Toutes mes réponses sur les forums
-
AuteurMessages
-
Henri (faisant suite aux messages qui vous avez effacé depuis)… nous sommes dimanche matin et je suis donc en d’excellentes dispositions, alors, je vais vous répondre calmement une dernière fois…
Je n’apprécie que moyennement vos interventions lorsqu’elles comprennent des critiques et piques pour les contributeurs et des relances de postes avec, pour principale utilité, de nourrir votre besoin de reconnaissance.
Je vous demande donc, à partir de ce jour s’il vous plait : de contribuer sans critiquer, de vous épanouir dans vos domaines de compétences, de vous rappeler que nous sommes ici pour répondre aux besoins des autres et pas des vôtres.
Faisons encore du chemin ensemble et avec respect, ou ne le faisons plus. Sommes nous d’accord ?
Merci. Je comprends à présent comment être certifié avec une non-conformité mineure lorsque l’on a pas fait d’audit interne… je ne vous enquiquine plus sur ces questions là, elles sont de la responsabilité des organismes certificateurs qui prennent ou non leurs propres responsabilités.
Concernant les processus que vous pouvez « décemment » auditer, effectivement : cela dépend de votre implication. Concernant le processus EVALUATION, cela dépend de votre implication au sein de ce dernier.
Exactement.
En outre, si vous gérez les audits internes (planification et réalisation), il y a fort à parier que vous ne puissiez auditer le processus AMELIORATION…
Votre organisme certificateur, celui qui vous a certifié, vous a-t’il audité en ISO 27001 « sous accréditation » ?
Oui c’est cela.
Pour reprendre vos exemples :
> …quand dans le critère 1 il est noté « une non-conformité mineure est caractérisée par une information partiellement accessible ou par l’absence ponctuelle et non répétitive de certains items dans la communication » : cela veut dire qu’en cas d’incomplétude d’items dans la communication, c’est une non-conformité mineure. En cas d’absence d’items , c’est une non-conformité majeure. Idem pour le critère 2.
> en revanche, pour le critère 4 par exemple : même une incomplétude est directement évaluée en non-conformité majeure.
Il s’agit d’un audit, aussi et malgré le coté parfois difficile de la chose : le « bon » ne tempère pas le « moins bon ». Les audit.eurs.rices ne font pas de moyenne mais ont a remettre un jugement sur la conformité ou non aux indicateurs. Un « point fort » n’annule pas une « non-conformité » qu’elle soit majeure ou mineure.
Maintenant et avec… déception… je modère mes propos tout de même. Malgré la certification que le COFRAC assure sur les organismes certificateurs, nous constatons déjà la réalisation d’audits de certification QUALIOPI dans des conditions totalement ubuesques : audit.rices.eurs incompétent.e.s, supports d’évaluation inefficaces, certification de systèmes non-conformes… mais bon. Il est intéressant de ne pas compter sur cela pour autant.
Je reviens à notre échange : soit vous n’avez pas besoin de la colonne D parce que ce sont les colonnes H:I qui comptent réellement, soit la colonne D doit exprimer automatiquement le constat le plus élevé de la colonne H:I de l’indicateur concerné.
Parfait !
Vous pouvez donc planifier vos audits selon les processus, mais à la condition suivante : que vous fassiez un croisement entre vos processus et les exigences de l’ISO 27001 et de l’Annexe afin de démontrer que l’audit des processus permettra exhaustivement d’évaluer l’intégralité des exigences. Cela vous servira de support lors des audits de chaque processus : vous pourrez lister les exigences à valider (même si, dans l’ISO 27001, il y a de fortes chances que 80% des exigences soient concentrées dans vos processus SMSI, Développement et peut-être Évaluation).
A la vue de votre taille, vous pouvez (les deux se valent…) :
– soit tout auditer « d’un coup »
– soit auditer tous les « x » mois une partie de votre système. Par exemple : 1er trimestre – Processus de Management et Processus supports (sauf le développement et l’évaluation » qui raisonnent de manière particulière avec la 27001), 2ème trimestre – Processus Développement et Évaluation, 3ème trimestre – Processus Opérationnels.
Est-ce vous qui ferez les audits ?
D’accord, j’y vois un peu plus clair.
Alors, juste pour rappel : tous les indicateurs abordés peuvent, potentiellement, donner lieu à des non-conformités majeures lors d’un audit. Simplement, certains indicateurs ne peuvent donner lieu QUE à des non-conformités majeures et non à des non-conformités mineures (c’est le cas des indicateurs 04 à 11, 14 à 16, 20 à 22, 26, 27, 29, 31 et 32 ).
Pour ma part, je vous conseillerais de mettre, en case D13 (dans toutes les cases D en fait), l’écart le plus critique qui ait été abordé dans les évaluations de l’indicateur. Par exemple : s’il y a eu une non-conformité majeure, la D13 dira « non-conformité majeure », s’il y a eu au moins une non-conformité mineure et pas de majeure, la D13 dira « non-conformité mineure », etc…
En fait, j’ai mal formulé ma question.
Elle est la suivante : votre système de management repose-t-il sur une « approche processus » avec des processus identifiés, formalisés et pilotés ? Éventuellement : avez-vous une cartographie des processus ?
En effet : vous avez cité « … ce sont les processus à auditer ».
> Si vous avez une approche processus : vous pouvez effectivement planifier vos audits « par processus » avec quelques principes que je vous donnerais ensuite.
> Si vous n’avez pas d’approche processus : vous pouvez planifier vos audits par « famille d’exigence » avec quelques principes que je vous donnerais si cela est le cas.
Dans ces deux approches, de toute manière : il faudra démontrer que vous avez évalué toutes les exigences ET du référentiel ET de son annexe. Mais pour cela, on utilise des « astuces » différentes selon le premier ou le deuxième cas.
Je vous avoue ne pas comprendre encore cette notion d’indicateur majeur ou mineur
Dans le référentiel QUALIOPI, il n’y a pas d’indicateurs majeurs ou mineurs : il y a des indicateurs applicables ou non applicables.
En revanche, si ce terme « majeur / mineur » est lié au résultat des constats identifiés, vous pouvez alors supposer que le résultat est « non conforme majeur » à partir du moment ou au moins une des questions de l’indicateur est en non-conformité majeure, et « non conforme mineur » s’il n’y a pas de non-conformité majeure, mais au moins une non-conformité mineure.
Ha ? D’accord… hé bien vous avez un organisme sympathique en 27001 parce que les audits non formalisés sont une non-conformité majeure, surtout en ISO 27001
Sur le principe : vous devez auditer l’ensemble des exigences de la norme sur, au plus, une période de 3 ans.
Néanmoins, surtout pour une première certification et surtout après une non conformité mineure sur ce sujet : vous avez tout intérêt à programmer une première révision de l’ensemble de ces exigences sur la première année. D’autant que le système est récent, donc, encore sensible. En effet, la planification et la nature des thèmes audités doivent dépendre de l’intérêt, des risques, du résultat des audits précédents.
Il sera temps d’étaler la planification un peu plus tard.
Avez-vous mis en œuvre une approche processus ?
Vous avez été certifiés ISO 27001 mais vous n’aviez pas fait d’audit interne ?
Ai-je bien interprété vos propos ?
Quels sont les liens entre le résultat de la case D13 et le champ des cases H12 à I16 s’il vous plait ?
Bonjour,
Votre entreprise est-elle déjà certifiée selon cette norme ?
> si oui : comment avez-vous mené les audits internes jusqu’à présent ?
> si non : quelle est votre échéance de certification ?
Avez-vous déployé une approche processus ?
> si oui : parce que vous êtes déjà certifiés ISO 9001 ou par choix « personnel » ?
Combien de sites / personnes font-elles parties du périmètre concerné par votre déclaration d’applicabilité ?
Je comprends maintenant votre contexte : bon… bon courage alors
Les préconisations que je vous ai proposé le 4 février sont tout à fait « d’actualité ».
Bonjour,
Si vous souhaitez joindre un document, vous pouvez utiliser le bouton « Upload Attachments » qui se trouve directement en bas à gauche de la fenêtre de texte.
Concernant le support de diagnostic : je me rapprocherais du propriétaire du site pour savoir s’il nous est possible de faire quelques mises à jour.
Merci pour la lecture de nos vidéos : si elles vous aident, alors, je vous remercie de nous aider à votre tour en posant des likes, en partageant et en vous abonnant
Alors… pas à pas…
Débutons pas le commencement : aucune question n’est bête si elle est posée pour comprendre. Ce qui peut être « bête », ce serait de ne pas oser poser une question (qui, souvent, permet à toutes celles et ceux qui n’osent pas la poser, d’avoir une réponse) ou de poser une question parce qu’on a à l’idée de mettre en difficulté celles et ceux qui répondent. Donc : ne vous privez pas de poser toutes les questions que vous avez.
Les réponses maintenant :
[les constats]
Un indicateur peut-être : « conforme », ou présenter une ou plusieurs « non-conformités majeures » ou « non-conformités mineures ».
Un organisme ne peut pas être certifié s’il y a au moins une « non-conformité » majeure. Dans ce cas, deux cas : soit la (ou les) non-conformité peut être levée dans les 3 mois qui suivent (levées par un échange avec l’audit.eur.trice) et, si l’audit.eur.rice accorde la levée de ce constat : l’organisme est certifié (mais 3 mois après l’audit). Soit, la non-conformité majeure est trop lourde (ou bien, vous n’avez pas levé la non-conformité majeure signifiée dans les 3 mois), là : vous n’êtes pas certifié (ou plus certifié, si vous l’étiez déjà).
Si vous avez des « non-conformités mineures » : vous devrez démontrer, lors du prochain audit, qu’elles ont été traitées. En cas contraire, elles deviennent… des non-conformités majeures avec les effets présentés avant.
Attention, point particulier : certains indicateurs, tels que l’indicateur 04 par exemple, imposent, en cas d’écart, l’identification d’une « non-conformité majeure » forcément. On est « conforme » ou en « non-conformité majeure », il n’y a pas de « non-conformité mineure » possible.
Ensuite, selon les organismes certificateurs, d’autres constats peuvent être formulés qui n’ont aucun impact sur la certification : « point à surveiller », « point fort ».
Enfin : certains constats d’indicateurs sont « non concerné » parce que vous n’êtes pas concerné par, par exemple, un indicateur spécifique.
[mise en forme]
Les pourcentage sont intéressants, mais, vous l’avez compris, vous pourriez être à 97% de conformité et une « non-conformité majeure » ne vous permettrait pas d’être conforme. Vous pourriez avoir 6 ou 7 « non-conformités mineures » et vous le seriez. En outre : vous pourriez avoir plusieurs non-conformités pour un même critère.
Ce n’est donc pas la mesure la plus pertinente (en tout cas, de manière brute), bien qu’elle soit intéressante.
Lorsque nous faisons des audits (à blanc ou lors de certifications) par exemple : nous mesurons pour chaque indicateur son positionnement « conforme » ou « non-concerné » ou le nombre de « écart majeur », « écart mineur ». « bien représenté », cela est très parlant.
-
AuteurMessages