Publié le

FAQ Résolue – ISO 27001: Un audit interne devrait-il être effectué de la même manière qu’un audit de certification ?

Il existe une distinction significative entre un audit interne et un audit de certification entrepris par un organisme de certification. Ce sont des choses complètement différentes. Un “audit interne” n’est pas du tout un audit. Il s’agit d’un “contrôle de l’état de santé” ou d’une “révision”, et son but est d’aider l’organisation. L’auditeur peut examiner toutes les parties du SMSI et les contrôles que l’organisation souhaite. Ils peuvent utiliser le jugement qu’ils veulent et l’interprétation de l’ISO27001 qu’ils désirent, tant que cela est dans le meilleur intérêt de l’organisation. Les résultats peuvent être tous ignorés par l’organisation, si elle le souhaite. Il s’agit d’un travail de conseil.

Un audit entrepris par un organisme de certification est un processus très formel qui concerne uniquement “si l’organisation est conforme aux exigences de l’ISO27001”. C’est tout. Les auditeurs ne sont pas là pour ajouter de la valeur ou pour utiliser leur jugement et leur expérience. C’est un processus mécanique. Il y a beaucoup d’interprétations possibles de l’ISO27001 et ce n’est pas au réviseur de certification d’en imposer une spécifique. Ils vérifient simplement que le choix effectué satisfait aux exigences de l’ISO27001.