Normalisation et exigences dans le DM : comment l’audit qualité se positionne-t-il ?

Une définition normalisée de l’audit

L’ISO 13485, référentiel qualité majeur dans le domaine du dispositif médical, s’appuie sur le vocabulaire ISO9000 :2015 (principes essentiels et vocabulaire). L’audit y est défini comme un « processus méthodique, indépendant et documenté, permettant d’obtenir des preuves objectives et de les évaluer de manière objective pour déterminer dans quelle mesure les critères d’audit sont satisfaits ».

Un « processus » normalisé pour l’audit

Oui, un processus au sens commun du terme : « ensemble d’activités corrélées ou en interaction … » … il ne s’agit donc pas nécessairement de l’un des « Processus » spécifiques au système de management de la qualité d’une entreprise et documenté dans son manuel qualité.

Ce processus est caractérisé par l’ISO 19011 :2018 « Lignes directrices pour l'audit des systèmes de management », avec des activités de programmation, de réalisation et de suivi, comme d’autres liées à la compétence de l’auditeur.

L’audit …  du 1er au 3ème type

  • L’audit interne, première partie, est réalisé par ou pour le compte de l’organisme luimême (que l’auditeur soit interne, ou externe)
  • L’audit externe, seconde partie, est réalisé par ou pour le compte du client ; en effet miroir, il s’agit donc aussi de l’audit fournisseur
  • L’audit externe, tierce partie, est réalisé par l’organisme notifié dans le cadre d’une procédure de marquage pour le fabricant, voire par un organisme certificateur pour un soustraitant.

Des règles spécifiées, selon le type

  • Le processus relatif aux audits internes est défini dans une procédure documentée, exigence formelle de l’ISO 13485
  • L’exigence de sélection ou d’évaluation des fournisseurs implique la nécessité de définir des critères, dans une approche risque ; ce amène aux audits fournisseurs, même si l’exigence normative n’est pas formelle en la matière
  • Pour ce qui de l’audit tierce partie, l’entreprise ne peut qu’appliquer la règle de l’organisme auditeur, alors partie intéressée plus que fournisseur ; en revanche, avec un organisme notifié, l’existence des audits inopinés nécessite la détermination de règles spécifiées en interne, pour maîtriser l’arrivée impromptue de l’auditeur

Et dans la pratique … Quelle(s) procédure(s) ?

Faut-il regrouper dans une seule et même procédure d’audit, les règles relatives à l’audit interne, l’audit fournisseur ou l’audit inopiné ? Est-ce préférable de les séparer en intégrant l’audit interne à un processus d’évaluation, l’audit fournisseur à un processus achat, et l’audit inopiné à une procédure relative au management ou à la gestion des ressources humaines ?

Tout va dépendre des « Processus » déterminés au sein du système de management de l’entreprise, comme des responsabilités relatives aux activités d’audit. Que l’on soit auditeur ou audité, il nous faut maîtriser.

Laurent Note, consultant

 

Retrouvez toutes les publications de votre rendez-vous « Qualité et DM : les deux font la paire ! »

 

    • Marie-christine OTTINI
      Marie-christine OTTINI

      Audit interne, externe (fournisseur) ou tierce partie (inopiné ou pas) mettent en jeu des types d'actions dont certaines sont différentes et d'autres semblables. En tout cas, l'audit tierce partie n'est pas un processus interne à l'entreprise. Il n'y est pas déclenché. L'entreprise a le devoir d'y répondre, comme de répondre aux audits internes, mais avec des enjeux et des risques différents. Je ne le considère pas comme un processus de l'entreprise. Quant à savoir s'il faut une procédure pour décrire la conduite à tenir vis à vis de ce type d'audit, si cela est utile, pourquoi pas? Personnellement, je ne le pense pas. Par contre, tout le personnel est sensé connaître la politique qualité de l'entreprise, à quoi elle sert, comment elle est mis en oeuvre. Il est absolument nécessaire de le rappeler au moyen de formations au système qualité, de communiquer sur les résultats qualité, les objectifs, et d'inscrire dans les définitions de fonction les tâches qui y sont relatives selon les roles de tout un chacun.

      Concernant les audits internes et externes, ils peuvent faire l'objet d'une seule et même procédure car le mécanisme mis en jeu est à peu près similaire. Certains préfèrent avoir 2 procédures distinctes. Je dirais que cela dépend du niveau de détail dans lequel on souhaite descendre dans le descriptif du processus d'audit et aussi des rôles et responsabilités dans ce type d'audit.

      • Laurent NOTE
        Laurent NOTE

        Bonjour Marie-Christine. Merci pour le commentaire. Effectivement l’audit tierce partie est plus que rarement considéré comme un processus à part entière du système de management. Même s’il est déclenché contractuellement par l’entreprise. En complément, l’organisme tierce partie est une partie intéressée, pas vraiment cliente, plutôt prestataire particulier, ayant une forte influence. Il est vrai que dans ce cadre, une procédure documentée n’est pas obligatoire, mais l’existence d’audits inopinés de la part de ces organismes n’implique-t-elle pas, a minima, la détermination de délégations au sein de l'entreprise, ou de règles à tenir, en cas d’absence des fonctions concernées lors d’un audit « surprise ».

        • Marie-christine OTTINI
          Marie-christine OTTINI

          Oui tout à fait, Laurent

          L'entreprise doit être prête à tout moment à être auditée. Un système qualité qui fonctionne bien est un système qualité utile et utilisé. Sinon il ne sert à rien. Il serait comme une automobile qui ne serait jamais utilisée et qui passerait le contrôle technique une fois tous les 2 ans, juste pour avoir un certificat.

          Le personnel doit être prêt à être interrogé sur son mode de fonctionnement et son rapport au système qualité. Cela fait partie de sa formation.

          Quant à mettre en place une délégation: pour quelle(s) tâche(s) ? Si c'est pour expliquer le fonctionnement de l'unité qualité, soit l'un ou plusieurs des membres de l'unité est apte à le faire et cela est décrit dans la définition de fonction, soit c'est à la Direction de le faire et aucune délégation n'est à mettre en place.

          C'est ma vision: formation, responsabilisation, simplicité.