Dans le cadre de sa recherche pour globaliser et formater une architecture unifiante de ses normes, l’ISO a édité une norme relative à l’audit des systèmes de management, NF EN ISO 19011:2012 – Lignes directrices pour l’audit des systèmes de management.
Cette norme ISO 19011, «norme-mère » pour l’audit de tous les systèmes de management, est articulée selon la méthode PDCA (Plan, Do, Check, Act) mise au point par le physicien et statisticien américain Walter Andrew Shewhart (le cycle de Shewhart) puis développée et popularisée par le statisticien américain Williams Edward Deming et illustrée par la célèbre « roue de Deming » (cf. figure 1).
Comme le précise l’introduction de cette norme « cette norme ne spécifie pas d’exigences mais donne des lignes directrices sur le management d’un programme d’audit, la planification d’un audit d’un système de management ainsi que sur la compétence et l’évaluation d’un auditeur et d’une équipe d’audit».
Cette norme est caractérisée par des définitions de base, notamment celle relative au système de management : « ensemble d’éléments corrélés ou interactifs d’une organisation, utilisés pour établir des politiques et des objectifs, et des processus pour atteindre ces objectifs ». Une note précise que : « un système de management peut aborder une seule ou plusieurs disciplines ».
L’audit est défini, dans le paragraphe 3.9.l de la norme ISO 9000:2005 et dans le paragraphe 3.1 de la norme ISO 19011:2012 comme « un processus méthodique, indépendant et documenté permettant d’obtenir des preuves d’audit et les évaluer d’une manière objective pour déterminer dans quelle mesure les critères d’audit sont satisfaits».
Les preuves d’audit sont composées« d’enregistrements, énoncés de faits ou autres informations pertinentes pour les critères d’audit et vérifiables » (cf. 3.3 – norme ISO 19011:2012). Les critères d’audit sont« un ensemble de politiques, procédures ou exigences utilisées comme référence vis-à-vis de laquelle les preuves d’audit sont comparées » (cf. 3.2 – norme ISO 19011:2012). Quatre notes complètent cette définition.
- Note 1 : « les audits internes, parfois appelés audits de première partie sont réalisés par ou pour le compte de l’organisme lui-même, pour la revue de direction et d ‘autres besoins internes (par exemple pour confirmer le fonctionnement prévu du système de management ou pour obtenir des informations permettant d’améliorer le système de management) et peuvent servir de base à l’auto-déclaration de conformité de l’organisme.
Dans de nombreux cas et en particulier pour les petits organismes, l’indépendance peut être démontrée par l’absence de responsabilité vis-à-vis de l’activité à auditer, ou de divergence ou de conflits d’intérêt ».
- Note 2 : « les audits externes comprennent les audits de seconde et de tierce partie. Les audits de seconde partie sont réalisés par des parties ayant un intérêt à l’égard de l’organisme, comme des clients ou d’autres personnes agissant en leur nom. Les audits de tierce partie sont réalisés par des organismes d’audit indépendants, tels que les autorités de réglementation ou les organismes qui octroient l’enregistrement ou la certification ».
- Note 3: « lorsque deux ou plusieurs systèmes de management de différentes disciplines (par exemple qualité, environnement, santé et sécurité au travail … ) font l’objet d’un audit conjoint, on parle d’audit combiné ».
- Note 4 : « lorsque deux ou plusieurs organismes d’audit coopèrent pour auditer un seul audité, on parle d’audit conjoint ».
Entre les démarches de vérification (type I) de droit dur et d’ évaluation (type II) de droit souple, il convient de souligner que cette démarche ISO 19011 (type III) peut s’inscrire dans un troisième « droit intelligent » que proposent Olivier Peyrat et Christophe Lelart d’Afnor dans le texte de l’étude de l’année 2013 du Conseil d’État : « le droit intelligent devient alors un vecteur d’harmonisation des droits, des règles, des conduites.
Le droit intelligent est celui qui retient la règle du droit dur pour la formalisation des objectifs et la règle du droit souple pour les prescriptions techniques auxquelles le premier renvoie implicitement ».
La présentation générale des activités typiques au cours d’un audit de système de management selon la norme ISO 19011:2012 est donnée ci-après.
La figure 3 illustre cette esquisse d’une chaîne de systèmes de management (M. Joras).