Comment calculer la durée d’un audit de certification ISO ?
De nombreuses organisations qui souhaitent obtenir une certification ISO se demandent combien de temps le processus prendra. Combien de temps s’écoule entre la demande auprès d’un organisme de certification et la délivrance du certificat ? Il n’existe pas de délai fixe. La durée totale du processus de certification dépend de plusieurs facteurs, tels que le niveau de préparation de l’organisation, la planification de l’audit et les éventuelles actions de suivi liées aux constats d’audit. Le temps d’audit requis est toutefois déterminé selon une méthode définie. Dans cet article, nous expliquons comment ce temps d’audit est calculé et quels facteurs peuvent l’influencer.
Audit initial #
Pour obtenir une certification ISO pour la première fois, un audit initial est réalisé. Cet audit se compose de deux étapes.
Étape 1
Durant l’étape 1, l’organisme de certification évalue si l’organisation est prête pour l’étape 2. Cette évaluation repose notamment sur l’examen des informations documentées relatives au système de management, sur les conditions propres au site et sur la connaissance et la compréhension des exigences de la norme au sein de l’organisation.
Étape 2
Durant, l’auditeur évalue la mise en œuvre et l’efficacité du système de management. Il vérifie notamment si les processus sont exécutés comme prévu, si les politiques sont respectées et si les collaborateurs comprennent leur rôle et leur contribution au système de management.
Temps d’audit et durée des activités d’audit #
La norme ISO/IEC 17021-1 distingue le temps d’audit de la durée consacrée aux activités d’audit. Le temps d’audit comprend le temps nécessaire à la planification et à la réalisation d’un audit complet et efficace du système de management. Il peut notamment comprendre :
- la préparation de l’audit ;
- l’examen des informations documentées ;
- l’élaboration du plan d’audit ;
- la réalisation des activités d’audit sur site ou à distance ;
- la préparation des conclusions d’audit ;
- la rédaction du rapport d’audit.
La durée des activités d’audit correspond à la partie du temps d’audit consacrée à la réalisation des activités entre la réunion d’ouverture et la réunion de clôture.
Cette distinction est importante lorsque le temps d’audit est présenté dans une offre ou un plan d’audit.
Détermination du temps d’audit #
Le temps nécessaire à un audit initial est déterminé sur la base des exigences applicables en matière d’accréditation et du programme de certification concerné. Ces exigences définissent les principes que les organismes de certification, tels que Brand Compliance, doivent appliquer pour calculer et justifier le temps d’audit.
Pour la certification des systèmes de management, l’ISO 17021-1 constitue une référence essentielle. Pour la certification selon l’ISO 27001, des exigences complémentaires s’appliquent conformément à l’ISO 27006-1.
Ces normes définissent les exigences applicables aux organismes procédant à l’audit et à la certification des systèmes de management. L’ISO 27006-1 contient des exigences complémentaires spécifiques à l’audit et à la certification des systèmes de management de la sécurité de l’information.
Exemple #
Prenons l’exemple d’une certification selon l’ISO 27001. Le temps d’audit est déterminé conformément aux exigences applicables aux systèmes de management de la sécurité de l’information. Pour une petite organisation, la méthode applicable prévoit un temps d’audit initial minimal. Une partie de ce temps est consacrée aux activités d’audit réalisées avec l’organisation, sur site ou à distance. Une autre partie est consacrée à la préparation de l’audit, à l’examen des informations documentées, à l’élaboration du plan d’audit et à la rédaction du rapport d’audit. Le temps d’audit calculé doit permettre à l’équipe d’audit de réaliser une évaluation complète et efficace du système de management.
Facteurs influençant le temps d’audit #
L’effectif pertinent de l’organisation constitue l’un des éléments pris en compte lors de la détermination du temps d’audit. Selon la norme et la méthode applicables, cet effectif peut être exprimé en équivalents temps plein, ou ETP.
D’autres facteurs peuvent également influencer le temps d’audit, notamment :
- le degré d’externalisation des processus ou des services ;
- le nombre de sites inclus dans le périmètre de certification ;
- la complexité du système de management ;
- la nature des activités et des processus de l’organisation ;
- les risques associés aux activités et au système de management ;
- le niveau d’intégration de plusieurs systèmes de management ;
- les changements intervenus au sein de l’organisation ou du système de management.
Ces facteurs peuvent entraîner une augmentation ou, lorsque cela est justifié, une réduction du temps d’audit. Les éléments susceptibles d’influencer ce temps sont examinés lors du processus de demande de certification. Le calcul et les éventuels ajustements doivent être documentés et justifiés par l’organisme de certification.
Audits de surveillance et de renouvellement de la certification #
Une fois le certificat délivré, des audits de surveillance sont réalisés périodiquement tout au long du cycle de certification. Lors de ces audits, l’auditeur évalue si le système de management continue de satisfaire aux exigences de la norme et s’il demeure efficace. Un audit de renouvellement de la certification est réalisé avant l’expiration du certificat afin d’évaluer si la certification peut être renouvelée pour un nouveau cycle. Dans le cadre des audits de surveillance et de renouvellement, Brand Compliance réévalue également les facteurs susceptibles d’influencer le temps d’audit. Un nombre important de non-conformités constatées lors des audits précédents ou des modifications significatives apportées au système de management peuvent, par exemple, nécessiter davantage de temps d’audit.
Vous souhaitez en savoir plus sur les audits qui suivent la délivrance du certificat ? Consultez notre article « Qu’est-ce qu’un cycle de certification ? ».
Conclusion #
Il n’existe pas de réponse unique à la question de savoir combien de temps prend un processus de certification ISO. Le délai global dépend notamment du niveau de préparation de votre organisation, de la planification de l’audit, de la taille et de la complexité de l’organisation, ainsi que des éventuelles actions de suivi liées aux constats d’audit.
Le temps d’audit est déterminé selon une méthode définie. Cette méthode garantit que le temps nécessaire à la réalisation d’un audit complet et efficace est établi de manière cohérente, objective et justifiée.