ISO 19011:2026

International
Standard
Redline version
compares Fourth edition
to Third edition
ISO 19011
Guidelines for auditing
management systems
Lignes directrices pour l’audit des systèmes de management
Reference number
ISO 19011:redline:2026(en) © ISO 2026

ISO 19011:redline:2026(en)
INFORMATION ON THIS REDLINE VERSION
This document is a Redline version published for information purposes. It is intended to
assist users in identifying the changes introduced in comparison with the previous edition
of the standard.
Additions are highlighted in green. Deletions are indicated by red strikethrough.
For graphics, additions are identified by a green frame, and deletions are indicated by a red
cross.
Clause and heading numbers that include modifications are highlighted in yellow in the
Table of Contents.
This Redline version is not an official ISO Standard and does not replace the current
published edition. Only the current edition of the International Standard is to be
regarded as the official document.
Markup used in this Redline version
Text example 1 added text (green highlight)
Text example 2 deleted text (red strike through)
added graphics (green frame)
deleted graphics (red cross)
1.x . modified clause and heading numbers (yellow in the Table of Contents)
© ISO 2026
All rights reserved. Unless otherwise specified, or required in the context of its implementation, no part of this publication may
be reproduced or utilized otherwise in any form or by any means, electronic or mechanical, including photocopying, or posting on
the internet or an intranet, without prior written permission. Permission can be requested from either ISO at the address below
or ISO’s member body in the country of the requester.
ISO copyright office
CP 401 • Ch. de Blandonnet 8
CH-1214 Vernier, Geneva
Phone: +41 22 749 01 11
Email: copyright@iso.org
Website: www.iso.org
Published in Switzerland
ii
ISO 19011:redline:2026(en)
Contents Page
Foreword .v
Introduction .vii
1 Scope . 1
2 Normative references . 1
3 Terms and definitions . 1
4 Principles of auditing . 6
4.1 General .7
4.2 Integrity .7
4.3 Fair presentation .7
4.4 Due professional care .7
4.5 Confidentiality .7
4.6 Independence .8
4.7 Evidence-based approach .8
4.8 Risk-based approach .8
5 Managing an audit programme . 8
5.1 General .8
5.2 Establishing audit programme objectives . 12
5.3 Determining and evaluating audit programme risks and opportunities . 12
5.4 Establishing the audit programme . 13
5.4.1 Roles and responsibilities of the individual(s) managing the audit programme . 13
5.4.2 Competence of individual(s) managing the audit programme .14
5.4.3 Establishing extent of the scope of the audit programme . 15
5.4.4 Determining audit programme resources . 15
5.5 Implementing the audit programme .16
5.5.1 General .16
5.5.2 Defining the objectives, scope and criteria for an individual audit .16
5.5.3 Selecting and determining audit auditing methods .17
5.5.4 Selecting audit team members .17
5.5.5 Assigning responsibility for an individual audit to the audit team leader .18
5.5.6 Managing audit programme results .19
5.5.7 Managing and maintaining audit programme audit related records .19
5.6 Monitoring the audit programme . 20
5.7 Reviewing and improving the audit programme.21
6 Conducting an audit .21
6.1 General .21
6.2 Initiating the audit .21
6.2.1 General .21
6.2.2 Establishing contact with the auditee . 22
6.2.3 Determining the feasibility of the audit. 22
6.3 Preparing audit auditing activities. 23
6.3.1 Performing the review of documented information . 23
6.3.2 Audit planning . 23
6.3.3 Assigning work to the audit team . 25
6.3.4 Preparing documented information for the audit . 25
6.4 Conducting audit auditing activities . 25
6.4.1 General . 25
6.4.2 Assigning the roles and responsibilities of guides and observers . 25
6.4.3 Conducting the opening meeting . 26
6.4.4 Communicating during the audit .27
6.4.5 Audit information availability and access .27
6.4.5 Providing access to audit information .27
6.4.6 Reviewing documented information while conducting the audit . 28
6.4.7 Collecting and verifying information. 28

iii
ISO 19011:redline:2026(en)
6.4.8 Generating the audit findings . 29
6.4.9 Determining the audit conclusions . 30
6.4.10 Conducting the closing meeting. 30
6.5 Preparing and distributing the audit report . .31
6.5.1 Preparing the audit report .31
6.5.2 Distributing the audit report .32
6.6 Completing the audit .32
6.7 Conducting the audit follow-up . 33
7 Competence and evaluation of auditors .33
7.1 General . 33
7.2 Determining auditor competence . 34
7.2.1 General . 34
7.2.2 Personal behaviour . 34
7.2.3 Knowledge and skills . 35
7.2.4 Achieving auditor competence .37
7.2.5 Achieving audit team leader competence . 38
7.3 Establishing the auditor evaluation criteria . 38
7.4 Selecting the appropriate auditor evaluation method . 38
7.5 Conducting the auditor evaluation . 38
7.6 Maintaining and improving auditor competence . 39
Annex A (informative) Additional guidance for auditors for planning and conducting audits .40
Bibliography .52

iv
ISO 19011:redline:2026(en)
Foreword
ISO (the International Organization for Standardization) is a worldwide federation of national standards
bodies (ISO member bodies). The work of preparing International Standards is normally carried out through
ISO technical committees. Each member body interested in a subject for which a technical committee
has been established has the right to be represented on that committee. International organizations,
governmental and non-governmental, in liaison with ISO, also take part in the work. ISO collaborates closely
with the International Electrotechnical Commission (IEC) on all matters of electrotechnical standardization.
The procedures used to develop this document and those intended for its further maintenance are described
in the ISO/IEC Directives, Part 1. In particular, the different approval criteria needed for the different types
of ISO documentsdocument should be noted. This document was drafted in accordance with the editorial
rules of the ISO/IEC Directives, Part 2 (see www.iso.org/directives).
Attention is drawn to the possibility that some of the elements of this document may be the subject of patent
rights. ISO shall not be held responsible for identifying any or all such patent rights. Details of any patent
rights identified during the development of the document will be in the Introduction and/or on the ISO list of
patent declarations received (see www.iso.org/patents).
ISO draws attention to the possibility that the implementation of this document may involve the use of (a)
patent(s). ISO takes no position concerning the evidence, validity or applicability of any claimed patent
rights in respect thereof. As of the date of publication of this document, ISO had not received notice of (a)
patent(s) which may be required to implement this document. However, implementers are cautioned that
this may not represent the latest information, which may be obtained from the patent database available at
www.iso.org/patents. ISO shall not be held responsible for identifying any or all such patent rights.
Any trade name used in this document is information given for the convenience of users and does not
constitute an endorsement.
For an explanation onof the voluntary nature of standards, the meaning of ISO specific terms and
expressions related to conformity assessment, as well as information about ISO'sISO’s adherence to the
World Trade Organization (WTO) principles in the Technical Barriers to Trade (TBT) see the following URL:,
see www.iso.org/iso/foreword.htmlwww.iso.org/iso/foreword.html.
This document was prepared by Project Committee ISO/PC 302, Guidelines for auditing management systems,
in collaboration with the European Committee for Standardization (CEN) Technical Committee CEN/CLC/
JTC 1, Criteria for conformity assessment bodies, in accordance with the Agreement on technical cooperation
between ISO and CEN (Vienna Agreement).
This thirdfourth edition cancels and replaces the secondthird edition (ISO 19011:20112018), which has
been technically revised.
The main differences compared to the second editionchanges are as follows:
— addition of the risk-based approach to the principles of auditing;
— expansion of the guidance on managing an audit programme, including audit programme risk;
— expansion of guidance on remote auditing methods through the introduction of guidance contained in
ISO/IEC TS 17012;
— expansion of the guidance on conducting an audit, particularly the section on audit planning;
— expansion of the generic competence requirements for auditors;
— adjustment of terminology to reflect the process and not the object (“thing”);
— removal of the annex containing competence requirements for auditing specific management system
disciplines (due to the large number of individual management system standards, it would not be
practical to include competence requirements for all disciplines);

v
ISO 19011:redline:2026(en)
— expansion of Annex A to provide guidance on auditing (new) concepts such as organization context,
leadership and commitment, virtual audits, compliance and supply chainremote auditing methods and
virtual locations.
Any feedback or questions on this document should be directed to the user’s national standards body. A
complete listing of these bodies can be found at www.iso.org/members.html.

vi
ISO 19011:redline:2026(en)
Introduction
Since the secondthird edition of this document was published in 2011, a number of new2018, several
management system standards have been published, many of which in new fields. Most of them have a
common structure, identical core requirements, and common terms and core definitions. As a result, there
is a need to consider a broader approach to management system auditing, as well as providingto provide
guidance that is more generic. Audit results can provide input to the analysis aspect of business planning,
and can contribute to the identification of improvement needs and activities.
An audit can be conductedThis document provides guidance which can be applied to audit against a range of
audit criteria (separately or in combination,) including, but not limited to:
— requirements definedspecified in one or more management system standards;
— policies, processes and requirements specified by the organization or other relevant interested parties;
— statutory and regulatory requirements;
— one or more management system processes defined by the organization and/or other parties;
— management system plan(s) relating to the provision of specific outputsresults of a management system
(e.g. quality plan, project plan).
This document provides guidance for all sizes and types of organizations andorganizations regardless of
their size and type, and audits of varying scopes and scales, including. This includes those conducted by
large audit teams, typically of larger organizations, and those by single auditors, whether in large or small
organizations. This guidance should be adapted as appropriate to the scope, complexity and scale and
complexity of the audit programme.
This document concentrates on internal audits (first party) and audits conducted by organizations on
their external providers and other external interested parties (second party). This document can also be
useful for external audits conducted for purposes other than third -party management system certification.
ISO/IEC 17021-1 provides requirements for auditing management systems for third -party certification;
however, this document can provide useful additional guidance (see Table 1).
Table 1 — Different types of audits
st nd rd
1 party auditFirst party 2 party auditSecond party 3 party auditThird party
Internal audit External provider audit Certification and/ audit or accredita-
tion audit assessment
Other Audit by the external interest- Statutory, regulatory and similar
ed party audit of an organization audit
ISO/IEC TS 17012 addresses the growing need for remote auditing methods. Its aim is to provide guidance
on implementing remote auditing methods effectively while supporting the general principles of auditing as
outlined in this document.
To simplify the readability of this document, the singular form of “management system” is preferred, but the
reader can adapt the implementation of the guidance to their own situation. This also applies to the use of
“individual” and “individuals”, “auditor” and “auditors”.
This document is intended to apply to a broad range of potential users, including auditors, organizations
implementing management systems and organizations needing to conduct management system audits for
contractual or regulatory reasons. Users ofThe guidance in this document can, however, apply this guidance
be applied to users in developing their own audit-related requirements.
The guidance in this document can also be used for the purpose of self-declaration and can be useful to
organizations involved in auditor training or personnel certificationthe training, qualification and
certification of persons participating in the audit programme.

vii
ISO 19011:redline:2026(en)
The guidance in this document is intended to be flexible. As indicated at various points in the text, the use
of this guidance can differ depending on the size and level of maturity of an organization’s management
system. The nature and complexity of the organization to be audited, as well as the objectives and scope of
the audits to be conducted, should also be considered.
This document adopts the combined audit approach when two or more management systems of different
disciplines are audited together. Where these systems are integrated into a single management system,
the principles and processes of auditing are the same as for a combined audit (sometimes known as an
“integrated audit”).
This document provides guidance on the management of an audit programme, on the planning and
conducting of management system audits, as well as on the competence and evaluation of an auditor and an
audit team.
viii
ISO 19011:redline:2026(en)
Guidelines for auditing management systems
1 Scope
This document providesgives guidance on auditing management systems, including the principles of
auditing, managing an audit programme and conducting management system audits, as well as guidance
on the evaluation of competence of individuals involved in the audit process. These activities include the
individual(s)individuals include those managing the audit programme, auditors and audit teams.
It is applicable to all organizations that need to plan and conduct internal or external audits of management
systems or manage an audit programme.
The application of this document to other types of audits is possible, provided that special consideration is
given to the specific competence needed and the objectives to be achieved.
2 Normative references
There are no normative references in this document.
3 Terms and definitions
For the purposes of this document, the following terms and definitions apply.
ISO and IEC maintain terminologicalterminology databases for use in standardization at the following
addresses:
— ISO Online browsing platform: available at https:// www .iso .org/ obphttps:// www .iso .org/ obp
— IEC Electropedia: available at httphttps:// www .electropedia .org/
3.1
audit
systematic, independent and documented process process (3.25) for obtaining objective evidence (3.83.9)
and evaluating it objectively to determine the extent to which the audit criteria (3.73.8) are fulfilled
Note 1 to entry: Internal audits, sometimes called first -party audits, are conducted by, or on behalf of, the organization
itself.
Note 2 to entry: External audits include those generally called second and third -party audits. Second -party audits are
conducted by parties having an interest in the organization, such as customers, or by other individuals on their behalf.
Third -party audits are conducted by independent auditing organizations, such as those providing certification/
registration of conformity conformity (3.21) or governmental agencies and regulatory authorities.
[SOURCE: ISO 9000:2015, 3.13.1 2026, 3.12.1, modified — “documented and “objective” added to the
definition. Notes to entry have been modified replaced.]
3.2
combined audit
audit (3.1) carried out together at a single auditee (3.133.14) on two or more management systems (3.183.19)
Note 1 to entry: When two or more discipline-specific management systems are integrated into a single management
system this is known as an integrated management system.
[SOURCE: ISO 9000:2015, 3.13.2, modified 2026, 3.12.2, modified — Note 1 to entry deleted.]

ISO 19011:redline:2026(en)
3.3
joint audit
audit (3.1) carried out at a single auditee (3.133.14) by two or more auditing organizations
[SOURCE: ISO 9000:2015, 3.13.3 2026, 3.12.3]
3.4
remote auditing method
method used for conducting audit activities from any place other than the location of the auditee (3.14)
Note 1 to entry: Remote auditing methods can be used in combination with on-site methods to achieve a full and
effective audit (3.1).
Note 2 to entry: Remote auditing methods can be used for virtual locations, i.e. where an organization performs work
or provides a service using an online environment, enabling individuals to execute processes (3.25) irrespective of
physical locations.
Note 3 to entry: Remote auditing methods can be used by the auditor (3.16) at one site of the auditee to audit another
site.
[SOURCE: ISO/IEC TS 17012:2024, 3.1]
3.4
3.5
audit programme
arrangements for a set of one or more audits (3.1) planned for a specific time frame and directed towards a
specific purpose
[SOURCE: ISO 9000:2015, 3.13.4, modified — wording has been added to the definition]
3.5
3.6
audit scope
extent and boundaries of an audit (3.1)
Note 1 to entry: The audit scope generally includes a description of the physical and virtual- locations (see 3.4, Note 2
to entry), functions, organizational units, activities and processes processes (3.25), as well as the time period covered.
Note 2 to entry: A virtual location is where an organization performs work or provides a service using an on-line
environment allowing individuals irrespective of physical locations to execute processes.
[SOURCE: ISO 9000:2015, 3.13.5, modified — Note 1 to entry has been modified, Note 2 to entry has been
added]
3.6
3.7
audit plan
description of the activities and arrangements for an audit (3.1)
[SOURCE: ISO 9000:2015, 3.13.6]
3.7
3.8
audit criteria
set of requirements (3.233.24) used as a reference against which objective evidence (3.83.9) is compared
Note 1 to entry: If the audit criteria are legal (including statutory or regulatory) requirements, the words “compliance”
or “non-compliance” are often used in an audit finding (3.103.11).
Note 2 to entry: Requirements may include policies, procedures, work instructions, legal requirements, contractual
obligations, industry standards, etc.
[SOURCE: ISO 9000:2015, 3.13.7, modified — the definition has been changed and Notes to entry 1 and 2
have been added]
ISO 19011:redline:2026(en)
3.8
3.9
objective evidence
data supporting the existence or verity of something
Note 1 to entry: Objective evidence can be obtained through observation, measurement, test or by other means.
Note 2 to entry: Objective evidence for the purpose of the audit (3.1) generally consists of records, statements of fact,
or other information which are relevant to the audit criteria (3.7) and verifiable.
[SOURCE: ISO 9000:2015, 3.8.3 2026, 3.8.6, modified — Note 2 to entry deleted.]
3.9
3.10
audit evidence
records, statements of fact or other information, which are relevant to the audit criteria (3.73.8) and
verifiable
[SOURCE: ISO 9000:2015, 3.13.8]
3.10
3.11
audit findings finding
results of the evaluation of the collected audit evidence (3.93.10) against audit criteria (3.73.8)
Note 1 to entry: Audit findings indicate conformity (3.203.21) or nonconformity (3.213.22).
Note 2 to entry: Audit findings can lead to the identification of risks risks (3.20), opportunities for improvement or
recording good practices.
Note 3 to entry: In English if If the audit criteria are selected from statutory requirements or regulatory requirements,
the audit finding is termed “compliance” or “non-compliance”.
[SOURCE: ISO 9000:2015, 3.13.9, modified — Notes to entry 2 and 3 have been modified]
3.11
3.12
audit conclusion
outcome result of an audit (3.1), after consideration of the audit objectives and all audit findings (3.103.11)
[SOURCE: ISO 9000:2015, 3.13.10]
3.12
3.13
audit client
organization or person requesting an audit (3.1)
Note 1 to entry: In the case of internal audit, the audit client can also be the auditee (3.133.14) or the individual(s)
managing the audit programme audit programme (3.5). Requests for external audit can come from sources such as
regulators regulatory authorities, contracting parties, or potential or existing clients customers.
[SOURCE: ISO 9000:2015, 3.13.11 2026, 3.12.4, modified — Note 1 to entry has been added.]
3.13
3.14
auditee
organization as a whole or parts thereof being audited
[SOURCE: ISO 9000:2015, 3.13.12, modified]

ISO 19011:redline:2026(en)
3.14
3.15
audit team
one or more persons conducting an audit (3.1), supported if needed by technical experts (3.163.17)
Note 1 to entry: One auditor (3.153.16) of the audit team (3.14)audit team is appointed as the audit team leader.
Note 2 to entry: The audit team can include auditors-in-training.
[SOURCE: ISO 9000:2015, 3.13.14]
3.15
3.16
auditor
person who conducts an audit (3.1)
[SOURCE: ISO 9000:2015, 3.13.15]
3.16
3.17
technical expert
person who provides specific knowledge or expertise to the audit team (3.143.15)
Note 1 to entry: Specific knowledge or expertise relates to the organization, the activity, process process (3.25),
product, service, discipline to be audited, or language or culture.
Note 2 to entry: A technical expert to the audit team (3.14)audit team does not act as an auditor (3.153.16).
[SOURCE: ISO 9000:2015, 3.13.16, modified — Notes to entry 1 and 2 have been modified]
3.17
3.18
observer
individual who accompanies the audit team (3.143.15) but does not act as an auditor (3.153.16) nor a technical
expert (3.17)
[SOURCE: ISO 9000:2015, 3.13.17, modified]
3.18
3.19
management system
set of interrelated or interacting elements of an organization to establish policies and objectives, and as well
as processes (3.243.25) to achieve those objectives
Note 1 to entry: A management system can address a single discipline or several disciplines, e.g. quality management,
financial management or environmental management.
Note 2 to entry: The management system elements establish the organization’s structure, roles and responsibilities,
planning, operation, policies, practices, rules, beliefs, objectives and processes to achieve those objectives.
Note 3 to entry: The scope of a management system can include the whole of the organization, specific and identified
functions of the organization, specific and identified sections of the organization, or one or more functions across a
group of organizations.
[SOURCE: ISO 9000:2015, 3.5.3 2026, 3.4.2, modified — Note Examples added to Note 1 to entry. Note 2 to
entry expanded. Notes 3 and 4 to entry has been deleted.]
3.19
3.20
risk
effect of uncertainty
Note 1 to entry: An effect is a deviation from the expected — positive or negative.

ISO 19011:redline:2026(en)
Note 2 to entry: Uncertainty is the state, even partial, of deficiency of information related to, understanding or
knowledge of, an event, its consequence and , or likelihood.
Note 3 to entry: Risk is often characterized by reference to potential events (as defined in ISO Guide 73:2009, 3.5.1.3)
and consequences (as defined in ISO Guide 73:2009, 3.6.1.3) , or a combination of these.
Note 4 to entry: Risk is often expressed in terms of a combination of the consequences of an event (including changes
in circumstances) and the associated likelihood (as defined in ISO Guide 73:2009, 3.6.1.1) of occurrence.
[SOURCE: ISO 9000:2015, 3.7.9 2026, 3.7.2, modified — Notes to entry 5 and 6 have been deleted Note 5 to
entry deleted.]
3.20
3.21
conformity
fulfilment of a requirement (3.233.24)
[SOURCE: ISO 9000:2015, 3.6.11 2026, 3.5.9, modified — Note 1 to entry has been deleted.]
3.21
3.22
nonconformity
non-fulfilment of a requirement (3.233.24)
[SOURCE: ISO 9000:2015, 3.6.9, modified — Note 1 to entry has been deleted 2026, 3.5.13]
3.22
3.23
competence
ability to apply knowledge and skills to achieve intended results
[SOURCE: ISO 9000:2015, 3.10.4, modified — Notes to entry have been deleted 2026, 3.10.6]
3.23
3.24
requirement
need or expectation that is stated, generally implied or obligatory
Note 1 to entry: “Generally implied” means that it is custom or common practice for the organization and interested
parties that the need or expectation under consideration is implied.
Note 2 to entry: A specified requirement is one that is stated, for example e.g. in documented information.
[SOURCE: ISO 9000:2015, 3.6.4 2026, 3.5.1, modified — Notes to entry 3, 4, 5 and 6 have been deleted and 5
to entry deleted.]
3.24
3.25
process
set of interrelated or interacting activities that use inputs to deliver an intended result
[SOURCE: ISO 9000:2015, 3.4.1 2026, 3.3.1, modified — “or transforms” deleted and “intended” added in the
definition. Notes to entry have been deleted.]
3.25
3.26
performance
measurable result
Note 1 to entry: Performance can relate either to quantitative or qualitative findings.
Note 2 to entry: Performance can relate to the management of managing activities, processes (3.243.25), products,
services, systems or organizations.

ISO 19011:redline:2026(en)
[SOURCE: ISO 9000:2015, 3.7.8, modified — Note 3 to entry has been deleted 2026, 3.7.3]
3.26
3.27
effectiveness
extent to which planned activities are realized and planned results are achieved
[SOURCE: ISO 9000:2015, 3.7.11, modified — Note 1 to entry has been deleted 2026, 3.7.17]
4 Principles of auditing
Auditing is characterized by reliance on a number of principles. These principles should help to make the
audit an effective and reliable tool in support of management policies and controls, by providing information
on which an organization can act in order to improve its performance. Adherence to these principles is
a prerequisite for providing audit conclusions that are relevant and sufficient, and for enabling auditors,
working independently from one another, to reach similar conclusions in similar circumstances.
The guidance given in Clauses 5 to 7 is based on the seven principles outlined below.
a) Integrity: the foundation of professionalism
Auditors and the individual(s) managing an audit programme should:
— perform their work ethically, with honesty and responsibility;
— only undertake audit activities if competent to do so;
— perform their work in an impartial manner, i.e. remain fair and unbiased in all their dealings;
— be sensitive to any influences that may be exerted on their judgement while carrying out an audit.
b) Fair presentation: the obligation to report truthfully and accurately
Audit findings, audit conclusions and audit reports should reflect truthfully and accurately the audit
activities. Significant obstacles encountered during the audit and unresolved diverging opinions
between the audit team and the auditee should be reported. The communication should be truthful,
accurate, objective, timely, clear and complete.
c) Due professional care: the application of diligence and judgement in auditing
Auditors should exercise due care in accordance with the importance of the task they perform and the
confidence placed in them by the audit client and other interested parties. An important factor in
carrying out their work with due professional care is having the ability to make reasoned judgements in
all audit situations.
d) Confidentiality: security of information
Auditors should exercise discretion in the use and protection of information acquired in the course of their
duties. Audit information should not be used inappropriately for personal gain by the auditor or the
audit client, or in a manner detrimental to the legitimate interests of the auditee. This concept includes
the proper handling of sensitive or confidential information.
e) Independence: the basis for the impartiality of the audit and objectivity of the audit conclusions
Auditors should be independent of the activity being audited wherever practicable, and should in all cases
act in a manner that is free from bias and conflict of interest. For internal audits, auditors should be
independent from the function being audited if practicable. Auditors should maintain objectivity
throughout the audit process to ensure that the audit findings and conclusions are based only on the
audit evidence.
For small organizations, it may not be possible for internal auditors to be fully independent of the activity
being audited, but every effort should be made to remove bias and encourage objectivity.

ISO 19011:redline:2026(en)
f) Evidence-based approach: the rational method for reaching reliable and reproducible audit conclusions
in a systematic audit process
Audit evidence should be verifiable. It should in general be based on samples of the information available,
since an audit is conducted during a finite period of time and with finite resources. An appropriate use
of sampling should be applied, since this is closely related to the confidence that can be placed in the
audit conclusions.
g) Risk-based approach: an audit approach that considers risks and opportunities
The risk-based approach should substantively influence the planning, conducting and reporting of audits
in order to ensure that audits are focused on matters that are significant for the audit client, and for
achieving the audit programme objectives.
4.1 General
Auditing is characterized by reliance on a number of principles. These principles should help to make the
audit an effective and reliable tool in support of management policies and controls, by providing information
on which an organization can act in order to improve its performance. Adherence to these principles is
fundamental to provide audit conclusions that are relevant and sufficient, and for enabling auditors, working
independently from one another, to reach similar conclusions in similar circumstances.
The guidance given in Clauses 5 to 7 is based on the seven principles outlined in 4.2 to 4.8.
4.2 Integrity
Integrity is the foundation of professionalism.
Auditors and the individual(s) managing an audit programme should:
a) perform their work ethically, with honesty and responsibility;
b) only undertake auditing activities if they are competent to do so;
c) perform their work in an impartial manner, i.e. remain fair and unbiased in all their dealings;
d) be sensitive to any influences that can be exerted on their judgement while carrying out an audit.
4.3 Fair presentation
Fair presentation is the obligation to report truthfully and accurately.
Audit findings, audit conclusions and audit reports should reflect truthfully and accurately the auditing
activities. Significant obstacles encountered during the audit and unresolved diverging opinions between the
audit team and the auditee should be reported. The communication should be truthful, accurate, objective,
timely, clear and complete.
4.4 Due professional care
Due professional care is the application of diligence and judgement in auditing.
Auditors should exercise due care irrespective of the importance of the task they perform, and the confidence
placed in them by the audit client and other interested parties. An important factor in carrying out their
work with due professional care is having the ability to make reasoned judgements in all audit situations.
4.5 Confidentiality
Confidentiality is security and privacy of information.
Auditors should exercise discretion in the use and protection of information acquired in the course of their
auditing activities. Audit information should not be used inappropriately for personal gain by the auditor or

ISO 19011:redline:2026(en)
the audit client, or in a manner detrimental to the legitimate interests of the auditee. This principle includes
the proper handling of sensitive or confidential information.
4.6 Independence
Independence is the basis for the impartiality of the audit and objectivity of the audit conclusions.
Auditors should be independent of the activity being audited wherever practicable and should in all cases act
in a manner that is free from bias and conflict of interest. Auditors should maintain objectivity throughout
the audit process to ensure that the audit findings and conclusions
...

Norme
internationale
ISO 19011
Quatrième édition
Lignes directrices pour l’audit des
2026-05
systèmes de management
Guidelines for auditing management systems
Numéro de référence
DOCUMENT PROTÉGÉ PAR COPYRIGHT
© ISO 2026
Tous droits réservés. Sauf prescription différente ou nécessité dans le contexte de sa mise en œuvre, aucune partie de cette
publication ne peut être reproduite ni utilisée sous quelque forme que ce soit et par aucun procédé, électronique ou mécanique,
y compris la photocopie, ou la diffusion sur l’internet ou sur un intranet, sans autorisation écrite préalable. Une autorisation peut
être demandée à l’ISO à l’adresse ci-après ou au comité membre de l’ISO dans le pays du demandeur.
ISO copyright office
Case postale 401 • Ch. de Blandonnet 8
CH-1214 Vernier, Genève
Tél.: +41 22 749 01 11
E-mail: copyright@iso.org
Web: www.iso.org
Publié en Suisse
ii
Sommaire Page
Avant-propos .v
Introduction .vi
1 Domaine d’application . 1
2 Références normatives . 1
3 Termes et définitions . 1
4 Principes de l’audit . 5
4.1 Généralités .5
4.2 Déontologie .5
4.3 Restitution impartiale .5
4.4 Conscience professionnelle .5
4.5 Confidentialité .6
4.6 Indépendance .6
4.7 Approche fondée sur la preuve .6
4.8 Approche par les risques .6
5 Pilotage d’un programme d’audit . 6
5.1 Généralités .6
5.2 Détermination des objectifs du programme d’audit .9
5.3 Détermination et évaluation des risques et des opportunités du programme d’audit .9
5.4 Établissement du programme d’audit .10
5.4.1 Rôles et responsabilités de la ou des personnes responsables du pilotage du
programme d’audit .10
5.4.2 Compétence de la ou des personnes responsables du pilotage du programme
d’audit .11
5.4.3 Établissement de l'étendue du programme d’audit.11
5.4.4 Détermination des ressources du programme d’audit . 12
5.5 Mise en œuvre du programme d’audit. 13
5.5.1 Généralités . 13
5.5.2 Définition des objectifs, du champ et des critères pour chaque audit individuel . 13
5.5.3 Choix et détermination des méthodes d’audit .14
5.5.4 Choix des membres de l’équipe d’audit .14
5.5.5 Attribution de la responsabilité d’un audit individuel au responsable de l’équipe
d’audit . 15
5.5.6 Management des résultats du programme d’audit .16
5.5.7 Gestion des enregistrements liés à l’audit .16
5.6 Surveillance du programme d’audit .17
5.7 Revue et amélioration du programme d’audit .18
6 Réalisation d’un audit .18
6.1 Généralités .18
6.2 Déclenchement de l’audit .19
6.2.1 Généralités .19
6.2.2 Prise de contact avec l’audité .19
6.2.3 Détermination de la faisabilité de l’audit .19
6.3 Préparation des activités d’audit. 20
6.3.1 Réalisation de la revue des informations documentées . 20
6.3.2 Planification de l’audit . 20
6.3.3 Répartition des tâches au sein de l’équipe d’audit . 22
6.3.4 Préparation des informations documentées en vue de l’audit . 22
6.4 Réalisation des activités d’audit . . . 22
6.4.1 Généralités . 22
6.4.2 Attribution des rôles et responsabilités des guides et des observateurs . 23
6.4.3 Conduite de la réunion d’ouverture . 23
6.4.4 Communication pendant l’audit .24
6.4.5 Accès aux informations d’audit . 25

iii
6.4.6 Réalisation d’une revue des informations documentées au cours de l’audit . 25
6.4.7 Recueil et vérification des informations . 25
6.4.8 Production des constats d’audit . . 26
6.4.9 Détermination des conclusions d’audit .27
6.4.10 Conduite de la réunion de clôture .27
6.5 Préparation et diffusion du rapport d’audit . 28
6.5.1 Préparation du rapport d’audit. 28
6.5.2 Diffusion du rapport d’audit . 29
6.6 Clôture de l’audit . 29
6.7 Réalisation du suivi d’audit . 30
7 Compétence et évaluation des auditeurs .30
7.1 Généralités . 30
7.2 Déterminer la compétence d’un auditeur .31
7.2.1 Généralités .31
7.2.2 Comportements personnels .31
7.2.3 Connaissances et aptitudes . .32
7.2.4 Acquisition de la compétence d’auditeur . 35
7.2.5 Acquisition de la compétence de responsable d’équipe d’audit . 35
7.3 Déterminer les critères d’évaluation des auditeurs . 35
7.4 Choisir la méthode d’évaluation des auditeurs appropriée . 35
7.5 Réaliser l’évaluation d’un auditeur . 36
7.6 Maintien et amélioration de la compétence du ou des auditeurs . 36
Annexe A (informative) Lignes directrices supplémentaires destinées aux auditeurs pour la
planification et la réalisation des audits .37
Bibliographie .49

iv
Avant-propos
L’ISO (Organisation internationale de normalisation) est une fédération mondiale d’organismes nationaux
de normalisation (comités membres de l’ISO). L’élaboration des Normes internationales est en général
confiée aux comités techniques de l’ISO. Chaque comité membre intéressé par une étude a le droit de faire
partie du comité technique créé à cet effet. Les organisations internationales, gouvernementales et non
gouvernementales, en liaison avec l’ISO participent également aux travaux. L’ISO collabore étroitement avec
la Commission électrotechnique internationale (IEC) en ce qui concerne la normalisation électrotechnique.
Les procédures utilisées pour élaborer le présent document et celles destinées à sa mise à jour sont
décrites dans les Directives ISO/IEC, Partie 1. Il convient, en particulier, de prendre note des différents
critères d’approbation requis pour les différents types de documents ISO. Le présent document a
été rédigé conformément aux règles de rédaction données dans les Directives ISO/IEC, Partie 2 (voir
www.iso.org/directives).
L’ISO attire l’attention sur le fait que la mise en application du présent document peut entraîner l’utilisation
d’un ou de plusieurs brevets. L’ISO ne prend pas position quant à la preuve, à la validité et à l’applicabilité de
tout droit de brevet revendiqué à cet égard. À la date de publication du présent document, l’ISO n’avait pas
reçu notification qu’un ou plusieurs brevets pouvaient être nécessaires à sa mise en application. Toutefois,
il y a lieu d’avertir les responsables de la mise en application du présent document que des informations
plus récentes sont susceptibles de figurer dans la base de données de brevets, disponible à l’adresse
www.iso.org/brevets. L’ISO ne saurait être tenue pour responsable de ne pas avoir identifié tout ou partie de
tels droits de propriété.
Les appellations commerciales éventuellement mentionnées dans le présent document sont données pour
information, par souci de commodité, à l’intention des utilisateurs et ne sauraient constituer un engagement.
Pour une explication de la nature volontaire des normes, la signification des termes et expressions
spécifiques de l’ISO liés à l’évaluation de la conformité, ou pour toute information au sujet de l’adhésion de
l’ISO aux principes de l’Organisation mondiale du commerce (OMC) concernant les obstacles techniques au
commerce (OTC), voir www.iso.org/avant-propos.
Le présent document a été élaboré par le comité de projet ISO/PC 302, Lignes directrices pour l’audit des
systèmes de management, en collaboration avec le comité technique CEN/CLC/JTC 1, Critères applicables
aux organismes d’évaluation de la conformité, du Comité européen de normalisation (CEN), conformément à
l’Accord de coopération technique entre l’ISO et le CEN (Accord de Vienne).
Cette quatrième édition annule et remplace la troisième édition (ISO 19011:2018), qui a fait l’objet d’une
révision technique.
Les principales modifications sont les suivantes:
— développement de lignes directrices relatives aux méthodes d’audit à distance par l’introduction des
lignes directrices de l’ISO/IEC TS 17012;
— développement de l’Annexe A afin de fournir des lignes directrices relatives aux méthodes d’audit à
distance et aux sites virtuels.
Il convient que l’utilisateur adresse tout retour d’information ou toute question concernant le présent
document à l’organisme national de normalisation de son pays. Une liste exhaustive desdits organismes se
trouve à l’adresse www.iso.org/fr/members.html.

v
Introduction
Depuis que la troisième édition du présent document a été publiée en 2018, plusieurs normes de systèmes
de management ont été publiées dans de nouveaux domaines. La plupart d’entre elles ont une structure
commune, des exigences fondamentales identiques et des termes et définitions communs. De ce fait, il est
nécessaire d’envisager une approche plus globale de l’audit des systèmes de management et de fournir des
lignes directrices plus génériques.
Le présent document fournit des lignes directrices qui peuvent être appliquées à l’audit par rapport à une
série de critères d’audit (séparément ou en combinaison) comprenant, sans toutefois s’y limiter:
— les exigences spécifiées dans une ou plusieurs normes de systèmes de management;
— les politiques, les processus et les exigences spécifiés par l’organisme ou toute autre partie intéressée
pertinente;
— les exigences légales et réglementaires;
— un ou plusieurs processus du système de management définis par l’organisme et/ou d’autres parties;
— Un ou plusieurs plans de système de management se rapportant à la fourniture d’éléments de sortie
spécifiques d’un système de management (par exemple plan qualité, plan de projet).
Le présent document fournit des lignes directrices à l’attention de tous les organismes, quels que soient leur
taille et leur type, et pour des audits de champs variables. Cela inclut ceux réalisés par de grandes équipes
d’audit, généralement dans de grands organismes, et ceux réalisés par des auditeurs uniques, dans de grands
ou petits organismes. Il convient, selon le cas, d’adapter ces lignes directrices au champ et à la complexité du
programme d’audit.
Le présent document se concentre sur les audits internes (première partie) et les audits réalisés par des
organismes auprès de leurs prestataires externes et d’autres parties intéressées externes (seconde
partie). Le présent document peut également être utile pour des audits externes réalisés à d’autres fins
que la certification par tierce partie d’un système de management. L’ISO/IEC 17021-1 fournit des exigences
relatives à l’audit des systèmes de management en vue d’une certification par tierce partie; toutefois, le
présent document peut fournir des lignes directrices supplémentaires utiles (voir Tableau 1).
Tableau 1 — Différents types d’audits
Première partie Seconde partie Tierce partie
Audit interne Audit des prestataires externes Audit de certification ou évaluation
d’accréditation
Audit par la partie intéressée externe Audit à des fins légales,
d’un organisme réglementaires et similaires
L’ISO/IEC TS 17012 répond au besoin croissant de méthodes d’audit à distance. Son objectif est de fournir
des lignes directrices sur la mise en œuvre efficace de méthodes d’audit à distance tout en soutenant les
principes généraux d’audit décrits dans le présent document.
Pour simplifier la lisibilité du présent document, la forme singulière de “système de management” est
préférable. Le lecteur peut toutefois adapter la mise en œuvre des lignes directrices à sa propre situation
particulière. Cela s’applique également à l’utilisation de “personne” et “personnes”, “auditeur” et “auditeurs”.
Le présent document est destiné à une large gamme d’utilisateurs potentiels parmi lesquels des auditeurs,
des organismes mettant en œuvre des systèmes de management et des organismes devant réaliser des
audits de systèmes de management dans un cadre contractuel ou réglementaire. Les lignes directrices du
présent document peuvent être appliquées aux utilisateurs lors de l’élaboration de leurs propres exigences
en matière d’audit.
vi
Les lignes directrices fournies dans le présent document peuvent également être utilisées à des fins
d’autodéclaration et peuvent par ailleurs se révéler utiles aux organismes impliqués dans la formation, la
qualification et la certification de personnes participant au programme d’audit.
Les lignes directrices fournies dans le présent document se veulent flexibles. Comme indiqué à différentes
reprises dans le texte, l’utilisation de ces lignes directrices peut varier selon la taille et le niveau de maturité
du système de management de l’organisme. Il convient également de prendre en considération la nature et la
complexité de l’organisme à auditer, ainsi que les objectifs et le champ des audits à réaliser.
Le présent document adopte le principe d’audit combiné lorsque deux ou plusieurs systèmes de management
de disciplines différentes sont audités ensemble. Les principes et les processus d’audit sont identiques à ceux
applicables à un audit combiné (parfois appelé “audit intégré”) lorsque les systèmes définis sont intégrés
dans un système de management unique.

vii
Norme internationale ISO 19011:2026(fr)
Lignes directrices pour l’audit des systèmes de management
1 Domaine d’application
Le présent document donne des lignes directrices sur l’audit de systèmes de management, comprenant les
principes de l’audit, le pilotage d’un programme d’audit et la réalisation d’audits de systèmes de management.
Il donne également des lignes directrices sur l’évaluation de la compétence des personnes impliquées dans le
processus d’audit. Ces personnes incluent les responsables du pilotage du programme d’audit, les auditeurs
et les équipes d’audit.
Il est applicable à tous les organismes qui doivent planifier et réaliser des audits de systèmes de management
ou piloter un programme d’audit.
Le présent document peut, en principe, s’appliquer à d’autres types d’audits, à condition toutefois d’accorder
une attention toute particulière aux compétences spécifiques requises et aux objectifs à atteindre.
2 Références normatives
Le présent document ne contient aucune référence normative.
3 Termes et définitions
Pour les besoins du présent document, les termes et définitions suivants s’appliquent.
L’ISO et l’IEC tiennent à jour des bases de données terminologiques destinées à être utilisées en normalisation,
consultables aux adresses suivantes:
— ISO Online browsing platform: disponible à l’adresse https:// www .iso .org/ obp
— IEC Electropedia: disponible à l’adresse https:// www .electropedia .org/
3.1
audit
processus (3.25) systématique, indépendant et documenté visant à obtenir des preuves objectives (3.9) et à
les évaluer de manière objective pour déterminer dans quelle mesure les critères d’audit (3.8) sont satisfaits
Note 1 à l'article: Les audits internes, parfois appelés audits première partie, sont réalisés par l’organisme lui-même ou
pour le compte celui-ci.
Note 2 à l'article: Les audits externes comprennent les audits appelés généralement audits seconde et tierce partie.
Les audits seconde partie sont réalisés par des parties ayant un intérêt à l’égard de l’organisme, comme les clients ou
d’autres personnes agissant en leur nom. Les audits tierce partie sont réalisés par des organismes d’audit externes et
indépendants, tels que ceux qui délivrent l’enregistrement ou la certification de conformité (3.21) ou des organismes
publics et des autorités de réglementation.
[SOURCE: ISO 9000:2026, 3.12.1, modifié — “documenté” et “preuves” ont été ajoutés à la définition. Les
notes à l’article ont été remplacées.]
3.2
audit combiné
audit (3.1) réalisé simultanément auprès d’un seul audité (3.14) sur deux systèmes de management (3.19) ou
plus
[SOURCE: ISO 9000:2026, 3.12.2, modifié — La Note 1 à l’article a été supprimée.]

3.3
audit conjoint
audit (3.1) réalisé auprès d’un seul audité (3.14) par deux organismes d’audit ou plus
[SOURCE: ISO 9000:2026, 3.12.3]
3.4
méthode d’audit à distance
méthode utilisée pour mener des activités d’audit à partir de n’importe quel endroit autre que le site de
l’audité (3.14)
Note 1 à l'article: Les méthodes d’audit à distance peuvent être utilisées conjointement avec des méthodes sur site
pour réaliser un audit (3.1) complet et efficace.
Note 2 à l'article: Les méthodes d’audit à distance peuvent être utilisées pour des lieux virtuels, c’est-à-dire là où un
organisme réalise un travail ou fournit un service en utilisant un environnement en ligne, permettant à des personnes
d’exécuter les processus (3.25), quel que soit le lieu physique.
Note 3 à l'article: Les méthodes d’audit à distance peuvent être utilisées par l’auditeur (3.16) sur un site de l’audité pour
auditer un autre site.
[SOURCE: ISO/IEC TS 17012:2024, 3.1]
3.5
programme d’audit
dispositions relatives à un ensemble d’un ou plusieurs audits (3.1) planifié pour une durée spécifique et
dirigé dans un but spécifique
3.6
champ de l’audit
étendue et limites d’un audit (3.1)
Note 1 à l'article: Le champ de l’audit décrit généralement les sites physiques et virtuels (voir 3.4, Note 2 à l’article), les
fonctions, les unités organisationnelles, les activités et les processus (3.25) ainsi que la période couverte.
3.7
plan d’audit
description des activités et des dispositions nécessaires pour réaliser un audit (3.1)
3.8
critères d’audit
ensemble d’exigences (3.24) utilisées comme référence vis-à-vis de laquelle les preuves objectives (3.9) sont
comparées
Note 1 à l'article: Si les critères d’audit sont des exigences légales (y compris statutaires ou réglementaires), les termes
“conformité” et “non-conformité” sont souvent utilisés dans un constat d’audit (3.11).
Note 2 à l'article: Les exigences peuvent comprendre des politiques, des procédures, des instructions de travail, des
exigences légales, des obligations contractuelles, des normes sectorielles, etc.
3.9
preuves objectives
données démontrant l’existence ou la véracité de quelque chose
Note 1 à l'article: Les preuves objectives peuvent être obtenues par observation, mesure, essai ou par un autre moyen.
[SOURCE: ISO 9000:2026, 3.8.6, modifié — La Note 2 à l’article a été supprimée.]
3.10
preuves d’audit
enregistrements, énoncés de faits ou autres informations pertinents pour les critères d’audit (3.8)
et vérifiables
3.11
constat d’audit
résultats de l’évaluation des preuves d’audit (3.10) recueillies, par rapport aux critères d’audit (3.8)
Note 1 à l'article: Les constats d’audit indiquent la conformité (3.21) ou la non-conformité (3.22).
Note 2 à l'article: Les constats d’audit peuvent conduire à l’identification des risques (3.20), des opportunités
d’amélioration ou à la consignation des bonnes pratiques.
Note 3 à l'article: Si les critères d’audit sont choisis parmi les exigences légales ou les exigences réglementaires, le
constat d’audit est appelé “conformité” ou “non-conformité”.
3.12
conclusion d’audit
résultat d’un audit (3.1), après avoir pris en considération les objectifs de l’audit et tous les constats d’audit
(3.11)
3.13
client de l’audit
organisme ou personne demandant un audit (3.1)
Note 1 à l'article: Dans le cas d’un audit interne, le client de l’audit peut également être l’audité (3.14) ou la ou les
personnes responsables du pilotage du programme d’audit (3.5). Les demandes d’audit externe peuvent provenir de
sources telles que des autorités de réglementation, des parties contractantes ou des clients potentiels ou existants.
[SOURCE: ISO 9000:2026, 3.12.4, modifié — La Note 1 à l’article a été ajoutée.]
3.14
audité
organisme dans son ensemble ou parties de celui-ci qui sont audités
3.15
équipe d’audit
une ou plusieurs personnes réalisant un audit (3.1), assistées, si nécessaire, par des experts techniques (3.17)
Note 1 à l'article: Un auditeur (3.16) de l’équipe d’audit est nommé responsable de l’équipe d’audit.
Note 2 à l'article: L’équipe d’audit peut comprendre des auditeurs en formation.
3.16
auditeur
personne qui réalise un audit (3.1)
3.17
expert technique
personne apportant à l’équipe d’audit (3.15) des connaissances ou une expertise spécifiques
Note 1 à l'article: Ces connaissances ou cette expertise spécifiques se rapportent à l’organisme, à l’activité, au processus
(3.25) au produit, au service, au domaine à auditer, à la langue ou à la culture.
Note 2 à l'article: Au sein de l’équipe d’audit, un expert technique n’agit pas en tant qu’auditeur (3.16).
3.18
observateur
personne qui accompagne l’équipe d’audit (3.15), mais qui n’agit pas en tant qu’auditeur (3.16) ni expert
technique (3.17)
3.19
système de management
ensemble d’éléments corrélés ou en interaction d’un organisme utilisés pour établir des politiques et des
objectifs, ainsi que des processus (3.25) de façon à atteindre ces objectifs
Note 1 à l'article: Un système de management peut aborder un seul ou plusieurs domaines, par exemple management
de la qualité, gestion financière ou management environnemental.

Note 2 à l'article: Les éléments du système de management comprennent la structure, les rôles et responsabilités, la
planification, le fonctionnement de l’organisme, les politiques, les pratiques, les règles, les convictions, les objectifs et
les processus permettant d’atteindre ces objectifs.
Note 3 à l'article: Le périmètre d’un système de management peut comprendre l’ensemble de l’organisme, des fonctions
ou des sections spécifiques et identifiées de l’organisme, ou une ou plusieurs fonctions dans un groupe d’organismes.
[SOURCE: ISO 9000:2026, 3.4.2, modifié — Des exemples ont été ajoutés dans la Note 1 de l’article. La Note 2
de l’article été développée. Les Notes 3 et 4 à l’article ont été supprimées.]
3.20
risque
effet de l’incertitude
Note 1 à l'article: Un effet est un écart, positif ou négatif, par rapport à une attente.
Note 2 à l'article: L’incertitude est l’état, même partiel, de manque d’information qui entrave la compréhension ou la
connaissance d’un événement, de ses conséquences ou de sa vraisemblance.
Note 3 à l'article: Un risque est souvent caractérisé par référence à des événements potentiels et à des conséquences
potentielles, ou par référence à une combinaison des deux.
Note 4 à l'article: Un risque est souvent exprimé en termes de combinaison des conséquences d’un événement (y
compris des changements de circonstances) et de la vraisemblance de son occurrence.
[SOURCE: ISO 9000:2026, 3.7.2, modifié — La Note 5 à l’article a été supprimée.]
3.21
conformité
satisfaction d’une exigence (3.24)
[SOURCE: ISO 9000:2026, 3.5.9, modifié — La Note 1 à l’article a été supprimée.]
3.22
non-conformité
non-satisfaction d’une exigence (3.24)
[SOURCE: ISO 9000:2026, 3.5.13]
3.23
compétence
aptitude à mettre en pratique des connaissances et des savoir-faire pour obtenir les résultats attendus
[SOURCE: ISO 9000:2026, 3.10.6]
3.24
exigence
besoin ou attente formulé(e), généralement implicite ou obligatoire
Note 1 à l'article: “Généralement implicite” signifie qu’il est habituel ou courant, pour l’organisme et les parties
intéressées, que le besoin ou l’attente en question soit implicite.
Note 2 à l'article: Une exigence spécifiée est une exigence formulée, par exemple une information documentée.
[SOURCE: ISO 9000:2026, 3.5.1, modifié — Les Notes 3, 4 et 5 à l’article ont été supprimées.]
3.25
processus
ensemble d’activités corrélées ou en interaction qui utilise ou transforme des éléments d’entrée pour
produire un résultat attendu
[SOURCE: ISO 9000:2026, 3.3.1, modifié — “ou transforme” a été supprimé et “attendu” a été ajouté dans la
définition. Les notes à l’article ont été supprimées.]

3.26
performance
résultat mesurable
Note 1 à l'article: Les performances peuvent être liées à des résultats quantitatifs ou qualitatifs.
Note 2 à l'article: Les performances peuvent concerner la gestion d’activités, de processus (3.25), de produits, de
services, de systèmes ou d’organismes.
[SOURCE: ISO 9000:2026, 3.7.3]
3.27
efficacité
niveau de réalisation des activités planifiées et des résultats attendus
[SOURCE: ISO 9000:2026, 3.7.17]
4 Principes de l’audit
4.1 Généralités
L’audit est caractérisé par le respect d’un certain nombre de principes. Il convient que ces principes fassent
de l’audit un outil efficace et fiable sur lequel la direction peut s’appuyer pour gérer ses politiques et mesures
de maîtrise en fournissant des informations à partir desquelles l’organisme peut agir pour améliorer ses
performances. Le respect de ces principes est fondamental pour fournir des conclusions d’audit qui soient
pertinentes et suffisantes, et pour que des auditeurs travaillant indépendamment les uns des autres
parviennent à des conclusions similaires dans des circonstances similaires.
Les lignes directrices données dans l’Article 5 à l’Article 7 sont fondées sur les sept principes décrits dans 4.2
à 4.8.
4.2 Déontologie
La déontologie est le fondement du professionnalisme.
Il convient que les auditeurs et la ou les personnes responsables du pilotage du programme d’audit:
a) réalisent leurs tâches de manière éthique, avec honnêteté et responsabilité;
b) réalisent des activités d’audit uniquement s’ils ont les compétences requises;
c) réalisent leurs tâches en toute impartialité, c’est-à-dire qu’ils restent justes et sans parti pris dans toutes
leurs actions;
d) soient sensibilisés à toutes les influences que peuvent exercer d’autres parties intéressées sur leur
jugement pendant la réalisation d’un audit.
4.3 Restitution impartiale
La restitution impartiale est l’obligation de rendre compte de manière sincère et précise.
Il convient que les constats d’audit, conclusions d’audit et rapports d’audit reflètent de manière sincère et
précise les activités d’audit. Il convient de consigner les obstacles importants rencontrés pendant l’audit et
les divergences d’opinions non résolues entre l’équipe d’audit et l’audité. Il convient que la communication
soit sincère, précise, objective, opportune, claire et complète.
4.4 Conscience professionnelle
La conscience professionnelle est l’attitude diligente et avisée au cours de l’audit.

Il convient que les auditeurs agissent indépendamment de l’importance des tâches qu’ils réalisent et la
confiance que leur ont accordée le client de l’audit et les autres parties intéressées. La qualité essentielle
pour réaliser leurs tâches avec conscience professionnelle réside dans la capacité de prendre des décisions
avisées dans toutes les situations d’audit.
4.5 Confidentialité
La confidentialité est la sécurité et la confidentialité des informations.
Il convient que les auditeurs utilisent avec précaution les informations acquises au cours de leurs missions.
Il convient que les informations d’audit ne soient pas utilisées de manière inappropriée au seul bénéfice
de l’auditeur ou du client de l’audit ou de manière qui pourrait porter préjudice aux intérêts légitimes de
l’audité. Ce concept comprend le traitement correct des informations sensibles ou confidentielles.
4.6 Indépendance
L’indépendance est le fondement de l’impartialité de l’audit et de l’objectivité des conclusions d’audit.
Il convient que les auditeurs soient indépendants de l’activité auditée dans la mesure du possible et agissent
dans tous les cas d’une manière dénuée de parti pris et de conflits d’intérêts. Il convient que les auditeurs
conservent un état d’esprit objectif tout au long du processus d’audit pour s’assurer que les constats d’audit
et conclusions d’audit sont uniquement fondés sur les preuves d’audit.
Lorsqu’il est impossible pour les auditeurs internes d’être indépendants de l’activité auditée, il convient de
s’efforcer d’établir des relations sans parti pris et de créer un climat d’objectivité.
4.7 Approche fondée sur la preuve
L’approche fondée sur la preuve est la méthode rationnelle pour parvenir à des conclusions d’audit fiables et
reproductibles dans un processus d’audit systématique.
Il convient que les preuves d’audit soient vérifiables. Il convient qu’elles s’appuient sur des échantillons des
informations disponibles, dans la mesure où un audit est réalisé pendant une durée spécifiée et avec des
ressources délimitées. Il convient d’utiliser l’échantillonnage de manière appropriée, dans la mesure où
cette utilisation est étroitement liée à la confiance qui peut être accordée aux conclusions d’audit.
4.8 Approche par les risques
L’approche par les risques est l’approche d’audit prenant en considération les risques et les opportunités.
Il convient que l’approche par les risques ait une influence substantielle sur la planification et la mise en
œuvre du programme d’audit, et la planification, la réalisation et le compte rendu des audits afin de s’assurer
que les audits soient axés sur les questions importantes pour le client de l’audit et de réaliser les objectifs du
programme d’audit.
5 Pilotage d’un programme d’audit
5.1 Généralités
Il convient d’établir un programme d’audit. Il peut inclure des audits prenant en compte une ou plusieurs
normes de systèmes de management ou d’autres exigences, réalisés de manière individuelle ou combinée
(audit combiné).
Il convient que l’étendue d’un programme d’audit tienne compte de la taille et de la nature de l’audité, ainsi
que de la fonctionnalité, de la complexité, du type de risques et opportunités, du périmètre et du niveau de
maturité du ou des systèmes de management à auditer.
La fonctionnalité du système de management peut être encore plus complexe dans le cas de sites multiples
ou lorsque des fonctions importantes sont externalisées.

Il convient de porter une attention particulière lorsque des décisions importantes sont prises ainsi qu’à la
conception, à la planification et à la revue du programme d’audit.
Il convient que le programme d’audit soit adapté à la taille et la complexité de l’organisme.
Pour comprendre le contexte de l’organisme audité, il convient que le programme d’audit tienne compte:
— de ses objectifs;
— de ses enjeux externes et internes pertinents;
— des besoins et attentes des parties intéressées pertinentes;
— de l’application de technologies telles que des outils numériques;
— des exigences en matière de sécurité et de confidentialité des informations.
Lors de l’affectation des ressources et des méthodes au programme d’audit, il convient d’accorder la priorité
aux problématiques qui, au sein d’un système de management, présentent un risque intrinsèque élevé et un
faible niveau de performance.
Il convient d’attribuer la responsabilité du pilotage du programme d’audit à des personnes compétentes
(voir 5.4.2).
Il convient que le programme d’audit comporte les informations et identifie les ressources permettant
de réaliser les audits de façon efficace dans les délais spécifiés. Il est recommandé que ces informations
comprennent:
a) les objectifs du programme d’audit (voir 5.2);
b) les risques et opportunités associés au programme d’audit (voir 5.3) et les actions à mettre en œuvre
pour y faire face;
c) le champ (étendue, limites, lieux) de chaque audit au sein du programme d’audit;
d) le calendrier (nombre/durée/fréquence) des audits;
e) les types d’audit, tels qu’internes ou externes;
f) les critères d’audit;
g) les méthodes d’audit à employer, y compris les méthodes d’audit à distance (voir Article A.16);
h) les critères de sélection de l’équipe d’audit (responsable de l’équipe d’audit, auditeurs et, si nécessaire,
experts techniques);
i) les critères de participation des observateurs, le cas échéant;
j) le contexte de l’organisme fondé sur les enjeux externes et internes;
k) les informations documentées pertinentes.
Certaines de ces informations ne sont pas toujours disponibles tant qu’une planification plus détaillée de
l’audit n’est pas achevée.
Il convient de surveiller et d’évaluer de manière continue la mise en œuvre du programme d’audit (voir 5.6)
afin de s’assurer de la réalisation des objectifs du programme d’audit. Il convient que le programme d’audit
fasse l’objet d’une revue afin de déterminer les besoins de changements et d’éventuelles opportunités
d’améliorations (voir 5.7).
La Figure 1 illustre le logigramme de pilotage d’un programme d’audit.

NOTE 1 Cette figure illustre également l’application du cycle Plan-Do-Check-Act (Planifier-Déployer-Contrôler-
Agir) dans le présent document.
NOTE 2 Les numéros d’articles/paragraphes renvoient aux articles et paragraphes correspondants du présent
document.
NOTE 3 La réalisation du suivi d’audit (voir 6.7) n’est pas toujours applicable, comme illustré par les pointillés.
Figure 1 — Logigramme pour le pilotage d’un programme d’audit et la réalisation d’un audit

5.2 Détermination des objectifs du programme d’audit
Il convient que le client de l’audit s’assure de la détermination des objectifs du programme d’audit permettant
le pilotage de la planification et de la réalisation des audits, et de la mise en œuvre de manière efficace
de ce programme. Il convient que les objectifs du programme d’audit soient cohérents avec l’orientation
stratégique du client de l’audit et son contexte, et étayent les politiques et les objectifs de son système de
management.
Ces objectifs peuvent prendre en compte:
a) les besoins et les attentes des parties intéressées pertinentes, aussi bien externes qu’internes;
b) les caractéristiques et les exigences des processus, produits, services et projets, ai
...

Norme
internationale
Redline version
compare la Quatrième
édition à la Troisième
édition
ISO 19011
Lignes directrices pour l’audit des
systèmes de management
Guidelines for auditing management systems
Numéro de référence
ISO 19011:redline:2026(fr) © ISO 2026

ISO 19011:redline:2026(fr)
INFORMATION SUR LA PRÉSENTE VERSION AVEC MARQUES DE RÉVISION
Le présent document est une version avec marques de révision, publié à titre informatif.
Il a pour objectif d’aider les utilisateurs à identifier les modifications introduites par
rapport à l’édition précédente de la norme.
Les ajouts sont mis en évidence en vert. Les suppressions sont indiquées par un texte barré
en rouge.
Pour les éléments graphiques, les ajouts sont signalés par un cadre vert, et les suppressions
par une croix rouge.
Les numéros d’articles et de titres contenant des modifications sont surlignés en jaune
dans le Sommaire.
La présente version avec marques de révision n’est pas une norme ISO officielle et ne
remplace pas l’édition publiée en vigueur. Seule l’édition actuelle de la Norme
internationale doit être considérée comme le document officiel.
Marquage utilisé dans la présente version avec marques de révision
Text example 1 texte ajouté (surlignage vert)
Text example 2 texte supprimé (barré en rouge)
graphique ajouté (cadre vert)
graphique supprimé (croix rouge)
1.x . numéros d’articles et de titres modifiés (surlignés en jaune dans le
Sommaire)
DOCUMENT PROTÉGÉ PAR COPYRIGHT
© ISO 2026
Tous droits réservés. Sauf prescription différente ou nécessité dans le contexte de sa mise en œuvre, aucune partie de cette
publication ne peut être reproduite ni utilisée sous quelque forme que ce soit et par aucun procédé, électronique ou mécanique,
y compris la photocopie, ou la diffusion sur l’internet ou sur un intranet, sans autorisation écrite préalable. Une autorisation peut
être demandée à l’ISO à l’adresse ci-après ou au comité membre de l’ISO dans le pays du demandeur.
ISO copyright office
Case postale 401 • Ch. de Blandonnet 8
CH-1214 Vernier, Genève
Tél.: +41 22 749 01 11
E-mail: copyright@iso.org
Web: www.iso.org
Publié en Suisse
ii
ISO 19011:redline:2026(fr)
Sommaire Page
Avant-propos .v
Introduction .vii
1 Domaine d’application . 1
2 Références normatives . 1
3 Termes et définitions . 1
4 Principes de l’audit . 6
4.1 Généralités .7
4.2 Déontologie .8
4.3 Restitution impartiale .8
4.4 Conscience professionnelle .8
4.5 Confidentialité .8
4.6 Indépendance .8
4.7 Approche fondée sur la preuve .8
4.8 Approche par les risques .9
5 Management Pilotage d’un programme d’audit . 9
5.1 Généralités .9
5.2 Détermination des objectifs du programme d’audit . 13
5.3 Détermination et évaluation des risques et des opportunités du programme d’audit . 13
5.4 Établissement du programme d’audit .14
5.4.1 Rôles et responsabilités de la ou des personnes responsables du management
pilotage du programme d’audit .14
5.4.2 Compétence de la ou des personnes responsables du management pilotage du
programme d’audit . 15
5.4.3 Détermination de l’étendue Établissement de l'étendue du programme d’audit .16
5.4.4 Détermination des ressources du programme d’audit .16
5.5 Mise en œuvre du programme d’audit.17
5.5.1 Généralités .17
5.5.2 Définition des objectifs, du champ et des critères pour chaque audit individuel .18
5.5.3 Choix et détermination des méthodes d’audit .18
5.5.4 Choix des membres de l’équipe d’audit .19
5.5.5 Attribution de la responsabilité d’un audit individuel au responsable de l’équipe
d’audit . 20
5.5.6 Management des résultats du programme d’audit .21
5.5.7 Management et conservation des enregistrements du programme d’audit .21
5.5.7 Gestion des enregistrements liés à l’audit .21
5.6 Surveillance du programme d’audit . 22
5.7 Revue et amélioration du programme d’audit . 22
6 Réalisation d’un audit .23
6.1 Généralités . 23
6.2 Déclenchement de l’audit . 23
6.2.1 Généralités . 23
6.2.2 Prise de contact avec l’audité . 23
6.2.3 Détermination de la faisabilité de l’audit .24
6.3 Préparation des activités d’audit.24
6.3.1 Réalisation d’une de la revue des informations documentées .24
6.3.2 Planification de l’audit . 25
6.3.3 Répartition des tâches au sein de l’équipe d’audit .27
6.3.4 Préparation des informations documentées en vue de l’audit .27
6.4 Réalisation des activités d’audit . . .27
6.4.1 Généralités .27
6.4.2 Attribution des rôles et responsabilités des guides et des observateurs .27
6.4.3 Conduite de la réunion d’ouverture . 28
6.4.4 Communication pendant l’audit . 29

iii
ISO 19011:redline:2026(fr)
6.4.5 Disponibilité et accès Accès aux informations d’audit . 30
6.4.6 Réalisation d’une revue des informations documentées au cours de l’audit . 30
6.4.7 Recueil et vérification des informations . 30
6.4.8 Production de constatations des constats d’audit .32
6.4.9 Détermination des conclusions d’audit .32
6.4.10 Conduite de la réunion de clôture . 33
6.5 Préparation et diffusion du rapport d’audit . 34
6.5.1 Préparation du rapport d’audit. 34
6.5.2 Diffusion du rapport d’audit . 35
6.6 Clôture de l’audit . 35
6.7 Réalisation du suivi d’audit . 35
7 Compétence et évaluation des auditeurs .36
7.1 Généralités . 36
7.2 Déterminer la compétence d’un auditeur .37
7.2.1 Généralités .37
7.2.2 Comportements personnels .37
7.2.3 Connaissances et aptitudes . . 38
7.2.4 Acquisition de la compétence d’auditeur .41
7.2.5 Acquisition de la compétence de responsable d’équipe d’audit .41
7.3 Déterminer les critères d’évaluation des auditeurs .41
7.4 Choisir la méthode d’évaluation des auditeurs appropriée .41
7.5 Réaliser l’évaluation d’un auditeur .42
7.6 Maintien et amélioration de la compétence du ou des auditeurs .42
Annexe A (informative) Lignes directrices supplémentaires destinées aux auditeurs pour la
planification et la réalisation des audits .43
Bibliographie .56

iv
ISO 19011:redline:2026(fr)
Avant-propos
L’ISO (Organisation internationale de normalisation) est une fédération mondiale d’organismes nationaux
de normalisation (comités membres de l’ISO). L’élaboration des Normes internationales est en général
confiée aux comités techniques de l’ISO. Chaque comité membre intéressé par une étude a le droit de faire
partie du comité technique créé à cet effet. Les organisations internationales, gouvernementales et non
gouvernementales, en liaison avec l’ISO participent également aux travaux. L’ISO collabore étroitement avec
la Commission électrotechnique internationale (IEC) en ce qui concerne la normalisation électrotechnique.
Les procédures utilisées pour élaborer le présent document et celles destinées à sa mise à jour sont
décrites dans les Directives ISO/IEC, Partie 1. Il convient, en particulier, de prendre note des différents
critères d’approbation requis pour les différents types de documents ISO. Le présent document a
été rédigé conformément aux règles de rédaction données dans les Directives ISO/IEC, Partie 2 (voir
www.iso.org/directives).
L’attention est attirée sur le fait que certains des éléments du présent document peuvent faire l’objet
de droits de propriété intellectuelle ou de droits analogues. L’ISO ne saurait être tenue pour responsable
de ne pas avoir identifié de tels droits de propriété et averti de leur existence. Les détails concernant les
références aux droits de propriété intellectuelle ou autres droits analogues identifiés lors de l’élaboration du
document sont indiqués dans l’Introduction et/ou dans la liste des déclarations de brevets reçues par l’ISO
(voir www.iso.org/brevets).
L’ISO attire l’attention sur le fait que la mise en application du présent document peut entraîner l’utilisation
d’un ou de plusieurs brevets. L’ISO ne prend pas position quant à la preuve, à la validité et à l’applicabilité de
tout droit de brevet revendiqué à cet égard. À la date de publication du présent document, l’ISO n’avait pas
reçu notification qu’un ou plusieurs brevets pouvaient être nécessaires à sa mise en application. Toutefois,
il y a lieu d’avertir les responsables de la mise en application du présent document que des informations
plus récentes sont susceptibles de figurer dans la base de données de brevets, disponible à l’adresse
www.iso.org/brevets. L’ISO ne saurait être tenue pour responsable de ne pas avoir identifié tout ou partie de
tels droits de propriété.
Les appellations commerciales éventuellement mentionnées dans le présent document sont données pour
information, par souci de commodité, à l’intention des utilisateurs et ne sauraient constituer un engagement.
Pour une explication de la nature volontaire des normes, la signification des termes et expressions
spécifiques de l’ISO liés à l’évaluation de la conformité, ou pour toute information au sujet de l’adhésion de
l’ISO aux principes de l’Organisation mondiale du commerce (OMC) concernant les obstacles techniques au
commerce (OTC), voir le lien suivant: www.iso.org/avant-propos.
Le présent document a été élaboré par le comité de projet ISO/PC 302, Lignes directrices pour l’audit des
systèmes de management., en collaboration avec le comité technique CEN/CLC/JTC 1, Critères applicables
aux organismes d’évaluation de la conformité, du Comité européen de normalisation (CEN), conformément à
l’Accord de coopération technique entre l’ISO et le CEN (Accord de Vienne).
Cette troisièmequatrième édition annule et remplace la deuxièmetroisième édition (ISO 19011:20112018),
qui a fait l’objet d’une révision technique.
Les principales différences par rapport à la deuxième éditionmodifications sont les suivantes:
— ajout de l’approche par les risques aux principes de l’audit;
— développement desde lignes directrices relatives au management d’un programme d’audit, y compris le
risque lié au programme d’auditaux méthodes d’audit à distance par l’introduction des lignes directrices
de l’ISO/IEC TS 17012;
— développement des lignes directrices relatives à la réalisation d’un audit, en particulier la section
concernant la planification de l’audit;
— développement des exigences relatives aux compétences générales des auditeurs;
— ajustement de la terminologie pour refléter le processus et non l’objet («chose»);

v
ISO 19011:redline:2026(fr)
— suppression de l’annexe contenant les exigences en matière de compétences pour l’audit de disciplines de
systèmes de management spécifiques (en raison du grand nombre de normes de système de management
individuelles, il ne serait pas pratique d’inclure des exigences en matière de compétences pour toutes les
disciplines);
— développement de l’Annexe A pourafin de fournir des lignes directrices relatives aux (nouveaux) concepts
d’audit tels que le contexte de l’organisme, le leadership et l’engagement, les audits virtuels, la conformité
et la chaîne d’approvisionnementméthodes d’audit à distance et aux sites virtuels.
Il convient que l’utilisateur adresse tout retour d’information ou toute question concernant le présent
document à l’organisme national de normalisation de son pays. Une liste exhaustive desdits organismes se
trouve à l’adresse www.iso.org/fr/members.html.

vi
ISO 19011:redline:2026(fr)
Introduction
Depuis que la deuxièmetroisième édition du présent document a été publiée en 2011 2018, plusieurs
nouvelles normes sur lesnormes de systèmes de management ont été publiées, un grand nombre d’entre
elles ayant dans de nouveaux domaines. La plupart d’entre elles ont une structure commune, des exigences
de basefondamentales identiques et des termes et définitions de base communs. De ce fait, il est nécessaire
d’envisager une approche plus globale de l’audit des systèmes de management et de fournir des lignes
directrices plus générales. Les résultats d’audit peuvent fournir des éléments d’entrée pour l’aspect
analytique de la planification des activités, et peuvent contribuer à l’identification des besoins et activités
d’amélioration.génériques.
Un audit peut être réaliséLe présent document fournit des lignes directrices qui peuvent être appliquées
à l’audit par rapport à une série de critères d’audit (séparément ou en combinaison,) comprenant, sans
toutefois s’y limiter:
— les exigences définiesspécifiées dans une ou plusieurs normes de systèmesystèmes de management;
— les politiques, les processus et les exigences spécifiées par les parties intéressées pertinentesspécifiés
par l’organisme ou toute autre partie intéressée pertinente;
— les exigences légales et réglementaires;
— un ou plusieurs processus dedu système de management définis par l’organisme et/ou d’autres parties;
— le(s) plan(s)Un ou plusieurs plans de système de management se rapportant à la fourniture d’éléments de
sortie spécifiques d’un système de management (par exemple plan qualité, plan de projet).
Le présent document fournit aux organismes de toutes tailles et de tous types des lignes directrices pour
lesdes lignes directrices à l’attention de tous les organismes, quels que soient leur taille et leur type, et pour
des audits de champs et échelles variables, y comprisvariables. Cela inclut ceux réalisés par de grandes
équipes d’audit, généralement dans de grands organismes, et ceux réalisés par des auditeurs uniques, dans
de grands ou petits organismes. Il convient, selon le cas, d’adapter ces lignes directrices au champ, et à la
complexité et à l’échelle du programme d’audit.
Le présent document se concentre sur les audits internes (de première partie) et les audits réalisés par
des organismes auprès de leurs prestataires externes et d’autres parties intéressées externes (de seconde
partie). Le présent document peut également être utile pour des audits externes réalisés à d’autres fins
que la certification par tierce partie d’un système de management. L’ISO/IEC 17021-1 fournit des exigences
relatives à l’audit des systèmes de management en vue d’une certification par tierce partie; toutefois, le
présent document peut fournir des lignes directrices supplémentaires utiles (voir Tableau 1).
Tableau 1 — Différent Différents types d’audits
Audit de première partiePremière Audit de seconde partieSeconde Audit de tierce partieTierce partie
partie partie
Audit interne Audit des prestataires externes Audit en vue d’une certification et/ou
d’une accréditation de certification ou
évaluation d’accréditation
Audit d’autres parties intéressées Audit à des fins légales,
externes par la partie intéressée réglementaires et similaires
externe d’un organisme
L’ISO/IEC TS 17012 répond au besoin croissant de méthodes d’audit à distance. Son objectif est de fournir
des lignes directrices sur la mise en œuvre efficace de méthodes d’audit à distance tout en soutenant les
principes généraux d’audit décrits dans le présent document.
Pour simplifier la lisibilité du présent document, la forme singulière de «“système de management»” est
préférable, le lecteur pouvant. Le lecteur peut toutefois adapter la mise en œuvre des lignes directrices à
sa propre situation particulière. Cela s’applique également à l’utilisation de «personne» et «personnes»,
«auditeur» et «auditeurs»“personne” et “personnes”, “auditeur” et “auditeurs”.

vii
ISO 19011:redline:2026(fr)
Le présent document est destiné à une large gamme d’utilisateurs potentiels parmi lesquels des auditeurs,
des organismes mettant en œuvre des systèmes de management et des organismes devant réaliser des audits
de systèmes de management dans un cadre contractuel ou réglementaire. Les utilisateurslignes directrices
du présent document peuvent cependant appliquer ces lignes directrices pour développerêtre appliquées
aux utilisateurs lors de l’élaboration de leurs propres exigences en matière d’audit.
Les lignes directrices fournies dans le présent document peuvent également être utilisées à des fins
d’autodéclaration et peuvent par ailleurs se révéler utiles aux organismes chargés de la certification du
personnel ou de la formation d’auditeursimpliqués dans la formation, la qualification et la certification de
personnes participant au programme d’audit.
Les lignes directrices fournies dans le présent document se veulent flexibles. Comme indiqué à différentes
reprises dans le texte, l’utilisation de ces lignes directrices peut varier selon la taille et le niveau de maturité
du système de management de l’organisme. Il convient également de prendre en considération la nature et la
complexité de l’organisme à auditer, ainsi que les objectifs et le champ des audits à réaliser.
Le présent document adopte le principe d’audit combiné lorsque deux ou plusieurs systèmes de management
de disciplines différentes sont audités ensemble. Les principes et les processus d’audit sont identiques à ceux
applicables à un audit combiné (parfois appelé “audit intégré”) lorsque les systèmes définis sont intégrés
dans un système de management unique.
Le présent document fournit des lignes directrices sur le management d’un programme d’audit, la
planification et la réalisation d’audits de systèmes de management, ainsi que sur la compétence et l’évaluation
d’un auditeur et d’une équipe d’audit.

viii
ISO 19011:redline:2026(fr)
Lignes directrices pour l’audit des systèmes de management
1 Domaine d’application
Le présent document fournitdonne des lignes directrices sur l’audit de systèmes de management,
comprenant les principes de l’audit, le managementpilotage d’un programme d’audit et la réalisation d’audits
de systèmes de management. ElleIl donne également des lignes directrices sur l’évaluation de la compétence
des personnes impliquées dans le processus d’audit. Ces activités concernent le(s) responsable(s) du
managementpersonnes incluent les responsables du pilotage du programme d’audit, les auditeurs et les
équipes d’audit.
Il est applicable à tous les organismes qui doivent planifier et réaliser des audits internes ou externes de
systèmes de management ou managerpiloter un programme d’audit.
Le présent document peut, en principe, s’appliquer à d’autres types d’audits, à condition toutefois d’accorder
une attention toute particulière aux compétences spécifiques requises et aux objectifs à atteindre.
2 Références normatives
Le présent document ne contient aucune référence normative.
3 Termes et définitions
Pour les besoins du présent document, les termes et définitions suivants s’appliquent.
L’ISO et l’IEC tiennent à jour des bases de données terminologiques destinées à être utilisées en normalisation,
consultables aux adresses suivantes:
— ISO Online browsing platform: disponible à l’adresse https:// www .iso .org/ obphttps:// www .iso .org/ obp
— IEC Electropedia: disponible à l’adresse httphttps:// www .electropedia .org/
3.1
audit
processus méthodique processus (3.25) systématique, indépendant et documenté, permettant d’obtenir
visant à obtenir des preuves objectives (3.83.9) et de à les évaluer de manière objective pour déterminer dans
quelle mesure les critères d’audit (3.73.8) sont satisfaits
Note 1 à l'article: Les audits internes, parfois appelés audits de première partie, sont réalisés par, l’organisme lui-
même ou pour le compte de l’organisme lui-même celui-ci.
Note 2 à l'article: Les audits externes comprennent les audits appelés généralement audits de seconde et de tierce
partie. Les audits de seconde partie sont réalisés par des parties ayant un intérêt à l’égard de l’organisme, comme les
clients ou d’autres personnes agissant en leur nom. Les audits de tierce partie sont réalisés par des organismes d’audit
externes et indépendants, tels que ceux qui octroient délivrent l’enregistrement ou la certification de conformité
conformité (3.21) ou des organismes publics et des autorités de réglementation.
[SOURCE: ISO 9000:2015, 3.13.1, modifiée — les Notes à 2026, 3.12.1, modifié — “documenté” et “preuves”
ont été ajoutés à la définition. Les notes à l’article ont été modifiées remplacées.]

ISO 19011:redline:2026(fr)
3.2
audit combiné
audit (3.1) réalisé simultanément auprès d’un seul audité (3.183.14) sur deux systèmes de management (3.19)
ou plus
Note 1 à l'article: Lorsque deux ou plusieurs systèmes de management spécifiques à une discipline sont intégrés dans
un seul système de management, on parle de système de management intégré.
[SOURCE: ISO 9000:2015, 3.13.2, modifiée]
[SOURCE: ISO 9000:2026, 3.12.2, modifié — La Note 1 à l’article a été supprimée.]
3.3
audit conjoint
audit (3.1) réalisé auprès d’un seul audité (3.133.14) par deux organismes d’audit ou plus
[SOURCE: ISO 9000:2015, 3.13.3 2026, 3.12.3]
3.4
méthode d’audit à distance
méthode utilisée pour mener des activités d’audit à partir de n’importe quel endroit autre que le site de
l’audité (3.14)
Note 1 à l'article: Les méthodes d’audit à distance peuvent être utilisées conjointement avec des méthodes sur site
pour réaliser un audit (3.1) complet et efficace.
Note 2 à l'article: Les méthodes d’audit à distance peuvent être utilisées pour des lieux virtuels, c’est-à-dire là où un
organisme réalise un travail ou fournit un service en utilisant un environnement en ligne, permettant à des personnes
d’exécuter les processus (3.25), quel que soit le lieu physique.
Note 3 à l'article: Les méthodes d’audit à distance peuvent être utilisées par l’auditeur (3.16) sur un site de l’audité pour
auditer un autre site.
[SOURCE: ISO/IEC TS 17012:2024, 3.1]
3.4
3.5
programme d’audit
dispositions relatives à un ensemble d’un ou plusieurs audits (3.1) planifié pour une durée spécifique et
dirigé dans un but spécifique
[SOURCE: ISO 9000:2015, 3.13.4, modifiée — des mots ont été ajoutés à la définition]
3.5
3.6
champ de l’audit
étendue et limites d’un audit (3.1)
Note 1 à l'article: Le champ de l’audit décrit généralement les lieux sites physiques et virtuels (voir 3.4, Note 2 à
l’article), les fonctions, les unités organisationnelles, les activités et les processus processus (3.25) ainsi que la période
de temps couverte.
Note 2 à l'article: Un lieu virtuel est un lieu où un organisme réalise un travail ou fournit un service en utilisant un
environnement en ligne permettant à des personnes d’exécuter les processus quel que soit le lieu physique.
[SOURCE: ISO 9000:2015, 3.13.5, modifiée — la Note 1 à l’article a été modifiée, la Note 2 à l’article a été
ajoutée]
3.6
3.7
plan d’audit
description des activités et des dispositions nécessaires pour réaliser un audit (3.1)
[SOURCE: ISO 9000:2015, 3.13.6]

ISO 19011:redline:2026(fr)
3.7
3.8
critères d’audit
ensemble d’exigences (3.233.24) utilisées comme référence vis-à-vis de laquelle les preuves objectives (3.83.9)
sont comparées
Note 1 à l'article: Si les critères d’audit sont des exigences légales (y compris statutaires ou réglementaires), les termes
«conformité» et « “conformité” et “non-conformité» ” sont souvent utilisés dans les un constatationsconstat d’audit
(3.103.11).
Note 2 à l'article: Les exigences peuvent comprendre des politiques, des procédures, des instructions de travail, des
exigences légales, des obligations contractuelles, des normes sectorielles, etc.
[SOURCE: ISO 9000:2015, 3.13.7, modifiée — la définition a été modifiée et les Notes 1 et 2 à l’article ont été
ajoutées]
3.8
3.9
preuves objectives
données démontrant l’existence ou la véracité de quelque chose
Note 1 à l'article: Les preuves objectives sont peuvent être obtenues par observation, mesure, essai ou par un autre
moyen.
Note 2 à l'article: Dans le cadre d’un audit (3.1), les preuves objectives consistent généralement en enregistrements,
énoncés de faits ou d’autres informations pertinents pour les critères d’audit (3.7) et vérifiables.
[SOURCE: ISO 9000:2015, 3.8.3 2026, 3.8.6, modifié — La Note 2 à l’article a été supprimée.]
3.9
3.10
preuves d’audit
enregistrements, énoncés de faits ou autres informations pertinents pour les critères d’audit (3.73.8)
et vérifiables
[SOURCE: ISO 9000:2015, 3.13.8]
3.10
3.11
constatations constat d’audit
résultats de l’évaluation des preuves d’audit (3.93.10) recueillies, par rapport aux critères d’audit (3.73.8)
Note 1 à l'article: Les constatations constats d’audit indiquent la conformité (3.203.21) ou la non-conformité (3.213.22).
Note 2 à l'article: Les constatations constats d’audit peuvent conduire à l’identification des risques (3.20), des
opportunités d’amélioration ou à la consignation des bonnes pratiques.
Note 3 à l'article: En anglais, si Si les critères d’audit sont choisis parmi les exigences légales ou les exigences
réglementaires, la constatation d’audit est qualifiée de «compliance» ou «non-compliance» le constat d’audit est appelé
“conformité” ou “non-conformité”.
[SOURCE: ISO 9000:2015, 3.13.9, modifiée — les Notes 2 et 3 à l’article ont été modifiées]
3.11
3.12
conclusions conclusion d’audit
résultat d’un audit (3.1), après avoir pris en considération les objectifs de l’audit et toutes tous les
constatationsconstats d’audit (3.103.11)
[SOURCE: ISO 9000:2015, 3.13.10]

ISO 19011:redline:2026(fr)
3.12
3.13
client de l’audit
organisme ou personne demandant un audit (3.1)
Note 1 à l'article: Dans le cas d’un audit interne, le client de l’audit peut également être l’ audité (3.13)l’audité (3.14)
ou la (les) personne(s) qui gère(nt) le programme d’audit ou les personnes responsables du pilotage du programme
d’audit (3.5). Les demandes d’audit externe peuvent provenir de sources telles que des autorités de réglementation,
des parties contractantes ou des clients potentiels ou existants.
[SOURCE: ISO 9000:2015, 3.13.11, modifiée — la 2026, 3.12.4, modifié — La Note 1 à l’article a été ajoutée.]
3.13
3.14
audité
organisme dans son ensemble ou parties de celui-ci qui sont audités
[SOURCE: ISO 9000:2015, 3.13.12, modifiée]
3.14
3.15
équipe d’audit
une ou plusieurs personnes réalisant un audit (3.1), assistées, si nécessaire, par des experts techniques
(3.163.17)
Note 1 à l'article: Un auditeur (3.153.16) de l’ équipe d’audit (3.14)l’équipe d’audit est nommé responsable de l’équipe
d’audit.
Note 2 à l'article: L’équipe d’audit peut comprendre des auditeurs en formation.
[SOURCE: ISO 9000:2015, 3.13.14]
3.15
3.16
auditeur
personne qui réalise un audit (3.1)
[SOURCE: ISO 9000:2015, 3.13.15]
3.16
3.17
expert technique
personne apportant à l’équipe d’audit (3.143.15) des connaissances ou une expertise spécifiques
Note 1 à l'article: Ces connaissances ou cette expertise spécifiques se rapportent à l’organisme, à l’activité, au processus,
processus (3.25) au produit, au service ou , au domaine à auditer, ou elles consistent en une assistance linguistique ou
culturelle à la langue ou à la culture.
Note 2 à l'article: Au sein de l’ équipe d’audit (3.14)l’équipe d’audit, un expert technique n’agit pas en tant qu’auditeur
(3.153.16).
[SOURCE: ISO 9000:2015, 3.13.16, modifiée — les Notes 1 et 2 à l’article ont été modifiées]
3.17
3.18
observateur
personne qui accompagne l’équipe d’audit (3.143.15), mais qui n’agit pas en tant qu’auditeur (3.153.16) ni
expert technique (3.17)
[SOURCE: ISO 9000:2015, 3.13.17, modifiée]

ISO 19011:redline:2026(fr)
3.18
3.19
système de management
ensemble d’éléments corrélés ou en interaction d’un organisme utilisés pour établir des politiques, et des
objectifs et , ainsi que des processus (3.243.25) de façon à atteindre lesdits ces objectifs
Note 1 à l'article: Un système de management peut traiter d’un aborder un seul ou de plusieurs domaines, par exemple
management de la qualité, gestion financière ou management environnemental.
Note 2 à l'article: Les éléments du système de management comprennent la structure, les rôles et responsabilités, la
planification, le fonctionnement de l’organisme, les politiques, les pratiques, les règles, les convictions, les objectifs et
les processus permettant d’atteindre ces objectifs.
Note 3 à l'article: Le périmètre d’un système de management peut comprendre l’ensemble de l’organisme, des fonctions
ou des sections spécifiques et identifiées de l’organisme, ou une ou plusieurs fonctions dans un groupe d’organismes.
[SOURCE: ISO 9000:2015, 3.5.3, modifiée — la Note 2026, 3.4.2, modifié — Des exemples ont été ajoutés dans
la Note 1 de l’article. La Note 2 de l’article été développée. Les Notes 3 et 4 à l’article a été supprimée ont été
supprimées.]
3.19
3.20
risque
effet de l’incertitude
Note 1 à l'article: Un effet est un écart, positif ou négatif, par rapport à une attente.
Note 2 à l'article: L’incertitude est l’état, même partiel, de manque d’information qui entrave la compréhension ou la
connaissance d’un événement, de ses conséquences ou de sa vraisemblance.
Note 3 à l'article: Un risque est souvent caractérisé par référence à des événements potentiels (tels que définis dans le
Guide ISO 73:2009, 3.5.1.3) et à des conséquences également potentielles (telles que définies dans le Guide ISO 73:2009,
3.6.1.3) potentielles, ou par référence à une combinaison des deux.
Note 4 à l'article: Un risque est souvent exprimé en termes de combinaison des conséquences d’un événement
(y compris des changements de circonstances) et de la vraisemblance de son occurrence (telle que définie dans le
Guide ISO 73:2009, 3.6.1.1) .
[SOURCE: ISO 9000:2015, 3.7.9, modifiée — les Notes 5 et 6 à l’article ont été supprimées]
[SOURCE: ISO 9000:2026, 3.7.2, modifié — La Note 5 à l’article a été supprimée.]
3.20
3.21
conformité
satisfaction d’une exigence (3.233.24)
[SOURCE: ISO 9000:2015, 3.6.11, modifiée — la 2026, 3.5.9, modifié — La Note 1 à l’article a été supprimée.]
3.21
3.22
non-conformité
non-satisfaction d’une exigence (3.233.24)
[SOURCE: ISO 9000:2015, 3.6.9, modifiée — la Note 1 à l’article a été supprimée 2026, 3.5.13]
3.22
3.23
compétence
aptitude à mettre en pratique des connaissances et des savoir-faire pour obtenir les résultats escomptés
attendus
[SOURCE: ISO 9000:2015, 3.10.4, modifiée — les Notes à l’article ont été supprimées 2026, 3.10.6]

ISO 19011:redline:2026(fr)
3.23
3.24
exigence
besoin ou attente formulé(e), généralement implicite ou obligatoire
Note 1 à l'article: « “Généralement implicite» ” signifie qu’il est habituel ou courant, pour l’organisme et les parties
intéressées, que le besoin ou l’attente en question soit implicite.
Note 2 à l'article: Une exigence spécifiée est une exigence formulée, par exemple une information documentée.
[SOURCE: ISO 9000:2015, 3.6.4, modifiée — les 2026, 3.5.1, modifié — Les Notes 3, 4, 5 et 6 et 5 à l’article ont
été supprimées.]
3.24
3.25
processus
ensemble d’activités corrélées ou en interaction qui utilise ou transforme des éléments d’entrée pour
produire un résultat escompté attendu
[SOURCE: ISO 9000:2015, 3.4.1, modifiée — les Notes 2026, 3.3.1, modifié — “ou transforme” a été supprimé
et “attendu” a été ajouté dans la définition. Les notes à l’article ont été supprimées.]
3.25
3.26
performance
résultat mesurable
Note 1 à l'article: Les performances peuvent être liées à des résultats quantitatifs ou qualitatifs.
Note 2 à l'article: Les performances peuvent concerner le management la gestion d’activités, de processus (3.243.25),
de produits, de services, de systèmes ou d’organismes.
[SOURCE: ISO 9000:2015, 3.7.8, modifiée — la Note 3 à l’article a été supprimée 2026, 3.7.3]
3.26
3.27
efficacité
niveau de réalisation des activités planifiées et d’obtention des résultats escomptés attendus
[SOURCE: ISO 9000:2015, 3.7.11, modifiée — la Note 1 à l’article a été supprimée 2026, 3.7.17]
4 Principes de l’audit
L’audit est caractérisé par le respect d’un certain nombre de principes. Il convient que ces principes fassent de
l’audit un outil efficace et fiable sur lequel la direction peut s’appuyer pour gérer ses politiques et contrôles en
fournissant des informations à partir desquelles l’organisme peut agir pour améliorer ses performances. Le
respect de ces principes est indispensable pour que les conclusions d’audit soient pertinentes et suffisantes,
et pour que des auditeurs travaillant indépendamment les uns des autres parviennent à des conclusions
similaires dans des circonstances similaires.
Les lignes directrices données dans les Articles 5 à 7 sont fondées sur les sept principes décrits ci-après.
a) Déontologie: le fondement du professionnalisme
Il convient que les auditeurs et la ou les personnes responsables du management du programme d’audit:
— réalisent leurs tâches de manière éthique, avec honnêteté et responsabilité;
— réalisent des activités d’audit uniquement s’ils ont les compétences requises;
— réalisent leurs tâches en toute impartialité, c’est-à-dire qu’ils restent justes et sans parti pris dans
toutes leurs actions;
ISO 19011:redline:2026(fr)
— soient sensibilisés à toutes les influences que peuvent exercer d’autres parties intéressées sur leur
jugement.
b) Restitution impartiale: l’obligation de rendre compte de manière sincère et précise
Il convient que les constatations, conclusions et rapports d’audit reflètent de manière sincère et précise
les activités d’audit. Il convient de consigner les obstacles importants rencontrés pendant l’audit et
les questions non résolues ou les avis divergents entre l’équipe d’audit et l’audité. Il convient que la
communication soit sincère, précise, objective, opportune, claire et complète.
c) Conscience professionnelle: l’attitude diligente et avisée au cours de l’audit
Il convient que les auditeurs agissent en accord avec l’importance des tâches qu’ils réalisent et la confiance
que leur ont accordée le client de l’audit et les autres parties intéressées. La qualité essentielle pour
réaliser leurs tâches avec conscience professionnelle réside dans la capacité de prendre des décisions
...