Révision ISO/IEC 17021 Version 2006 Version 2011 Évaluation de la conformité Exigences pour les organismes procédant à l'audit et à la certification des systèmes de management Adaptations et modalités de transition 17 janvier 2012 - Bruxelles 1
Pourquoi cette révision? Pour intégrer sous forme d exigences d les éléments pertinents de la norme ISO 19011 applicables à tout audit tierce partie de système de management» Management de la compétence de l OC incluant la compétence des équipes d audit» Processus d audit Pour améliorer la compréhension et le management des compétences Remarque: Les exigences sont générales, des liens doivent être faits avec des documents spécifiques (ISO/TS 22003 ou ISO 27006) Des normes d application sectorielle sont prévues 2
Généralités La norme est publiée le 1er février 2011 sous la référence ISO/CEI 17021:2011 et avec le même titre: Évaluation de la conformité Exigences pour les organismes procédant à l'audit et à la certification des systèmes de management Une revue systématique est prévue dans 1 an 3
Ce qui change Sommaire 1 Domaine d'application 2 Références normatives 3 Termes et définitions Changements légers 4 Principes 5 Exigence générales 6 Exigences structurelles 7 Exigences relatives aux ressources 8 Exigences relatives aux informations 9 Exigences relatives aux processus 10 Exigences relatives au système de management des organismes de certification Changements significatifs 4
Ce qui change compétence et performance du personnel de l OC audit et processus de certification Sommaire Annexe A (normative) Connaissances et savoir-faire exigés Annexe B (informative) Méthodes possibles d'évaluation Annexe C (informative) Exemple d'un organigramme de détermination et de maintien des compétences Annexe D (informative) Comportements personnels souhaités Annexe E (informative) Audit tierce partie et processus de certification Annexe F (informative) Éléments à prendre en considération pour le programme, le périmètre ou le plan d'audit Bibliographie 5
Modifications Suppression de toutes les références normative à l ISO 19011 article 2 Références normatives: référence et note article 7: 7.2.5, 7.2.11 article 9:9.1.2, 9.1.3, 9.1.9, 9.1.10 article 10: 10.2.5 6
Modifications Remplacement de la plupart des références normatives à ISO 19011 par des références spécifiques liées à la compétence et aux audits tierce partie de certification 7
Modifications: article 3 Article 3 : Termes et définitions Ajout de 7 nouvelles définitions 3.4 audit tierce partie de certification 3.5 client 3.6 auditeur 3.7 compétence 3.8 guide 3.9 observateur 3.10 secteur technique 8
Modifications: article 3 Article 3 : Termes et définitions Important: 3.10. secteur technique: «secteur caractérisé par des éléments communs des processus se rapportant à un type spécifique de système de management élément clef pour les critères de compétence (7.1.2.) 9
Modifications: article 4 Article 4: Principes 4.3 suppression d une phrase ne correspondant plus à la nouvelle définition de la compétence (Nouvelle définition en 3.7 «aptitude à mettre en pratique des connaissances et un savoir-faire pour obtenir les résultats escomptés») 10
Modifications: article 7 Article 7 : Exigences relatives aux ressources Ajout de 2 nouvelles exigences 7.1.2 Détermination des critères de compétence avec référence à l Annexe A (normative) 7.1.3 Processus d évaluation avec référence à l Annexe B (informative) Révision du paragraphe 7.2.4 Suppression des qualités personnelles applicables Ajout d une note faisant référence aux comportements personnels souhaités décrits à l Annexe D (informative) 11
Modifications: article 7.1.2 7.1.2. Détermination des critères de compétence L'organisme de certification doit disposer d'un processus documenté pour déterminer les critères de compétences des membres du personnel impliqués dans le management et la réalisation des audits et de la certification. Les critères de compétence doivent être déterminés pour: - chaque type de norme ou de spécification de système de management, - chaque secteur technique - pour chaque fonction du processus de certification. L'Annexe A spécifie les connaissances et le savoir-faire qu'un organisme de certification doit définir pour remplir des fonctions spécifiques. 12
13
Modifications: article 7.1.2. 7.1.2. Détermination des critères de compétence L'expression «secteur technique» peut s'appliquer de façon différente en fonction de la norme de système de management considérée. Quel que soit le système de management, l'expression s'applique aux produits et processus entrant dans le domaine d'application de la norme du système de management. Les secteurs techniques peuvent être définis par un programme de certification spécifique (par exemple l'iso/ts 22003); sinon, ils peuvent être déterminés par l'organisme de certification. Domaines techniques: - doivent être déterminés par l OC - peuvent être différent pour les différents OC 14
Modifications: article 7.1.3 7.1.3 Processus d'évaluation L'organisme de certification doit disposer de processus documentés d'évaluation initiale des compétences et de la surveillance continue des compétences et des performances de tous les membres du personnel impliqués dans le management et la réalisation des audits et de la certification, en appliquant les critères de compétence déterminés. L'organisme de certification doit démontrer que ses méthodes d'évaluation sont efficaces... L'Annexe B décrit un certain nombre de méthodes d'évaluation pouvant servir à évaluer les connaissances et le savoir-faire. L'annexe informative C fournit un exemple de flux de processus pour définir et maintenir des compétences en utilisant les méthodes de l'annexe B (Note: Annexe C: Secteurs spécifiques = domaines techniques) 15
Modifications: article 7.2.4 7.2.4. processus définis lui permettant de sélectionner, former, autoriser formellement les auditeurs et choisir les experts techniques Note: Pendant le processus de sélection et de formation les comportements personnels souhaités peuvent être pris en compte. Ce sont des caractéristiques qui influencent la capacité d'une personne à réaliser des fonctions spécifiques. Par conséquent, le fait de connaître les comportements des personnes permet à un organisme de certification de tirer avantage de leurs forces et de réduire au minimum l'impact de leurs faiblesses. L'Annexe D décrit les comportements personnels souhaités qui présentent de l'importance pour le personnel impliqué dans les activités de certification. 16
Modifications: article 9 Article 9: Exigences relatives aux processus 9.1 Exigences générales 9.2 Evaluation et certification initiales 17
Modifications 9.1.: ce qui change Dans le chapitre exigences générales, chaque clause a un titre. De nombreuses exigences issues de l ISO 19011 ont été ajoutées. La clause 9.1.9 est la plus renforcée. 9.1.1 1 nouvelle exigence 9.1.2 6 nouvelles exigences 9.1.3 4 nouvelles exigences 9.1.4 1 nouvelle exigence 9.1.9 16 nouvelles exigences 9.1.10 1 nouvelle exigence 9.1.11 1 nouvelle exigence 18
Modifications: 9.1. 9.1 Exigences générales 9.1.1 Programme d audit 9.1.2 Plan d audit 9.1.3 Constitution de l équipe d audit et affectation des missions 9.1.4 Détermination de la durée de l audit 9.1.5 Echantillonnage multi-site 9.1.6 Communication des tâches de l équipe d audit 9.1.7 Communication concernant les membres de l équipe d audit 9.1.8 Communication du plan d audit 9.1.9 Réalisation des audits sur site 9.1.10 Rapport d audit 9.1.11 Analyse des causes de non-conformités 9.1.12 Efficacité des corrections et actions correctives 9.1.13 Audits supplémentaires 9.1.14 Décision de certification 9.1.15 Actions précédant la prise de décision 19
Modifications: 9.1.1. détail 9.1.1. programme d'audit Un programme d'audit d'un cycle complet de certification doit être élaboré pour identifier clairement la (les) activité(s) d'audit requise(s) pour démontrer que le système de management du client répond aux exigences de la certification à la (aux) norme(s) ou à l'(aux) autre(s) document(s) normatif(s) choisi(s). L'Annexe E présente un organigramme d'un audit et d'un processus de certification de tierce partie typique. L'Annexe F énumère des éléments supplémentaires qui peuvent être pris en compte lors de l'élaboration ou de la révision d'un programme d'audit. 20
Modifications 9.1.2: détail 9.1.2 Plan d'audit 9.1.2.2 Détermination des objectifs, du périmètre et des critères de l'audit: - Les objectifs de l'audit; OC. Le périmètre de l'audit et ses critères, y compris toutes modifications: OC après discussion avec le client. - Lorsque le processus initial ou de renouvellement de la certification comprend plus d'un audit (par exemple lorsqu'il couvre différents emplacements), le périmètre de l'audit individuel peut ne pas couvrir la totalité du périmètre de la certification, mais l'ensemble des audits doit correspondre au périmètre du document de certification. - Les critères d'audit doivent servir de référence pour la détermination de la conformité et doivent comprendre les exigences d'un document normatif défini sur les systèmes de management, et les processus définis et la documentation du système de management élaboré par le client. 21
Modifications: 9.1.3 détail 9.1.3 Constitution de l'équipe d'audit et affectation des missions 9.1.3.2 En décidant de la taille et de la composition de l'équipe d'audit, les points suivants doivent être pris en considération: b) si l'audit est un audit combiné, intégré ou conjoint; d) les exigences de la certification (y compris toutes les exigences légales, réglementaires ou contractuelles applicables); f) si les membres de l'équipe d'audit ont été amenés auparavant à auditer le système de management du client. 9.1.3.4 Des auditeurs en formation peuvent être intégrés à l'équipe d'audit en tant que participants, à condition qu'un auditeur soit nommé comme évaluateur. L'évaluateur doit avoir les compétences nécessaires pour prendre le contrôle des tâches et assurer la responsabilité finale des actions et des résultats de l'auditeur en formation. 22
Modifications: 9.1.4 détail 9.1.4 Détermination de la durée de l'audit: 9.1.4.1. Lorsqu'il détermine la durée de l'audit, il convient que l'organisme de certification tienne compte, entre autres, des aspects suivants: g) les risques associés aux produits, aux processus ou aux activités de l'organisme; h) si les audits sont combinés, conjoints ou intégrés. Quand des critères de compétences supplémentaires ont été déterminés pour un programme de certification spécifique, par exemple l'iso/ts 22003 ou l'iso/cei 27006, ces critères doivent être appliqués. 9.1.4.2. Le temps passé par un membre quelconque de l'équipe qui n'a pas été désigné comme auditeur (c'est-à-dire les experts techniques, les traducteurs, les interprètes, les observateurs et les auditeurs en formation) ne doit pas être compté dans la durée d'audit déterminée ci-dessus. Note: Le recours à des traducteurs, des interprètes, peut nécessiter une durée d'audit supplémentaire 23
Modifications: 9.1.9. détail 9.1.9 Réalisation des audits sur site: 9.1.9.2 Conduite de la réunion d'ouverture La réunion d'ouverture, doit comprendre les éléments suivants. Le degré de détail doit être adapté à la familiarité du client avec le processus d'audit: k) confirmation que le responsable de l'équipe d'audit et l'équipe d'audit, qui représentent l'organisme de certification, sont responsables de l'audit et de l'exécution du plan d'audit, y compris des activités et des cheminements d'audit; 9.1.9.3.2 Lorsque les preuves disponibles de l'audit indiquent que les objectifs de l'audit sont irréalisables ou suggèrent la présence d'un risque immédiat et significatif (par exemple en matière de sécurité), le responsable de l'équipe d'audit doit rapporter ces faits au client et, si possible, à l'organisme de certification pour déterminer une action appropriée. Une telle action peut comprendre la reconfirmation ou la modification du plan d'audit, la modification des objectifs ou du périmètre de l'audit, ou l'arrêt de l'audit. Le responsable de l'équipe d'audit doit rendre compte à l'organisme de certification du résultat de l'action entreprise. 24
Modifications: 9.1.9 détail 9.1.9 Réalisation des audits sur site: 9.1.9.4.1. Observateurs La présence d'observateurs pendant une activité d'audit et sa justification doivent être convenues entre l'organisme de certification et le client avant le démarrage de l'audit. L'équipe d'audit doit s'assurer que les observateurs n'influencent pas ou ne perturbent pas le processus d'audit ou les résultats de l'audit. Rem: Les observateurs peuvent être des membres de l'organisme du client, des consultants, du personnel d'un organisme d'accréditation, des régulateurs ou toutes autres personnes dont la présence est justifiée. 9.1.9.4.2. Guides Chaque auditeur doit être accompagné d'un guide, à moins qu'il n'en soit convenu autrement entre le responsable de l'équipe d'audit et le client. 25
Modifications: 9.1.9. détail 9.1.9 Réalisation des audits sur site: 9.1.9.6.1 Les constats d'audit résumant la conformité et détaillant la nonconformité,, doivent être enregistrées et faire l'objet d'un rapport pour décider, en toute connaissance de cause, de la délivrance ou du maintien d'une certification. 9.1.9.6.2 À moins que les exigences d'un programme de système de management ne l'interdisent, il est possible d'identifier et d'enregistrer des suggestions d'amélioration. Toutefois, les constats d'audit qui correspondent à des non-conformités selon 9.1.15 b) et c) ne doivent pas être enregistrés en tant que suggestions d'amélioration. 9.1.9.6.3 Les non-conformités doivent faire l'objet d'une discussion avec le client, en vue de s'assurer que les éléments de preuve sont exacts et que les non-conformités sont bien comprises. L'auditeur doit cependant s'abstenir d'avancer les causes des non-conformités ou de préconiser des solutions. 9.1.9.6.4 Le responsable de l'équipe d'audit doit tenter de résoudre toute divergence d'opinion entre l'équipe d'audit et le client sur les preuves ou les constats d'audit. Les points non résolus doivent être enregistrés. 26
Modifications: 9.1.9 détail 9.1.9 Réalisation des audits sur site: 9.1.9.7 Préparation des conclusions d'audit Avant la réunion de clôture, l'équipe d'audit doit. d) confirmer l'adéquation du programme d'audit ou identifier toute modification nécessaire (par exemple le périmètre, le moment ou les dates de l'audit, la fréquence des actions de surveillance, les compétences). 9.1.9.8 Conduite de la réunion de clôture 9.1.9.8.1. La réunion de clôture, qui doit être normalement animée par le responsable de l'équipe d'audit, a pour objectif de présenter les conclusions de l'audit, y compris les recommandations relatives à la certification.. 27
Modifications: 9.1.9 détail 9.1.9 Réalisation des audits sur site: 9.1.9.8.2 La réunion de clôture doit aussi inclure les éléments suivants. Le degré de détail doit être adapté à la familiarité du client avec le processus d'audit: a) notifier au client que les preuves d'audit recueillies étaient fondées sur un échantillon d'informations, introduisant, de ce fait, un élément d'incertitude; b) la méthode et le délai utilisés pour rendre compte, y compris le classement des constats d'audit; c) le processus de l'organisme de certification pour le traitement des nonconformités, incluant toutes les conséquences relatives au statut de la certification du client; e) les activités post-audit de l'organisme de certification; f) des informations sur les processus de traitement des plaintes et d'appel. 9.1.9.8.3 Le client doit avoir la possibilité de poser des questions.. Les divergences d'opinion qui n'ont pas été résolues doivent être enregistrées et transmises à l'organisme de certification. 28
Modifications: 9.1.10. détail 9.1.10 Rapport d audit 9.1.10.2 Le rapport d'audit doit fournir un enregistrement précis, concis et clair de l'audit pour permettre de prendre une décision de certification éclairée et doit comporter ou faire référence à ce qui suit: a) l'identification de l'organisme de certification; b) le nom et l'adresse du client et de la personne représentant la direction du client; c) le type d'audit (par exemple audit initial, de surveillance, de renouvellement de la certification);. g) l'identification du responsable de l'équipe d'audit, des membres de l'équipe d'audit et des personnes accompagnantes; i) les constats, les preuves et les conclusions de l'audit, correspondant aux exigences du type d'audit; 29
Modifications: 9.1.12. détail 9.1.12 Efficacité des corrections et actions correctives L'organisme de certification doit passer en revue les corrections, les causes identifiées et les actions correctives soumises par le client pour déterminer si elles sont acceptables. L'organisme de certification doit vérifier l'efficacité des corrections et des actions correctives entreprises. Les preuves obtenues pour confirmer la résolution des nonconformités doivent être enregistrées. Le client doit être tenu informé du résultat de la revue et de la vérification. Remarque: La vérification de l'efficacité de la correction et de l'action corrective peut être réalisée sur la base d'un examen de la documentation fournie par le client ou, si nécessaire, par une vérification sur site. 30
Modifications: 9.2. 9.2: Evaluation et certification initiales Ajout d une nouvelle exigence 9.2.2.2 enregistrement des justifications de la décision de refuser la demande de certification 31
Conséquences Pour les organismes certificateurs: - Adapter/clarifier/décrire le processus de détermination des critères de compétence (connaissance + savoir-faire) et de l évaluation - Modifier le contenu des plans d audit - Adapter la façon de mener les audits - Modifier le contenu des rapports d audits Pour l organisme d accréditation -Vérification du processus de détermination des compétences (critères de compétence et évaluation) - Dans la pratique vérifier que toutes les nouvelles exigences ont été prises en compte pour la réalisation de l audit - Vérification approfondie des rapports d audits 32
Transition Sur recommandation d un groupe d étude du Comité technique (TC) de l IAF, une période de transition de 24 mois après la publication a été convenue par le TC de l IAF, l Assemblée générale de l IAF, et le groupe de travail conjoint IAF-ILAC-ISO. Communiqué commun IAF-ISO : Echéance 1 février 2013 pour la transition Detail: IAF ID 2: 2011 Information on the Transition of Management System Accreditation to ISO/IEC 17021:2011 from ISO/IEC 17021: 2006 33
Transition: BELAC Une nouvelle version du document BELAC 6-108 (rev 1) identifie toutes les nouvelles exigences. En principe il ne sera pas prévu d audit supplémentaire. La transition sera évaluée lors des audits réguliers. Le programme des audits réguliers sera éventuellement adapté pour pouvoir réaliser cette évaluation à temps. A partir du 1 er avril 2012 tous les audits seront exécutés selon ISO 17021:2011. Les OC doivent avant l audit indiquer en détail comment ils répondent aux nouvelles exigences. 34
Transition: BELAC A cette fin les OC doivent transmettre la check-list d auto-évaluation complétée à BELAC au plus tard 2 semaines avant l audit et y ajouter les pièces justificatives suivantes: - Les champs techniques choisis par le CB avec les critères de compétence; - un exemple d'un dossier personnel qui établit la compétence en conformité avec les exigences de la nouvelle norme; - un exemple d'un nouveau rapport d'audit; - le rapport de l'audit interne exécuté pour vérifier la mise en œuvre des nouvelles exigences de la norme. 35
Transition: BELAC Lors de l audit au siège les points suivants seront évalués: - la mise en œuvre de l'audit interne en relation avec les changements (check-list d'auto-évaluation) - les dossiers du personnel qui établissent la compétence sur base des exigences de compétence (répondre aux exigences de qualification n est pas suffisant), - les dossiers de certification qui démontrent que les changements sont pris en compte (entre autres les exigences pour le contenu des rapports). 36
Transition: BELAC Les non-conformités liées à des exigences de la norme ISO 17021:2011 qui n étaient pas des non-conformités selon l ancienne version de la norme et ISO 19011 sont qualifiées comme des non-conformités B: L'organisme de certification a jusqu'au 1 décembre 2012 au plus tard pour mettre en œuvre des mesures correctives. BELAC évaluera ces mesures avant le 1er Janvier 2013 et les décisions d'accréditation seront prises lors du bureau de janvier 2013. Tout accréditation selon la norme ISO 17021: 2006 se termine le 1 février 2013. 37
Initiatives de l ISO ISO/IEC TS 17022 Conformity assessment -- Requirements and recommendations for the content of a third-party audit report on management systems. CASCO WG 33. Draft ISO TC 207/CASCO New work item EMS auditor competence ISO TC 176/CASCO New work item QMS auditor competence 38
Belac: Documents auto-évaluation Belac a édité une check-list de vérification adaptée: BELAC 6-108-Rev.1 Une version avec identification des changements en gris est disponible: elle doit être utilisée pour l'autoévaluation par les OC. Outre les changements apportés aux exigences de la norme ISO 17021, une liste des documents complémentaires qui doivent être respectées est ajoutée. Les documents cités ont été ajustés si nécessaire pour la norme ISO 17021:2011 Les modèles de rapports d audit sont également modifiés. 39
Documentation Summary of real changes 3 presentations (based on material provided by Randy Dougherty, US-ANSI): http://www.iso.org/iso/resources/conformity_assessment/ casco_tutorial_iso-iec-17021.htm 40