La maîtrise des processus externalisés
Voilà un sujet qui soulève bien des questions auprès des entreprises certifiées ou en voie de l’être. Qu’est-ce qu’un processus externalisé et comment en assurer la maîtrise ?
La norme ISO 9001 précise que “lorsqu’un organisme décide d’externaliser un processus ayant une incidence sur la conformité du produit aux exigences (explicites et implicites) du client, il doit en assurer la maîtrise.
Lors de l’identification de ses processus, l’organisme peut choisir d’externaliser un ou plusieurs processus pour des raisons qui lui sont propres (économiques, stratégiques, environnementale, réglementaires, etc.) à un fournisseur indépendant.
Il convient que l’organisme maîtrise ces processus externalisés au travers de son SMQ par l’application de l’ensemble des exigences des paragraphes 4.1 (exigences générales) et 7.4 (achats). L’étendue de cette maîtrise dépend de la nature des processus externalisés et des risques encourus sur le produit final. Les éléments de sortie de ces processus devront être surveillés au travers de l’exigence du paragraphe 7.4.3 de la norme (vérification du produit acheté).
En complément des dispositions des paragraphes cités ci-dessus, l’organisme peut à titre d’exemple, selon les risques encourus sur le produit final, et en fonction de la nature du processus externalisé :
- participer à la définition et à la documentation de ce processus ainsi qu’à l’identification des interactions avec les autres processus,
- s’assurer que le fournisseur a identifié et dispose des ressources et des éventuelles qualifications nécessaires à la mise en œuvre de ce processus,
- le surveiller (cf. § 8.2.3) en s’assurant de sa mise en œuvre et de son efficacité et en l’intégrant dans son propre programme d’audit interne,
- s’assurer de la conformité des produits qui en sont issus.
L’aptitude du fournisseur à satisfaire aux exigences du processus doit être prise en compte et deux cas peuvent se présenter :
- L ’organisme a les compétences pour réaliser lui-même le processus mais choisit de l’externaliser. Alors, les critères de maîtrise du processus seront transposés en exigences contractuelles dans les données d’achat.
- L’organisme n’a pas les compétences pour réaliser lui-même le processus. Il devra alors vérifier que les dispositions de maîtrise du processus chez le fournisseur sont pertinentes (qualification de l’aptitude du processus à délivrer un produit conforme à ses exigences, validation par un expert, …).
Il conviendra de noter et de retenir que l’assurance de la maitrise des processus externalisés ne dégage pas l’organisme de sa responsabilité de conformité à toutes les exigences des clients et à toutes les exigences légales et réglementaires.
Externaliser ne veut pas dire se dédouaner !! La confiance n’exclue pas le contrôle à apporter à ses fournisseurs et sous-traitants…