Les différents points de rapprochement CI & [3, 4, 7, 8, 13, 14]

POINTS CONT INT SMQ COMMENTAIRES

1- Maîtrise des risques  la conformité aux lois et  Identifier les enjeux Les interrogations sur les
règlements, internes et externes : la synergies entre ces deux systèmes
 l’application des législation, le marché, les de contrôle trouvent leurs origines
instructions et des brevets, les ressources dans les finalités respectives
orientations fixées par la naturelles… poursuivies. Le CI correspond aux
direction générale ou le  Identifier les parties dispositifs de maîtrise des risques
directoire, prenantes : Quels sont de non atteinte des objectifs
 le bon fonctionnement leurs besoins, leurs (conformité lois et règlements,
des processus internes de attentes ? Sont-ils des efficacité des processus internes,
la société, notamment éléments clés pour le fiabilité des informations
ceux concourant à la système qualité ? financières). Le SMQ, quant à lui,
sauvegarde des actifs, Enfin en 2015, la norme continue se préoccupe des dispositifs de
 la fiabilité des son chemin d'amélioration avec maîtrise des risques de non atteinte
une grande nouveauté de la satisfaction clients.
informations financières.
notamment : l'approche Dans le chapitre “6 –
risque/opportunité (Version Planification” la norme développe
2015). « De la compréhension de la notion de risques et
son écosystème, de l’analyse des opportunités, c’est un des gros
enjeux et risques et de sa capacité changements qui doit rendre la
mise en œuvre de la norme plus
à s’adapter, l’entreprise trouvera
“agile”. L’approche basée sur les
alors les solutions pour une risques doit être généralisée à
amélioration pertinente car tous les processus, toutes les
multifactorielle et tournée vers fonctions de l’entreprise, c’est
l’extérieur ». une approche pro-active.

Les actions préventives ont

 disparues dans l’ISO 9001:2015,
déterminer les risques et mais l’on retrouve des exigences
opportunités liés : comparables dans les actions à
mettre en place face aux risques.
 aux processus définis,
 à la conformité des Certaines démarches d’analyse
produits et des services, des risques peuvent être
conjointes aux deux démarches,
 à l’amélioration de la
telles que l’identification et la
satisfaction des clients.
cartographie des processus,
l’identification et la
2. Plan de gestion des risques
La nouvelle norme ISO 9001 oblige
hiérarchisation des risques
les entreprises à mettre en œuvre un spécifiques à chacun d’eux ou
plan de gestion des risques pour encore la définition des dispositifs
identifier, examiner et gérer les de maîtrise de ces risques.
risques inhérents à tout système,
processus ou fonction. La gestion du
risque était auparavant séparée du
système de gestion de la qualité,
mais le risque doit maintenant être
considéré à chaque étape du cycle
«Planifier, Réaliser, Vérifier, Agir»
(«Plan-Do-Check-Act»).

Le § 8.5.2 sur l’action corrective indique

que « l’organisme doit mener des actions
pour éliminer les causes de non-conformités
afin d’éviter qu’elles ne se reproduisent.
Les actions correctives doivent être
adaptées aux effets des non-conformités
rencontrées.
Une procédure documentée doit être
établie afin de définir les exigences pour :
[…]
c) évaluer le besoin d’entreprendre des

2- Approche processus Le CI contribue à la maîtrise des
activités de l’organisme, à
l’efficacité de ses opérations et à
l’utilisation efficiente de ses
ressources. Et de ce fait, il vise à
assurer le bon fonctionnement de
actions pour que les non-conformités
ne se reproduisent pas ;
d) déterminer et mettre en oeuvre les
actions nécessaires ;
e) enregistrer les résultats des actions
mises en oeuvre (voir 4.2.4) ;
f) procéder à la revue des actions
correctives mises en oeuvre. » .
1- Planification du SMQ
Les principales données d’entrée
pour la planification du SMQ
résulteront :
 Des enjeux et des
orientations stratégiques
définis dans le contexte de
l’entreprise,
 Des risques et des
opportunités qui
nécessitent d’être pris en
compte pour atteindre les
objectifs souhaités, et
prévenir des effets
indésirables.
Elle désigne l’application d’un Le bon fonctionnement des
système de processus au sein d’un processus exige que des normes
organisme ainsi que ou principes de fonctionnement
l’identification, les interactions et aient été établis et que des
le management de ces processus. indicateurs de performance et de
Cette approche souligne rentabilité aient été mis en place.
 l’ensemble des processus de l’importance de : Différents risques et
l’organisme avec une vigilance  comprendre et de dysfonctionnements peuvent
particulière pour les processus satisfaire les exigences, entraver le bon fonctionnement
 considérer les des processus et l’atteinte des
internes.
processus en termes de objectifs d’un organisme, pour y
valeur ajoutée, faire face il convient de mettre en
place des activités de contrôle
 mesurer la performance
et l’efficacité des Dans un Système de Management de la
processus, Qualité
recouvrant l’ensemble des parties intéressées,
les fonctions support, telles que la
améliorer en permanence les comptabilité,
la paie, l’informatique, sont prises en compte.
processus sur la base de mesures Sous cette hypothèse, les modes opératoires
objectives. et
les indicateurs du Système de Management
de
« On pense l’organisation en la Qualité sont d’excellents éléments pour
processus », ce flux d’actions et documenter les processus identifiés dans le
système de contrôle interne.
d’interactions doit être un levier
d’amélioration.

3- Maîtriser les informations et système documentaire :
les données
organigrammes, procédures
(documents définissant les façons
de faire), définitions de fonctions,
instructions de travail, documents
d’enregistrement des informations
Information et communication
13. L’organisation génère des
informations pertinentes et fiables
système documentaire :
organigrammes, procédures
(documents définissant les façons
de faire), définitions de fonctions,
instructions de travail, documents
d’enregistrement des informations
Concernant la documentation,
elle est plus flexible. La nouvelle
norme est moins prescriptive et
Le terme « Systèmes d’information » n’existe
ni
dans la norme ISO 9001, ni même au niveau
du
vocabulaire défini dans la norme ISO 9000.
Par contre, le terme « information » est
présent
dans plusieurs chapitres, tout comme le terme
« enregistrement ». L’existence
d’enregistrements
est une exigence forte de la norme ISO
9001.
Cette mention n’est pas suffisante, dans la
mesure où le cadre de référence est
particulièrement
exigeant en matière de continuité

nécessaires au bon
fonctionnement des autres
composantes du contrôle interne.
14. L’organisation communique
en interne les informations
nécessaires au bon
fonctionnement des autres
composantes du contrôle interne.
15. L’organisation communique
avec les tiers sur les points qui
affectent le fonctionnement des
autres composantes du contrôle
interne.
Les systèmes d’information
doivent être
adaptés aux objectifs
actuels de l’organisation
et conçus de façon à
pouvoir supporter ses
objectifs futurs.
plus axée sur les objectifs à
atteindre que sur la procédure à
suivre pour y parvenir.
En effet, l’édition 2015 n’impose
aucune procédure de
documentation particulière. Elle
laisse aux entreprises le soin
d’évaluer elles-mêmes la
documentation dont elles ont
besoin pour le processus de
gestion en prenant en
considération les exigences de la
clientèle et leur propre cadre
réglementaire. Ainsi, les 6
procédures obligatoires de la
version 2008 ne figurent plus dans
la version 2015.
d’exécution,
de sécurité d’accès, de gestion des
habilitations en lien avec la délégation de
pouvoir (cf. sous composante «
responsabilités
et pouvoir clairement définis », p. 18).
Par conséquent, le Système de Management
de
la Qualité répond à l’exigence
complémentaire
à condition que les « enregistrements » que la
Norme ISO 9001 nécessite, soient supportés
par
des systèmes d’information conçus en tenant
compte des objectifs de l’organisation. Ces
systèmes devront être documentés, protégés
efficacement (sécurité logistique et physique,
gestion des habilitations) et, avoir une
continuité
d’exploitation assurée au moyen de
procédures de secours.

Les
systèmes informatiques
sur lesquels s’appuient
les systèmes d’information
doivent être protégés
efficacement tant au
niveau de leur sécurité
physique que logique
afin d’assurer la conservation
des informations
stockées. Leur continuité
d’exploitation doit être
 assurée au moyen de
procédures de secours.
Les informations relatives
aux analyses, à la
programmation et à
l’exécution des traitements
doivent faire l’objet
d’une documentation.
»

4- Mettre en place une La mise en œuvre d’un dispositif
organisation et un fonctionnement de CI doit reposer sur :
efficaces de l’organisme une organisation appropriée
qui fournit le cadre dans lequel les
activités nécessaires à la
réalisation des objectifs sont
planifiées, exécutées, suivies et
contrôlées,
des responsabilités et pouvoirs
clairement définis et accordés aux
personnes appropriées en fonction
des objectifs de l’organisme.
- Le contrôle interne est un
processus : c’est un moyen, pas
une fin ; il ne se cantonne pas à un
recueil de procédures mais
nécessite l’implication de tous à
chaque niveau de l’organisation.
- Le contrôle interne doit procurer
l’assurance raisonnable (mais non
absolue) d’un management et
L’organisation induite par le
management de la qualité résulte
essentiellement de la mise en
œuvre d’une approche processus.
C’est dans le cadre de cette
approche que sont maîtrisées les
interfaces qu’elles soient internes
ou externes. C’est aussi au travers
de la description détaillée des
processus que sont définies les
fonctions et les responsabilités.
Il est indispensable de définir une
structure permettant de s’assurer
de l’efficacité des processus dans
leur ensemble
L’approche processus conduit à
une révision de l’organisation et à
une nouvelle répartition des
fonctions entre les managers des
équipes métiers et les pilotes des
processus. L’organisation
matricielle (= une organisation
horizontale, celle des processus, et
une organisation verticale, celle
des métiers) est alors la plus
adaptée aux deux démarches.
 d’une direction respectueuse des
lois.
- Le contrôle interne est adapté à
la réalisation effective des
objectifs.
5- Leadership et personnel Dans le registre du CI, on est dans
la maîtrise de tous les aspects de
l’activité, le respect d’un certain
nombre de fondamentaux. Mais le
CI est encore subi.
Avec la qualité on bascule dans le La réussite de la mise en place du
registre du positif : celui du choisi CI ou de la Qualité repose sur
; elle permet une véritable deux éléments fondamentaux :
l’engagement de la direction
alchimie du CI, notamment par la
d’une part, et de l’implication et
subsidiarité, l’adhésion, de la motivation de l’ensemble du
l’engagement à la vision, aux personnel d’autre part.
objectifs et cette volonté forte La direction générale doit être
d’optimiser, de façon continue, la convaincue de l’impérative
création de valeur ajoutée. nécessité d’instaurer le contrôle
dans son organisation, elle est
Responsabilité de la direction l’élément moteur de la mise en
œuvre des démarches.
La version 2015 fait disparaitre
L’ensemble du personnel
l’exigence sur le représentant de constitue l’autre force majeure,
la direction, renforçant ainsi tant au niveau de la mise en place
l’implication de la direction dans des systèmes que de leur suivi.
la démarche qualité. La direction Dans les deux cas la réussite des
endosse ainsi le rôle de moteur démarches dépend de
de la démarche qualité. La l’implication du personnel
notamment dans la construction
direction devra démontrer son
initiale du système
engagement concernant : organisationnel.
 l’efficacité du SMQ, Des campagnes d’information
 la compatibilité entre les accompagnent la mise en place du
 orientations stratégiques
et la politique qualité,
 la communication du
SMQ,
 l’amélioration continue,
contrôle interne ou de la qualité.
Ne pourrait-on pas les optimiser
en délivrant un message commun
sur l’importance de la maîtrise du
risque, quel que soit le domaine
concerné ?

 l’orientation client.

Tout d’abord, concernant

les ressources, les évolutions
suivantes sont observées :
 les ressources humaines :
l’évaluation de l’efficacité
des formations suivies ne
sera plus exigée, mais il
faudra s’assurer que les
personnes répondent aux
compétences nécessaires,

6- Management des D’un point de vue CI, la politique
compétences des RH doit permettre de recruter
des personnes possédant les
connaissances et les compétences
nécessaires à l’exercice de leur
responsabilité et à l’atteinte des
D’un point de vue qualité, la
gestion des RH et tout
particulièrement des compétences
contribue fortement à la création
de valeur. Grâce à la maîtrise des
compétences on va chercher à
Manager les compétences c’est se
donner les moyens de disposer, en
un lieu donné et au bon moment,
du personnel ayant les meilleurs
compétences possibles pour
répondre aux besoins d’un client
 objectifs actuels et futurs de
l’organisation.
7- Champ Pour le contrôle interne ou de
qualité, les champs couverts
concernent toute l’organisation.
faire plus et mieux avec moins de
ressources
la gestion des
connaissances comme capital
immatériel de l’entreprise : elle
exigera de déterminer les
connaissances nécessaires au
processus et à l’obtention de la
conformité des produits et des
services. Il sera demandé de
définir les connaissances actuelles
et la méthode pour acquérir les
compétences supplémentaires.
Pour une organisation certifiée
dans sa globalité, le domaine «
financier » (comptabilité,
juridique, contrôle de gestion…)
échappe généralement au
périmètre de certification.
Détermination du domaine
et contribuer à l’efficacité
collective de l’organisme.
L’efficacité de l’organisation
repose sur l’adéquation entre ses
besoins en compétences et les
compétences dont elle dispose. Il
ne suffit pas d’avoir un personnel
compétent, encore faut-il que ce
personnel soit placé dans des
conditions favorables à l’exercice
de cette compétence.
L’analyse des processus consiste à
s’assurer que l’on dispose des
compétences appropriées pour
effectuer chaque tâche. L’analyse
des interfaces contribue à mieux
définir les compétences
nécessaires à la réalisation des
activités concernées.
 d'application du système de
management de la qualité
Le domaine d'application doit être
disponible et tenu à jour sous
la forme d'une information documentée
(Site Web, plaquette,
manuel qualité) indiquant :
u les produits et services couverts par
le système de management de la
qualité ;
u une justification pour tout cas où une
exigence de la présente Norme
internationale ne peut pas être appliquée.

8- Normes toutes les organisations s’inspirent D’une part le système qualité doit Il y a donc une même nécessité de
des référentiels COSO en matière se conformer à un cadre normatif rigueur et de respect de
de CI très strict (par exemple l’ISO référentiels normatifs
9001).