Remerciez-le!

Remerciez @Admin pour avoir partagé cet document gratuitement, de la manière la plus simple, en partageant sur les réseaux sociaux.

Le 13 juin 2017 Page 1 sur 45 TOPO Audit Objectif : Mener un audit 1 OBJET Ce d

Le 13 juin 2017 Page 1 sur 45 TOPO Audit Objectif : Mener un audit 1 OBJET Ce document permet de donner les bases pour mener efficacement un audit. 2 DEFINITION ET CHAMPS D’ACTION DE L’AUDIT 2.1 Définition La racine latine du mot audit est « Audire », c’est-à-dire entendre. Littéralement, mener un audit c’est chercher à écouter quelqu’un d’autre. La curiosité qui pousse lors d’un audit à écouter quelqu’un est l’amélioration d’une situation. Lors d’un audit, on écoute celui qui va donner des informations dans le but de mettre en évidence des points d’amélioration dans un organisme. Retenons que celui qui audite est celui qui écoute l’autre, celui qui a des informations de qualité, c’est-à-dire fiables, complètes et adaptées en réponse à des questions dans le but de contribuer à l’amélioration d’une organisation ou dans le but de prétendre à un niveau exigé par un label, une norme, une exigence. Plus techniquement, l'audit est un processus systématique, indépendant et précisément documenté permettant de recueillir des informations objectives pour déterminer dans quelle mesure les éléments du système cible satisfont aux exigences des référentiels du domaine concerné. Il s'attache notamment à détecter les anomalies et les risques associés dans les organismes et secteurs d'activité qu'il examine. Auditer une entreprise ou un service consiste notamment à écouter les différents acteurs pour comprendre et faire évoluer le système en place. 2.2 Différents types d’audit Il existe plusieurs types d’audits : 2.2.1 L'audit interne L’audit interne, appelé parfois « audit première partie » est réalisé par, ou au nom de, l’organisme lui-même pour des raisons internes et peut constituer la base d’une auto-déclaration de conformité. Ils peuvent être opérationnels ou stratégiques suivant l'approche retenue. Selon l'Institut français des auditeurs et contrôleurs internes (IFACI) qui a été créé en 1965, l'Audit Interne est une activité indépendante et objective qui donne à une organisation une assurance sur le degré de maîtrise de ses opérations, lui apporte ses conseils pour les améliorer, et contribue à créer de la valeur ajoutée. Il aide cette organisation à atteindre ses objectifs en évaluant, par une approche systématique et méthodique, ses processus de management des risques, de contrôle, et de gouvernement d'entreprise, et en faisant des propositions pour renforcer leur efficacité. » 2.2.2 Les audits externes Les audits externes comprennent ce que l’on appelle généralement les « audits seconde ou tierce partie ». TOPO Audit Le 13 juin 2017 Page 2 sur 45 Les audits « seconde partie » sont réalisés pour des parties, telles que les actionnaires ou des clients, ayant un intérêt direct dans l’organisme, ou par d’autres personnes en leur nom. Un audit dit « Fournisseur » est un audit « seconde partie ». Les audits tierce partie sont nécessairement réalisés par des organismes externes indépendants. De tels organismes, généralement accrédités (voir norme NF ISO/CE 17021), fournissent l’enregistrement ou la certification de conformité à des exigences comme celles de l’ISO 9001 ou 14001 relative aux systèmes de management de la sécurité de l'information. 2.2.3 Autres dénominations d’audit Lorsque les systèmes de gestion de la qualité et environnemental sont audités simultanément, on parle d’audit commun. Lorsque le système de management de la Qualité, de l'Environnement et de la SST (Santé et sécurité au travail) est intégré, on parle d’audit intégré QSE. Le domaine le plus connu, le plus répandu et le plus ancien est l'audit légal externe comptable et financier, à savoir l'examen de la validité, conformité et sincérité des divers états financiers et rapports publics de gestion émis par une entreprise. Il s'agit de l'audit légal, ou commissariat aux comptes en France, spécifiquement réglementé pour les sociétés cotées en bourse. L'audit des systèmes d'information (audit informatique) est aussi une activité essentielle dans la maîtrise des opérations de l'entreprise. Il existe d'autres types d'audit spécialisés dans les contextes où il existe des normes et une réglementation forte (sécurité de l'homme au travail, environnement, hygiène et sécurité alimentaire...) 2.2.4 Tableau récapitulatif des principaux types d’audit Types d’audits Audit interne (première partie) Audits externes Audit client (seconde partie) Audit de classification (troisième partie) Client L’audité (l’entreprise, le directeur Un client de l’audité L’entreprise auditée Référentiel Manuel qualité et procédures, et tout autre document interne Exigences décrites dans le contrat entre l’entreprise et son client Norme de l’organisme certificateur Domaines à auditer Définis par l’entreprise elle- même Définis par le client Définis par l’entreprise TOPO Audit Le 13 juin 2017 Page 3 sur 45 Types d’audits Audit interne (première partie) Audits externes Audit client (seconde partie) Audit de classification (troisième partie) Auditeur Qualifié par l’entreprise Qualifié ou mandaté par le client Qualifié ou mandaté par l’organisme certificateur Documents pour préparer l’audit Manuel qualité procédure, instruction si nécessaire Manuel qualité Manuel qualité et procédures si nécessaires Durée Courte et continue : 0,5 à 1 journée Moyenne et continue : 1 à 5 journée Longue et continue Le cadre de cette formation est centré sur l’audit interne et audit fournisseur. TOPO Audit Le 13 juin 2017 Page 4 sur 45 Vocabulaire Audit : processus systématique, indépendant et documenté en vue d'obtenir des preuves d'audit et de les évaluer de manière objective pour déterminer dans quelle mesure les critères d'audit sont satisfaits. Critères d’audit : ensemble de politiques, procédures ou exigences (référentiel d’audit). Preuves d’audit : enregistrements, énoncés de faits ou autres informations, qui se rapportent aux critères d’audit et sont vérifiables. Constats d’audit : résultats de l'évaluation des preuves d'audit recueillies, par rapport aux critères d'audit. Conclusions d’audit : résultat d'un audit fourni par l'équipe d'audit après avoir pris en considération les objectifs de l’audit et tous les constats d'audit. Commanditaire de l’audit : organisme ou personne demandant un audit. Audité : organisme qui est audité. Auditeur : personne possédant la compétence nécessaire pour réaliser un audit. Equipe d’audit : un ou plusieurs auditeurs réalisant un audit, assistés, si nécessaire, par des experts techniques Expert technique : personne apportant à l’équipe d’audit des connaissances ou une expertise spécifiques. Programme d’audit : ensemble d'un ou plusieurs audits planifiés dans un laps de temps et dans un but déterminés. Plan d’audit : description des activités et des dispositions nécessaires pour réaliser un audit. Champ de l’audit : étendue et limites d'un audit. Compétence : qualités personnelles et capacité démontrées à appliquer des connaissances et des aptitudes. Principales normes de l’industrie et des services Une norme, du latin norma « équerre, règle », désigne un état considéré le plus souvent comme une règle à suivre. Dans le domaine de l’industrie et des services, les normes les plus répandues sont les suivantes : Qualité ISO 9000 : Systèmes de management de la qualité - principes essentiels et vocabulaire. ISO 9001 : Systèmes de management de la qualité – Exigences. ISO 9004 : Systèmes de management de la qualité - Lignes directrices pour l'amélioration des performances. Qualité automobile ISO/TS 16949 : Référentiel commun basé sur la norme ISO 9001 avec des exigences propres au marché de l'automobile. Qualité laboratoires d'analyse ISO 15189 : Qualité et compétence des laboratoires de biologie médicale. ISO 17025 : Qualité et compétence des laboratoires d'étalonnages et d'essais. TOPO Audit Le 13 juin 2017 Page 5 sur 45 Qualité projets ISO 10006 : Management de la qualité appliqué aux projets. Technologies de l'information et de la communication ISO 15489 : Records management, sur la gestion des documents d'archive et les métadonnées. ISO 15836 : Information et documentation - L'ensemble des éléments de métadonnées Dublin Core. ISO 22310:2006 : Information et documentation -- Lignes directrices pour les rédacteurs de normes pour les exigences de "records management" dans les normes. ISO 23081-1:2006 : Information et documentation - Processus de gestion des enregistrements - Métadonnées pour les enregistrements - Partie 1 : Principes (2006). ISO 11898 : Gestionnaire de réseau de communication (CAN). ISO 9126 : Gestion des exigences logicielles. ISO 15504 : Technologies de l'information - Évaluation des procédés. Sécurité des Systèmes d'Information ISO 13335 : Concepts et modèles pour la gestion de la sécurité des TIC (1996). ISO 15408 : Critères communs pour l'évaluation de la sécurité des Technologies de l'Information. ISO/CEI 17799 : Code de bonnes pratiques pour la gestion de la sécurité d'information. ISO/CEI 27001 : Description des exigences pour la mise en place d'un Système de Management de la Sécurité de l'Information (SMSI). Responsabilité sociétale des entreprises ISO 26000 : responsabilité sociale des organisations. ISO 9001 : Qualité. ISO 14001 : Environnement. OHSAS 18001 : Santé Travail (pas une norme ISO). SA 8000 : Fournisseurs (standard). SD 21000 : Responsabilité sociétale et développement durable, norme française, n'a été mis en œuvre que pour des petites entreprises. Environnement, cycle de vie, échange de données ISO 14001 : Systèmes de management environnemental - Exigences et lignes directrices pour son utilisation (NF EN ISO 14001). ISO 14040 : Principes et cadre de la série ISO 14040. ISO 14041 : Définition de l'objectif, du champ d'étude et analyse de l'inventaire. ISO 14042 : Évaluation de l'impact du cycle de vie. ISO 14043 : Interprétation du cycle de vie. ISO 14048 : Formats d'échange de données informatisées. ISO uploads/Management/ audit-de-qualite.pdf