ISO 19011:2026 – Quelles évolutions pour l’audit des systèmes de management ?

Article rédigé par Christelle Guyot & Valérie Le Couedic

 

Face à l’évolution des contextes climatiques, technologiques et organisationnels les pratiques d’audit doivent évoluer. Voici l’essentiel à retenir des modifications apportées à la nouvelle version de la norme ISO 19011 publiée le 27 mai 2026.

 

Responsable du programme d’audit : un rôle plus stratégique

La version 2026 renforce le rôle du responsable du programme d’audit, qui ne se limite plus à la planification des audits mais doit davantage veiller à leur alignement avec les attentes du commanditaire et les enjeux de l’organisme audité.

Le responsable du programme d’audit doit construire le programme non seulement à partir des besoins et des risques de l’organisme audité, mais aussi à partir des attentes explicites du commanditaire de l’audit, afin que les résultats de l’audit lui permettent de prendre des décisions. L’objectif est de rendre les audits plus utiles à la prise de décision et davantage orientés vers les parties intéressées pertinentes. L’audit ne doit plus seulement répondre à la question : « L’organisme audité est-il conforme ? » mais également à la question : « L’audit fournit-il les informations dont le commanditaire a besoin pour prendre ses décisions ?

La version 2026 met également davantage en lumière la responsabilité du responsable du programme d’audit dans la préparation des conditions de réalisation de l’audit. Il doit veiller à ce que les auditeurs disposent de toutes les informations, autorisations et ressources nécessaires à l’exécution de leur mission, notamment :

• les formalités administratives et réglementaires requises (par exemple les visas) ;
• les habilitations d’accès aux sites ;
• les droits d’accès aux plateformes numériques utilisées pour les audits à distance ;
• les accords de confidentialité ou les exigences relatives à la protection des données.

 

Planification davantage adaptée au contexte de l’organisme audité

La version 2026 renforce la prise en compte du contexte de l’organisme audité ainsi que de l’impact potentiel des audits sur ses activités lors de l’élaboration du programme d’audit.

Cette évolution se traduit notamment par :

• La prise en compte du contexte de l’organisme : afin de cibler les audits de manière pertinente, il convient d’intégrer les enjeux internes et externes susceptibles d’influencer les performances du système de management.
• Une priorisation basée sur les risques : le programme d’audit doit accorder une attention particulière aux processus, activités ou problématiques présentant les risques les plus significatifs pour l’efficacité et la performance du système de management audité.
• Une clarification de la participation des observateurs : lorsque des observateurs assistent aux audits, les critères encadrant leur présence et leur rôle doivent être définis de manière claire et communiqués aux parties concernées.

 

Approche par les risques élargie à la chaine de valeur

La version 2026 renforce la prise en compte des fournisseurs et des prestataires externes dans le programme d’audit. Elle explicite davantage les critères à prendre en compte lors des audits de fournisseurs et de prestataires externes, notamment :

• le niveau de confiance accordé au fournisseur ;
• les risques associés ;
• les obligations contractuelles ;
• l’accès aux données ;
• l’importance stratégique des produits ou services fournis.

Cette évolution traduit une approche plus globale des risques, qui ne se limite plus aux activités internes de l’organisme mais s’étend à l’ensemble de sa chaîne de valeur.

Elle favorise ainsi une planification des audits davantage fondée sur l’impact des parties externes sur la performance et l’efficacité du système de management.

Par ailleurs, la version 2026 enrichit les exemples de risques à prendre en compte lors de l’établissement et de la gestion du programme d’audit, notamment :

• la disponibilité des ressources ;
• la qualité, la fiabilité et l’accessibilité des informations ;
• les dépendances vis-à-vis de fournisseurs, prestataires ou autres tiers.

 

Compétences des auditeurs : technologie et données

La version 2026 prend en compte l’utilisation croissante des technologies numériques et de l’intelligence artificielle dans les activités d’audit. Sans exiger une expertise technique approfondie dans ces domaines, elle élargit les compétences attendues des auditeurs.

Les auditeurs doivent désormais être capables de :

• comprendre la pertinence et les conséquences de l’utilisation de l’IA dans la conduite de l’audit,
• utiliser les outils numériques applicables à l’audit (plateformes collaboratives, outils de partage documentaire, audits à distance selon la norme ISO/IEC TS 17012 : 2024),
• apprécier la pertinence, la fiabilité et l’exactitude des informations recueillies,
• comprendre les exigences relatives à la protection des données et la sécurité de l’information.

 

Réalisation de l’audit : des pratiques clarifiées

La version 2026 clarifie et formalise plusieurs pratiques déjà largement utilisées sur le terrain.

Parmi les principales évolutions :

• Une approche davantage fondée sur les risques : l’approche par les risques est désormais plus explicitement prise en compte dans les activités de préparation, de planification des audits.
• Collecte des preuves : la collecte par échantillonnage est désormais explicitement reconnue.
• Communication renforcée : en cas de modification du planning en cours d’audit, l’information doit être communiquée non seulement aux audités, mais aussi au client de l’audit (le commanditaire). Les règles concernant la classification des non-conformités doivent également être définies et communiquées par l’organisme d’audit.
• Audit à distance : les méthodes d’audit à distance (visioconférence, partage sécurisé de données, accès à des plateformes collaboratives) sont pleinement reconnues. Leur mise en œuvre peut s’appuyer sur la norme ISO/IEC TS 17012:2024, qui fournit des lignes directrices spécifiques pour l’utilisation des technologies d’audit à distance. Une attention particulière est portée à la maîtrise des risques associés, notamment en matière de confidentialité, de fiabilité des preuves et de sécurité des données. Les constats doivent mentionner les éventuelles limites rencontrées (accès restreint aux informations, qualité insuffisante des preuves, impossibilité d’observer certaines activités critique) et prévoir, le cas échéant, des compléments d’audit  sur site.
• Rapport d’audit recentré sur l’essentiel : le rapport gagne en concision en se concentrant sur les constats et conclusions. Le résumé d’audit est supprimé afin d’éviter les redondances.

En synthèse, ce qu’il faut retenir

L’ISO 19011:2026 ne modifie pas les principes fondamentaux de l’audit, mais renforce son rôle comme outil d’aide à la décision et de maîtrise des risques.

• Des audits mieux alignés sur le contexte et les enjeux de l’organisation.
• Des audits adaptés aux nouvelles pratiques numériques et aux technologies émergentes.
• Une prise en compte accrue des risques tout au long de la chaîne de valeur, y compris chez les fournisseurs et les partenaires externes.

La version 2026 de l’ISO 19011 renforce une approche d’audit plus contextualisée, davantage fondée sur les risques et mieux intégrée aux enjeux stratégiques des organisations et de leur chaîne de valeur.

Vous souhaitez être auditeur selon l’ISO 19011 : 2026 ?

Participez à la formation #311 Maîtriser l’audit selon l’ISO 19011 : techniques et pratiques de 3 jours.

Vous souhaitez manager vos audits selon l’ISO 19011 : 2026, c’est-à-dire savoir élaborer un programme d’audit, évaluer et développer les compétences de vos auditeurs, et intégrer l’audit dans la stratégie de votre entreprise ?

Participez à la formation #313 Management des audits selon la norme ISO 19011 d’une journée.

📞 Une question ? Nos équipes sont à votre écoute et votre service pour répondre à vos besoins :

• France : +33 (0)2 51 13 13 00 – service.clients@euro-symbiose.fr
• Maroc : +212 (0)6 91 00 06 46 – service.clients@euro-symbiose.ma