Comment choisir une formation certifiante de Responsable d'Audit ISO 27001 ?

1. Quelle force représente la certification d'un auditeur par un organisme reconnu ?
Le choix d'une formation de Responsable d'audit IS0 27001 est important pour la suite des activités que le candidat souhaite avoir dans le domaine des SMSI (Systèmes de Management de la Sécurité de l'Information) que ce soit en tant que consultant accompagnant une organisation vers la certification, en audit interne pour faciliter la démarche vers la démarche ou en tant qu'auditeur de certification ISO 27001 pour le compte d'un organisme certificateur.
II s'agit donc principalement de choisir une formation certifiante de haute réputation de façon à démontrer de facto sa compétence que ce soit en interne ou en externe.
Un système de certification indépendant de toutes les parties apporte la garantie de la compétence testée de l'auditeur, de préférence ayant fait ses preuves depuis plusieurs années : 

Le choix se porte sur la formation qui offre les meilleurs crédits d'excellence.

2. Pourquoi une certification des auditeurs ? Quels en sont les critères ?
Les grands organismes certificateurs (AFAQ-AFNOR, SGS, BVQI, BSI, TüV, etc...) comptent plusieurs milliers de sociétés certifiées par leurs auditeurs, le plus souvent en Qualité ISO 9001 (plus de 700 000 certificats dans le monde) ou en Environnement ISO 14001 (plus de 75 000 certificats)

Pour les organismes certificateurs, la possibilité de s'appuyer sur un organisme indépendant pour valider de façon certaine la compétence des auditeurs, selon une procédure règlementée, internationale, constitue une preuve de leur professionnalisme et de la valeur de leurs auditeurs validés par un tiers indépendant.
L'organisme de certification des auditeurs, indépendant, se doit donc de mettre en place des procédures - les mêmes, transparentes, pour tous - pour démontrer le sérieux de leur système de certification des auditeurs.

Ainsi l'organisme de certification des auditeurs impose certaines spécifications :
La première spécification porte sur la qualité du cours de formation (obligatoire) dispensé :
Le cours de 40H (spécifié par la norme ISO 19011 - repris dans ISO 27006 et conformément à ISO 17024) doit passer par les fourches caudines d'un comité d'experts du domaine dans l'organisme de certification, qui donne son aval sur le cours. La qualification du cours se traduit par la délivrance d'un numéro de visa pour la version du cours soumis.
L'organisme se réserve la possibilité d'envoyer à tout moment un auditeur pour vérifier la bonne exécution du cours validé. En outre, le cours doit être maintenu en correspondance avec les versions successives des normes.
A noter que la procédure de qualification du cours est payante, ce qui est justifié notamment par les prestations des experts sollicités.
La seconde spécification porte sur l'expérience et les qualités personnelles de l'auditeur candidat à son inscription auprès de l'organisme, par exemple :
L'ICA demande une expérience significative en audit, un test sur la connaissance des normes, un test d'aptitude psychologique, un entretien avec un jury sont les étapes à l'inscription définitive.
L'IRCA procède par examen d'un dossier de candidature signé sur l'honneur.

La troisième spécification concerne le respect d'un code d'éthique et le maintien des compétences à concurrence d'au moins 40 heurs de formation continue tous les 3 ans.

3. Les organismes de certification d'auditeurs reconnus au niveau international
L'IRCA (International Registry of Certified Auditors) www.irca.org, a été créé en 1984 à Londres.
Plus de 60.000 d'auditeurs internationaux dans toutes les disciplines y sont référencés selon plusieurs grades.
Pour un auditeur anglo-saxon, l'inscription à l'IRCA est un "must".
Notre formation est en cours de reconnaissance par l'IRCA, ce qui en fera la certification ISO 27001 Lead Auditor la plus internationalement reconnue.

L'ICA (Institut de Certification des Auditeurs)-marque de AFAQ AFNOR Certification -  est l'organisme de certification des auditeurs dans notre environnement francophone (http://www.afaq.org/web/afaqinstit.nsf/volfr/serica).
Depuis plus de 10 ans, AFAQ AFNOR Certification (accrédité par le COFRAC) a certifié sous la marque ICA plus de 1 000 auditeurs sur de nombreux référentiels (ISO 9001, ISO 14001, OHSAS 18001...).

A noter que l'ICA et l'IRCA se retrouvent au sein d'une instance internationale = l'IPC (ex IATCA) International Personnel Certification - http://www.iatca.org/4_membership/current_members.asp

Dans les deux cas, la procédure d'enregistrement et de certification de la compétence de l'auditeur est payante - comme pour toute certification professionnelle. (Environ 150 £ pour l'IRCA)

Un auditeur certifié ICA peut être enregistré auprès de plusieurs organismes de certification différents. Un organisme certificateur se tournera naturellement vers des auditeurs certifiés ICA ou IRCA dont la compétence a été validée et testée.
En tant que consultant, la certification ICA ou IRCA est la marque d'un niveau d'excellence reconnue.
En interne, un auditeur certifié ICA ou IRCA (pour une reconnaissance internationale) bénéficiera d'un atout supérieur.

II s'agit donc de choisir la certification qui offre la plus haute réputation.

4. Le cours Responsable d'Audit ISO 27001 délivré par Auditware 
L'expertise d'Auditware en matière de SMSI - ISO 27001 a été reconnue par AFAQ-AFNOR en signant un partenariat de deux ans : les formateurs Auditware dispenseront les cours de formation Responsable d'Audit ISO 27001 pour le compte d'AFAQ-AFNOR en 2007-2008.
Afin de garantir l'excellence du cours, AFAQ-AFNOR a demandé à Auditware de faire qualifier le cours par l'ICA: le cours Auditware " Responsable d'Audit ISO 27001 " a reçu la qualification ICA sous le N° SI/AU-001 et en cours de certification par l'IRCA Londres (International Registry of Certified Auditors : 60.000 auditeurs = LA référence mondiale)

Un mot sur les formateurs reconnus par AFAO AFNOR
En sus de la qualification du cours Auditware par l'ICA, AFAQ-AFNOR a tenu à s'assurer de la compétence des formateurs Auditware. Chaque formateur Auditware doit passer un examen de qualification de formateur AFAQ-AFNOR portant sur ses capacités d'animateur.
A ce jour deux formateurs sont agréés par AFAQ-AFNOR:

Patrick MORRISSEY, de formation initiale Ingénieur ESME et ESCP. Son expertise en audit est reconnue au travers de ses certifications : Certificat d'audit opérationnel-ESCP, CISA-Certified Information System Auditor, CIA-Certified Internal Auditor, CISSP-Certified Information System Security Professional, CISM-Certified Information Security Manager (ISACA), CBCP (Certified Business Continuity Professional), ISO9001 & 27001 Lead Auditor (IRCA - BVQI) et par ses très nombreuses missions d'audit et d'assistance réalisées auprès des grands comptes et des instances internationales : Commission Européenne, Banque Mondiale, Conseil de l'Europe, OCDE, etc.
II est formateur en français et en anglais depuis plus de 15 ans aussi bien dans les cursus de Master en audit, que pour les certifications CISA, CISSP, CBCP, ISO 27001 et auprès de la Commission Européenne pour la préparation au CIA.

Christian SIMATOS, de formation initiale Ingénieur Arts & Métiers. Il a été Directeur chez Shlumberger pendant près de 20 ans. Son expertise en audit est reconnue au travers de ses certifications : CISA-Certified Information System Auditor, CISSP-Certified Information System Security Professional, ISO 9001 & 27001 Lead Auditor (IRCA - BVQI) et par ses nombreuses missions d'audit et d'assistance réalisées aussi auprès des grands comptes et des instances internationales : Commission Européenne, USAID, etc.
Il est formateur en français et en anglais depuis plus de 6 ans pour les cursus de certifications CISSP et ISO 27001.

 Fev 2008