Je ne peux pas m’empêcher de citer un de mes livres et films préférés, mais dans ce cas, la référence n’est pas inutile.
Une norme pour les gouverner tous, c’est exactement ce qu’est ISO 19011.
Si vous avez déjà reçu un rapport d’audit de conformité, ISO 27001, ISO 9001, ISO 22301, ce rapport obéi à une logique précise.
La norme ISO 19011 encadre la façon d’auditer et la façon de documenter ce qui a été audité. C’est elle qui dicte comment un audit se planifie, se conduit et se conclut dans un rapport.
Pourtant, ISO 19011 est presque invisible dans les conversations sur la conformité. On parle de la norme auditée, ISO 27001, ISO 27701, ISO 42001 etc. Mais rarement de la norme qui encadre comment on audite.
Comprendre ISO 19011, c’est comprendre ce que l’auditeur est censé faire, comment il doit le documenter et ce que votre organisation peut légitimement exiger de lui.
ISO 19011:2018 — Lignes directrices pour l’audit des systèmes de management.
C’est une norme générique qui s’applique à tous les audits de systèmes de management, quelle que soit la norme auditée. Elle définit comment les auditer.
Elle couvre quatre grandes questions :
1. Quels sont les principes qui gouvernent l’audit ?
2. Comment planifier et gérer un programme d’audit ?
3. Comment conduire un audit individuel, de la préparation au rapport final ?
4. Quelles compétences doit posséder un auditeur ?
ISO 19011 s’applique autant aux audits internes qu’aux audits externes de première, deuxième et troisième partie. Elle est la référence de compétence pour les auditeurs ISO 27001 et c’est la raison pour laquelle les organismes de certification accrédités comme Bureau Veritas, BSI et SGS forment leurs auditeurs sur cette base.
Les 7 principes fondamentaux de l’audit selon ISO 19011
ISO 19011 pose sept principes qui ne sont pas des suggestions. Ce sont les fondements sur lesquels repose la crédibilité de tout rapport d’audit.
1. Intégrité
L’auditeur agit avec honnêteté et responsabilité. Il rapporte ce qu’il constate, pas ce que le client veut entendre. Un auditeur qui minimise des non-conformités pour éviter un conflit viole ce principe.
2. Présentation impartiale
Les constats, conclusions et rapports doivent refléter fidèlement les activités d’audit. Aucun biais, aucune sélection favorable des preuves. Ce principe est directement lié à l’obligation de fonder les constats sur des preuves objectives.
3. Conscience professionnelle
L’auditeur applique son jugement professionnel tout au long de l’audit. Cela signifie qu’il adapte la profondeur de sa vérification au profil de risque de l’organisation, pas qu’il applique un gabarit identique à chaque client.
4. Confidentialité
Les informations obtenues durant l’audit sont protégées. L’auditeur ne divulgue pas à des tiers ce qu’il a vu dans vos systèmes, sauf obligation légale ou consentement explicite.
5. Indépendance
L’auditeur doit être libre de toute influence qui pourrait biaiser ses conclusions. C’est pourquoi un consultant qui vous a aidé à implanter votre SGSI ne devrait pas ensuite l’auditer lui-même. Ce conflit d’intérêts est une violation directe d’ISO 19011.
6. Approche fondée sur les preuves
C’est le principe le plus opérationnel. Les constats d’audit doivent être basés sur des preuves vérifiables. Une opinion, une impression, une intuition, ce n’est pas un constat d’audit. Si un auditeur vous remet une non-conformité sans la lier à une preuve objective, il déroge à ce principe.
7. Approche fondée sur les risques
La planification et la conduite de l’audit doivent tenir compte des risques liés aux objectifs de l’audit. En pratique : l’auditeur ne passe pas autant de temps sur un contrôle de faible criticité que sur un contrôle qui protège des données sensibles. L’allocation de l’effort d’audit doit être proportionnelle au risque.
Le parcours de vérification: comment ISO 19011 structure un audit
ISO 19011 décrit un cycle en cinq étapes. C’est ce que j’appelle le parcours de vérification, la logique séquentielle que suit tout audit bien conduit.
Étape 1 : Établissement du programme d’audit
Avant même de planifier un audit individuel, ISO 19011 demande qu’un programme d’audit soit établi. Ce programme définit la portée, la fréquence, les méthodes et les ressources pour l’ensemble des audits prévus sur une période donnée.
Pour une organisation certifiée ISO 27001, ça veux dire un calendrier annuel d’audits internes couvrant l’ensemble du SGSI, pas un audit ponctuel déclenché quand quelqu’un a le temps.
Ce que ça révèle : une organisation sans programme d’audit structuré signale immédiatement une maturité insuffisante sur la Clause 9.2 de l’ISO 27001.
Étape 2 : Planification de l’audit
Chaque audit individuel commence par une planification documentée. Elle précise les objectifs, les critères, le périmètre, les méthodes, les personnes à rencontrer, les documents à examiner et le calendrier.
ISO 19011 exige que cette planification soit communiquée à l’audité avant l’audit. Ce n’est pas une formalité, c’est une obligation qui permet à l’organisation de préparer les preuves pertinentes et de désigner les bons interlocuteurs.
Ce que ça révèle : un auditeur qui débarque sans plan documenté ne respecte pas ISO 19011. Vous avez le droit de le demander.
Étape 3 : Réalisation de l’audit
C’est la phase d’exécution. Elle comprend la réunion d’ouverture, la collecte de preuves (entretiens, observation directe, examen de documents), l’analyse des constats et la réunion de clôture.
ISO 19011 insiste sur un point souvent négligé : la réunion de clôture. L’auditeur doit présenter ses constats à l’audité avant de finaliser le rapport. Cela permet de corriger des malentendus factuels, pas de négocier les non-conformités, mais de s’assurer que les faits sont exactement représentés.
Si vous recevez un rapport avec des constats que vous n’aviez jamais entendus en réunion de clôture, il y a un problème de processus chez l’auditeur.
Étape 4 : Production du rapport d’audit
Le rapport doit être produit dans un délai convenu après l’audit. ISO 19011 en définit le contenu minimal : objectifs, périmètre, dates, identification de l’auditeur, identification de l’audité, constats avec base normative et preuves, conclusions et recommandations.
Un rapport qui ne contient pas ces éléments est un rapport incomplet, indépendamment de la qualité du travail sur le terrain.
Étape 5 : Clôture et suivi
L’audit n’est pas terminé quand le rapport est remis. ISO 19011 prévoit un suivi des actions correctives pour les non-conformités identifiées. L’organisation doit démontrer que les corrections ont été apportées et l’auditeur (ou son mandant) devrait en vérifier l’efficacité.
Les compétences exigées d’un auditeur
ISO 19011 consacre une section entière aux compétences requises pour les auditeurs. C’est ce qui distingue un auditeur qualifié d’un consultant qui remplit un gabarit.
Les compétences couvrent quatre items:
Connaissances de la norme auditée : un auditeur ISO 27001 doit maîtriser les 93 contrôles de l’Annexe A, les Clauses 4 à 10 et leur interprétation en contexte opérationnel.
Connaissances en audit : techniques d’entretien, collecte de preuves, rédaction de constats, gestion des conflits d’intérêts.
Connaissances du secteur d’activité : un auditeur qui ne comprend pas le contexte opérationnel de l’organisation ne peut pas évaluer la pertinence des contrôles.
Compétences personnelles : rigueur, objectivité, capacité à communiquer des constats difficiles sans ambiguïté.
ISO 19011 ne dit pas qu’un auditeur doit détenir telle certification. Elle dit qu’il doit démontrer ces compétences. La certification (CISA, ISO 27001 Lead Auditor) est un indicateur, pas une garantie.
Ce que vous pouvez exiger de votre auditeur
Si vous retenez une chose de cet article, que ce soit celle-ci : ISO 19011 vous donne des droits en tant qu’audité.
Vous pouvez exiger :
- Un plan d’audit documenté avant le début des travaux.
- Que chaque constat soit lié à une preuve objective et à une clause ou un contrôle précis.
- Une réunion de clôture avant la finalisation du rapport.
- Un rapport remis dans le délai convenu, avec le contenu minimal défini par la norme.
- Un suivi documenté des actions correctives.
Un auditeur qui refuse ces demandes ne respecte pas ISO 19011. Et un rapport produit sans respecter ces étapes est un rapport dont vous êtes en droit de contester la rigueur.
Bref, ISO 19011 n’est pas une norme optionnelle pour ceux qui aiment lire des normes. C’est le cadre qui gouverne la crédibilité de tout audit de système de management.
Donc, quand vous recevez un rapport d’audit ISO 27001, vous savez comment l’évaluer pour savoir s’il est bon ou mauvais!
