Lead Auditor.

Lead Auditor est la certification PECB destinée aux praticiens capables de planifier et de conduire des audits tierce partie ou internes d'un système de management. Formation de cinq jours construite sur l'ISO 19011. Porte d'entrée vers le métier d'auditeur au sein d'un organisme de certification accrédité. Posture différente du Lead Implementer : collecte de preuves, échantillonnage, rédaction de rapports, technique d'entretien.

By Christophe Mazzola, Practicing CISO · Founder of Cyber AcademyCertifications & credentialsAll entries

La vision de Cyber Academy

Lead Auditor est la certification PECB destinée aux praticiens capables de planifier et de conduire des audits tierce partie ou internes d'un système de management. Formation de cinq jours construite sur l'ISO 19011. Porte d'entrée vers le métier d'auditeur au sein d'un organisme de certification accrédité. Posture différente du Lead Implementer : collecte de preuves, échantillonnage, rédaction de rapports, technique d'entretien.

Ce que certifie le titre de Lead Auditor

Lead Auditor est la certification PECB destinée aux praticiens capables de planifier, de diriger et de rendre compte de l'audit d'un système de management, qu'il s'agisse d'un audit de certification par tierce partie, d'un audit fournisseur ou d'un audit interne d'envergure. La formation se déroule sur cinq jours et s'appuie directement sur ISO 19011, la norme de référence pour l'audit des systèmes de management. Ce que vous certifiez en sortant, ce n'est pas votre compréhension abstraite d'une norme telle qu'ISO 27001, mais votre capacité à conduire une équipe d'audit face à celle-ci : cadrer la mission, échantillonner les preuves, mener les entretiens, formuler des constats qui résistent à la contestation et amener l'audit à une conclusion défendable.

Ce titre existe pour une raison de carrière précise. Il constitue le point d'entrée reconnu pour devenir auditeur accrédité d'un organisme de certification, la personne qui intervient pour le compte d'un organisme de certification afin de décider si une organisation obtient ou conserve son certificat. Les organismes de certification opèrent sous ISO/IEC 17021-1, et ils ont besoin d'auditeurs ayant démontré la compétence décrite par ISO 19011. Lead Auditor est la manière de signaler que vous possédez cette compétence et les aptitudes de direction nécessaires pour conduire l'équipe, et non seulement y participer.

Un état d'esprit différent de celui du Lead Implementer

La confusion la plus fréquente consiste à considérer Lead Auditor et Lead Implementer comme deux variantes d'une même qualification. Ce sont des postures opposées. L'implémenteur construit le système de management : il rédige les politiques, conçoit les mesures, conduit l'appréciation des risques et prépare l'organisation à la certification. L'auditeur juge en toute indépendance si ce qui a été construit existe réellement et fonctionne. La même personne ne devrait pas faire les deux sur le même système, car l'implémenteur ne peut pas garantir de façon crédible son propre travail. Cette indépendance est la raison d'être même du rôle d'auditeur.

En pratique, l'état d'esprit de l'auditeur porte sur la preuve, pas sur le conseil. Là où l'implémenteur se demande comment rendre une mesure efficace, l'auditeur se demande quelle preuve montre que la mesure fonctionne comme décrit, à quel point l'échantillon est représentatif et si le constat tient lorsque l'audité le conteste. La formation Lead Auditor consacre l'essentiel de son énergie à ces compétences plutôt qu'à la norme elle-même :

  • Échantillonnage : choisir des preuves qui représentent équitablement l'ensemble, et non les parties qui se trouvent paraître favorables.
  • Technique d'entretien : faire ressortir la manière dont le travail est réellement accompli sans influencer le témoin.
  • Constats et reporting : classer les non-conformités, les rédiger de façon objective et traçable, et parvenir à une conclusion.
  • Direction d'audit : gérer une équipe d'audit, les réunions d'ouverture et de clôture, et la relation avec l'audité.

Où se situe le Lead Auditor parmi les titres voisins

Le Lead Auditor se comprend mieux en le plaçant à côté des titres auxquels les praticiens le comparent. Au sein de l'univers PECB et ISO, il fait pendant au Lead Implementer en tant que volet assurance. Face à ISACA, le titre CISA certifie lui aussi une compétence d'audit, mais il s'agit d'une qualification large en audit informatique liée aux domaines de l'ISACA, et non d'un titre dédié à l'audit d'un système de management nommé sur ISO 19011.

Lead Auditor comparé aux titres voisins
TitrePostureCe qu'il certifie
Lead AuditorAssurance indépendantePlanifier et diriger l'audit d'un système de management sur ISO 19011
Lead ImplementerConstruire et exploiterConcevoir et faire fonctionner un système de management en vue de la certification
CISAAssurance en audit informatiqueAudit large des systèmes d'information à travers les domaines de l'ISACA

Le choix entre les deux découle du travail que vous comptez accomplir. Si votre avenir consiste à conduire des audits de certification ou des audits fournisseurs, ou à diriger un programme d'audit interne rigoureux, Lead Auditor est la voie directe. Si votre fonction est de mettre en place et d'améliorer le système de management lui-même, Lead Implementer convient mieux. De nombreux praticiens expérimentés détiennent les deux, car comprendre comment un système est construit fait de vous un auditeur plus affûté, et comprendre comment il sera audité fait de vous un meilleur implémenteur.

Frequently asked questions

01Quelle est la différence entre Lead Auditor et Lead Implementer ?

Lead Auditor certifie que vous pouvez auditer en toute indépendance un système de management, en vous concentrant sur la preuve, l'échantillonnage et le reporting. Lead Implementer certifie que vous pouvez construire et exploiter ce système. Ce sont des rôles opposés, et la même personne ne devrait pas auditer un système qu'elle a implémenté.

02Quelle norme la formation Lead Auditor enseigne-t-elle ?

La méthode d'audit provient d'ISO 19011, qui est générique à tous les systèmes de management. La formation est ensuite rattachée à une norme précise, telle qu'ISO 27001, de sorte que vous vous certifiez à la fois sur la discipline d'audit et sur les exigences du système que vous comptez auditer.

03Dois-je être Lead Auditor pour réaliser des audits internes ?

Pas strictement : les audits internes peuvent être menés par des auditeurs internes compétents. Mais le titre de Lead Auditor démontre les aptitudes de direction et les compétences en matière de preuve nécessaires pour planifier et diriger un audit, et il constitue la voie reconnue pour devenir auditeur accrédité d'un organisme de certification.

04Lead Auditor est-il réservé à ISO 27001 ?

Non. PECB propose des certifications Lead Auditor pour de nombreuses normes de systèmes de management, notamment la qualité, l'environnement et la continuité d'activité. L'approche d'audit ISO 19011 est commune, tandis que les exigences au regard desquelles vous auditez changent avec la norme.

05Quelle est la durée de la formation Lead Auditor ?

Il s'agit d'une formation de cinq jours, qui reflète la profondeur des compétences pratiques qu'elle couvre : planification de l'audit, échantillonnage, technique d'entretien, classement des non-conformités, et conduite d'une équipe d'audit jusqu'à une conclusion défendable.

Besoin de plus qu'une définition ?

Réservez un appel découverte gratuit de 20 minutes. Nous identifions la cohorte qui transforme ce terme en pratique prête pour l'audit.