SIST-TS ISO/IEC TS 17012:2024

Technical
Specification
ISO/IEC TS 17012
First edition
Conformity assessment —
2024-07
Guidelines for the use of remote
auditing methods in auditing
management systems
Reference number
© ISO/IEC 2024
All rights reserved. Unless otherwise specified, or required in the context of its implementation, no part of this publication may
be reproduced or utilized otherwise in any form or by any means, electronic or mechanical, including photocopying, or posting on
the internet or an intranet, without prior written permission. Permission can be requested from either ISO at the address below
or ISO’s member body in the country of the requester.
ISO copyright office
CP 401 • Ch. de Blandonnet 8
CH-1214 Vernier, Geneva
Phone: +41 22 749 01 11
Email: copyright@iso.org
Website: www.iso.org
Published in Switzerland
© ISO/IEC 2024 – All rights reserved
ii
Contents Page
Foreword .iv
Introduction .v
1 Scope . 1
2 Normative references . 1
3 Terms and definitions . 1
4 Principles of auditing . 2
5 Managing an audit programme . 2
5.1 General .2
5.2 Establishing audit programme objectives .2
5.3 Determining and evaluating audit programme risks and opportunities .3
5.4 Establishing the audit programme .5
5.5 Implementation of audit programme .5
5.6 Monitoring the audit programme .6
5.7 Reviewing and improving audit programme .6
6 Conducting an audit using remote auditing methods . 6
6.1 General .6
6.2 Initiating audit .7
6.3 Preparing audit activities .7
6.3.1 Performing review of documented information .7
6.3.2 Audit planning .7
6.4 Conducting audit activities .8
6.4.1 General .8
6.4.2 Assigning roles and responsibilities of support personnel and observers .9
6.4.3 Conducting the opening meeting .9
6.4.4 Communicating during the audit .10
6.4.5 Audit information availability and access .10
6.4.6 Reviewing documented information while conducting the audit .10
6.4.7 Collecting and verifying information.10
6.4.8 Generating audit findings .11
6.4.9 Determining audit conclusions .11
6.4.10 Conducting the closing meeting.11
6.5 Preparing and distributing audit report .11
6.6 Completing audit .11
6.7 Conducting audit follow-up . 12
7 Competence and evaluation of auditors .12
7.1 General . 12
7.2 Determining auditor competence . 12
7.2.1 General . 12
7.2.2 Personal behaviour . 12
7.2.3 Knowledge and skills . 13
7.2.4 Achieving auditor competence .14
7.2.5 Achieving audit team leader competence .14
7.3 Establishing auditor evaluation criteria .14
7.4 Selecting the appropriate auditor evaluation methods .14
7.5 Conducting auditor evaluation .14
7.6 Maintaining and improving auditor competence . 15
Annex A (informative) Remote auditing methods .16
Annex B (informative) Useful practices .20
Bibliography .24

© ISO/IEC 2024 – All rights reserved
iii
Foreword
ISO (the International Organization for Standardization) and IEC (the International Electrotechnical
Commission) form the specialized system for worldwide standardization. National bodies that are
members of ISO or IEC participate in the development of International Standards through technical
committees established by the respective organization to deal with particular fields of technical activity.
ISO and IEC technical committees collaborate in fields of mutual interest. Other international organizations,
governmental and non-governmental, in liaison with ISO and IEC, also take part in the work.
The procedures used to develop this document and those intended for its further maintenance are described
in the ISO/IEC Directives, Part 1. In particular, the different approval criteria needed for the different types
of document should be noted. This document was drafted in accordance with the editorial rules of the ISO/
IEC Directives, Part 2 (see www.iso.org/directives or www.iec.ch/members_experts/refdocs).
ISO and IEC draw attention to the possibility that the implementation of this document may involve the
use of (a) patent(s). ISO and IEC take no position concerning the evidence, validity or applicability of any
claimed patent rights in respect thereof. As of the date of publication of this document, ISO and IEC had not
received notice of (a) patent(s) which may be required to implement this document. However, implementers
are cautioned that this may not represent the latest information, which may be obtained from the patent
database available at www.iso.org/patents and https://patents.iec.ch. ISO and IEC shall not be held
responsible for identifying any or all such patent rights.
Any trade name used in this document is information given for the convenience of users and does not
constitute an endorsement.
For an explanation of the voluntary nature of standards, the meaning of ISO specific terms and expressions
related to conformity assessment, as well as information about ISO's adherence to the World Trade
Organization (WTO) principles in the Technical Barriers to Trade (TBT) see www.iso.org/iso/foreword.html.
In the IEC, see www.iec.ch/understanding-standards.
This document was prepared by the ISO Committee on Conformity Assessment (CASCO).
Any feedback or questions on this document should be directed to the user’s national standards
body. A complete listing of these bodies can be found at www.iso.org/members.html and
www.iec.ch/national-committees.

© ISO/IEC 2024 – All rights reserved
iv
Introduction
This document was developed in response to rapidly developing technology and changes in working
practices based upon a variety of experiences, including those from the coronavirus pandemic. Applying
remote auditing methods can bring a variety of benefits for all parties involved in the audit. This document
provides guidance on how an audit can be effectively conducted and how audit objectives can be achieved
when remote auditing methods are used.
Remote auditing methods can improve the efficiency of an audit by reducing travel-time and expense and
achieving an improvement in the overall carbon footprint, as well as avoiding travel risk, enabling virtual
access to more sites. A further benefit is facilitating diversity of participation in the audit and the increased
involvement of technical experts within the audit. This includes cross-border activities that can improve the
overall efficiency of the audit, whilst maintaining business continuity, especially in challenging situations
and conditions.
The objective of this document is to provide assurance that remote auditing methods represent an additional
sustainable and flexible way to conduct audits of management systems and provide confidence to customers,
regulators, scheme owners and other interested parties.
This document includes guidance on a risk-based approach to be followed for planning and implementing the
remote auditing methods that can apply to all types and sizes of organizations. Table 1 and Table 2 provide
examples of risks and opportunities.
This document can be used to support an on-site, a remote or a hybrid approach to auditing management
systems.
NOTE ISO 19011:2018, Table 1 gives examples of different types of audits.
This document can also be used to support other conformity assessment activities, such as accreditation
assessment, product certification or peer assessment.
This document supports the continued integrity of first-party, second-party and third-party audits,
including management system certification audits, to facilitate their conduct in a competent, thorough and
transparent manner when remote auditing methods are used. This document can also be used to support
other conformity assessment activities, such as accreditation, product certification or peer assessment. This
document provides additional guidance to the implementation of ISO 19011:2018 and ISO/IEC 17021-1.
This document highlights the importance of ensuring that the output of any audit process fulfils the
objectives of the audit programme. This document does not take precedence over any requirements of other
standards/schemes.
This document follows the same structure as ISO 19011:2018 in order to facilitate use of the two documents
together.
© ISO/IEC 2024 – All rights reserved
v
Technical Specification ISO/IEC TS 17012:2024(en)
Conformity assessment — Guidelines for the use of remote
auditing methods in auditing management systems
1 Scope
This document provides guidance on the use of remote auditing methods in auditing management systems.
It is applicable to all organizations that plan and conduct all kinds of internal or external audits (i.e. first-
party, second-party and third-party audits) of management systems.
This document supports the general principles of auditing given in ISO 19011:2018 and provides further
guidance on specific conditions, possibilities and limitations for implementing remote auditing methods.
This document is intended to strengthen confidence in the use of remote auditing methods for auditing
management systems among customers, regulators, accreditation bodies, certification bodies, scheme
owners, industry, employees, consumers, suppliers and other interested parties.
The use of remote auditing methods for auditing management systems is not intended to replace on-site
audit methods. Instead, remote auditing methods are intended to serve as a tool to effectively and efficiently
conduct the audit.
NOTE This document can be used for other types of audits and assessments.
2 Normative references
The following documents are referred to in the text in such a way that some or all of their content constitutes
requirements of this document. For dated references, only the edition cited applies. For undated references,
the latest edition of the referenced document (including any amendments) applies.
ISO 17000, Conformity assessment — Vocabulary and general principles
ISO 19011:2018, Guidelines for auditing management systems
3 Terms and definitions
For the purposes of this document, the terms and definitions given in ISO 19011:2018 and ISO/IEC 17000
and the following apply.
ISO and IEC maintain terminology databases for use in standardization at the following addresses:
— ISO Online browsing platform: available at https:// www .iso .org/ obp
— IEC Electropedia: available at https:// www .electropedia .org/
3.1
remote auditing method
method used for conducting audit activities from any place other than the location of the auditee
Note 1 to entry: Remote auditing methods can be used in combination with on-site methods to achieve a full and
effective audit.
Note 2 to entry: Remote auditing methods can be used for virtual locations, i.e. where an organization performs work
or provides a service using an online environment, enabling individuals to execute processes irrespective of physical
locations.
Note 3 to entry: Remote auditing methods can be used by the auditor at one site of the auditee to audit another site.

© ISO/IEC 2024 – All rights reserved
4 Principles of auditing
The principles of auditing are given ISO 19011:2018, Clause 4.
5 Managing an audit programme
5.1 General
5.1.1 General guidance is given in ISO 19011:2018, 5.1.
5.1.2 When preparing the audit programme, the organization should consider the following in relation to
the use of remote auditing methods:
a) the principles mentioned in Clause 4;
b) risks related to the effectiveness of the audit programme (see 5.3) and the countermeasures;
c) opportunities related to the audit programme (see 5.3);
d) information security, confidentiality and privacy issues related to remote auditing methods;
e) the availability of information required to make judgment on their applicability;
f) the acceptability for and limitations of scheme owners, regulators and other specifiers;
g) the ability to use them.
5.2 Establishing audit programme objectives
5.2.1 General guidance is given in ISO 19011:2018, 5.2.
5.2.2 The organization carrying out the management system audit can use remote auditing methods
under, but not limited to, the following conditions:
a) the remote auditing methods do not prevent the achievement of audit programme objectives;
b) the use of remote auditing methods is appropriate and accepted by the relevant interested parties;
c) the technologies have been selected and their management has been defined;
d) the information required for using remote auditing methods is sufficient;
e) the scope of the use of remote auditing methods (audit criteria and boundary) has been determined in
the audit programme;
f) the ability of both parties (i.e. the audit team and the auditee) to use remote auditing methods has been
confirmed, including personnel competence, technical abilities and physical abilities;
g) the organization carrying out the management system audit and the auditee have resolved any
differences in the understanding of remote auditing methods;
h) there is an agreement in place to alter the remote auditing method when necessary.
NOTE Alteration of remote auditing methods can include other remote or on-site auditing methods.

© ISO/IEC 2024 – All rights reserved
5.2.3 When appropriate, the organization carrying out the management system audit should prepare and
implement a process to investigate the auditee's ability to use remote auditing methods.
The organization carrying out the management system audit should review the obtained information related
to remote auditing methods and communicate with the auditee to:
a) review whether the auditee meets the conditions for the application of remote auditing methods, as
determined by the assessment of risk associated with their use (see 5.3);
b) confirm the following:
1) the feasibility of achieving the audit objectives within the defined audit scope when remote auditing
methods are used;
2) the support conditions for using remote auditing methods, including technological support to
resolve any issue;
3) any specific or additional requirements for the agreed remote auditing methods including
competencies.
5.3 Determining and evaluating audit programme risks and opportunities
5.3.1 General guidance is given in ISO 19011:2018, 5.3.
5.3.2 The organization carrying out the management system audit should consider risk and opportunities
on the audit programme, taking account of the knowledge of the auditee and any previous experience to
determine whether remote auditing methods are feasible. Remote auditing methods should not be permitted
when the assessment of risk identifies an unacceptable threat to the effectiveness of the audit process.
Subsequent planning should:
— prevent or reduce risks associated with the remote auditing methods;
— leverage opportunities identified from the use of remote auditing methods;
— cover the evaluation of the effectiveness of actions taken to address the risks and opportunities;
— ensure that the expected results of the audit will be achieved.
5.3.3 Examples of risks and opportunities related to an audit programme and their potential impacts are
given in Table 1 and Table 2.
Table 1 — Risks related to audit programmes and potential impact due to use of remote
auditing methods
Risks Potential impact
Processes requiring observation not adequately ad- The processes would not be effectively audited.
dressed in the audit programme
Inability to use remote auditing methods due to the na- The processes would not be effectively audited.
ture of the process
Limitations in the application of random sampling The processes would not be effectively audited.
Unknown capability of auditee to contribute to applica- The necessary technical equipment is not adequate and
tion of remote auditing methods thus prevents a trouble-free audit process.
Insufficient overall competence of the audit team to con- The audit objectives would be compromised.
duct audits effectively, using remote auditing methods
Time loss due to insufficient digitization Necessary information needs first to be digitized. The
loss of time can prevent all information from being re-
viewed.
© ISO/IEC 2024 – All rights reserved
TTabablele 1 1 ((ccoonnttiinnueuedd))
Risks Potential impact
Limited competence or experience in the use of remote Ineffective or incorrect use of the technologies can limit
auditing technologies the process and the quality of the implementation of the
audit plan.
No provision for an alternative plan in case remote audit- Audit objectives can be compromised.
ing methods fail
The specific requirements for data protection and infor- There is a potential breach of data protection legislation.
mation security when digital information is exchanged
are not considered
Inadequate or unreliable technology (e.g. that related to The audit cannot be performed, or it is performed in an
stability and quality of internet) ineffective manner.
Inability to provide adequate sensory information Poor quality of visual and audio communications, as well
as a lack of any perception of odour, vibration, temper-
ature and relative humidity, can limit the potential to
obtain reliable audit evidence.
Integrity of audit evidence can be compromised via the Possibly wrong or decreased reliability of audit conclu-
use of remote auditing methods (e.g. reduced legibility of sions.
documented information, poor video resolution, lack of
visibility of parts of the process)
Table 2 — Opportunities related to audit programmes and potential impact due to use of remote
auditing methods
Opportunities Potential benefit
Travel time is reduced or eliminated The reduction in travel time leads to cost savings, pro-
ductivity, continuity in the audit and reduction in carbon
emissions from travel.
Optimized audit time Can eliminate or reduce the time for site induction and
transfer between audit locations or processes; uses tech-
nology to view wide areas.
Short reaction time The recording of opportunities and risks takes place in
a timely manner, especially for locations requiring long
journeys. Consequently, the audit programme and audit
plan can be adjusted quickly.
Easier scheduling and effective participation despite The scheduling of audits, especially for participants and
interested parties being at different locations observers at different locations where travel is difficult
to schedule or organize, is simplified because the location
is not a deterrent.
Easy involvement of external parties Temporary involvement of external parties (e.g. technical
experts) is easy to plan and implement when necessary
for only a short time.
Auditability of processes across locations Cross-location processes and their interfaces can be
easily planned and audited in unison, and do not have to
be divided.
Ad hoc and short notice assessments for acute topics In the event of sudden deviations, a defined group of
participants can schedule and conduct an audit at short
notice to clarify the issues.
© ISO/IEC 2024 – All rights reserved
TTabablele 2 2 ((ccoonnttiinnueuedd))
Opportunities Potential benefit
Easier documentation and reporting Since much evidence is available electronically, the effort
for managing documentation and reporting can be re-
duced.
Direct access to data The availability of audit evidence in electronic applica-
tions, so that large data files do not need to be trans-
ferred and electronic security is properly managed.
Health and safety of the audit team No exposure to potentially hazardous conditions (e.g.
conflict, civil unrest, health risks, radiation, transport
risks).
5.4 Establishing the audit programme
5.4.1 General guidance is given in ISO 19011:2018, 5.4.
5.4.2 When preparing the audit programme, the organization carrying out the management system
audit should:
a) ensure that the use of remote auditing methods does not contradict the principles stated in Clause 4;
b) consider, but not be limited to, the relevant aspects in 5.4.3.
5.4.3 The organization carrying out the management system audit should communicate with the auditee
on the implementation of remote auditing methods, confirm and reach an agreement with the auditee on the
following relevant aspects:
a) the competences and responsibilities of the organization carrying out the management system
audit (including personnel), the auditee and external providers [e.g. suppliers of information and
communication technology (ICT) services being used for remote auditing methods, such as third-party
software platforms];
b) information security risks and control measures;
c) the scope and boundary of remote auditing methods;
d) resources (including the remote auditing software platform), approaches and methods for using remote
auditing methods;
e) actions including, if relevant, alternative communication related to any disruption issues;
f) the evaluation of audit results and the effectiveness of remote auditing methods in meeting the audit
objectives;
g) information security and risks related to the protection of intellectual property rights.
NOTE Legal requirements can apply.
5.5 Implementation of audit programme
5.5.1 General guidance is given in ISO 19011:2018, 5.5.
5.5.2 The organization carrying out the management system audit should designate an audit team with
the ability to use remote auditing methods and communicate the relevant requirements from the audit
programme with the audit team leader.
5.5.3 Remote access to documented information pertaining to the audit should be retained at least until
the auditor presents the report.

© ISO/IEC 2024 – All rights reserved
NOTE Remote access to documented information can be granted if needed for audit follow-up activities.
5.6 Monitoring the audit programme
5.6.1 General guidance is given in ISO 19011:2018, 5.6.
5.6.2 When monitoring the audit programme, the organization carrying out the management system audit
should monitor the use of remote auditing methods to ensure the effectiveness of the audit programme.
a) The organization carrying out the management system audit should determine the content of the audit
programme to be monitored, including, but not limited to:
1) the adequacy and suitability of audit resources, including personnel competency and remote
auditing method performance;
2) (when applicable) the suitability of actions including alternative communication related to any
disruption;
3) the effectiveness of information confidentiality and security control measures.
b) The organization carrying out the management system audit should determine the monitoring
frequency based on the results of risk identification and evaluation. Monitoring methods include, but are
not limited to, using technology appropriate to remote auditing methods to observe the audit activities
of the audit team.
c) When the outcome of the monitoring shows that the audit process is not implemented in accordance
with the audit programme or fails to meet the audit objectives, supplementary audit, alternative site-
based or remote auditing methods or other remedial measures should be implemented. Appropriate
documented information should be retained as evidence for monitoring.
5.7 Reviewing and improving audit programme
5.7.1 General guidance is given in ISO 19011:2018, 5.7.
5.7.2 When reviewing the audit programme, the organization carrying out the management system audit
should evaluate the suitability and adequacy of the audit programme when remote auditing methods are used.
5.7.3 In order to improve the audit programme, consideration should be given to the audit results and to
the feedback on the use of remote auditing methods, including:
a) whether the audit objectives have been achieved stating changes that need to be made;
b) efficiencies or other benefits, or difficulties encountered;
c) other relevant feedback (e.g. regarding the suitability of remote auditing methods for specific processes,
sites or functions, or regarding new needs in terms of competence);
d) lessons learned from the application of remote auditing methods.
5.7.4 Based on considerations in 5.7.3, amendments and improvements of the audit programme can be
implemented for the existing audit programme for subsequent audits and future audit programmes.
6 Conducting an audit using remote auditing methods
6.1 General
6.1.1 General guidance is given in ISO 19011:2018, 6.1.

© ISO/IEC 2024 – All rights reserved
6.1.2 The selection of the remote auditing methods to be used for an audit depends on the audit type, the
audit objective(s) and the scope of the audit being conducted.
NOTE Guidance on application of remote auditing methods is provided in Annex A.
6.1.3 The audit participants should collaborate to ensure the remote auditing methods are used effectively.
6.1.4 It is the auditor's responsibility (see 5.5) to conform to applicable information security
requirements while conducting an audit using remote auditing methods.
6.2 Initiating audit
6.2.1 General guidance is given in ISO 19011:2018, 6.2.
6.2.2 The audit team leader should establish contact with the auditee to:
a) confirm the authority to conduct the audit using the remote auditing methods identified for the audit;
b) provide information to the auditee regarding the specific remote auditing methods to be used;
c) receive information from the auditee regarding details on the remote auditing methods being provided
(e.g. the communications platform);
d) request remote access to relevant information for the planning and conducting of the audit;
e) establish the extent to which electronic documented information and objective evidence is available, to
enable an audit using remote auditing methods;
f) where applicable, obtain appropriate consent (e.g. transcription, recordings, images);
g) confirm data security and confidentiality requirements for the remote auditing methods identified for
the audit;
h) confirm any other risks that can limit or require on-site activities (e.g. health and safety, restricted
access, electronic Faraday cage);
i) confirm the competence of the auditee to use the remote auditing methods planned;
j) consider any opportunities that can reduce risk (e.g. to the safety of auditors) due to remote auditing
methods.
6.2.3 The risks and opportunities should be considered to determine whether modification of effort and/
or resources is needed to ensure the audit objectives are achieved. The review can result in a change in
the auditing methods being applied (e.g. a combination of methods can be used instead of entirely remote
auditing methods).
6.3 Preparing audit activities
6.3.1 Performing review of documented information
General guidance is given in ISO 19011:2018, 6.3.1.
6.3.2 Audit planning
6.3.2.1 General guidance is given in ISO 19011:2018, 6.3.2.
6.3.2.2 The risks and opportunities related to the use of remote auditing methods should be considered in
audit planning.
© ISO/IEC 2024 – All rights reserved
6.3.2.3 When preparing for the audit activities that involve the use of remote auditing methods, the
following should be considered and, as appropriate, agreed with the auditee:
a) when reviewing the audit plan, confirm the duration of audit for each day taking, into account the time zones;
b) agree on alternative means of communication in case the main tool becomes unavailable;
c) confirm protocols to manage the use of ICT, such as audio and video platforms;
d) ensure the functionality of the technology for the remote auditing methods, where applicable, including:
1) accessibility to the platform particularly to accommodate special needs (e.g. transcription
availability, if necessary);
2) confirmation of availability of the documented information via electronic means;
3) use of file-sharing services;
4) the quality of the audio and video platform;
5) translation channels or additional platforms;
6) the arrangement for remote breakout sessions;
e) conclude agreements on confidentiality, privacy, data security and access requirements;
f) confirm any information that the auditee needs to make available in advance (e.g. including a list of
typical documented information, objective evidence and roles and responsibilities);
g) agree on the translation tools and methods (including translation and transcription technologies) to be
used before and during the audit;
h) consider the need to secure technical support for any technology to be used for the remote auditing
method chosen for the audit, including assigning the roles for platform support (camera, audio), safety
and access (see 6.4.2);
i) consider data protection, record retention, intellectual property, security clearance and other data use
and access controls;
NOTE 1 Legal requirements regarding data protection can apply.
j) consider the use of means such as recordings, transcripts, photos and drones;
NOTE 2 Legal requirements can apply.
k) confirm responsibilities for providing access to the platform to the audit participants, including audit
team members, auditee's representatives, interpreters, observers and support personnel;
l) when a combination of remote and on-site auditing methods is used, ensure that the plan is clear as to
which part of the audit will be remote, which auditor(s) will be remote, which auditor(s) are to be on-site
and which methods are to be used by which auditor(s).
6.4 Conducting audit activities
6.4.1 General
6.4.1.1 General guidance is given in ISO 19011:2018, 6.4.1.
6.4.1.2 When remote auditing methods are used, specific consideration should be given to the risks and
opportunities that can be encountered during the conduct of the audit, including techniques that are not
used in face-to-face activities. Annex A provides some examples.

© ISO/IEC 2024 – All rights reserved
6.4.2 Assigning roles and responsibilities of support personnel and observers
6.4.2.1 General guidance is given in ISO 19011:2018, 6.4.2.
6.4.2.2 When using remote auditing methods, support personnel, observers and surrogate auditors (see
A.3.3) should be included in the communications and planning processes, as appropriate.
6.4.2.3 Support personnel
For remote auditing methods, the roles and responsibilities of the support personnel will be similar to those
for on-site audits and can be performed by the auditee or the organization performing the audit. Support
personnel can include a number of different personnel including, but not limited to, interpreters, information
technology (IT) technical staff and guides.
Support personnel can help to:
a) facilitate the set-up (e.g. camera, audio and visual), communication and operation of remote auditing
methods (e.g. opening/closing meeting, interviews, observing the processes);
b) arrange access of the audit team and, as appropriate, support personnel to the auditee’s documented
information by remote auditing methods;
c) ensure the audit team and support personnel are using agreed remote access protocols, including
requested devices and software;
d) conduct technical checks on the remote auditing tools ahead of the audit to resolve technical issues,
such as background noise disruptions and interruptions;
e) ensure contingency plans are available and communicated to all audit participants (e.g. interruption of
access, use of alternative technology);
f) ensure confidentiality and privacy during the use of remote auditing methods (e.g. by muting
microphones and pausing cameras).
6.4.2.4 Observers
Remote observers should follow the same guidance as observers on-site. Observers should have access to
the same remote auditing methods used.
If any documented information is shared with the auditors (e.g. via email or other data-sharing methods),
arrangements should be made for observer(s) to access the documents as necessary.
6.4.3 Conducting the opening meeting
6.4.3.1 General guidance is given in ISO 19011:2018, 6.4.3.
6.4.3.2 The content of an opening meeting does not change with the use of remote auditing methods.
When using remote auditing methods, the following additional considerations can improve the effectiveness
of the audit.
a) The audit team leader should confirm and record who attends the opening meeting, ensuring that if
participants are remote, they are identified along with the other pertinent information. Pertinent
information can include the roles of the participants in the organization, the roles of the participants in
the audit, the platform or technology being used and time zones.
b) Remote attendance can be used to provide for additional attendees to encourage organizational
representation and/or educational opportunities provided that the meeting size is manageable.
c) Attendees should be able to contribute to the meeting (e.g. by asking questions or seeking clarification).

© ISO/IEC 2024 – All rights reserved
d) The audit team leader sets the expectations for the conduct and contributions and confirms the
functionality and information that will be provided and/or used, as well as encouraging participants
to engage in the audit activities. The audit team leader/support personnel ensures that information
presented in the opening meeting is made available to remote participants and observers (e.g. the audit
plan should be displayed for all participants).
e) Any changes in the audit schedule, remote auditing methods or access are confirmed.
f) The audio should be provided for attendees to hear the meeting and for the participants to be able to use
the technology platform and communication.
g) The audit team leader should explain any need for modifications in the conduct of the audit in order to
accommodate the use of remote auditing methods (e.g. to record the audit results which can cause short
breaks).
6.4.4 Communicating during the audit
6.4.4.1 General guidance is given in ISO 19011:2018, 6.4.4.
6.4.4.2 Additional communication needs should be considered for audits using remote auditing methods,
including but not limited to:
a) additional private communication channel(s) (e.g. a private room for the audit team, communication
applications);
b) a backup method or support method to ensure continuation of communication if the main platform is
unstable or lost during the audit activity;
c) an option to communicate with the support personnel/guide during the audit activities;
d) technical support when multiple remote auditing methods are used;
e) defining the rules for asynchronous communications (time-insensitive data transmission where the
timing of the data generating and consuming can be different, e.g. emails, chat, recorded videos, self-
paced training/induction modules).
6.4.5 Audit information availability and access
General guidance is given in ISO 19011:2018, 6.4.5.
6.4.6 Reviewing documented information while conducting the audit
6.4.6.1 General guidance is given in ISO 19011:2018, 6.4.6.
6.4.6.2 The use of remote auditing methods can introduce additional risks and opportunities related to the
review of documented information. Auditors should be mindful of the information integrity and authenticity
risks as well as opportunities to enhance sample size and data access in auditing.
6.4.7 Collecting and verifying information
6.4.7.1 General guidance is given in ISO 19011:2018, 6.4.7.
6.4.7.2 When using remote auditing methods, additional consideration can be needed for the verification
of information. For example, artificial intelligence (AI) or simulations can require additional review of inputs
prior to being used by the audit team.

© ISO/IEC 2024 – All rights reserved
6.4.7.3 When using remote auditing methods for collecting information, the following should be
considered:
a) the limitations of the application of the remote auditing methods to obtain objective evidence on aspects
such as the areas, locations, processes and equipment;
b) when using asynchronous tools (e.g. messaging applications, connections to remote servers or external
provider’s systems), additional steps are needed to verify the information (e.g. agreement of response
time, awareness of system maintenance);
c) risk where objectivity of audit evidence is compromised (e.g. integrity of software and data, integrity of
presented information);
d) risk from limitations on access to audit evidence;
e) recognition of the opportunities to increase the effectiveness of the audit (e.g. by means of increasing
the sampl
...

Spécification
technique
ISO/IEC TS 17012
Première édition
Évaluation de la conformité —
2024-07
Lignes directrices sur l’utilisation
de méthodes d’audit à distance
pour l’audit des systèmes de
management
Conformity assessment — Guidelines for the use of remote
auditing methods in auditing management systems
Numéro de référence
DOCUMENT PROTÉGÉ PAR COPYRIGHT
© ISO/IEC 2024
Tous droits réservés. Sauf prescription différente ou nécessité dans le contexte de sa mise en œuvre, aucune partie de cette
publication ne peut être reproduite ni utilisée sous quelque forme que ce soit et par aucun procédé, électronique ou mécanique,
y compris la photocopie, ou la diffusion sur l’internet ou sur un intranet, sans autorisation écrite préalable. Une autorisation peut
être demandée à l’ISO à l’adresse ci-après ou au comité membre de l’ISO dans le pays du demandeur.
ISO copyright office
Case postale 401 • Ch. de Blandonnet 8
CH-1214 Vernier, Genève
Tél.: +41 22 749 01 11
E-mail: copyright@iso.org
Web: www.iso.org
Publié en Suisse
© ISO/IEC 2024 – Tous droits réservés
ii
Sommaire Page
Avant-propos .iv
Introduction .v
1 Domaine d’application . 1
2 Références normatives . 1
3 Termes et définitions . 1
4 Principes de l’audit . 2
5 Management d’un programme d’audit . 2
5.1 Généralités .2
5.2 Détermination des objectifs du programme d’audit .2
5.3 Détermination et évaluation des risques et des opportunités du programme d’audit .3
5.4 Établissement du programme d’audit .5
5.5 Mise en œuvre du programme d’audit.6
5.6 Surveillance du programme d’audit .6
5.7 Revue et amélioration du programme d’audit .7
6 Réalisation d’un audit au moyen de méthodes d’audit à distance. 7
6.1 Généralités .7
6.2 Déclenchement de l’audit .7
6.3 Préparation des activités d’audit.8
6.3.1 Réalisation d’une revue des informations documentées .8
6.3.2 Planification de l’audit .8
6.4 Réalisation des activités d’audit . . .9
6.4.1 Généralités .9
6.4.2 Attribution des rôles et responsabilités du personnel d’assistance et des
observateurs .9
6.4.3 Conduite de la réunion d’ouverture .10
6.4.4 Communication pendant l’audit .11
6.4.5 Disponibilité et accès aux informations d’audit .11
6.4.6 Réalisation d’une revue des informations documentées au cours de l’audit .11
6.4.7 Recueil et vérification des informations .11
6.4.8 Production de constatations d’audit . 12
6.4.9 Détermination des conclusions d’audit . 12
6.4.10 Conduite de la réunion de clôture . 12
6.5 Préparation et diffusion du rapport d’audit . 12
6.6 Clôture de l’audit . 13
6.7 Réalisation du suivi d’audit . 13
7 Compétence et évaluation des auditeurs .13
7.1 Généralités . 13
7.2 Déterminer la compétence d’un auditeur . 13
7.2.1 Généralités . 13
7.2.2 Comportement personnel . 13
7.2.3 Connaissances et aptitudes . .14
7.2.4 Acquisition de la compétence d’auditeur . 15
7.2.5 Acquisition de la compétence de responsable d’équipe d’audit . 15
7.3 Déterminer les critères d’évaluation des auditeurs . 15
7.4 Choisir les méthodes d’évaluation des auditeurs appropriées . 15
7.5 Réaliser l’évaluation d’un auditeur .16
7.6 Maintien et amélioration de la compétence du ou des auditeurs .16
Annexe A (informative) Méthodes d’audit à distance . 17
Annexe B (informative) Pratiques utiles .21
Bibliographie .25

© ISO/IEC 2024 – Tous droits réservés
iii
Avant-propos
L'ISO (Organisation internationale de normalisation) et l’IEC (Commission électrotechnique internationale)
forment le système spécialisé de la normalisation mondiale. Les organismes nationaux membres de l'ISO ou
de l’IEC participent au développement de Normes internationales par l'intermédiaire des comités techniques
créés par l'organisation concernée afin de s'occuper des domaines particuliers de l'activité technique.
Les comités techniques de l'ISO et de l’IEC collaborent dans des domaines d'intérêt commun. D'autres
organisations internationales, gouvernementales et non gouvernementales, en liaison avec l'ISO et l’IEC,
participent également aux travaux.
Les procédures utilisées pour élaborer le présent document et celles destinées à sa mise à jour sont
décrites dans les Directives ISO/IEC, Partie 1. Il convient, en particulier de prendre note des différents
critères d'approbation requis pour les différents types de documents ISO. Le présent document a
été rédigé conformément aux règles de rédaction données dans les Directives ISO/IEC, Partie 2 (voir
www.iso.org/directives ou www.iec.ch/members_experts/refdocs).
L’ISO et l’IEC attirent l’attention sur le fait que la mise en application du présent document peut entraîner
l’utilisation d’un ou de plusieurs brevets. L’ISO et l’IEC ne prennent pas position quant à la preuve, à la
validité et à l’applicabilité de tout droit de brevet revendiqué à cet égard. À la date de publication du présent
document, L’ISO et l’IEC n'avaient pas reçu notification qu’un ou plusieurs brevets pouvaient être nécessaires
à sa mise en application. Toutefois, il y a lieu d’avertir les responsables de la mise en application du présent
document que des informations plus récentes sont susceptibles de figurer dans la base de données de
brevets, disponible à l'adresse www.iso.org/brevets et https://patents.iec.ch. L’ISO et l’IEC ne sauraient être
tenues pour responsables de ne pas avoir identifié tout ou partie de tels droits de propriété.
Les appellations commerciales éventuellement mentionnées dans le présent document sont données pour
information, par souci de commodité, à l’intention des utilisateurs et ne sauraient constituer un engagement.
Pour une explication de la nature volontaire des normes, la signification des termes et expressions spécifiques
de l'ISO liés à l'évaluation de la conformité, ou pour toute information au sujet de l'adhésion de l'ISO aux
principes de l’Organisation mondiale du commerce (OMC) concernant les obstacles techniques au commerce
(OTC), voir www.iso.org/iso/avant-propos. Pour l'IEC, voir www.iec.ch/understanding-standards.
Le présent document a été élaboré par le comité ISO pour l’évaluation de la conformité (CASCO).
Il convient que l’utilisateur adresse tout retour d’information ou toute question concernant le présent
document à l’organisme national de normalisation de son pays. Une liste exhaustive desdits organismes se
trouve à l’adresse www.iso.org/members.html et www.iec.ch/national-committees.

© ISO/IEC 2024 – Tous droits réservés
iv
Introduction
Le présent document a été élaboré en réponse aux avancées technologiques rapides et aux évolutions des
pratiques de travail sur la base de diverses expériences, notamment celles vécues pendant la pandémie de
coronavirus. L’application de méthodes d’audit à distance peut offrir divers avantages à toutes les parties
impliquées dans l’audit. Le présent document donne des recommandations sur la manière dont un audit peut
être mené efficacement et comment les objectifs d’un audit peuvent être atteints dans le cas d’utilisation de
méthodes d’audit à distance.
Les méthodes d’audit à distance peuvent améliorer l’efficacité d’un audit en réduisant le temps et les
coûts de déplacement et en réduisant l’empreinte carbone globale, ainsi qu’en évitant les risques liés aux
déplacements, en permettant l’accès virtuel à un plus grand nombre de sites. Elles ont pour autre avantage
de faciliter la diversité de participation à l’audit et l’implication accrue d’experts techniques dans l’audit,
ce qui permet des activités pluridisciplinaires qui peuvent améliorer l’efficacité globale de l’audit, tout en
assurant la continuité d’activité, en particulier en cas de situations et de conditions difficiles.
Le présent document vise à donner l’assurance que les méthodes d’audit à distance représentent une autre
façon de mener des audits de systèmes de management de manière durable et flexible et de donner confiance
aux clients, autorités de réglementation, propriétaires d’un système particulier et autres parties intéressées.
Le présent document inclut des recommandations relatives une approche par les risques, à suivre pour la
planification et la mise en œuvre des méthodes d’audit à distance qui peuvent s’appliquer aux organismes de
tous types et de toutes tailles. Le Tableau 1 et le Tableau 2 donnent des exemples de risques et d’opportunités.
Le présent document peut être utilisé à l’appui d’une approche sur site, à distance ou hybride pour l’audit de
systèmes de management.
NOTE L’ISO 19011:2018, Tableau 1 donne des exemples de différents types d’audits.
Le présent document peut également être utilisé à l’appui d’autres activités d’évaluation de la conformité,
telles que l’évaluation d’accréditation, la certification de produit ou l’évaluation par des pairs.
Le présent document soutient l’intégrité constante des audits de première partie, de seconde partie et de
tierce partie, y compris les audits de certification des systèmes de management, pour permettre qu’ils soient
menés de manière compétente, exhaustive et transparente dans le cas d’utilisation de méthodes d’audit
à distance. Le présent document peut également être utilisé à l’appui d’autres activités d’évaluation de la
conformité, telles que l’accréditation, la certification de produit ou l’évaluation par des pairs. Le présent
document donne des recommandations supplémentaires pour l’application de l’ISO 19011:2018 et de
l’ISO/IEC 17021-1.
Le présent document souligne l’importance de garantir que l’élément de sortie de tout processus d’audit
atteint les objectifs du programme d’audit. Le présent document ne prévaut pas sur de quelconques exigences
d’autres normes/systèmes.
Le présent document suit la même structure que l’ISO 19011:2018 afin de faciliter l’emploi simultané des
deux documents.
© ISO/IEC 2024 – Tous droits réservés
v
Spécification technique ISO/IEC TS 17012:2024(fr)
Évaluation de la conformité — Lignes directrices sur
l’utilisation de méthodes d’audit à distance pour l’audit des
systèmes de management
1 Domaine d’application
Le présent document donne des recommandations relatives à l’utilisation de méthodes d’audit à distance
pour l’audit des systèmes de management. Il est applicable à tous les organismes qui planifient et mènent
toutes sortes d’audits internes ou externes (c’est-à-dire audits de première partie, de seconde partie et de
tierce partie) de systèmes de management.
Le présent document soutient les principes généraux d’audit donnés dans l’ISO 19011:2018 et donne des
recommandations additionnelles relatives aux conditions, possibilités et limites spécifiques pour la mise en
œuvre de méthodes d’audit à distance.
Le présent document est destiné à renforcer la confiance dans l’utilisation de méthodes d’audit à distance
pour l’audit des systèmes de management entre clients, autorités de réglementation, organismes
d’accréditation, organismes de certification, propriétaires d’un système particulier, acteurs d’un secteur,
employés, consommateurs, fournisseurs et autres parties intéressées.
L’utilisation de méthodes d’audit à distance pour l’audit des systèmes de management n’est pas destinée à
remplacer les méthodes d’audit sur site. Les méthodes d’audit à distance sont plutôt destinées à servir d’outil
pour mener l’audit de manière efficace et efficiente.
NOTE Le présent document peut être utilisé pour d’autres types d’audits et d’évaluations.
2 Références normatives
Les documents suivants sont cités dans le texte de sorte qu’ils constituent, pour tout ou partie de leur
contenu, des exigences du présent document. Pour les références datées, seule l’édition citée s’applique. Pour
les références non datées, la dernière édition du document de référence s'applique (y compris les éventuels
amendements).
ISO/IEC 17000, Évaluation de la conformité — Vocabulaire et principes généraux
ISO 19011:2018, Lignes directrices pour l’audit des systèmes de management
3 Termes et définitions
Pour les besoins du présent document, les termes et les définitions de l’ISO 19011:2018 et l’ISO/IEC 17000
ainsi que les suivants s’appliquent.
L’ISO et l’IEC tiennent à jour des bases de données terminologiques destinées à être utilisées en normalisation,
consultables aux adresses suivantes:
— ISO Online browsing platform: disponible à l’adresse https:// www .iso .org/ obp
— IEC Electropedia: disponible à l’adresse https:// www .electropedia .org/

© ISO/IEC 2024 – Tous droits réservés
3.1
méthode d’audit à distance
méthode utilisée pour mener des activités d’audit à partir de n’importe quel endroit autre que le site de
l’audité
Note 1 à l'article: Les méthodes d’audit à distance peuvent être utilisées conjointement avec des méthodes sur site
pour réaliser un audit complet et efficace.
Note 2 à l'article: Les méthodes d’audit à distance peuvent être utilisées pour des lieux virtuels, c’est-à-dire là où un
organisme réalise un travail ou fournit un service en utilisant un environnement en ligne, permettant à des personnes
d’exécuter les processus quel que soit le lieu physique.
Note 3 à l'article: Les méthodes d’audit à distance peuvent être utilisées par l’auditeur sur un site de l’audité pour
auditer un autre site.
4 Principes de l’audit
Les principes de l’audit sont donnés dans l’ISO 19011:2018, Article 4.
5 Management d’un programme d’audit
5.1 Généralités
5.1.1 Des recommandations générales sont données dans l’ISO 19011:2018, 5.1.
5.1.2 Lors de la préparation du programme d’audit, il convient que l’organisme prenne en considération
les éléments suivants en ce qui concerne l’utilisation de méthodes d’audit à distance :
a) les principes mentionnés à l’Article 4 ;
b) les risques associés à l’efficacité du programme d’audit (voir 5.3) ;
c) les opportunités associées au programme d’audit (voir 5.3) et les contre-mesures ;
d) les questions de sécurité des informations, de confidentialité et de respect de la vie privée liées aux
méthodes d’audit à distance ;
e) la disponibilité des informations requises pour statuer sur leur applicabilité ;
f) l’acceptabilité et les limites pour les propriétaires d’un système particulier, les autorités de
réglementation et autres entités de spécification ;
g) la capacité à les utiliser.
5.2 Détermination des objectifs du programme d’audit
5.2.1 Des recommandations générales sont données dans l’ISO 19011:2018, 5.2.
5.2.2 L’organisme réalisant l’audit d’un système de management peut utiliser des méthodes d’audit à
distance notamment sous les conditions suivantes :
a) les méthodes d’audit à distance n’empêchent pas d’atteindre les objectifs du programme d’audit ;
b) l’utilisation de méthodes d’audit à distance est appropriée et acceptée par les parties intéressées
concernées ;
c) les technologies ont été sélectionnées et leur gestion a été définie ;
d) les informations requises pour utiliser des méthodes d’audit à distance sont suffisantes ;

© ISO/IEC 2024 – Tous droits réservés
e) le champ de l’utilisation de méthodes d’audit à distance (critères et limites d’audit) a été défini dans le
programme d’audit ;
f) la capacité des deux parties (c’est-à-dire de l’équipe d’audit et de l’audité) à utiliser des méthodes d’audit
à distance a été confirmée, notamment les compétences du personnel, les capacités techniques et les
capacités physiques ;
g) l’organisme réalisant l’audit du système de management et l’audité ont résolu toute différence de
compréhension des méthodes d’audit à distance ;
h) un accord a été conclu pour modifier la méthode d’audit à distance si nécessaire.
NOTE Une modification de méthodes d’audit à distance peut être d’autres méthodes d’audit à distance ou des
méthodes d’audit sur site.
5.2.3 Suivant le cas, il convient que l’organisme réalisant l’audit du système de management prépare et
mette en œuvre un processus permettant d’examiner la capacité de l’audité à utiliser des méthodes d’audit à
distance.
Il convient que l’organisme réalisant l’audit du système de management passe en revue les informations
obtenues en ce qui concerne les méthodes d’audit à distance et les communique à l’audité pour :
a) vérifier que l’audité respecte les conditions d’application des méthodes d’audit à distance, telles que
déterminées par l’évaluation du risque associé à leur utilisation (voir 5.3) ;
b) confirmer les points suivants :
1) la faisabilité d’atteindre les objectifs de l’audit dans les limites du champ d’audit défini dans le cadre
des méthodes d’audit à distance ;
2) les conditions d’aide pour l’utilisation de méthodes d’audit à distance, notamment l’assistance
technologique pour résoudre un quelconque problème ;
3) toutes exigences spécifiques ou supplémentaires concernant les méthodes convenues d’audit à
distance notamment en matière de compétences.
5.3 Détermination et évaluation des risques et des opportunités du programme d’audit
5.3.1 Des recommandations générales sont données dans l’ISO 19011:2018, 5.3.
5.3.2 Il convient que l’organisme réalisant l’audit du système de management prenne en considération les
risques et les opportunités liés au programme d’audit, en tenant compte de la connaissance de l’audité et
de toute expérience antérieure afin de déterminer si des méthodes d’audit à distance sont envisageables.
Il convient de ne pas autoriser des méthodes d’audit à distance lorsque l’évaluation du risque identifie une
menace inacceptable sur l’efficacité du processus d’audit. Il convient que la future planification :
— évite ou réduise les risques associés aux méthodes d’audit à distance ;
— exploite les opportunités identifiées de l’utilisation des méthodes d’audit à distance ;
— couvre l’évaluation de l’efficacité des actions menées pour traiter les risques et les opportunités ;
— garantisse que les résultats escomptés de l’audit seront atteints.

© ISO/IEC 2024 – Tous droits réservés
5.3.3 Des exemples de risques et d’opportunités liés à un programme d’audit et de leurs impacts potentiels
sont donnés dans le Tableau 1 et le Tableau 2.
Tableau 1 — Risques liés aux programmes d’audit et impact potentiel découlant de l’utilisation de
méthodes d’audit à distance
Risques Impact potentiel
Processus nécessitant une observation, traités de Les processus ne seraient pas audités de manière effi-
manière inadéquate dans le programme d’audit cace.
Incapacité à utiliser des méthodes d’audit à distance en Les processus ne seraient pas audités de manière effi-
raison de la nature du processus cace.
Limites dans l’application de l’échantillonnage aléatoire Les processus ne seraient pas audités de manière effi-
cace.
Capacité incertaine de l’audité à contribuer à l’application L’équipement technique nécessaire n’est pas adéquat et
de méthodes d’audit à distance empêche de ce fait un processus d’audit sans difficulté.
Compétence globale insuffisante de l’équipe d’audit pour Les objectifs de l’audit seraient compromis.
mener des audits efficacement, en utilisant des méthodes
d’audit à distance
Perte de temps due à une numérisation insuffisante Les informations nécessaires nécessitent d’être d’abord
numérisées. La perte de temps peut empêcher de revoir
la totalité des informations.
Compétence ou expérience limitée en matière d’utilisa- L’utilisation inefficace ou incorrecte des technologies
tion de technologies d’audit à distance peut limiter le processus et la qualité de la mise en œuvre
du plan d’audit.
Aucune disposition pour prévoir un plan différent en cas Les objectifs de l’audit peuvent être compromis.
d’échec des méthodes d’audit à distance
Les exigences spécifiques en matière de protection des Il existe un risque de violation de la législation en matière
données et de sécurité des informations dans le cadre de protection des données.
d’un échange d’informations numériques ne sont pas
prises en considération
Technologie inadéquate ou non fiable (par exemple, en ce L’audit ne peut pas être réalisé, ou il est réalisé de
qui concerne la stabilité et la qualité d’Internet) manière inefficace.
Incapacité à fournir des informations sensorielles adé- La mauvaise qualité des communications audio et
quates visuelles, ainsi que l’absence de perception des odeurs,
des vibrations, de la température et de l’humidité rela-
tive, peuvent limiter le potentiel d’obtention de preuves
d’audit fiables.
L’intégrité des preuves d’audit peut être compromise par Fiabilité possiblement douteuse ou réduite des conclu-
l’utilisation de méthodes d’audit à distance (par exemple, sions d’audit.
lisibilité réduite d’informations documentées, mauvaise
résolution vidéo, manque de visibilité de parties du pro-
cessus)
© ISO/IEC 2024 – Tous droits réservés
Tableau 2 — Opportunités liées aux programmes d’audit et impact potentiel découlant de
l’utilisation de méthodes d’audit à distance
Opportunités Bénéfice potentiel
Réduction voire suppression du temps de déplacement La réduction du temps de déplacement engendre des éco-
nomies financières et un gain de productivité, favorise la
continuité de l’audit et permet de réduire les émissions
carbone dues au déplacement.
Optimisation du temps d’audit Peut éliminer ou réduire le temps de familiarisation au
site et de transfert entre sites ou processus d’audit ; uti-
lise une technologie pour visualiser des zones vastes.
Temps de réaction rapide L’enregistrement des opportunités et des risques est
réalisé en temps opportun, en particulier pour des sites
nécessitant de longs voyages. Le programme d’audit et le
plan d’audit peuvent donc être ajustés rapidement.
Programmation facilitée et participation efficace même si La programmation d’audits, en particulier pour des
les parties intéressées se trouvent en des lieux différents participants ou des observateurs se trouvant en des lieux
différents pour lesquels un déplacement est difficile à
programmer ou à organiser, est simplifiée du fait que le
lieu n’est pas dissuasif.
Implication facile de parties externes L’implication temporaire de parties externes (par
exemple d’experts techniques) est facile à planifier et à
mettre en œuvre pour une brève intervention.
Possibilité d’audit de processus impliquant différents Les processus impliquant différents sites et leurs inter-
sites faces peuvent être facilement planifiés et audités de
concert, et n’ont pas à être scindés.
Évaluations ad hoc et immédiates de sujets précis En cas d’écarts soudains, un groupe défini de participants
peut programmer et mener un audit sans délai pour clari-
fier les problèmes.
Documentation et établissement de rapport facilités Grâce au plus grand nombre de preuves disponibles au
format électronique, le travail de gestion de la documen-
tation et d’établissement de rapport peut être réduit.
Accès direct aux données Disponibilité des preuves d’audit dans des applications
électroniques, ce qui évite de transférer de gros fichiers
de données et permet de gérer correctement la sécurité
électronique.
Santé et sécurité de l’équipe d’audit Pas d’exposition à des conditions potentiellement dan-
gereuses (par exemple, conflit, troubles sociaux, risques
sanitaires, radiations, risques liés au transport).
5.4 Établissement du programme d’audit
5.4.1 Des recommandations générales sont données dans l’ISO 19011:2018, 5.4.
5.4.2 Lors de la préparation du programme d’audit, il convient que l’organisme réalisant l’audit du système
de management :
a) garantisse que l’utilisation de méthodes d’audit à distance ne contredit pas les principes mentionnés à
l’Article 4 ;
b) prenne notamment en considération les aspects pertinents indiqués en 5.4.3.
5.4.3 Il convient que l’organisme réalisant l’audit du système de management communique avec l’audité
sur la mise en œuvre de méthodes d’audit à distance, confirme et parvienne à un accord avec l’audité sur les
aspects pertinents suivants :
a) les compétences et les responsabilités de l’organisme réalisant l’audit du système de
management (notamment du personnel), de l’audité et des prestataires externes [par exemple,

© ISO/IEC 2024 – Tous droits réservés
fournisseurs de services de technologie de l’information et de la communication (TIC) utilisés pour les
méthodes d’audit à distance, tels que des plateformes logicielles de tierce partie] ;
b) les risques en matière de sécurité des informations et les mesures de contrôle ;
c) le champ et les limites des méthodes d’audit à distance ;
d) les ressources (notamment la plateforme logicielle d’audit à distance), les approches et les méthodes
pour utiliser des méthodes d’audit à distance ;
e) les actions notamment, si cela est pertinent, une communication différente en cas de perturbation ;
f) l’évaluation des résultats de l’audit et l’efficacité des méthodes d’audit à distance pour atteindre les
objectifs de l’audit ;
g) la sécurité des informations et les risques liés à la protection des droits de propriété intellectuelle.
NOTE Des exigences légales peuvent s’appliquer.
5.5 Mise en œuvre du programme d’audit
5.5.1 Des recommandations générales sont données dans l’ISO 19011:2018, 5.5.
5.5.2 Il convient que l’organisme réalisant l’audit du système de management désigne une équipe d’audit
ayant la capacité à utiliser des méthodes d’audit à distance et communique les exigences pertinentes du
programme d’audit au responsable de l’équipe d’audit.
5.5.3 Il convient que l’accès à distance aux informations documentées concernant l’audit soit maintenu au
moins jusqu’à ce que l’auditeur présente le rapport.
NOTE L’accès à distance aux informations documentées peut être accordé si cela est nécessaire pour les activités
de suivi de l’audit.
5.6 Surveillance du programme d’audit
5.6.1 Des recommandations générales sont données dans l’ISO 19011:2018, 5.6.
5.6.2 Lors de la surveillance du programme d’audit, il convient que l’organisme réalisant l’audit du
système de management surveille l’utilisation des méthodes d’audit à distance pour garantir l’efficacité du
programme d’audit.
a) Il convient que l’organisme réalisant l’audit du système de management définisse le contenu du
programme d’audit à surveiller, notamment :
1) l’adéquation et la pertinence des ressources d’audit, notamment les compétences du personnel et les
performances de la méthode d’audit à distance ;
2) (le cas échéant) la pertinence des actions notamment une communication différente en cas de
perturbation ;
3) l’efficacité des mesures de contrôle de la sécurité et de la confidentialité des informations.
b) Il convient que l’organisme réalisant l’audit du système de management définisse la fréquence de
surveillance sur la base des résultats de l’identification et de l’évaluation des risques. Parmi les
méthodes de surveillance figure notamment l’utilisation d’une technologie adaptée aux méthodes
d’audit à distance pour observer les activités d’audit de l’équipe d’audit.
c) Lorsque l’élément de sortie de la surveillance montre que le processus d’audit n’est pas mis en œuvre
conformément au programme d’audit ou ne satisfait pas aux objectifs de l’audit, il convient de mettre
en œuvre un audit supplémentaire, des méthodes d’audit à distance ou sur site différentes ou d’autres

© ISO/IEC 2024 – Tous droits réservés
mesures correctives. Il convient de conserver des informations documentées appropriées comme
preuves de la surveillance.
5.7 Revue et amélioration du programme d’audit
5.7.1 Des recommandations générales sont données dans l’ISO 19011:2018, 5.7.
5.7.2 Lors de la revue du programme d’audit, il convient que l’organisme réalisant l’audit du système de
management évalue la pertinence et l’adéquation du programme d’audit dans le cas d’utilisation de méthodes
d’audit à distance.
5.7.3 Afin d’améliorer le programme d’audit, il convient de prendre en considération les résultats d’audit
et le retour d’information concernant l’utilisation des méthodes d’audit à distance, notamment :
a) le fait que les objectifs d’audit ont été atteints ou non et la nécessité d’apporter des modifications ;
b) l’efficacité ou autres avantages, ou les difficultés rencontrées ;
c) les autres retours d’information pertinents (par exemple en ce qui concerne la pertinence des méthodes
d’audit à distance pour des processus, sites ou fonctions donnés, ou en ce qui concerne de nouveaux
besoins en matière de compétence) ;
d) les expériences acquises de l'application des méthodes d’audit à distance.
5.7.4 Sur la base des considérations de 5.7.3, des modifications et des améliorations du programme d’audit
peuvent être apportées au programme d’audit existant pour les prochains audits et les futurs programmes
d’audit.
6 Réalisation d’un audit au moyen de méthodes d’audit à distance
6.1 Généralités
6.1.1 Des recommandations générales sont données dans l’ISO 19011:2018, 6.1.
6.1.2 Le choix des méthodes d’audit à distance à utiliser pour un audit dépend du type d’audit, du ou des
objectifs de l’audit et du champ de l’audit à mener.
NOTE Des recommandations relatives à l’application des méthodes d’audit à distance sont données à l’Annexe A.
6.1.3 Il convient que les participants de l’audit collaborent pour garantir que les méthodes d’audit à
distance sont utilisées efficacement.
6.1.4 Il est de la responsabilité de l’auditeur (voir 5.5) de satisfaire aux exigences applicables en matière
de sécurité des informations pendant la tenue d’un audit à l’aide de méthodes d’audit à distance.
6.2 Déclenchement de l’audit
6.2.1 Des recommandations générales sont données dans l’ISO 19011:2018, 6.2.
6.2.2 Il convient que le responsable de l’équipe d’audit prenne contact avec l’audité pour :
a) confirmer la légitimité de la réalisation de l’audit en utilisant les méthodes d’audit à distance identifiées
pour l’audit ;
b) fournir des informations à l’audité sur les méthodes d’audit à distance spécifiques à utiliser ;

© ISO/IEC 2024 – Tous droits réservés
c) obtenir de l’audité des précisions concernant les méthodes d’audit à distance qui sont fournies
(par exemple, la plateforme de communications) ;
d) demander l’accès à distance aux informations pertinentes pour la planification et la réalisation de
l’audit ;
e) établir dans quelle mesure des informations documentées et des preuves objectives électroniques sont
disponibles, pour permettre un audit en utilisant des méthodes d’audit à distance ;
f) le cas échéant, obtenir un consentement approprié (par exemple, transcription, enregistrement,
images) ;
g) confirmer les exigences en matière de sécurité et de confidentialité des données pour les méthodes
d’audit à distance identifiées pour l’audit ;
h) confirmer tous les autres risques qui peuvent limiter ou nécessiter des activités sur site (par exemple,
santé et sécurité, accès restreint, cage de Faraday électronique) ;
i) confirmer la compétence de l’audité à utiliser les méthodes d’audit à distance planifiées ;
j) prendre en considération toutes les opportunités qui peuvent réduire les risques (par exemple pour la
sécurité des auditeurs) découlant des méthodes d’audit à distance.
6.2.3 Il convient de prendre en considération les risques et opportunités pour déterminer s’il est
nécessaire de modifier les efforts et/ou ressources pour garantir l’obtention des objectifs de l’audit. La revue
peut donner lieu à une modification des méthodes d’audit qui sont appliquées (par exemple, une combinaison
de méthodes peut être utilisée à la place de méthodes d’audit entièrement à distance).
6.3 Préparation des activités d’audit
6.3.1 Réalisation d’une revue des informations documentées
Des recommandations générales sont données dans l’ISO 19011:2018, 6.3.1.
6.3.2 Planification de l’audit
6.3.2.1 Des recommandations générales sont données dans l’ISO 19011:2018, 6.3.2.
6.3.2.2 Il convient de prendre en considération les risques et opportunités liés à l’utilisation de méthodes
d’audit à distance lors de la planification de l’audit.
6.3.2.3 Lors de la préparation des activités d’audit qui impliquent l’utilisation de méthodes d’audit à
distance, il convient que les points suivants soient pris en considération et, suivant le cas, fassent l’objet d’un
accord avec l’audité :
a) lors de la revue du plan d’audit, confirmer la durée d’audit prévue chaque jour en tenant compte des
fuseaux horaires ;
b) convenir d’un moyen de communication différent en cas d’indisponibilité de l’outil principal ;
c) confirmer des protocoles pour gérer les l’utilisation des TIC, telles que les plateformes audio et vidéo ;
d) assurer la fonctionnalité de la technologie utilisée pour les méthodes d’audit à distance, le cas échéant,
couvrant :
1) l’accessibilité de la plateforme, en particulier pour tenir compte de besoins particuliers, (par exemple
la mise à disposition d’une transcription, si nécessaire) ;
2) la confirmation de la disponibilité des informations documentées via des moyens électroniques ;

© ISO/IEC 2024 – Tous droits réservés
3) l’utilisation de services de partage de fichiers ;
4) la qualité de la plateforme audio et vidéo ;
5) les circuits de traduction ou les plateformes supplémentaires ;
6) les modalités d’organisation de sessions à distance en petits-groupes ;
e) conclure des accords concernant les exigences en matière de confidentialité, de respect de la vie privée,
de sécurité des données et d’accès aux données ;
f) confirmer toutes les informations que l’audité est tenu de mettre à disposition à l’avance, par exemple
une liste d’informations documentées types, de preuves objectives et de rôles et responsabilités ;
g) convenir des outils et méthodes de traduction (notamment les technologies de traduction et de
transcription) à utiliser avant et pendant l’audit ;
h) prendre en considération la nécessité de fixer l’assistance technique pour toute technologie à utiliser
pour la méthode d’audit à distance choisie pour l’audit, y compris l’attribution des rôles pour l’assistance
relative à la plateforme (caméra, audio), la sécurité et l’accès (voir 6.4.2) ;
i) prendre en considération la protection des données, la conservation des enregistrements, la propriété
intellectuelle, l’autorisation de sécurité et les autres contrôles d’accès aux données et d’utilisation des
données ;
NOTE 1 Des exigences légales en matière de protection des données peuvent s’appliquer.
j) prendre en considération l’utilisation de moyens tels que des enregistrements, des transcriptions, des
photos et des drones ;
NOTE 2 Des exigences légales peuvent s’appliquer.
k) confirmer les responsabilités de l’accès à la plateforme donné aux participants de l’audit, notamment
aux membres de l’équipe d’audit, aux représentants de l’audité, aux interprètes, aux observateurs et au
personnel d’assistance ;
l) en cas de combinaison de méthodes d’audit à distance et sur site, s’assurer que le plan spécifie clairement
la partie de l’audit qui sera réalisée à distance, le ou les auditeurs qui interviendront à distance et le ou
les auditeurs qui seront sur site et quelles méthodes seront utilisées et par quels auditeurs.
6.4 Réalisation des activités d’audit
6.4.1 Généralités
6.4.1.1 Des recommandations générales sont données dans l’ISO 19011:2018, 6.4.1.
6.4.1.2 En cas d’utilisation de méthodes d’audit à distance, il convient d’accorder une attention particulière
aux risques et opportunités qui peuvent être rencontrés durant la réalisation de l’audit, notamment aux
techniques qui ne sont pas utilisées dans le cadre d’activités en face-à-face. L’Annexe A fournit quelques
exemples.
6.4.2 Attribution des rôles et responsabilités du personnel d’assistance et des observateurs
6.4.2.1 Des recommandations générales sont données dans l’ISO 19011:2018, 6.4.2.
6.4.2.2 En cas d’utilisation de méthodes d’audit à distance, il convient que le personnel d’assistance, les
observateurs et les auditeurs mandatés (voir A.3.3) soient inclus dans les processus de planification et de
communication, suivant le cas.

© ISO/IEC 2024 – Tous droits réservés
6.4.2.3 Personnel d’assistance
Pour les méthodes d’audit à distance, les rôles et responsabilités du personnel d’assistance seront semblables
à ceux des audits sur site et peuvent être endossés par l’audité ou l’organisme réalisant l’audit. Le personnel
d’assistance peut inclure différents types de personnel, notamment des interprètes, du personnel technique
spécialisé dans les technologies de l’information (TI) et des guides.
Le personnel d’assistance peut contribuer à :
a) faciliter la configuration (par exemple, caméra, audio et visuel), la communication et la mise en œuvre
de méthodes d’audit à distance (par exemple, réunion d’ouverture/de clôture, entretiens, observation
des processus) ;
b) définir les dispositions d’accès de l’équipe d’audit et, suivant le cas, du personnel d’assistance aux
informations documentées de l’audité par des méthodes d’audit à distance ;
c) garantir que l’équipe d’audit et le personnel d’assistance utilisent des protocoles d’accès à distance
convenus, notamment les dispositifs et logiciels demandé
...

ISO/CASCO
Date :  2024-07-16
ISO/IEC DTS 17012:2024(F)
ISO/CASCO
Secrétariat :  ISO
Évaluation de la conformité — Lignes directrices sur l’utilisation de méthodes
d’audit à distance pour l’audit des systèmes de management
Guidelines for the use of remote auditing methods in auditing management systems
ICS : 03.120.20
Type du document :  Spécification technique
Sous-type du document :
Stade du document :  (50) Approbation
Langue du document :  F
ISO/IEC DTS 17012:2024(F)
DOCUMENT PROTÉGÉ PAR COPYRIGHT
Tous droits réservés. Sauf prescription différente ou nécessité dans le contexte de sa mise
en œuvre, aucune partie de cette publication ne peut être reproduite ni utilisée sous quelque forme
que ce soit et par aucun procédé, électronique ou mécanique, y compris la photocopie, ou la
diffusion sur l’internet ou sur un intranet, sans autorisation écrite préalable. Une autorisation peut
être demandée à l’ISO à l’adresse ci-après ou au comité membre de l’ISO dans le pays
du demandeur.
ISO copyright office
Case postale 401 • Ch. de Blandonnet 8
CH-1214 Vernier, Genève
Tél. : +41 22 749 01 11
E-mail : copyright@iso.org
Web : www.iso.org
Field Code Changed
Publié en Suisse
ii
ISO/IEC DTS 17012:2024(F)
Sommaire Page
Avant-propos . v
Introduction . vi
1 Domaine d’application .1
2 Références normatives .1
3 Termes et définitions .1
4 Principes de l’audit .2
5 Management d’un programme d’audit .2
5.1 Généralités .2
5.2 Détermination des objectifs du programme d’audit .2
5.3 Détermination et évaluation des risques et des opportunités du programme d’audit .3
5.4 Établissement du programme d’audit .5
5.5 Mise en œuvre du programme d’audit .6
5.6 Surveillance du programme d’audit .6
5.7 Revue et amélioration du programme d’audit .7
6 Réalisation d’un audit au moyen de méthodes d’audit à distance .7
6.1 Généralités .7
6.2 Déclenchement de l’audit .8
6.3 Préparation des activités d’audit .8
6.3.1 Réalisation d’une revue des informations documentées .8
6.3.2 Planification de l’audit .8
6.4 Réalisation des activités d’audit . 10
6.4.1 Généralités . 10
6.4.2 Attribution des rôles et responsabilités du personnel d’assistance et des
observateurs . 10
6.4.3 Conduite de la réunion d’ouverture . 11
6.4.4 Communication pendant l’audit . 12
6.4.5 Disponibilité et accès aux informations d’audit . 12
6.4.6 Réalisation d’une revue des informations documentées au cours de l’audit . 12
6.4.7 Recueil et vérification des informations . 12
6.4.8 Production de constatations d’audit. 13
6.4.9 Détermination des conclusions d’audit . 13
6.4.10 Conduite de la réunion de clôture . 13
6.5 Préparation et diffusion du rapport d’audit . 13
6.6 Clôture de l’audit. 14
6.7 Réalisation du suivi d’audit. 14
7 Compétence et évaluation des auditeurs . 14
7.1 Généralités . 14
7.2 Déterminer la compétence d’un auditeur. 14
7.2.1 Généralités . 14
7.2.2 Comportement personnel . 14
7.2.3 Connaissances et aptitudes . 15
7.2.4 Acquisition de la compétence d’auditeur . 16
7.2.5 Acquisition de la compétence de responsable d’équipe d’audit . 16
7.3 Déterminer les critères d’évaluation des auditeurs . 16
7.4 Choisir la méthode d’évaluation des auditeurs appropriée . 17
7.5 Réaliser l’évaluation d’un auditeur . 17
iii
ISO/IEC DTS 17012:2024(F)
7.6 Maintien et amélioration de la compétence du ou des auditeurs . 17
Annexe A (informative) Méthodes d’audit à distance . 18
Annexe B (informative) Pratiques utiles . 22
Bibliographie . 26
iv
ISO/IEC DTS 17012:2024(F)
Avant-propos
L'ISO (Organisation internationale de normalisation) et l’IEC (Commission électrotechnique
internationale) forment le système spécialisé de la normalisation mondiale. Les organismes nationaux
membres de l'ISO ou de l’IEC participent au développement de Normes internationales par
l'intermédiaire des comités techniques créés par l'organisation concernée afin de s'occuper des domaines
particuliers de l'activité technique. Les comités techniques de l'ISO et de l’IEC collaborent dans des
domaines d'intérêt commun. D'autres organisations internationales, gouvernementales et non
gouvernementales, en liaison avec l'ISO et l’IEC, participent également aux travaux.
Les procédures utilisées pour élaborer le présent document et celles destinées à sa mise à jour sont
décrites dans les Directives ISO/IEC, Partie 1. Il convient, en particulier de prendre note des différents
critères d'approbation requis pour les différents types de documents ISO. Le présent document a été
rédigé conformément aux règles de rédaction données dans les Directives ISO/IEC, Partie 2 (voir
www.iso.org/directives ou www.iec.ch/members_experts/refdocs).
L’ISO et l’IEC attirent l’attention sur le fait que la mise en application du présent document peut entraîner
l’utilisation d’un ou de plusieurs brevets. L’ISO et l’IEC ne prennent pas position quant à la preuve, à la
validité et à l’applicabilité de tout droit de brevet revendiqué à cet égard. À la date de publication du
présent document, L’ISO et l’IEC n'avaient pas reçu notification qu’un ou plusieurs brevets pouvaient être
nécessaires à sa mise en application. Toutefois, il y a lieu d’avertir les responsables de la mise en
application du présent document que des informations plus récentes sont susceptibles de figurer dans la
base de données de brevets, disponible à l'adresse www.iso.org/brevets et https://patents.iec.ch. L’ISO
et l’IEC ne sauraient être tenues pour responsables de ne pas avoir identifié tout ou partie de tels droits
de propriété.
Les appellations commerciales éventuellement mentionnées dans le présent document sont données
pour information, par souci de commodité, à l’intention des utilisateurs et ne sauraient constituer un
engagement.
Pour une explication de la nature volontaire des normes, la signification des termes et expressions
spécifiques de l'ISO liés à l'évaluation de la conformité, ou pour toute information au sujet de l'adhésion
de l'ISO aux principes de l’Organisation mondiale du commerce (OMC) concernant les obstacles
techniques au commerce (OTC), voir www.iso.org/iso/avant-propos. Pour l'IEC, voir
www.iec.ch/understanding-standards.
Le présent document a été élaboré par le comité ISO pour l’évaluation de la conformité (CASCO).
Il convient que l’utilisateur adresse tout retour d’information ou toute question concernant le présent
document à l’organisme national de normalisation de son pays. Une liste exhaustive desdits organismes
se trouve à l’adresse www.iso.org/members.html et www.iec.ch/national-committees.
v
ISO/IEC DTS 17012:2024(F)
Introduction
Le présent document a été élaboré en réponse aux avancées technologiques rapides et aux évolutions des
pratiques de travail sur la base de diverses expériences, notamment celles vécues pendant la pandémie
de coronavirus. L’application de méthodes d’audit à distance peut offrir divers avantages à toutes les
parties impliquées dans l’audit. Le présent document donne des recommandations sur la manière dont
un audit peut être mené efficacement et comment les objectifs d’un audit peuvent être atteints dans le
cas d’utilisation de méthodes d’audit à distance.
Les méthodes d’audit à distance peuvent améliorer l’efficacité d’un audit en réduisant le temps et les
coûts de déplacement et en réduisant l’empreinte carbone globale, ainsi qu’en évitant les risques liés aux
déplacements, en permettant l’accès virtuel à un plus grand nombre de sites. Elles ont pour autre
avantage de faciliter la diversité de participation à l’audit et l’implication accrue d’experts techniques
dans l’audit, ce qui permet des activités pluridisciplinaires qui peuvent améliorer l’efficacité globale de
l’audit, tout en assurant la continuité d’activité, en particulier en cas de situations et de conditions
difficiles.
Le présent document vise à donner l’assurance que les méthodes d’audit à distance représentent une
autre façon de mener des audits de systèmes de management de manière durable et flexible et de donner
confiance aux clients, autorités de réglementation, propriétaires d’un système particulier et autres
parties intéressées.
Le présent document inclut des recommandations relatives une approche par les risques, à suivre pour
la planification et la mise en œuvre des méthodes d’audit à distance qui peuvent s’appliquer aux
organismes de tous types et de toutes tailles. Le Tableau 1 et le Tableau 2 donnent des exemples de
risques et d’opportunités.
Le présent document peut être utilisé à l’appui d’une approche sur site, à distance ou hybride pour l’audit
de systèmes de management.
NOTE L’ISO 19011:2018, Tableau 1 donne des exemples de différents types d’audits.
Le présent document peut également être utilisé à l’appui d’autres activités d’évaluation de la conformité,
telles que l’évaluation d’accréditation, la certification de produit ou l’évaluation par des pairs.
Le présent document soutient l’intégrité constante des audits de première partie, de seconde partie et de
tierce partie, y compris les audits de certification des systèmes de management, pour permettre qu’ils
soient menés de manière compétente, exhaustive et transparente dans le cas d’utilisation de méthodes
d’audit à distance. Le présent document peut également être utilisé à l’appui d’autres activités
d’évaluation de la conformité, telles que l’accréditation, la certification de produit ou l’évaluation par des
pairs. Le présent document donne des recommandations supplémentaires pour l’application de
l’ISO 19011:2018 et de l’ISO/IEC 17021-1.
Le présent document souligne l’importance de garantir que l’élément de sortie de tout processus d’audit
atteint les objectifs du programme d’audit. Le présent document ne prévaut pas sur de quelconques
exigences d’autres normes/systèmes.
Le présent document suit la même structure que l’ISO 19011:2018 afin de faciliter l’emploi simultané des
deux documents.
vi
PROJET FINAL DE SPÉCIFICATION TECHNIQUE ISO/IEC DTS 17012:2024(F)

Évaluation de la conformité — Lignes directrices sur
l’utilisation de méthodes d’audit à distance pour l’audit des
systèmes de management
1 Domaine d’application
Le présent document donne des recommandations relatives à l’utilisation de méthodes d’audit à distance
pour l’audit des systèmes de management. Il est applicable à tous les organismes qui planifient et mènent
toutes sortes d’audits internes ou externes (c’est-à-dire audits de première partie, de seconde partie et
de tierce partie) de systèmes de management.
Le présent document soutient les principes généraux d’audit donnés dans l’ISO 19011:2018 et donne des Deleted: complète
recommandations additionnelles relatives aux conditions, possibilités et limites spécifiques pour la mise
en œuvre de méthodes d’audit à distance.
Le présent document est destiné à renforcer la confiance dans l’utilisation de méthodes d’audit à distance
pour l’audit des systèmes de management entre clients, autorités de réglementation, organismes
d’accréditation, organismes de certification, propriétaires d’un système particulier, acteurs d’un secteur,
employés, consommateurs, fournisseurs et autres parties intéressées.
L’utilisation de méthodes d’audit à distance pour l’audit des systèmes de management n’est pas destinée
à remplacer les méthodes d’audit sur site. Les méthodes d’audit à distance sont plutôt destinées à servir
d’outil pour mener l’audit de manière efficace et efficiente.
NOTE Le présent document peut être utilisé pour d’autres types d’audits et d’évaluations.
2 Références normatives
Les documents suivants sont cités dans le texte de sorte qu’ils constituent, pour tout ou partie de leur
contenu, des exigences du présent document. Pour les références datées, seule l’édition citée s’applique.
Pour les références non datées, la dernière édition du document de référence s'applique (y compris les
éventuels amendements).
ISO/IEC 17000, Évaluation de la conformité — Vocabulaire et principes généraux Deleted:
Deleted: >
ISO 19011:2018, Lignes directrices pour l’audit des systèmes de management
Deleted:
Deleted:
3 Termes et définitions
Deleted: >
Pour les besoins du présent document, les termes et les définitions de l’ISO 19011:2018 et
Deleted:
l’ISO/IEC 17000 ainsi que les suivants s’appliquent.
L’ISO et l’IEC tiennent à jour des bases de données terminologiques destinées à être utilisées en
normalisation, consultables aux adresses suivantes:
— ISO Online browsing platform: disponible à l’adresse https://www.iso.org/obp
— IEC Electropedia: disponible à l’adresse https://www.electropedia.org/
ISO/IEC DTS 17012:2024(F)
3.1
méthode d’audit à distance
méthode utilisée pour mener des activités d’audit à partir de n’importe quel endroit autre que le site de Deleted: à distance
l’audité
Deleted: situé en dehors du
Note 1 à l’article : Les méthodes d’audit à distance peuvent être utilisées conjointement avec des méthodes sur site
pour réaliser un audit complet et efficace.
Note 2 à l’article : Les méthodes d’audit à distance peuvent être utilisées pour des lieux virtuels, c’est-à-dire là où
un organisme réalise un travail ou fournit un service en utilisant un environnement en ligne, permettant à des
personnes d’exécuter les processus quel que soit le lieu physique.
Note 3 à l’article : Les méthodes d’audit à distance peuvent être utilisées par l’auditeur sur un site de l’audité pour
auditer un autre site.
4 Principes de l’audit
Les principes de l’audit sont donnés dans l’ISO 19011:2018, Article 4.
5 Management d’un programme d’audit
5.1 Généralités
5.1.1 Des recommandations générales sont données dans l’ISO 19011:2018, 5.1.
5.1.2 Lors de la préparation du programme d’audit, il convient que l’organisme prenne en
considération les éléments suivants en ce qui concerne l’utilisation de méthodes d’audit à distance :
a) les principes mentionnés à l’Article 4 ;
b) les risques associés à l’efficacité du programme d’audit (voir 5.3) ;
c) les opportunités associées au programme d’audit (voir 5.3) et les contre-mesures ;
d) les questions de sécurité des informations, de confidentialité et de respect de la vie privée liées aux
méthodes d’audit à distance ;
e) la disponibilité des informations requises pour statuer sur leur applicabilité ; Deleted: l’applicabilité
Deleted: des méthodes d’audit à distance
f) l’acceptabilité et les limites pour les propriétaires d’un système particulier, les autorités de
réglementation et autres entités de spécification ;
g) la capacité à les utiliser. Deleted: des méthodes d’audit à distance
5.2 Détermination des objectifs du programme d’audit
5.2.1 Des recommandations générales sont données dans l’ISO 19011:2018, 5.2.
5.2.2 L’organisme réalisant l’audit d’un système de management peut utiliser des méthodes d’audit à
distance notamment sous les conditions suivantes :
a) les méthodes d’audit à distance n’empêchent pas d’atteindre les objectifs du programme d’audit ;
b) l’utilisation de méthodes d’audit à distance est appropriée et acceptée par les parties intéressées
concernées ;
ISO/IEC DTS 17012:2024(F)
c) les technologies ont été sélectionnées et leur gestion a été définie ;
d) les informations requises pour utiliser des méthodes d’audit à distance sont suffisantes ;
e) le champ de l’utilisation de méthodes d’audit à distance (critères et limites d’audit) a été défini dans
le programme d’audit ;
f) la capacité des deux parties (c’est-à-dire de l’équipe d’audit et de l’audité) à utiliser des méthodes
d’audit à distance a été confirmée, notamment les compétences du personnel, les capacités
techniques et les capacités physiques ;
g) l’organisme réalisant l’audit du système de management et l’audité ont résolu toute différence de
compréhension des méthodes d’audit à distance ;
h) un accord a été conclu pour modifier la méthode d’audit à distance si nécessaire.
NOTE Une modification de méthodes d’audit à distance peut être d’autres méthodes d’audit à distance ou des
méthodes d’audit sur site.
5.2.3 Suivant le cas, il convient que l’organisme réalisant l’audit du système de management prépare et
mette en œuvre un processus permettant d’examiner la capacité de l’audité à utiliser des méthodes
d’audit à distance.
Il convient que l’organisme réalisant l’audit du système de management passe en revue les informations
obtenues en ce qui concerne les méthodes d’audit à distance et les communique à l’audité pour :
a) vérifier que l’audité respecte les conditions d’application des méthodes d’audit à distance, telles que
déterminées par l’évaluation du risque associé à leur utilisation (voir 5.3) ;
b) confirmer les points suivants :
1) la faisabilité d’atteindre les objectifs de l’audit dans les limites du champ d’audit défini dans le
cadre des méthodes d’audit à distance ;
2) les conditions d’aide pour l’utilisation de méthodes d’audit à distance, notamment l’assistance
technologique pour résoudre un quelconque problème ;
3) toutes exigences spécifiques ou supplémentaires concernant les méthodes convenues d’audit à
distance notamment en matière de compétences.
5.3 Détermination et évaluation des risques et des opportunités du programme d’audit
5.3.1 Des recommandations générales sont données dans l’ISO 19011:2018, 5.3.
5.3.2 Il convient que l’organisme réalisant l’audit du système de management prenne en considération
les risques et les opportunités liés au programme d’audit, en tenant compte de la connaissance de l’audité
et de toute expérience antérieure afin de déterminer si des méthodes d’audit à distance sont
envisageables. Il convient de ne pas autoriser des méthodes d’audit à distance lorsque l’évaluation du Deleted: Il convient de prendre en considération la
connaissance de l’audité et l’expérience antérieure pour
risque identifie une menace inacceptable sur l’efficacité du processus d’audit. Il convient que la future
décider de la faisabilité d’appliquer les méthodes d’audit à
planification :
distance. …
— évite ou réduise les risques associés aux méthodes d’audit à distance ; Deleted: — garantisse que les résultats escomptés de
l’audit seront atteints ;¶
— exploite les opportunités identifiées de l’utilisation des méthodes d’audit à distance ;
ISO/IEC DTS 17012:2024(F)
— couvre l’évaluation de l’efficacité des actions menées pour traiter les risques et les opportunités ; Deleted: .
— garantisse que les résultats escomptés de l’audit seront atteints.
5.3.3 Des exemples de risques et d’opportunités liés à un programme d’audit et de leurs impacts
potentiels sont donnés dans le Tableau 1 et le Tableau 2.
Tableau 1 — Risques liés aux programmes d’audit et impact potentiel découlant de l’utilisation
de méthodes d’audit à distance
Risques Impact potentiel
Processus nécessitant une observation, traités de Les processus ne seraient pas audités de manière
manière inadéquate dans le programme d’audit efficace.
Incapacité à utiliser des méthodes d’audit à distance Les processus ne seraient pas audités de manière
en raison de la nature du processus efficace.
Limites dans l’application de l’échantillonnage Les processus ne seraient pas audités de manière
aléatoire efficace.
Capacité incertaine de l’audité à contribuer à L’équipement technique nécessaire n’est pas adéquat
l’application de méthodes d’audit à distance et empêche de ce fait un processus d’audit sans
difficulté.
Compétence globale insuffisante de l’équipe d’audit Les objectifs de l’audit seraient compromis.
pour mener des audits efficacement, en utilisant des
méthodes d’audit à distance
Perte de temps due à une numérisation insuffisante Les informations nécessaires nécessitent d’être
d’abord numérisées. La perte de temps peut empêcher
de revoir la totalité des informations.
Compétence ou expérience limitée en matière L’utilisation inefficace ou incorrecte des technologies
d’utilisation de technologies d’audit à distance peut limiter le processus et la qualité de la mise en
œuvre du plan d’audit.
Aucune disposition pour prévoir un plan différent en Les objectifs de l’audit peuvent être compromis.
cas d’échec des méthodes d’audit à distance
Les exigences spécifiques en matière de protection Il existe un risque de violation de la législation en
des données et de sécurité des informations dans le matière de protection des données.
cadre d’un échange d’informations numériques ne
sont pas prises en considération
Technologie inadéquate ou non fiable (par exemple, L’audit ne peut pas être réalisé, ou il est réalisé de
en ce qui concerne la stabilité et la qualité d’Internet) manière inefficace.
Incapacité à fournir des informations sensorielles La mauvaise qualité des communications audio et
adéquates visuelles, ainsi que l’absence de perception des
odeurs, des vibrations, de la température et de
l’humidité relative, peuvent limiter le potentiel
d’obtention de preuves d’audit fiables.
L’intégrité des preuves d’audit peut être compromise Fiabilité possiblement douteuse ou réduite des
par l’utilisation de méthodes d’audit à distance (par conclusions d’audit.
exemple, lisibilité réduite d’informations
documentées, mauvaise résolution vidéo, manque de
visibilité de parties du processus)
ISO/IEC DTS 17012:2024(F)
Tableau 2 — Opportunités liées aux programmes d’audit et impact potentiel découlant de
l’utilisation de méthodes d’audit à distance
Opportunités Bénéfice potentiel
Réduction voire suppression du temps de La réduction du temps de déplacement engendre des
déplacement économies financières et un gain de productivité,
favorise la continuité de l’audit et permet de réduire
les émissions carbone dues au déplacement.
Optimisation du temps d’audit Peut éliminer ou réduire le temps de familiarisation
au site et de transfert entre sites ou processus
d’audit ; utilise une technologie pour visualiser des
zones vastes.
Temps de réaction rapide L’enregistrement des opportunités et des risques est
réalisé en temps opportun, en particulier pour des
sites nécessitant de longs voyages. Le programme
d’audit et le plan d’audit peuvent donc être ajustés
rapidement.
Programmation facilitée et participation efficace La programmation d’audits, en particulier pour des
même si les parties intéressées se trouvent en des participants ou des observateurs se trouvant en des
lieux différents lieux différents pour lesquels un déplacement est
difficile à programmer ou à organiser, est simplifiée
du fait que le lieu n’est pas dissuasif.
Implication facile de parties externes L’implication temporaire de parties externes (par
exemple d’experts techniques) est facile à planifier et
à mettre en œuvre pour une brève intervention.
Possibilité d’audit de processus impliquant différents Les processus impliquant différents sites et leurs
sites interfaces peuvent être facilement planifiés et audités
de concert, et n’ont pas à être scindés.
Évaluations ad hoc et immédiates de sujets précis En cas d’écarts soudains, un groupe défini de
participants peut programmer et mener un audit sans
délai pour clarifier les problèmes.
Documentation et établissement de rapport facilités Grâce au plus grand nombre de preuves disponibles
au format électronique, le travail de gestion de la
documentation et d’établissement de rapport peut
être réduit.
Accès direct aux données Disponibilité des preuves d’audit dans des
applications électroniques, ce qui évite de transférer
de gros fichiers de données et permet de gérer
correctement la sécurité électronique.
Santé et sécurité de l’équipe d’audit Pas d’exposition à des conditions potentiellement
dangereuses (par exemple, conflit, troubles sociaux,
risques sanitaires, radiations, risques liés au
transport).
5.4 Établissement du programme d’audit
5.4.1 Des recommandations générales sont données dans l’ISO 19011:2018, 5.4.
5.4.2 Lors de la préparation du programme d’audit, il convient que l’organisme réalisant l’audit du
système de management :
ISO/IEC DTS 17012:2024(F)
a) garantisse que l’utilisation de méthodes d’audit à distance ne contredit pas les principes mentionnés
à l’Article 4 ;
b) prenne notamment en considération les aspects pertinents indiqués en 5.4.3.
5.4.3 Il convient que l’organisme réalisant l’audit du système de management communique avec
l’audité sur la mise en œuvre de méthodes d’audit à distance, confirme et parvienne à un accord avec
l’audité sur les aspects pertinents suivants :
a) les compétences et les responsabilités de l’organisme réalisant l’audit du système de
management (notamment du personnel), de l’audité et des prestataires externes [par exemple,
fournisseurs de services de technologie de l’information et de la communication (TIC) utilisés pour
les méthodes d’audit à distance, tels que des plateformes logicielles de tierce partie] ;
b) les risques en matière de sécurité des informations et les mesures de contrôle ;
c) le champ et les limites des méthodes d’audit à distance ;
d) les ressources (notamment la plateforme logicielle d’audit à distance), les approches et les méthodes
pour utiliser des méthodes d’audit à distance ;
e) les actions notamment, si cela est pertinent, une communication différente en cas de perturbation ;
f) l’évaluation des résultats de l’audit et l’efficacité des méthodes d’audit à distance pour atteindre les
objectifs de l’audit ;
g) la sécurité des informations et les risques liés à la protection des droits de propriété intellectuelle.
NOTE Des exigences légales peuvent s’appliquer.
5.5 Mise en œuvre du programme d’audit
5.5.1 Des recommandations générales sont données dans l’ISO 19011:2018, 5.5.
5.5.2 Il convient que l’organisme réalisant l’audit du système de management désigne une équipe
d’audit ayant la capacité à utiliser des méthodes d’audit à distance et communique les exigences
pertinentes du programme d’audit au responsable de l’équipe d’audit.
5.5.3 Il convient que l’accès à distance aux informations documentées concernant l’audit soit maintenu
au moins jusqu’à ce que l’auditeur présente le rapport.
NOTE L’accès à distance aux informations documentées peut être accordé si cela est nécessaire pour les activités
de suivi de l’audit.
5.6 Surveillance du programme d’audit
5.6.1 Des recommandations générales sont données dans l’ISO 19011:2018, 5.6.
5.6.2 Lors de la surveillance du programme d’audit, il convient que l’organisme réalisant l’audit du
système de management surveille l’utilisation des méthodes d’audit à distance pour garantir l’efficacité
du programme d’audit.
a) Il convient que l’organisme réalisant l’audit du système de management définisse le contenu du
programme d’audit à surveiller, notamment :
ISO/IEC DTS 17012:2024(F)
1) l’adéquation et la pertinence des ressources d’audit, notamment les compétences du personnel
et les performances de la méthode d’audit à distance ;
2) (le cas échéant) la pertinence des actions notamment une communication différente en cas de
perturbation ;
3) l’efficacité des mesures de contrôle de la sécurité et de la confidentialité des informations.
b) Il convient que l’organisme réalisant l’audit du système de management définisse la fréquence de
surveillance sur la base des résultats de l’identification et de l’évaluation des risques. Parmi les
méthodes de surveillance figure notamment l’utilisation d’une technologie adaptée aux méthodes
d’audit à distance pour observer les activités d’audit de l’équipe d’audit.
c) Lorsque l’élément de sortie de la surveillance montre que le processus d’audit n’est pas mis en œuvre
conformément au programme d’audit ou ne satisfait pas aux objectifs de l’audit, il convient de mettre
en œuvre un audit supplémentaire, des méthodes d’audit à distance ou sur site différentes ou
d’autres mesures correctives. Il convient de conserver des informations documentées appropriées
comme preuves de la surveillance.
5.7 Revue et amélioration du programme d’audit
5.7.1 Des recommandations générales sont données dans l’ISO 19011:2018, 5.7.
5.7.2 Lors de la revue du programme d’audit, il convient que l’organisme réalisant l’audit du système
de management évalue la pertinence et l’adéquation du programme d’audit dans le cas d’utilisation de
méthodes d’audit à distance.
5.7.3 Afin d’améliorer le programme d’audit, il convient de prendre en considération les résultats
d’audit et le retour d’information concernant l’utilisation des méthodes d’audit à distance, notamment :
a) le fait que les objectifs d’audit ont été atteints ou non et la nécessité d’apporter des modifications ;
b) l’efficacité ou autres avantages, ou les difficultés rencontrées ;
c) les autres retours d’information pertinents (par exemple en ce qui concerne la pertinence des
méthodes d’audit à distance pour des processus, sites ou fonctions donnés, ou en ce qui concerne de
nouveaux besoins en matière de compétence) ; Deleted: ).
d) les expériences acquises de l'application des méthodes d’audit à distance.
5.7.4 Sur la base des considérations de 5.7.3, des modifications et des améliorations du programme
d’audit peuvent être apportées au programme d’audit existant pour les prochains audits et les futurs
programmes d’audit.
6 Réalisation d’un audit au moyen de méthodes d’audit à distance
6.1 Généralités
6.1.1 Des recommandations générales sont données dans l’ISO 19011:2018, 6.1.
6.1.2 Le choix des méthodes d’audit à distance à utiliser pour un audit dépend du type d’audit, du ou
des objectifs de l’audit et du champ de l’audit à mener.
NOTE Des recommandations relatives à l’application des méthodes d’audit à distance sont données à l’Annexe A.
ISO/IEC DTS 17012:2024(F)
6.1.3 Il convient que les participants de l’audit collaborent pour garantir que les méthodes d’audit à
distance sont utilisées efficacement.
6.1.4 Il est de la responsabilité de l’auditeur (voir 5.5) de satisfaire aux exigences applicables en
matière de sécurité des informations pendant la tenue d’un audit à l’aide de méthodes d’audit à distance.
6.2 Déclenchement de l’audit Deleted: NOTE Des exigences légales peuvent
s’appliquer.¶
6.2.1 Des recommandations générales sont données dans l’ISO 19011:2018, 6.2.
6.2.2 Il convient que le responsable de l’équipe d’audit prenne contact avec l’audité pour :
a) confirmer la légitimité de la réalisation de l’audit en utilisant les méthodes d’audit à distance
identifiées pour l’audit ;
b) fournir des informations à l’audité sur les méthodes d’audit à distance spécifiques à utiliser ;
c) obtenir de l’audité des précisions concernant les méthodes d’audit à distance qui sont fournies
(par exemple, la plateforme de communications) ;
d) demander l’accès à distance aux informations pertinentes pour la planification et la réalisation de
l’audit ;
e) établir dans quelle mesure des informations documentées et des preuves objectives électroniques
sont disponibles, pour permettre un audit en utilisant des méthodes d’audit à distance ;
f) le cas échéant, obtenir un consentement approprié (par exemple, transcription, enregistrement,
images) ;
g) confirmer les exigences en matière de sécurité et de confidentialité des données pour les méthodes
d’audit à distance identifiées pour l’audit ;
h) confirmer tous les autres risques qui peuvent limiter ou nécessiter des activités sur site (par exemple,
santé et sécurité, accès restreint, cage de Faraday électronique) ;
i) confirmer la compétence de l’audité à utiliser les méthodes d’audit à distance planifiées ;
j) prendre en considération toutes les opportunités qui peuvent réduire les risques (par exemple pour
la sécurité des auditeurs) découlant des méthodes d’audit à distance.
6.2.3 Il convient de prendre en considération les risques et opportunités pour déterminer s’il est
nécessaire de modifier les efforts et/ou ressources pour garantir l’obtention des objectifs de l’audit.
La revue peut donner lieu à une modification des méthodes d’audit qui sont appliquées (par exemple, une
combinaison de méthodes peut être utilisée à la place de méthodes d’audit entièrement à distance).
6.3 Préparation des activités d’audit
6.3.1 Réalisation d’une revue des informations documentées
Des recommandations générales sont données dans l’ISO 19011:2018, 6.3.1.
6.3.2 Planification de l’audit
6.3.2.1 Des recommandations générales sont données dans l’ISO 19011:2018, 6.3.2.
ISO/IEC DTS 17012:2024(F)
6.3.2.2 Il convient de prendre en considération les risques et opportunités liés à l’utilisation de
méthodes d’audit à distance lors de la planification de l’audit.
6.3.2.3 Lors de la préparation des activités d’audit qui impliquent l’utilisation de méthodes d’audit à
distance, il convient que les points suivants soient pris en considération et, suivant le cas, fassent l’objet
d’un accord avec l’audité :
a) lors de la revue du plan d’audit, confirmer la durée d’audit prévue chaque jour en tenant compte des
fuseaux horaires ;
b) convenir d’un moyen de communication différent en cas d’indisponibilité de l’outil principal ;
c) confirmer des protocoles pour gérer les l’utilisation des TIC, telles que les plateformes audio et
vidéo ; Deleted: et audio
d) assurer la fonctionnalité de la technologie utilisée pour les méthodes d’audit à distance, le cas
échéant, couvrant :
1) l’accessibilité de la plateforme, en particulier pour tenir compte de besoins particuliers,
(par exemple la mise à disposition d’une transcription, si nécessaire) ;
2) la confirmation de la disponibilité des informations documentées via des moyens électroniques ;
3) l’utilisation de services de partage de fichiers ;
4) la qualité de la plateforme audio et vidéo ; Deleted: de l’audio et du visuel
Deleted: prévue
5) les circuits de traduction ou les plateformes supplémentaires ;
6) les modalités d’organisation de sessions à distance en petits-groupes ;
e) conclure des accords concernant les exigences en matière de confidentialité, de respect de la vie
privée, de sécurité des données et d’accès aux données ;
f) confirmer toutes les informations que l’audité est tenu de mettre à disposition à l’avance,
par exemple une liste d’informations documentées types, de preuves objectives et de rôles et
responsabilités ;
g) convenir des outils et méthodes de traduction (notamment les technologies de traduction et de
transcription) à utiliser avant et pendant l’audit ;
h) prendre en considération la nécessité de fixer l’assistance technique pour toute technologie à utiliser
pour la méthode d’audit à distance choisie pour l’audit, y compris l’attribution des rôles pour
l’assistance relative à la plateforme (caméra, audio), la sécurité et l’accès (voir 6.4.2) ;
i) prendre en considération la protection des données, la conservation des enregistrements,
la propriété intellectuelle, l’autorisation de sécurité et les autres contrôles d’accès aux données et
d’utilisation des données ;
NOTE 1 Des exigences légales en matière de protection des données peuvent s’appliquer.
j) prendre en considération l’utilisation de moyens tels que des enregistrements, des transcriptions,
des photos et des drones ;
NOTE 2 Des exigences légales peuvent s’appliquer.
ISO/IEC DTS 17012:2024(F)
k) confirmer les responsabilités de l’accès à la plateforme donné aux participants de l’audit, notamment
aux membres de l’équipe d’audit, aux représentants de l’audité, aux interprètes, aux observateurs et
au personnel d’assistance ;
l) en cas de combinaison de méthodes d’audit à distance et sur site, s’assurer que le plan spécifie
clairement la partie de l’audit qui sera réalisée à distance, le ou les auditeurs qui interviendront à
distance et le ou les auditeurs qui seront sur site et quelles méthodes seront utilisées et par quels
auditeurs.
6.4 Réalisation des activités d’audit
6.4.1 Généralités
6.4.1.1 Des recommandations générales sont données dans l’ISO 19011:2018, 6.4.1.
6.4.1.2 En cas d’utilisation de méthodes d’audit à distance, il convient d’accorder une attention
particulière aux risques et opportunités qui peuvent être rencontrés durant la réalisation de l’audit,
notamment aux techniques qui ne sont pas utilisées dans le cadre d’activités en face-à-face. L’Annexe A
fournit quelques exemples.
6.4.2 Attribution des rôles et responsabilités du personnel d’assistance et des observateurs
6.4.2.1 Des recommandations générales sont données dans l’ISO 19011:2018, 6.4.2.
6.4.2.2 En cas d’utilisation de méthodes d’audit à distance, il convient que le personnel d’assistance, les
observateurs et les auditeurs mandatés (voir A.3.3) soient inclus dans les processus de planification et de
communication, suivant le cas.
6.4.2.3 Personnel d’assistance
Pour les méthodes d’audit à distance, les rôles et responsabilités du personnel d’assistance seront
semblables à ceux des audits sur site et peuvent être endossés par l’audité ou l’organisme réalisant l’audit.
Le personnel d’assistance peut inclure différents types de personnel, notamment des interprètes,
du personnel technique spécialisé dans les technologies de l’information (TI) et des guides.
Le personnel d’assistance peut contribuer à :
a) faciliter la configuration (par exemple, caméra, audio et visuel), la communication et la mise en œuvre
de méthodes d’audit à distance (par exemple, réunion d’ouverture/de clôture, entretiens,
observation des processus) ;
b) définir les dispositions d’accès de l’équipe d’audit et, suivant le cas, du personnel d’assistance aux
informations documentées de l’audité par des méthodes d’audit à distance ;
c) garantir que l’équipe d’audit et le personnel d’assistance utilisent des protocoles d’accès à distance
convenus, notamment les dispositifs et logiciels demandés ;
d) mener des vérifications techniques sur les outils d’audit à distance avant l’audit pour résoudre des
problèmes techniques, tels que des perturbations dues au bruit de fond et des interruptions ;
e) garantir que des plans d’urgence sont disponibles et communiqués à tous les participants de l’audit
(par exemple, interruption de l’accès, utilisation d’une autre technologie) ;
f) assurer la confidentialité et le respect de la vie privée lors de l’utilisation de méthodes d’audit à
distance, par exemple en coupant les microphones et en arrêtant les caméras.
6.4.2.4 Observateurs
...

Especificación
Técnica
ISO/IEC TS 17012
Primera edición
Evaluación de la conformidad —
2024-07
Directrices para el uso de métodos
de auditoría remota en auditorías
de sistemas de gestión
Conformity assessment — Guidelines for the use of remote
auditing methods in auditing management systems
Publicado por la Secretaría Central de ISO en Ginebra, Suiza,
como traducción oficial en español avalada por el Translation
Management Group, que ha certificado la conformidad en
relación con las versiones inglesa y francesa.
Número de referencia
DOCUMENTO PROTEGIDO POR COPYRIGHT
© ISO 2024
Todos los derechos reservados. Salvo que se especifique de otra manera o se requiera en el contexto de su implementación, no
puede reproducirse ni utilizarse ninguna parte de esta publicación bajo ninguna forma y por ningún medio, electrónico o mecánico,
incluidos el fotocopiado, o la publicación en Internet o una Intranet, sin la autorización previa por escrito. La autorización puede
solicitarse a ISO en la siguiente dirección o al organismo miembro de ISO en el país del solicitante.
ISO copyright office
CP 401 • Ch. de Blandonnet 8
CH-1214 Vernier, Geneva
Phone: +41 22 749 01 11
Email: copyright@iso.org
Website: www.iso.org
Publicado en Suiza
Versión en español publicada en 2025
Traducción oficial
© ISO/IEC 2024 – Todos los derechos reservados
ii
Índice Página
Prólogo .iv
Prólogo de la versión en español.v
Introducción .vi
1 Objeto y campo de aplicación . 1
2 Referencias normativas . 1
3 Términos y definiciones . 1
4 Principios de auditoría . 2
5 Gestión de un programa de auditoría . 2
5.1 Generalidades .2
5.2 Establecimiento de los objetivos del programa de auditoría .2
5.3 Determinación y evaluación de los riesgos y oportunidades del programa de auditoría .3
5.4 Establecimiento del programa de auditoría .5
5.5 Implementación del programa de auditoría .6
5.6 Seguimiento del programa de auditoría .6
5.7 Revisión y mejora del programa de auditoría .7
6 Realización de una auditoría utilizando métodos de auditoría remota . 7
6.1 Generalidades .7
6.2 Inicio de la auditoría .7
6.3 Preparación de las actividades de auditoría .8
6.3.1 Realización de la revisión de la información documentada .8
6.3.2 Planificación de la auditoría .8
6.4 Realización de las actividades de auditoría .9
6.4.1 Generalidades .9
6.4.2 Asignación de roles y responsabilidades del personal de apoyo y los
observadores .9
6.4.3 Realización de la reunión de apertura .10
6.4.4 Comunicación durante la auditoría .11
6.4.5 Disponibilidad y acceso a la información de auditoría .11
6.4.6 Revisión de la información documentada durante la realización de la auditoría .11
6.4.7 Recopilación y verificación de la información .11
6.4.8 Generación de hallazgos de auditoría . 12
6.4.9 Determinación de las conclusiones de la auditoría. 12
6.4.10 Realización de la reunión de cierre . 12
6.5 Preparación y distribución del informe de auditoría . 12
6.6 Finalización de la auditoría . 12
6.7 Realización de las actividades de seguimiento de la auditoría . 12
7 Competencia y evaluación de los auditores.13
7.1 Generalidades . 13
7.2 Determinación de la competencia del auditor . 13
7.2.1 Generalidades . 13
7.2.2 Comportamiento personal . 13
7.2.3 Conocimientos y habilidades .14
7.2.4 Logro de la competencia del auditor . 15
7.2.5 Logro de la competencia del líder del equipo auditor . 15
7.3 Establecimiento de los criterios de evaluación del auditor . 15
7.4 Selección de los métodos apropiados de evaluación del auditor . 15
7.5 Realización de la evaluación del auditor. 15
7.6 Mantenimiento y mejora de la competencia del auditor .16
Anexo A (informativo) Métodos de auditoría remota . 17
Anexo B (informativo) Prácticas útiles .21
Traducción oficial
© ISO/IEC 2024 – Todos los derechos reservados
iii
Prólogo
ISO (Organización Internacional de Normalización) e IEC (Comisión Electrotécnica Internacional) forman
el sistema especializado para la normalización mundial. Los organismos nacionales miembros de ISO e IEC
participan en el desarrollo de las Normas Internacionales por medio de comités técnicos establecidos por la
organización respectiva, para atender campos particulares de la actividad técnica. Los comités técnicos de
ISO e IEC colaboran en campos de interés mutuo. Otras organizaciones internacionales, públicas y privadas,
en coordinación con ISO e IEC, también participan en el trabajo.
En la Parte 1 de las Directivas ISO/IEC se describen los procedimientos utilizados para desarrollar este
documento y aquellos previstos para su mantenimiento posterior. En particular debería tomarse nota de
los diferentes criterios de aprobación necesarios para los distintos tipos de documentos. Este documento
ha sido redactado de acuerdo con las reglas editoriales de la Parte 2 de las Directivas ISO/IEC (véase
www.iso.org/directives o www.iec.ch/members_experts/refdocs).
ISO e IEC llaman la atención sobre la posibilidad de que la implementación de este documento pueda conllevar
el uso de una o varias patentes. ISO e IEC no se posicionan respecto a la evidencia, validez o aplicabilidad de
los derechos de patente reivindicados. A la fecha de publicación de este documento, ISO e IEC no habían
recibido notificación de que una o varias patentes pudieran ser necesarias para su implementación.
No obstante, se advierte a los usuarios que esta puede no ser la información más reciente, la cual puede
obtenerse de la base de datos de patentes disponible en www.iso.org/patents y https://patents.iec.ch. ISO e
IEC no serán responsables de la identificación de parte o la totalidad de dichos derechos de patente.
Cualquier nombre comercial utilizado en este documento es información que se proporciona para comodidad
del usuario y no constituye una recomendación.
Para una explicación de la naturaleza voluntaria de las normas, el significado de los términos específicos
de ISO y las expresiones relacionadas con la evaluación de la conformidad, así como la información
acerca de la adhesión de ISO a los principios de la Organización Mundial del Comercio (OMC) respecto
a los Obstáculos Técnicos al Comercio (OTC), véase www.iso.org/iso/foreword.html. En IEC, véase
www.iec.ch/understanding-standards.
Este documento ha sido elaborado por el Comité ISO/CASCO, Comité para la evaluación de la conformidad.
Cualquier comentario o pregunta sobre este documento deberían dirigirse al organismo nacional de
normalización del usuario. En www.iso.org/members.html y www.iec.ch/national-committees se puede
encontrar un listado completo de estos organismos.
Traducción oficial
© ISO/IEC 2024 – Todos los derechos reservados
iv
Prólogo de la versión en español
Este documento ha sido traducido por el Grupo de Trabajo Spanish Translation Task Force (STTF) del
Comité Técnico ISO/CASCO, Comité para la evaluación de la conformidad, en el que participan representantes
de los organismos nacionales de normalización y otras partes interesadas, para lograr la unificación de la
terminología en lengua española en el ámbito de la evaluación de la conformidad.
Este documento ha sido validado por el ISO/TMBG/Spanish Translation Management Group (STMG)
conformado por los siguientes países: Argentina, Bolivia, Chile, Colombia, Costa Rica, Cuba, Ecuador, El
Salvador, España, Guatemala, Honduras, República Dominicana, México, Panamá, Paraguay, Perú y Uruguay.
Traducción oficial
© ISO/IEC 2024 – Todos los derechos reservados
v
Introducción
Este documento se ha elaborado en respuesta al rápido desarrollo de la tecnología y a los cambios en las
prácticas laborales basados en una variedad de experiencias, incluidas las derivadas de la pandemia del
coronavirus. La aplicación de métodos de auditoría remota puede traer una variedad de beneficios para
todas las partes involucradas en la auditoría. Este documento proporciona orientación sobre cómo se puede
realizar una auditoría de manera eficaz y cómo se pueden lograr los objetivos de auditoría cuando se utilizan
métodos de auditoría remota.
Los métodos de auditoría remota pueden mejorar la eficiencia de una auditoría al reducir el tiempo y los
gastos de viaje y lograr una mejora en la huella de carbono general, además de evitar el riesgo de viaje, lo
que permite el acceso virtual a más sitios. Un beneficio adicional es facilitar la diversidad de participación
en la auditoría y el mayor involucramiento de expertos técnicos en la auditoría. Esto incluye actividades
transfronterizas que pueden mejorar la eficiencia general de la auditoría, manteniendo al mismo tiempo la
continuidad del negocio, especialmente en situaciones y condiciones complejas.
El objetivo de este documento es asegurar que los métodos de auditoría remota representan una forma
sostenible y flexible adicional de realizar auditorías de sistemas de gestión y brindar confianza a los clientes,
reguladores, propietarios de esquemas y otras partes interesadas.
Este documento incluye orientación sobre un enfoque basado en el riesgo a seguir para planificar e
implementar los métodos de auditoría remota que se pueden aplicar a todos los tipos y tamaños de
organizaciones. La Tabla 1 y la Tabla 2 proporcionan ejemplos de riesgos y oportunidades.
Este documento se puede utilizar para apoyar un enfoque in situ, remoto o híbrido para auditar los sistemas
de gestión.
NOTA La Tabla 1 de la Norma ISO 19011:2018 indica ejemplos de diferentes tipos de auditorías.
Este documento también se puede utilizar para apoyar otras actividades de evaluación de la conformidad,
tales como la evaluación de acreditación, la certificación de productos o la evaluación entre pares.
Este documento respalda la integridad continua de las auditorías de primera, segunda y tercera parte,
incluidas las auditorías de certificación de sistemas de gestión, para facilitar su realización de manera
competente, exhaustiva y transparente cuando se utilizan métodos de auditoría remota. Este documento
también se puede utilizar para apoyar otras actividades de evaluación de la conformidad, como la
acreditación, la certificación de productos o la evaluación entre pares. Este documento proporciona
orientación adicional para la implementación de la Norma ISO 19011:2018 y la Norma ISO/IEC 17021-1.
Este documento resalta la importancia de asegurar que el resultado de cualquier proceso de auditoría
cumpla con los objetivos del programa de auditoría. Este documento no prevalece sobre ningún requisito de
otras normas/esquemas.
Este documento sigue la misma estructura que la Norma ISO 19011:2018 para facilitar el uso de los dos
documentos juntos.
Traducción oficial
© ISO/IEC 2024 – Todos los derechos reservados
vi
Especificación Técnica ISO/IEC TS 17012:2024(es)
Evaluación de la conformidad — Directrices para el
uso de métodos de auditoría remota en auditorías de
sistemas de gestión
1 Objeto y campo de aplicación
Este documento proporciona orientación sobre el uso de métodos de auditoría remota en auditorías de
sistemas de gestión. Es aplicable a todas las organizaciones que planifican y realizan todo tipo de auditorías
internas o externas (es decir, auditorías de primera parte, de segunda parte y de tercera parte) de sistemas
de gestión.
Este documento apoya los principios generales de auditoría indicados en la Norma ISO 19011:2018
y proporciona orientación adicional sobre condiciones específicas, posibilidades y limitaciones para
implementar métodos de auditoría remota.
Este documento está previsto para fortalecer la confianza en el uso de métodos de auditoría remota
para auditar sistemas de gestión entre clientes, reguladores, organismos de acreditación, organismos de
certificación, propietarios de esquemas, industria, empleados, consumidores, proveedores y otras partes
interesadas.
El uso de métodos de auditoría remota para auditar sistemas de gestión no pretende reemplazar los métodos
de auditoría in situ. En cambio, los métodos de auditoría remota están previstos para servir como una
herramienta para realizar la auditoría de manera eficaz y eficiente.
NOTA Este documento se puede utilizar para otros tipos de auditorías y evaluaciones.
2 Referencias normativas
En el texto se hace referencia a los siguientes documentos de manera que parte o la totalidad de su contenido
constituyen requisitos de este documento. Para las referencias con fecha, solo se aplica la edición citada.
Para las referencias sin fecha se aplica la última edición (incluida cualquier modificación de esta).
ISO 17000, Evaluación de la conformidad — Vocabulario y principios generales
ISO 19011:2018, Directrices para la auditoría de sistemas de gestión
3 Términos y definiciones
Para los fines de este documento, se aplican los términos y definiciones incluidos en las Normas
ISO 19011:2018 e ISO/IEC 17000 además de los siguientes:
ISO e IEC mantienen bases de datos terminológicas para su utilización en normalización en las siguientes
direcciones:
— Plataforma de búsqueda en línea de ISO: disponible en https:// www .iso .org/ obp
— Electropedia de IEC: disponible en https:// www .electropedia .org/
Traducción oficial
© ISO/IEC 2024 – Todos los derechos reservados
3.1
método de auditoría remota
método utilizado para realizar actividades de auditoría desde cualquier lugar distinto de la ubicación del
auditado
Nota 1 a la entrada: Los métodos de auditoría remota pueden utilizarse en combinación con métodos in situ para lograr
una auditoría completa y eficaz.
Nota 2 a la entrada: Los métodos de auditoría remota pueden utilizarse para ubicaciones virtuales, es decir, cuando
una organización realiza un trabajo o proporciona un servicio utilizando un entorno virtual, lo que permite a las
personas ejecutar procesos con independencia de su ubicación física.
Nota 3 a la entrada: Los métodos de auditoría remota pueden ser utilizados por el auditor en un sitio del auditado para
auditar otro sitio.
4 Principios de auditoría
Los principios de auditoría se indican en el Capítulo 4 de la Norma ISO 19011:2018.
5 Gestión de un programa de auditoría
5.1 Generalidades
5.1.1 En el apartado 5.1 de la Norma ISO 19011:2018 se brinda orientación general.
5.1.2 Al preparar el programa de auditoría, la organización debería considerar lo siguiente en relación con
el uso de métodos de auditoría remota:
a) los principios mencionados en el Capítulo 4;
b) los riesgos relacionados con la eficacia del programa de auditoría (véase 5.3) y las contramedidas;
c) las oportunidades relacionadas con el programa de auditoría (véase 5.3);
d) los aspectos de seguridad de la información, confidencialidad y privacidad relacionados con los métodos
de auditoría remota;
e) la disponibilidad de la información requerida para emitir un juicio sobre su aplicabilidad;
f) la aceptabilidad y las limitaciones de los propietarios de esquemas, los reguladores y otros
especificadores;
g) la capacidad para utilizarlos.
5.2 Establecimiento de los objetivos del programa de auditoría
5.2.1 En el apartado 5.2 de la Norma ISO 19011:2018 se brinda orientación general.
5.2.2 La organización que lleva a cabo la auditoría del sistema de gestión puede utilizar métodos de
auditoría remota bajo las siguientes condiciones, pero sin limitarse a ellas:
a) los métodos de auditoría remota no impidan el logro de los objetivos del programa de auditoría;
b) el uso de métodos de auditoría remota sea apropiado y aceptado por las partes interesadas pertinentes;
c) se hayan seleccionado las tecnologías y se haya definido su gestión;
d) la información requerida para utilizar métodos de auditoría remota sea suficiente;
Traducción oficial
© ISO/IEC 2024 – Todos los derechos reservados
e) el alcance del uso de métodos de auditoría remota (criterios y límites de la auditoría) se haya determinado
en el programa de auditoría;
f) la capacidad de ambas partes (es decir, el equipo auditor y el auditado) para utilizar métodos de
auditoría remota se haya confirmado, incluidas la competencia del personal, las capacidades técnicas y
las capacidades físicas;
g) la organización que lleva a cabo la auditoría del sistema de gestión y el auditado hayan resuelto cualquier
diferencia en la comprensión de los métodos de auditoría remota;
h) exista un acuerdo para modificar el método de auditoría remota cuando sea necesario.
NOTA La modificación de los métodos de auditoría remota puede incluir otros métodos de auditoría remota o
in situ.
5.2.3 Cuando sea apropiado, la organización que lleva a cabo la auditoría del sistema de gestión debería
preparar e implementar un proceso para investigar la capacidad del auditado para utilizar métodos de
auditoría remota.
La organización que lleva a cabo la auditoría del sistema de gestión debería revisar la información obtenida
relacionada con los métodos de auditoría remota y comunicarse con el auditado para:
a) revisar si el auditado cumple con las condiciones para la aplicación de los métodos de auditoría remota,
según lo determinado por la evaluación del riesgo asociado con su uso (véase 5.3);
b) confirmar lo siguiente:
1) la viabilidad de lograr los objetivos de la auditoría dentro del alcance de auditoría definido cuando
se utilizan métodos de auditoría remota;
2) las condiciones de apoyo para utilizar métodos de auditoría remota, incluido el soporte tecnológico
para resolver cualquier problema;
3) cualquier requisito específico o adicional para los métodos de auditoría remota acordados, incluidas
las competencias.
5.3 Determinación y evaluación de los riesgos y oportunidades del programa de auditoría
5.3.1 En el apartado 5.3 de la Norma ISO 19011:2018 se brinda orientación general.
5.3.2 La organización que lleva a cabo la auditoría del sistema de gestión debería considerar los riesgos y
las oportunidades del programa de auditoría, teniendo en cuenta el conocimiento del auditado y cualquier
experiencia previa para determinar si los métodos de auditoría remota son viables. Los métodos de auditoría
remota no se deberían permitir cuando la evaluación del riesgo identifique una amenaza inaceptable para la
eficacia del proceso de auditoría. La planificación posterior debería:
— prevenir o reducir los riesgos asociados con los métodos de auditoría remota;
— aprovechar las oportunidades identificadas a partir del uso de métodos de auditoría remota;
— cubrir la evaluación de la eficacia de las acciones tomadas para abordar los riesgos y las oportunidades;
— asegurar que se lograrán los resultados esperados de la auditoría.
Traducción oficial
© ISO/IEC 2024 – Todos los derechos reservados
5.3.3 En las Tablas 1 y2 se brindan ejemplos de riesgos y oportunidades relacionados con un programa de
auditoría y sus impactos potenciales.
Tabla 1 — Riesgos relacionados con los programas de auditoría e impacto potencial debido
al uso de métodos de auditoría remota
Riesgos Impacto potencial
No abordar de forma adecuada en el programa de audito- Los procesos no se auditarían de manera eficaz.
ría procesos que requieren observación
Incapacidad de utilizar métodos de auditoría remota Los procesos no se auditarían de manera eficaz.
debido a la naturaleza del proceso
Limitaciones en la aplicación del muestreo aleatorio Los procesos no se auditarían de manera eficaz.
Capacidad desconocida del auditado para contribuir a la El equipamiento técnico necesario no es adecuado y, por
aplicación de métodos de auditoría remota lo tanto, impide un proceso de auditoría sin problemas.
Competencia general insuficiente del equipo auditor para Los objetivos de la auditoría estarían comprometidos.
realizar auditorías de manera eficaz, utilizando métodos
de auditoría remota
Pérdida de tiempo debido a una digitalización insuficien- La información necesaria requiere digitalizarse primero.
te La pérdida de tiempo puede impedir que se revise toda la
información.
Competencia o experiencia limitadas en el uso de tecnolo- El uso ineficaz o incorrecto de las tecnologías puede limi-
gías de auditoría remota tar el proceso y la calidad de la implementación del plan
de auditoría.
No prever un plan alternativo en caso de que los métodos Los objetivos de la auditoría pueden verse comprometi-
de auditoría remota fallen dos.
No considerar los requisitos específicos de protección de Existe una infracción potencial de la legislación de pro-
datos y seguridad de la información cuando se intercam- tección de datos.
bia información digital
Tecnología inadecuada o poco fiable (por ejemplo, la rela- La auditoría no se puede realizar o se realiza de forma
cionada con la estabilidad y la calidad de internet) ineficaz.
Incapacidad para proporcionar información sensorial La pobre calidad de las comunicaciones visuales y de
adecuada audio, así como una falta de percepción de olor, vibración,
temperatura y humedad relativa, pueden limitar la poten-
cial obtención de evidencia de auditoría confiable.
La integridad de la evidencia de auditoría puede compro- Conclusiones de auditoría posiblemente erróneas o poco
meterse mediante el uso de métodos de auditoría remota confiables.
(por ejemplo, legibilidad reducida de la información
documentada, pobre resolución del video, falta de visibili-
dad de partes del proceso)
Traducción oficial
© ISO/IEC 2024 – Todos los derechos reservados
Tabla 2 — Oportunidades relacionadas con los programas de auditoría e impacto potencial debido
al uso de métodos de auditoría remota
Oportunidades Beneficio potencial
El tiempo de viaje se reduce o se elimina La reducción del tiempo de viaje genera ahorros de cos-
tos, productividad, continuidad en la auditoría y reduc-
ción de emisiones de carbono debido al viaje.
Tiempo de auditoría optimizado Se puede eliminar o reducir el tiempo para la inducción
del sitio y el traslado entre ubicaciones o procesos de
auditoría; se utiliza tecnología para ver áreas amplias.
Corto tiempo de reacción El registro de oportunidades y riesgos se realiza de una
manera oportuna, especialmente para ubicaciones que
requieren viajes largos. En consecuencia, el programa y el
plan de auditoría se pueden ajustar rápidamente.
Programación más sencilla y participación eficaz a pesar La programación de auditorías, especialmente para parti-
de que las partes interesadas se encuentren en diferentes cipantes y observadores en diferentes ubicaciones donde
ubicaciones es difícil programar u organizar el viaje, se simplifica
debido a que la ubicación no es un impedimento.
Fácil involucramiento de partes externas El involucramiento temporal de partes externas (por
ejemplo, expertos técnicos) es fácil de planificar e imple-
mentar cuando es necesario solo por un corto tiempo.
Capacidad de auditar procesos en todas las ubicaciones Los procesos en diferentes ubicaciones y sus interfaces
se pueden planificar y auditar fácilmente al unísono, y no
tienen que dividirse.
Evaluaciones ad hoc y con poca antelación para temas En caso de desviaciones repentinas, un grupo definido de
críticos participantes puede programar y realizar una auditoría
con poca antelación para aclarar los problemas.
Documentación y elaboración de informes más sencilla Dado que gran parte de la evidencia está disponible elec-
trónicamente, se puede reducir el esfuerzo de gestión de
la documentación y la elaboración de informes.
Acceso directo a los datos Disponibilidad de la evidencia de auditoría en aplicacio-
nes electrónicas, de modo que no sea necesario transferir
archivos de datos de gran tamaño y se gestione adecua-
damente la seguridad electrónica.
Salud y seguridad del equipo auditor No estar expuesto a condiciones potencialmente peligro-
sas (por ejemplo, conflictos, disturbios civiles, riesgos
para la salud, radiación, riesgos de transporte).
5.4 Establecimiento del programa de auditoría
5.4.1 En el apartado 5.4 de la Norma ISO 19011:2018 se brinda orientación general.
5.4.2 Al preparar el programa de auditoría, la organización que lleva a cabo la auditoría del sistema de
gestión debería:
a) asegurarse de que el uso de métodos de auditoría remota no contradiga los principios establecidos en el
Capítulo 4;
b) considerar, pero sin limitarse a, los aspectos pertinentes del apartado 5.4.3.
5.4.3 La organización que lleva a cabo la auditoría del sistema de gestión debería comunicarse con el
auditado sobre la implementación de métodos de auditoría remota, confirmar y llegar a un acuerdo con el
auditado sobre los siguientes aspectos pertinentes:
a) las competencias y responsabilidades de la organización que lleva a cabo la auditoría del sistema de
gestión (incluido el personal), el auditado y los proveedores externos [por ejemplo, proveedores de
servicios de tecnología de información y comunicación (TIC) a utilizarse para los métodos de auditoría
remota, tales como plataformas de software de tercera parte];
Traducción oficial
© ISO/IEC 2024 – Todos los derechos reservados
b) los riesgos de seguridad de la información y las medidas de control;
c) el alcance y los límites de los métodos de auditoría remota;
d) recursos (incluyendo la plataforma del software de auditoría remota), enfoques y métodos para utilizar
métodos de auditoría remota;
e) acciones que incluyan, si es pertinente, comunicaciones alternativas relacionadas con cualquier
problema de interrupción;
f) la evaluación de los resultados de la auditoría y la eficacia de los métodos de auditoría remota para
cumplir los objetivos de la auditoría;
g) la seguridad de la información y los riesgos relacionados con la protección de los derechos de propiedad
intelectual.
NOTA Pueden aplicarse requisitos legales.
5.5 Implementación del programa de auditoría
5.5.1 En el apartado 5.5 de la Norma ISO 19011:2018 se brinda orientación general.
5.5.2 La organización que lleva a cabo la auditoría del sistema de gestión debería designar un equipo
auditor con la capacidad de utilizar métodos de auditoría remota y comunicar los requisitos pertinentes del
programa de auditoría al líder del equipo auditor.
5.5.3 El acceso remoto a la información documentada relativa a la auditoría debería conservarse al menos
hasta que el auditor presente el informe.
NOTA Se puede conceder acceso remoto a la información documentada si es necesario para las actividades de
seguimiento de la auditoría.
5.6 Seguimiento del programa de auditoría
5.6.1 En el apartado 5.6 de la Norma ISO 19011:2018 se brinda orientación general.
5.6.2 Al realizar el seguimiento del programa de auditoría, la organización que lleva a cabo la auditoría del
sistema de gestión debería realizar el seguimiento del uso de métodos de auditoría remota para asegurar la
eficacia del programa de auditoría.
a) La organización que lleva a cabo la auditoría del sistema de gestión debería determinar el contenido del
programa de auditoría al cual realizar el seguimiento, incluyendo, pero no limitado a:
1) la adecuación e idoneidad de los recursos de auditoría, incluyendo la competencia del personal y el
desempeño del método de auditoría remota;
2) (cuando sea aplicable) la idoneidad de las acciones, incluyendo la comunicación alternativa
relacionada con cualquier interrupción;
3) la eficacia de las medidas de control de la confidencialidad y la seguridad de la información.
b) La organización que lleva a cabo la auditoría del sistema de gestión debería determinar la frecuencia
del seguimiento basado en los resultados de la identificación y valoración de riesgos. Los métodos de
seguimiento incluyen, pero no se limitan a, utilizar tecnología apropiada para los métodos de auditoría
remota para observar las actividades de auditoría del equipo auditor.
c) Cuando el resultado del seguimiento muestre que el proceso de auditoría no se implementa de acuerdo
con el programa de auditoría o no cumple con los objetivos de auditoría, se deberían implementar
auditorías complementarias, métodos alternativos de auditoría en el sitio o remota u otras medidas
Traducción oficial
© ISO/IEC 2024 – Todos los derechos reservados
de corrección. Se debería conservar la información documentada apropiada como evidencia del
seguimiento.
5.7 Revisión y mejora del programa de auditoría
5.7.1 En el apartado 5.7 de la Norma ISO 19011:2018 se brinda orientación general.
5.7.2 Al revisar el programa de auditoría, la organización que lleva a cabo la auditoría del sistema de
gestión debería evaluar la idoneidad y la adecuación del programa de auditoría cuando se utilizan métodos
de auditoría remota.
5.7.3 Para mejorar el programa de auditoría, se deberían considerar los resultados de la auditoría y la
retroalimentación sobre el uso de métodos de auditoría remota, incluyendo:
a) si se han logrado los objetivos de la auditoría, indicando los cambios que se necesitan realizar;
b) las eficiencias u otros beneficios, o las dificultades encontradas;
c) otra retroalimentación pertinente (por ejemplo, sobre la idoneidad de los métodos de auditoría remota
para procesos, sitios o funciones específicos, o sobre nuevas necesidades en términos de competencia);
d) las lecciones aprendidas de la aplicación de métodos de auditoría remota.
5.7.4 Con base en las consideraciones del apartado 5.7.3, se pueden implementar modificaciones y mejoras
del programa de auditoría existente para auditorías posteriores y futuros programas de auditoría.
6 Realización de una auditoría utilizando métodos de auditoría remota
6.1 Generalidades
6.1.1 En el apartado 6.1 de la Norma ISO 19011:2018 se brinda orientación general.
6.1.2 La selección de los métodos de auditoría remota a utilizarse para una auditoría depende del tipo de
auditoría, los objetivos de la auditoría y el alcance de la auditoría que se está realizando.
NOTA En el Anexo A se proporciona orientación sobre la aplicación de los métodos de auditoría remota.
6.1.3 Los participantes de la auditoría deberían colaborar para asegurar que los métodos de auditoría
remota se utilicen de manera eficaz.
6.1.4 Es responsabilidad del auditor (véase 5.5) cumplir con los requisitos de seguridad de la información
aplicables mientras realiza una auditoría utilizando métodos de auditoría remota.
6.2 Inicio de la auditoría
6.2.1 En el apartado 6.2 de la Norma ISO 19011:2018 se brinda orientación general.
6.2.2 El líder del equipo auditor debería establecer contacto con el auditado para:
a) confirmar la autoridad para realizar la auditoría utilizando los métodos de auditoría remota identificados
para la auditoría;
b) proporcionar información al auditado sobre los métodos de auditoría remota específicos a utilizarse;
c) recibir información del auditado sobre los detalles de los métodos de auditoría remota que se están
proporcionando (por ejemplo, la plataforma de comunicaciones);
Traducción oficial
© ISO/IEC 2024 – Todos los derechos reservados
d) requerir acceso remoto a la información pertinente para la planificación y realización de la auditoría;
e) establecer en qué medida se dispone de información documentada y evidencia objetiva electrónica para
permitir una auditoría utilizando métodos de auditoría remota;
f) cuando sea aplicable, obtener el consentimiento apropiado (por ejemplo, transcripción, grabaciones,
imágenes);
g) confirmar los requisitos de seguridad y confidencialidad de los datos para los métodos de auditoría
remota identificados para la auditoría;
h) confirmar cualquier otro riesgo que pueda limitar o requerir actividades in situ (por ejemplo, salud y
seguridad, acceso restringido, jaula de Faraday electrónica);
i) confirmar la competencia del auditado para utilizar los métodos de auditoría remota planificados;
j) considerar cualquier oportunidad que pueda reducir el riesgo (por ejemplo, para la seguridad de los
auditores) debido a los métodos de auditoría remota.
6.2.3 Se deberían considerar los riesgos y las oportunidades para determinar si es necesario modificar
el esfuerzo y/o los recursos para asegurar que se logren los objetivos de la auditoría. La revisión puede dar
lugar a un cambio en los métodos de auditoría a ser aplicados (por ejemplo, se puede utilizar una combinación
de métodos en lugar de métodos de auditoría totalmente remotos).
6.3 Preparación de las actividades de auditoría
6.3.1 Realización de la revisión de la información documentada
En el apartado 6.3.1 de la Norma ISO 19011:2018 se brinda orientación general.
6.3.2 Planificación de la auditoría
6.3.2.1 En el apartado 6.3.2 de la Norma ISO 19011:2018 se brinda orientación general.
6.3.2.2 En la planificación de la auditoría se deberían considerar los riesgos y las oportunidades
relacionados con el uso de métodos de auditoría remota.
6.3.2.3 Al preparar las actividades de auditoría que involucren el uso de métodos de auditoría remota, se
debería tener en cuenta lo siguiente y, según sea apropiado, acordarlo con el auditado:
a) al revisar el plan de auditoría, confirmar la duración de la auditoría para cada día teniendo en cuenta las
zonas horarias;
b) acordar medios de comunicación alternativos en caso de que la herramienta principal ya no esté
disponible;
c) confirmar los protocolos para gestionar el uso de las TIC, tales como las plataformas de audio y vídeo;
d) asegurar la funcionalidad de la tecnología para los métodos de auditoría remota, cuando sea aplicable,
incluyendo:
1) la accesibilidad a la plataforma, en particular para adaptarse a necesidades especiales (por ejemplo,
disponibilidad de transcripción, si es necesario);
2) la confirmación de la disponibilidad de la información documentada por medios electrónicos;
3) el uso de servicios de intercambio de archivos;
4) la calidad de la plataforma de audio y vídeo;
Traducción oficial
© ISO/IEC 2024 – Todos los derechos reservados
5) los canales de traducción o plataformas adicionales;
6) la organización de sesiones de trabajo remotas en grupos pequeños;
e) celebrar acuerdos sobre requisitos de confidencialidad, privacidad, seguridad de los datos y acceso;
f) confirmar cualquier información que el auditado necesite poner a disposición con antelación
(por ejemplo, incluir una lista de información documentada habitual, evidencia objetiva y roles y
responsabilidades);
g) acordar las herramientas y métodos de traducción (incluyendo las tecnologías de traducción y
transcripción) a utilizarse antes y durante la auditoría;
h) considerar la necesidad de asegurar el soporte técnico para cualquier tecnología que se utilice para el
método de auditoría remota elegido para la auditoría, incluyendo la asignación de roles para el soporte
(cámara, audio), seguridad y acceso a la plataforma (véase 6.4.2);
i) considerar la protección de datos, la conservación de registros, la propiedad intelectual, la autorización
de seguridad y otros controles de uso y acceso de datos;
NOTA 1 Pueden aplicarse requisitos legales relacionados con la protección de datos.
j) considerar el uso de medios tales como grabaciones, transcripciones, fotos y drones;
NOTA 2 Pueden aplicarse requisitos legales.
k) confirmar las responsabilidades para proporcionar acceso a la plataforma para los participantes de la
auditoría, incluyendo los miembros del equipo auditor, los representantes del auditado, los intérpretes,
los observadores y el personal de apoyo;
l) cuando se utilice una combinación de métodos de auditoría remota e in situ, asegurarse de que el plan
sea claro en cuanto a qué parte de la auditoría será remota, qué auditores estarán en forma remota, qué
auditores estarán in situ y qué métodos utilizará cada auditor.
6.4 Realización de las actividades de auditoría
6.4.1 Generalidades
6.4.1.1 En el apartado 6.4.1 de la Norma ISO 19011:2018 se brinda orientación general.
6.4.1.2 Cuando se utilicen métodos de auditoría remota, se deberían considerar específicamente los
riesgos y oportunidades que se pueden encontrar durante la realización de la auditoría, incluyendo las
técnicas que no se utilizan en actividades presenciales. El Anexo A proporciona algunos ejemplos.
6.4.2 Asignación de roles y responsabilidades del personal de apoyo y los observadores
6.4.2.1 En el apartado 6.4.2 de la Norma ISO 19011:2018 se brinda orientación general.
6.4.2.2 Cuando se utilicen métodos de auditoría remota, el personal de apoyo, los observadores y los
auditores delegados (véase A.3.3) deberían incluirse en los procesos de comunicación y planificación, cuando
sea apropiado.
6.4.2.3 Personal de apoyo
Para métodos de auditoría remota, los roles y las responsabilidades del personal de apoyo serán similares a
las de las auditorías in situ y pueden ser desempeñadas por el auditado o por la organización que realiza la
auditoría. El personal de apoyo puede incluir una serie de personas diferentes, incluyendo, pero sin limitarse
a, intérpretes, personal técnico de tecnología de la información (TI) y guías.
Traducción oficial
© ISO/IEC 2024 – Todos los derechos reservados
El personal de apoyo puede ayudar a:
a) facilitar la configuración (por ejemplo, cámara, audio y video), la comunicación y la operación de los
métodos de auditoría remota (por ejemplo, reunión de apertura/cierre, entrevistas, observación de los
procesos);
b) organizar el acceso del equipo auditor y, cuando sea apropiado, del personal de apoyo a la información
documentada del auditado mediante métodos de auditoría remota;
c) asegurar que el equipo auditor
...