Introduction
Le Système de Management Intégré désigne l’intégration des systèmes QSE. Il regroupe le management de la qualité, de l’environnement et de la santé et sécurité au travail, en s’appuyant respectivement sur les normes ISO 9001, 14001 et ISO 45001 ( OHSAS 18001).
Il peut aussi intégrer d’autre systèmes de management tels de l’énergie (ISO 50001) et la lutte de contre la corruption (ISO 37001 YSTÈMES DE MANAGEMENT ANTI-CORRUPTION).
Les nouvelles approches prend en compte les évolutions suivantes :
- intégration des directives relatives au management de l’Energie en complément du Management QSE, d’où l’appellation QSEÉ.
- rajout de précisions suite à des retours faits dans le cadre d’une enquête satisfaction réalisée.
Termes, définitions
En complément des définitions données dans l’Article 3 de l’ISO 17021, les définitions et les abréviations cidessous s’appliquent.
Les commentaires donnés sont soit des règles d’application, soit des précisions. Il est indispensable de comprendre et d’utiliser ces commentaires.
Afin de vous familiariser avec les terminologies anglaises et des termes techniques utilisés en certification de systèmes à l’international, vous trouverez dans ce qui suit le terme équivalent en anglais entre parenthèses en complément de sa définition.
L’ISO/IEC 17021-1:2015 spécifie les principes et les exigences relatifs à la compétence, à la cohérence et à l’impartialité des organismes procédant à l’audit et à la certification de tous les types de systèmes de management.
Les organismes de certification conformes à l’ISO/IEC 17021-1:2015 ne sont pas tenus de proposer tous les types de certification de système de management.
La certification de systèmes de management est une activité d’évaluation de la conformité par tierce partie et les organismes exerçant cette activité sont par conséquent des organismes d’évaluation de la conformité par tierce partie (source https://www.iso.org/fr/standard/61651.html ).
Termes relatifs aux constats d’audit
Non-Conformité majeure (Major Nonconformity) | Non-satisfaction d’une exigence du référentiel touchant l’organisation, l’application ou la formalisation du Système de Management et entraînant un risque avéré de non-respect, récurrent ou unique en cas de risque très important, d’une exigence spécifiée. (Abréviation NC Maj) Non-satisfaction d’une exigence mettant en cause l’efficacité ou l’amélioration du Système de Management. Commentaire : Une certification ne peut être délivrée, maintenue ou renouvelée tant qu’il reste une Non conformité majeure non levée. Selon le Système de Management, les risques à prendre en compte concernent des parties intéressées différentes : – en qualité, il s’agira essentiellement des Clients mais aussi des parties intéressées pertinentes (V2015). -en santé et en sécurité au travail, il s’agira du personnel, des visiteurs, intérimaires. -en environnement, il s’agira des parties intéressées au sens large. Dans le cadre d’un audit 50001, les constats suivants peuvent être classés en tant que NC Majeures dans les situations suivantes : — preuves d’audit que l’amélioration de la performance énergétique n’a pas été réalisée; — doute significatif quant à la présence d’un contrôle efficace de processus; — un certain nombre de non-conformités mineures portant sur les mêmes exigences ou un problème pouvant démontrer une défaillance systémique et ainsi constituer une non-conformité majeure. |
Non-Conformité mineure (minor Nonconformity) | Non-satisfaction d’une exigence du référentiel touchant l’organisation, l’application ou la formalisation du Système de Management, et n’entraînant pas de risque important de non-respect d’une exigence spécifiée. Non-satisfaction d’une exigence ne compromettant pas l’efficacité ou l’amélioration du Système de Management. (Abréviation NC min) Commentaire : Une certification peut, sur recommandation du RA (Responsable d’Audit), être délivrée, maintenue ou renouvelée en présence de Non-conformités mineures non levées. Un ensemble de Non-conformités mineures non levées peut être éventuellement considéré par l’Instance de Décision comme constituant globalement une Non-conformité majeure. |
Non-conformité reconduite (Maintenance of a Nonconformity) | Non-conformité majeure ou Non-conformité mineure émise lors de l’audit précédent, non levée et reformulée en une nouvelle Non-conformité Majeure ou Non-conformité mineure. Commentaire : Une NC reconduite implique : – la clôture de la fiche de NC établie lors de l’audit précédent. – l’établissement d’une nouvelle fiche de NC. Le classement de la Non-conformité Majeure ou de la Non-conformité mineure est indépendante du classement de la NC précédente qui a été ainsi reconduite et reformulée. |
Point Sensible (Area of Concern) | Elément du Système de Management sur lequel des preuves d’audit montrent que l’organisme, actuellement conforme, risque de ne plus atteindre les exigences du référentiel à court ou moyen terme. Commentaire : – le risque associé au PS ( Point Sensible (« Area of Concern » ou « AOC » en anglais )) ou la non prise en compte d’un point sensible doit être expliqué à l’Audité. – un Point Sensible étant un constat particulier de conformité par rapport au référentiel d’audit : o son libellé ne doit pas prêter à confusion et le classement en PS doit être étayé par un constat du RA (Responsable d’Audit). o l’Instance de Décision ne peut pas requalifier le PS en NC Majeure ou NC mineure. – un point sensible doit être réexaminé à l’audit suivant. |
Piste de Progrès (Opportunity for Improvement) | Voie identifiée sur laquelle l’organisme peut progresser. Commentaire : Une Piste de Progrès donne à l’organisme Client la possibilité : – soit de dépasser les exigences du référentiel d’audit pour un élément de son Système de Management. – soit d’améliorer la performance d’un élément de son Système de Management sans toutefois dépasser les exigences du référentiel d’audit. – le client n’a pas à se justifier de la prise en compte ou non d’une Piste de Progrès. ( Pas de contrainte d’action ) |
Point Fort (Strong Point) | Elément du Système de Management sur lequel l’organisme soit dépasse les exigences du référentiel d’audit, soit se distingue par une pratique, méthode ou technique performante. Commentaire : Un Point Fort est donc : – soit un élément qui dépasse les exigences du référentiel d’audit. – soit un élément qui ne dépasse pas les exigences du référentiel d’audit, mais sur lequel l’organisme Client a démontré une pratique exemplaire et une efficacité remarquable La formulation d’un Point Fort doit être étayée. |
Note (Note) | Constat de conformité par rapport au référentiel d’audit. Commentaire : Une note est utilisée pour : – démontrer en premier lieu la conformité à un critère audité, – répondre aux « points spécifiques à auditer » (cf. Revue préparatoire), – préciser une spécificité notable du Système de Management, – garder trace d’un constat effectué lors de l’audit et documenté dans le rapport sans qualificatif particulier. – Les Notes complètent tous les autres constats faits par ailleurs sous forme de PF Point Fort (« Strong Point » ou « SP » en anglais), PP Piste de Progrès (« Opportunity for Improvement » ou « OFI » en anglais), PS Point Sensible (« Area of Concern » ou « AOC » en anglais), NC min et NC maj. |
Termes relatifs aux audits de systèmes de management
Accès à distance | Dans le cadre d’un audit, l’accès à distance à des données, à des personnes via des moyens électroniques tel que la « Visio-conférence », ou d’autres moyens, permet parfois d’échantillonner des données tout en limitant les temps et coûts de déplacement. (Dans le cadre de l’audit d’un site virtuel les mêmes principes s’appliquent). Ces modalités d’audit peuvent être proposées au client par le RA Responsable d’Audit (« Lead Auditor » ou « LA » en anglais) et inversement. Si ces moyens sont retenus par l’organisme, les accès et moyens nécessaires seront dans ces cas planifiés avec le RA et à détailler précisément au plan d’audit (par exemple : salle, heures, participants, codes de connexions, pré requis etc…). Les résultats d’audit ainsi obtenus peuvent être considérés comme un échantillonnage d’un site distant. |
Audit combiné (Combined Audit) | Audit où plusieurs Systèmes de Management (SMQ Système de Management Qualité (ISO 9001:2008/2015) (« QMS » ou « Quality Management System » en anglais), SMS Système de Management de la Santé et de la Sécurité au Travail (OHSAS 18001:2007, ILO-OSH 2001) (« OHSMS » ou « Occupational Health and Safety Management System » en anglais), SME Système de Management Environnemental (ISO 4001:2004/2015) (« EMS » ou « Environmental Management System » en anglais)) sont audités ensemble. Commentaire : L’audit combiné n’est réalisable qu’avec des Systèmes de Management présentant un minimum d’intégration. |
Audit complet (Complete Audit) | Audit où toutes les exigences du référentiel d’audit sont auditées. |
Audit d’Etape 1 (Stage 1 Audit) | L’audit d’Etape 1 est une préparation approfondie réalisée généralement sur site par le RA. L’ordre de Mission transmis au RA précise l’accord pris avec le client. L’audit d’Etape 1 est obligatoire dans le cadre d’une certification initiale. Il est également obligatoire dans le cas d’entreprise ayant connu des changements importants (fusion, extension…). Cet audit est documenté par le RA dans un rapport spécifique composé de deux documents – le « rapport d’audit d’Etape 1 » (Stage 1 Audit) avec en annexe – la « revue préparatoire et projet de plan d’audit ». |
Audit d’Etape 2 ou Audit (Stage 2 Audit or System Audit) | Quelle que soit la terminologie utilisée, cet audit est l’audit système réalisé par l’équipe d’audit complète selon le plan d’audit établi et validé avec le client. |
Audits de Surveillance (Surveillance Audit) | Les activités de surveillance selon l’ISO 17021, sont définies au travers des Ordres de Mission adressé à l’équipe d’audit. Les audits de surveillance, appelés précédemment « audits de suivi », au sein d’AFNOR Certification sont une des composantes des activités de surveillance. (Surveillance audit or Follow up audit) |
Audit mono-Système (Mono system Audit) | Audit où un seul Système de Management (SMQ, SMS, SME) est audité. |
Audit partiel (Partial Audit) | Audit où seulement une partie des exigences du référentiel d’audit est auditée. |
CAAT (Computer Assisted Auditing Techniques) | C’est à dire techniques d’audits assistés par Ordinateur. L’ISO 17021:2011 et le document IAF MD 4:2008 autorisent l’emploi de solutions techniques telles que la conférence téléphonique, la visioconférence, l’accès à distance via WEB à des sites virtuels / des processus / des documents du système de management et leur emploi dans des audits de système de management sous réserve que leur utilisation ne dépasse pas 30% du temps d’audit sur site. Un site distant ou un site virtuel audité avec ces techniques peut être validé par le RA comme faisant partie de l’échantillonnage. C’est au RA de vérifier et de déclarer que les moyens d’investigation retenus en concertation avec le client sont adéquats. |
Champ de l’audit Périmètre de l’audit (Audit Scope) | Etendue et limites d’un audit (cf. périmètre de l’audit selon § 9.1.2.2.3 ISO 17021 :2011). (« Audit scope ») Commentaire : AFNOR Certification utilise deux termes pour désigner l’étendue et les limites d’un audit : – Le « périmètre » pour les lieux et unités organisationnelles (liste et adresse des sites). – Le « champ » pour les processus et les activités. (Libellé de la certification) – Il n’est fait usage que de périmètre d’audit dans ce guide. |
Conseil (Advice) | Contribution à l’élaboration, à la mise en œuvre ou à l’entretien d’un Système de Management. |
Constats (Audit finding) | Preuves d’audit (« audit evidence or audit issue ») Dans les constats sont enregistrés les preuves d’audit et l’exigence associée du référentiel. Ceci permet au client de faire le lien avec le dossier, projet ou exemple pris lors de l’audit et ainsi de pouvoir mieux faire le lien avec la conclusion qui en est tirée |
Contrat d’application de prestations d’audit (Certification contract) | Contrat signé par l’auditeur avec l’organisme de Certification définissant les modalités de prestation de service. |
Code de Conduite (Code of conduct) | Ce document définissant les règles de confidentialité et la prévention des risques de conflits d’intérêt est signé par tous les auditeurs. |
Cycle d’audit (Audit cycle / Audit programme) | Ensemble d’audits du Système de Management d’un organisme, réalisé par le même Responsable d’Audit en général sur un contrat de durée déterminée en générale 3 ans. Commentaire : Un cycle d’audit est en effet calé sur le cycle suivi par le même Responsable d’Audit qui, sauf exceptions, est de trois ans (un audit initial ou de renouvellement pour la première année, un audit de surveillance 1 pour la deuxième année et un audit de surveillance 2 pour la troisième année). (ceci correspond au Programme d’audit selon ISO 17021) |
Experts techniques | Les connaissances et le savoir-faire des auditeurs peuvent être éventuellement complétés par des experts techniques, traducteurs ou interprètes. Ils opéreront alors tous sous la direction d’un auditeur, seront cités au plan d’audit et sont soumis aux mêmes règles de confidentialité. Ces experts ne modifient pas la durée de l’audit et ne sont que des aides pour les auditeurs. Ils peuvent intervenir dans toutes les phases de l’audit, depuis la préparation jusqu’à l’aide à la rédaction du rapport. |
Guide (accompagnateur) | Un guide est une personne nommée par le client afin d’assister les auditeurs pendant leur audit et de les guider au sein de l’organisme audité dans les différents services précisés au plan d’audit vu qu’un auditeur n’est pas censé circuler sans accompagnateur chez un client. Le client à libre choix pour choisir cet accompagnateur. |
Guide SI (IT Guide) | Guide ou document assimilé, à l’attention des auditeurs, spécifique par région et mis à disposition par l’OC (Organisme de Certification). Il décrit les solutions et règles liée aux applications informatiques en place nationalement que les auditeurs doivent connaître. Les auditeurs peuvent contacter l’OC ou CDC (Chargé de Clientèle) afin d’y avoir accès. |
Instance de Décision (Decision Making Body) | C’est une personne qualifiée par l’OC qui prend la décision suite à chaque audit. Il peut en cas de besoin faire appel au Groupe d’Evaluation et de Décision (GED) : ce sont des experts externes ou internes de l’organisme de certification, qualifiés par l’OC, qui peuvent donner un avis avant la prise de décision. |
Observateur | Est une personne qui accompagne un auditeur mais qui n’intervient pas en audit. |
Organisme Client (Client organisation / Auditee) | Audité. Commentaire : les termes « organisme Client », « Client » et « Audité » sont synonymes. |
Programme d’échantillonnage (Sampling Programme) | Un programme d’échantillonnage se base sur un ou plusieurs lot(s) identifié(s) de même activité se déroulant sur un ou plusieurs site(s). Ces lots doivent être homogènes du point de vue « système et maturité de management » ce dont le responsable d’audit s’assure dans la phase préparatoire ou lors de l’audit d’Etape 1. Pour ce faire, il peut s’appuyer sur l’analyse de la documentation (SM unique), sur les comptes rendus d’audits internes (l’ensemble du lot est évalué) et sur les performances mesurées via les revues de direction. Par exemple, une entreprise qui a 20 agences qui ont la même activité, va démontrer, à l’aide des résultats d’audits internes et des données de sa revue de direction, que ses 20 agences ont une maturité système similaire et des performances comparables. De ce fait, ces agences forment un lot homogène sur lequel les auditeurs peuvent échantillonner leurs audits. Par exemple : 5 agences seront auditées en audit initial sur les 20 agences que comporte le lot d’agences. En cas de Non-conformité détectée au cours de l’audit sur l’une des agences, la représentativité et l’homogénéité de l’échantillon défini peuvent être remises en cause par le RA. Ceci fait que le RA devra vérifier si la NC ne concerne pas éventuellement d’autres agences sur l’ensemble du lot (les 20 agences de cet exemple). Le RA devra s’assurer ensuite de la résolution de cette NC sur tous les sites concernés du lot, et pas seulement sur les seuls sites audités. Il devra faire la démonstration du résultat positif de cette vérification également sur chacun de ces sites. |
Référentiel d’audit (Audit reference criteria / audit criteria) | Critères d’audit. Commentaire : Le référentiel d’audit est le référentiel de l’Audité (ensemble de politiques, procédures ou exigences déterminés = son système de management documenté) et une ou plusieurs des Normes internationales par exemple ISO 9001 + ISO 45001( OHSAS 18001) + ISO 14001 + ISO 50001 associé à la version contractuelle. Le terme de « Référentiel d’audit » ne doit pas être confondu avec le terme « Norme » ou le contenu d’une Norme qui serait réducteur. Les constats d’audits sont exprimés par rapport au « référentiel d’audit » et donc ne se limitent pas à la norme applicable. |
Responsable d’audit (RA) | C’est un auditeur qui a démontré qu’il a la capacité de conduire un audit et de restituer ses conclusions dans la cadre d’un rapport d’audit en autonomie. Il peut intervenir seul ou diriger une équipe d’auditeurs. Dans ce dernier cas il aura comme responsabilité de responsable d’équipe d’audit tel que défini ci-après. |
Responsable d’équipe d’audit (REA) (Audit team leader) | Le responsable d’équipe d’audit est la personne qui dirige l’équipe d’audit. Ses compétences répondent aux critères suivants : • c’est a minima un RA, sur au moins un des référentiels de la mission, • c’est normalement le RA du référentiel critique ou le plus sensible du client (si cette notion existe), • c’est un RA confirmé, habitué aux audits de groupes réalisés avec plusieurs auditeurs, • il a une capacité de synthèse et d’autorité auprès des autres auditeurs de l’équipe. Il doit veiller à aboutir à une conclusion d’audit claire et défendue par son équipe d’audit auprès du client pour la globalité de la mission, • il parle si possible la langue du siège de la société afin de présenter facilement les conclusions d’audit à la direction. Si un REA a été nommé dans le cadre d’un audit, considérez que toutes les mentions faites avec le titre de RA dans ce guide sont applicables au REA |
Situation énergétique de référence (SER) | C’est une référence quantifiée servant de base pour la comparaison de performance énergétiques. Elle reflète une période donnée. Elle peut être normalisée à l’aide de facteurs affectant l’usage et/ou la consommation énergétique, tel que le niveau de production, de degrés-jour (température extérieure), etc. Elle peut être utilisée pour calculer les économies d’énergie, à titre de référence, avant et après mise en œuvre d’actions visant à améliorer la performance énergétique. (ISO 50006 v2014) |
Très Petite Entreprise (Very Small Company) | Organisme n’appartenant pas à un groupe et d’un effectif total inférieur à 20 personnes Commentaire : Il n’y a plus de guide d‘audit spécifique TPE ni de trames de rapport spécifiques pour les TPE. |
Besoin d’aide pour votre projet d’audit ISO 9001, 14001 et ISO 45001 ? Contactez-nous, par mail, par téléphone ou prenez rendez-vous ! : page d’accueil pour plus d’informations