ISO 19011.

ISO 19011 est la norme de lignes directrices pour l'audit des systèmes de management. Générique, elle s'applique aussi bien aux audits ISO 27001, 9001 et 22301. Elle définit les principes d'audit, la gestion des programmes d'audit, le cycle d'audit et la compétence des auditeurs. Le cours Lead Auditor l'enseigne ; les auditeurs que vous rencontrez sur le terrain ont été formés sur cette base.

By Christophe Mazzola, Practicing CISO · Founder of Cyber AcademyAudit & complianceAll entries

La vision de Cyber Academy

ISO 19011 est la norme de lignes directrices pour l'audit des systèmes de management. Générique, elle s'applique aussi bien aux audits ISO 27001, 9001 et 22301. Elle définit les principes d'audit, la gestion des programmes d'audit, le cycle d'audit et la compétence des auditeurs. Le cours Lead Auditor l'enseigne ; les auditeurs que vous rencontrez sur le terrain ont été formés sur cette base.

Ce que couvre réellement l'ISO 19011

L'ISO 19011 est le document de référence pour toute personne qui planifie, conduit ou gère des audits de systèmes de management. Elle est délibérément générique, de sorte que les mêmes principes s'appliquent que vous auditiez un système de management de la sécurité de l'information par rapport à l'ISO 27001, un système qualité par rapport à l'ISO 9001 ou la continuité d'activité par rapport à l'ISO 22301. Plutôt que de vous indiquer les exigences qu'une organisation doit satisfaire, elle vous explique comment regarder ces exigences en tant qu'auditeur : comment construire un programme d'audit, comment mener un audit unique de la réunion d'ouverture à la réunion de clôture, et comment juger si les personnes qui réalisent l'audit sont compétentes.

La norme organise l'audit autour d'un petit ensemble de principes. L'intégrité et la présentation impartiale maintiennent l'honnêteté des constats. La conscience professionnelle et la confidentialité protègent les personnes et les informations concernées. Une approche fondée sur la preuve signifie que les conclusions reposent sur des enregistrements et des observations vérifiables, et non sur des impressions ; et l'approche par les risques ajoutée dans les révisions récentes pousse les auditeurs à concentrer leurs efforts là où cela compte le plus pour les objectifs.

Programme d'audit, cycle de l'audit et compétence

Une manière utile de lire l'ISO 19011 consiste à la voir comme trois couches imbriquées. Au sommet se trouve le programme d'audit, l'ensemble des audits planifiés sur une période et la gestion de ce programme : définir les objectifs, attribuer les ressources, suivre les résultats et s'améliorer dans le temps. À l'intérieur se trouve l'audit individuel et son cycle :

  • Déclencher l'audit et confirmer sa faisabilité avec l'audité.
  • Préparer les activités d'audit, y compris la revue documentaire et le plan d'audit.
  • Réaliser l'audit sur site ou à distance : réunion d'ouverture, recueil et vérification des preuves, génération des constats.
  • Établir le rapport, y compris les conclusions et la réunion de clôture.
  • Clôturer l'audit et assurer tout suivi des actions correctives.

La troisième couche est la compétence de l'auditeur. L'ISO 19011 présente la compétence comme une combinaison de comportement personnel, de connaissances et d'aptitudes génériques en audit, et de connaissances propres à une discipline, puis décrit comment l'évaluer et la maintenir. C'est pourquoi un professionnel de la sécurité ne peut pas se contenter de lire la norme une seule fois. La compétence est quelque chose que l'on construit par la formation, l'observation d'audits et la pratique continue.

Où les praticiens la rencontrent

En pratique, vous rencontrez l'ISO 19011 dans deux rôles. En tant qu'audité, elle explique ce qu'un auditeur compétent fera et ne fera pas, ce qui vous aide à préparer les preuves et à contester les constats peu solides. En tant qu'auditeur, interne ou face à un fournisseur, c'est le manuel que vous suivez pour rendre les audits reproductibles et défendables. La formation Lead Auditor enseigne cette norme aux côtés des exigences du système audité, et les auditeurs externes que vous rencontrez lors de la certification ont été formés sur le même matériel.

Frequently asked questions

01L'ISO 19011 est-elle la même chose que l'ISO/IEC 17021-1 ?

Non. L'ISO 19011 fournit des lignes directrices pour l'audit de tout système de management, y compris les audits de première et de seconde partie. L'ISO/IEC 17021-1 fixe les exigences applicables aux organismes de certification qui réalisent des audits de certification de tierce partie. Elles partagent des concepts mais servent des objectifs différents.

02Mon organisation peut-elle être certifiée ISO 19011 ?

Non. Il s'agit d'un document de lignes directrices, pas d'une norme d'exigences : il n'y a donc rien à certifier. Vous l'appliquez pour mener de meilleurs audits et pour développer des auditeurs compétents.

03L'ISO 19011 s'applique-t-elle aux audits ISO 27001 ?

Oui. L'ISO 19011 est générique et s'applique aux audits de sécurité de l'information autant qu'aux audits de qualité ou de continuité. Pour un audit 27001, vous combinez sa méthode d'audit avec les exigences et les mesures spécifiques de la norme de sécurité.

04Qui doit connaître l'ISO 19011 ?

Les auditeurs internes, les auditeurs de fournisseurs, les responsables de programme d'audit et toute personne qui prépare ou accueille un audit. Une certification Lead Auditor est construite autour d'elle.

Besoin de plus qu'une définition ?

Réservez un appel découverte gratuit de 20 minutes. Nous identifions la cohorte qui transforme ce terme en pratique prête pour l'audit.