Comment faire un audit interne qualité selon L’ISO 9001:2015 ?

l’Audit interne : Cette principale clé pour la réussite de sa certification ISO 9001:2015 ouvre la porte des méthodes d’évaluation du système de management de la qualité. En effet, avoir un SMQ bien construit, très complet et bien documenté est une condition nécessaire mais pas suffisante pour la réussite de la certification.

Il faut apporter la preuve, tout d’abord, que le SMQ est en place et utilisé de façon opérationnelle et, qu’ensuite, il continue à fonctionner sans déviation et s’améliore de manière permanente.

Qu’est-ce qu’un audit qualité interne ?

Définition de l’audit interne

L’ISO 9000:2015 donne quelques précisions importantes sur la notion d’audit, notamment au travers des deux dernières notes suivantes qui complètent l’article 3.13.1 comme suit :

« Audit : processus méthodique, indépendant et documenté, permettant d’obtenir des preuves objectives et de les évaluer de manière objective pour déterminer dans quelle mesure les critères d’audit sont satisfaits. »

Note 2 : « Un audit peut être interne (de première partie) ou externe (de seconde ou tierce partie), et il peut être un audit combiné ou un audit conjoint. »

Note 3 : « Les audits internes, parfois appelés audits de première partie, sont réalisés par, ou pour le compte de l’organisme lui-même, pour la revue de direction et d’autres besoins internes. Ils peuvent servir de base à la déclaration de conformité de l’organisme. L’indépendance peut être démontrée par l’absence de responsabilité vis-à-vis de l’activité à auditer. »

Test de connaissance avec corrigé norme iso 9001 version 2015 PDF

Un auditeur certifié est-il « nécessaire » pour effectuer un audit ISO ou l’entreprise peut-elle effectuer elle-même l’audit ISO ? Autrement dit : Qui fait l’audit interne ?

Vous n’avez pas besoin d’un « auditeur certifié » pour entreprendre des audits qualité internes de votre système de management et de ses processus.

Les auditeurs certifiés travaillent normalement pour des organismes d’accréditation tiers externes, qui réaliseront l’audit de certification, c’est-à-dire qu’ils évalueront le système de management de votre entreprise par rapport aux exigences de l’ISO 9001 et vous fourniront un certificat de conformité. Ils réaliseront également des audits de surveillance pour s’assurer que votre certification est maintenue. Ils ne seront pas impliqués dans les opérations quotidiennes d’audit interne.

Alors qui est habilité à faire un audit interne qualité de la norme iso 9001:2015 ?

Des auditeurs interne : les auditeurs internes peuvent être des personnes de votre organisation qui possèdent les compétences et l’impartialité nécessaires pour entreprendre des audits internes afin d’assurer le fonctionnement efficace des processus de votre organisation. Les auditeurs internes rendent souvent compte au responsable de la qualité.

Si l’organisme ne possède pas un auditeur interne de qualité elle peut engagé un bureau d’étude certifié pour démarche de certification.

Des audits, pour quoi faire ?

Le dictionnaire Le Robert (Le Robert pour tous, édition 1994) est très restrictif dans sa définition, puisque qu’il limite l’audit à une « procédure de contrôle de la comptabilité et de la gestion d’une entreprise ».

De son côté, l’ISO 9000:2015 (§ 3.13.1) en donne la définition suivante : « Processus méthodique, indépendant et documenté permettant d’obtenir des preuves objectives (données démontrant l’existence ou la véracité de quelque chose) et de les évaluer de manière objective pour déterminer dans quelle mesure les critères d’audit (ensemble de politiques, procédures ou exigences utilisées comme référence vis-à-vis de laquelle les preuves objectives sont comparées) sont satisfaits. » En fait, l’audit qualité doit être débarrassé de la connotation « punitive » attachée à la notion d’audit. Trop souvent, le terme audit évoque l’idée que les choses vont mal et que son objectif est de trouver le coupable qui, ensuite, sera puni.

À l’opposé de l’audit sanction, l’audit qualité est un outil de suivi qui va permettre à l’entreprise de maintenir dans la bonne direction son système de management de la qualité et l’utilisation qui en est faite. C’est un outil de pilotage de la qualité et un outil d’amélioration. En matière de qualité, il existe trois catégories d’audit :

1. L’audit qualité, qualifié d’interne lorsqu’il est commandé et exécuté par l’entreprise elle-même. C’est un mécanisme de type auto-évaluation. On l’appelle parfois audit de « première partie ».
2. L’audit de certification, exécuté par l’organisme de certification accrédité par le COFRAC (ou par l’auditeur certifié qu’elle missionne). On qualifie parfois cet audit de « tierce partie ».
3. La troisième catégorie d’audits, dits de « seconde partie », est, par exemple, des audits pratiqués par un client qui souhaite savoir comment les choses sont traitées chez ses fournisseurs.

La finalité de l’audit consiste à vérifier la conformité (ou la non-conformité) d’un échantillon représentatif par rapport à un référentiel défini. L’audit pur ne fait que des constatations (preuves) et non pas de recommandations.

Comment faire un audit interne selon iso 9001 ? Les mécanismes de l’audit

Les principes de fonctionnement de l’audit interne sont clairement définis dans la NF EN ISO 9001:2015.

Quelles sont les exigences de la norme iso 9001 version 2015 relative à l’audit interne ?

† Audit interne (§ 9.2.1) L’organisme doit réaliser des audits internes à des intervalles planifiés pour fournir des informations permettant de déterminer si le SMQ est conforme, efficacement mis en œuvre et tenu à jour.

La conformité du SMQ est à établir par rapport :

• aux exigences de la norme internationale ;
• aux exigences propres à l’organisme.

9.2.1 L’organisme doit réaliser des audits internes à des intervalles planifiés pour fournir des
informations permettant de déterminer si le système de management de la qualité:
a) est conforme aux
1) propres exigences de l’organisme concernant son système de management de la qualité, et
2) exigences de la présente Norme internationale;
b) est mis en œuvre de manière efficace et tenu à jour.

La planification d’audit

9.2.2 L’organisme doit:
a) planifier, établir, mettre en œuvre et maintenir un ou des programmes d’audit, couvrant notamment
la fréquence, les méthodes, les responsabilités, les exigences de planification et le compte rendu.
Le ou les programmes d’audit doivent tenir compte de l’importance des processus concernés, des
modifications ayant une incidence sur l’organisme et des résultats des audits précédents;
b) définir les critères d’audit et le périmètre de chaque audit;
c) sélectionner des auditeurs et réaliser des audits pour assurer l’objectivité et l’impartialité du
processus d’audit;
d) veiller à ce que les résultats des audits soient rapportés à la direction concernée;
e) entreprendre sans délai indu la correction et les actions correctives appropriées; et

f) conserver des informations documentées comme preuves de la mise en œuvre du programme
d’audit et des résultats d’audit.
NOTE Voir l’ISO 19011 pour les lignes directrices

La réalisation des audits internes ne doit pas être faite au hasard.

Audit interne (§ 9.2.2) L’organisme doit planifier, établir, mettre en œuvre et maintenir un ou des programmes d’audit, couvrant notamment la fréquence, les méthodes, les responsabilités, les exigences de planification et le compte rendu [des résultats] […].

De plus, l’organisme doit :

• définir des critères d’audit ;
• définir le périmètre de chaque audit ;
• sélectionner des auditeurs ;
• assurer l’objectivité et l’impartialité du processus d’audit ;
• s’assurer que les résultats des audits sont communiqués à la direction concernée ;
• entreprendre, sans délai indu, la correction et les actions correctives ;
• conserver des informations documentées comme preuves des résultats d’audit.

Les critères d’audit

D’après l’ISO 9000:2015 (§ 3.13.7), les critères d’audit sont un « ensemble de politiques, procédures ou exigences utilisées comme référence vis-à-vis de laquelle les preuves objectives sont comparées ». Le référentiel des audits internes sera donc constitué des normes internationales ISO et du référentiel de l’entreprise (manuel qualité, processus, procédures, documents).

Le rôle de l’auditeur

La mission de l’auditeur (quel qu’il soit) est :

• de disposer d’un ensemble de pièces constituant le référentiel ;
• d’observer une entité organisationnelle ou une activité ;
• d’interviewer les acteurs ;
• de vérifier que ce qu’il observe est conforme au référentiel ;
• de consigner la ou les non-conformités observées en cas d’écart ;
• de dresser un rapport de ce qu’il a pu observer.

Une règle déontologique stipule qu’un auditeur ne peut auditer qu’en dehors de son secteur de responsabilité habituelle. Ce principe d’indépendance respecte le fait que l’auditeur ne peut pas être à la fois juge et partie.

Les preuves d’audit

D’après l’ISO 9000:2015 (§ 3.8.3), les preuves d’audit sont des « données démontrant l’existence ou la véracité de quelque chose ». Les preuves présentées par l’auditeur doivent donc être objectives, tangibles et vérifiables.

Audit Interne ChecklistNorme ISO 9001:2015 PDF

Rappel sur la version 2008 de la norme AFNOR NF EN ISO 9001

Au paragraphe 8.2.2, la version 2008 reformule ainsi l’exigence de procédure documentée d’audit : « Une procédure documentée doit être établie pour définir les responsabilités et les exigences pour planifier et mener les audits, établir des enregistrements et rendre compte des résultats. »

Les apports de la version 2015 de la norme AFNOR NF EN ISO 9001

Les exigences relatives à la revue de direction (§ 9.3) sont contenues dans l’article 9 consacré à l’évaluation des performances. Les preuves d’audit deviennent des preuves tangibles.

Remarque Le lecteur pourra se reporter à la norme AFNOR NF EN ISO 19011:2012 qui fournit des lignes directrices sur l’audit de systèmes de management.

Le processus d’audit qualité interne (description)

Déclencheur :

• conformément au planning préétabli ;
• ou sur demande en cas de problème.

Finalité du processus :

c’est une opération de vérification du bon usage qui est fait du système de management de la qualité qui a été mis en place. L’auditeur interne doit observer et comparer ce qu’il constate par rapport aux exigences spécifiées dans le référentiel. En cas d’écart, l’auditeur interne doit formaliser les non-conformités constatées.

Pilote du processus : le chef du projet certification, puis le responsable qualité.

Liste des principales tâches :

• planifier les audits internes (au moins sur une durée d’une année) ;
• déclencher les audits internes ;
• vérifier que les audits internes se déroulent bien ;
• assurer la liaison avec le processus de traitement des non-conformités (actions correctives, actions de traitement du risque et opportunités).

Livrable(s) :

▼ conclusions des audits internes (mini-rapport) ; ▼ fiches de non-conformité (voir figure 1). ► Indicateur(s) : suivi des plans d’audits.

► Logigramme du processus : voir figure 2.

Logigramme processus de traitement d’une non-conformité

Le logigramme présenté sur la figure 1 représente le processus de traitement d’une non-conformité.

Quelle doit être la fréquence des audits internes ?

Aticle 9.2.1 de la norme iso 9001 version 2015 : L’organisme doit réaliser des audits internes à des intervalles planifiés pour fournir des informations permettant de déterminer si le système de management de la qualité :

• a) est conforme aux :
  • 1) propres exigences de l’organisme concernant son système de management de la qualité, et
  • 2) exigences de la présente norme internationale ;
• b) est mis en œuvre de manière efficace et tenu à jour.

La norme internationale ne donne pas de consigne particulière sur la fréquence des revues de direction. Elle précise seulement « à intervalles planifiés». En partant du principe que l’organisme effectuera une visite de surveillance chaque année, pendant les trois années de validité du certificat, il faut planifier et effectuer, au minimum, une revue de direction par an. En dessous de cette fréquence, il sera bien difficile à l’auditeur de juger de la satisfaction de cette exigence normative. Dans la pratique, les entreprises effectuent généralement deux revues de direction par an (donc une fréquence semestrielle).

Certaines entreprises plus volontaristes en matière d’amélioration ont décidé de pratiquer une revue de direction trimestrielle, voir mensuelle pour les entreprises les plus agressives en matière d’amélioration. À chacun d’apprécier la fréquence qui convient le mieux à l’entreprise, en fonction de son contexte et de ses pratiques. Par ailleurs, rien ne s’oppose à ce qu’une entreprise choisisse une fréquence moyenne (par exemple, semestrielle) la première année de mise en place de son système de management de la qualité ; puis, les années suivantes, au vu de l’intérêt procuré par l’outil revue, de décider d’augmenter le rythme des revues de direction pour passer à une fréquence trimestrielle ou supérieure.

Que dit la norme iso 19011 a propos de la planification de l’audit interne – Plan

La planification de programmes d’audit interne et, dans certains cas, de programmes d’audit de prestataires externes, peut être organisée de manière à contribuer à d’autres objectifs de l’organisme. Il convient que la ou les personnes responsables du management du programme d’audit s’assurent du maintien de la déontologie de l’audit et de l’absence d’influence indue sur l’audit.

En matière d’audit, il convient d’accorder la priorité à l’affectation de ressources et de méthodes aux problématiques qui, au sein d’un système de management, présentent un risque intrinsèque élevé et un faible niveau de performance. Il convient d’attribuer la responsabilité du management du programme d’audit à des personnes compétentes. Il convient que le programme d’audit comporte les informations et identifie les ressources permettant de réaliser les audits de façon efficace et efficiente dans les délais spécifiés.

Il convient que les informations comprennent:

• a) les objectifs du programme d’audit;
• b) les risques et opportunités associés au programme d’audit (voir 5.3) et les actions à mettre en œuvre pour y faire face;
• c) le champ (étendue, limites, lieux) de chaque audit au sein du programme d’audit;
• d) le calendrier (nombre/durée/fréquence) des audits; e) les types d’audit, tels qu’internes ou externes;
• f) les critères d’audit; g) les méthodes d’audit à employer; h) les critères de sélection des membres de l’équipe d’audit;
• i) les informations documentées pertinentes.

Certaines de ces informations peuvent ne pas être disponibles tant qu’une planification plus détaillée de l’audit n’est pas achevée. Il convient de surveiller et mesurer de manière continue la mise en œuvre du programme d’audit (voir 5.6) afin de s’assurer de la réalisation de ses objectifs. Il convient que le programme d’audit fasse l’objet d’une revue afin d’identifier les besoins de changements et d’éventuelles opportunités d’améliorations (voir 5.7). La Figure 3 illustre le logigramme de management d’un programme d’audit.

La formation auditeur interne

La formation des auditeurs interne est un élément clés pour la réussite d’un système de management de la qualité iso 9001. Des collaborateurs, en nombre suffisant, devront être formés à la pratique de l’audit qualité interne. Les auditeurs internes ne sont pas forcément des auditeurs certifiés. En revanche, ils doivent être formés aux normes et à la pratique de l’audit. Ils devront justifier de la connaissance :

• des normes ISO 9000 ;
• de la méthodologie d’audit (telle que définie dans l’ISO 19011) ;
• du système de management de la qualité de l’entreprise ;
• de la procédure d’audit interne de l’entreprise. Une attestation de leur formation sera conservée, ainsi que la trace des audits internes qu’ils ont réalisés..

Comment auditer iso 9001 2015 ? Comment réaliser un audit qualité interne ?

La norme iso 19011 version 2015 énonce les Lignes directrices pour l’audit des systèmes de management :

Article 5 Management d’un programme d’audit : Comprend la définition des objectifs du programme d’audit et la coordination des activités d’audit. Cette section comprend le cycle Plan – Do – Check – Act de Deming.

Article 6 Réalisation d’un audit du système de management.

Il convient d’établir un programme d’audit pouvant inclure des audits prenant en compte une ou plusieurs normes de système de management ou d’autres exigences, réalisés de manière individuelle ou combinée (audit combiné).

Programme d’audit iso 9001

Programme d’audit (§ 3.13.4) : c’est un ensemble d’un ou plusieurs audits planifiés pour une durée spécifique et dirigé dans un but spécifique. (iso 9000 2015)

Il convient d’établir un programme d’audit pouvant inclure des audits prenant en compte une ou plusieurs normes de système de management ou d’autres exigences, réalisés de manière individuelle ou combinée (audit combiné). Il convient que l’étendue d’un programme d’audit tienne compte de la taille et de la nature de l’audité, ainsi que de la nature, de la fonctionnalité, de la complexité, du type de risques et opportunités et du niveau de maturité du ou des systèmes de management à auditer.

La fonctionnalité du système de management peut être encore plus complexe lorsque la plupart des fonctions importantes sont externalisées et gérées sous la direction d’autres organismes. Une attention particulière doit être accordée aux lieux où les décisions les plus importantes sont prises et à la constitution de la direction du système de management.

En cas de lieux/sites multiples (par exemple dans différents pays), ou lorsque des fonctions importantes sont externalisées et gérées sous la direction d’un autre organisme, il convient d’accorder une attention particulière à la conception, à la planification et à la validation du programme d’audit.
Dans le cas d’organismes plus petits ou moins complexes, le programme d’audit peut être adapté de manière appropriée.
Pour comprendre le contexte de l’audité, il convient que le programme d’audit tienne compte:

• — des objectifs de l’organisme audité;
• — des enjeux externes et internes pertinents;
• — des besoins et attentes des parties intéressées pertinentes;
• — des exigences en matière de sécurité et de confidentialité des informations. (iso 19011)

Quelques pièges à éviter en audit interne

Nous listons ici quelques pièges à éviter. Ils apparaissent lors d’audits ne se basant pas suffisamment sur l’approche processus. Dans ces cas, on constate que :

• le responsable qualité fait tout lui-même ;
• le pilote n’est pas impliqué dans le fonctionnement ou ne s’est pas suffisamment approprié son processus et son fonctionnement ;
• la mission du pilote de processus n’est pas définie dans le SMQ ou n’est pas connue par l’intéressé lui-même (par exemple, ce dernier n’a pas été formé) ;
• l’auditeur ne connaît pas ou connaît mal les exigences de la norme applicables au processus qu’il audite ;
• les auditeurs internes ne sont pas formés et qualifiés (pas de disposition de suivi et de renouvellement des qualifications) ;
• l’auditeur a mal préparé son audit selon l’approche processus ;
• la culture PDCA (amélioration continue) n’est pas présente ou mal connue des pilotes, des acteurs du processus ou pas assez déployée dans le SMQ ;
• les audits internes ne reposent pas sur les processus identifiés du SMQ ;
• les audits internes sont basés essentiellement sur les chapitres ou exigences de l’ISO 9001 ;
• les audits internes sont totalement axés sur la conformité à l’ISO 9001 (les textes plus que l’esprit) ;
• les audits internes ne vérifient pas suffisamment l’efficacité réelle, voire l’efficience des processus du SMQ ;
• les auditeurs internes sont seulement issus du service qualité.

Qui doit, en fin de compte, déterminer que les objectifs d’une mission d’audit interne ont bien été atteints ?

• a. Un membre du service d’audit interne.
• b. Le responsable de l’audit interne.
• c. Le comité d’audit.
• d. Le superviseur de la mission d’audit interne.