Duquesne Group Duquesne Group

English version
Blog des experts

Les avis et les commentaires exprimés dans les blogs sont ceux des experts individuels. Ils ne représentent pas nécessairement l'opinion du cabinet. Contactez-nous pour en savoir +
French version
Blogs

In these blogs, individual experts freely express their own opinions and comments. They do not necessarily reflect the opinion of the firm. Contact us to find out more


Trois types d'audits à bien distinguer


"Je voudrais auditer mon client" ou "pouvez-vous certifier ce que vous avez fait ?" voire encore "faites-moi un audit à blanc" : autant de questions récentes où j'ai dû apporter des précisions.

La discipline et les règles d'audit ne sont pas forcément connues par tous. Faisons ici un rappel succinct.



DR
DR

L'audit interne ou "de première partie"

L'audit interne est demandé par l'entreprise elle-même : elle en est le commanditaire.

Il s'agit de vérifier un certain nombre de points que l'entreprise elle-même fixe. Elle est absolument libre dans ses choix : points à vérifier, manière de les vérifier, qui va vérifier etc.

Le simple bon sens fait que l'entreprise ne va pas demander à celui qui a réalisé quelque chose d'aller auditer ce quelque chose... afin d'éviter les situations de juge et partie.

L'entreprise peut très bien pour ces audits internes mandater un auditeur externe à l'entreprise. Exemple : il nous arrive d'aller auditer la réalisation de PCA en entreprise, à la demande de l'entreprise. PCA auquels nous n'avons -évidemment- pas collaboré.

Un audit interne se conclut sur un rapport avec description de constats et -souvent- préconisations diverses. Ce rapport reste a priori interne à l'entreprise.

Dans nos métiers, ce type d'audit se focalisera sur la vérification de la bonne mise en place de plans de continuité ou de système de management de la continuité ou sécurité. Il nous arrive ainsi d'aller auditer des réalisations faites par des confrères ou des sociétés elles-mêmes en interne.


L'audit externe de "seconde partie"

Nous sommes ici dans une autre situation, car l'audit est demandé par une partie prenante comme un client par exemple. Le "commanditaire" est donc externe et dispose de relations avec votre entreprise (en tant que client le plus souvent, voire prospect qui veut vérifier quelque chose avant de signer).

Ce client demande à un auditeur (de chez lui ou d'ailleurs, ce point est peu important) de faire un audit chez vous.

Là encore l'audit va consister à faire des constats par rapport à un sujet que le commanditaire veut faire vérifier.

Dans nos métiers, on verra souvent un audit de ce type pour vérifier que l'entreprise respecte bien les règles qu'elle s'est fixées ou qu'elle assure respecter, dans le domaine de la sécurité ou continuité par exemple.

Ce type d'audit se termine par un rapport qui est la propriété du commanditaire (donc du client ou prospect dans cet exemple).

Il est assez courant que ce type d'audit soit prévu sur rythme annuel dans les contrats de service par exemple. Le client n'exercera pas forcément chaque année ce "droit à l'audit" de son fournisseur. Il le fera en revanche avant la fin du contrat de service pour décider s'il continue par exemple.


L'audit de "tierce partie"

Cette fois ci le commanditaire de l'audit n'est ni vous, ni un client mais une entité neutre externe.

Cela peut être une autorité de tutelle, un organisme de contrôle, un certificateur...

L'audit va vérifier la conformité de quelque chose par rapport à une référence. Dans nos métiers cela peut être la conformité d'un système de management de la sécurité (ou continuité) par rapport à une norme ISO (27001 ou 22301) typiquement.

Le rapport, propriété de l'entité certificatrice, va pointer les écarts (ou "non-conformités") en les classant souvent par importance (remarque / mineur / majeur). Il ne comporte a priori pas de recommandations, sauf du type "je recommande à la certification".

En tenant compte de ce rapport et d'autres aspects réglementaires éventuels, le commanditaire décidera s'il accorde ou non un certificat de "conformité au référentiel XXX" à votre société.

Il faut ici noter que si le référentiel demande qu'il y ait des audits internes, l'auditeur de certification ira vérifier qu'il y a bien eu des audits internes menés conformément aux exigences du référentiel.

On voit bien là que les rôles sont très différents entre les différents audits.


La notion de pré-audit ou "audit à blanc"

Les certificateurs de type "conformité ISO XXX" proposent souvent une sorte de répétition générale appelée "pré-audit".

Il s'agit de "jouer à l'audit" avant le véritable audit de certification. Cela permet de se préparer entre autre psychologiquement et de mesurer si l'on est proche ou non du but.

Il vaut mieux alors faire faire ce "pré-audit" en suivant de très près les règles de l'audit certifiant et il nous semble que les certificateurs - ou des auditeurs mandatés par eux- sont les mieux placés pour les réaliser. Cependant, pour ne pas être juge et partie, ils ne vous feront en revanche aucun conseil sur ce qu'il convient de corriger.

Vous pouvez vous faire assister d'un conseil à ce moment-là. L'auditeur interne par exemple ou un conseil en implémentation. Lui verra les choses à améliorer avant l'audit pour de vrai.


En conclusion

Pour une société qui souhaite se faire certifier son Système de Management (de la sécurité, continuité, etc.) il convient de respecter quelques précautions en matière d'audits.

Il lui faut réaliser assez tôt des (ou au moins un) audit interne par un auditeur non impliqué par la réalisation du système audité. Cet audit fera des recommandations.

Il est préférable de faire réaliser un pré-audit respectant le règlement de certification. Il est utile alors de s'y faire assister (par l'auditeur interne, l'implémenteur, ...)

Les auditeurs choisis doivent bien évidemment être objectifs (ils regardent les faits), impartials (ils ne prennent pas parti) et compétents dans le domaine.

Emmanuel Besluau
Lundi 19 Octobre 2015

Home Home    Mail Mail    Print Print    Zoom + Zoom +    Zoom - Zoom -    Share Share


Articles du même auteur :

Halte aux PCA bidons ! - 19/01/2014

1 2