LA27001 FR Day4

© PECB, 2020. Tous droits réservés.
Version11.0
Numéro de document: ISMSLAD4V11.0
Les documents fournis aux participants sont strictement réservés à des fins de formation. Aucune partie de ces
documents ne peut être publiée, distribuée, affichée sur Internet ou sur un intranet, extraite ou reproduite sous
quelque forme ou par quelque moyen que ce soit, électronique ou mécanique, y compris par photocopie, sans
l'autorisation écrite préalable de PECB.
Licensed to CYBERBST Conseil & Formation SARL ()

©Copyrighted material PECB®. Single user license only, copying and networking prohibited. Downloaded: 2021-12-20
1/124
2/124
3/124
Cette section fournit des informations qui aideront les participants à acquérir des connaissances sur les
processus de rédaction et de documentation des rapports de constatations d'audit et de non-conformité.

4/124
En plus d'être l'un des éléments les plus importants d'un audit, les constatations d'audit sont également le facteur
déterminant pour tirer les conclusions d'audit. Elles comprennent toute l’information pertinente pour l'observation
d'une déficience ou d'une inefficacité potentielle dans un processus.
Les auditeurs sont tenus de réviser attentivement et de documenter les constatations d'audit. Cette étape les aide
également dans la prise de décision (par exemple, s'il faut signaler un problème par écrit, en discuter avec
l'audité ou simplement l'omettre).
Notez que les constatations d'audit ne doivent pas être confondues avec les preuves d'audit. Les preuves d'audit
sont factuelles, alors que les constatations d'audit sont un produit de l'évaluation de l'auditeur, qui est subjective
par nature. Pour illustrer ceci, l'observation de l'auditeur sur la procédure de gestion des changements peut
indiquer si une telle procédure est conforme aux exigences de la norme et aux exigences spécifiques de l'audité.
ISO19011, article6.4.8 Production de constatations d’audit
Il convient d’enregistrer les non-conformités et les preuves associées d’audit.
Les non-conformités peuvent être classées selon le contexte de l’organisme et ses risques. Ce classement peut
être quantitatif (par exemple de 1 à 5) et qualitatif (par exemple mineure, majeure). Il convient de procéder à leur
revue avec l’audité, afin que les preuves d’audit soient reconnues exactes et que les non-conformités soient
comprises. Il convient de tout mettre en œuvre pour résoudre toute divergence d’opinion relative aux preuves ou
aux constatations d’audit. Il convient d’enregistrer les points non résolus dans le rapport d’audit.
Il convient que l’équipe d’audit se réunisse en tant que de besoin pour procéder à une revue des constatations
d’audit à des étapes appropriées de l’audit.
NOTE 2 En anglais, les conformités ou non-conformités aux critères d’audit se rapportant à des exigences
légales ou réglementaires ou à d’autres exigences, sont parfois appelés « compliance » ou « non-compliance ».

5/124
ISO 19011, Annexe A.18.2 Enregistrement des conformités
Pour les enregistrements de conformité, il convient de tenir compte des éléments suivants:
a. une description des critères d’audit ou une référence auxdits critères par rapport auxquels la conformité est
démontrée;
b. les preuves d’audit venant à l’appui de la conformité et de l’efficacité, le cas échéant;
c. la déclaration de conformité, le cas échéant.
ISO 19011, Annexe A.18.3 Enregistrement des non-conformités
Pour les enregistrements de non-conformité, il convient de tenir compte des éléments suivants:
a. une description des critères d’audit ou une référence auxdits critères;
b. des preuves d’audit;
c. une déclaration de non-conformité;
d. les constatations d’audit associées, le cas échéant.
ISO 19011, Annexe A.18.4 Traitement des constatations relatives à plusieurs critères
Lors d’un audit, il est possible d’identifier des constatations relatives à plusieurs critères. Lorsqu’un auditeur
identifie une constatation liée à un critère pour un audit combiné, il convient qu’il tienne compte de l’impact
éventuel sur les critères correspondants ou similaires des autres systèmes de management.
Selon les dispositions prises avec le client de l’audit, l’auditeur peut considérer
a. des constatations séparées pour chaque critère; ou
b. une constatation unique, en associant les références aux différents critères.
En fonction des dispositions prises avec le client de l’audit, l’auditeur peut aider l’audité sur la manière dont il peut
répondre à ces constatations.

6/124
Les exigences peuvent provenir de plusieurs sources: elles peuvent être spécifiées dans la norme, faire partie
d’une exigence interne de l’organisme, faire partie d’une loi ou d’un règlement, ou encore être incluses dans un
contrat signé avec un client ou partenaire.
Voici une liste des raisons possibles qui peuvent conduire à une non-conformité:
L'information documentée n'est pas adéquate.
Le processus ou la mesure de sécurité est absent ou ne remplit pas sa fonction.
Le processus ou la mesure de sécurité ne donne pas les résultats prévus.

7/124
8/124
Voici des exemples de non-conformités mineures:
1.Description de la non-conformité détectée: L'organisme a mis en place des procédures pour assurer la
conformité aux droits de propriété intellectuelle (DPI) (journal des licences, référence dans la politique de
sécurité, sensibilisation des employés, etc.) L'organisme est conforme pour les principaux logiciels, tels que les
systèmes d'exploitation et les suites bureautiques. Cependant, le logiciel Adobe Illustrator est installé sur
46postes de travail, alors que l'organisme ne dispose que de 40licences d'utilisation.
Critère d’audit: Des procédures appropriées doivent être mises en œuvre pour garantir la conformité avec les
exigences légales, réglementaires et contractuelles relatives à la propriété intellectuelle et à l’usage des licences
de logiciels propriétaires. (ISO/IEC 27001, Annexe A.18.1.2)
2.Description de la non-conformité détectée: L'organisme a défini et communiqué la politique de sécurité de
l'information qui comprend un cadre permettant de fixer des objectifs et a énoncé une orientation générale et des
principes d'action concernant la sécurité de l'information. La politique prend en compte les exigences liées aux
caractéristiques métiers, ainsi que les exigences légales, réglementaires et contractuelles. Cependant, il n'y a
aucune référence à l'amélioration continue du SMSI.
Critère d’audit: La direction doit établir une politique de sécurité de l’information qui inclut l’engagement d'œuvrer
pour l’amélioration continue du système de management de la sécurité de l’information. (ISO/IEC 27001, article
5.2 d)
3.Description de la non-conformité détectée: L'organisme a mis en place et maintient un système de gestion
de la documentation pour son SMSI. Cependant, il n'existe aucune information documentée relative au SMSI qui
précise l'emplacement des versions officielles des procédures de sécurité actuellement en vigueur.
Critère d’audit: Les informations documentées exigées par le système de management de la sécurité de
l’information et par la présente Norme internationale doivent être contrôlées pour s’assurer: a) qu’elles sont
disponibles et conviennent à l’utilisation, où et quand elles sont nécessaires; et b) qu’elles sont correctement
protégées (par exemple, de toute perte de confidentialité, utilisation inappropriée ou perte d’intégrité). (ISO/IEC
27001, article 7.5.3 a, b)

9/124
Une non-conformité majeure entraîne généralement le report de la certification et l'organisation d'un nouvel audit.
L'audité est tenu de soumettre sa réponse aux non-conformités majeures dans un certain délai. Avant de
proposer la recommandation de certification, toutes les non-conformités majeures doivent être résolues.

10/124
Voici des exemples de non-conformités majeures:
1.Description de la non-conformité détectée: Les utilisateurs internes de l'organisme ne sont pas tous
sensibilisés aux risques de sécurité liés à l'utilisation de l'informatique mobile, et il n'existe aucune procédure
formelle pour assurer la protection des appareils de communication mobile (BlackBerry et iPhone). Sur un
échantillon de 25téléphones portables (15 BlackBerry et 10iPhone), seuls 5appareils avaient un mécanisme
d'authentification activé.
Critère d’audit: Une politique et des mesures de sécurité complémentaires doivent être adoptées pour gérer les
risques découlant de l’utilisation des appareils mobiles. (ISO/IEC 27001, Annexe A.6.2.1)
2.Description de la non-conformité détectée: L'organisme a mis en place un programme d'audit interne avec
des procédures d'audit appropriées. Les activités d'audit de l'année dernière ont été menées par un stagiaire
(récemment diplômé) sans expérience ni qualification en matière d'audit des systèmes de management.
Critère d’audit: L’organisation doit s’assurer que ces personnes sont compétentes sur la base d’une formation
initiale ou continue ou d’une expérience appropriée (ISO/IEC 27001, article 7.2 b)
3.Description de la non-conformité détectée: L'organisme a développé une méthodologie d'appréciation des
risques adaptée au SMSI. La méthodologie est suffisamment documentée et les critères d'acceptation des
risques sont clairement définis. Elle permet également à l'organisme d'assurer des résultats cohérents, valables
et comparables. Toutefois, elle ne permet pas à l'organisme d'évaluer les risques en matière de sécurité de
l'information.
Critère d’audit: L’organisation doit définir et appliquer un processus d’appréciation des risques de sécurité de
l’information qui évalue les risques de sécurité de l’information (ISO/IEC 27001, article 6.1.2 e)

11/124
Les observations devraient être documentées dans les documents de travail, car certaines d'entre elles peuvent
constituer des faiblesses du système de management (sans nécessairement être des non-conformités).
L'auditeur peut vouloir assurer le suivi de ces faiblesses lors des prochains audits. Par exemple, si l'auditeur
découvre que le taux de rotation du personnel dans l'organisme est de 20%, il devrait valider la capacité du
personnel à maintenir le système de management. Cette observation devrait être documentée de manière
appropriée dans les documents de travail.
L'auditeur peut partager les observations avec l'audité dans le rapport d'audit (en particulier dans la section
«Observations générales et possibilités d'amélioration»). Par exemple, l'auditeur peut mentionner que l'audité
pourrait mettre en œuvre un système de gestion de la documentation qui gère et conserve automatiquement les
versions des informations documentées.
Il est important de garder à l'esprit que les observations ne doivent pas influencer les conclusions de l'audit.

12/124
Exemple d'une anomalie:
Un organisme de 100employés a décidé que 90% des employés doivent assister à une séance de sensibilisation
au cours des trois premiers mois de leur emploi. Si l'auditeur constate que cinq employés n'ont pas assisté à la
session dans un délai de trois mois, il considérera la situation comme conforme. Les cinq cas documentés
représentent des anomalies, un écart par rapport aux exigences de l'organisme, mais le processus global est
considéré comme «efficace et cohérent».
Au contraire, si l'auditeur découvre que 15employés n'ont pas assisté à la séance de sensibilisation, il doit le
signaler comme une non-conformité, car le nombre d'anomalies est supérieur au seuil acceptable de 10%, tel
que fixé par l'organisme.

13/124
Avant la réunion de clôture, les auditeurs doivent discuter de l'achèvement de la revue des constatations d’audit
et des autres informations pertinentes recueillies au cours de l'audit. Ils devraient évaluer les preuves par rapport
aux critères d'audit, en tenant compte du contexte particulier de l'audité. Il est essentiel que les auditeurs
s'assurent de la validité (exactitude et fiabilité) des preuves et de leur suffisance par rapport aux objectifs de
l'audit.
Les limites entre «non-conformités mineures» et «non-conformités majeures» ne sont pas toujours faciles à
définir. Nous pouvons nous mettre d'accord sur une constatation de conformité si un auditeur observe qu'une
transaction sur mille ne répond pas aux exigences. De même, nous pouvons convenir qu'une constatation
indique une non-conformité majeure si 800transactions sur 1000 ne respectent pas les exigences. Néanmoins, il
n'y a pas toujours de distinction claire entre les non-conformités mineures et majeures en ce qui concerne le
nombre acceptable ou inacceptable d'aspects non conformes. Le contexte spécifique de l'audité et d'autres
aspects pertinents doivent être pris en considération pour faire cette distinction.
La plupart des organismes de certification fournissent des listes de contrôle (checklists) aux auditeurs. Pour
chaque exigence de la norme ISO/IEC 27001, l'auditeur doit indiquer la conformité de la procédure, du processus
ou de la mesure à ces exigences. Dans la plupart des cas, la liste de contrôle consiste à cocher une case entre
différentes possibilités: conformité, non-conformité mineure ou non-conformité majeure.
Le seuil entre les types de résultats d'audit n'est ni fixé arbitrairement ni applicable à toutes les constatations
d'audit; il est fixé par l'auditeur, en fonction du contexte particulier de l'audité.

14/124
ISO/IEC 17021-1, article9.4.9 Analyse des causes de non-conformités
L’organisme audité doit décrire les corrections et actions correctives spécifiques entreprises ou qu’il prévoit
d’entreprendre afin d’éliminer, dans un délai déterminé, les non-conformités détectées et leurs causes et de
remédier à toutes les non-conformités qui ont été identifiées.
La déclaration de non-conformité devrait être enregistrée clairement afin d'être facilement comprise. C’est
essentiel, car les actions correctives sont souvent mises en place par des personnes qui ne sont pas présentes
au moment de l'audit ni impliquées dans la discussion lorsque les non-conformités ont été soulevées. Une
déclaration de non-conformité ambiguë ou mal écrite rend difficile, voire impossible, pour l'audité de traiter
correctement les non-conformités.
Il est tout aussi important d'enregistrer et de documenter systématiquement les non-conformités en assurant la
traçabilité, en procédant à des revues de l'état d'avancement faciles à suivre et en fournissant des preuves de
l'achèvement et de l'efficacité des actions correctives. Les auditeurs peuvent utiliser un formulaire de rapport de
non-conformité (RNC) comme moyen d'enregistrer et de documenter les non-conformités.

15/124
Une fois la non-conformité confirmée, l’auditeur doit la documenter. Afin d’assurer la traçabilité et de faciliter le
suivi des plans d’action, il est essentiel que les non-conformités soient enregistrées et documentées de manière
systématique. L'enregistrement peut être aussi simple qu'une description de l'observation et la référence à
l'exigence normative correspondante. Il est important que la référence normative soit très précise afin d'éviter
tout malentendu potentiel sur les articles comportant plus d'une exigence.
Lors d’un audit, il est possible d’identifier des constatations relatives à plusieurs critères. Selon les dispositions
prises avec l’audité, l’auditeur peut considérer:
Des constatations séparées pour chaque critère
Une constatation unique, en associant les références aux différents critères
Lorsqu’un auditeur identifie une constatation liée à un critère pour un audit combiné, il convient qu’il tienne
compte de l’impact éventuel sur les critères correspondants ou similaires des autres systèmes de management.

16/124
La dernière partie, et la plus importante, de la documentation d’une non-conformité consiste à écrire un rapport
de non-conformité. Le rapport de non-conformité doit préciser le critère d’audit, la description de la non-
conformité ainsi que la constatation d’audit. Si ces trois éléments sont bien documentés, l’audité pourra
comprendre et reconnaître la non-conformité en question.
L'une des formes les plus efficaces de documentation des non-conformités consiste à suivre la structure ci-
dessous:
1. Critère d’audit: Le critère d'audit décrit la norme utilisée comme référence pour l'évaluation du système
de management de la sécurité de l'information de l'organisme (par exemple, une exigence spécifique de la
norme ISO/IEC 27001).
2. Preuve appuyant les constats d’audit: Les preuves à l'appui de la constatation se réfèrent à la
description des faits observés et enregistrés au cours de l'audit. Il est crucial de documenter en détail une
non-conformité. Une personne ayant une certaine compréhension de base de l'objectif ou de la fonction de
l'audit doit être en mesure de comprendre les preuves, même si elles n'étaient pas présentes lors de
l'audit.
3. Constatation d’audit: L'auditeur détecte une non-conformité mineure ou majeure.

17/124
Les auditeurs ne peuvent pas soulever une non-conformité s'ils n'ont pas identifié un non-respect d'une exigence.
Par défaut, le principe de bénéfice du doute s'applique. Un organisme est considéré comme conforme aux
exigences de la norme ISO/IEC 27001 tant qu'il n'y a pas de preuve du contraire.
Les processus, mesures de sécurité ou divisions que l'auditeur n'a pas eu le temps de réviser seront considérés
comme conformes par défaut. Les auditeurs devraient utiliser leurs documents de travail pour planifier l'audit de
ces parties lors des futurs audits de surveillance.

18/124
Exercice13: Rapports de non-conformité:
En tant que responsable de l'audit de certification de BankIT, vous devez remplir, le cas échéant, les rapports de
non-conformité pour les observations ci-dessous.
En cas de non-conformité, le rapport doit comprendre les éléments suivants :
Le critère d'audit
Une description de la non-conformité
La conclusion (non-conformité mineure ou majeure)
Observations:
1. Le plan de continuité d'activité et les critères de son activation en cas de catastrophe ne sont pas
correctement documentés. Dans un entretien avec le président de l'organisme, il a affirmé qu'il était la
seule personne à pouvoir déclencher l'activation du plan de continuité d'activité. Il a également déclaré que
le plan est activé si une perturbation interrompt les activités essentielles de l'organisme pendant plus de
48heures. Les entretiens menés avec les employés révèlent qu'ils sont conscients du fait que toute
interruption ou crise potentielle doit être signalée au président.
2. Six personnes extérieures à l'organisme disposent d'une clé qui leur donne accès aux serveurs de BankIT,
car les panneaux électriques du bâtiment sont situés au même endroit. Ces personnes ont les clés parce
que BankIT partage l'immeuble avec cinq autres sociétés. La direction de BankIT est consciente de la
situation, et le responsable de la sécurité a identifié ce problème comme étant un risque à surveiller et à
inclure dans le rapport d'analyse des risques. L’organisme ne dispose d'aucune autre documentation sur
cette situation.
3. BankIT a deux processus distincts pour la gestion des incidents, un pour le siège social et un pour le back-
office. En outre, les enregistrements des incidents sont conservés sur deux systèmes d'information
distincts qui ne communiquent pas entre eux. Lors d'un entretien avec la personne responsable du soutien
technique, il a été déclaré que, dans un délai de cinq ans, l'organisme remplacera les deux systèmes par
un système intégré pour les deux bureaux.
Pour la réalisation de cet exercice, reportez-vous à la fiche d'exercice.
Durée de l’exercice: 20 minutes
19/124
Commentaires: 10 minutes

20/124
Résumé de la section:
1. Les constatations d'audit sont cruciales pour les conclusions d'audit.
2. Les constatations d'audit découlent de l'évaluation de l'auditeur et sont définies comme les résultats de la
comparaison entre les preuves d'audit recueillies et les critères d'audit.
3. Les constatations d'audit peuvent être une non-conformité mineure, une non-conformité majeure, une
observation et une anomalie.
4. Comme défini dans la norme ISO 9000, une conformité est la satisfaction d'une exigence. Inversement, la
non-conformité est le non-respect d'une exigence.
5. Une non-conformité mineure résulte de la réalisation partielle d'une exigence. Elle met en doute le fait que
le SMSI réponde aux exigences de la norme.
6. Une non-conformité majeure résulte d'un échec total dans le traitement d'une exigence. Elle met en doute
le respect de la confidentialité, de l'intégrité ou de la disponibilité des informations sensibles dans le SMSI.
7. Les observations n'influencent pas les conclusions de l'audit et ne sont pas classées comme des non-
conformités. Cependant, l'auditeur devrait consigner ses observations dans des documents de travail afin
que l'audité puisse améliorer l'efficacité du système de management.
8. Les anomalies sont des écarts par rapport à l'objectif de l'organisme qui restent dans les limites du seuil
acceptable fixé.
9. La déclaration de non-conformité est utilisée pour documenter une non-conformité de manière claire et
concise. Elle doit comprendre l'analyse des causes profondes et les actions correctives prises par l'audité.
10. Les non-conformités devraient être documentées dans le rapport de non-conformité. Le rapport de non-
conformité précise les critères d'audit, le type de non-conformité (majeure ou mineure), et une description
de la non-conformité observée.

21/124
Cette section traite de l'objectif des documents de travail et de ce que les auditeurs doivent y inclure. En outre,
l'importance de la revue qualité est également abordée dans cette section ; comment la revue qualité aide
l'équipe d'audit à se conformer aux procédures d'audit, quelles erreurs potentielles peuvent être rencontrées au
cours de la revue qualité, ce que les auditeurs devraient éviter et, finalement, comment documenter la revue
qualité.

22/124
Pour appuyer les conclusions de l'audit, un auditeur doit créer et conserver des documents de travail.
Les documents de travail doivent:
1. Inclure des faits: L'auditeur doit documenter des preuves suffisantes pour appuyer les constatations de
l'audit.
2. Être écrits de manière professionnelle et compréhensible: Les notes doivent être rédigées de manière
concise afin que les autres auditeurs puissent comprendre le contenu écrit. Ainsi, l'auditeur peut utiliser
des abréviations et écrire «sous forme de points», à condition que la forme soit standardisée et que la
terminologie soit généralement connue des auditeurs.
3. Identifier les points faibles: Les documents de travail doivent permettre d'identifier rapidement les
éventuels points faibles du système de management audité et les arguments à l'appui des constatations
d'audit.
Les documents de travail peuvent également être utiles à:
Aider l'équipe d'audit à planifier et à réaliser l'audit
Aider les nouveaux auditeurs à planifier et à réaliser l'audit
Démontrer la responsabilité de l'auditeur concernant le travail effectué
Recueillir des enregistrements pour de futurs audits
Aider les réviseurs à effectuer des vérifications et des contrôles de qualité

23/124
ISO 19011 n'exige pas de modèle spécifique pour les documents de travail. Dans plusieurs organismes de
certification, les auditeurs sont invités à suivre un modèle élaboré en interne. Dans ces cas, les auditeurs
doivent suivre le modèle élaboré par l'organisme de certification ainsi que d'autres procédures
connexes. S'il n'y a pas de modèle de document de travail, la responsabilité d'en élaborer un incombe au
responsable de l'équipe d'audit. Le modèle standardise la procédure de documentation de l'audit pour l'équipe
d'audit.
Le tableau ci-dessus illustre un bon exemple de document de travail qui peut être facilement développé à l'aide
de Microsoft Excel.
Colonnes 1 et 2: Les auditeurs indiquent l'exigence de la norme avec les articles de référence.
Colonne 3: Les auditeurs indiquent les procédures d'audit utilisées pour recueillir les preuves.
Colonne 4: Les auditeurs indiquent le nom du propriétaire du processus et sa fonction.
Colonne 5: Les auditeurs évaluent les résultats des tests d'audit effectués et présentent les preuves. Il est
de bonne pratique d'écrire les preuves en rouge.
Colonne 6: Les auditeurs dressent la liste des références documentaires liées au processus. Ils doivent
indiquer en détail une référence spécifique (par exemple, la section, le chapitre et le numéro de page du
manuel de procédures).
Colonne 7: Les auditeurs établissent une liste des personnes interrogées. Ces personnes sont
généralement associées au processus en question. Les auditeurs écrivent le nom et la fonction des
personnes qui ont une responsabilité particulière dans le système de management. Pour les autres
personnes, les auditeurs peuvent simplement indiquer leur fonction (technicien de niveau 2, agent du
Service client, agent de sécurité, etc.)
Colonne 8: Les auditeurs indiquent leurs constatations d'audit. Ils écrivent soit C pour conformité, NC[MI]
pour non-conformité mineure, ou NC[MA] pour non-conformité majeure.
Colonne 9: Les auditeurs utilisent un (P) pour indiquer qu'ils sont le préparateur de la note et saisissent la
date d'achèvement de leurs constatations d'audit. Les auditeurs qui réalisent la revue de la qualité des
constatations d'audit indiquent avec un (R) qu'ils sont le réviseur et inscrivent la date à laquelle ils ont
révisé les constatations d'audit et que les corrections apportées sont satisfaisantes.

24/124
25/124
La documentation d'audit devrait:
1. Indiquer clairement le type de document, comment il a été créé ou modifié, et la personne qui l'a révisé
2. Protéger la confidentialité des informations à tous les stades de l'audit, en particulier dans les cas où la
preuve est partagée
3. Prévenir toute tentative éventuelle de modification non approuvée
Les enregistrements d'audit représentent l'ensemble des informations documentées générées au cours de l'audit.
Les projets, copies, versions antérieures ou autres documents similaires ne sont généralement pas conservés en
tant qu'archives.
Toutefois, les autres documents liés au système de management en possession de l'auditeur (politiques,
procédures, etc.) sont soit détruits, soit retournés à l'audité, soit archivés (déterminé dans l'entente
d'audit).
Les membres de l'équipe d'audit sont chargés d'assurer une protection adéquate des informations confidentielles
de l'audité incluses dans les enregistrements d'audit.
Sauf indication contraire, les enregistrements d'audit sont la propriété de l'organisme de certification. Les autres
documents sont la propriété de l'audité.

26/124
Les documents de travail sont les premières preuves d'audit. La revue de la qualité par les pairs permet à tous
les membres de l'équipe d'audit de s'assurer du respect des procédures d'audit. Il est important que la revue de
la qualité soit effectuée par un auditeur expérimenté.
La revue des documents de travail est nécessaire pour s'assurer que:
1. Les procédures d'audit étaient appropriées et fiables et ont été utilisées correctement.
2. Les auditeurs ont recueilli suffisamment d'informations pour appuyer leurs conclusions.
3. Les constatations et les conclusions d'audit sont logiques et objectives.

27/124
28/124
1. Gabarit: Les auditeurs ont oublié d'effacer toutes les feuilles de travail et les matrices de test et ont
réutilisé un dossier déjà rempli.
2. Personnes interrogées: Les auditeurs n'ont pas noté la fonction de la personne interrogée ni la date de
l'entretien, deux éléments d'information essentiels (et standards) de l'entretien.
Note: Les informations personnelles (comme les noms) doivent être évitées (sauf pour les
membres de la direction) pour des raisons de confidentialité.
3. Clore une note: Les auditeurs n'ont ni signé ni daté les constatations d'audit. La bonne pratique consiste à
prendre l'habitude de clore chaque note et de fournir les informations qui s'y rapportent dès que les
constatations d'audit sont recueillies afin d'éviter toute confusion future.
4. Incohérence des informations recueillies: Les informations recueillies par les auditeurs n'étaient pas
conformes aux constatations d'audit. Les auditeurs doivent s'assurer qu'il n'y a pas d'informations
contradictoires dans les notes. Si cela se produit, ils doivent fournir des justifications. Par exemple, si les
auditeurs considèrent que la description d'un processus de changement écrite sur des fiches est
appropriée, ils ne peuvent pas justifier que le format n'est pas approprié lorsqu'ils décrivent un autre
processus, tel que la gestion des incidents.
5. Informations manquantes sur les articles audités: Les auditeurs n'ont pas documenté leurs
observations en détail et le réviseur ne peut pas comprendre ce qui a été audité exactement et quelles
mesures ou quels processus sont en place. Il est donc important de détailler chaque processus aussi
précisément que possible (par exemple, la personne, la forme et la fréquence d'exécution). Une réponse
par «oui» ou «non» n'est pas suffisante pour justifier la conformité à une exigence.
6. Preuve: Les auditeurs n'ont pas documenté suffisamment de preuves pour appuyer les constatations
d'audit. Ils doivent toujours s'assurer que les preuves recueillies sont pertinentes et fiables en ce qui
concerne la mesure ou le processus audité afin de garantir une évaluation appropriée de la conformité.

29/124
7.Approche d'échantillonnage: Les auditeurs n'ont pas clairement documenté ou justifié la méthode
d'échantillonnage choisie.
8.Erreurs dans la procédure d'échantillonnage: Les auditeurs n'ont pas suivi les règles de sélection lors de la
collecte des preuves. Par exemple, l'audité a sélectionné et fourni la liste des personnes à interroger ou a
préparé l'échantillonnage lui-même.
9.Incohérence dans la nomenclature: Dans les documents de travail, les auditeurs n'ont pas suivi une
approche cohérente dans la nomenclature des dossiers. Pour assurer la cohérence, il est préférable de toujours
utiliser les mêmes structures de nomenclature pour documenter les preuves. Les auditeurs doivent éviter
d'utiliser des noms trop longs ou qui n'ont pas de sens. Si les auditeurs ne gardent pas le même nom que celui
envoyé par l'audité, il est préférable de le changer pour un nom plus court et plus descriptif. Les auditeurs doivent
également éviter d'utiliser le même nom pour différents documents. Il est donc recommandé d'ajouter un numéro
ou une date à la fin du nom afin de différencier chaque document.
Exemple: Procès-verbal de la réunion hebdomadaire 2020-02-10 et procès-verbal de la réunion hebdomadaire
2020-02-17; Programme de sécurité – n° 1 et programme de sécurité – n° 2.

30/124
Les enregistrements de la revue de qualité doivent toujours être documentés. Comme il n'y a pas de procédure
formelle à suivre, chaque organisme de certification développe sa propre procédure de revue de qualité.
Un modèle de documentation qui adopte les bonnes pratiques est présenté ci-dessous:
1. Identification du préparateur et du réviseur:
a. Qui a effectué le travail d'audit (préparateur)
b. Qui a révisé le travail d'audit (réviseur)
c. Date à laquelle chaque étape a été réalisée
2. Le responsable de l'équipe d'audit (réviseur) consigne les commentaires et observations
personnelles qui ont été effectués. Le réviseur ne doit pas insérer les corrections dans les documents de
travail d'un auditeur. Il doit demander au préparateur d'apporter les corrections et de soumettre à nouveau
le document. En outre, le réviseur peut donner des conseils au préparateur sans que celui-ci ait à prendre
de mesures.
3. L'auditeur (préparateur) corrige le document de travail (si nécessaire) et répond aux questions du
réviseur dans la colonne de droite. Le préparateur envoie également le formulaire de révision des notes
avec les nouveaux commentaires formulés, ainsi que la version modifiée des documents de travail. Pour
une note d'information, le préparateur peut simplement écrire «OK» ou «noté» pour reconnaître que le
commentaire a été compris. Le préparateur écrit les questions (le cas échéant) dans le document de
travail pour que le réviseur puisse y répondre.
4. Le réviseur relit les documents modifiés et clôt la note, s'il est satisfait des corrections. S'il n'est pas
satisfait des corrections reçues, le réviseur écrit une nouvelle note sous la première en utilisant une autre
couleur (ou un autre format de caractères) et la renvoie au préparateur.

31/124
Questions de discussion:
1. Comment conserver les documents de travail afin qu'ils puissent appuyer les conclusions de l'audit?
2. Que doivent contenir les enregistrements d'audit?
3. Pourquoi la revue de la qualité par les pairs est-elle importante?

32/124
Résumé de la section
1. Les documents de travail visent à appuyer les preuves d'audit, à servir de référence pour les audits futurs
et à prouver la qualité de l'audit.
2. Les enregistrements d'audit contiennent généralement l'entente d'audit, le plan d'audit, l'organigramme, les
documents de travail et les listes de contrôle utilisés pour l'audit, etc.
3. La revue de qualité par les pairs est un élément clé pour générer des documents de travail de bonne
qualité. Les documents de travail de chaque auditeur doivent être révisés par le responsable de l'équipe
d'audit

33/124
Cette section traite des étapes de la clôture de l'audit, qui comprend la détermination, l'approbation et la
discussion des conclusions d'audit, la réunion de clôture, la préparation et la diffusion du rapport d'audit,
l'achèvement de l'audit, etc.

34/124
35/124
L'équipe d'audit et l'audité échangent des informations lors de la clôture de l'audit. Voici quelques résumés des
informations échangées:
1. Après avoir évalué les preuves recueillies au cours de l'audit, l'équipe d'audit présente ses constatations et
observations (y compris les non-conformités, le cas échéant) à l'audité.
2. L'audité accepte les constatations d'audit fournies. Toutefois, si l'audité considère que les constatations
d'audit ne représentent pas la réalité, il fournit des informations supplémentaires.
3. L'équipe d'audit présente les conclusions d'audit à l'audité et émet une recommandation de certification
favorable ou défavorable. Elle présente ensuite les conclusions d'audit à la direction de l'audité.
4. L'audité accepte les conclusions d'audit et la recommandation de certification. Cependant, si l’audité n’est
pas d'accord, il fournit des informations ou des commentaires supplémentaires.
5. L'équipe d'audit présente officiellement les conclusions d'audit et la recommandation de certification lors
de la réunion de clôture et dépose le rapport de l'étape 2 de l'audit.
6. L'audité accepte le rapport d'audit final ou fait appel.
7. Si la recommandation de certification est conditionnelle au dépôt d'actions correctives, l'audité doit
soumettre des plans d'actions correctives pour indiquer comment les non-conformités seront traitées et
résolues.
8. L'équipe d'audit évalue les plans d'actions correctives soumis par l'audité et en assure le suivi lors du
prochain audit de surveillance. En cas de non-conformités majeures, après la présentation du plan d'action
pour valider la mise en œuvre des actions correctives, l'équipe d'audit effectue un suivi d'audit.
9. L'audité met en œuvre les actions correctives proposées dans les plans d'action. L'équipe d'audit valide
sur site si elle accepte de le faire dans les conclusions de l'audit. (C'est généralement le cas lorsqu'une
non-conformité majeure est détectée.)
10. Après l'audit initial, l'équipe d'audit effectue des audits de surveillance lors des deuxième et troisième
années de certification.

36/124
ISO 19011, article 6.4.9.2 Contenu des conclusions d’audit
Il convient que les conclusions d’audit traitent de questions telles que
a. le niveau de conformité et la reconnaissance des atouts du système de management par rapport aux
critères d’audit, y compris l’efficacité dudit système à fournir les résultats escomptés, l’identification des
risques et l’efficacité des actions mises en œuvre par l’audité pour faire face aux risques;
b. la mise en œuvre, le maintien et l’amélioration efficaces du système de management;
c. la réalisation des objectifs de l’audit, la couverture du champ de l’audit et la satisfaction des critères d’audit;
d. les constatations similaires faites dans différents domaines audités ou lors d’un audit conjoint ou précédent
pour identifier les tendances.
Si cela est spécifié dans le plan d’audit, les conclusions d’audit peuvent amener à des recommandations en vue
d’une amélioration ou à de futures activités d’audit.

37/124
1.Recommandation de certification: Sur la base des preuves recueillies lors de l'audit, l'auditeur est convaincu
que l'audité est en conformité avec les exigences de la norme. L'auditeur n'a détecté aucune non-conformité au
cours de l'audit.
2.et 3. Recommandation de certification conditionnelle au dépôt des plans d'actions correctives:
L'auditeur est convaincu que l'audité est en conformité avec les exigences de la norme. Cependant, l'auditeur a
détecté quelques non-conformités mineures. À ce titre, l'audité est tenu de déposer des plans d'actions
correctives pour chaque non-conformité mineure dans un court délai. Si le plan d’action est accepté, l’audité
pourra être certifié. Dans certains cas, l'auditeur exige une nouvelle visite sur site avant d'émettre une
recommandation de certification favorable. Si aucune visite supplémentaire sur site n'est nécessaire, les plans
d'actions correctives seront vérifiés et validés lors des visites d'audit de surveillance.
4.Recommandation défavorable à la certification: L'auditeur est convaincu que l'audité n'est pas en
conformité avec les exigences de la norme. L'auditeur a détecté une ou plusieurs non-conformités majeures au
cours de l'audit. À ce titre, l'auditeur émet une recommandation défavorable. Il convient de mentionner qu'aucune
déclaration publique n'est faite au sujet d'organismes ayant reçu une recommandation défavorable. Une
déclaration publique est faite pour les organismes qui ont reçu une recommandation favorable (sauf dans
certains cas).
Il est à noter que les auditeurs n’émettent qu’une recommandation de certification. La décision finale de
certification est prise par le comité de certification de l’organisme de certification.

38/124
L'équipe d'audit doit s'assurer que le rapport d'audit contient des preuves exactes et que les conclusions d'audit
sont facilement comprises par la direction de l'audité. Par conséquent, la discussion entre l'équipe d'audit et
l'audité avant la présentation du rapport d'audit final est importante pour éviter tout malentendu potentiel.

39/124
Exercice 14 : Discussion sur les conclusions préliminaires d'audit avec la direction
Discutez des conclusions préliminaires d'audit avec les représentants de la direction de BankIT Solutions. Notez
que ces personnes sont très occupées et que leur temps est précieux. Par conséquent, veillez à discuter du
contenu des conclusions de l'audit et offrez-leur la possibilité de fournir de nouvelles preuves. Préparez votre
travail avec rigueur.
Durée de l’exercice : 30 minutes

Commentaires : 15 minutes

40/124
1. Accepter les conclusions: Les auditeurs ne rencontrent généralement pas de problèmes avec la
direction de l'audité lorsqu'il s'agit d'accepter les conclusions de l'audit, surtout lorsqu'elles sont basées sur
des faits indéniables. Si une recommandation de certification défavorable est émise, les auditeurs
devraient expliquer à la direction de l'audité qu'ils peuvent soumettre une nouvelle demande après avoir
résolu les principales non-conformités.
2. Soumettre de nouveaux faits: Si l'audité n'est pas d'accord avec les conclusions d'audit, il peut soit
fournir de nouvelles preuves, soit des informations supplémentaires dans le but de modifier les
conclusions d'audit. Dans ce cas, les auditeurs devront tenir compte des nouvelles preuves fournies et
modifier leurs conclusions d'audit, si nécessaire. Il convient de mentionner que, s'il existe des incertitudes
quant aux non-conformités, l'audité devrait se voir accorder le bénéfice du doute.
3. Rechercher des solutions: S'il y a des non-conformités, la direction de l'audité demandera très
probablement aux auditeurs s'ils ont des suggestions pour résoudre ces non-conformités. Les auditeurs
peuvent leur expliquer ce que la norme exige, mais ne peuvent pas proposer de solutions spécifiques.
4. Négocier les conclusions: Les auditeurs doivent refuser de négocier les conclusions de l'audit avec
l'audité (p. ex., si l'audité demande de réduire le nombre de non-conformités, de changer une non-
conformité majeure en une non-conformité mineure ou de changer la date des documents). Les auditeurs
sont autorisés à changer ou à modifier leurs conclusions d'audit uniquement lorsque de nouvelles preuves
sont fournies.
5. Nier les faits ou adopter une approche hostile: Dans les cas où la direction de l'audité nie les preuves
fournies ou n'est pas d'accord avec les conclusions d'audit, les auditeurs doivent s'en tenir aux conclusions
d'audit et soumettre leur rapport d'audit (si, et seulement si, les auditeurs ont une assurance raisonnable
suffisante). Les auditeurs doivent pouvoir expliquer leur décision et informer l'audité des démarches à
entreprendre s'il souhaite faire appel des conclusions d’audit.
6. Chercher à faire porter le blâme à une personne: Si la direction de l'audité demande aux auditeurs de
donner les noms des personnes responsables des non-conformités, les auditeurs doivent leur rappeler
qu'ils doivent respecter le principe de confidentialité.

41/124
42/124
L'équipe d'audit doit tenir une réunion de clôture (présidée par le responsable de l'équipe d'audit) pour présenter
les conclusions d'audit et la ou les recommandations liées à la certification. L'objectif principal de la réunion de
clôture est de s'assurer que l'audité comprend et accepte les conclusions de l'audit, ainsi que de convenir des
conséquences de ces conclusions, en particulier dans les cas où l'audité est tenu de soumettre des plans
d'actions correctives.
Outre l'équipe d'audit et les membres de l'audité, le client d’audit et diverses parties intéressées invitées par
l'audité peuvent également assister à la réunion.
La réunion peut être très courte ou se limiter à la présentation des conclusions de l'audit. Si l'audité souhaite
annuler la réunion de clôture, l'auditeur devrait lui demander une déclaration écrite.
Dans d’autres cas (p. ex. les audits internes), la réunion de clôture peut être moins formelle et se résumer à la
présentation des constatations et des conclusions d’audit.
ISO/IEC17021-1, article9.4.7.1
Une réunion de clôture formelle, pour laquelle la liste des participants doit être enregistrée, doit être tenue avec la
direction du client et, le cas échéant, les responsables des fonctions ou des processus audités. La réunion de
clôture, généralement animée par le responsable de l’équipe d’audit, a pour objectif de présenter les conclusions
de l’audit, y compris les recommandations relatives à la certification. Les non-conformités doivent être présentées
de façon à être comprises et le délai de réponse doit être fixé d’un commun accord.
NOTE « Comprises » ne signifie pas nécessairement que les non-conformités ont été acceptées par le client.

43/124
ISO 19011, article 6.4.10 Conduite de la réunion de clôture
Au cours de la réunion de clôture, il convient d’expliquer, le cas échéant, les éléments suivants à l’audité:
a. la notification que les preuves d’audit recueillies étaient fondées sur un échantillon des informations
disponibles et ne sont pas nécessairement pleinement représentatives de l’efficacité globale des processus
de l’audité;
b. la méthode de consignation;
c. la manière dont il convient de traiter les constatations d’audit selon le processus convenu;
d. les conséquences éventuelles d’un traitement inadéquat des constatations d’audit;
e. la présentation des constatations et conclusions d’audit de sorte que la direction de l’audité les comprenne
et les accepte;
f. toutes activités post-audit associées (par exemple mise en œuvre et revue des actions correctives,
traitement des réclamations liées à l’audit, processus de recours).
Les huit points suivants figurent généralement à l'ordre du jour de la réunion de clôture:
1. Liste de présence: Il est d'usage que la réunion de clôture soit formelle et que le procès-verbal de la
réunion, y compris les listes de présence, soit conservé dans les enregistrements d'audit.
2. Remerciements: Le responsable de l'équipe d'audit devrait commencer la réunion de clôture en
remerciant l'audité pour sa coopération et en soulignant l'engagement de tout le personnel impliqué dans
la réalisation d'un processus d'audit réussi.
3. Récapitulation des objectifs et du périmètre d'audit: Le responsable de l'équipe d'audit doit répéter les
objectifs de l'audit, la recommandation de certification, ainsi que le périmètre défini dans l'entente d'audit,
et présenter les exclusions à la norme, le cas échéant.
4. Présentation des constatations et des conclusions d'audit: Le cas échéant, le responsable de l'équipe
d'audit présentera la méthode de communication des conclusions d'audit. Lors de la réunion de clôture, le
responsable de l'équipe d'audit doit au moins indiquer si l'audité sera recommandé pour la certification ou
non, même si les détails des conclusions d'audit seront révélés dans le rapport d'audit final.

44/124
5.Présentation des non-conformités (le cas échéant): Le responsable de l'équipe d'audit devrait présenter
chaque non-conformité constatée au cours de l'audit en expliquant les critères d'audit et les preuves trouvées. Le
responsable de l'équipe d'audit devrait toujours se référer aux articles de la norme.
6.Limites de l'audit: Le responsable de l'équipe d'audit devrait mentionner que, même si l'audit a été effectué
conformément aux normes d'audit internationales et aux règles d'éthique, il existe un risque inévitable que
certaines non-conformités ne soient pas détectées.
7.Questions et réponses: Une séance de questions et réponses au nom de l'audité doit toujours avoir lieu.
Même si, la plupart du temps, les grandes questions ont été discutées avant la réunion de clôture, il est
recommandé de discuter également de toute opinion divergente pendant la réunion de clôture.
8.Suivi d’audit: Avant de clore la réunion, le responsable de l'équipe d'audit devrait toujours convenir des
prochaines étapes suivant l'audit: soit la présentation de plans d'action (si nécessaire), soit les dates du prochain
audit de surveillance.

45/124
Exercice 15 : Réunion de clôture
Préparez et effectuez une réunion de clôture avec la direction de BankIT. Veillez à couvrir les constatations et
conclusions d'audit, les non-conformités détectées, les accords sur les actions correctives proposées, etc.
Durée de l’exercice : 30 minutes

Commentaires : 15 minutes

46/124
Le rapport d'audit doit être rédigé dans un langage compris par l'audité, l'organisme de certification et les
personnes qui n'ont pas participé à l'audit. Cela signifie que tous les éléments nécessaires à la compréhension
des constatations et des conclusions d’audit doivent être communiqués. Il est donc essentiel que l'auditeur
fournisse une description précise des circonstances (sites, quantités, etc.).
Lors de la préparation des rapports d'audit, le responsable de l'équipe d'audit doit:
Fournir des preuves précises et adéquates: Le rapport d'audit doit être rédigé de manière claire et concise.
Des questions importantes, telles que quand, où, qui et comment, devraient toutes être vérifiées pour
s'assurer qu'elles sont abordées.
Fournir des faits avec des exemples: Les informations et les faits inclus dans le rapport d'audit doivent être
indiqués clairement afin que les lecteurs puissent avoir une idée précise des informations fournies.
Éviter de fournir des preuves inutiles: Les informations inutiles doivent être évitées dans le rapport d'audit,
car elles peuvent mêler le lecteur. Les informations fournies sur ce qui a été audité devraient être claires et
simples; il est important de ne pas s'écarter des principaux points présentés.
Éviter de fournir des informations répétitives (en double): Les informations répétitives et redondantes
doivent être évitées lors de la description précise des résultats d'audit.
Fournir des hypothèses utiles: Une terminologie fiable devrait être utilisée lors de la préparation du rapport
d'audit afin d'aider les lecteurs à comprendre pleinement les hypothèses et les conclusions.
Le responsable de l'équipe d'audit devrait envisager de relire le contenu du rapport d'audit en termes de niveau
général, de paragraphe et de phrase afin de s'assurer qu'il est clair et bien structuré.

47/124
Niveau général:
Le message principal du rapport d'audit est-il compréhensible pour le lecteur?
La longueur du rapport d'audit est-elle appropriée?
Y a-t-il un résumé au début du rapport d'audit?
La division en chapitres et titres est-elle claire?
Le rapport d'audit contient-il des graphiques appropriés (p. ex., des images, des tableaux, des
diagrammes)?
Niveau de paragraphe:
Le paragraphe contient-il une phrase thématique qui indique l'idée principale à présenter?
Le paragraphe contient-il suffisamment d'informations pour appuyer les idées présentées dans cette
phrase thématique?
Le paragraphe contient-il trop d'informations qui alourdissent la lecture et empêchent une compréhension
complète du rapport d'audit?
Les idées présentées dans le paragraphe suivent-elles une séquence logique?
Niveau de phrase:
Les phrases sont-elles faciles à comprendre?
Les phrases sont-elles trop longues ou trop complexes?
Les phrases contiennent-elles trop de vocabulaire technique (mots trop difficiles à comprendre en dehors
du contexte de l'audit)?
Les phrases contiennent-elles des verbes d'action et des acteurs? (Une structure active est souvent
préférable à la structure passive.)

48/124
ISO 19011, article 6.5.1 Préparation du rapport d’audit (suite)
Le rapport d’audit peut également comprendre ou faire référence aux éléments suivants, le cas échéant:
le plan d’audit, y compris le calendrier;
un résumé du processus d’audit, y compris les obstacles éventuels rencontrés susceptibles d’altérer la
fiabilité des conclusions d’audit;
la confirmation que les objectifs de l’audit ont été atteints dans le cadre du champ de l’audit et
conformément au plan d’audit;
les domaines non couverts bien que compris dans le champ de l’audit, y compris les problèmes liés à la
disponibilité des preuves, aux ressources ou à la confidentialité, avec les justifications associées;
un résumé couvrant les conclusions d’audit et les principales constatations d’audit venant les étayer;
les bonnes pratiques identifiées;
le suivi du plan d’action convenu, le cas échéant;
une déclaration relative à la confidentialité du contenu;
les implications éventuelles pour le programme d’audit ou les audits ultérieurs.

49/124
ISO/IEC 27007, article 6.5.2.2
NOTE Lors de l'utilisation de moyens électroniques pour la diffusion du rapport d'audit, un chiffrement approprié
est une mesure possible pour assurer la confidentialité.

50/124
L’organisme de certification doit assurer que les personnes ou les comités qui prennent les décisions d’octroi ou
de refus de la certification, d’extension ou de réduction du périmètre de la certification, de suspension ou de
rétablissement de la certification, de retrait ou de renouvellement de la certification, sont différents de celles ou
ceux ayant réalisé les audits. La ou les personnes chargées de décider de la certification doivent avoir les
compétences appropriées.
Les informations fournies par l’équipe d’audit à l’organisme de certification pour lui permettre de prendre une
décision doivent, au minimum, comprendre les éléments suivants:
a. le rapport d’audit;
b. les observations relatives aux non-conformités et, le cas échéant, les corrections et actions correctives
entreprises par l’organisme client;
c. la confirmation des informations fournies à l’organisme de certification et utilisées pour la revue de la
demande;
d. la confirmation que les objectifs de l’audit ont été atteints;
e. une recommandation relative à la décision de délivrer ou non la certification, accompagnée de toutes
réserves ou observations.
Si l’organisme de certification n’est pas en mesure de vérifier la mise en œuvre des corrections
et actions correctives pour toute non-conformité majeure dans un délai de 6mois à compte du dernier jour de
l’étape2, l’organisme de certification doit recommencer l’étape2 avant de recommander la certification.

51/124
ISO 19011, article 6.6 Clôture de l’audit (suite)
Sauf exigence légale contraire, il convient que l’équipe d’audit et la ou les personnes responsables du
management du programme d’audit ne divulguent aucune information obtenue lors de l’audit, ou contenue dans le
rapport d’audit, à toute autre partie sans l’accord explicite du client de l’audit et, le cas échéant, l’approbation de
l’audité. Si la divulgation du contenu d’un document d’audit est requise, il convient d’en informer le client de l’audit
et l’audité dès que possible.
Les leçons tirées de l’audit peuvent identifier les risques et opportunités pour le programme d’audit et l’audité.

52/124
Lors de la clôture d'un audit, les leçons tirées de la mission d'audit devraient être intégrées dans le processus
d'amélioration continue du programme d'audit.
Après chaque audit, une évaluation devrait être demandée à l'audité pour mesurer son niveau de satisfaction. Le
formulaire d'évaluation devrait être envoyé en même temps que le rapport d'audit.
Aspects à considérer:
1. Format: Le formulaire d'évaluation devrait être bref et les questions devraient être concises. Le temps
nécessaire pour remplir ce formulaire ne doit pas dépasser vingt minutes.
2. Délai: Le formulaire d'évaluation doit être rempli après la fin du mandat d'audit.
3. Rapport et évaluations de suivi: La compilation des résultats de l'évaluation de l'audit devrait être
envoyée à l'équipe d'audit. L'évaluation par l'audité est une source d'information importante pour
l'amélioration des pratiques d'audit. L'évaluation des auditeurs et du responsable de l'équipe d'audit devrait
être enregistrée et conservée par l'organisme de certification afin de servir de base à l'appréciation
annuelle de chaque auditeur.

53/124
Parfois, seuls une division ou un département spécifique d'un organisme peuvent être certifiés selon une norme
particulière. Ainsi, la partie intéressée devrait lire l'intégralité du contenu du certificat délivré par l'organisme
de certification afin de comprendre si l'organisme est certifié ou non.
ISO/IEC 17021-1, article4.5.1
Afin d’assurer la confiance dans l’intégrité et la crédibilité de la certification, un organisme de certification doit
assurer l’accessibilité ou la diffusion au public des informations appropriées et à jour relatives à ses processus
d’audit et de certification ainsi que sur le statut de la certification (c’est-à-dire l’octroi, le maintien de la
certification, l’extension ou la réduction du périmètre de la certification, le renouvellement, la suspension ou le
rétablissement, ou le retrait de la certification) de tout organisme. La transparence est un principe fondé sur
l’accessibilité ou la diffusion des informations appropriées.

54/124
Le certificat est valable pour trois ans. Avant que la validité du certificat ne prenne fin, l'organisme doit
être recertifié.
Voici quelques exemples de périmètres déclarés par des organismes certifiés:
1. Technomedia Formation inc. (France et Canada): Publication et hébergement de sites Web pour le
développement de la gestion des ressources humaines
2. Gardien Virtuel inc. (Canada): Le SMSI couvre les informations confidentielles des clients de Gardien
Virtuel. Le SMSI est limité à l'emplacement occupé par l'entreprise, aux ordinateurs et autres supports
portables utilisés par les membres de l'organisme en dehors du bureau.
3. Accenture Services Private Limited (Inde) : Management de la sécurité de l'information dans les
services d'externalisation du processus d'entreprise pour les centres de livraison en Inde
4. Agilisys (Royaume-Uni) : Le système de management de la sécurité de l'information qui soutient la
fourniture de services de gestion informatique
5. Bechtel Corporation (États-Unis) : Management de la sécurité de l'information des services
informatiques nécessaires pour soutenir les activités commerciales des entités Bechtel et des bureaux
internationaux

55/124
1. L'équipe d'audit devrait se concerter avant la réunion de clôture afin d'examiner les constatations d'audit,
de se mettre d'accord sur les conclusions d’audit, de préparer des recommandations et de discuter des
activités de suivi d'audit.
2. Les quatre recommandations relatives à la certification sont la recommandation de certification, la
recommandation conditionnelle au dépôt des plans d'actions correctives sans visite préalable, la
recommandation conditionnelle au dépôt des plans d'actions correctives avec visite préalable, et la
recommandation défavorable.
3. Lors de la discussion des conclusions d'audit, les réactions possibles comprennent l'acceptation des
conclusions, la présentation de nouveaux faits, la recherche de solutions, la négociation des conclusions,
la négation du fait ou l'adoption d'une approche hostile, l'attribution du blâme à une personne, etc.
4. Le rapport d'audit doit fournir une image claire, précise, concise et complète de l'audit, doit être un rapport
écrit compilé par le responsable de l'équipe d'audit; l'organisme de certification en garde la propriété.
5. Selon le programme d'audit, le rapport d'audit doit être daté, révisé et approuvé.
6. Les aspects qui devraient être pris en considération lors de la clôture de l'audit sont le format, le délai, ainsi
que les rapports et les évaluations de suivi.

56/124
Cette section traite de la présentation de plans d'action et de ce que l'audité devrait envisager d'y inclure. En
outre, certaines lignes directrices sont fournies aux auditeurs lors de l'évaluation de ces plans d'action.

57/124
Si la direction de l'audité, à la suite de l'analyse, décide d'accepter le risque au lieu de mettre en œuvre des
actions correctives, elle doit justifier sa décision et la documenter de manière appropriée
Le plan d’action doit être déposé dans les délais fixés. La plupart des organismes de certification fixent un délai
variant de 10 à 60jours pour le dépôt de plans d’action. Si le plan d'action n'est pas reçu dans le délai
spécifié, l'audité ne sera pas recommandé pour la certification.

58/124
L'audité n'est pas tenu de présenter des plans d'action détaillés concernant les systèmes qui seront installés, les
coûts impliqués, les entreprises sélectionnées, le plan de projet, etc. L'audité n'est tenu de soumettre qu'une
déclaration générale concernant les actions qui seront entreprises.
Les dates de réalisation doivent être réalistes et basées sur les non-conformités observées et les coûts d'actions
correctives à prendre. Les délais de mise en œuvre des actions correctives doivent également être raisonnables.

59/124
60/124
Un auditeur doit toujours se rappeler qu’il est très peu probable que l’organisme arrive à accomplir
toutes les améliorations simultanément. Toute amélioration nécessite des ressources adéquates et un temps
suffisant pour sa mise en œuvre. Les plans d’action peuvent être classés par ordre de priorité par la direction,
particulièrement là où des investissements sont nécessaires. Par conséquent, l’auditeur devra chercher à
s’assurer que les objectifs d’amélioration sont réalistes en fonction du contexte particulier de l’audité.

61/124
Exercice16: Mise en œuvre des actions correctives:
Après avoir reçu un plan d'actions correctives à examiner, vous devez évaluer l'adéquation des actions
correctives proposées. Expliquez si vous êtes d'accord ou non avec ces actions correctives. Si vous n'êtes pas
d'accord, expliquez pourquoi et proposez une action alternative que vous jugez plus adéquate.
1.Plusieurs employés travaillant dans l'équipe de nuit oublient parfois de fermer la porte principale du bureau
lorsqu'ils partent. Comme ils terminent leur quart de travail à 6 h et que l'autre quart commence à 9 h, la porte
principale du bureau reste déverrouillée pendant trois heures.
Causes fondamentales: Les employés ne sont pas conscients des problèmes de sécurité.
Action corrective: Envoyer une lettre à tous les employés qui travaillent de nuit pour les informer des actions
disciplinaires qui seront prises au cas où ils oublieraient de fermer à nouveau la porte du bureau principal (délai:
immédiatement)
2.Un technicien qui a dû apporter un CD de quelques copies de sauvegarde au second site de la société, situé à
trois kilomètres du site principal, n'a pas suivi la procédure qui prévoit que la copie de sauvegarde du CD doit
être placée dans le coffre-fort. Comme il n'y a pas de coffre-fort au deuxième site de l'entreprise, la personne a
laissé la copie de sauvegarde dans un tiroir déverrouillé. En outre, le CD n'est pas détruit lorsque son cycle de
vie est terminé; il est simplement jeté à la poubelle.
Causes fondamentales: Il n'existe pas de procédure formelle sur la destruction des supports numériques.
Action corrective: Acheter un coffre-fort pour le deuxième site de l'entreprise et établir une procédure de
destruction des supports numériques (délai: dans les trois mois)

62/124
3.L'équipe des ressources humaines n'avait pas connaissance de la procédure qui les oblige à valider toutes les
références des futurs employés avant de les embaucher.
Causes fondamentales: Plusieurs postes sont vacants au sein du département des ressources humaines et le
personnel est surchargé.
Action corrective: Informer (délai: immédiatement) l'équipe des ressources humaines de cette procédure, les
former (délai: dans les six mois), et exiger que chaque membre de l'équipe respecte strictement la procédure
4.Un employé a été vu dans une zone sensible où il n'est pas autorisé à être. Il est impossible pour toute
personne d'entrer involontairement dans une telle zone et d'ignorer qu'elle n'est pas autorisée à y être, car il
existe des panneaux qui l'indiquent clairement, ainsi qu'un système de contrôle d'accès à l'entrée de la zone.
Causes fondamentales: L'employé, connaissant le règlement intérieur de l'organisme, a enfreint les règles.
Action corrective: Licencier l'employé sur la base des règles et politiques internes (délai: immédiatement).
5.L'organisme n'a pas de processus formel pour gérer les incidents.
Causes fondamentales: Il n'y a pas de processus en place pour gérer les incidents.
Action corrective: Mettre en place un processus concernant la gestion des incidents (délai: dans les 12mois),
acheter une solution logicielle (délai: dans les 24mois) et adapter la solution au processus d'enregistrement des
incidents de l'organisme (délai: dans les 36mois)
Durée de l’exercice: 30 minutes
Commentaires: 15 minutes

63/124
1. Les plans d'action doivent décrire les non-conformités détectées, les causes fondamentales des non-
conformités détectées et les corrections spécifiques apportées (ou prévues).
2. Ensuite, l'auditeur évalue si les plans d'action sont appropriés et s'attaquent aux causes fondamentales
des non-conformités.

64/124
Cette section fournit des informations qui aideront les participants à acquérir des connaissances sur les audits de
surveillance et de recertification.

65/124
66/124
Les activités de suivi d’audit devraient être planifiées avec soin et en détail, comme les autres étapes incluses
dans la réalisation de l'audit.
L'objectif du suivi d'audit est de valider les plans d'action et les actions correctives mises en œuvre qui ont été
soumis par l'audité. Si des non-conformités majeures sont relevées, l’audité doit les résoudre avant d’être
recommandé pour la certification.
Le suivi de l'audit est généralement effectué 4 à 12semaines après l'audit initial afin que l'audité ait le temps de
mettre en œuvre les actions correctives. La réalisation du suivi d'audit est généralement achevée en un jour.
ISO19011, article6.7 Réalisation du suivi d’audit
Les conclusions de l’audit peuvent mentionner, selon les objectifs de l’audit, la nécessité de corrections ou
d’actions correctives, ou des opportunités d’amélioration. Ces actions sont généralement décidées et réalisées
par l’audité dans des délais convenus. Le cas échéant, il convient que l’audité informe la ou les personnes
responsables du management du programme d’audit et/ou l’équipe d’audit de l’état d’avancement de ces actions.
Il convient de vérifier l’achèvement et l’efficacité des actions entreprises. Cette vérification peut faire partie
intégrante d’un audit ultérieur. Il convient de communiquer les résultats à la personne responsable du
management du programme d’audit ainsi qu’au client de l’audit pour la revue de direction.

67/124
ISO/IEC 17021, article 9.4.10 Efficacité des corrections et actions correctives
L’organisme de certification doit passer en revue les corrections, les causes identifiées et les actions correctives
soumises par le client pour déterminer si elles sont acceptables. L’organisme de certification doit vérifier
l’efficacité des corrections et des actions correctives entreprises. Les preuves obtenues pour confirmer la
résolution des non-conformités doivent être enregistrées. Le client doit être tenu informé du résultat de la revue et
de la vérification. Le client doit être informé de la nécessité de réaliser un audit complet ou un audit partiel
supplémentaire ou de fournir une preuve documentée (à confirmer au cours des audits ultérieurs), pour vérifier
que les corrections et actions correctives prévues ont bien été menées.
NOTE La vérification de l’efficacité de la correction et de l’action corrective peut être réalisée sur la base d’un
examen des informations documentées fournies par le client ou, si nécessaire, par une vérification sur site.
Généralement cette activité est effectuée par un membre de l’équipe d’audit.

68/124
Compte tenu des dépenses supplémentaires liées à un suivi d'audit, l'auditeur n'effectuera pas un tel audit si le
rapport d'audit ne contient que des non-conformités mineures. L'auditeur assurera le suivi des plans d'action à
distance et vérifiera les actions correctives prises par l'audité au cours de l'audit de surveillance.
L'auditeur peut également demander à l'équipe d'audit interne de recueillir des informations sur les plans de suivi
des actions définies par l'audité.

69/124
70/124
L'audité doit informer l'organisme de certification de toute modification apportée qui aura un impact significatif sur
la gestion du système de management, comme des changements importants dans le nombre d'employés, des
acquisitions, des réductions d'effectifs et des fusions, etc.

71/124
72/124
ISO/IEC 17021-1, article9.6.2.2 Audit de surveillance (suite)
Chaque surveillance selon la norme de système de management applicable doit porter sur les éléments suivants:
a. les audits internes et la revue de direction;
b. la revue des actions entreprises vis-à-vis des non-conformités identifiées au cours de l’audit précédent;
c. le traitement des plaintes;
d. l’efficacité du système de management par rapport à la réalisation des objectifs du client certifié et des
résultats escomptés du(des) système(s) de management pertinent(s);
e. l’état d’avancement des activités planifiées visant à l’amélioration continue;
f. la maîtrise opérationnelle continue;
g. la revue de toute modification apportée;
h. l’utilisation des marques et/ou toute autre référence à la certification.
ISO/IEC 17021-1, article 9.1.3.3
Les audits de surveillance doivent être effectués au moins une fois par année civile, excepté les années de
renouvellement de la certification. La date du premier audit de surveillance suivant la certification initiale doit être
fixée dans un délai maximal de douze mois à compter de la date de décision de certification.
NOTE Il peut être nécessaire d’adapter la fréquence des audits de surveillance afin de prendre en compte des
facteurs tels que la saisonnalité ou la certification de systèmes de management sur une durée limitée (par
exemple site de construction temporaire).

73/124
74/124
ISO/IEC17021-1, article9.6.3.1.2
L’activité de renouvellement de la certification doit comprendre la revue des rapports d’audit de surveillance
précédents et doit tenir compte des performances du système de management pendant le cycle de certification le
plus récent.
Lorsque des modifications significatives sont apportées au système de management, à l’organisme client ou au
contexte dans lequel le système de management opère (par exemple modifications de la législation), l’activité
correspondant à un audit de renouvellement de la certification peut nécessiter une étape1.
Note Ces modifications peuvent intervenir à tout moment au cours du cycle de certification et il peut être
nécessaire que l’organisme de certification réalise un audit spécial qui peut être ou non un audit en deux étapes.
L’audit de renouvellement de la certification doit comporter un audit sur site, qui traite des points suivants:
a. l’efficacité du système de management dans sa totalité, à la lumière des changements internes et externes
ainsi que sa pertinence et son applicabilité en permanence au regard du périmètre de la certification;
b. la preuve de l’engagement à maintenir l’efficacité et l’amélioration du système de management afin
d’augmenter les performances globales;
c. l’efficacité du système de management par rapport à la réalisation des objectifs du client certifié et des
résultats escomptés du(des) système(s) de management pertinent(s).
Pour toute non-conformité majeure, l’organisme de certification doit fixer des délais pour la mise en œuvre de
corrections et d’actions correctives. Ces actions doivent être mises en œuvre et vérifiées avant l’expiration de la
certification.

75/124
Lorsque les activités de renouvellement de la certification sont terminées avec succès avant la date d’expiration
de la certification existante, la date d’expiration de la nouvelle certification peut être basée sur la date d’expiration
de la certification existante. La date de délivrance indiquée sur un nouveau certificat doit correspondre à la date
de la décision de renouvellement de la certification ou à une date ultérieure.
Si l’organisme de certification n’a pas terminé l’audit de renouvellement de la certification ou s’il n’est pas en
mesure de vérifier la mise en œuvre des corrections et actions correctives pour toute non-conformité majeure
avant la date d’expiration de la certification, alors le renouvellement de la certification ne doit pas être
recommandé et la validité de la certification ne doit pas être prolongée. Le client doit en être informé et les
conséquences doivent lui être expliquées.
L’organisme de certification peut rétablir une nouvelle certification dans les 6mois qui suivent l’expiration de la
certification, sous réserve que les activités de renouvellement de la certification non résolues soient terminées, à
défaut un audit d’étape 2 doit au minimum être réalisé. La date d’entrée en vigueur figurant sur le certificat doit
correspondre à la date de la décision de renouvellement de la certification ou à une date ultérieure et la date
d’expiration doit être basée sur le cycle de certification antérieur.
ISO/IEC 17021-1, article 9.5.4 Informations pour la délivrance d’un renouvellement de certification
L’organisme de certification doit prendre les décisions de renouvellement de la certification en se fondant sur les
résultats de l’audit de renouvellement ainsi que sur les résultats de la revue du système correspondant à la
période de certification et sur les plaintes reçues de la part des utilisateurs de la certification.

76/124
La certification du système de management est valable trois ans, sous réserve de la réalisation de deux audits de
surveillance (au cours d'années consécutives). Par conséquent, le cycle de certification comprend l'audit de
certification initial, les audits de surveillance et l'audit de recertification.
Pré-audit (facultatif): Devrait être fait au moins trois mois avant l'audit de certification.
Plan d’audit: Le plan d'audit qui contient les informations d'audit, le périmètre d'audit, l'objectif d'audit, les
critères d'audit et le calendrier d'audit doit être complété.
Audit (Étapes 1 et 2): Les non-conformités devraient être clôturées au moins trois mois après que les
conclusions d'audit ont été présentées à l'audité.
Certification initiale: Émise dans les deux semaines suivant la clôture de l'audit.
Audit de surveillance 1: Ne devrait pas être effectué plus de 12mois après l'audit de certification initial.
Audit de surveillance 2: Ne devrait pas être effectué plus de 12mois après le premier audit de
surveillance.
Audit de recertification: Devrait être effectué dans les deux mois précédant l'expiration de la certification
triennale.

77/124
ISO/IEC 17021-1, article 9.6.4.1 Extension du périmètre
En réponse à une demande d’extension du périmètre d’une certification déjà accordée, l’organisme de
certification doit entreprendre une revue de la candidature et déterminer toute activité d’audit nécessaire pour
décider de la possibilité ou non d’accorder l’extension. Cette démarche peut être effectuée au même moment que
l’audit de surveillance.
La certification peut être suspendue pour les raisons suivantes:
L'audité n'accepte pas que les audits de surveillance ou de recertification soient effectués aux fréquences
requises (La date du premier audit de surveillance ne peut être supérieure à 12mois à compter du dernier
jour de l'étape 2 de l'audit. Des audits de surveillance sont effectués au moins une fois par an).
L'organisme de certification détermine que l'audité ne dispose pas des ressources nécessaires pour
répondre aux exigences du système de management.
Des recours excessifs ou graves sont introduits par les parties intéressées concernant l'audit, y compris
les conflits sociaux.
L'audité n'a mis en œuvre aucune action corrective en réponse aux non-conformités pendant la période
requise.
L'audité a délibérément fait un usage abusif de la marque de l'organisme de certification ou d'accréditation.
L'audité n'a pas corrigé l'utilisation abusive délibérée de la marque de l'organisme de certification ou
d'accréditation dans un délai d'un mois.
L'audité a utilisé et appliqué le certificat (certification) en dehors de son périmètre.
Les informations et les documents fournis par l'audité au cours de l'audit ou de l'évaluation ont été
trompeurs.
L'audité a volontairement demandé la suspension.

78/124
ISO/IEC 17021-1, article9.6.4.2 Audits avec un préavis très court
L’organisme de certification peut être amené à réaliser des audits de clients certifiés avec un très court préavis ou
inopinés afin d’instruire des plaintes ou suite à des modifications ou pour effectuer un suivi des clients suspendus.
Dans ces cas:
a. l’organisme de certification doit décrire et porter préalablement à la connaissance des clients certifiés les
conditions dans lesquelles ces audits seront conduits;
b. l’organisme de certification doit apporter un soin tout particulier à la désignation de l’équipe d’audit du fait
de l’impossibilité pour l’organisme client de formuler une objection sur les membres de l’équipe d’audit.
L’organisme de certification doit avoir une politique et une ou plusieurs procédures documentées traitant de la
suspension, du retrait ou de la réduction du périmètre de la certification et il doit définir les actions qu’il doit mener
en conséquence.
L’organisme de certification doit suspendre la certification, par exemple, dans les cas où:
le système de management certifié a constamment ou gravement manqué au respect des exigences de la
certification, y compris l’exigence relative à l’efficacité du système de management;
le client certifié n’a pas permis la réalisation des audits de surveillance ou de renouvellement de la
certification selon la périodicité requise, ou;
l’organisme certifié a volontairement demandé une suspension.
Lorsqu’elle est suspendue, la certification du système de management du client est provisoirement invalidée.
L’organisme de certification doit rétablir la certification suspendue si le problème qui a abouti à la suspension a
été résolu. Tout manquement à la résolution des problèmes dans le délai établi par l’organisme de certification
doit donner lieu au retrait ou à la réduction du périmètre de la certification.
79/124
NOTE Dans la plupart des cas, la suspension ne devrait pas dépasser six mois.

80/124
Un organisme de certification doit disposer de règles régissant toute marque de certification de système relative
aux systèmes de management qu’il autorise des clients certifiés à utiliser. Ces règles doivent, entre autres,
garantir la traçabilité vers l’organisme de certification. Il ne doit y avoir aucune ambiguïté dans la marque ou le
texte d’accompagnement en ce qui concerne l’objet de la certification et l’organisme qui a accordé la certification.
Cette marque ne doit pas être utilisée sur un produit ni un emballage de produit ni de toute autre manière pouvant
être interprétée comme une indication de la conformité dudit produit.
NOTE L’ISO/IEC 17030 fournit les informations supplémentaires relatives à l’utilisation des marques de tierces
parties.
Un organisme de certification ne doit pas autoriser l’apposition de ses marques par les clients certifiés sur les
rapports de laboratoire d’essai, sur les rapports d’étalonnage ou d’inspection ou sur les certificats.

81/124
1. L'objectif de la rectification est de confirmer la conformité continue et l'efficacité du système de
management dans son ensemble.
2. Les audits de surveillance doivent être effectués au moins une fois par année civile, sauf les années de
recertification.
3. L’audit de surveillance vise à s’assurer que le système de management est toujours mis en œuvre et qu’il
est continuellement amélioré.

82/124
Bien que les informations contenues dans cette section s'appliquent à l'audit interne, les éléments d'un
programme d'audit sont essentiellement les mêmes pour un audit de première, deuxième ou troisième partie.
Les outils, les procédures et les techniques sont essentiellement les mêmes.
Les activités réalisées dans le cadre des audits internes peuvent varier en fonction des objectifs du programme,
du degré d'indépendance des auditeurs, des rôles des auditeurs et de la planification des activités. Lorsque ces
différences sont significatives, des explications supplémentaires ont été fournies dans les notes de cette section.

83/124
ISO 19011, article 3.4 Programme d’audit
dispositions relatives à un ensemble d’un ou plusieurs audits planifié pour une durée spécifique et dirigé dans un
but spécifique
Un programme d'audit devrait suivre les étapes décrites dans le modèle PDCA. Il peut inclure un ou plusieurs
audits selon la taille, la nature et la complexité de l’organisme à auditer. Des audits conjoints ou combinés
peuvent également être réalisés. Un organisme peut établir plus qu’un programme d’audit.
Le programme d'audit comprend toutes les activités nécessaires pour planifier et organiser le type et le nombre
d'audits, ainsi que les mesures visant à fournir les ressources nécessaires pour réaliser un audit efficace dans le
délai indiqué.

84/124
ISO19011, article5.4.1 Rôles et responsabilités de la ou des personnes responsables du management du
programme d’audit
Il convient que la ou les personnes responsables du management du programme d’audit:
a. établissent l’étendue du programme d’audit en fonction des objectifs pertinents et de toute contrainte
connue;
b. déterminent les enjeux externes et internes ainsi que les risques et opportunités susceptibles d’affecter le
programme d’audit, et mettent en œuvre les actions pour y faire face, en intégrant ces actions dans toutes
les activités d’audit pertinentes, le cas échéant;
c. s’assurent de la constitution des équipes d’audit et de leur compétence globale pour les activités d’audit, en
attribuant les rôles, responsabilités et autorités, et en soutenant le leadership, le cas échéant;
d. établissent tous les processus pertinents, y compris les processus pour:
la coordination et la programmation de tous les audits du programme d’audit;
l’établissement des objectifs de l’audit, du (des) champ(s) de l’audit et des critères d’audit, la
détermination des méthodes d’audit et la constitution de l’équipe d’audit;
l’évaluation des auditeurs;
l’établissement des processus de communication externe et interne, le cas échéant;
la résolution des différends et le traitement des réclamations;
le suivi d’audit, le cas échéant;
le compte rendu au client de l’audit et aux parties intéressées pertinentes, le cas échéant;
e. déterminent et assurent la fourniture de toutes les ressources nécessaires;
f. s’assurent que les informations documentées appropriées sont préparées et tenues à jour, y compris les
enregistrements relatifs au programme d’audit;
g. surveillent, passent en revue et améliorent le programme d’audit;
h. communiquent le programme d’audit au client de l’audit et, le cas échéant, aux parties intéressées
pertinentes.
Il convient que la ou les personnes responsables du management du programme d’audit demandent son
approbation par le client de l’audit.

85/124
Les audits internes sont des activités indépendantes, objectives et consultatives menées dans le but d'améliorer
les fonctions de l'audité. En outre, les audits internes contribuent à la réalisation des objectifs de l'audité en
fournissant une méthodologie systématique et structurée pour évaluer et améliorer l'efficacité du processus de
gestion des risques, de son contrôle et de la prise de décision.

86/124
La charte d’audit interne est un document officiel qui décrit les activités d’audit interne, les objectifs et les rôles et
responsabilités de l’équipe d’audit interne. Elle définit la position de l’audit interne au sein de l’organisation, y
compris la nature de la relation hiérarchique de l’auditeur avec la direction; elle autorise l’accès aux documents et
dossiers, au personnel et aux propriétés physiques en relation avec les activités; et finalement, elle définit le
périmètre des activités de l’audit interne. La direction devrait approuver la charte d'audit interne.
Afin de garantir l’objectivité et l’impartialité de la fonction d’audit interne, les auditeurs ne devraient pas assumer
de rôles opérationnels liés aux systèmes de management. Si une personne a assumé un tel rôle, une période de
temps raisonnable (généralement un an) devrait s’écouler avant qu’elle puisse occuper le poste d’auditeur
interne. Une personne peut cumuler des fonctions d’opération et d’audit seulement si les deux sphères d’activités
concernées ne sont pas liées. Dans ce cas, il convient de bien documenter les descriptions de postes afin
d’éviter les conflits d’intérêts potentiels et une violation du principe d’indépendance.
Note importante: Dans le cas d’un petit organisme, il est souvent préférable d’externaliser la fonction d’audit
interne à un tiers. Il est en effet plus facile de démontrer l’indépendance et l’impartialité d’une personne qui n’a
aucun lien avec la mise en œuvre et les opérations des systèmes de management.

87/124
Les organismes doivent procéder régulièrement à des audits internes afin de renforcer l'efficacité du système de
management de la sécurité de l'information. Grâce aux audits internes, ils savent si leur SMSI est efficace et
fonctionnel comme prévu et peuvent identifier les points faibles et les éventuelles opportunités d'amélioration.
Les audits internes servent également de mécanisme de feedback. Ainsi, grâce aux audits internes, la direction
de l'organisme et les parties intéressées ont davantage confiance dans la conformité du système de
management aux exigences de la norme ISO/IEC 27001.

88/124
ISO 19011, article 5.4.3 Détermination de l’étendue du programme d’audit (suite)
Les autres facteurs ayant une incidence sur l’étendue d’un programme d’audit peuvent comprendre:
a. l’objectif, le champ et la durée de chaque audit, ainsi que le nombre d’audits à réaliser, la méthode de
compte rendu et, le cas échéant, le suivi d’audit;
b. les normes de système de management ou d’autres critères applicables;
c. le nombre, l’importance, la complexité, la similitude et la localisation des activités à auditer;
d. les facteurs qui influent sur l’efficacité du système de management;
e. les critères d’audit applicables, tels que les dispositions planifiées en fonction des normes de système de
management pertinentes, des exigences légales et réglementaires et des autres exigences que l’organisme
s’est engagé à satisfaire;
f. les résultats des audits internes ou externes précédents et des revues de direction, le cas échéant;
g. les résultats de la revue du programme d’audit précédent;
h. la langue, le contexte culturel et social;
i. les préoccupations des parties intéressées, telles que les réclamations de clients, la non-conformité à des
exigences légales et réglementaires et à d’autres exigences que l’organisme s’est engagé à satisfaire, ou
des problèmes dans la chaîne d’approvisionnement;
j. les changements importants du contexte de l’audité ou de ses opérations, et des risques et opportunités
associés;
k. la disponibilité de technologies de l’information et de la communication à l’appui des activités d’audit,
notamment l’utilisation de méthodes d’audit à distance (voir A.16);
l. la survenue d’événements internes et externes, tels que des non-conformités de produits ou services, des
fuites d’information, des incidents en matière de santé et de sécurité, des actes criminels ou des incidents
d’ordre environnemental;
m. les risques et opportunités pour l’entreprise, y compris les actions pour y faire face.

89/124
Les objectifs de l’audit interne devraient être revus et approuvés par la direction de l’organisme. Dans le contexte
d’une certification du système de management, les objectifs de l’audit interne devraient au minimum couvrir
l’évaluation des activités liées au système de management. Toutefois, l'audit interne peut couvrir plusieurs autres
activités d'audit, telles que les activités financières, administratives, d'assurance qualité, etc. Les objectifs de
l'audit interne sont définis en fonction de la taille de l'organisme, de son secteur d'activité ainsi que de sa mission.
Les principales activités de l'audit interne sont les suivantes:
1. Évaluation des objectifs de sécurité de l'information: L'auditeur interne devrait évaluer si les objectifs
de sécurité de l'information de l'organisme sont bien alignés avec son plan d'activités et son orientation
stratégique.
2. Évaluation de la gouvernance du SMSI: L'auditeur interne devrait valider si la direction de l'organisme
soutient les activités liées au système de management et si les rôles et responsabilités des parties
intéressées sont clairement définis.
3. Évaluation du processus de gestion des risques: L'auditeur interne doit évaluer si l'organisme a mis en
œuvre et maintient une gestion continue des risques en ce qui concerne le SMSI. Contrairement à un
auditeur externe, un auditeur interne peut participer en tant que partie intéressée à l’identification et à
l’appréciation des risques auxquels est confronté son organisme.
4. Évaluation de l’efficacité et de l’efficience des processus ou mesures de sécurité: L'auditeur interne
devrait évaluer l'adéquation, l'efficacité et l'efficience des processus ou des mesures de sécurité de
l'information en vigueur afin de déterminer s'ils sont conformes aux exigences normatives, légales,
réglementaires et contractuelles, ainsi qu'aux politiques internes de l'organisme.
5. Évaluation de l'efficacité et de l'efficience de la gestion du cycle de vie du SMSI: L'auditeur interne
devrait évaluer l'efficacité et l'efficience des processus de gestion du cycle de vie et des mesures de
sécurité liées à la sécurité de l'information, y compris la planification, la préparation, la mise en œuvre, le
fonctionnement, le suivi, la revue, la mise à jour et l'amélioration du système de management.

90/124
6.Évaluation de la révision du mesurage du SMSI: L'auditeur interne devrait s'assurer que l'organisme
effectue périodiquement une revue du mesurage du système de management afin de valider si les objectifs
de l'organisme sont atteints.
7.Évaluation du processus d'amélioration continue: L'auditeur interne devrait s'assurer que l'organisme
met en œuvre des actions correctives et préventives pour traiter ses non-conformités et pour améliorer
l'efficacité et l'efficience du SMSI.
ordination entre audits interne et externe: L'auditeur interne devrait vérifier si l'audit interne et les activités
d'audit externe sont bien coordonnés. L'objectif de l'audit interne est de s'assurer que l'organisme effectue un
suivi adéquat des rapports d'audit externe et des plans d'action qu'il a établis et approuvés.

91/124
Afin de garantir que la mission de l'auditeur interne est menée à bien, les entités auditées doivent démontrer leur
disponibilité et leur collaboration. Dans ce but, les auditeurs ne devraient pas subir, de la part des entités
auditées, de limites à leurs interventions ou être sujets à des interférences.

92/124
L'auditeur interne est chargé de la planification et de la réalisation de la mission d'audit interne.

93/124
Dans les organismes qui emploient une équipe d’auditeurs internes à temps plein, il est souhaitable de mettre en
œuvre un programme d’audit interne continu.
Pour mettre en œuvre un tel programme, les conditions suivantes prévalent:
Processus automatisés qui génèrent rapidement des informations
Alarmes déclenchées par toute défaillance
Outils d'audit automatisés
Rapports automatisés
Adhésion aux lignes directrices importantes
Auditeurs de sécurité de l'information compétents

94/124
Une organisation qui met en œuvre un programme d’audit (interne ou externe) doit s’assurer de fournir les
ressources nécessaires à son fonctionnement:
1. Ressources financières nécessaires pour développer, mettre en œuvre, gérer et améliorer les activités
d’audit
2. Personnel compétent (auditeurs et experts techniques) pour réaliser les audits
3. Outils (ordinateurs, logiciels, etc.)
4. Politiques et procédures d’audit
5. Logistique (transport, hébergement et autres besoins relatifs à l’audit)
ISO19011, article5.4.4 Détermination des ressources du programme d’audit
Lors de la détermination des ressources nécessaires pour le programme d’audit, il convient que la ou les
personnes responsables du management du programme d’audit considèrent:
a. les ressources financières et le temps nécessaires pour développer, mettre en œuvre, manager et
améliorer les activités d’audit;
b. les méthodes d’audit;
c. la disponibilité individuelle et globale des auditeurs et des experts techniques possédant les compétences
appropriées pour les objectifs particuliers du programme d’audit;
d. l’étendue du programme d’audit et les risques et opportunités associés au programme d’audit;
e. les temps et les coûts de transport, l’hébergement et les autres besoins relatifs à l’audit;
f. l’impact des différents fuseaux horaires;
g. la disponibilité de technologies de l’information et de la communication (par exemple les ressources
techniques requises pour mettre en place un audit à distance à l’aide de technologies venant à l’appui
d’une collaboration à distance);
h. la disponibilité de tous les outils, technologies et équipements nécessaires;
i. la disponibilité des informations documentées nécessaires, telles que déterminées lors de l’établissement
du programme d’audit;
j. les exigences liées à l’installation, y compris les autorisations et équipements de sécurité requis (par
exemple vérification des antécédents, équipement de protection individuelle, aptitude à porter une tenue
pour salle blanche).

95/124
ISO19011, article5.5.7 Management et conservation des enregistrements du programme d’audit
Il convient que la ou les personnes responsables du management du programme d’audit s’assurent de la création,
de la gestion et de la conservation d’enregistrements de l’audit afin de démontrer la mise en œuvre dudit
programme. Il convient d’établir des processus pour s’assurer que les besoins éventuels en matière de sécurité
des informations et de confidentialité associés aux enregistrements d’audit sont satisfaits.
Les enregistrements peuvent comprendre ce qui suit:
a. les enregistrements relatifs au programme d’audit, tels que:
le calendrier des audits;
les objectifs et l’étendue du programme d’audit;
les enregistrements traitant des risques et opportunités du programme d’audit et des enjeux externes
et internes pertinents;
les revues de l’efficacité du programme d’audit;
b. les enregistrements relatifs à chaque audit, tels que:
les plans et les rapports d’audit;
les preuves objectives et les constatations d’audit;
les rapports de non-conformité;
les rapports relatifs aux corrections et actions correctives;
les rapports de suivi d’audit;
c. les enregistrements relatifs à l’équipe d’audit couvrant des sujets tels que:
l’évaluation de la compétence et des performances des membres de l’équipe d’audit;
les critères de sélection des équipes d’audit et des membres des équipes et la formation des équipes
d’audit;
le maintien et l’amélioration de la compétence.
Il convient que la forme et le niveau de détail des enregistrements démontrent la réalisation effective des objectifs
du programme d’audit.

96/124
Les enregistrements du programme d'audit peuvent être documentés sur papier, électroniquement ou sur
d'autres supports. Ces enregistrements comprennent les programmes d'audit, les analyses, les questionnaires,
les résumés des sujets importants, les lettres de confirmation, les listes de contrôle et la correspondance (y
compris les e-mails) concernant les problèmes importants.
Sauf indication contraire, les documents relatifs à l'audit sont la propriété du service d'audit. Il est du devoir de la
personne responsable du programme d'audit de protéger la confidentialité, l'intégrité et la disponibilité des
enregistrements du programme d'audit et de prendre les mesures appropriées à cet égard. Les périodes de
conservation obligatoires varient en fonction des différentes législations auxquelles l'organisme est soumis et de
ses politiques.

97/124
98/124
ISO 19011, article 5.6 Surveillance du programme d’audit (suite)
Certains facteurs peuvent déterminer la nécessité de modifier le programme d’audit. Ils peuvent comprendre les
changements:
des constatations d’audit;
du niveau démontré de l’efficacité et de la maturité du système de management de l’audité;
de l’efficacité du programme d’audit;
du champ de l’audit ou du programme d’audit;
apportés au système de management de l’audité;
apportées aux normes, ainsi qu’aux autres exigences que l’organisme s’est engagé à satisfaire;
de prestataires externes;
des conflits d’intérêt identifiés;
les modifications apportées aux exigences du client de l’audit.

99/124
ISO 19011, article 5.7 Revue et amélioration du programme d’audit
Il convient que la ou les personnes responsables du management du programme d’audit et le client de l’audit
passent en revue le programme d’audit pour évaluer si ses objectifs ont été satisfaits. Il convient d’utiliser les
leçons tirées de la revue du programme d’audit comme éléments d’entrée pour l’amélioration dudit programme.
Il convient que la ou les personnes responsables du management du programme d’audit assurent les activités
suivantes:
revue de la mise en œuvre globale du programme d’audit;
identification des domaines et opportunités d’amélioration;
modifications du programme d’audit, si nécessaire;
revue de la formation continue des auditeurs, conformément à 7.6;
compte rendu des résultats du programme d’audit et leur revue avec le client de l’audit et les parties
intéressées pertinentes, le cas échéant.
Il convient que la revue du programme d’audit tienne compte
a. des résultats de la surveillance du programme et des tendances qui s’en dégagent;
b. de la conformité aux processus du programme d’audit et aux informations documentées pertinentes;
c. de l’évolution des besoins et des attentes des parties intéressées pertinentes;
d. des enregistrements relatifs au programme d’audit;
e. des méthodes d’audit différentes ou nouvelles;
f. des méthodes différentes ou nouvelles d’évaluation des auditeurs;
g. de l’efficacité des actions mises en œuvre face aux risques et opportunités, et aux enjeux externes et
internes associés au programme d’audit;
h. des questions de confidentialité et de sécurité des informations associées au programme d’audit.

100/124
1. Un programme d'audit dépend de la taille et de la complexité de l'audité. Un organisme peut établir plus
qu’un programme d’audit.
2. Les audits peuvent être internes ou externes.
3. Les audits internes jouent un rôle consultatif au sein de l'organisme pour l'amélioration du SMSI en
examinant son efficacité et son efficience.
4. Les audits externes donnent des recommandations générales, mais leur rôle n'est pas consultatif. Un audit
externe est toujours prévu et il ne prend en compte que l'efficacité du SMSI.
5. La charte d'audit interne est un document qui définit les objectifs, les rôles et les responsabilités de la
fonction d'audit interne.
6. La charte de l'audit interne comprend une définition formelle de l'objet et des activités de l'audit interne, du
périmètre et de l’étendue de l'audit, ainsi que des responsabilités et des services à fournir par l'audit
interne.
7. Les auditeurs internes devraient avoir accès aux ressources et doivent être indépendants des processus
audités.

101/124
Cette section fournit des informations qui aideront les participants à acquérir des connaissances sur le
programme et le processus de certification de PECB.

102/124
103/124
La certification «Foundation» reconnaît que la personne comprend les concepts de base, les méthodes et
techniques permettant la gestion efficace d’un système de management.
Les principales certifications d’auditeur:
1. La certification « Certified Provisional Auditor » reconnaît que la personne possède les connaissances
de base en audit et peut intégrer une équipe d’audit en tant que membre.
2. La certification « Certified Auditor » reconnaît que la personne possède les connaissances nécessaires
pour participer à un audit et les compétences de base pour mener un audit de certification d’un système de
management, ayant déjà été membre d’une équipe d’audit.
3. La certification « Certified Lead Auditor » reconnaît que la personne maîtrise les techniques d’audit et
démontre les compétences en audit et en gestion d’une équipe d’audit.
4. La certification « Certified Senior Lead Auditor » s’adresse aux professionnels qui ont une vaste
expérience en audit.
Les principales certifications d’Implementer:
1. La certification « Certified Provisional Implementer »reconnaît que la personne possède les
connaissances de base pour participer à la mise en œuvre et à la gestion d’un système de management.
2. La certification « Certified Implementer »reconnaît que la personne possède les connaissances
nécessaires pour participer à la mise en œuvre et à la gestion d’un système de management.
3. La certification « Certified Lead Implementer »reconnaît que la personne maîtrise les connaissances
nécessaires pour mettre en œuvre un système de management et démontre des compétences en gestion
d’une équipe.
4. La certification « Certified Senior Lead Implementer » s’adresse aux professionnels qui ont une grande
expérience dans les projets de mise en œuvre.
La certification «Master» reconnaît que la personne maîtrise à la fois les concepts de base, les approches,
méthodes et techniques pour diriger une équipe d’audit ainsi que pour mener un projet de mise en œuvre d’un
système de management.

104/124
105/124
La réussite de l'examen n’est pas l’unique prérequis à l’obtention de la certification «Certified ISO/IEC
27001 Lead Auditor». Les fiches d'expérience professionnelle seront également prises en compte. Si les
candidats ont réussi l'examen mais n'ont pas le niveau d'expérience requis, ils ne pourront pas revendiquer la
certification « PECB Certified ISO/IEC 27001 Lead Auditor ».
Note importante: Les frais d’examen et de certification sont inclus avec la formation. Le candidat n’aura donc
pas à payer de frais supplémentaires lorsqu’il présente une demande de certification et qu’il reçoit l’une des
certifications professionnelles: PECB Certified ISO/IEC 27001 Provisional Auditor, PECB Certified ISO/IEC
27001 Auditor, PECB Certified ISO/IEC 27001 Lead Auditor, ou PECB Certified ISO/IEC 27001 Senior Lead
Auditor.

106/124
Après avoir assisté à la formation et soumis le Formulaire d’évaluation de la formation, un certificat de
présence sera généré dans votre tableau de bord monPECB, sous l’onglet Mes formations. Le certificat de
participation est valable pour 31 unités de FPC.

107/124
Le Comité d’examen de PECB doit s’assurer que l’élaboration et le caractère adéquat des questions d’examen
sont maintenus en fonction des pratiques professionnelles actuelles.
L’examen est disponible en plusieurs langues. Pour passer l’examen dans une langue particulière, veuillez
demander au formateur, ou nous contacter en envoyant un e-mail à examination@pecb.com.
Tous les domaines de compétence sont couverts par l’examen. Pour obtenir une description détaillée de chaque
domaine de compétence, veuillez consulter le site Web de PECB: www.pecb.com.

108/124
Les examens sont corrigés par des correcteurs qualifiés qui sont assignés de façon anonyme.
Afin de garantir l’indépendance, l’impartialité et pour éviter les conflits d’intérêts, les formateurs et les surveillants
ne participent pas au processus de correction des examens ni au processus de certification.
Si le candidat échoue à l’examen, une explication lui sera fournie sur les domaines dans lesquels il n’a pas
démontré les compétences requises. Pour reprendre l'examen, le candidat doit joindre le responsable de
l'organisme de formation.

109/124
Après avoir réussi l’examen, le candidat dispose d’un délai maximum de trois ans pour soumettre un dossier
professionnel afin d’obtenir une des certifications liées au programme de certification ISO/IEC27001. Un candidat
peut postuler pour plus d’une certification liée au programme de certification ISO/IEC27001 (p. ex. Lead Auditor,
Senior Lead Auditor, ou Master) en même temps, s’il répond à toutes les exigences.
Dans votre demande, vous devrez fournir les informations suivantes:
1. Vos coordonnées
Veuillez écrire votre nom tel que vous souhaitez qu’il apparaisse sur votre certificat (en format
ASCII). Avant de soumettre votre demande de certification, veuillez vous assurer de vérifier
l’exactitude des coordonnées que vous avez fournies lors de la création de votre compte PECB. Le
certificat sera délivré avec le nom que vous avez fourni lorsque vous avez créé le compte. Pour
mettre à jour votre nom dans votre compte PECB, veuillez nous contacter à l’adresse
customer@pecb.com.
2. Vos expériences professionnelles et d'audit
Vous devez fournir un CV pour présenter votre expérience. L’expérience professionnelle peut être
toute activité démontrant que vous possédez des compétences et des connaissances générales sur
le fonctionnement d’un organisme.
Pour l’expérience de projet, veuillez vous assurer d’indiquer le nombre d’heures effectuées.
Les diplômes d'études ou autres ne remplacent pas l'expérience professionnelle.
3. Au moins deux références
Les références (collègues, partenaires, superviseurs, etc.) fournies doivent confirmer votre
expérience. Il est important que les références (ces personnes) vous connaissent suffisamment
pour attester de vos qualifications.
Votre demande sera évaluée une fois que les références auront été soumises.

110/124
111/124
Vos références seront contactées pour remplir un court questionnaire visant à attester votre expérience et
évaluer vos qualités personnelles (selon les 13aptitudes de comportement professionnel définies par ISO19011).
Vous pouvez vérifier si vos références ont répondu sur votre compte de membre de PECB sous l’onglet Mes
certifications. Si leurs réponses tardent, vous devriez les relancer pour vous assurer qu’ils ont reçu la demande
de référence.
Dans le cas où PECB serait incapable de communiquer avec une de vos références ou qu’ils n’aient pas
répondu au questionnaire, il vous sera demandé de fournir d’autres références.

112/124
Lorsque le candidat est certifié, il reçoit un avis du système afin de télécharger le certificat à partir de son compte
PECB. Le certificat est valable trois ans. Au-delà de cette période, la certification sera renouvelée si le
demandeur remplit les conditions pour maintenir sa certification.

113/124
Afin de conserver un certificat, le candidat devrait démontrer suffisamment d’heures d’activités de formation
professionnelle continue liées au programme de certification. En fonction de la certification, ces activités
devraient couvrir l’audit, la mise en œuvre ou les activités de projets, l’autoformation, les formations, études,
séminaires, conférences, publications, etc.
Activités de formation professionnelle et maintien de la certification
PECB exige un minimum de 90heures d’activités par période de 3ans pour le maintien d’une certification
«Lead Auditor» ou «Lead Implementer», 60heures pour «Auditor» ou «Implementer», 180heures pour
«Senior Lead Auditor» ou «Senior Lead Implementer», 270heures pour la certification de «Master».
La soumission des activités de formation professionnelle continue devrait être réalisée annuellement, en
particulier 20heures par année pour le maintien d’une certification « Auditor » ou « Implementer »,
30heures pour le maintien d’une certification « Lead Auditor » ou « Lead Implementer », 60heures pour le
maintien de la certification «Senior Lead Auditor» ou «Senior Lead Implementer» et 90heures pour le
maintien de la certification « Master ».
Frais annuels de maintenance (FAM)
Un membre sera facturé pour les FAM selon la date d’échéance du certificat.
Le coût annuel des FAM est de:
200$ par certification pour le titre Master
100$ par certification pour tous les autres titres de compétence
Note importante: Aucune activité ni aucuns frais ne sont nécessaires pour maintenir les certifications suivantes:
«Foundation», «Provisional Implementer» et «Provisional Auditor».

114/124
115/124
Nous nous efforçons constamment d’améliorer la qualité et la pertinence pratique de nos formations. Dans cette
optique, votre opinion quant à la formation que vous venez de suivre a pour nous une grande valeur.
Nous vous serions très reconnaissants de bien vouloir donner votre appréciation de la formation et des
formateurs.
De plus, si vous avez des suggestions pour améliorer le support de formation de PECB, n’hésitez pas à nous en
faire part. Veuillez ouvrir un ticket à l’intention du Service de formation sur le site Web de PECB
(www.pecb.com) dans la section Contactez-nous. Nous lisons et évaluons attentivement les commentaires que
nous recevons de nos membres.
En cas d’insatisfaction à l’égard de la formation (formateur, salle de formation, équipement, etc.), de l’examen ou
des processus de certification, veuillez ouvrir un ticket dans la catégorie Déposer une plainte du site Web de
PECB (www.pecb.com), dans la section Contactez-nous.

116/124
Université PECB:
L'objectif de l’Université PECB est de fournir un enseignement supérieur de grande qualité et des services
complets qui inspirent l’amélioration continue, démontrent une reconnaissance et profitent à une organisation, à
une communauté, à un état et à la société dans son ensemble.
Note importante:
1. Afin de compléter l’un des programmes de MBA, les candidats doivent accumuler un total de 48crédits.
Les programmes sont composés de trois ensembles de cours, classés en trois catégories: cours de base,
cours de spécialisation et cours à option, ainsi que la thèse de MBA. Chaque cours des trois catégories
mentionnées ci-dessus vaut trois crédits, tandis que la thèse vaut 12crédits.
2. Chacun des programmes de certificat d'études supérieures vaut 12crédits. Les candidats devront suivre
quatre cours qui s'inscrivent dans les domaines respectifs. Si un candidat décide de poursuivre ses études
et d'obtenir un MBA, il peut suivre deux programmes de certificat d'études supérieures de son choix,
combinés au certificat d'études supérieures en administration des affaires, soumettre sa thèse et obtenir
son diplôme.
Les candidats qui détiennent un certificat valide de PECB et qui répondent aux exigences du programme
universitaire qui les intéresse peuvent transférer ces crédits pour obtenir des crédits valides pour le cours
correspondant de l'université. Pour de plus amples informations sur l'Université PECB ou le transfert des crédits
de certification, veuillez contacter university@pecb.com.

117/124
PECB Certified ISO/IEC 27005Risk Manager (3 jours)
Cette formation aide les participants à maîtriser les concepts fondamentaux de la gestion des risques liés à la
sécurité de l'information: planification d'un programme de gestion des risques, analyse, évaluation, traitement
des risques, communication des risques et surveillance. Par des lectures, des exercices basés sur des cas réels
et des discussions en classe, le participant sera en mesure de réaliser une évaluation optimale des risques et de
gérer les risques dans le temps par la connaissance de leur cycle de vie. Il est à noter que cette formation
s’inscrit parfaitement dans le cadre d’un processus de mise en œuvre de la norme ISO/IEC 27001.
PECB Certified ISO/IEC 27001 Lead Implementer (5 jours)
Cette formation intensive de cinq jours permet aux participants de développer les compétences nécessaires pour
soutenir un organisme dans la mise en œuvre et la gestion d'un système de management de la sécurité de
l'information (SMSI) basé sur la norme ISO/IEC 27001. En outre, les participants pourront acquérir des
compétences liées aux bonnes pratiques de mise en œuvre des mesures de sécurité de l'information dans les
11domaines d’ISO/IEC 27002.
Cette formation, axée sur la pratique, est conforme aux bonnes pratiques en matière de gestion de projet selon le
Project Management Institute (PMI) et l'International Project Management Association (IPMA,) ainsi qu'à la
norme ISO 10006 (Lignes directrices pour la gestion de la qualité dans les projets). Elle est entièrement
compatible avec la norme ISO/IEC 27003 (Lignes directrices pour la mise en œuvre des systèmes de
management de la sécurité de l'information).

118/124
119/124
Résumé du jour 4
Les sujets suivants ont été abordés lors du jour 4 de cette formation:
Rédaction des rapports de constatations d’audit et de non-conformité
Constatations d'audit et leurs types
Rédaction des rapports de constatations d’audit et de non-conformité
Documentation d’audit et revue de la qualité
Documentation de la revue qualité
Enregistrements d’audit
Clôture de l’audit
Détermination et validation des conclusions d'audit
Préparation et diffusion du rapport d’audit
Suivi d’audit
Décision de certification
Évaluation des plans d’action par l’auditeur
Activités de surveillance
Audit de recertification
Utilisation des marques de certification
Gestion d’un programme d’audit interne
Rôle de la fonction d'audit interne
Principaux services et activités d'audit interne
Ressources et enregistrements du programme d'audit
Suivi des non-conformités
Suivi, évaluation, révision et amélioration d'un programme d'audit

120/124
121/124
122/124
123/124
124/124

LA27001 FR Day4

Transféré par

Informations du document

Titre original

Copyright

Formats disponibles

Partager ce document

Partager ou intégrer le document

Options de partage

Avez-vous trouvé ce document utile ?

Ce contenu est-il inapproprié ?

Droits d'auteur :

Formats disponibles

LA27001 FR Day4

Transféré par

Droits d'auteur :

Formats disponibles

© PECB, 2020. Tous droits réservés.

Licensed to CYBERBST Conseil & Formation SARL ()

Licensed to CYBERBST Conseil & Formation SARL ()

Licensed to CYBERBST Conseil & Formation SARL ()

Licensed to CYBERBST Conseil & Formation SARL ()

Licensed to CYBERBST Conseil & Formation SARL ()

Licensed to CYBERBST Conseil & Formation SARL ()

Licensed to CYBERBST Conseil & Formation SARL ()

Licensed to CYBERBST Conseil & Formation SARL ()

Licensed to CYBERBST Conseil & Formation SARL ()

Licensed to CYBERBST Conseil & Formation SARL ()

Licensed to CYBERBST Conseil & Formation SARL ()

Licensed to CYBERBST Conseil & Formation SARL ()

Licensed to CYBERBST Conseil & Formation SARL ()

Licensed to CYBERBST Conseil & Formation SARL ()

Licensed to CYBERBST Conseil & Formation SARL ()

Licensed to CYBERBST Conseil & Formation SARL ()

Licensed to CYBERBST Conseil & Formation SARL ()

Licensed to CYBERBST Conseil & Formation SARL ()

Licensed to CYBERBST Conseil & Formation SARL ()

Licensed to CYBERBST Conseil & Formation SARL ()

Licensed to CYBERBST Conseil & Formation SARL ()

Licensed to CYBERBST Conseil & Formation SARL ()

Licensed to CYBERBST Conseil & Formation SARL ()

Licensed to CYBERBST Conseil & Formation SARL ()

Licensed to CYBERBST Conseil & Formation SARL ()

Licensed to CYBERBST Conseil & Formation SARL ()

Licensed to CYBERBST Conseil & Formation SARL ()

Licensed to CYBERBST Conseil & Formation SARL ()

Licensed to CYBERBST Conseil & Formation SARL ()

Licensed to CYBERBST Conseil & Formation SARL ()

Licensed to CYBERBST Conseil & Formation SARL ()

Licensed to CYBERBST Conseil & Formation SARL ()

Durée de l’exercice : 30 minutes

Licensed to CYBERBST Conseil & Formation SARL ()

Licensed to CYBERBST Conseil & Formation SARL ()

Licensed to CYBERBST Conseil & Formation SARL ()

Licensed to CYBERBST Conseil & Formation SARL ()

Licensed to CYBERBST Conseil & Formation SARL ()

Durée de l’exercice : 30 minutes

Licensed to CYBERBST Conseil & Formation SARL ()

Licensed to CYBERBST Conseil & Formation SARL ()

Licensed to CYBERBST Conseil & Formation SARL ()

Licensed to CYBERBST Conseil & Formation SARL ()

Licensed to CYBERBST Conseil & Formation SARL ()

Licensed to CYBERBST Conseil & Formation SARL ()

Licensed to CYBERBST Conseil & Formation SARL ()

Licensed to CYBERBST Conseil & Formation SARL ()

Licensed to CYBERBST Conseil & Formation SARL ()

Licensed to CYBERBST Conseil & Formation SARL ()

Licensed to CYBERBST Conseil & Formation SARL ()

Licensed to CYBERBST Conseil & Formation SARL ()

Licensed to CYBERBST Conseil & Formation SARL ()

Licensed to CYBERBST Conseil & Formation SARL ()

Licensed to CYBERBST Conseil & Formation SARL ()

Licensed to CYBERBST Conseil & Formation SARL ()

Licensed to CYBERBST Conseil & Formation SARL ()

Licensed to CYBERBST Conseil & Formation SARL ()

Licensed to CYBERBST Conseil & Formation SARL ()

Licensed to CYBERBST Conseil & Formation SARL ()

Licensed to CYBERBST Conseil & Formation SARL ()

Licensed to CYBERBST Conseil & Formation SARL ()

Licensed to CYBERBST Conseil & Formation SARL ()