Académique Documents
Professionnel Documents
Culture Documents
Kanzari
Noureddine
2022
2
Agenda
1 Principe d’audit
3
4
Contenu d'ISO 19011:2018 5
1. Domaine d’application
2. Références normatives
3. Termes et définitions
4. Principes de l’audit
5. Management d’un programme d’audit
6. Réalisation d’un audit
7. Compétence et évaluation des auditeurs
Contenu d'ISO/IEC 27006:2015 6
1. Domaine d’application
2. Références normatives
3. Termes et définitions
4. Principes
5. Exigences générales
6. Exigences structurelles
7. Exigences relatives aux ressources
8. Exigences relatives aux informations
9. Exigences relatives aux processus
10. Exigences relatives au système de management des organismes de certification
7
Les audits de première partie (audits internes) 8
- est une activité indépendante et objective qui donne à un organisme une assurance
du degré de maîtrise de ses opérations, donne des recommandations pour les
améliorer et contribue à créer une valeur ajoutée.
- Les audits internes sont réalisés par, ou pour le compte de, l’organisme lui-même,
pour les revues de direction et les autres besoins internes.
Les audits de seconde et tierce parties (audits externes) 9
- La principale différence entre les deux réside dans la certification. D'une part, les
audits de seconde partie sont menés par des parties qui ont un intérêt dans l'entité
auditée (par exemple, les clients) et ne sont pas destinés à des fins de certification.
D'autre part, les audits de tierce partie sont menés par des organismes d'audit
externes et indépendants (p. ex. des organismes de certification, des agences
gouvernementales) et l'objectif est d'obtenir une certification.
Note importante : L’audit de tierce partie est réalisé par des auditeurs externes
indépendants de l’audité
10
11
12
13
- Il convient que les auditeurs possèdent des connaissances et des aptitudes dans les
domaines suivants:
a) Principes, processus et méthodes d’audit:
° comprendre les types de risques
° planifier et organiser le travail de manière efficace
° réaliser l’audit dans le temps imparti
° définir les priorités et se concentrer sur les sujets importants
° communiquer efficacement, oralement et par écrit
° recueillir les informations par des entretiens efficaces, en écoutant, en observant
et en passant en revue des informations documentées
14
° techniques d’échantillonnage
° tenir compte des avis des experts techniques
° auditer un processus du début à la fin
° vérifier la pertinence et l’exactitude des informations recueillies
° confirmer le caractère suffisant et adéquat des preuves d’audit pour étayer les
constatations
° documenter les activités d’audit et les constatations
° préserver la confidentialité et la sécurité des informations
15
° planifier l’audit et attribuer les tâches d’audit selon la compétence spécifique de chaque
membre
° établir et maintenir une relation de travail en collaboration entre les membres de l’équipe
d’audit
° utiliser efficacement les ressources au cours de l’audit
° assurer la protection de la santé et de la sécurité des membres de l’équipe d’audit pendant
l’audit
° diriger les membres de l’équipe d’audit
° prévenir et résoudre les conflits pouvant survenir pendant l’audit
° amener l’équipe d’audit à élaborer les conclusions d’audit
° préparer et établir le rapport d’audit
20
21
° Les données structurées ont un modèle de données défini et sont basées sur une base de
données
° Les données non structurées n'ont pas de modèle de données prédéfini
24
25
26
27
28
Agenda
° Les preuves d'audit sont toutes les informations utilisées par les auditeurs pour déterminer
si l'audité répond aux critères d'audit
° Les preuves d'audit sont par exemple une politique de sécurité de l'information, une liste
d'actifs et de leurs propriétaires, un rapport d'audit interne
31
° Les preuves qualitatives: sont des preuves qui proviennent de l'analyse d'informations non
quantifiables. Il s'agit d'évaluer si une mesure est conforme aux critères d'audit
° Les preuves quantitatives: sont des preuves qui proviennent de l'analyse d'un échantillon
(L'analyse d'un échantillon de 5 des 25 rapports de suivi des non-conformités rédigés par
l'organisme audité au cours de l'année écoulée servira de preuve) ce qui permettra aux
auditeurs de déterminer si l'organisme se conforme au processus de suivi qui vise à traiter les
non-conformités en conséquence et à assurer un SMSI efficace
32
33
34
- l'audité peut demander le remplacement d'un membre de l'équipe d'audit pour des raisons
valables
- Un motif évident serait qu’un auditeur ait précédemment fait preuve d’une conduite non
professionnelle
- situations de conflit d'intérêts réel (un auditeur a déjà travaillé pour l'audité)
- un audité peut demander que chaque membre de l’équipe d’audit possède une habilitation
de sécurité ou qu’il soit soumis à une vérification de ses antécédents avant d’être admis
sur le site
35
36
L'auditeur doit au moins documenter les observations qui pourraient entraîner des non-conformités lors de
l'audit sur site.
Dans les cas où des non-conformités majeures sont détectées au cours de l'audit documentaire, l'audité
devrait apporter les modifications nécessaires à la documentation du système de management et soumettre
la documentation corrigée à l'équipe d'audit avant de procéder à l'étape 2 de l'audit