ISO/FDIS 19011-A
(Main)Guidelines for quality and/or environmental management systems auditing - Part A: Document identified as Part A and B to facilitate balloting by both ISO/TC 176/SC 3 and ISO/TC 207/SC 2
Guidelines for quality and/or environmental management systems auditing - Part A: Document identified as Part A and B to facilitate balloting by both ISO/TC 176/SC 3 and ISO/TC 207/SC 2
ISO 19011:2002 provides guidance on the principles of auditing, managing audit programmes, conducting quality management system audits and environmental management system audits, as well as guidance on the competence of quality and environmental management system auditors. It is applicable to all organizations needing to conduct internal or external audits of quality and/or environmental management systems or to manage an audit programme. The application of ISO 19011 to other types of audits is possible in principle provided that special consideration is paid to identifying the competence needed by the audit team members in such cases.
Lignes directrices pour l'audit des systèmes de management de la qualité et/ou de management environnemental — Partie A: Document indentifié comme partie A et B afin de faciliter le vote par les deux ISO/TC 176/SC 3 et ISO/TC 207/SC 2
L'ISO 19011:2002 fournit des conseils sur les principes de l'audit, le management des programmes d'audit, la réalisation d'audits de systèmes de management de la qualité et/ou de management environnemental ainsi que sur la compétence des auditeurs de ces systèmes. Elle est applicable à tous les organismes qui doivent réaliser des audits internes ou externes de systèmes de management de la qualité et/ou de management environnemental ou manager un programme d'audit. L'ISO 19011 peut, en principe, s'appliquer à d'autres types d'audits, à condition toutefois d'accorder une attention particulière à l'identification des compétences requises pour les membres de ces équipes d'audit.
General Information
Relations
Frequently Asked Questions
ISO/FDIS 19011-A is a draft published by the International Organization for Standardization (ISO). Its full title is "Guidelines for quality and/or environmental management systems auditing - Part A: Document identified as Part A and B to facilitate balloting by both ISO/TC 176/SC 3 and ISO/TC 207/SC 2". This standard covers: ISO 19011:2002 provides guidance on the principles of auditing, managing audit programmes, conducting quality management system audits and environmental management system audits, as well as guidance on the competence of quality and environmental management system auditors. It is applicable to all organizations needing to conduct internal or external audits of quality and/or environmental management systems or to manage an audit programme. The application of ISO 19011 to other types of audits is possible in principle provided that special consideration is paid to identifying the competence needed by the audit team members in such cases.
ISO 19011:2002 provides guidance on the principles of auditing, managing audit programmes, conducting quality management system audits and environmental management system audits, as well as guidance on the competence of quality and environmental management system auditors. It is applicable to all organizations needing to conduct internal or external audits of quality and/or environmental management systems or to manage an audit programme. The application of ISO 19011 to other types of audits is possible in principle provided that special consideration is paid to identifying the competence needed by the audit team members in such cases.
ISO/FDIS 19011-A is classified under the following ICS (International Classification for Standards) categories: 03.120.10 - Quality management and quality assurance; 13.020.10 - Environmental management. The ICS classification helps identify the subject area and facilitates finding related standards.
ISO/FDIS 19011-A has the following relationships with other standards: It is inter standard links to ISO 19011:2002, ISO 10345-1:1992, ISO 3826-1:2013. Understanding these relationships helps ensure you are using the most current and applicable version of the standard.
You can purchase ISO/FDIS 19011-A directly from iTeh Standards. The document is available in PDF format and is delivered instantly after payment. Add the standard to your cart and complete the secure checkout process. iTeh Standards is an authorized distributor of ISO standards.
Standards Content (Sample)
FINAL
INTERNATIONAL ISO/FDIS
DRAFT
STANDARD 19011
ISO/TC 176/SC 3
Guidelines for quality and/or environmental
Secretariat: NEN
management systems auditing
Voting begins on:
2002-06-13
Lignes directrices pour l'audit des systèmes de management de la qualité
et /ou de management environnemental
Voting terminates on:
2002-08-13
Please see the administrative notes on page iii
RECIPIENTS OF THIS DOCUMENT ARE INVITED
TO SUBMIT, WITH THEIR COMMENTS, NOTIFI-
CATION OF ANY RELEVANT PATENT RIGHTS OF
WHICH THEY ARE AWARE AND TO PROVIDE
SUPPORTING DOCUMENTATION.
IN ADDITION TO THEIR EVALUATION AS
Reference number
BEING ACCEPTABLE FOR INDUSTRIAL, TECHNO-
ISO/FDIS 19011:2002(E)
LOGICAL, COMMERCIAL AND USER PURPOSES,
DRAFT INTERNATIONAL STANDARDS MAY ON
OCCASION HAVE TO BE CONSIDERED IN THE
LIGHT OF THEIR POTENTIAL TO BECOME STAN-
DARDS TO WHICH REFERENCE MAY BE MADE IN
NATIONAL REGULATIONS. ©
ISO 2002
ISO/FDIS 19011:2002(E)
PDF disclaimer
This PDF file may contain embedded typefaces. In accordance with Adobe's licensing policy, this file may be printed or viewed but shall not
be edited unless the typefaces which are embedded are licensed to and installed on the computer performing the editing. In downloading this
file, parties accept therein the responsibility of not infringing Adobe's licensing policy. The ISO Central Secretariat accepts no liability in this
area.
Adobe is a trademark of Adobe Systems Incorporated.
Details of the software products used to create this PDF file can be found in the General Info relative to the file; the PDF-creation parameters
were optimized for printing. Every care has been taken to ensure that the file is suitable for use by ISO member bodies. In the unlikely event
that a problem relating to it is found, please inform the Central Secretariat at the address given below.
Copyright notice
This ISO document is a Draft International Standard and is copyright-protected by ISO. Except as permitted
under the applicable laws of the user's country, neither this ISO draft nor any extract from it may be reproduced,
stored in a retrieval system or transmitted in any form or by any means, electronic, photocopying, recording or
otherwise, without prior written permission being secured.
Requests for permission to reproduce should be addressed to either ISO at the address below or ISO's member
body in the country of the requester.
ISO copyright office
Case postale 56 • CH-1211 Geneva 20
Tel. + 41 22 749 01 11
Fax + 41 22 749 09 47
E-mail copyright@iso.ch
Web www.iso.ch
Reproduction may be subject to royalty payments or a licensing agreement.
Violators may be prosecuted.
ii © ISO 2002 – All rights reserved
ISO/FDIS 19011:2002(E)
ISO/CISO/CISO/CISO/CEEEEN PAN PAN PAN PARALRALRALRALLELELELEL PROL PROL PROL PROCCCCESSINGESSINGESSINGESSING
The CEN Secretary-General has advised the ISO Secretary-General that this final draft International Standard
covers a subject of interest to European standardization. Consultation on the ISO/DIS had the same effect for
CEN members as a CEN enquiry on a draft European Standard. In accordance with subclause 5.1 of the Vienna
Agreement, this final draft, established on the basis of comments received, is hereby submitted to a parallel
two-month FDIS vote in ISO and formal vote in CEN.
Positive votes shall not be accompanied by comments.
Negative votes shall be accompanied by the relevant technical reasons.
Member bodies are reminded to consult relevant national interests in each of the technical fields concerned
[Quality management and quality assurance (ISO/TC 176), and Environmental management (ISO/TC 207),
before returning their ballot (one ballot for each technical committee) to the ISO Central Secretariat.
ISO/FDIS 19011:2002(E)
Contents Page
Foreword.v
Introduction .vi
1 Scope .1
2 Normative references .1
3 Terms and definitions .1
4 Principles of auditing .3
5 Managing an audit programme .4
5.1 General.4
5.2 Audit programme objectives and extent .6
5.3 Audit programme responsibilities, resources and procedures.7
5.4 Audit programme implementation .8
5.5 Audit programme records.8
5.6 Audit programme monitoring and reviewing.9
6 Audit activities .9
6.1 General.9
6.2 Initiating the audit.11
6.3 Conducting document review .13
6.4 Preparing for the on-site audit activities.13
6.5 Conducting on-site audit activities.14
6.6 Preparing, approving and distributing the audit report.20
6.7 Completing the audit .21
6.8 Conducting an audit follow-up.21
7 Competence and evaluation of auditors .21
7.1 General.21
7.2 Personal attributes .22
7.3 Knowledge and skills .22
7.4 Education, work experience, auditor training and audit experience.25
7.5 Maintenance and improvement of competence .27
7.6 Auditor evaluation .28
iv © ISO 2002 – All rights reserved
ISO/FDIS 19011:2002(E)
Foreword
ISO (the International Organization for Standardization) is a worldwide federation of national standards bodies (ISO
member bodies). The work of preparing International Standards is normally carried out through ISO technical
committees. Each member body interested in a subject for which a technical committee has been established has
the right to be represented on that committee. International organizations, governmental and non-governmental, in
liaison with ISO, also take part in the work. ISO collaborates closely with the International Electrotechnical
Commission (IEC) on all matters of electrotechnical standardization.
International standards are drafted in accordance with the rules given in the ISO/IEC Directives, part 3.
The main task of technical committees is to prepare International Standards. Draft International Standards
accepted by the technical committees are circulated to the member bodies for voting. Publication as an
International Standard requires approval by at least 75 % of the members casting a vote.
Attention is drawn to the possibility that some of the elements of this International Standard may be the subject of
patent rights. ISO shall not be held responsible for identifying any or all such patent rights.
ISO 19011 was prepared jointly by Technical Committee ISO/TC 176, Quality management and quality assurance,
Subcommittee SC 3, Supporting technologies, and Technical Committee ISO/TC 207, Environmental management,
Subcommittee SC 2, Environmental auditing and related environmental investigations.
This first edition of ISO 19011 cancels and replaces ISO 10011-1:1990, ISO 10011-2:1991, ISO 10011-3:1991,
ISO 14010:1996, ISO 14011:1996 and ISO 14012:1996.
ISO/FDIS 19011:2002(E)
Introduction
The ISO 9000 and ISO 14000 series of International Standards emphasize the importance of audits as a
management tool for monitoring and verifying the effective implementation of an organization's quality and/or
environmental policy. Audits are also an essential part of conformity assessment activities such as external
certification/registration and of supply chain evaluation and surveillance.
This International Standard provides guidance on the management of audit programmes, the conduct of internal or
external audits of quality and/or environmental management systems, as well as on the competence and evaluation
of auditors. It is intended to apply to a broad range of potential users, including auditors, organizations
implementing quality and/or environmental management systems, organizations needing to conduct audits of
quality and/or environmental management systems for contractual reasons, and organizations involved in auditor
certification or training, in certification/registration of management systems, in accreditation or in standardization in
the area of conformity assessment.
The guidance in this International Standard is intended to be flexible. As indicated at various points in the text, the
use of these guidelines can differ according to the size, nature and complexity of the organizations to be audited,
as well as the objectives and scopes of the audits to be conducted. Throughout this International Standard,
supplementary guidance or examples on specific topics are provided in the form of practical help in boxed text. In
some instances, this is intended to support the use of this International Standard in small organizations.
Clause 4 describes the principles of auditing. These principles help the user to appreciate the essential nature of
auditing and they are a necessary prelude to clauses 5, 6 and 7.
Clause 5 provides guidance on managing audit programmes and covers such issues as assigning responsibility for
managing audit programmes, establishing the audit programme objectives, coordinating auditing activities and
providing sufficient audit team resources.
Clause 6 provides guidance on conducting audits of quality and/or environmental management systems, including
the selection of audit teams.
Clause 7 provides guidance on the competence needed by an auditor and describes a process for evaluating
auditors.
Where quality and environmental management systems are implemented together, it is at the discretion of the user
of this International Standard as to whether the quality management system and environmental management
system audits are conducted separately or together.
Although this International Standard is applicable to the auditing of quality and/or environmental management
systems, the user can consider adapting or extending the guidance provided herein to apply to other types of
audits, including other management system audits.
This International Standard provides only guidance, however, users can apply this to develop their own audit-
related requirements.
In addition, any other individual or organization with an interest in monitoring conformance to requirements, such as
product specifications or laws and regulations, may find the guidance in this International Standard useful.
vi © ISO 2002 – All rights reserved
FINAL DRAFT INTERNATIONAL STANDARD ISO/FDIS 19011:2002(E)
Guidelines for quality and/or environmental management systems
auditing
1 Scope
This International Standard provides guidance on the principles of auditing, managing audit programmes,
conducting quality management system audits and environmental management system audits, as well as guidance
on the competence of quality and environmental management system auditors.
It is applicable to all organizations needing to conduct internal or external audits of quality and/or environmental
management systems or to manage an audit programme.
The application of this International Standard to other types of audit is possible in principle, provided that special
consideration is paid to identifying the competence needed by the audit team members in such cases.
2 Normative references
The following normative documents contain provisions which, through references in this text, constitute provisions
of this International Standard. For dated references, subsequent amendments to, or revisions of, any of these
publications do not apply. However, parties to agreements based on this International Standard are encouraged to
investigate the possibility of applying the most recent edition of the normative documents indicated below. For
undated references, the latest edition of the normative document referred to apply. Members of ISO and IEC
maintain registers of currently valid International Standards.
ISO 9000:2000, Quality management systems — Fundamentals and vocabulary
ISO 14050:2002, Environmental management — Vocabulary
3 Terms and definitions
For the purposes of this International Standard, the terms and definitions given in ISO 9000 and ISO 14050 apply,
unless superseded by the terms and definitions given below.
A term in a definition or note which is defined elsewhere in this clause is indicated by boldface followed by its entry
number in parentheses. Such a boldface term may be replaced in the definition by its complete definition.
3.1
audit
systematic, independent and documented process for obtaining audit evidence (3.3) and evaluating it objectively
to determine the extent to which audit criteria (3.2) are fulfilled
NOTE 1 Internal audits, sometimes called first-party audits, are conducted by, or on behalf of, the organization itself for
management review and other internal purposes, and may form the basis for an organization's self-declaration of conformity. In
many cases, particularly in smaller organizations, independence can be demonstrated by the freedom from responsibility for the
activity being audited.
ISO/FDIS 19011:2002(E)
NOTE 2 External audits include those generally termed second- and third-party audits. Second-party audits are conducted
by parties having an interest in the organization, such as customers, or by other persons on their behalf. Third-party audits are
conducted by external, independent auditing organizations, such as those providing registration or certification of conformity to
the requirements of ISO 9001 or ISO 14001.
NOTE 3 When a quality management system and an environmental management system are audited together, this is termed
a combined audit.
NOTE 4 When two or more auditing organizations cooperate to audit a single auditee (3.7), this is termed a joint audit.
3.2
audit criteria
set of policies, procedures or requirements
NOTE Audit criteria are used as a reference against which audit evidence (3.3) is compared.
3.3
audit evidence
records, statements of fact or other information, which are relevant to the audit criteria (3.2) and verifiable
NOTE Audit evidence may be qualitative or quantitative.
3.4
audit findings
results of the evaluation of the collected audit evidence (3.3) against audit criteria (3.2)
NOTE Audit findings can indicate either conformity or nonconformity with audit criteria or opportunities for improvement.
3.5
audit conclusion
outcome of an audit (3.1), provided by the audit team (3.9) after consideration of the audit objectives and all audit
findings (3.4)
3.6
audit client
organization or person requesting an audit (3.1)
NOTE The client may be the auditee (3.7) or any other organization which has the regulatory or contractual right to
request an audit.
3.7
auditee
organization being audited
3.8
auditor
person with the competence (3.14) to conduct an audit (3.1)
3.9
audit team
one or more auditors (3.8) conducting an audit (3.1), supported if needed by technical experts (3.10)
NOTE 1 One auditor of the audit team is appointed as the audit team leader.
NOTE 2 The audit team may include auditors-in-training.
2 © ISO 2002 – All rights reserved
ISO/FDIS 19011:2002(E)
3.10
technical expert
person who provides specific knowledge or expertise to the audit team (3.9)
NOTE 1 Specific knowledge or expertise is that which relates to the organization, the process or activity to be audited, or
language or culture.
NOTE 2 A technical expert does not act as an auditor (3.8) in the audit team.
3.11
audit programme
set of one or more audits (3.1) planned for a specific time frame and directed towards a specific purpose
NOTE An audit programme includes all activities necessary for planning, organizing and conducting the audits.
3.12
audit plan
description of the activities and arrangements for an audit (3.1)
3.13
audit scope
extent and boundaries of an audit (3.1)
NOTE The audit scope generally includes a description of the physical locations, organizational units, activities and
processes, as well as the time period covered.
3.14
competence
demonstrated personal attributes and demonstrated ability to apply knowledge and skills
4 Principles of auditing
Auditing is characterized by reliance on a number of principles. These make the audit an effective and reliable tool
in support of management policies and controls, providing information on which an organization can act to improve
its performance. Adherence to these principles is a prerequisite for providing audit conclusions that are relevant
and sufficient and for enabling auditors working independently from one another to reach similar conclusions in
similar circumstances.
The following principles relate to auditors.
a) Ethical conduct: the foundation of professionalism
Trust, integrity, confidentiality and discretion are essential to auditing.
b) Fair presentation: the obligation to report truthfully and accurately
Audit findings, audit conclusions and audit reports reflect truthfully and accurately the audit activities.
Significant obstacles encountered during the audit and unresolved diverging opinions between the audit team
and the auditee are reported.
c) Due professional care: the application of diligence and judgement in auditing
Auditors exercise care in accordance with the importance of the task they perform and the confidence placed
in them by audit clients and other interested parties. Having the necessary competence is an important factor.
Further principles relate to the audit, which is by definition independent and systematic.
ISO/FDIS 19011:2002(E)
d) Independence: the basis for the impartiality of the audit and objectivity of the audit conclusions
Auditors are independent of the activity being audited and are free from bias and conflict of interest. Auditors
maintain an objective state of mind throughout the audit process to ensure that the audit findings and
conclusions will be based only on the audit evidence.
e) Evidence-based approach: the rational method for reaching reliable and reproducible audit conclusions in a
systematic audit process
Audit evidence is verifiable. It is based on samples of the information available, since an audit is conducted
during a finite period of time and with finite resources. The appropriate use of sampling is closely related to the
confidence that can be placed in the audit conclusions.
The guidance given in the remaining clauses of this International Standard is based on the principles set out above.
5 Managing an audit programme
5.1 General
An audit programme may include one or more audits, depending upon the size, nature and complexity of the
organization to be audited. These audits may have a variety of objectives and may also include joint or combined
audits (see Notes 3 and 4 to the definition of audit in 3.1).
An audit programme also includes all activities necessary for planning and organizing the types and number of
audits, and for providing resources to conduct them effectively and efficiently within the specified time frames.
An organization may establish more than one audit programme.
The organization’s top management should grant the authority for managing the audit programme.
Those assigned the responsibility for managing the audit programme should
a) establish, implement, monitor, review and improve the audit programme, and
b) identify the necessary resources and ensure they are provided.
Figure 1 illustrates the process flow for the management of an audit programme.
4 © ISO 2002 – All rights reserved
ISO/FDIS 19011:2002(E)
Figure 1 — Illustration of the process flow for the management of an audit programme
NOTE 1 Figure 1 also illustrates the application of the Plan-Do-Check-Act process in this International Standard.
NOTE 2 The numbers in this and all subsequent figures refer to the relevant clauses of this International Standard.
If an organization to be audited operates both quality management and environmental management systems,
combined audits may be included in the audit programme. In such a case, special attention should be paid to the
competence of the audit team.
Two or more auditing organizations may cooperate, as part of their audit programmes, to conduct a joint audit. In
such a case, special attention should be paid to the division of responsibilities, the provision of any additional
resources, the competence of the audit team and the appropriate procedures. Agreement on these should be
reached before the audit commences.
ISO/FDIS 19011:2002(E)
Practical help — Examples of audit programmes
Examples of audit programmes include the following:
a) a series of internal audits covering an organization-wide quality management system for the current year;
b) second-party management system audits of potential suppliers of critical products to be conducted within
6 months;
c) certification/registration and surveillance audits conducted by a third-party certification/registration body on an
environmental management system within a time period agreed contractually between the certification body
and the client.
An audit programme also includes appropriate planning, the provision of resources and the establishment of
procedures to conduct audits within the programme.
5.2 Audit programme objectives and extent
5.2.1 Objectives of an audit programme
Objectives should be established for an audit programme, to direct the planning and conduct of audits.
These objectives can be based on consideration of
a) management priorities,
b) commercial intentions,
c) management system requirements,
d) statutory, regulatory and contractual requirements,
e) need for supplier evaluation,
f) customer requirements,
g) needs of other interested parties, and
h) risks to the organization.
Practical help — Examples of audit programme objectives
Examples of audit programme objectives include the following:
a) to meet requirements for certification to a management system standard;
b) to verify conformance with contractual requirements;
c) to obtain and maintain confidence in the capability of a supplier;
d) to contribute to the improvement of the management system.
6 © ISO 2002 – All rights reserved
ISO/FDIS 19011:2002(E)
5.2.2 Extent of an audit programme
The extent of an audit programme can vary and will be influenced by the size, nature and complexity of the
organization to be audited, as well as by the following:
a) the scope, objective and duration of each audit to be conducted;
b) the frequency of audits to be conducted;
c) the number, importance, complexity, similarity and locations of the activities to be audited;
d) standards, statutory, regulatory and contractual requirements and other audit criteria;
e) the need for accreditation or registration/certification;
f) conclusions of previous audits or results of a previous audit programme review;
g) any language, cultural and social issues;
h) the concerns of interested parties;
i) significant changes to an organization or its operations.
5.3 Audit programme responsibilities, resources and procedures
5.3.1 Audit programme responsibilities
The responsibility for managing an audit programme should be assigned to one or more individuals with a general
understanding of audit principles, of the competence of auditors and the application of audit techniques. They
should have management skills as well as technical and business under-standing relevant to the activities to be
audited.
Those assigned the responsibility for managing the audit programme should
a) establish the objectives and extent of the audit programme,
b) establish the responsibilities and procedures, and ensure resources are provided,
c) ensure the implementation of the audit programme,
d) ensure that appropriate audit programme records are maintained, and
e) monitor, review and improve the audit programme.
5.3.2 Audit programme resources
When identifying resources for the audit programme, consideration should be given to
a) financial resources necessary to develop, implement, manage and improve audit activities,
b) audit techniques,
c) processes to achieve and maintain the competence of auditors, and to improve auditor performance,
d) the availability of auditors and technical experts having competence appropriate to the particular audit
programme objectives,
e) the extent of the audit programme, and
f) travelling time, accommodation and other auditing needs.
ISO/FDIS 19011:2002(E)
5.3.3 Audit programme procedures
Audit programme procedures should address the following:
a) planning and scheduling audits;
b) assuring the competence of auditors and audit team leaders;
c) selecting appropriate audit teams and assigning their roles and responsibilities;
d) conducting audits;
e) conducting audit follow-up, if applicable;
f) maintaining audit programme records;
g) monitoring the performance and effectiveness of the audit programme;
h) reporting to top management on the overall achievements of the audit programme.
For smaller organizations, the activities above can be addressed in a single procedure.
5.4 Audit programme implementation
The implementation of an audit programme should address the following:
a) communicating the audit programme to relevant parties;
b) coordinating and scheduling audits and other activities relevant to the audit programme;
c) establishing and maintaining a process for the evaluation of the auditors and their continual professional
development, in accordance with 7.6 and 7.5;
d) ensuring the selection of audit teams;
e) providing necessary resources to the audit teams;
f) ensuring the conduct of audits according to the audit programme;
g) ensuring the control of records of the audit activities;
h) ensuring review and approval of audit reports, and ensuring their distribution to the audit client and other
specified parties;
i) ensuring audit follow-up, if applicable.
5.5 Audit programme records
Records should be maintained to demonstrate the implementation of the audit programme and should include the
following:
a) records related to individual audits, such as
audit plans,
audit reports,
nonconformity reports,
8 © ISO 2002 – All rights reserved
ISO/FDIS 19011:2002(E)
corrective and preventive action reports, and
audit follow-up reports, if applicable;
b) results of audit programme review;
c) records related to audit personnel covering subjects such as
auditor competence and performance evaluation,
audit team selection,
maintenance and improvement of competence.
Records should be retained and suitably safeguarded.
5.6 Audit programme monitoring and reviewing
The implementation of the audit programme should be monitored and, at appropriate intervals, reviewed to assess
whether its objectives have been met and to identify opportunities for improvement. The results should be reported
to top management.
Performance indicators should be used to monitor characteristics such as
the ability of the audit teams to implement the audit plan,
conformity with audit programmes and schedules, and
feedback from audit clients, auditees and auditors.
The audit programme review should consider, for example,
a) results and trends from monitoring,
b) conformity with procedures,
c) evolving needs and expectations of interested parties,
d) audit programme records,
e) alternative or new auditing practices, and
f) consistency in performance between audit teams in similar situations.
Results of audit programme reviews can lead to corrective and preventive actions and the improvement of the audit
programme.
6 Audit activities
6.1 General
This clause contains guidance on planning and conducting audit activities as part of an audit programme. Figure 2
provides an overview of typical audit activities. The extent to which the provisions of this clause are applicable
depends on the scope and complexity of the specific audit and the intended use of the audit conclusions.
ISO/FDIS 19011:2002(E)
NOTE The dotted lines indicate that any audit follow-up actions are usually not considered to be part of the audit.
Figure 2 — Overview of typical audit activities
10 © ISO 2002 – All rights reserved
ISO/FDIS 19011:2002(E)
6.2 Initiating the audit
6.2.1 Appointing the audit team leader
Those assigned the responsibility for managing the audit programme should appoint the audit team leader for the
specific audit.
Where a joint audit is conducted, it is important to reach agreement among the auditing organizations before the
audit commences on the specific responsibilities of each organization, particularly with regard to the authority of the
team leader appointed for the audit.
6.2.2 Defining audit objectives, scope and criteria
Within the overall objectives of an audit programme, an individual audit should be based on documented
objectives, scope and criteria.
The audit objectives define what is to be accomplished by the audit and may include the following:
a) determination of the extent of conformity of the auditee's management system, or parts of it, with audit criteria;
b) evaluatation of the capability of the management system to ensure compliance with statutory, regulatory and
contractual requirements;
c) evaluatation of the effectiveness of the management system in meeting its specified objectives;
d) identification of areas for potential improvement of the management system.
The audit scope describes the extent and boundaries of the audit, such as physical locations, organizational units,
activities and processes to be audited, as well as the time period covered by the audit.
The audit criteria are used as a reference against which conformity is determined and may include applicable
policies, procedures, standards, laws and regulations, management system requirements, contractual requirements
or industry/business sector codes of conduct.
The audit objectives should be defined by the audit client. The audit scope and criteria should be defined between
the audit client and the audit team leader in accordance with audit programme procedures. Any changes to the
audit objectives, scope or criteria should be agreed to by the same parties.
Where a combined audit is to be conducted, it is important that the audit team leader ensures that the audit
objectives, scope and criteria are appropriate to the nature of the combined audit.
6.2.3 Determining the feasibility of the audit
The feasibility of the audit should be determined, taking into consideration such factors as the availability of
sufficient and appropriate information for planning the audit,
adequate cooperation from the auditee, and
adequate time and resources.
Where the audit is not feasible, an alternative should be proposed to the audit client, in consultation with the
auditee.
6.2.4 Selecting the audit team
When the audit has been declared feasible, an audit team should be selected, taking into account the competence
needed to achieve the objectives of the audit. If there is only one auditor, the auditor should perform all applicable
ISO/FDIS 19011:2002(E)
duties of an audit team leader. Clause 7 contains guidance on determining the competence needed and describes
processes for evaluating auditors.
In deciding the size and composition of the audit team, consideration should be given to the following:
a) audit objectives, scope, criteria and estimated duration of the audit;
b) whether the audit is a combined or joint audit;
c) the overall competence of the audit team needed to achieve the objectives of the audit;
d) statutory, regulatory, contractual and accreditation/certification requirements, as applicable;
e) the need to ensure the independence of the audit team from the activities to be audited and to avoid conflict of
interest;
f) the ability of the audit team members to interact effectively with the auditee and to work together;
g) the language of the audit, and an understanding of the auditee’s particular social and cultural characteristics;
these issues may be addressed either by the auditor's own skills or through the support of a technical expert.
The process of assuring the overall competence of the audit team should include the following steps:
identification of the knowledge and skills needed to achieve the objectives of the audit;
selection of the audit team members such that all of the necessary knowledge and skills are present in the
audit team.
If not fully covered by the auditors in the audit team, the necessary knowledge and skills may be satisfied by
including technical experts. Technical experts should operate under the direction of an auditor.
Auditors-in-training may be included in the audit team, but should not audit without direction or guidance.
Both the audit client and the auditee can request the replacement of particular audit team members on reasonable
grounds based on the principles of auditing described in clause 4. Examples of reasonable grounds include conflict
of interest situations (such as an audit team member having been a former employee of the auditee or having
provided consultancy services to the auditee) and previous unethical behaviour. Such grounds should be
communicated to the audit team leader and to those assigned responsibility for managing the audit programme,
who should resolve the issue with the audit client and auditee before making any decisions on replacing audit team
members.
6.2.5 Establishing initial contact with the auditee
The initial contact for the audit with the auditee may be informal or formal, but should be made by those assigned
responsibility for managing the audit programme or the audit team leader. The purpose of the initial contact is
a) to establish communication channels with the auditee’s representative,
b) to confirm the authority to conduct the audit,
c) to provide information on the proposed timing and audit team composition,
d) to request access to relevant documents, including records,
e) to determine applicable site safety rules,
f) to make arrangements for the audit, and
g) to agree on the attendance of observers and the need for guides for the audit team.
12 © ISO 2002 – All rights reserved
ISO/FDIS 19011:2002(E)
6.3 Conducting document review
Prior to the on-site audit activities the auditee’s documentation should be reviewed to determine the conformity of
the system, as documented, with audit criteria. The documentation may include relevant management system
documents and records, and previous audit reports. The review should take into account the size, nature and
complexity of the organization, and the objectives and scope of the audit. In some situations, this review may be
deferred until the on-site activities commence, if this is not detrimental to the effectiveness of the conduct of the
audit. In other situations, a preliminary site visit may be conducted to obtain a suitable overview of available
information.
If the documentation is found to be inadequate, the audit team leader should inform the audit client, those assigned
responsibility for managing the audit programme, and the auditee. A decision should be made as to whether the
audit should be continued or suspended until documentation concerns are resolved.
6.4 Preparing for the on-site audit activities
6.4.1 Preparing the audit plan
The audit team leader should prepare an audit plan to provide the basis for the agreement among the audit client,
audit team and the auditee regarding the conduct of the audit. The plan should facilitate scheduling and
coordination of the audit activities.
The amount of detail provided in the audit plan should reflect the scope and complexity of the audit. The details
may differ, for example, between initial and subsequent audits and also between internal and external audits. The
audit plan should be sufficiently flexible to permit changes, such as changes in the audit scope, which can become
necessary as the on-site audit activities progress.
The audit plan should cover the following:
a) the audit objectives;
b) the audit criteria and any reference documents;
c) the audit scope, including identification of the organizational and functional units and processes to be audited;
d) the dates and places where the on-site audit activities are to be conducted;
e) the expected time and duration of on-site audit activities, including meetings with the auditee’s management
and audit team meetings;
f) the roles and responsibilities of the audit team members and accompanying persons;
g) the allocation of appropriate resources to critical areas of the audit.
The audit plan should also cover the following, as appropriate:
h) identification of the auditee’s representative for the audit;
i) the working and reporting language of the audit where this is different from the language of the auditor and/or
the auditee;
j) the audit report topics;
k) logistic arrangements (travel, on-site facilities, etc.);
l) matters related to confidentiality;
m) any audit follow-up actions.
ISO/FDIS 19011:2002(E)
The plan should be reviewed and accepted by the audit client, and presented to the auditee, before the on-site
audit activities begin.
Any objections by the auditee should be resolved between the audit team leader, the auditee and the audit client.
Any revised audit plan should be agreed among the parties concerned before continuing the audit.
6.4.2 Assigning work to the audit team
The audit team leader, in consultation with the audit team, should assign to each team member responsibility for
auditing specific processes, functions, sites, areas or activities. Such assignments should take into account the
need for the independence and competence of auditors and the effective use of resources, as well as different
roles and responsibilities of auditors, auditors-in-training and technical experts. Changes to the work assignments
may be made as the audit progresses to ensure the achievement of the audit objectives.
6.4.3 Preparing work documents
The audit team members should review the information relevant to their audit assignments and prepare work
documents as necessary for reference and for recording audit proceedings. Such work documents may include
checklists and audit sampling plans, and
forms for recording information, such as supporting evidence, audit findings and records of meetings.
The use of checklists and forms should not restrict the extent of audit activities, which can change as a result of
information collected during the audit.
Work documents, including records resulting from their use, should be retained at least until audit completion.
Retention of documents after audit completion is described in 6.7. Those documents involving confidential or
proprietary information should be suitably safeguarded at all times by the audit team members.
6.5 Conducting on-site audit activities
6.5.1 Conducting the opening meeting
An opening meeting should be held with the auditee’s management or, where appropriate, those responsible for
the functions or processes to be audited. The purpose of an opening meeting is
a) to confirm the audit plan,
b) to provide a short summary of how the audit activities will be undertaken,
c) to confirm communication channels, and
d) to provide an opportunity for the auditee to ask questions.
14 © ISO 2002 – All rights reserved
ISO/FDIS 19011:2002(E)
Practical help — Opening the meeting
In many instances, for example internal audits in a small organization, the opening meeting may simply consist of
communicating that an audit is being conducted and explaining the nature of the audit.
For other audit situations, the meeting should be formal and records of the attendance should be kept. The meeting
should be chaired by the audit team leader, and the following items should be considered, as appropriate:
a) introduction of the participants, including an outline of their roles;
b) confirmation of the audit objectives, scope and criteria;
c) confirmation of the audit timetable and other relevant arrangements with the auditee, such as the date and
time for the closing meeting, any interim meetings between the audit team and the auditee's management, and
any late changes;
d) methods and procedures to be used to conduc
...
PROJET
NORME ISO/FDIS
FINAL
INTERNATIONALE 19011
ISO/TC 176/SC 3
Lignes directrices pour l'audit des
Secrétariat: NEN
systèmes de management de la qualité
Début de vote:
et/ou de management environnemental
2002-06-13
Vote clos le:
Guidelines for quality and/or environmental management systems auditing
2002-08-13
LES DESTINATAIRES DU PRÉSENT DOCUMENT
Veuillez consulter les notes administratives en page iii
SONT INVITÉS À PRÉSENTER, AVEC LEURS OB-
SERVATIONS, NOTIFICATION DES DROITS DE
PROPRIÉTÉ DONT ILS AURAIENT ÉVENTUELLE-
MENT CONNAISSANCE ET À FOURNIR UNE
DOCUMENTATION EXPLICATIVE.
OUTRE LE FAIT D'ÊTRE EXAMINÉS POUR
ÉTABLIR S'ILS SONT ACCEPTABLES À DES FINS
INDUSTRIELLES, TECHNOLOGIQUES ET COM-
Numéro de référence
MERCIALES, AINSI QUE DU POINT DE VUE DES
ISO/FDIS 19011:2002(F)
UTILISATEURS, LES PROJETS DE NORMES
INTERNATIONALES DOIVENT PARFOIS ÊTRE
CONSIDÉRÉS DU POINT DE VUE DE LEUR POSSI-
BILITÉ DE DEVENIR DES NORMES POUVANT
SERVIR DE RÉFÉRENCE DANS LA RÉGLEMENTA-
TION NATIONALE. ©
ISO 2002
ISO/FDIS 19011:2002(F)
PDF – Exonération de responsabilité
Le présent fichier PDF peut contenir des polices de caractères intégrées. Conformément aux conditions de licence d'Adobe, ce fichier peut
être imprimé ou visualisé, mais ne doit pas être modifié à moins que l'ordinateur employé à cet effet ne bénéficie d'une licence autorisant
l'utilisation de ces polices et que celles-ci y soient installées. Lors du téléchargement de ce fichier, les parties concernées acceptent de fait la
responsabilité de ne pas enfreindre les conditions de licence d'Adobe. Le Secrétariat central de l'ISO décline toute responsabilité en la
matière.
Adobe est une marque déposée d'Adobe Systems Incorporated.
Les détails relatifs aux produits logiciels utilisés pour la création du présent fichier PDF sont disponibles dans la rubrique General Info du
fichier; les paramètres de création PDF ont été optimisés pour l'impression. Toutes les mesures ont été prises pour garantir l'exploitation de
ce fichier par les comités membres de l'ISO. Dans le cas peu probable où surviendrait un problème d'utilisation, veuillez en informer le
Secrétariat central à l'adresse donnée ci-dessous.
Notice de droit d'auteur
Ce document de l'ISO est un projet de Norme internationale qui est protégé par les droits d'auteur de l'ISO. Sauf
autorisé par les lois en matière de droits d'auteur du pays utilisateur, aucune partie de ce projet ISO ne peut être
reproduite, enregistrée dans un système d'extraction ou transmise sous quelque forme que ce soit et par aucun
procédé, électronique ou mécanique, y compris la photocopie, les enregistrements ou autres, sans autorisation
écrite préalable.
Les demandes d'autorisation de reproduction doivent être envoyées à l'ISO à l'adresse ci-après ou au comité
membre de l'ISO dans le pays du demandeur.
ISO copyright office
Case postale 56 • CH-1211 Geneva 20
Tel. + 41 22 749 01 11
Fax + 41 22 749 09 47
E-mail copyright@iso.ch
Web www.iso.ch
Toute reproduction est soumise au paiement de droits ou à un contrat de licence.
Les contrevenants pourront être poursuivis.
ii © ISO 2002 – Tous droits réservés
ISO/FDIS 19011:2002(F)
TTTTRAITEMRAITEMRAITEMRAITEMENT PENT PENT PENT PARAARAARAARALLÈLLÈLLÈLLÈLE ISO/CLE ISO/CLE ISO/CLE ISO/CEEEENNNN
Le Secrétaire général du CEN a informé le Secrétaire général de l'ISO que le présent projet final de Norme
internationale couvre un sujet présentant un intérêt pour la normalisation européenne. La consultation sur cet
ISO/DIS a eu la même portée pour les membres du CEN qu'une enquête au sein du CEN sur un projet de
Norme européenne. Conformément au paragraphe 5.1 de l'Accord de Vienne, le présent projet final, établi sur la
base des observations reçues, est par conséquent soumis en parallèle à un vote de deux mois sur le FDIS au
sein de l'ISO et à un vote formel au sein du CEN.
Les votes positifs ne doivent pas être accompagnés d'observations.
Les votes négatifs doivent être accompagnés des arguments techniques pertinents.
Il est rappelé aux comités membres de consulter les intérêts nationaux respectifs dans chacun des domaines
techniques concernés [(ISO/TC 176), et (ISO/TC 207)] avant de retourner leurs bulletins de vote (un bulletin par
comité technique) au Secrétariat central de l’ISO.
ISO/FDIS 19011:2002(F)
Sommaire Page
Avant-propos.v
Introduction .vi
1 Domaine d'application.1
2 Références normatives .1
3 Termes et définitions.1
4 Principes de l’audit.3
5 Management d’un programme d’audit .4
5.1 Généralités .4
5.2 Objectifs et étendue d’un programme d’audit .6
5.3 Responsabilités, ressources et procédures relatives au programme d’audit .7
5.4 Mise en œuvre du programme d’audit .8
5.5 Enregistrements relatifs au programme d’audit.8
5.6 Surveillance et revue du programme d’audit.9
6 Activités d'audit .10
6.1 Généralités .10
6.2 Déclenchement de l’audit .10
6.3 Réalisation de la revue des documents .13
6.4 Préparation des activités d’audit sur site .13
6.5 Réalisation des activités d’audit sur site .15
6.6 Préparation, approbation et diffusion du rapport d’audit.20
6.7 Clôture de l’audit.21
6.8 Suivi d’audit.21
7 Compétence et évaluation des auditeurs.21
7.1 Généralités .21
7.2 Qualités personnelles .22
7.3 Connaissances et aptitudes .23
7.4 Formation initiale, expérience professionnelle, formation d’auditeur et expérience d’audit.26
7.5 Maintien et amélioration de la compétence .28
7.6 Évaluation des auditeurs .28
iv © ISO 2002 – Tous droits réservés
ISO/FDIS 19011:2002(F)
Avant-propos
L'ISO (Organisation internationale de normalisation) est une fédération mondiale d'organismes nationaux de
normalisation (comités membres de l'ISO). L'élaboration des Normes internationales est en général confiée aux
comités techniques de l'ISO. Chaque comité membre intéressé par une étude a le droit de faire partie du comité
technique créé à cet effet. Les organisations internationales, gouvernementales et non gouvernementales, en
liaison avec l'ISO participent également aux travaux. L'ISO collabore étroitement avec la Commission
électrotechnique internationale (CEI) en ce qui concerne la normalisation électrotechnique.
Les Normes internationales sont rédigées conformément aux règles données dans les Directives ISO/CEI,
Partie 3.
La tâche principale des comités techniques est d'élaborer les Normes internationales. Les projets de Normes
internationales adoptés par les comités techniques sont soumis aux comités membres pour vote. Leur publication
comme Normes internationales requiert l'approbation de 75 % au moins des comités membres votants.
L'attention est appelée sur le fait que certains des éléments de la présente Norme internationale peuvent faire
l'objet de droits de propriété intellectuelle ou de droits analogues. L'ISO ne saurait être tenue pour responsable de
ne pas avoir identifié de tels droits de propriété et averti de leur existence.
L'ISO 19011 a été élaborée conjointement par le comité technique ISO/TC 176, Management et assurance de la
qualité, sous-comité SC 3, Techniques de soutien et le comité technique ISO/TC 207, Management
environnemental, sous-comité SC 2, Audit d’environnement et investigations environnementales associées.
Cette première édition de l’ISO 19011 annule et remplace l’ISO 10011-1:1990, l'ISO 10011-2:1991,
l'ISO 10011-3:1991, l'ISO 14010:1996, l'ISO 14011:1996 et l'ISO 14012:1996.
ISO/FDIS 19011:2002(F)
Introduction
Les séries de Normes internationales ISO 9000 et ISO 14000 mettent l'accent sur l'importance de l’audit comme
outil de management pour la surveillance et la vérification de la mise en œuvre efficace de la politique d’un
organisme en matière de qualité et/ou d’environnement. L’audit est également un élément fondamental des
activités d’évaluation de conformité, telles que la certification/enregistrement externe ainsi que l’évaluation et la
surveillance de la chaîne d’approvisionnement.
La présente Norme internationale donne des conseils sur le management de programmes d’audit, la réalisation
d’audits internes ou externes de systèmes de management de la qualité et/ou de management environnemental
ainsi que sur la compétence et l’évaluation des auditeurs. Elle est destinée à une large gamme d’utilisateurs
potentiels parmi lesquels des auditeurs, des organismes mettant en œuvre des systèmes de management de la
qualité et/ou de management environnemental des organismes devant réaliser des audits de systèmes de
management de la qualité et/ou de management environnemental dans un cadre contractuel et des organismes
chargés de la certification ou de la formation d’auditeurs, de la certification/enregistrement de systèmes de
management, de l’accréditation ou de la normalisation dans le domaine de l’évaluation de la conformité.
Les conseils fournis dans la présente Norme internationale se veulent flexibles. Comme indiqué à différentes
reprises dans le texte, l’utilisation de ces lignes directrices peut varier selon la taille, la nature et la complexité des
organismes à auditer ainsi que selon les objectifs et les champs des audits à réaliser. La présente Norme
internationale contient également des conseils supplémentaires ou des exemples sur des points particuliers sous
forme d’aide pratique dans des encadrés. Dans certains cas, ces encadrés sont destinés à faciliter l’utilisation de la
présente Norme internationale dans les petits organismes.
L'article 4 décrit les principes de l’audit. Ces principes permettent à l'utilisateur de comprendre les fondements de
l'audit, ce qui constitue un préalable nécessaire aux articles 5, 6 et 7.
L'article 5 donne des conseils pour le management des programmes d'audit. Il couvre des thèmes tels que
l'attribution de la responsabilité pour le management des programmes d'audit, l’établissement des objectifs des
programmes d’audit, la coordination des activités d’audit et la mise à disposition de ressources suffisantes pour
l’équipe d’audit .
L'article 6 donne des conseils pour réaliser des audits de systèmes de management de la qualité et/ou de
management environnemental, y compris la constitution des équipes d'audit.
L'article 7 donne des conseils sur la compétence nécessaire aux auditeurs et décrit un processus d'évaluation de
ceux-ci.
Lorsqu’un système de management de la qualité et un système de management environnemental sont mis en
œuvre conjointement, il appartient à l’utilisateur de la présente Norme internationale de décider si les audits de ces
systèmes doivent être réalisés séparément ou ensemble.
Bien que la présente Norme internationale concerne les audits des systèmes de management de la qualité et/ou
de management environnemental, l'utilisateur peut appliquer ces conseils à d'autres types d'audits, y compris les
audits d'autres systèmes de management, en les adaptant ou en les élargissant.
La présente Norme internationale ne fournit que des conseils, cependant ses utilisateurs peuvent l’adopter pour
développer leurs propres exigences en matière d’audit.
En outre, il peut être utile à toute personne ou organisme œuvrant dans le domaine de la surveillance de la
conformité à des exigences, telles que les spécifications de produits, la législation ou la réglementation, d’appliquer
les conseils donnés dans la présente Norme internationale.
vi © ISO 2002 – Tous droits réservés
PROJET FINAL DE NORME INTERNATIONALE ISO/FDIS 19011:2002(F)
Lignes directrices pour l'audit des systèmes de management de la
qualité et/ou de management environnemental
1 Domaine d'application
La présente Norme internationale fournit des conseils sur les principes de l’audit, le management des programmes
d'audit, la réalisation d'audits de systèmes de management de la qualité et/ou de management environnemental
ainsi que sur la compétence des auditeurs de ces systèmes.
Elle est applicable à tous les organismes qui doivent réaliser des audits internes ou externes de systèmes de
management de la qualité et/ou de management environnemental ou manager un programme d’audit.
La présente Norme internationale peut, en principe, s’appliquer à d'autres types d'audits, à condition toutefois
d'accorder une attention particulière à l’identification des compétences requises pour les membres de ces équipes
d'audit.
2 Références normatives
Les documents normatifs suivants contiennent des dispositions qui, par suite de la référence qui y est faite,
constituent des dispositions valables pour la présente Norme internationale. Pour les références datées, les
amendements ultérieurs ou les révisions de ces publications ne s’appliquent pas. Toutefois, les parties prenantes
aux accords fondés sur la présente Norme internationale sont invitées à rechercher la possibilité d'appliquer les
éditions les plus récentes des documents normatifs indiqués ci-après. Pour les références non datées, la dernière
édition du document normatif en référence s’applique. Les membres de l'ISO et de la CEI possèdent le registre des
Normes internationales en vigueur.
ISO 9000:2000, Systèmes de management de la qualité — Principes essentiels et vocabulaire
ISO 14050:2002, Management environnemental — Vocabulaire
3 Termes et définitions
Pour les besoins de la présente Norme internationale, les termes et définitions donnés dans l’ISO 9000 et dans
l’ISO 14050 ainsi que les suivants s'appliquent, à moins qu’ils ne soient remplacés par les définitions données ci-
dessous.
Un terme présent dans une définition ou une note qui est défini ailleurs dans le présent article est indiqué en
caractères gras suivi de son numéro d’entrée entre parenthèses. Ce terme peut être remplacé dans la définition
par sa définition complète.
3.1
audit
processus systématique, indépendant et documenté en vue d'obtenir des preuves d'audit (3.3) et de les évaluer
de manière objective pour déterminer dans quelle mesure les critères d'audit (3.2) sont satisfaits
NOTE 1 Les audits internes, parfois appelés audits de première partie, sont réalisés par, ou pour le compte de l’organisme
lui-même pour la revue de direction et d’autres besoins internes. Ils peuvent servir de base à l’autodéclaration de conformité de
l’organisme. Dans de nombreux cas et en particulier pour les petits organismes, l’indépendance peut être démontrée par
l’absence de responsabilité vis-à-vis de l’activité à auditer.
ISO/FDIS 19011:2002(F)
NOTE 2 Les audits externes comprennent les audits appelés généralement audits de seconde et de tierce partie. Les audits
de seconde partie sont réalisés par des parties ayant un intérêt à l’égard de l’organisme, comme les clients, ou d’autres
personnes agissant en leur nom. Les audits de tierce partie sont réalisés par des organismes d’audit externes et indépendants
tels que les organismes qui octroient l’enregistrement ou la certification de conformité aux exigences de l’ISO 9001 et de
l’ISO 14001.
NOTE 3 Lorsqu’un système de management de la qualité et un système de management environnemental sont audités
ensemble, on parle d’audit combiné.
NOTE 4 Lorsque deux ou plusieurs organismes d’audit coopèrent pour auditer un seul audité, on parle d’audit conjoint.
3.2
critères d’audit
ensemble de politiques, procédures ou exigences déterminées
NOTE 1 Les critères d’audit sont la référence vis-à-vis de laquelle les preuves d’audit (3.3) sont comparées.
NOTE 2 En français, les critères d’audit sont couramment appelés référentiel d’audit.
3.3
preuves d’audit
enregistrements, énoncés de faits ou autres informations, qui se rapportent aux critères d’audit (3.2) et sont
vérifiables
NOTE Les preuves d'audit peuvent être qualitatives ou quantitatives.
3.4
constats d’audit
résultats de l'évaluation des preuves d'audit (3.3) recueillies, par rapport aux critères d'audit (3.2)
NOTE Les constats d’audit peuvent indiquer la conformité ou la non-conformité aux critères d’audit ou des opportunités
d’amélioration.
3.5
conclusions d’audit
résultat d'un audit (3.1) fourni par l'équipe d'audit (3.9) après avoir pris en considération les objectifs de l’audit et
tous les constats d'audit (3.4)
3.6
commanditaire de l’audit
organisme ou personne demandant un audit (3.1)
NOTE Le commanditaire peut être l’audité (3.7) ou tout autre organisme qui a le droit réglementaire ou contractuel de
demander un audit.
3.7
audité
organisme qui est audité
3.8
auditeur
personne possédant la compétence (3.14) nécessaire pour réaliser un audit (3.1)
3.9
équipe d’audit
un ou plusieurs auditeurs (3.8) réalisant un audit (3.1), assistés, si nécessaire, par des experts techniques
(3.10)
NOTE 1 Un auditeur de l’équipe d’audit est nommé responsable de l’équipe d’audit.
NOTE 2 L’équipe d’audit peut comprendre des auditeurs en formation.
2 © ISO 2002 – Tous droits réservés
ISO/FDIS 19011:2002(F)
3.10
expert technique
personne apportant à l’équipe d’audit (3.9) des connaissances ou une expertise spécifiques
NOTE 1 Ces connaissances ou cette expertise spécifiques sont relatives à l’organisme, au processus ou à l’activité à
auditer, ou elles consistent en une assistance linguistique ou culturelle.
NOTE 2 Au sein de l’équipe d’audit, un expert technique n’agit pas en tant qu’auditeur (3.8).
3.11
programme d’audit
ensemble d'un ou plusieurs audits (3.1) planifiés dans un laps de temps et dans un but déterminés
NOTE Un programme d’audit comprend toutes les activités nécessaires pour la planification, l’organisation et la réalisation
des audits.
3.12
plan d’audit
description des activités et des dispositions nécessaires pour réaliser un audit (3.1)
3.13
champ de l’audit
étendue et limites d'un audit (3.1)
NOTE Le champ décrit généralement les lieux, les unités organisationnelles, les activités et les processus ainsi que la
période de temps couverte.
3.14
compétence
qualités personnelles et capacité démontrées à appliquer des connaissances et des aptitudes
4 Principes de l’audit
L’audit est fondé sur un certain nombre de principes qui en font un outil efficace et fiable sur lequel la direction peut
s’appuyer pour définir ses politiques et les mettre en œuvre. L’audit fournit aussi des informations à partir
desquelles l’organisme peut agir pour améliorer ses performances. Le respect de ces principes est indispensable
pour que les conclusions d’audit soient pertinentes et suffisantes et pour que des auditeurs travaillant
indépendamment les uns des autres parviennent à des conclusions similaires dans des circonstances similaires.
Les principes suivants s’appliquent aux auditeurs.
a) Déontologie: le fondement du professionnalisme
La confiance, l’intégrité, la confidentialité et la discrétion sont essentiels à l’audit.
b) Présentation impartiale: l’obligation de rendre compte de manière honnête et précise
Les constats d’audit, les conclusions d’audit et les rapports d’audit reflètent de manière honnête et précise les
activités d’audit. Les obstacles importants rencontrés pendant l’audit et les questions non résolues ou les avis
divergents entre l’équipe d’audit et l’audité sont consignés.
c) Conscience professionnelle: l’attitude diligente et avisée au cours de l’audit
Les auditeurs agissent en accord avec l’importance des tâches qu’ils réalisent et la confiance que leur ont
accordée le commanditaire de l’audit et les autres parties intéressées. Posséder les compétences nécessaires
est fondamental.
Les principes suivants s’appliquent à l’audit, qui est par définition indépendant et systématique.
ISO/FDIS 19011:2002(F)
d) Indépendance: le fondement de l’impartialité de l’audit et de l’objectivité des conclusions d’audit
Les auditeurs sont indépendants de l’activité auditée et n’ont ni parti pris ni conflit d’intérêt. Les auditeurs
conservent un état d’esprit objectif tout au long du processus d’audit pour s’assurer que les constats et
conclusions sont uniquement fondés sur les preuves d’audit.
e) Approche fondée sur la preuve: la méthode rationnelle pour parvenir à des conclusions d’audit fiables et
reproductibles dans un processus d’audit systématique
Les preuves d’audit sont vérifiables. Elles s’appuient sur des échantillons des informations disponibles, dans la
mesure où un audit est réalisée avec une durée et des ressources délimitées. La confiance qui peut être
accordée aux conclusions d’audit est étroitement liée à l’utilisation appropriée de l’échantillonnage.
Les conseils présentés dans les articles suivants de la présente Norme internationale s’appuient sur les principes
énoncés ci-dessus.
5 Management d’un programme d’audit
5.1 Généralités
Selon la taille, la nature et la complexité de l’organisme à auditer, le programme d’audit peut comprendre un ou
plusieurs audits. Ces audits peuvent avoir des objectifs divers et peuvent aussi comprendre des audits conjoints ou
combinés (voir Notes 3 et 4 de la définition d’audit en 3.1).
Le programme d’audit comprend aussi toutes les activités nécessaires pour planifier et organiser les types et le
nombre d’audits et fournir les ressources pour les réaliser d’une façon efficace et efficiente dans le laps de temps
imparti.
Un organisme peut établir plusieurs programmes d’audit.
Il convient que la direction de l’organisme confère l’autorité pour manager le programme d’audit.
Il convient que ceux à qui la responsabilité du management du programme d’audit a été attribuée
a) établissent, mettent en œuvre, surveillent, passent en revue et améliorent le programme d’audit, et
b) définissent les ressources nécessaires et assurent qu’elles soient fournies.
La Figure 1 présente le logigramme pour le management d’un programme d’audit.
4 © ISO 2002 – Tous droits réservés
ISO/FDIS 19011:2002(F)
Figure 1 — Logigramme pour le management d’un programme d’audit
NOTE 1 La Figure 1 illustre également l’application du cycle P-D-C-A (Planifier — Faire — Vérifier — Agir) dans la présente
Norme Internationale.
NOTE 2 Les numéros dans la Figure 1 et dans toutes les figures suivantes renvoient aux articles et paragraphes
correspondants de la présente Norme internationale.
Si un organisme à auditer met en œuvre un système de management de la qualité et un système de management
environnemental, il peut être décidé de réaliser des audits combinés dans le programme d’audit. Dans ce cas, il
convient de porter une attention particulière à la compétence de l’équipe d’audit.
Plusieurs organismes d’audit peuvent coopérer dans le cadre de leurs programmes d’audit pour réaliser un audit
conjoint. Dans ce cas, il convient de porter une attention particulière à la répartition des responsabilités, la mise à
disposition de ressources supplémentaires, la compétence nécessaire pour l’équipe d’audit et les procédures
appropriées. Il convient de se mettre d’accord sur ces points avant de débuter l’audit.
ISO/FDIS 19011:2002(F)
Aide pratique — Exemples de programmes d’audit
Des exemples de programmes d’audit sont:
a) une série complète d’audits internes couvrant le système de management de la qualité d’un organisme pour
l’année en cours;
b) des audits de seconde partie du système de management de fournisseurs potentiels de produits critiques, à
réaliser dans les six mois;
c) des audits de tierce partie pour la certification/enregistrement et leur renouvellement, réalisés par un
organisme de certification/enregistrement sur un système de management environnemental dans un laps de
temps déterminé convenu contractuellement entre l’organisme de certification et le commanditaire.
Un programme d’audit comprend la planification, la mise à disposition des ressources et la détermination des
procédures nécessaires pour réaliser les audits du programme.
5.2 Objectifs et étendue d’un programme d’audit
5.2.1 Objectifs d’un programme d’audit
Pour un programme d'audit donné, il convient de déterminer des objectifs afin de piloter la planification et la
réalisation des audits.
Ces objectifs peuvent prendre en compte
a) les priorités de la Direction,
b) la politique commerciale,
c) les exigences relatives au système de management,
d) les exigences légales, réglementaires et contractuelles,
e) la nécessité d’évaluer les fournisseurs,
f) les exigences du client,
g) les besoins des autres parties intéressées, et
h) les risques pour l’organisme.
Aide pratique — Exemples d’objectifs d’un programme d’audit
Des exemples d’objectifs d’un programme d’audit sont:
a) satisfaire aux exigences pour la certification selon une norme de système de management;
b) vérifier la conformité à des exigences contractuelles;
c) obtenir et conserver la confiance dans les capacités d’un fournisseur;
d) contribuer à l’amélioration du système de management.
6 © ISO 2002 – Tous droits réservés
ISO/FDIS 19011:2002(F)
5.2.2 Étendue d’un programme d’audit
L’étendue d’un programme d’audit peut varier et dépendre de la taille, de la nature et de la complexité de
l’organisme audité ainsi que
a) du champ, de l’objectif et de la durée de chaque audit à réaliser;
b) de la fréquence des audits à réaliser;
c) du nombre, de l’importance, de la complexité, de la similitude et de la localisation des activités à auditer;
d) des normes, des lois, des exigences réglementaires et contractuelles et autres critères d’audit;
e) du besoin d’accréditation ou d’enregistrement/certification;
f) des conclusions d’audits précédents ou des résultats d’une revue de programme d’audit précédente;
g) de la langue, du contexte culturel et social;
h) des préoccupations des parties intéressées;
i) de l’importance des modifications apportées à un organisme ou à son fonctionnement.
5.3 Responsabilités, ressources et procédures relatives au programme d’audit
5.3.1 Responsabilités
Il convient d'attribuer la responsabilité du management d’un programme d'audit à une ou plusieurs personnes
ayant une connaissance générale des principes de l'audit, de la compétence des auditeurs et de la mise en œuvre
des techniques d'audit. Il convient que ces personnes aient des aptitudes à manager et une compréhension des
techniques et des pratiques des activités à auditer.
Il convient que les responsables du management du programme d’audit
a) définissent les objectifs et l’étendue du programme d’audit,
b) définissent les responsabilités et les procédures et assurent que les ressources sont fournies,
c) assurent la mise en œuvre du programme d’audit,
d) assurent que les enregistrements appropriés concernant le programme d’audit sont conservés, et
e) surveillent, passent en revue et améliorent le programme d’audit.
5.3.2 Ressources du programme d’audit
Lors de la définition des ressources nécessaires pour le programme d’audit, il convient de tenir compte
a) des ressources financières nécessaires pour développer, mettre en œuvre, manager et améliorer les activités
d'audit,
b) des techniques d’audit,
c) des processus pour obtenir et entretenir les compétences des auditeurs et améliorer leurs prestations,
d) de la disponibilité des auditeurs et des experts techniques, possédant les compétences appropriées pour les
objectifs particuliers du programme d’audit,
ISO/FDIS 19011:2002(F)
e) de l’étendue du programme d’audit,
f) des temps de transport, de l’hébergement et des autres besoins relatifs à l’audit.
5.3.3 Procédures du programme d’audit
Il convient que les procédures du programme d’audit indiquent la façon de
a) planifier et programmer les audits dans le temps;
b) s’assurer de la compétence des auditeurs et des responsables d’équipe d’audit;
c) constituer les équipes d’audit appropriées et attribuer les rôles et responsabilités;
d) réaliser les audits;
e) réaliser le suivi d’audit, s’il y a lieu;
f) conserver les enregistrements du programme d’audit;
g) surveiller le fonctionnement et l’efficacité du programme d’audit;
h) rendre compte à la Direction de l’aboutissement du programme d’audit.
Pour les petits organismes, les activités ci-dessus peuvent être couvertes par une seule procédure.
5.4 Mise en œuvre du programme d’audit
Pour la mise en œuvre d’un programme d’audit, il convient
a) de communiquer le programme d’audit aux parties concernées;
b) de coordonner et programmer dans le temps les audits et les autres activités du programme d’audit;
c) d’établir et maintenir un processus pour l’évaluation des auditeurs et pour leur perfectionnement professionnel
conformément à 7.5 et 7.6;
d) d'assurer la constitution des équipes d’audit;
e) de fournir les ressources nécessaires aux équipes d’audit;
f) d'assurer que les audits sont réalisés conformément au programme d’audit;
g) d'assurer que les enregistrements relatifs aux activités d’audit sont maîtrisés;
h) d'assurer que les rapports d’audit sont revus, approuvés et diffusés au commanditaire de l’audit et aux autres
parties désignées;
i) d'assurer le suivi d’audit, s’il y a lieu.
5.5 Enregistrements relatifs au programme d’audit
Il convient de conserver des enregistrements pour démontrer la mise en œuvre du programme d’audit. Il convient
que ces enregistrements comprennent ce qui suit:
a) des enregistrements relatifs aux audits individuels, tels que
des plans d’audit,
8 © ISO 2002 – Tous droits réservés
ISO/FDIS 19011:2002(F)
des rapports d’audit,
des rapports de non-conformité,
des rapports d’actions correctives et préventives,
des rapports de suivi, s’il y a lieu;
b) les résultats de la revue du programme d’audit;
c) des enregistrements relatifs au personnel d’audit, tels que
l’évaluation de la compétence et performance de l’auditeur,
la composition des équipes d’audit,
le maintien et l’amélioration de la compétence.
Il convient de conserver ces enregistrements avec le niveau de sécurité approprié.
5.6 Surveillance et revue du programme d’audit
Il convient de surveiller la mise en œuvre du programme d’audit et d’en effectuer la revue à intervalles appropriés
afin d’évaluer si les objectifs ont été atteints et d’identifier des opportunités d’amélioration. Il convient que ces
résultats soient portés à la connaissance de la Direction.
Il convient d’utiliser des indicateurs de performance pour surveiller des caractéristiques telles que
la capacité des équipes d’audit à mettre en œuvre le plan d’audit,
la conformité au programme d’audit et le respect de la programmation dans le temps, et
les retours d’information des commanditaires des audits, des audités et des auditeurs.
Il convient que la revue du programme d’audit tienne compte, par exemple,
a) des résultats de la surveillance et des tendances qui s’en dégagent,
b) de la conformité aux procédures,
c) de l’évolution des besoins et des attentes des parties intéressées,
d) des enregistrements relatifs aux audits,
e) des pratiques d’audit différentes ou nouvelles, et
f) de l’équivalence du travail d’équipes d’audit dans des situations similaires.
Les résultats des revues du programme d’audit peuvent mener à des actions correctives et préventives et à
l’amélioration du programme d’audit.
ISO/FDIS 19011:2002(F)
6 Activités d'audit
6.1 Généralités
Le présent article donne des conseils sur la planification et la réalisation des activités d’audit au sein d’un
programme d’audit. Une présentation générale des activités typiques au cours d’un audit est donnée dans la
Figure 2. La manière d’appliquer les dispositions du présent article dépend du champ et de la complexité de l’audit
en question et de l’utilisation prévue des conclusions de l’audit.
6.2 Déclenchement de l’audit
6.2.1 Nomination du responsable de l’équipe d’audit
Il convient que les responsables du programme d’audit nomment le responsable de l’équipe d’audit pour chaque
audit.
Lorsqu’un audit conjoint est réalisé, il est important, avant le début de l’audit, que les organismes d’audit
conviennent des responsabilités spécifiques de chacun, notamment en ce qui concerne l’autorité du responsable
de l’équipe d’audit nommé.
6.2.2 Définition des objectifs, du champ et des critères de l’audit
Dans le cadre des objectifs généraux d’un programme d’audit, il convient que chaque audit soit documenté en ce
qui concerne ses objectifs, son champ et ses critères.
Les objectifs d’audit définissent ce qui est attendu de l’audit. Ces objectifs peuvent comprendre ce qui suit:
a) la détermination du degré de conformité de tout ou partie du système de management de l’audité aux critères
d’audit;
b) l’évaluation de l’aptitude du système de management à assurer la conformité aux exigences légales,
réglementaires et contractuelles;
c) l’évaluation de l'efficacité du système de management à satisfaire ces objectifs spécifiés; ou
d) l’identification des domaines permettant une amélioration du système de management.
Le champ de l'audit décrit l'étendue et les limites de l'audit, par exemple les lieux, les unités organisationnelles, les
activités et les processus à auditer ainsi que la période de temps couverte par l’audit.
Les critères d’audit sont utilisés comme référence vis-à-vis de laquelle la conformité est déterminée et peuvent
comprendre, le cas échéant, des politiques, procédures, normes, lois et réglementations, des exigences relatives
au système de management, des exigences contractuelles ou des codes de bonnes pratiques sectoriels.
Il convient que les objectifs de l’audit soient définis par le commanditaire de l’audit et que le champ et les critères
de l’audit soient définis par le commanditaire et le responsable de l’équipe d’audit conformément aux procédures
du programme d’audit. Il est recommandé que toute modification des objectifs, du champ ou des critères de l’audit
soit soumis à l’accord des mêmes parties.
Lorsqu’un audit combiné est réalisé, il est important que le responsable de l’équipe d’audit s’assure que les
objectifs, le champ et les critères d’audit sont appropriés à la nature de l’audit combiné.
10 © ISO 2002 – Tous droits réservés
ISO/FDIS 19011:2002(F)
NOTE Les pointillés indiquent que les actions de suivi d’audit ne sont pas considérées faire partie de l’audit lui-même.
Figure 2 — Présentation générale des activités typiques au cours d'un audit
ISO/FDIS 19011:2002(F)
6.2.3 Détermination de la faisabilité de l’audit
Il est recommandé que la faisabilité de l’audit soit examinée en tenant compte de facteurs tels que
l’existence des informations suffisantes et appropriées pour pouvoir planifier l’audit,
la possibilité d’une coopération adéquate de la part de l’audité, et
la disponibilité des ressources nécessaires et l’adéquation du temps imparti.
Lorsque l’audit n’est pas faisable, il convient qu’une contre-proposition soit faite au commanditaire de l’audit en
concertation avec l’audité.
6.2.4 Constitution de l’équipe d’audit
Après que l’audit est déclaré faisable, il est recommandé de constituer une équipe d’audit en tenant compte des
compétences nécessaires pour atteindre les objectifs de l’audit. Lorsqu’il n’y a qu’un auditeur, il convient qu’il
remplisse toutes les fonctions d’un responsable d’équipe d’audit. L’article 7 donne des conseils sur l’identification
des compétences nécessaires et décrit des processus pour évaluer les auditeurs.
Lors de la détermination de la taille et de la composition de l'équipe d'audit, il est recommandé de tenir compte des
éléments suivants:
a) les objectifs, le champ, les critères d’audit et la durée estimée de l'audit;
b) le fait que l’audit soit un audit combiné ou conjoint;
c) la compétence globale de l’équipe d’audit pour atteindre les objectifs de l’audit;
d) les exigences légales, réglementaires, contractuelles et celles relatives à l’accréditation/certification, s’il y a
lieu;
e) la nécessité d’assurer l'indépendance de l'équipe d'audit par rapport aux activités à auditer et d'éviter les
conflits d'intérêt;
f) la capacité des membres de l'équipe d'audit à avoir des échanges efficaces avec l'audité et à collaborer entre
eux;
g) la langue de l'audit et la compréhension du contexte culturel et social spécifique à l'audité. Les propres
aptitudes de l’auditeur ou l’aide d’un expert technique peuvent permettre de répondre à ces points.
Il convient que le processus permettant d’assurer la compétence globale de l’équipe d’audit comprenne les étapes
suivantes:
l’identification des connaissances et des aptitudes nécessaires pour atteindre les objectifs de l’audit;
la sélection des membres de l’équipe d’audit de sorte que l’ensemble des connaissances et aptitudes
nécessaires soient présentes au sein de l’équipe d’audit.
Lorsque toutes les connaissances et aptitudes nécessaires ne sont pas réunies par les auditeurs de l’équipe
d’audit, des experts techniques peuvent la rejoindre. Il convient que les experts techniques agissent sous la
direction d’un auditeur.
Les auditeurs en formation peuvent être incorporés à l’équipe d’audit, mais il convient qu’ils n’auditent pas sans
être dirigés ou conseillés.
Le commanditaire de l’audit ou l’audité peuvent demander le remplacement de membres de l’équipe d’audit pour
des motifs valables fondés sur les principes d’audit décrits à l’article 4. Des motifs valables sont par exemple les
situations de conflit d’intérêt (tel qu’un membre de l’équipe d’audit ayant été employé chez l’audité ou son
consultant) ou un auditeur qui a fait preuve précédemment de comportement contraire à la déontologie. Il est
12 © ISO 2002 – Tous droits réservés
ISO/FDIS 19011:2002(F)
recommandé de communiquer ces motifs au responsable de l’équipe d’audit et aux responsables du programme
d’audit avant de prendre une décision concernant le remplacement d’un membre de l’équipe d’audit.
6.2.5 Établissement du premier contact avec l’audité
Le premier contact concernant l’audit avec l’audité peut être formel ou informel et il est généralement effectué par
les responsables du programme d’audit ou le responsable de l’équipe d’audit. L’objectif du premier contact est
a) d’établir les circuits de communication avec le représentant de l’audité,
b) de rappeler la légitimité de la réalisation de l’audit,
c) de fournir les informations sur le calendrier et la composition de l’équipe d’audit proposés,
d) de demander l’accès aux documents pertinents, y compris les enregistrements,
e) de déterminer les règles de sécurité applicables sur site,
f) de prendre les dispositions logistiques pour l’audit, et
g) de se mettre d’accord sur la présence d’observateurs et le besoin de guides pour l’équipe d’audit.
6.3 Réalisation de la revue des documents
Avant de débuter les activités d’audit sur site, il convient d’effectuer la revue de la documentation de l’audité pour
déterminer la conformité documentaire du système aux critères d’audit. La documentation peut comprendre des
documents et des enregistrements pertinents du système de management ainsi que des rapports d’audit
précédents. Il convient, lors de la revue, de tenir compte de la taille, de la nature et de la complexité de
l’organisme, ainsi que des objectifs et du champ de l’audit. Dans certaines circonstances, cette revue peut être
reportée jusqu’au démarrage des activités sur le site, si cela ne porte pas préjudice à l’efficacité de l’audit. Dans
d’autres circonstances, une visite préliminaire du site peut être effectuée pour appréhender convenablement
l’ensemble des informations disponibles.
Si la documentation se révèle inadéquate, il convient que le responsable de l’équipe d’audit en informe le
commanditaire de l'audit, les responsables du programme d'audit et l'audité. Dès lors il convient de prendre une
décision quant à la poursuite de l’audit ou à sa suspension jusqu’à la résolution des problèmes relatifs à la
documentation.
6.4 Préparation des activités d’audit sur site
6.4.1 Préparation du plan d’audit
Il convient que le responsable de l’équipe d’audit prépare un plan d’audit qui servirait de base d’accord entre le
commanditaire, l’équipe d’audit et l’audité en ce qui concerne la réalisation de l’audit. Il convient que ce plan facilite
la programmation dans le temps et la coordination des activités d’audit.
Il convient d'adapter le degré de détail du plan d'audit au champ et à la complexité de l'audit. Le degré de détail
peut, par exemple, être différent entre les audits initiaux et les audits ultérieurs ou entre les audits internes et
externes. Il convient que le plan
...
Questions, Comments and Discussion
Ask us and Technical Secretary will try to provide an answer. You can facilitate discussion about the standard in here.
Loading comments...