Vous souhaitez obtenir des conseils sur la façon de rédiger un rapport d’audit ? Nous avons quelques conseils d’initiés sur ce qu’il faut inclure dans votre rapport, sa durée et la façon de rédiger vos conclusions.
Dans cet article, nous allons nous concentrer spécifiquement sur le rapport écrit final (et non sur le rapport verbal donné lors de la réunion de clôture — nous y reviendrons plus tard), et quelques conseils sur la façon de rédiger un rapport d’audit qui ajoute de la valeur à l’organisation et qui sera réellement utilisé pour contribuer à l’amélioration continue.
Lire également : Découvrez les meilleurs outils d'analyse SEO gratuits pour booster votre référencement
Dans de nombreux cas, le modèle de rapport d’audit que vous devez utiliser est prédéterminé, ce qui vous régit dans une large mesure. Mais même dans ce cas, vous devriez avoir une certaine flexibilité dans ce que vous écrivez.
Plan de l'article
Ce qu’il faut inclure dans un rapport d’audit
Commençons par ce qui doit être inclus. Il y a quelques éléments obligatoires : l’objectif, la portée et les critères. Ils doivent clairement expliquer le but et les limites de l’audit. Vous pouvez les combiner et les appeler différemment, mais ils devraient toujours être inclus. L’objectif est de savoir pourquoi l’audit est effectué ; la portée correspond aux limites de l’audit ; et les critères correspondent à ce que vous vérifiez.
A lire également : Quelles sont les qualités d'un bon auditeur ?
Vous devez également indiquer où vous êtes allé. Par conséquent, indiquez le nom de l’entreprise ou de l’unité commerciale, ainsi que son adresse. Indiquez également le nom de votre interlocuteur. Les modèles de rapport exigent souvent que vous incluiez les noms de toutes les personnes avec qui vous avez été en contact. Personnellement, je n’en vois pas l’intérêt et c’est un bon endroit pour faire une erreur. Il est très facile de mal épeler le nom de quelqu’un ou de manquer complètement quelqu’un. Il vaut mieux simplement indiquer le nom du contact principal et les noms des personnes qui ont assisté à la réunion de clôture, et assurez-vous de bien épeler leur nom.
Il existe également quelques autres éléments obligatoires, comme la clause de non-responsabilité, qui sont normalement inclus dans votre modèle.
La prochaine chose dont vous avez besoin est un résumé clair. L’accent est mis ici sur la clarté. Pensez à qui va lire ceci et ce qu’ils doivent savoir. Il y a essentiellement trois choses qu’ils veulent savoir :
- L’organisation a-t-elle réussi l’audit ?
- Quelles sont les non-conformités et les non-conformités et combien ? Vous n’avez pas besoin de tous les détails de ce résumé, mais vous devez indiquer combien et peut-être dans quels domaines ils se trouvent.
- Qu’est-ce qui doit se passer ensuite ? Vous revenez ? Et indiquez comment et quand l’organisation doit y répondre.
Nous en sommes maintenant à la majeure partie du rapport et devons inclure des informations sur ce que vous avez vu. Restez factuel, et je n’utilise pas de mots tels que : bon, très bon ou excellent. Par exemple,
Si j’examinais trois rapports et que tous étaient bien et conformes, j’écrirais…
Les trois rapports suivants ont été examinés :
- Numéro du rapport…
- Numéro du rapport…
- Numéro du rapport…
Ce que je n’écrirais pas, c’est…
Trois aléatoires les rapports ont été examinés et ils étaient tous très bien rédigés et contenaient d’excellents renseignements.
La raison en est que lorsque vous ou quelqu’un d’autre reviendrez l’année prochaine et que vous trouvez peut-être un problème avec un rapport, la réponse de l’entité vérifiée pourrait bien être : « Mais l’année dernière, vous avez dit qu’ils étaient excellents ? »
Comment structurer un rapport d’audit
Comment devriez-vous présenter le corps de votre rapport ? Le corps du texte doit se trouver dans des groupes logiques qui correspondent au mode de fonctionnement de l’entreprise et, idéalement, vous devriez écrire autour de leurs processus métier. Si l’entreprise n’est pas structurée de cette façon, écrivez autour des fonctions ou des services de l’entreprise, ou éventuellement des emplacements s’il s’agit d’une entreprise multisite.
N’écrivez pas votre rapport en fonction des critères que vous avez vérifiés. J’ai déjà écrit à ce sujet dans un autre blog : Pourquoi les auditeurs de certification ou de réglementation ne devraient-ils pas utiliser une liste de contrôle ?. L’un des principaux problèmes de cette approche est que vous disposez d’un modèle de rapport à utiliser, et que le définit la façon de structurer le rapport. Dans ces cas, vous êtes un peu coincé, alors faites de votre mieux.
Combien faut-il écrire dans un rapport d’audit ?
Combien écrivez-vous sur ce que vous avez vu ? Personnellement, je n’écris pas trop. J’écris suffisamment pour démontrer que j’étais là et que j’ai examiné les preuves, mais je n’écris pas d’histoire — et puisque les personnes principales qui liront le rapport travaillent dans l’entreprise, elles devraient tout de même en connaître la plus grande partie.
Résultats de l’audit
Parlons maintenant des résultats — des choses que vous avez trouvées qui n’étaient pas comme elles devraient l’être. Le nom officiel de ces non-conformités est celui des non-conformités ou, si nous parlons légalement, des non-conformités. Mais on les appelle souvent quelque chose de différent, normalement parce que les gens veulent leur donner une tournure positive : Demande d’action corrective ou CAR, Opportunité d’amélioration ou OFI, corrigeons-le, corrigeons-le ensemble, note d’amélioration potentielle ou NIP, action corrective action préventive ou CAPA, et Secteur préoccupant. Il y en a beaucoup — je me demande quel terme vous utilisez ?
Dans le cadre de cet article, nous allons utiliser la non-conformité simplement pour simplifier les choses. Les non-conformités sont également classées ou classées. Les notes normales sont : Critique, Majeur et Mineur, et peuvent être décrites comme suit :
Critique
L’organisation a démontré un impact direct sur la santé publique en raison d’une perte de contrôle des processus ou d’une violation de la législation. Remarque : Cela ne concerne que certains types d’audits tels que : la sécurité alimentaire ou d’autres audits à haut risque.
Majeur
L’organisation n’a pas de processus en place qui répond à une composante majeure d’une exigence, ou le résultat n’est pas efficace.
Mineur
L’organisation ne répond pas entièrement aux composantes d’une exigence, ou le résultat n’est que partiellement efficace.
Écriture de non-conformités
L’écriture des non-conformités est, à mon avis, la partie la plus importante du rapport d’audit. Pourquoi ? C’est simplement ce sur quoi les gens doivent agir ; il faut donc que ce soit clair, qu’il soit compris et qu’il soit correct.
J’ai écrit sur l’écriture de non-conformités dans deux blogs précédents : Comment écrire des non-conformités et Pourquoi l’enregistrement des preuves entraîne un mauvais comportement ? Mais en un mot, vous écrivez la partie pertinente des critères et indiquez les preuves dont vous disposez pour démontrer qu’ils ne sont pas conformes. Ce que vous ne faites pas, c’est dire à l’organisation ce qu’elle doit faire : le correctif ou le confinement et les mesures correctives.
Vous voudrez peut-être également inclure des recommandations… ce qu’ils pourraient améliorer et améliorer. Mais attention, il y a des pièges pour les nouveaux joueurs.
Si vous effectuez un audit de certification ou un audit pour le compte du gouvernement, c’est un « non non » certain de formuler des recommandations, de donner des conseils ou de consulter.
Pour clarifier ce point, la section 5.2.5 de la norme ISO 17021-1:2015 indique ce qui suit :
L’organisme de certification et toute partie de la même entité juridique et toute entité placée sous le contrôle organisationnel de l’organisme de certification ne doivent pas offrir ni fournir de conseil en matière de système de gestion. Cela s’applique également à la partie du gouvernement identifiée comme l’organisme de certification.
En outre, la section 9.4.8.1 indique ce qui suit :
L’équipe d’audit peut identifier des possibilités d’amélioration, mais ne recommande pas de solutions spécifiques.
Vous pouvez donc trouver des erreurs, à condition que vous ayez des preuves à l’appui de vos constatations, mais que vous n’êtes pas autorisé à conseiller l’organisation sur la façon de les corriger. Vous pouvez identifier les possibilités d’amélioration, mais là encore, vous ne pouvez pas dire à l’organisation ce qu’elle doit faire. Vous pouvez uniquement identifier le problème.
Voici un exemple de possibilité d’amélioration :
Les processus de contrôle des documents peuvent bénéficier d’une complexité réduite.
Vous ne pouvez pas écrire :
Vous devrait réduire la complexité du contrôle de vos documents.
Ne pas être en mesure de dire à l’organisation ce qu’il faut faire peut être frustrant pour vous deux. Cependant, c’est leur système de gestion, pas le vôtre. Si vous leur dites quoi faire, quelles sont les conséquences pour vous s’ils suivent vos conseils et que quelque chose ne va pas ?
J’ai souvent entendu des auditeurs dire : « Mais nous le faisons comme ça parce que c’est ce que voulait le dernier vérificateur ». Ne tombez pas dans le piège du conseil — si vous voulez le faire, devenez consultant.
Quelle doit être la taille du rapport d’audit ?
Et quelle devrait être la durée de votre rapport ? Combien faut-il écrire ? Devrait-il s’agir d’un rapport massif qui réussit le test de chute, prend trois mois à produire et est examiné par une équipe de milliers de personnes ? Le document obligatoire du Forum international d’accréditation IAF MD 5:2015 nous donne quelques conseils ici :
2.1.1 Le temps d’audit pour tous les types d’audits comprend le temps total sur place à un l’emplacement du client (physique ou virtuel) et le temps passé hors site à effectuer la planification, l’examen des documents, l’interaction avec le personnel du client et la rédaction de rapports.
4.1 La détermination du temps d’audit des systèmes de gestion impliqués dans des activités hors site combinées ne devrait pas réduire la durée totale des audits des systèmes de gestion sur place à moins de 80 % du temps d’audit calculé.
Cela signifie donc que vous ne devriez pas passer énormément de temps à rédiger le rapport. Pour un audit d’une durée totale de six jours, lorsque vous prenez un peu de temps de planification et de préparation, prévoyez 80 % du temps sur place, ce qui représente la meilleure partie de cinq jours (en fait 4,8), il vous reste environ une journée pour rédiger le rapport.
Combien de mots pouvez-vous écrire en une journée ? Eh bien, c’est ce que certains auteurs célèbres peuvent écrire :
| Arthur Conan Doyle | 3000 |
| Carol Shields | 600 |
| Holly Black | 1000 |
| Ian McEwan | 600 |
| Lee Child | 1800 |
| Sarah Waters | 1000 |
Source : https://writerswrite.co.za/the-daily-word-counts-of-39-famous-authors-1/
Une page moyenne compte environ 500 mots, donc si vous écrivez aussi vite que Sir Arthur Conan Doyle, vous pourriez créer un rapport de six pages ; mais si vous écrivez comme Carol Shields ou Ian McEwan, vous allez gérer un peu plus d’une page.
Quand devriez-vous rédiger le rapport d’audit ?
Et quand devriez-vous rédiger ce rapport ? D’emblée — et si vous ne comprenez pas cela, je vous le répète — tout de suite ! J’ai toujours eu mon faire rapport à l’entité auditée dans un délai de cinq jours. La plupart des organismes d’audit semblent disposer d’un délai de cinq à 28 jours. Je pense que le plus vite sera le mieux, alors que l’audit est encore frais dans l’esprit de tous. Recevoir un rapport trois mois après l’audit est une perte de temps pour tout le monde ; les gens ont oublié ce qui s’est passé, certaines personnes sont passées à autre chose, les processus ont peut-être changé, et vous, l’auditeur, avez l’air inutile.
Pourquoi la rédaction du rapport d’audit prend-elle autant de temps ? Deux raisons : premièrement, vous donnez la priorité à d’autres tâches pour qu’elles soient plus importantes ; deuxièmement, le rapport doit être examiné par quelqu’un d’autre et il reste trop longtemps dans sa boîte de réception. Et, bien sûr, si quelque chose doit être corrigé, nous allons et vient.
Quelle est la solution à ce problème ?
- Rédiger le rapport immédiatement tant que l’audit est encore récent ; n’écrivez pas trop (moins d’erreurs) ;
- embaucher des auditeurs compétents (encore une fois, moins d’erreurs) ;
- Si le rapport doit être examiné par quelqu’un d’autre, assurez-vous qu’ils le font rapidement.
Au début, j’ai dit que cet article porterait sur le rapport d’audit écrit et non sur la réunion de clôture. Cependant, je dirai ceci à propos de la réunion de clôture : ce que vous dites aux participants à cette réunion et ce que vous écrivez dans votre rapport d’audit doivent être identiques. Ne tombez pas dans le piège de la découverte de nouvelles non-conformités lorsque vous êtes de retour à votre bureau. Ne soyez pas un guerrier du clavier !
En résumé…
Lorsque vous rédigez votre rapport d’audit, restez simple, souvenez-vous de votre public, restez factuel, évitez les termes comme excellent, ne consultez pas ou ne conseillez pas, et faites-le rapidement. Il y a deux secrets à cela :
- Avoir un bon modèle, et
- Entraînez-vous : les rapports deviennent plus faciles et rapides au fur et à mesure que vous en faites.
Maintenant, allez profiter de votre audit.
Articles connexes
Conseils pratiques pour une amélioration continue
Pourquoi les auditeurs de certification ou réglementaires ne devraient pas utiliser de liste de contrôle
Audit de performance : augmentation de la valeur de l’audit et amélioration