Si vous avez reçu ou conduit un audit en visioconférence, cette norme vous concerne directement.

Guide — Photo by Aron Visuals on Unsplash

ISO/IEC TS 17012:2024 est la première spécification technique internationale consacrée exclusivement aux méthodes d'audit à distance dans les systèmes de gestion. 

Elle a été publiée en juillet 2024, et ISO 19011:2026 y fait référence directement. 

Une précision importante : c'est une spécification technique (TS), pas une norme internationale (IS). Elle n'établit pas de nouvelles exigences de certification. Elle fournit des lignes directrices que les organisations auditantes et les audités doivent utiliser pour s'assurer qu'un audit à distance atteint les mêmes objectifs qu'un audit sur site.

À qui s'applique cette norme

La clause 1 est claire : ISO/IEC TS 17012 s'applique à toutes les organisations qui planifient et conduisent des audits de systèmes de gestion : internes (première partie), chez leurs fournisseurs (deuxième partie) ou par des organismes de certification (troisième partie).

Si vous êtes audité, cette norme vous donne les bases pour savoir ce que votre auditeur est censé faire avant, pendant et après un audit à distance. Si vous êtes auditeur, elle décrit vos obligations.

Avant de commencer : huit conditions à remplir

La clause 5.2.2 liste les conditions qui doivent toutes être remplies avant d'utiliser des méthodes d'audit à distance :

  1. Les méthodes à distance ne compromettent pas l'atteinte des objectifs du programme d'audit.
  2. Leur utilisation est appropriée et acceptée par les parties concernées.
  3. Les technologies ont été sélectionnées et leur gestion a été définie.
  4. L'information disponible est suffisante pour les appliquer.
  5. La portée et les limites de l'utilisation à distance ont été définies dans le programme.
  6. La capacité des deux parties à utiliser les méthodes : compétences du personnel, capacités techniques et physiques : a été confirmée.
  7. Les différences de compréhension des méthodes à distance entre l'auditeur et l'audité ont été résolues.
  8. Un accord prévoit comment modifier la méthode si nécessaire.

Les risques que la norme identifie

La clause 5.3 impose une évaluation des risques spécifique à l'utilisation des méthodes à distance. La norme fournit une table de risques à la Table 1. Voici les plus critiques :

Processus qui requièrent une observation physique. Certains processus ne peuvent pas être audités efficacement à distance.

Intégrité des preuves. La lisibilité réduite des documents, la mauvaise résolution vidéo, ou une visibilité partielle du processus peuvent compromettre la fiabilité des conclusions d'audit.

Absence d'un plan de contingence. Si les outils tombent en panne et qu'aucune alternative n'a été prévue, les objectifs d'audit sont compromis.

Protection des données. Les exigences spécifiques à la protection des données et à la sécurité de l'information lors de l'échange de documents numériques doivent être définies avant l'audit.

Les avantages réels, selon la norme

  • Réduction du temps de déplacement : économies directes, réduction des émissions carbone.
  • Flexibilité de planification : experts techniques peuvent être impliqués facilement pour de courtes périodes.
  • Portée élargie : des processus couvrant plusieurs sites peuvent être audités simultanément.
  • Audits de courte notice : en cas de déviation soudaine, un groupe peut se réunir rapidement.
  • Santé et sécurité des auditeurs : aucune exposition aux conditions dangereuses sur site.

La préparation : ce qui doit être convenu avec l'audité

La clause 6.3.2.3 est l'une des plus opérationnelles de la norme. Avant l'audit, les éléments suivants doivent être confirmés et convenus avec l'audité :

  • La durée de l'audit par journée, en tenant compte des fuseaux horaires.
  • Les moyens de communication alternatifs si l'outil principal devient indisponible.
  • Les protocoles d'utilisation des plateformes audio et vidéo.
  • La fonctionnalité de la technologie : accès à la plateforme, disponibilité des documents en format électronique, qualité audio/vidéo.
  • Les accords sur la confidentialité, la sécurité des données et les droits d'accès.
  • Si des enregistrements, transcriptions ou photos seront utilisés : et la base légale pour le faire.

Trois types d'audits à distance

Entièrement à distance (A.1.1) : aucune activité sur site n'est prévue.

Hybride ou mixte (A.1.2) : au moins une partie est conduite sur site. C'est souvent l'approche la plus réaliste et la plus robuste.

Avec auditeur substitut ou délégué (A.3.3) : un auditeur substitut est une personne présente physiquement chez l'audité qui agit comme les yeux et les oreilles de l'équipe d'audit distante.

Ce que le rapport d'audit doit maintenant inclure

La clause 6.5.2 est directe : le rapport d'audit doit documenter les méthodes à distance utilisées, leur portée et leur efficacité, y compris les avantages et les limites rencontrés.

Source

ISO/IEC TS 17012:2024 est disponible auprès de l'ISO à l'adresse iso.org.