ISO9001:2015 La portée et les Exclusions
Introduction
Il arrive aujourd’hui qu’une organisation veut exclure certaines activités ou l’application de certaines exigences de la norme ISO9001 par exemple. Cette question qui s’applique aussi à plusieurs autres normes et secteurs d’activités, mérite d’être discuté, car les conditions pour exclure une activité ou une exigence sont souvent mal comprises par les organisations, les consultants ou certains auditeurs. Par exemple, quelle est la différence entre la portée d’un système de management, celle d’une certification et celle de l’audit. Comment prendre en compte le contexte que l’on retrouve des systèmes de management de la qualité intégré en y incluant ou non les obligations règlementaires et légales.
Historique
Lorsque l’ISO 9001: 2000 a été publiée et qu’ISO 9002 a été éliminée, le concept d’exclusions a été introduit dans la norme. Les exclusions permettaient à une organisation d’exclure une activité et/ou une exigence de la clause 7 de la norme tant qu’elle n’affectait pas sa capacité à répondre aux exigences des clients, statutaires et/ou réglementaires ou à fournir un produit ou un service conforme à ces exigences.
Avec l’introduction du texte principal de l’Annexe SL, qui comprend une structure différente, la norme est devenue plus générique et est maintenant plus facile à appliquer. L’ISO 9001: 2015 se concentre donc sur l’application des exigences et non sur l’exclusion des exigences. Autrement dit, les organisations doivent appliquer les exigences là où elles le peuvent.
Les différences entre les types de portée
Avec les versions de normes précédentes, des exclusions d’activités ou d’exigences pouvaient être jugées inapplicables à un système de management de la qualité (SMQ) accompagné d’une justification. Par exemple, le SMQ s’appliquait seulement aux exigences de réalisation du produit. C’est n’est plus nécessairement le cas.
Théoriquement, la révision actuelle permet la non-application à toute exigence de la norme, à condition que l’organisation puisse justifier son exclusion. La façon de mieux comprendre cette exigence est de voir comment elle s’applique aussi pour d’autres secteurs tels que l’aérospatiale, l’automobile, et ce, avec quelques exemples.
Les différentes portées des normes elles-mêmes
L’article 1 de la norme ISO9001 décrit la portée de la norme pour le management de la qualité. Pour la norme AS9100D, des précisions y sont ajoutées :
« Cette norme comprend les exigences du système de gestion de la qualité ISO 9001: 20152 et spécifie les exigences, définitions et notes supplémentaires de l’industrie spatiale et de la défense.
Ces exigences spécifiées dans cette norme sont complémentaires (et non alternatives) à celle des clients ainsi que les exigences légales et réglementaires applicables.
En cas de conflit entre les exigences de cette norme, des clients ou la loi ou la réglementation applicable, ces dernières prévalent ».
Par exemple l’article supplémentaire 1.1 de la norme IATF16949 :2016 spécifie que :
« Cette norme automobile définit les exigences du système de gestion de la qualité pour la conception et
développement, production et, le cas échéant, assemblage, installation et services de produits liés à l’automobile, y compris les produits avec logiciel intégré.
Cette norme de SMQ automobile est applicable aux sites de l’organisation ou la fabrication de pièces de production, de pièces de service et/ou d’accessoires spécifiques aux clients.
Cette norme QMS automobile doit être appliquée tout au long de la chaîne d’approvisionnement ».
Les différentes portées/champs d’application de votre SMQ.
L’article 4.3 de la norme ISO 9001 détermine l’exigence de la portée du SMQ comme suit :
« L’organisme doit appliquer toutes les exigences de la présente Norme internationale si elles sont applicables dans le domaine d’application déterminé de son système de management de la qualité.
« Le champ d’application du système de gestion de la qualité de l’organisation doit être disponible et conservé sous forme d’informations documentées. Le domaine d’application doit indiquer les types de produits et services couverts et justifier toute exigence de la présente norme internationale que l’organisme détermine comme n’étant pas applicable au domaine d’application de son système de management de la qualité.
« La conformité à la présente Norme internationale ne peut être revendiquée que si les exigences déterminées comme non applicables n’affectent pas la capacité ou la responsabilité de l’organisme d’assurer la conformité de ses produits et service et l’amélioration de la satisfaction du client. »
Pour l’application du SMQ pour la norme AS9100D, il n’y a pas d’autres exigences. Par contre, des clarifications ou précisions sont apportées pour IATF16949 telles que :
« 4.3.1 Détermination de la portée du système de management de la qualité – complémentaire
Fonctions de support, sur site ou à distance (comme les centres de conception, le siège social et
centres de distribution), doivent être inclus dans le champ d’application du système de gestion de la qualité (SMQ).
La seule exclusion autorisée pour cette norme QMS automobile concerne la conception et le développement du produit selon l’exigence de la norme ISO 9001, section 8.3. L’exclusion doit être justifiée et maintenue comme une information documentée (voir ISO 9001, section 7.5). Les exclusions autorisées n’incluent pas la conception du processus de fabrication.
4.3.2 Exigences spécifiques au client
Les exigences spécifiques du client doivent être évaluées et incluses dans la portée du système de management de la qualité de l’organisation. ».
Dans un SMQ intégré, je recommande souvent d’établir la portée et les champs d’applications de manière générale pour l’ensemble de l’entreprise. Cette portée sera plus large et exhaustive comparer aux portées pour chaque différent certificat.
La portée des certificats
La portée de certification découle de la portée générale du SMQ et dépend de ce que l’organisation décide de faire certifier. L’objectif de la portée indiqué sur le certificat est utilisé pour communiquer le statut de certification du système de gestion de la qualité de l’organisation aux parties intéressées concernées.
Parfois, la portée de la certification peut être inférieure à la portée du SMQ. Alors, l’organisation et l’auditeur porteront une attention particulière à ces cas.
Quand cette situation se présente, par exemple dans le cas d’un système de management de la qualité applicable a plusieurs secteurs, il est souvent recommandé de définir au manuel qualité les portées par secteurs applicables spécifiques avec des classes par exemple et de décrire pour chaque Classe les portées spécifiques et leurs exclusions applicables.
Documentation de la portée et des exclusions en tant qu’informations documentées
La non-application des exigences au système de management de la qualité de l’organisation doit inclure une justification adéquate généralement documentée dans le manuel qualité de l’organisation.
Même si un manuel qualité n’est plus nécessaire pour répondre aux exigences ISO 9001: 2015, la majorité des organisations continuent de maintenir leur manuel qualité, ce qui est une bonne pratique.
De nombreuses organisations peuvent trouver plus facile de documenter la non-application au niveau fonctionnel. Par exemple, l’approvisionnement peut avoir un tableau pour indiquer les exigences de communication des fournisseurs externes du paragraphe 8.4.3 qui s’appliquent à différents produits pour les normes de la série AS9100 de l’International Aerospace Quality Group.
La portée/champ d’application des audits
Elle décrit l’étendue et limite d’un audit (ISO 19011: 2018, 3.5).
Note 1 de l’article: La portée de l’audit comprend généralement une description des emplacements physiques et virtuels, des fonctions, les unités organisationnelles, les activités et les processus, ainsi que la période couverte. »
Selon IAF, le champ d’application consiste à déterminer l’applicabilité et les limites du SMQ lors des audits.
L’auditeur doit vérifier quels produits et services sont gérés dans le cadre du SMQ formel, les processus nécessaires pour fournir le produit et service sous la responsabilité de l’organisation. En général, le SMQ s’applique à tous ses produits, services et les processus réalisés sur un ou plusieurs sites incluant les ressources de l’ensemble de l’organisation.
Pour mieux comprendre les limites. l’auditeur doit avoir un aperçu de la structure organisationnelle et des ressources liées aux sites, physiques et virtuels, incluant les infrastructures.
La portée du SMQ peut devenir plus difficile à déterminer et à valider dans des cas complexes ou critiques comme le nombre de produits et services, produits, procédés spéciaux fournis en externe (par exemple sous-traitance), la logistique, sites multiples et centres de service, etc.
Ces situations doivent être soigneusement évaluées pour déterminer si le périmètre a été défini correctement par l’organisation et énoncées de manière claire et non trompeuse.
L’auditeur est alors responsable a chaque audit externe de:
- s’assurer que – la déclaration de l’étendue de la certification n’est pas trompeuse;
- de vérifier, lors de l’audit, que ce périmètre ne concerne que les processus, produits, services, sites, etc. de l’organisation qui sont couverts par son SMQ et pour lesquels l’organisation peut démontrer sa capacité à fournir systématiquement ces produits et prestations de service;
Le périmètre de certification est un terme utilisé pour désigner le périmètre dans le document de certification. C’est généralement un énoncé décrivant le « type d’activités, de produits et de services sur chaque site physique sans être trompeur ou ambigu (Ref. ISO 17021: 2015) ». Dans le document de certification, le nom et l’emplacement physique de l’organisation certifiée (où siège social et les autres sites physiques, le cas échéant) sont également indiqués.
- Vérifier les justifications des exigences non applicables par l’organisation.
- De confirmer la portée de la certification lors de l’audit initial et ensuite, revu tout au long du processus de certification, lors de la surveillance et de la recertification afin que la déclaration reflète fidèlement dans le temps l’évolution de l’organisation et de son SMQ. L’organisation n’est pas statique. Si l’organisation n’inclut pas une activité ou oublie une justification appropriée, alors une correction sera nécessaire.
Par exemple, une entreprise qui commence à vendre en ligne et fait la livraison du produit directement chez le client peut avoir des implications sur les déclarations de la portée et sur l’audit.
Un autre exemple est une entreprise de construction qui un jour, obtient un contrat où il devient responsable de la conception. Il peut avoir besoin d’externaliser le processus ou d’ajouter ce nouveau processus dans ces activités et dans la portée de son SMQ. Lorsque le projet est terminé et qu’il n’y a plus de besoin, de démontrer l’application de conception devra à nouveau revoir sa portée.
Voici quelques exemples de déclarations de portée trompeuses qui ne sont pas validées.
- Le texte du champ d’application inclut une référence à un document normatif qui pourrait donner l’idée qu’ils sont également certifiés selon cette norme. Comme ISO 9001 est une norme de système de management, une référence dans l’énoncé du champ d’application aux normes de spécifications de produits ou de services peut donner l’idée qu’une réclamation pour un produit ou service certifié est incluse, ce qui serait trompeur. Par exemple, « Fabrication de produits conformément à STD XXXX: AAAA ».
LES PRODUITS DE L’ORGANISATION NE SONT PAS CERTIFIÉS, SEULEMENT LE SMQ.
- La portée est trop large ou vague et donne une impression erronée de ce que l’organisation fait: par exemple :
- construction générale vs construction de routes uniquement – dans le cas où l’organisation ne construit que des routes;
- construction vs construction de bâtiments – dans le cas où une organisation n’a que la capacité / l’autorisation de faire des bâtiments.
- Listes des produits du portefeuille pour lesquels l’organisation ne peut pas démontrer la fourniture; par exemple. Énonce une liste de 10 produits et démontre seulement d’en produire 3.
- Champ d’application qui comprend les déclarations de marketing ou de promotion: les moins chers et les meilleurs produits.
- Portée qui comprend les activités, produits ou services que l’organisation ne peut pas démontrer sa capacité à les fournir.
L’auditeur doit également être conscient que l’énoncé du périmètre peut être rédigé dans une langue
liée à son domaine d’activité. Par exemple le cas de l’architecture où la conception et le développement sont toujours inclus. Une déclaration de portée telle que « Services d’architecture » est acceptable
Compréhension des « exigences des Normes internationales »
Toutes les exigences ISO 9001 s’appliquent au système de gestion de la qualité d’une organisation, sauf si les exigences n’affectent pas la capacité ou la responsabilité de l’organisation d’assurer la conformité des produits et service et une meilleure satisfaction des clients.
ISO 9001: 2015 exige que l’organisation détermine les limites et l’applicabilité pour établir le champ d’application et la portée du SMQ. Le champ d’application ou la portée du système de gestion de la qualité doit répondre aux objectifs et orientations stratégiques incluant les enjeux externes et internes décrits dans la clause 4.1. Le domaine d’application du système de gestion de la qualité doit aussi satisfaire les besoins et attentes des parties intéressées en 4.2 pour la mise en œuvre des processus du SMQ.
La portée du SMQ sera alors adaptée aux produits et services fournis par l’organisation pour s’assurer qu’elle est appropriée aux activités.
Exigences non applicables affectant la conformité des produits et services.
Les exigences applicables sont décrites dans les articles de la norme quand l’on retrouve le terme « doit ». Plusieurs organisations qui par exemple œuvrent dans un secteur plus règlementé font un bon travail pour déterminer les exigences qui ne sont pas applicables au SMQ en fournissant une justification appropriée.
Les organisations n’adoptent généralement pas une approche systématique pour l’analyse des paragraphes avec les déclarations « doit » qui ne sont pas applicables. Elles ne sont pas préoccupées par le respect de ces exigences détaillées qui ne s’appliquent pas.
Voici quelques exemples de non-application/exclusion du paragraphe et de la déclaration « doit »:
- L’organisation effectue des achats, mais que l’expédition, mais il n’y a pas de livraison directe du fournisseur externe au client ‘Drop shipment’, alors l’exigence du paragraphe 8.4.1b ne s’applique pas.
- L’organisation n’effectue pas de processus spéciaux. Cette exigence de la norme ISO9001 précédente a été supprimée dans la version de l’ISO 9001: 2015. Alors, la clause 8.5.1f ne s’applique pas.
Attention aux règlements, par exemple pour AS9100D, c’est aussi l’exigence en 8.5.1.2 qui ne sera pas applicable. Et ce seulement s’il n’y a pas d’obligation contractuelle (ex : NADCAP ou Équiv.)
- L’organisation n’a pas physiquement à faire une gestion de la propriété du client, mais reçoit les pièces achetées dans des emballages appartenant au fournisseur qui doivent être retournées. Les exigences de propriété du client du paragraphe 8.5.3 ne s’appliqueraient pas, mais les contrôles des fournisseurs externes seraient applicables.
- L’organisation qui ne gère pas la propriété du client ou du fournisseur, y compris les informations des clients ou de fournisseurs (ISO 9001: 2015, section 8.5.3).
- L’organisation qui n’applique pas l’exigence de détermination des critères pour la sélection des fournisseurs parce que c’est la responsabilité d’une autre autorité conformément à une loi fédérale #XXXX (ISO 9001: 2015, section 8.4.1 en partie «… L’organisation détermine… les critères de sélection… des fournisseurs externes »)
Par contre il existe certaines exigences ISO 9001: 2015 pour lesquelles la non-application est pratiquement impossible à justifier, car la plupart des organisations fournissent des produits ou des services à leurs clients:
Clause 8.1 – planification et contrôle opérationnel requirent pour la planification, la mise en œuvre et le contrôle processus pour les produits et services.
Clause 8.2 – pour communiquer, déterminer et examiner les exigences relatives aux produits et services afin de garantir satisfaction du client.
Clause 8.5.1 – pour contrôler la production et la prestation de services afin de garantir que les résultats escomptés sont atteints.
Clause 8.5.5 – car au minimum un processus de gestion des réclamations des clients doit être en place.
Clause 8.6 – pour la mise à disposition des produits et services au client en s’assurant que toutes les exigences ont été satisfaites.
Clause 8.7 – pour contrôler les sorties qui ne répondent pas aux exigences.
Lorsqu’une organisation indique la non-application pour une exigence, les auditeurs doivent voir des preuves objectives documentées que les deux conditions suivantes sont remplies:
- L’exigence ne peut pas être appliquée.
- En n’appliquant pas l’exigence, il n’y a aucun effet sur la capacité ou la responsabilité de l’organisation d’assurer la conformité de ses services et l’amélioration de la satisfaction de la clientèle.
Donc, une justification valable ne peut pas être: “Nous ne voulons tout simplement pas le faire” ou “Nous n’avons pas les ressources pour le faire.” Une bonne règle de base est que si l’organisation peut appliquer l’exigence, elle doit l’appliquer.
Les organisations de services déforment fréquemment l’applicabilité du SMQ pour les services qu’elles fournissent en raison du regard contextuel dans laquelle elles voient leur propre système qualité. Par exemple, considérons la clause 8 Opérations pour une organisation qui fournit des services d’ingénierie aux clients.
Des exemples d’études et de clarifications sont publiés pour des cas du secteur aéronautique au tableau 2 ci-dessous.
Conclusion
Une portée précise du SMQ est fondamentale pour un SMQ efficace. Toutes les exigences de l’article 4 jettent les bases du SMQ. Une organisation peut examiner l’applicabilité des exigences en raison de la taille ou de la complexité de l’organisation, le modèle de gestion qu’elle adopte, l’éventail des activités de l’organisation et la nature du risque et des opportunités qu’elle rencontre.
Souvent, les organisations tentent de justifier l’exclusion d’exigences plutôt que de se pencher sur le contrôle et de définir des pratiques de mise en œuvre efficaces.
Par exemple, l’éventail des activités est un autre élément important à considérer. Si par exemple, par contrat vous devez exploiter des ressources naturelles qui seront utilisées dans un contrat, alors vous ne pouvez pas exclure cette activité.
J’ai commencé à écrire cet article en me disant que le sujet sera simple à cerner. Suite aux ressources disponibles, je me suis rendu à l’évidence que le sujet avait besoin d’une bonne explication, d’où le niveau d’information incluant des exemples. J’espère que ce texte saura apporter un éclairage sur cette exigence.
RÉFÉRENCES
- Norme ISO9001:2015 Annex A-1
- L. Cressionnie, Does it Apply, Standard Issues, QP dec 2020
- International Organization for Standardization (ISO), “ISO 9001 Auditing Practices Group Guidance on : Service Organizations,” Jan. 13, 2016.
- International Organization for Standardization (ISO), “ISO 9001 Auditing Practices Group Guidance on : Scope and applicability” , Ed 2 Feb. 26, 2020.
- Lorri Hunt, ISO9001:2015 Key Changes, Examplar Global, Sept,13 2016
- Additional aviation, space, and defense clarifications at https://tinyurl.com/ iaqg-more-clarify
- Understanding non-applicable requirements, NQA Exclusions, Oct 8, 2020
- Catégories
- AS9100D et ISO9001:2015