Les audits internes sont une exigence fondamentale de toutes les normes relatives aux denrées alimentaires. Dans cet article, nous allons aborder la manière de mettre en place un programme d’audit interne solide et efficace, qui est nécessaire pour le respect des normes.
L’audit interne étant si important pour un système de gestion conforme, il s’agit d’une exigence fondamentale des normes. Cela signifie que le non-respect de cette exigence peut avoir de graves conséquences, ce qui, dans le pire des cas, peut signifier l’échec de votre audit.
Les BRCGS l’appellent fondamental, les SQF l’appellent obligatoire et les IFS l’appellent un « knock out » – mais ils signifient tous la même chose : si vous échouez, c’est grave !
Comme nous ne voulons pas que cela se produise, examinons chacune des principales parties à respecter, qui sont :
- Champ d’application
- Fréquence
- Programme
- Auditeurs
- Archives
- Achèvement
- Inspections des BPF
Champ d’application
Le mot « champ d’application » est beaucoup utilisé dans le cadre de la conformité, il est donc important que nous soyons clairs sur sa signification. Cela signifie que vous devez définir ce que le système va couvrir. Ce qui est inclus et ce qui ne l’est pas.
Pour ce faire, vous devez documenter ce que votre système d’audit interne va contrôler.
La façon la plus simple de procéder consiste à créer un système d’audit interne dont le champ d’application est défini par votre norme. L’autre façon de procéder consiste à auditer vos propres procédures. Cependant, veuillez mettre cela en place avec prudence.
Conseil – assurez-vous que la portée de chaque audit commence par un point qui vérifie que les non-conformités de l’audit précédent ont été éliminées.
Fréquence
La fréquence de vos audits internes doit être basée sur le risque. Cela signifie que vous devez procéder à une évaluation des risques.
Lorsque vous effectuez l’évaluation des risques pour déterminer les fréquences, vous devez élaborer une méthode de calcul des risques. Il doit y avoir une entrée et une sortie.
Nous savons que le résultat est la fréquence, donc le risque doit être lié à la fréquence, par exemple :
- Un risque faible peut être annuel
- Le risque moyen peut être de 6 mois
- Le risque élevé peut être trimestriel
Veillez toutefois à ce que votre fréquence maximale soit annuelle, car c’est une exigence de toutes les normes.
L’entrée de l’évaluation des risques doit fournir des preuves sur la performance du système de gestion. C’est une chose que l’on oublie souvent. L’évaluation des risques doit donc inclure une mesure de l’efficacité du système de gestion.
Cela implique que vous devez prendre en compte le nombre et le type de non-conformités qui ont été soulevées lors du dernier audit. La détection des non-conformités permet de les corriger, ce qui signifie qu’elles ne seront pas détectées par un auditeur externe ou, pire encore, qu’elles ne poseront pas de problème.
C’est pourquoi nous utilisons des informations de suivi sur les performances du système de gestion au cours des 12 derniers mois, telles que les plaintes, les produits non conformes et les données relatives aux incidents.
Le deuxième point que l’entrée de l’évaluation des risques doit prendre en considération est l’impact si le sujet à auditer devait mal tourner.
Pour ce faire, nous utiliserions l’évaluation typique du risque de gravité et nous resterions simples, en évaluant chaque sujet pour la sécurité, la légalité ou la qualité du produit. Par exemple :
Sécurité des produits = gravité élevée
Légalité = gravité moyenne
Qualité = faible sévérité
Vous devez alors combiner les deux notes de performance et de gravité et déterminer la note de risque globale – cela devrait vous donner une fréquence.
Programme
Une fois que vous avez déterminé la portée et la fréquence de chacun des audits, vous devez les planifier – c’est ce que l’on appelle la programmation. Cela signifie qu’ils doivent être planifiés à l’avance et que des dates doivent être fixées. Il n’est pas nécessaire de fixer la date exacte, mais il faut documenter le mois ou au moins le trimestre où l’audit doit être effectué.
Les audits doivent être réparties sur l’année – vous ne pouvez pas tout faire en une seule fois. Le nombre de dates nécessaires dépend de la norme :
- La norme BRCGS Food Safety Issue 8 comporte au moins 4 dates (clause 3.4.1)
- BRCGS Agents and Brokers Issue 2 est au moins 4 dates (interprétation de la clause 3.5.1)
- BRCGS Packaging Issue 6 ne précise pas combien de dates ou qu’il doit y avoir pendant toute la durée
- BRCGS Stockage & Distribution Issue 3 est au moins 2 dates (clause 3.2.1)
Auditeurs
Vos auditeurs doivent l’être :
- Formés
- Compétent
- Impartial
Formation
La formation peut être complétée soit par l’achèvement d’un cours de formation interne ou une formation externe (qui peut ou non être accréditée).
Cours internes
Si vous dispensez un cours de formation interne (en entreprise), votre matériel de formation devra faire l’objet d’un contrôle documentaire, afin que vous puissiez prouver ce qui a été enseigné pendant le cours.
L’enseignant devra également disposer des deux documents :
- Un diplôme d’enseignement
- Une qualification en audit interne.
Cours externes
Les cours externes peuvent être divisés en trois catégories :
- Accrédité
- Reconnu
- Certifié de manière indépendante
Compétences
Des auditeurs compétents doivent dispenser de:
- Une formation sur la manière d’auditer
- Une compréhension du sujet
- Un esprit de recherche de problèmes
Formation
Nous en avons déjà parlé. Vos auditeurs doivent être formés à l’audit interne.
Compréhension du sujet
Pour être en mesure de fournir un audit solide, l’auditeur doit avoir une compréhension approfondie du sujet qu’il vérifie.
Après cette formation, vos auditeurs internes peuvent approfondir leur formation s’ils veulent continuer à auditer d’autres parties de votre norme, telles que le HACCP.
Un esprit de recherche de problèmes
Trouver un problème n’est pas une mauvaise chose, c’est le but d’un audit interne. Le but du jeu est de trouver les problèmes avant que quelqu’un d’autre ne le fasse (comme un client ou un auditeur tiers) ou avant que les choses ne tournent mal et ne causent un problème réel.
Faites-en l’expérience en pratique. Demandez aux opérateurs de s’acquitter réellement de leurs tâches à votre place, plutôt que de se contenter de vous les expliquer. Pendant qu’ils le font, demandez-leur de vous l’expliquer, comme s’ils vous apprenaient à le faire. Comparez ce qu’ils font à la procédure telle qu’ils la pratiquent. Vous constaterez que cela met en évidence de nombreux problèmes liés aux procédures et à l’interprétation de ce qui est exigé.
Vérifiez toujours le contrôle des documents. Chaque procédure ou formulaire d’enregistrement devrait être doté d’un contrôle des documents – ainsi, un bon auditeur le vérifiera sur chaque document qu’il examinera. Comparez-le au registre de contrôle des documents pour voir si celui qui est utilisé est la version actuelle.
Impartialité
Les auditeurs doivent être indépendants du processus audité, ainsi que de l’activité auditée. Ceci afin qu’ils soient impartiaux et qu’il n’y ait pas de conflit d’intérêts.
Les normes sont très claires : les auditeurs ne peuvent pas contrôler leur propre travail, car ils seraient partiaux. Pour les petites équipes, cela peut représenter un défi ; lorsque les membres de l’équipe portent plusieurs casquettes – et ils le font, dans certains cas, cela signifie qu’une aide extérieure est nécessaire pour réaliser certains des audits. Si vous faites appel à des auditeurs externes pour vous aider, assurez-vous d’obtenir des copies de leurs qualifications de formation.
Cela signifie que vous ne pouvez pas contrôler votre propre travail et que vous ne pouvez pas non plus contrôler le travail effectué par un membre de votre équipe en cas de conflit d’intérêts.
Archives
Lors de la rédaction de l’audit, vous devrez écrire sur la conformité et la non-conformité. Cela signifie que vous devrez dire ce qui était correct (conformité) et ce qui était incorrect (non-conformité) et vous devrez fournir des preuves de ce que vous avez audité. Il s’agit d’éviter que les audits ne soient effectués comme des exercices de cochage.
Enregistrer des preuves signifie que vous devrez enregistrer des choses comme:
- à qui vous avez parlé,
- la référence et la version du document que vous avez vérifié,
- la date et la référence des documents que vous avez contrôlés,
- la date à laquelle une personne a été formée
- à quel document de référence ils ont été formés
- et des photos, etc.
Fondamentalement, vous devez vous assurer que si un auditeur vérifie l’audit, il peut voir les mêmes documents que vous et arriver aux mêmes conclusions sur le résultat.
Réalisation
Pour qu’un système d’audit interne soit efficace, il est vraiment important que les bonnes personnes soient impliquées. Elles devront également être réellement engagées dans le processus. Il est facile de se concentrer sur la réalisation des audits internes et d’oublier d’impliquer les responsables de ce qui est contrôlé.
Si l’entité contrôlée n’est pas impliquée, elle ne participe pas au processus, ce qui réduit considérablement l’efficacité de l’audit – c’est un peu comme si l’on n’effectuait qu’un demi-audit, car seule la moitié des personnes nécessaires sont réellement impliquées.
Lorsque vous organisez des audits internes, assurez-vous que vous organisez non seulement la personne qui va effectuer l’audit, mais aussi la personne qui est auditée. Cela permet de favoriser l’amélioration, tant pour l’entité contrôlée, qui comprend mieux ce qui est nécessaire, que pour l’auditeur, qui en apprend davantage sur les aspects pratiques du sujet. Cela permet également de s’assurer que l’audité comprend les non-conformités qui sont soulevées, car cela contribuera à garantir que le bon élément de l’audit est rectifié.
Lorsque vous clôturez des actions, votre rapport d’audit ou vos rapports d’action doivent indiquer en détail qui est responsable de la clôture des actions. Cette personne n’a pas besoin de clôturer elle-même l’action, elle peut la déléguer, mais elle devra finalement s’assurer que l’action est menée à bien.
Une fois qu’une non-conformité a été réalisée, elle doit être vérifiée avant de pouvoir être clôturée. C’est la partie du système qui est souvent oubliée et c’est la principale raison pour laquelle les mêmes non-conformités sont soulevées encore et encore. La personne qui vérifie la non-conformité doit être impartiale par rapport à la personne qui a mené à bien l’action.
Inspections des BPF
Si vous êtes un site de production alimentaire, un site d’emballage à haute hygiène ou un site de stockage et de distribution, vous devrez effectuer des inspections BPF.
Une inspection BPF n’est pas un audit de systèmes, vous n’avez donc pas à enregistrer les preuves de conformité et de non-conformité. Il s’agit d’une évaluation plus pratique, d’où la raison pour laquelle nous l’appelons une inspection (et non un audit) et vous pouvez utiliser davantage un exercice de cases à cocher pour montrer si les points sont conformes ou non. Ensuite, en cas de non-conformité, vous devrez fournir plus de détails sur ce qui n’allait pas et sur ce qu’il faut faire pour y remédier.
Au minimum, les inspections BPF doivent porter sur les normes d’hygiène, la propreté et la fabrication.
La fréquence de ces inspections doit être déterminée à l’aide d’une évaluation des risques. Si vous produisez des emballages en contact avec les aliments, elles doivent être effectuées plus souvent dans des zones de produits ouvertes que dans des zones de produits fermées.
Pour vous donner une idée de la fréquence, la norme alimentaire du BRCGS stipule que dans les zones ouvertes, les inspections BPF doivent être effectuées au moins une fois par mois. Lorsque le produit fabriqué présente un risque élevé, il faut alors les effectuer plus souvent.
