ISO 19011

Les différents types

d’audits
et
La Terminologie d’audit

ISMS Auditor/Lead Auditor Course - TÜV

1 |
Rheinland Group

Définition de l‘audit

Un audit est un processus de vérification systématique,

indépendant et documenté permettant d’obtenir et
d’évaluer, d’une manière objective, des preuves afin de
déterminer si le SMSST d’un organisme est en
conformité avec les critères de l’audit définis par
l’organisme.

(Source: ISO 19001)

ISMS Auditor/Lead Auditor Course - TÜV

2 |
Rheinland Group

1
Types d‘audits

ISMS Auditor/Lead Auditor Course - TÜV

3 |
Rheinland Group

AUDITS INTERNE et EXTERNE

L’audit du SMSI peut être effectué :

 Par l’entreprise sur son propre Audit de

système première Partie

Audit
Seconde Partie
 Par un organisme externe
Audit tierce partie

ISMS Auditor/Lead Auditor Course - TÜV

4 |
Rheinland Group

2
 AUDITS DE PREMIERE PARTIE
L’entreprise audite ses propres systèmes
Entreprise

Audit interne

Les auditeurs doivent être indépendants

des activités à auditer
Audit Interne
ISMS Auditor/Lead Auditor Course - TÜV
5 |
Rheinland Group

AUDIT DE SECONDE PARTIE

CLIENT

Le client audite L’audit a

l’organisme généralement
une finalité
ORGANISME commerciale

L’organisme
audite le
fournisseur
FOURNISSEUR

ISMS Auditor/Lead Auditor Course - TÜV

6 |
Rheinland Group

3
 AUDIT TRIECE PARTIE

CLIENT

TIERCE PARTIE

ORGANISME
Un organisme
indépendant certifie
l’entreprise

FOURNISSEUR

ISMS Auditor/Lead Auditor Course - TÜV

7 |
Rheinland Group

Audit tierce partie

• Audit combinés: Il est tout à fait possible d’audité et de certifier deux

système de management en même temps. Par exemple un audit de
la sécurité de l’information selon la norme ISO/IEC 27001:2005 et un
audit du management de la qualité selon la norme ISO 9001. ce type
d’audit s’appelle audit de certification combiné.
• Audit conjoint: ceci s’applique quand deux auditeurs produise le
même rapport d’audit mais qu’ils audits séparément des aspects
différent ou qu’un auditeur vérifie le travail du premier. Ce type d’audit
est réalisé afin d’éviter une certaine convivance des auditeurs.
• Audit intégré: au état unis, une liste publique d’entreprise doit être
audité par le Public Company Accounting Oversight Board (PCAOB),
l’efficacité des audits internes de ces entreprises est évalué de
manière indépendante à travers un audit financiers.

ISMS Auditor/Lead Auditor Course - TÜV

8 |
Rheinland Group

4
 LES TYPES D'AUDITS (I)

Audits de système:

• Les audits système sont censés permettre à l'auditeur

d'évaluer la conformité du SMSST par rapport aux
exigences de la norme et aux règles internes et la
réglementation appropriées de l'organisation.
• Pour un audit système, il est important que toute la
documentation soit incluse dans le processus d'audit afin
d'évaluer la conformité du système par rapport aux besoins
de l'organisation.

9 |

 LES TYPES D'AUDITS (II)

Audits de processus

• L'audit processus est utilisé pour évaluer la conformité de ces

processus qui sont reliés aux aspects de SI identifiés.
• En cas d'anomalie entre les démarches réelles et les exigences du
SMSI, il doit être vérifié si les exigences ne sont pas appropriées
ou si simplement l'exécution a échoué.
• Les audits de processus s'assurent que les cibles en matière de SI
sont réalisées et si les différents aspects de SI et les vulnérabilité
potentiels sont connus.

10 |

5
 LES TYPES D'AUDITS (III)

Audits d’évaluation des risques de la sécurité de l’information

• L'audit est censé aider à évaluer si les risques ont été déterminé
conformément à des critères rationnels et que les éléments de
sortie sont en concordance avec la nature et la grandeur de
l’entreprise.

• Le but est d‘identifier les parties du SMSI qui ont un lien direct
avec les impacts sur la sécurité de l’information

• Pour se préparer à un audit SMSI, il est indispensable de

consulter tous les documents qui sont nécessaires pour s’assurer
des caractéristiques du processus de fabrication.

11 |

 TYPES D'AUDITS (IV)

Audits fournisseur

• Les audits fournisseur sont utilisés pour évaluer les impacts

sur la SI en fonction des mesures de contrôle entreprise
afin d’en réduire les conséquences.

12 |

6
Différences entre pré-audit and audit de certification

Type d‘audit Objectif de l’audit Documents principaux

Processus
définis? • Description de processus
Pre-Audit
(Disponibilité, • Process instructions
Exhaustivité)
Process
• enregistrement
Mis en œuvre de
Certification Audit • résultat des Processus
manière efficace?
• Preuves tangible
(vue générale)

ISMS Auditor/Lead Auditor Course - TÜV

13 |
Rheinland Group

Conséquences par rapport au processus de certification

• Pré-audits permettent d‘évaluer de quelle manière les processus

nécessaires sont identifiés et définis.
• L‘audit de certification permet d‘évaluer de quelle manière les
processus sont mis en œuvre.
• L‘audit de certification permet de vérifier la conformité.
• Un processus définis de manière claire ne veut pas dire
automatiquement une processus maîtrisé de manière efficace.
• La réalisation concrète des activités doit donc être vérifiée sur le lieu
de l‘exécution avec les personnes impliqués dans l‘activité auditée.

ISMS Auditor/Lead Auditor Course - TÜV

14 |
Rheinland Group

7
LE CHAMP DE L’AUDIT

Le champ de l’audit définit le domaine d’application et les

limites de l'audit.
Le domaine de l'audit peut être :
 La réglementation de SMSI à auditer
 Équipements à auditer
 Norme de SI à auditer
 Éléments de l’ISO/IEC 27001:2005 à auditer
 Processus ou fonctions à auditer

15 |

PLANIFICATION DE L'AUDIT

 Définie des spécifications de : qui, quoi, où, quand, et comment

 Identifie les auditeurs

 Fixe quand l'audit se produira

 Précise quels formats, listes de contrôle, etc. seront employés

 Établit des agendas spécifiques

 Doit s’aligner avec la procédure d’audit du site

16 |

8
 CRITÈRES D'AUDIT

Les politiques, les pratiques, procédures ou bien les exigences par

rapport auxquelles l'auditeur établit les constats, constituent les
preuves de l’audit.
Par exemple :

 Politique de l’organisme
 Nature, échelle, impacts des activités, produits et services,
 Normes de SI
 Fonctionnement réel, performances des processus
 …

17 |

 OBJECTIF DE L'AUDIT

 L'objectif de l'audit est la raison pour laquelle l'audit est conduit

(typiquement défini par le client)
 Typiquement, l'objectif principal est de vérifier la conformité à la
norme et/ou
 La conformité aux exigences légales et/ou
 Évaluer les performances en matière de S déclenchées par la mise
en œuvre du SMSI

18 |

9
LA PREUVE D'AUDIT

Les informations vérifiables, les enregistrements ou rapports de

fait, à obtenir par exemple par :
 l’étude de la documentation de la compagnie
 l’interview de la Direction et du personnel
 les visites d'usine (et sites)
 la vérification des informations fournies
 …

19 |

RÉSULTATS DE L'AUDIT

Les résultats de l'évaluation des preuves d’audit collectées sont

comparés aux critères d'audit convenus.

20 |

10
 CONCLUSION DE L'AUDIT

Le jugement professionnel ou l'opinion exprimé par un auditeur au sujet des

questions de l'audit, basés sur le raisonnement de l'auditeur et limités à celui-ci,
sont exprimés au niveau des résultats de l'audit.

21 |

Audit de certification – Audit initial

• Audit Phase 1
• L’organisme de certification devrait obtenir la documentation
nécessaire pour la planification du système tel que décrite au
niveau du chapitre 4.3.1 de l’ISO/IEC 27001:2005, l’audit phase 1
comprend la revue de cette documentation et une visite sur site.
• Objectif: La planification de la phase 2 en fonction des information
reçue lors de la phase 1, donc de la politique de sécurité, les
objectifs fixés par l’entreprise, mais également de vérifier si
l’entreprise est prête pour la phase 2.
• Les résultat documenté de la phase 1 seront revu par le comité de
certification avant de procéder à l’audit phase 2
• L’entreprise audité devra être informé si d’autre document ou
enregistrement sont nécessaire pour la réalisation de la phase 2.

ISMS Auditor/Lead Auditor Course - TÜV

22 |
Rheinland Group

11
 Audit de certification – Audit Initial
• Audit phase 2
• L’Audit phase 2 est réalisée sur site, sur la base des éléments
vérifiés et informations collectées en phase 1. Un plan d’audit a déjà
été établi à la suite de la phase 1.
• Objectif: La confirmation que le client applique ses propres politique
de sécurité, ligne directrices et procédure, tout comme la
confirmation que l’organisation est conforme aux exigences de la
norme ISO/IEC 27001:2005
• L’audit est focalisé sur :
• L’analyse des risque de l’entreprise audité.
• Les documents exigé par le chapitre 4.3.1 de ISO/IEC
27001:2005
• Les objectifs et mesures selectionnés par l’entreprise (DdA)
ISMS Auditor/Lead Auditor Course - TÜV
23 |
Rheinland Group

Audit de certification – Audit initial

• Audit phase 2
• Cet audit se focalise sur :
• La revue de l’efficacité du SMSI, la surveillance de
l’application des procédure.
• Les résultats des audits internes et revue de direction
• La responsabilité pour l’application des politiques de
sécurité.
• L’implémentation des mesures
• Et d’autre éléments pertinents…

ISMS Auditor/Lead Auditor Course - TÜV

24 |
Rheinland Group

12