Regard sur la version 2018 de la norme ISO 19011 : Lignes directrices pour l’audit des systèmes de management

Introduction:

Depuis la publication de la première mouture des lignes directrices pour l’audit des systèmes de management en 2002, la norme ISO19011 fut modifiée en 2011 et en 2018, dont l’ajout du concept de la gestion des risques. L’approche des audits a évolué au cours des années, de la conformité stricte aux procédures vers l’évaluation de l’efficacité des processus. Cet article énumère les changements importants apportés à la version de 2011.

Par Jean-Marie Richard, membre sénior et CQE de l’ASQ 

50 ans dans l’aviation, dont 26 ans affecté à la surveillance des organismes aéronautiques agréés par Transports Canada et 8 ans comme chargé de cours liés à la sécurité aérienne dans diverses institutions.

Membres du conseil d’administration de la section Montréal francophone 0404 de l’ASQ.

Article:

La raison d’être des audits est de fournir au client une image objective et fidèle de la réalisation des objectifs de l’organisme. La version 2018 de la norme 19011 porte principalement sur les audits internes et externes à l’exception des audits de certifications couverts par la norme ISO17021-1. Elle contient des lignes directrices pour des systèmes de management et ne renferme aucune norme normative.

Même si ce n’est pas une différence significative, les types d’audits sont identifiés en privilégiant la terminologie des parties :

1re partie :    Audit interne,

2iem partie :  Audit des prestataires externes et d’autres parties intéressées externes,

3iem partie :  Audit en vue d’une certification (accréditation) ou à des fins légales, réglementaires et similaires.

Définitions 

Même si les termes suivants étaient contenus dans le texte et les notes de la version de 2011, ils ont été ajoutés aux définitions : d’audit combiné, audit conjoint, exigence, processus, performance, efficacité.

Les preuves objectives sont des données démontrant l’existence ou la vérité de quelque chose, ce terme n’était pas mentionné dans la version précédente.

La définition de critères d’audit a été modifiée et fait référence aux exigences au lieu des politiques et procédures. Cependant, les exigences incluent les documents requis par une norme.

Approche par les risques

L’approche par les risques se veut une nouvelle étape dans le management des audits. L’on indique que cette approche s’applique audit aussi bien lors de la préparation, de l’exécution et du suivi pour atteindre les objectifs du programme.

L’ajout de l’article 5.3 portant sur la détermination et évaluation des risques et des opportunités du programme d’audit, donne les détails de cette stratégie. Cet ajout est illustré dans la figure 1.

Planification

Étape 1 – Détermination des objectifs de l’audit

Étape 2 – Détermination et évaluation des risques et des opportunités du programme d’audit

Étape 3 – Établissement du programme d’audit

                                                                                 Figure 1 – La planification

La norme indique seulement les éléments qui doivent être examinés pour identifier et mitiger les risques, mais ne donne aucune méthode pour le faire. C’est la responsabilité du gestionnaire du programme d’audit de déterminer les processus de management des risques.

Voici des questions qui pourraient permettre d’identifier des risques :

Avons-nous l’assurance que les éléments suivants sont suffisants et adéquats pour atteindre les objectifs du programme d’audit ?

    • L’étendue, le nombre, la durée, les lieux, le calendrier des audits,
    • les ressources, la formation des auditeurs,
    • la constitution des équipes d’audits, la compétence des auditeurs,
    • la surveillance de l’efficacité du programme d’audit
    • les circuits de communication, la sécurité et la confidentialité.

L’annexe A – Lignes directrices supplémentaires destinées aux auditeurs pour la planification et la réalisation des audits

La version de 2011 contenait deux annexes, l’annexe A touchait les connaissances et les aptitudes à la discipline d’auditeur et l’annexe B touchait la planification et la réalisation des audits. Dans la version 2018, il y a une seule annexe qui ne touche que la planification et la réalisation des audits. L’on justifie la disparition de l’annexe A de la version 2011 du fait que les normes de management ont déjà des exigences en matière de formation et que la section 7.2 ; la compétence des auditeurs, a été enrichie en mentionnant en autres :

  • les connaissances et aptitudes nécessaires pour le responsable de l’équipe,
  • la compréhension des risques et des opportunités et les principes de l’approche par les risques,
  • la réalisation que plusieurs normes de managements s’appliquent à une même entreprise et
  • la connaissance des besoins et attentes des parties prenantes qui influencent le système de management.

La nouvelle annexe A est beaucoup plus détaillée que la précédente en y ajoutant la nouvelle réalité des systèmes de management, en autres :

  • l’approche des processus pour en évaluer l’efficacité et l’atteinte de leurs objectifs,
  • l’importance que les auditeurs utilisent leur jugement pour évaluer les processus,
  • l’importance de la performance des systèmes de gestion comparés aux attentes,
  • l’évaluation du leadership de la direction de l’entreprise auditée et de son engagement,
  • le management des risques et opportunités de la part de l’organisme,
  • l’audit de la chaine d’approvisionnement,
  • le choix des sources d’informations et
  • la technologie informatique incluant les activités et lieux virtuels.

Conclusion:

Les responsabilités des auditeurs ont évolué au cours des deux dernières décennies. Auparavant, le travail consistait à prendre des listes de vérification normalisées afin de démontrer la conformité aux procédures écrites. Maintenant, ils doivent exercer leur jugement pour évaluer l’efficacité des processus. Ces changements nécessitent que les clients, les responsables du programme d’audit, les chefs d’équipes et des auditeurs doivent avoir une formation adéquate et acquérir de nouvelles compétences.

Référence:

Norme internationale ISO 19011, Lignes directrices pour l’audit des systèmes de management, troisième édition 2018,07.

 

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *