Système de Management de la Qualité (SMQ) : quelles exigences pour l’audit interne ?

L’absence de maîtrise de la qualité coûte de l’argent à votre organisation ! Pour éviter des pertes inutiles et garantir la performance de votre organisation, le système de management de la qualité (SMQ) doit faire l’objet d’une vérification dans son cycle de vie. En ce sens, la norme ISO 9001 prévoit le recours à l’audit interne.

Quelles sont les exigences applicables ? Comment réaliser vos audits internes de manière efficace ? Voici les clés pour réussir.

Selon une étude de décembre 2023, l’AFNOR nous informe que les coûts de non-qualité peuvent atteindre jusqu’à 5% du chiffre d’affaires de 80% des entreprises industrielles. Pour pallier ces coûts, l’approche PDCA (Plan, Do, Check, Act), préconisée par la norme ISO 9001, garantit l’amélioration continue du système, notamment grâce à l’évaluation des performances. En effet, surveiller le fonctionnement du système permet d’identifier tout dysfonctionnement rapidement. L’audit interne, en tant qu’outil de surveillance imposé par la norme, permet d’identifier les dysfonctionnements mais aussi les opportunités d’amélioration. Loin d’être une sanction, il s’agit d’un levier de progrès .

En pratique, l’audit peut être chronophage et fastidieux sans méthodologie adaptée. Retrouvez les bonnes pratiques de l’ISO 9001 et nos conseils opérationnels dans cet article. 

Quel est l’objectif de l’audit interne ?

Les exigences normatives en matière d’audit qualité interne sont prévues au chapitre 9.2 de la norme ISO 9001. Deux finalités principales sont identifiées. 

D’une part, l’audit interne doit permettre de vérifier que le système demeure conforme aux exigences normatives mais également aux exigences internes. Il s’agit notamment de vérifier que la réalité reflète bien ce qui a été planifié dans le SMQ.

Par exemple, une procédure de gestion, non exigée par la norme mais mise en place dans votre organisation est-elle effectivement respectée par vos collaborateurs ? Les règles de traçabilité sont-elles respectées ?

D’autre part, l’audit interne sert à vérifier que votre système de management de la qualité est toujours mis en œuvre de manière efficace et est tenu à jour.

Par exemple, dans le cadre de la mise en place d’une procédure de gestion, des indicateurs de performance pourront être instaurés et mesurés périodiquement pour rendre compte de l’efficacité dans le temps.

L’intérêt de l’audit interne est d’évaluer votre système sans risquer de mettre en jeu votre certification (on parle notamment d’audit blanc). Il peut être pertinent de réaliser vos audits internes en amont de votre audit de certification, puisqu’il vous permettra d’identifier d’éventuelles non-conformités et a minima de les maîtriser avant l’arrivée de l’auditeur externe.

Comment organiser votre audit interne ?

Le calendrier

La norme n’impose pas de fréquence particulière, seulement que des audits internes soient planifiés à des intervalles réguliers. Pour autant, la fréquence déterminée par votre organisation doit être fixée dans votre programme d’audit, de même que les éventuelles exigences de planification.

Par exemple, vous pouvez décider de prévoir un audit interne tous les semestres, ou encore à une date conditionnée par l’audit externe de certification (par exemple, X mois avant la venue de l’auditeur).

Quelle que soit la fréquence établie, elle doit être en cohérence avec le cycle PDCA de votre système, notamment avec la planification de votre revue de direction.

Le programme d’audit

La norme est plus loquace concernant le programme d’audit. En effet, vous devez établir un programme, de manière à avoir une vision d’ensemble des audits internes sur une période donnée.

Notez que le programme d’audit diffère du plan d’audit puisque sa finalité est de regrouper les dispositions liées à la mise en œuvre d’audit(s) interne(s) dans le système, en tant qu’outil de surveillance. A l’inverse, le plan d’audit prévoit les étapes de réalisation d’un audit spécifique. Ainsi, contrairement au plan d’audit qui n’est pas une exigence en tant que telle, la norme exige que le programme précise :

-        La fréquence d’audit ;

-        Les méthodes à utiliser ;

-        Les responsabilités ;

-        Les exigences de planification ;

-        Le compte-rendu.

Il doit être établi en tenant compte de l’importance des processus concernés par l’audit, des modifications notables du système ainsi que des résultats des derniers audits.

En pratique, vous pouvez décider, par exemple, d’auditer l’ensemble de votre système ou de procéder par échantillonnage avec une logique de roulement sur votre cycle de certification.

Il est important de définir le périmètre et les critères de chaque audit. La norme n’exige pas que ces éléments soient indiqués dans le programme spécifiquement. Vous pouvez décider que ces mentions seront prévues dans chaque plan d’audit, ou choisir de tout centraliser dans le programme. Quelle que soit la solution choisie, il peut être opportun de l’indiquer dans une information documentée afin de le présenter comme élément de preuve à votre auditeur.

Enfin, le respect du programme d’audit et son maintien sont des exigences normatives. Autrement dit, si vous ne respectez pas les dispositions que vous avez établies pour la réalisation de vos audits internes, vous vous exposez à un risque de non-conformité lors de votre audit de certification.

Le choix de l’auditeur

S’agissant du choix de l’auditeur, la norme impose seulement que la sélection de l’auditeur et la réalisation de l’audit garantissent l’objectivité et l’impartialité du processus d’audit.

Par conséquent, vous êtes libres de choisir un auditeur interne ou externe à votre organisation, sous réserve de pouvoir justifier du respect des conditions d’objectivité et d’impartialité. Par ailleurs, vous devez également vous assurer de la compétence de votre auditeur pour évaluer correctement la performance de votre système. 

Quelles suites donner à l’audit ?

Le compte-rendu d’audit

La norme exige que les résultats de l’audit soient tracés dans le cadre d’une information documentée (chapitre 7.5), c’est-à-dire d’un document intégré dans votre SMQ. Cette traçabilité vous permet également de prouver la bonne mise en œuvre de votre programme d’audit.

Elle n’impose pas non plus de formalisme particulier au-delà de cette exigence d’enregistrement. En pratique, ces résultats sont, le plus souvent, établis dans un compte-rendu rédigé au terme de l’audit, sous la forme d’un rapport.

L’obligations d’information et d’actions

Dès réception du compte-rendu, ces informations doivent être transmises à la direction concernée. L’objectif ici est d’informer les personnes responsables et aptes à prendre les éventuelles décisions et actions stratégiques qui s’imposent.

En effet, la norme exige que les non-conformités identifiées lors de l’audit soient traitées dès que possible. Ainsi, les actions correctives requises doivent être établies rapidement, ce qui requiert une organisation et une communication efficaces auprès des pilotes (responsables d’activité, directeurs… selon le périmètre de l’audit).

La mise en œuvre d’audits internes requièrent de traiter un grand nombre de d’éléments (processus, documents, échantillonnage, échanges avec divers interlocuteurs…). Recourir à des solutions dédiées dans la mise en œuvre de son SMQ permet de le structurer plus facilement et de centraliser les données. Une gestion électronique documentaire et un plan d’action global facilitent ainsi l’accès aux informations documentées et aux éléments de preuve lors d’un audit. Des outils d’auto-évaluation et de gestion des non-conformités seront autant de leviers pour gagner en performance dans la gestion de vos audits.

Auto-Évaluez-vous au regard de la norme ISO 9001 avec BlueKanGo