5.1. Lors de l’audit de surveillance, tous les indicateurs doivent-ils être vérifiés ou uniquement ceux qui ont fait l’objet d’une non-conformité à l’audit initial ?

Lors de l’audit de surveillance, l’organisme certificateur procède au moins à la revue des indicateurs suivants :

- Les indicateurs ayant fait l’objet de non-conformités à l’audit initial ;

- Les indicateurs ne pouvant donner lieu qu’à des non-conformités majeures, applicables à l’organisme audité (indicateurs 4, 5, 6, 7, 10, 11, 14, 15, 16, 20, 21, 22, 26, 27, 29, 31 et 32) ;

- Les indicateurs 1, 17, 19, et, pour les organismes concernés, l’indicateur 3 ;

- Pour les organismes ayant bénéficié des conditions de durée aménagées à l’audit initial, les indicateurs n’ayant pas été vérifiés à l’audit initial, applicables à l’organisme audité. Pour les organismes audités en tant que nouveaux entrants à l’audit initial, l’ensemble des indicateurs sont vérifiés (voir Question 7.2).

5.2. Qu'entend-on par « l'analyse des éléments administratifs relatifs à l'activité de l'organisme » ?

L’analyse comprend la collecte des éléments nécessaires à l'actualisation des données administratives de l'organisme (NDA, SIRET, coordonnées du dirigeant, organigramme à jour de l'organisme, adresses des sites…) et la prise en compte de l’impact de ces changements (déménagement, changements organisationnels…) sur la capacité de l’organisme à maintenir ses processus qualité.

5.3. En quoi consiste « l’analyse de risque » pouvant justifier la réalisation de l’audit de surveillance sur site ?

Il appartient à l’organisme certificateur d’établir son analyse de risque en amont de l’audit de surveillance, à partir de différents critères, comme :

- Augmentation du volume d’activité ;

- Nombre important de non-conformités ;

- Non-conformités majeures méritant ou nécessitant une visite sur site ;

- Défaillance constatée dans la maîtrise de la sous-traitance ;

- Défaillance constatée dans le rôle de la fonction centrale.

Cette analyse de risque pourra justifier la réalisation de l’audit de surveillance sur site.

5.4. Pour l’échantillonnage des actions à auditer, à quoi correspond la période de référence ?

La période de référence mentionnée à l’article 2 de l’arrêté du 6 juin 2019 modifié relatif aux modalités d’audit correspond à la période entre l’audit initial et l‘audit de surveillance.

5.5. Un organisme qui n’a pas eu d’activité entre l’audit initial et l’audit de surveillance peut-il conserver sa certification ?

Un organisme qui n’a mis en œuvre aucune nouvelle action relevant de la catégorie certifiée depuis l’audit initial pourra conserver sa certification sous réserve de maintenir les processus présentés à l’audit initial. A l’audit de renouvellement cependant, l’organisme devra présenter au moins une nouvelle action pour que sa certification puisse être renouvelée.

5.6. Les modalités d’audit allégées pour les organismes de formation titulaires d’un label CNEFOP sont-elles valables à l’audit de surveillance ?

Non, les modalités d’audit aménagées sont valables uniquement pour l’audit initial. Un organisme titulaire d’un label CNEFOP ne pourra pas bénéficier d’une durée aménagée dans le cadre de l’audit de surveillance.

5.7. Que se passe-t-il si l’audit de surveillance ne peut être réalisé dans la période réglementaire ?

Conformément à l’article 2 de l’arrêté du 6 juin 2019 modifié relatif aux modalités d’audit, l’audit de surveillance doit être réalisé entre le 14ème et le 22ème mois suivant l’obtention de la certification.

La norme NF EN ISO/IEC 17065 prévoit à l’article 4.1.2.2 que le contrat de certification engage le client à prendre toutes les dispositions nécessaires pour la conduite de l’audit de surveillance. Dès lors, si l’organisme n’a pas pris les dispositions pour que l’audit puisse avoir lieu durant la période réglementaire, le certificat doit être suspendu. En l’absence de mise en conformité, le non-respect des engagements contractuels pourra aboutir à une rupture de contrat, entrainant le retrait du certificat.