Une nouvelle génération de lignes directrices pour l’audit des systèmes de management dont la version finale est attendue pour 2026.
Publié pour la première fois en 2002, puis révisé en 2011 et 2018, l’ISO 19011 s’est imposé comme le référentiel international de référence pour la conduite des audits de systèmes de management, qu’il s’agisse d’audits internes, d’audits de seconde partie (fournisseurs) ou d’audits de tierce partie dans un contexte de certification.
En 2025, l’Organisation internationale de normalisation (ISO) engage une nouvelle étape avec la publication du DIS ISO 19011:2025 (Draft International Standard), dont la version finale est attendue début 2026.
Cette révision ne remet pas en cause les fondements méthodologiques de la norme, mais procède à une actualisation en profondeur de son contenu, afin de l’aligner sur les évolutions technologiques, organisationnelles et réglementaires des dernières années.
L’ambition affichée est claire : rendre les recommandations plus lisibles, plus cohérentes et mieux adaptées aux pratiques d’audit contemporaines, marquées par la transformation numérique, le pilotage par les risques, l’intégration des chaînes d’approvisionnement et le recours croissant aux audits à distance.
UNE EVOLUTION DAVANTAGE LINGUISTIQUE QUE STRUCTURELLE
Dans son architecture globale, l’ISO/DIS 19011:2025 demeure fidèle à la philosophie historique de la norme. Les principes de l’audit, la structure du document et l’approche processus restent inchangés.
L’évolution est en revanche notable sur le plan rédactionnel et terminologique. Les « lignes directrices » deviennent des « recommandations », traduisant une volonté de clarification sans alourdir le caractère volontaire du texte. Plusieurs définitions sont reformulées afin d’améliorer leur précision, et le vocabulaire est harmonisé avec celui des normes ISO de dernière génération.
Cette modernisation linguistique s’inscrit dans une démarche d’alignement au sein de la famille ISO, tout en conservant l’approche pragmatique et opérationnelle qui fait la spécificité de l’ISO 19011.
NOUVELLES DEFINITIONS ET AJUSTEMENTS CONCEPTUELS CLES
Introduction officielle de la méthode d’audit à distance
La norme introduit une définition explicite de la méthode d’audit à distance, définie comme une méthode permettant de mener des activités d’audit depuis un lieu autre que le site de l’audité.
Cette reconnaissance normative consacre les audits à distance comme une méthode d’audit à part entière, applicable tant à des sites physiques qu’à des environnements virtuels.
Il s’agit d’une évolution majeure, pleinement en phase avec les pratiques post-pandémiques et la digitalisation croissante des systèmes de management.
Renforcement du principe d’indépendance et d’objectivité
La formulation du principe d’indépendance est précisée afin de couvrir toutes les situations organisationnelles. Lorsque l’indépendance totale n’est pas possible, notamment dans les petites structures ou dans le cadre d’audits internes, la norme insiste désormais sur l’obligation d’agir sans parti pris ni conflit d’intérêts.
Cette évolution marque un déplacement du critère purement organisationnel vers une exigence comportementale et éthique, fondée sur l’intégrité et l’objectivité de l’auditeur.
Management du programme d’audit : une approche plus stratégique et contextuelle
La norme recommande désormais explicitement que le programme d’audit soit adapté à la taille et à la complexité de l’organisme, sans se limiter aux seules petites structures.
De nouveaux facteurs contextuels sont intégrés, parmi lesquels les enjeux internes et externes, la prise en compte du changement climatique, les besoins et attentes des parties intéressées, ainsi que l’utilisation d’outils technologiques et numériques.
Le programme d’audit n’est plus perçu comme un simple outil de planification, mais comme un levier stratégique, directement connecté à la compréhension du contexte global de l’organisation.
Les objectifs d’audit prennent désormais en compte les audits multi-systèmes ainsi que les organismes de la chaîne d’approvisionnement, nouvelle terminologie qui remplace celle de « prestataires externes » et reflète une vision plus systémique des relations fournisseurs.
Par ailleurs, la norme explicite davantage les risques opérationnels liés au programme d’audit, notamment ceux associés à la disponibilité des ressources, à la compétence des auditeurs, à l’impartialité ou à l’insuffisance des preuves collectées.
COMMUNICATION, PLANIFICATION ET REPORTING : VERS UNE PLUS GRANDE MATURITE OPERATIONNELLE
La prise de contact intègre désormais une exigence temporelle explicite, soulignant l’importance d’une planification anticipée. Cette précision renforce la robustesse des audits en sécurisant les phases préparatoires.
La planification évolue autour de deux axes structurants : la reconnaissance des audits conjoints, qui nécessitent une coordination renforcée et un échantillonnage harmonisé, et la distinction claire entre actions de traitement des risques et actions visant à saisir les opportunités.
Les exigences relatives à la communication sont élargies. La collecte de preuves par échantillonnage est formalisée dès la réunion d’ouverture, et la diffusion des informations clés concerne désormais explicitement le client de l’audit et le responsable du programme. La norme exige également que les critères de classification des non-conformités soient définis, afin de garantir l’objectivité des décisions.
En matière de rapport d’audit, la possibilité d’utiliser des formats spécifiques est introduite.
COMPETENCE DES AUDITEURS : UNE EXIGENCE ELARGIE ET PROFESSIONNALISEE
La détermination de la compétence intègre désormais l’utilisation de technologies émergentes, y compris les outils numériques avancés et, le cas échéant, l’intelligence artificielle.
Deux nouvelles aptitudes clés sont mises en avant : la compréhension des technologies émergentes et la capacité à atteindre les objectifs d’audit indépendamment de la méthode utilisée, qu’elle soit sur site, à distance ou hybride.
Le maintien de la compétence est renforcé par l’exigence de formations reconnues et par la justification d’une expérience régulière, consolidant ainsi une logique de compétence continue, démontrée et traçable.
ANNEXES INFORMATIVES : UN APPROFONDISSEMENT METHODOLOGIQUE ET REGLEMENTAIRE
Les annexes connaissent un enrichissement significatif. L’échantillonnage fondé sur le jugement doit désormais être justifié par une approche s’appuyant sur la théorie statistique et l’analyse des risques.
La norme clarifie explicitement que les exigences légales et réglementaires peuvent constituer des critères d’audit.
L’audit de la chaîne d’approvisionnement est considérablement développé, avec une approche approfondie des audits de seconde partie incluant les aspects contractuels, éthiques, qualitatifs et la surveillance à long terme des fournisseurs.
Enfin, la section consacrée aux méthodes d’audit à distance est entièrement repensée et alignée sur l’ISO/IEC TS 17012:2024, consacrant une approche méthodologique intégrée, fondée sur la coresponsabilité auditeur–audité, la gestion des risques et la maîtrise des enjeux technologiques.
A.16 — Utilisation de méthodes d’audit à distance : un cadre normatif désormais structuré et reconnu
La section A.16 du projet ISO/DIS 19011:2025 marque une évolution déterminante dans la reconnaissance et l’encadrement des méthodes d’audit à distance. Alors que l’édition 2018 abordait essentiellement l’« audit virtuel » comme une modalité ponctuelle et circonstancielle, la version 2025 consacre une approche méthodologique complète, pleinement intégrée au processus d’audit des systèmes de management.
De l’audit virtuel aux méthodes d’audit à distance
Le changement terminologique opéré par la norme est révélateur d’une évolution conceptuelle profonde. La notion d’« audit virtuel », centrée sur l’utilisation d’outils numériques, est remplacée par celle de méthodes d’audit à distance, définies comme toute méthode permettant de réaliser des activités d’audit depuis un lieu autre que le site de l’audité.
Cette approche englobe désormais l’ensemble des situations dans lesquelles l’auditeur n’est pas physiquement présent, qu’il s’agisse de sites géographiquement distants, d’organisations multi-sites ou d’environnements numériques et virtuels.
Responsabilité conjointe et gouvernance de l’audit à distance
L’une des avancées majeures de la section A.16 réside dans l’introduction explicite d’une responsabilité conjointe entre l’audité et l’équipe d’audit. La norme établit clairement que la réussite d’un audit à distance repose sur une coopération équilibrée :
- l’audité doit garantir la disponibilité des ressources nécessaires (infrastructures numériques, accès aux documents, disponibilité des interlocuteurs, connexions sécurisées),
- l’auditeur demeure responsable de la validité, de la traçabilité, de l’impartialité et de la confidentialité des preuves collectées.
Cette coresponsabilité contribue à renforcer la transparence du processus d’audit et à limiter les litiges relatifs à la qualité, à la recevabilité ou à l’exploitabilité des résultats.
Encadrement technique et logistique des audits à distance
La norme formalise désormais les exigences relatives à la préparation et à la sécurisation des audits à distance. Les protocoles d’accès, les tests techniques préalables, la gestion de la confidentialité, les autorisations de capture d’informations et les plans de contingence en cas d’incident technique sont explicitement intégrés au processus d’audit.
Ces éléments, déjà présents de manière implicite dans les pratiques professionnelles, deviennent des composantes normatives à part entière, directement rattachées à la gestion des risques du programme d’audit. La section A.16 s’inscrit ainsi pleinement dans la logique de la clause 5.3 de l’ISO 19011 relative à l’évaluation des risques et opportunités.
Évolution des exigences de compétence des auditeurs
La version 2025 élargit significativement le périmètre de compétence attendu des auditeurs. Il ne s’agit plus seulement de savoir utiliser des outils de communication à distance, mais de maîtriser un ensemble de technologies adaptées à l’audit, incluant les plateformes collaboratives, les systèmes de gestion documentaire, les dispositifs de sécurité de l’information et les mécanismes de validation des preuves numériques.
Par ailleurs, la norme introduit une exigence de compétence méthodologique spécifique aux audits à distance. L’auditeur doit être capable de conduire un audit efficace, impartial et fiable, en maintenant un niveau de performance équivalent à celui d’un audit sur site, malgré les contraintes liées à l’absence de présence physique.
Intégration explicite des risques et opportunités
Pour la première fois, l’ISO 19011 reconnaît explicitement que l’utilisation de méthodes d’audit à distance génère des risques et opportunités spécifiques. Les risques liés à la perte de données, à la confidentialité, à l’observation indirecte des activités ou aux biais de communication doivent être identifiés, analysés et maîtrisés.
À l’inverse, la norme reconnaît également les opportunités offertes par ces méthodes, telles que la réduction des coûts, l’optimisation des délais, la mobilisation facilitée d’experts distants et l’élargissement du périmètre géographique des audits.
Cette approche équilibrée traduit une maturité accrue de la norme et renforce l’intégration des audits à distance dans le management global des audits.
Articulation avec l’ISO/IEC TS 17012
La référence explicite à l’ISO/IEC TS 17012:2024 constitue un point structurant de la section A.16. L’ISO 19011 conserve son rôle de cadre général de management des audits, tandis que la TS 17012 apporte des lignes directrices techniques détaillées relatives à la faisabilité, à la sécurité, à la confidentialité et à la continuité des audits à distance.
Cette articulation renforce la cohérence inter-normes et offre aux organisations et aux auditeurs un socle normatif clair et reconnu pour la mise en œuvre opérationnelle des méthodes d’audit à distance.
Portée et implications pratiques
En consacrant les méthodes d’audit à distance comme des pratiques normalisées, structurées et équivalentes aux audits sur site, la section A.16 du projet ISO/DIS 19011:2025 fait entrer définitivement l’audit dans l’ère numérique.
Elle fournit un cadre robuste pour sécuriser les pratiques existantes, professionnaliser les compétences et renforcer la confiance dans les résultats d’audit, quel que soit le mode de réalisation.
Cette évolution est particulièrement stratégique pour les secteurs fortement réglementés, tels que les dispositifs médicaux, où la traçabilité, la conformité réglementaire et la maîtrise des risques constituent des exigences critiques.
ENJEUX SPECIFIQUES POUR LE SECTEUR DES DISPOSITIFS MEDICAUX
Dans le cadre des réglementations MDR, IVDR et de l’ISO 13485, cette révision revêt une importance stratégique. Elle légitime pleinement les audits à distance et hybrides utilisés par les organismes notifiés, les fabricants et les fournisseurs critiques, tout en offrant un cadre normatif robuste pour la collecte électronique des preuves, la traçabilité, la cybersécurité et la protection des données.
Elle facilite également la conduite d’audits multi-sites et internationaux, désormais incontournables dans des chaînes d’approvisionnement mondialisées et fortement réglementées.
CONCLUSION — UNE EVOLUTION MAITRISEE VERS L’AUDIT INTELLIGENT
Le projet ISO/DIS 19011:2025 ne révolutionne pas l’audit, mais l’inscrit résolument dans la modernité.
En renforçant la clarté rédactionnelle, en intégrant pleinement les audits numériques et à distance, en valorisant la compétence technologique et l’impartialité des auditeurs, et en tenant compte des enjeux globaux et environnementaux, cette révision propose un cadre de référence plus agile et plus robuste.
L’audit n’est plus seulement un outil de conformité ; il devient un levier stratégique de confiance, de transparence et de performance durable, au service des organisations évoluant dans des environnements réglementaires de plus en plus complexes.
