L'audit dans les systèmes de management qualité, sécurité, environnement
Les normes qui traitent de systèmes de management (ISO 9001 et ses "dérivées" que sont les normes ISO 13485 (pour les dispositifs médicaux) ou IATF 16949 (pour le secteur automobile) pour la qualité, sans oublier l'ISO 17025 ou 15189 pour l'accréditation des laboratoires d'analyse, ISO 14001 pour l'environnement ou ISO 45001 pour la santé et la sécurité au travail) pour en citer quelques-unes, exigent toutes que la direction procède (ou fasse procéder) à des audits internes.
L'audit interne est présenté dans l'ISO 9000 : 2015 comme un outil permettant :
d'évaluer le niveau de conformité du système de management (de la qualité : SMQ mais aussi SME ou SMS pour l'environnement ou la santé et la sécurité au travail...) aux exigences d'une norme déterminée,
d'évaluer l'efficacité de ce même système de management – c'est à dire sa capacité à atteindre ses objectifs,
d'identifier les opportunités d'amélioration.
Vérifier que le système fonctionne bien, identifier les possibilités d'amélioration... Nous avons ici un outil qui est destiné à être utilisé par la direction générale ! Pourtant, combien de fois assiste–t–on à une parodie d'audits internes, à un exercice qui ne satisfait ni les attentes des normes, ni les auditeurs, ni les audités, qui laisse le responsable QSE sur sa faim, sans qu'il ou elle ne sache exactement ce qu'il faudrait faire pour améliorer la situation, le tout dans la plus grande indifférence de la part de la direction...
La norme qui traite des audits est l'ISO 19011. Elle a été révisée en 2018. Par-rapport à la version précédente (de décembre 2011), on note un renforcement des exigences sur le programme d'audit, ainsi qu'une prise en compte renforcée des risques liés à l'audit.
À l'origine, tout part d'une évidence : pour améliorer, il faut commencer par mesurer. Les normes de management prévoient toutes l'utilisation d'indicateurs. De ce côté là, ça fonctionne à peu près. Le problème viendrait plutôt des objectifs... Or, pas d'objectifs, ou des objectifs absurdes, amènent généralement à suivre des indicateurs absurdes, ou à ne pas exploiter ces indicateurs (lesquels sont, rappelons-le, des informations.)
Ces mêmes normes prévoient donc aussi la réalisation d'audits internes, réalisés par des auditeurs internes, tout à la fois volontaires et indépendants des processus audités. Voilà le premier point faible.
Les auditeurs sont généralement pleins de bonne volonté, mais pas toujours en situation de réaliser des audits efficaces. En effet voici comment je vois l'auditeur idéal :
il maîtrise les principes du management. Pas besoin pour cela d'avoir un diplôme d'école de commerce, mais un minimum d'expérience du fonctionnement de l'entreprise est tout de même souhaitable. Il sait par exemple comment élaborer la politique qualité ;
il connaît les objectifs de l'entreprise, son contexte, ses clients ;
il sait se repérer dans les processus de l'entreprise, et en particulier il est à même de comprendre les risques aux interfaces entre ceux-ci
il connait la norme selon laquelle il audite ;
il maîtrise les outils spécifiques au domaine audité (par exemple : l'AMDEC si l'audit porte sur la conception, ou les statistiques si l'on parle de MSP ou de 6-sigma) ;
il maîtrise les techniques d'audit.
Cela fait beaucoup de qualités, me direz-vous. Et le profil se rapproche beaucoup de celui d'un manager ? C'est bien possible. C'est même probablement le fond de ma pensée.
L'audit est fait pour estimer la cohérence et la performance d'un système de management. Seuls des managers, au minimum des individus avec une vision de manager sont, de mon point de vue, capables de saisir les enjeux et de repérer les faiblesses d'un système de management.
Pour autant, les opérateurs, les employés sont-ils de "mauvais" auditeurs ?
Non, en tout cas, pas nécessairement.
Tout d'abord parce qu'un employé peut fort bien avoir une véritable vision d'entreprise : non seulement tout le monde a accès à l'information, mais encore on rencontre régulièrement des présidents d'associations qui n'ont pas, dans leur vie professionnelle, de responsabilités managériales.
Ensuite parce que l'un des points fondamentaux pour la réussite de l'audit est lié au programme d'audit. Je développe ce point ci-dessous.
Si l'on souhaite utiliser le jargon des qualiticiens, le programme d'audit est l'élément de sortie de la phase de planification. L'erreur fondamentale est de comprendre "planification" comme "établissement du calendrier". Bien entendu, il faudra un calendrier. Mais il faut surtout un objectif à cet audit.
Pour quelle raison la direction souhaite-elle que l'on audite telle ou telle partie du système de management ? Que l'on ne me réponde pas "parce que c'est une exigence des normes " ! Si l'audit ne sert qu'à garantir la conformité aux exigences du référentiel, alors autant arrêter tout de suite. Reprenons les fondamentaux : le rôle de la direction est de garantir que l'entreprise atteint ses buts, de la manière la plus efficiente possible. Pour y arriver, la direction doit :
être alertée très tôt des dysfonctionnements;
obtenir des éléments factuels pour prendre des décisions;
être rétro-informée des effets de ses décisions
Si le système de maîtrise des dysfonctionnements répond au premier point, l'audit interne va participer au deuxième (avec la gestion des indicateurs), et sera l'outil privilégié pour le dernier.
La direction doit donc définir quelles sont les informations qu'elle souhaite recueillir. C'est cette liste qui est l'élément principal de la planification.
On pourra alors organiser des audits verticaux, qui permettront de regarder dans le détail le fonctionnement d'un processus, ou des audits horizontaux, qui regarderont comment un point particulier est mis en œuvre, ou maîtrisée au travers de tous les processus de l'entreprise.
Ainsi (et ce ne sont que des exemples parmi de nombreuses autres possibilités) un chef d'entreprise peut décider de faire auditer spécifiquement :
La manière dont fonctionne l'interface entre deux processus,
le processus de commercialisation, car son fonctionnement a été profondément modifié 6 ou 8 mois auparavant, avec un accord avec un distributeur exclusif;
la gestion de la formation continue, de manière transversale, c'est à dire en ne se limitant pas à l'analyse de ce qui se passe au niveau des Ressources Humaines, mais en allant voir, dans tous les processus, comment les besoins en formation sont décelés, comment les actions sont priorisées, comment leur efficacité est évaluée; car cette préoccupation est apparue lors de la dernière revue de direction;
de manière transversale encore, on peut aussi auditer la totalité des processus pour évaluer la compétence des personnels, ou la manière dont ces compétences sont évaluées (on verra alors comment les recommandations de la DRH sont appliquées, ou comment les besoins des pilotes de processus sont écoutés) – et ceci est différent de l'exemple précédent;
ou encore la manière dont les fournisseurs sont choisis ou évalués (les achats réalisent un geste technique, mais ne sont généralement pas compétents pour identifier le meilleur prestataire de nettoyage, et le meilleur fournisseur de photocopieurs et le meilleur fournisseur de machines-outils et le meilleur fournisseur de matières premières et le meilleur laboratoire d'analyses, etc. Si on limite l'audit du processus achats au seuls acteurs "techniques" de l'achat, on passe à côté de trop de choses pour avoir une bonne vision);
et enfin, la manière dont la sécurité des informations est assurée, ce qui va bien au–delà de l'audit d'une procédure informatique, car un stagiaire a soulevé cette problématique, et que la direction s'est trouvée dans l'impossibilité de décrire la situation, pas plus d'ailleurs que les autres membres du comité de direction.
En parallèle, on réalisera également les audits "traditionnels", les "audits d'entretien" des processus, car il faut bien aussi sonder le fonctionnement normal du système.
La Norme ISO 19011, qui traite des audits, liste une ribambelle de qualités associées à l'exercice de la fonction d'auditeur :
5.5 : compétences de la personne responsable du management du programme d'audit. En résumé, pour pouvoir prétendre organiser un programme d'audit, il est indispensable d'être soi–même un auditeur.
7.2.2 : comportements personnels des auditeurs. Le listing qu'on retrouve ici décrit un genre de super-héros, à moins qu'il ne s'agisse du portrait-robot du gendre idéal : intègre, ouvert d'esprit, diplomate, observateur, perspicace... N'en jetez plus ! Ces qualités personnelles sont fort sympathiques, mais elles sont difficilement vérifiables, du moins si l'on veut en apporter des preuves objetives ...
7.2.3.2 : connaissances et aptitudes générales des auditeurs de systèmes de management. Là encore, pour faire court, on demande aux auditeurs de connaître :
les principes et méthodes d'audit,
les systèmes de management,
le contexte organisationnel (un auditeur doit pouvoir s'adapter aux organismes ou au processus qu'il ou elle audite)
les exigences légales, contractuelles et "autres exigences applicables"
7.2.3.3 compétences des auditeurs spécifique à la discipline et au secteur. Il est bien entendu que l'auditeur ne doit pas se retrouver totalement perdu au sein du système qu'il audite. Il n'est pas indispensable malgré tout qu'il soit un expert du domaine. Un contrôleur de gestion peut fort bien auditer tous les processus de l'organisme, pour peu que l'objectif de l'audit soit clairement défini et ne fasse pas appel, par exemple, à des compétences du niveau de troisième cycle en chimie.
7.2.3.4 compétence générales du responsable d'une équipe d’audit On va lui demander des compétences de manager, afin de répartir les tâches entre les auditeurs, des compétences d'organisateur, et du leadership pour que les conclusions d'audit soient tirées par l'équipe d'auditeurs.
7.2.3.5 Connaissances et aptitudes nécessaires à l'audit de plusieurs disciplines. Ici, il est simplement rappelé qu'un auditeur étant sensé maîtriser la norme selon laquelle il va auditer, il devra maîtriser plusieurs normes s'il prétend réaliser un audit combiné. On lui demande aussi de "reconnaître les limites de ses connaissances et aptitudes".
Elle aborde aussi la problématique de l'acquisition des compétences (7.2.4), le besoin de définir des critères pour évaluer les auditeurs (7.3), tout en restant extrêmement discrète quant aux critères en question (ce qui est bien compréhensible, j'aurais moi-même beaucoup de difficulté à le faire), et enfin le choix de la méthode (7.4) et l'évaluation proprement dite (7.5).
Tout ceci pour dire que, si les techniques propres à l'audit sont importantes, la compétence de ceux qui procèdent à l'audit est d'une importance capitale. Mais le plus souvent, faute de pouvoir sélectionner les auditeurs, on "fait avec" ceux qui sont disponibles. Il est donc d'autant plus important de les former (et de les former à nouveau) avec le plus grand soin.
Mettons pour l'instant de côté la problématique de la compétence de l'auditeur, et posons–nous la question du "pourquoi". Pour quelle raison fait-on un audit interne ? On l'a vu plus haut : pour renseigner la direction sur le fonctionnement de l'entreprise (du processus).
Les auditeurs internes sont donc, l'espace de quelque heures, les yeux et les oreilles du dirigeant, ils doivent lui permettre de confirmer la pertinence des règles de fonctionnement, le dimensionnement des moyens, l'efficacité des outils de suivi, etc. Ils doivent aussi, le cas échéant, identifier les points faibles du dispositif de maîtrise. Mais, et tant pis si j'insiste lourdement, c'est la direction qui est le premier destinataire du rapport d'audit.
Cela va impliquer plusieurs choses:
les auditeurs auront la confiance du dirigeant;
ils auront été formés, encadrés, formés à nouveau;
les audits auront été planifiés rigoureusement : on ne parle pas ici de dates, mais d'objectifs.
La direction souhaite d'abord explorer en détail une problématique, ou une situation ? Les audits sont organisés ensuite de manière à apporter la réponse. D'où les audits horizontaux et verticaux (voir ci–dessus). En tout état de cause, on audite en vue d'obtenir la réponse à une question, pas pour auditer "parce qu'on doit le faire".
Les résultats des audits seront analysés en comité de direction - une Revue de Direction, pour reprendre la terminologie des normes ISO, n'est pas autre chose - par les pilotes des processus et leurs clients/fournisseurs internes et par la direction.
La performance du processus d'audit et les compétences des auditeurs
Si les choses se passent comme je l'ai décrit, alors il va être possible d'estimer la performance du processus d'audit : a-t-on obtenu les réponses attendues ? C'est à dire : a-t-on pu statuer sur les questions, au vu des résultats des audits ? Si c'est le cas, les auditeurs sont probablement compétents, et le pilote du processus d'audit (le plus souvent appelé responsable qualité / sécurité / environnement) aussi.
Si ce n'est pas le cas, il faut analyser plus en détail, mais la compétence des auditeurs est probablement en cause. On estimera alors leur capacité à enregistrer des preuves d'audit, leur capacité à statuer sur le caractère adéquat et suffisant de ces preuves, leur aptitude à distinguer l'accessoire de l'essentiel, sur la manière dont ils préparent les audits, sur leur connaissance du secteur audité (l'auditeur doit être indépendant du processus, mais il doit aussi savoir de quoi il parle. L'équilibre entre ces deux exigences est parfois délicat à trouver).
Ceci se fait d'abord de manière collective, au niveau du programme d'audit et du "pool" d'auditeurs, puis on descend si besoin au niveau de l'individu.
Mais ce qui est certain, c'est que si vous n'avez pas d'objectifs pour vos audits, vous aurez beaucoup de mal à remettre quoi que ce soit en cause !
Je propose aux chefs d'entreprises et aux responsables qualité :
de réaliser des audits internes, que ce soit parce que vous manquez d'auditeurs internes, que vous ayez pris du retard dans votre planning ou que vous soyez à la recherche d'une vision nouvelle;
d'organiser des actions de formation interne à destination de vos auditeurs juniors ou de vos auditeurs confirmés;
de vous accompagner pour la définition d'un programme d'audit qui vous permettra réellement d'avancer.
Je maîtrise :
les normes de management de la qualité, à commencer par l'ISO 9001, mais aussi l'ISO 13485 (pour les dispositifs médicaux); ou l'IATF 16949 pour l'automobile;
les normes utilisées pour l'accréditation des laboratoires : ISO 17025 et 15189. Je ne suis pas évaluateur COFRAC, c'est pourquoi je limite dans ce cas mes interventions au chapitre 4, et à la partie théorique du chapitre 5 : pas besoin en effet de maîtriser une technique analytique pour vérifier l'existence des fiches de vie, la réalité des opérations de maintenance ou les procédures de gestion de stocks de réactifs. En revanche, je ne me prononce pas (par exemple) sur la pertinence des limites acceptables pour la climatisation des pièces, ou sur la fréquence choisie pour les étalonnages. Et puis, j'ai tout de même un DEA (aujourd'hui, on dirait "un Master 2") de biochimie appliquée, j'ai été chef de laboratoire : ça laisse des traces...;
les normes utilisées dans l'industrie agro-alimentaire (ISO 22000, IFS, BRC, AIB) : cela vient des 15 années que j'ai passées chez Volvic, Heineken, Schweppes et United Biscuits;
le référentiel de la Haute Autorité de Santé, utilisé pour la certification des établissements de santé;
la norme NF S 96-900, pour la qualité dans les Centres de Ressources Biologiques;
et enfin, les exigences réglementaires applicables au monde médico-social. Les "audits" ne sont pas une obligation, mais dans la mesure où l'évaluation externe s'apparente fort à un audit, je peux vous assister dans la préparation de cet exercice.
J'interviens dans de nombreux secteurs d'activités. Et comme je suis beaucoup plus "maîtrise" que "challenge", soyez certains que je saurai ne pas accepter de mission pour un environnement dans lequel je ne me sentirais pas à l'aise.