC ainsi remplie en fin d’audit est remise sous forme de copie au client lors de la réunion de
clôture.
• dans « correction de la Non-conformité » le client indique ici les actions qu’il a mises en œuvre afin d’éliminer
sur le terrain la Non-conformité détectée (action curative immédiate, par exemple : blocage et décision de rebut
de la pièce vu que non réparable, information de l’opérateur de sa mauvaise interprétation du plan, reprise et
remplacement d’un produit défectueux...),
• dans « analyse des causes racine de la non-conformité » le client décrit les causes système ayant eu pour
conséquence l’apparition de cette NC,
• le client propose et documente une action corrective de son système sous « action corrective proposée » afin
d’éviter que l’erreur ne puisse se reproduire,
• définir « un responsable par action » au sein de son organisation ainsi qu’une « d’une date cible » réaliste et
acceptable de mise en œuvre pour chaque action identifiée. (Monsieur Méthode va réaliser cette action pour le
JJ.MM.AA, Madame Qualité va présenter la modification à la réunion qualité du …)
Il est important de rappeler qu'une NC ne peut pas être levée uniquement sur des preuves de traitement curatif
mais que le client doit mentionner les actions système qu’il a engagées.
Cas d’un traitement hors site : Le RA n’ayant pu lever l’ancienne FNC doit prendre contact avec le client
afin de lui expliquer et signifier la situation documentée sur la nouvelle FNC. Il lui demandera
téléphoniquement un engagement d’action défini avec une date cible qu’il reportera ainsi dans la nouvelle
FNC (échange de mails également possible). Le client devra alors engager les actions qui seront de ce fait
documentées dans le rapport définitif. Le délai de 7 jours calendaires pour clôturer le rapport n’est pas
allongé pour autant !
Cas du traitement sur site : Le RA ouvre une nouvelle FNC en reformulant les causes et le libellé de la
Non-conformité. Un client qui n’a pas réussi à traiter efficacement la NC précédente doit recevoir une
formulation revue et ciblée sur le problème subsistant dans son SM.
Des annexes techniques à ce guide contiennent des directives complémentaires pour des cas d’application
particuliers dans le cadre d’audit de systèmes de management :
• Annexe 1 du guide de l’audit de Systèmes de Management QSEÉ à l’attention des Auditeurs : directives
complémentaires à ce guide réservée aux auditeurs et aux instances de décision de l’OC du fait qu’elles
ne sont d’aucun intérêt pour les clients. Cette annexe contient principalement des règles sur le remplissage
des trames du rapport d’audit et de gestion de leur mission d’audit. (CERTI I 0419)
• Annexe 2 du Guide de l’audit à l’attention des Clients et des auditeurs : Cette annexe traite des modalités
de Transition ISO 9001/2015 et de l’ISO 14001/2015 pour des clients déjà certifiés ISO 9001/2008 et/ou
ISO 14001/2004
• Annexe au guide de l’audit QSEÉ – Guide d’audit AEROSPATIAL & DEFENSE selon EN 9100/9110/9120
- AQAP 2110/2120 (CERTI I 0704)
• Annexe au guide d’audit QSEÉ à l’attention des organismes clients : Systèmes de Management dans le
secteur Technologie de l’Information: ISO/IEC 20000-1, ISO/IEC 27001 (CERTI I 0583)
• Guide à l’attention des auditeurs et des organismes clients : Maintien de la certification en période de
transition (CERTI I 0709). Le demander au chargé de clientèle en cas de besoin.
NF EN ISO 17021-1 du 5 septembre 2015 : Évaluation de la conformité — Exigences pour les organismes
procédant à l'audit et à la certification des systèmes de management – Partie 1 Exigences
ISO 9000 15 Octobre 2015 : Systèmes de management de la qualité — Principes essentiels et vocabulaire
NF ISO 50003 du 14 Février 2015 : Systèmes de management de l’énergie – Exigences pour les Organismes
procédant à l’audit et à la certification de systèmes de management de l’énergie
Document d’exigences IAF MD 5 : 2015 : Détermination du temps d’audit des systèmes de management de la
qualité et des systèmes de management environnemental.
Ce Guide, élaboré par le Pôle Ingénierie et Audit du Département Innovation et Développement d’AFNOR
Certification avec la collaboration du groupe AFNOR, du Comité de Surveillance et d’Amélioration et d’Auditeurs
du groupe AFNOR, doit permettre à l’ensemble des parties intéressées de faire progresser nos organismes
Clients.
AFNOR Certification
11 rue Francis de Pressensé
F 93571 LA PLAINE SAINT-DENIS Cedex
leurs remarques, suggestions ou critiques. Il en sera tenu le plus grand compte dans les éditions ultérieures.