Tips til arbeidet med interne revisjoner

• Husk at interne revisjoner og leverandørrevisjoner er et verktøy som skal hjelpe virksomheten til å få oversikt og kontroll. Det viktigste er derfor å sikre at de gjør nettopp det!
   
• Start med å få oversikt over hva som inngår i virksomhetens sikkerhetsstyringssystem
  à Hvilke prosesser, aktiviteter, enheter, områder osv har betydning for sikkerheten i virksomheten?
  àHvilke leverandører, varer og tjenester har betydning for sikkerheten?
  Ofte kan det være greit å ha en oversikt som beskriver nettopp hva som inngår.
  
  
• Det er viktig å sikre en sentral vurdering og styring av revisjonsprogrammene. Siden det vil være den samlede informasjonen fra de revisjoner som gjennomføres som benyttes til å vurdere sikkerhetsstyringssystemet som helhet, må det sikres at programmene ivaretar det behovet ledelsen har for informasjon i eksempelvis ledelsens gjennomgang.
  
  
• Når systemets omfang er kjent kan vurderingen av behovet for kontrollaktiviteter enklere iverksettes. For å vurdere omfanget av interne revisjoner som virksomheten sikkerhetsmessig har behov for, kan blant annet følgende punkter være nyttige å tenke gjennom:
  àHvilket behov er det for kontroll og overvåking av ulike aktiviteter og  områder i systemet? Er noen aktiviteter mer kritiske? Enkelte leverandører?
  àHvilke andre former for kontroll og overvåking har vi?
  àHvor godt kjent er de ulike områdene for oss fra før?
  Til slutt, og med alt dette som utgangspunkt blir spørsmålet: ”Hvor ofte (og hvor) må vi gjennomføre revisjoner for å sikre at vi har kontroll på om systemet vårt virker?”. Vil vi være best tjent med få og store revisjoner; eller mange mindre? Kanskje finnes det kritiske områder som trenger revisjon flere ganger i året, mens andre områder ikke er så kritiske og vil være dekket ved revisjon hvert 3. år? Dette må virksomheten selv vurdere og begrunne.
  
  
• Når virksomheten har vurdert og definert nødvendig hyppighet (omfang) basert på sikkerhetsmessige behov kan dette omsettes i revisjonsprogrammer for virksomheten. Det er viktig å sikre at revisjonsprogrammene ivaretar det behovet og den hyppigheten som virksomheten har vurdert som nødvendig. Har du eksempelvis sagt at alle leverandører skal revideres årlig, må du sikre at revisjonsprogrammet for det neste året inneholder revisjoner av alle sammen.
  
  
• Dersom det blir nødvendig å avvike fra den oppsatte planen er det viktig å sørge for at det gjøres en form for avviksbehandling der konsekvenser og eventuelle behov for kompenserende tiltak vurderes. Siden planleggingen allerede er basert på at det oppsatte programmet er det som sikkerhetsmessig er nødvendig for å ha kontroll med systemet, er det viktig å være bevisst på hva en endring medfører (og være sikker på at nødvendig kontroll fremdeles er ivaretatt).
  
  
• Husk igjen at den interne revisjonen er virksomhetens verktøy for å kontrollere seg selv. Når selve revisjonene skal gjennomføres kan det være nyttig å stille seg noen av disse spørsmålene:
  àEr de som skal revidere uavhengige slik at de har et ”friskt blikk” på det som skal undersøkes?
  àHar vi med nødvendig kompetanse slik at vi kan avdekke avvik og forbedringsområder?
  àKan det finnes nyttige effekter av erfaringsoverføringer innad i organisasjonen?
  àFinnes det en prosess i etterkant av revisjonen som sikrer at årsaker til avvik avdekkes, tiltak gjennomføres og effekten av tiltakene verifiseres?
  àEr det som ble avdekket gyldig og av interesse i andre deler av virksomheten (det er kanskje ikke nødvendig å vente på at en ny revisjon skal avdekke det samme et annet sted?)?
  
  
• Se til at det i forbindelse med ledelsens gjennomgang gjøres en vurdering også av hva de samlede resultatene fra revisjonene sier om sikkerhetsstyringssystemets hensiktsmessighet, tilstrekkelighet og effektive virkning slik at ledelsen kan agere ut ifra dette.

Husk at ledelsens gjennomgang ikke er en intern revisjon, men derimot et forum der resultatene fra de interne revisjonene vurderes og ageres ut ifra!