L’ISO 19011 version 2012 quelles nouveautés ?

Posté par:

10 ans après sa première parution, la norme NF EN ISO 19011 évolue et s’intitule dorénavant : « Lignes directrices pour l’audit des systèmes de management ». De prime abord, là où la petite sœur ne « s’intéressait » qu’aux systèmes de management de la qualité et environnemental, celle-ci s’applique à l’ensemble des systèmes de management (santé et sécurité, risque, sécurité des denrée alimentaire, etc…).

Pour rappel, l’ISO 19011, parue en 2002, fait partie de la famille des normes qualité avec ses trois sœurs : l’ISO 9000, « le Larousse » de la qualité ; l’ISO 9001, définissant les exigences certifiables pour les systèmes de management de la qualité ; et l’ISO 9004 pour la gestion des performances durables de l’organisme.

Cette deuxième édition de la NF EN ISO 19011 annule et remplace la NF EN ISO 19011:2002 qui a fait l’objet d’une révision technique. Les principales différences entre les versions de 2002 et 2011 de la NF EN ISO 19011 sont les suivantes :

  • le domaine d’application de la présente Norme internationale qui se limitait dans la version précédente à l’audit des systèmes de management de la qualité et de management environnemental, concerne cette fois l’audit de tous les systèmes de management quels qu’ils soient ;
  • la relation entre la NF EN ISO 19011 et la NF EN ISO/CEI 17021 est clarifiée ;
  • les méthodes d’audit à distance et le concept de risque sont introduits ;
  • la confidentialité est ajoutée comme nouveau principe ;
  • les Articles 5, 6 et 7 ont été réorganisés ;
  • une nouvelle Annexe B contient les informations supplémentaires, ce qui a conduit à la suppression des textes encadrés ;
  • le processus de détermination et d’évaluation des compétences est renforcé ;
  • une nouvelle Annexe A présente des exemples illustratifs des connaissances et aptitudes spécifiques à la discipline.

Et dans le détail, qu’en est-il ? S’agit-il d’une simple évolution, un « toilettage » ou peut-on parler d’une révolution ?

1. Un domaine d’application élargi et clarifié

Cette nouvelle mouture, s’adresse à tous les utilisateurs s’intéressant à la réalisation des audits des systèmes de management, qu’ils soient internes (première partie), portant sur les fournisseurs (deuxième partie) ou pour les audits tierce partie (à titre de bonnes pratiques). On notera que pour la réalisation des audits tierce partie, c’est toujours la norme NF EN ISO/CEI 17021:2011 qui définit les « règles du jeu ». Les interactions entre ces deux référentiels s’éclaircissent donc, si tant est qu’un doute subsistait…

L’ISO 19001 ne spécifie par d’exigences (certifiables) mais fournit des lignes directrices sur le management d’un programme d’audit, la planification et la réalisation d’un audit du système de management, ainsi que sur la compétence et l’évaluation d’un auditeur et d’une équipe d’audit.

Ces 10 dernières années ont été marquées par l’émergence des systèmes de management intégrés, s’appuyant sur de nouvelles normes de management telles que l’ISO 26000, l’ISO 31000, l’ISO 22000, l’ISO 27001, l’ISO 13485, l’ISO 15189, etc… la liste est longue ! Il était donc devenu nécessaire, tant dans son appellation, que dans son domaine d’application de l’étendre à ces nouveaux systèmes de management.

En résumé, sur ce point, hormis le changement de nom, il n’y a pas de différence notable en terme de lignes directrices.

2. Introduction de la notion de risque

Ca y est… La notion de risque est enfin clairement introduite dans la famille des normes qualité !

L’approche adoptée se rapporte à la fois au risque que le processus d’audit n’atteint pas ses objectifs et à l’éventualité que l’audit influe sur les activités et les processus de l’audité.

On a droit, au passage, à une définition plutôt laconique du terme « risque », à savoir qu’il s’agit de l’effet de l’incertitude sur les objectifs.

Concrètement, cette notion de risque est intervient à trois reprises :

  • lors de l’élaboration du programme des audits (§ 5.3.4), où il convient d’évaluer les risques qui pourraient compromettre l’atteinte des objectifs du programme ;
  • lors de la préparation de l’audit (§ 6.3.2), où il convient d’identifier les risques liés à la réalisation des audits pour les entités auditées. Il s’agit ici dans risques liés à la santé, l’environnement, la qualité des produits ou services, …
  • lors de la réalisation de l’audit lui-même (§ 6.4), où l’équipe d’audit doit présenter (en réunion d’ouverture) la conduite à tenir en cas de risque généré par l’audit pour les équipes auditées et communiquer aux audités si un risque immédiat et significatif est détecté lors des entretiens.

En résumé, il est conseillé de faire évoluer vos procédures d’audit pour y intégrer cette évaluation des risques et des actions entreprises pour limiter / réduire ces risques. La revue du programme d’audit (planning des audits) doit dorénavant intégrer l’évaluation des risques et de l’efficacité des mesures prises pour traiter ces derniers. Du côté des compétences, les auditeurs doivent à présent (si tel n’était pas le cas…) être capables de comprendre et d’évaluer les différents types de risques liés à l’audit.

Cette notion, à donc une importance particulière, qui ne bouleversera pas celles et ceux qui étaient déjà orientés « risque » mais qui devrait améliorer les pratiques d’audit pour les autres…

3. Introduction des méthodes d’audit à distance

Sur ce point, l’annexe B vient préciser quelques méthodes d’audit à distance, applicables si un niveau de confiance suffisant existe entre l’auditeur et le personnel de l’audité. En résumé, on n’y apprend rien de très surprenant mais cela reste un rappel utile…

4. Ajout du principe de confidentialité

Bien que la précédente version insistait sur les principes déontologiques de l’auditeur, la version 2012 accorde un traitement privilégié et nécessaire à cette notion de confidentialité. En effet, les audits sont des vecteurs de risque en ce qui concerne la maîtrise de la propriété intellectuelle des entreprises. Qu’à cela ne tienne, l’auditeur est donc en garde sur le respect de la confidentialité : un rappel utile !

Concrètement, la procédure d’audit (interne et/ou fournisseurs) doit prévoir les modalités visant à garantir la confidentialité et la sécurité des données obtenues avant, pendant et après l’audit et un rappel à ce sujet devra être évoqué lors de la réunion d’ouverture. Le plan d’audit pourra également inclure une déclaration de confidentialité afin de rassurer les audités…

5. Des exemples, encore des exemples !

Pour celles et ceux qui, comme moi, sont avides d’exemples concrets et pratiques, vous en aurez pour votre argent !

En effet, l’annexe A propose de nombreux exemples concrets en ce qui concerne les connaissances et aptitudes spécifiques à la discipline des auditeurs sur diverses thématiques :

  • le management de sécurité des transports ;
  • le management environnemental ;
  • le management de la qualité ;
  • le management des enregistrements ;
  • le management des résilience, sûreté, état de préparation et continuité ;
  • la sûreté des informations ;
  • le management de la santé et de la sécurité au travail.

L’annexe B, quant à elle, vient fournir de précieuses informations complémentaires pour la planification et la réalisation des audits :

  • Application des méthodes d’audit ;
  • Choix des sources d’information ;
  • Réalisation de la revue des documents ;
  • Préparation des documents de travail ;
  • Échantillonnage ;
  • Visites du site de l’audité ;
  • Conduite des entretiens ;
  • Constatations d’audit.

Ces informations étaient, pour la plupart, présentes sous forme d’encadrés dans la précédente version. Cette nouvelle approche facilite  grandement la lecture de la norme. Il s’agit d’un plus non négligeable !

En conclusion

Si certaines évolutions normatives peuvent laisser perplexe, comme l’ISO 9001:2008, l’ISO 19011:2012 est sans conteste une excellente surprise en ce début d’année. Pour répondre à la question posée en préambule, on ne peut pas vraiment parler de révolution mais d’une évolution nécessaire et donc bienvenue.

Pour 86 € HT, vous ferez un excellent investissement, qui, sur votre table de chevet, vous tiendra compagnie durant les longues soirées d’hiver !

Pour celles et ceux qui désirent aller plus loin sur le sujet et comprendre comment mettre en œuvre concrètement et de manière efficace cette norme et ses évolutions, j'ai le plaisir de vous convier à la formation du Qualipole LR, animée en partenariat avec le Laboratoire National de Métrologie et d'Essais (LNE). Pour en savoir plus, consultez le programme.

___

Pour information, son homologue internationale, l’ISO 19011, est disponible depuis novembre 2011 mais vous devrait débourser 36 € de plus. Ne me demandez pas pourquoi, je n’ai pas la réponse…

8

À propos de l'auteur:

Jérémy CICERO | Responsable et auteur du Qualiblog | Consultant, Formateur, Auditeur ICA | Auteur aux Editions Techniques de l'Ingénieur | Dirigeant de Qualisphère, société éditrice du logiciel Qualishare pour le pilotage des systèmes QHSE | Cliquez ici pour plus d'informations sur l'auteur.
  Articles similaires

Commentaires

  1. FRANKY  avril 2, 2013

    bonsoir, une formation en QHSE suffit-elle pour effectuer des audits dans ces différents domaines au regard de leur spécificité? Merci! quel crédit accordé aux auditeurs internes qui n’ont pas connaissance de la norme ISO 19011,

    le management de sécurité des transports ;
    le management environnemental ;
    le management de la qualité ;
    le management des enregistrements ;
    le management des résilience, sûreté, état de préparation et continuité ;
    la sûreté des informations ;
    le management de la santé et de la sécurité au travail.

  2. Wahid REBZANI  décembre 26, 2012

    Bonjour,
    J’ai des questions hirs votre sujet que je n’arrive pas à les résoudre pouvez vous m’orienter ?
    1- d’après na norme, il convient que la direction s’assure que les objectifs d’un programme d’audit sont établis et qu’elle attribue à une ou des personnes compétentes la responsabilité du management du programme d’audit est ce le RMQ ou qui p etre ????
    2- le programme d’audit et défini dans la norme §5 mais ces quoi l’audit individuel
    3- D’après le § 5.4.1 la personne responsable du management du programme d’audit mette en œuvre le programme d’audit et nous trouvons après le responsable d’audit réalise le plan d’audit inspirer du même programme d’audit §6.6 quel est la déférence vu que le plan a inclus le programme

    Pouvez vous me communique un model d’un programme et un plan ?

    Merci

    • Jérémy CICERO  janvier 2, 2013

      Bonjour et mes meilleurs vœux pour cette année !

      1. Oui, le management du programme d’audit (planning des audits) est la plupart du temps mis sous la responsabilité du représentant de la direction, autrement appelé responsable qualité.

      2. Le terme « audit individuel » doit être compris comme chacun des audits constituant le planning (programme) des audits. Si votre programme compte 10 audits processus, vous avez donc 1à audits individuels.

      3. Le responsable d’audit est la personne qui prend la responsabilité de la tenue d’un audit (de sa préparation à son suivi post-audit). Si l’audit est réalisé par plusieurs auditeurs, il convient de désigner un responsable de l’équipe d’audit. Si l’audit est réalisé par une seule personne, alors cette dernière est également responsable d’audit. Le plan d’audit est en quelques sortes l’ordre du jour de l’audit. Le programme d’audit doit être compris comme le planning des audits. Le premier concerne un audit individuel, le second concerne tous les audits réalisés sur une période.

      Est-ce plus clair ?

  3. sousou  mai 23, 2012

    Bonjour;
    Le site est extraordinaire, je vous félicite et je vous souhaite une bonne continuité. Par la même occasion je voudrai avoir un modèle de procédure action corrective et préventive.

  4. Gilles MARTIN  février 3, 2012

    Merci pour cette lecture de l’évolution de la norme.

    Par contre à la lecture de vos propos, je dois dire que j’ai du mal à comprendre la notion de risque dont il est question.
    Le risque que l’audit n’atteigne pas ses objectifs ???
    Le risque que l’audit influe sur les activités et les processus de l’audité – je pense que c’est le but, je ne vois pas ou se situe le risque

    Pour ce qui est de la confidentialité, cela me parait une bonne chose que cela figure explicitement.

    Cordialement

    • Jérémy CICERO  février 5, 2012

      Bonjour Gilles,

      La norme précise que le risque que l’audit n’atteigne pas les objectifs fixés peut être induit du manque de préparation, d’un manque de ressources et/ou de compétences, de la non-disponibilité des personnes à auditer, de la durée de l’audit, etc… Il s’agit donc d’identifier les risques de ne pas atteindre les objectifs de l’audit (conformité, efficacité, amélioration continue) dès la programmation des audits à mener.

      Pour l’autre aspect du risque évoqué par la norme, il s’agit d’identifier et de prévenir les risques générés par les activités d’audit (et les auditeurs) qui pourraient avoir des effets négatifs sur les personnes auditées (mise en danger), sur l’environnement, sur la conformité du produit, etc…

      En espérant avoir été plus clair.

      Bien cordialement

  5. Mouada Nabil  février 1, 2012

    Enfin les problèmes liés à la confidentialité pris en charge par l’ISO:2012,la déontologie ne suffisait vraiment pas .Il reste que l’entreprise doit être protégée contre l’utilisation de son patrimoine immatériel(protocoles, procédures,savoir-faire…) à son insu,ce n’est pas que de la confidentialité mais carrément des droits d’auteurs à préserver c’est un peu plus pointu qu’une déclaration orale de la part de l’équipe d’audit.On en a vu ceux qui ont cette double casquette auditeur-formateur demander des photocopies de documents de l’entreprise et ne plus donner signe de vie:c’est à se demander si…