Interne revisjoner

Veiledningen utdyper kravene til interne revisjoner i regelverket og gir noen tips til en arbeidsmetodikk for å få til en god gjennomføring av interne revisjoner.

Publisert: 22.07.2016   Endret: 22.07.2016

1. Bakgrunn

Sikkerhetsstyringsforskriften og kravforskriften setter krav til gjennomføring av interne revisjoner. I vår tilsynsvirksomhet ser vi at noen jernbanevirksomheter har utfordringer med både å etterleve krav og utnytte interne revisjoner som et effektivt og hensiktsmessig verktøy for virksomheten selv.

2. Hensikt

Veiledningen utdyper kravene til interne revisjoner i regelverket og gir noen tips til en arbeidsmetodikk for å få til en god gjennomføring av interne revisjoner.

3. Omfang

Veiledningen beskriver planlegging, gjennomføring og rapportering av interne revisjoner. Oppfølging av avvik i form av årsaksanalyse, handlingsplaner og gjennomføring av tiltak etter interne revisjoner omfattes ikke av veiledningen. Her vises det til egen veiledning om oppfølging av avvik og uønskede hendelser.

Det understrekes at interne revisjoner og ledelsens gjennomgåelse ikke må forveksles med hverandre. Resultater av interne revisjoner vil være en del av underlaget for å gjennomføre ledelsens gjennomgåelse – se egen veiledning om ledelsens gjennomgåelse.

Kravet om interne revisjoner gjelder for virksomheter som omfattes av sikkerhetsstyringsforskriften og kravforskriften, det vil si at sidespor og museumsbaner ikke har krav på seg om gjennomføring av interne revisjoner.

4. Sentrale krav i regelverk

Kravet til gjennomføring av interne revisjoner er regulert i § 7-1 i så vel sikkerhetsstyringsforskriften som kravforskriften, og er identisk formulert i de to forskriftene.

Det kreves at det skal etableres revisjonsprogrammer for interne revisjoner, og gjennomføringen av slike revisjoner skal skje i henhold til anerkjent metodikk. Videre kreves det at revisjoner skal gjennomføres systematisk for å vurdere om sikkerhetsstyringssystemet er tilfredsstillende dokumentert, at det er etterlevd og at det tilfredsstiller krav i jernbanelovgivningen.

Samtidig skal virksomheten også systematisk gjennomføre revisjoner av leverandører for å vurdere om disse overholder de krav som er satt gjennom avtalene med leverandørene.

5. Interne revisjoner

5.1 Hensikt

Interne revisjoner er et verktøy som skal benyttes for systematisk å overvåke sikkerhetsstyringssystemet. Som en del andre aktiviteter kan interne revisjoner være en måte å kontrollere om de krav som stilles gjennom lovgivningen, av bedriften selv eller andre, tilfredsstilles. Det kan gjøres en kontroll av etterlevelse der interne revisjoner bidrar til å gi svar på om systemet er tilfredsstillende implementert. Videre kan det undersøkes om systemet er vedlikeholdt og tilfredsstiller konkrete interne og eksterne krav.

Dette er selvsagt viktig, men for den enkelte virksomhet er det kanskje vel så betydningsfullt at interne revisjoner er ledelsens verktøy for å få informasjon om systemene virker effektivt og etter hensikten. Det kan godt hende at et formelt krav er tilfredsstilt, men at løsningen likevel er uhensiktsmessig og unødvendig kostbar for virksomheten. Ved også å bruke interne revisjoner som et underlag for å vurdere om systemet er effektivt får virksomheten et godt utgangspunkt for å prioritere tiltak og gjøre fornuftige endringer.

Det er viktig å huske at resultatet fra interne revisjoner må vurderes og følges opp både enkeltvis og samlet.

5.2 Hva er interne revisjoner?

Ifølge den europeiske standarden ISO 9000 defineres en revisjon som en «systematisk, uavhengig og dokumentert prosess for å fremskaffe revisjonsbevis og bedømme det objektivt for å bestemme i hvilken grad kriterier for revisjon er oppfylt».

Revisjon benyttes blant annet som et verktøy for å sertifisere og følge opp styringssystemer og i utøvelsen av tilsyn innen en rekke fagområder. Denne typen revisjoner er typiske eksterne, eller «tredjepartsrevisjoner».

Interne revisjoner har den samme definisjonen, men er virksomhetens eget verktøy for å vurdere om den oppfyller de eksterne og interne krav som stilles og om systemet som benyttes er effektivt.

Det finnes en egen europeisk standard – ISO 19011 – som gir retningslinjer for hvordan revisjoner og revisjonsprogrammer kan planlegges, gjennomføres og følges opp. Denne kan benyttes i arbeidet både med eksterne og interne revisjoner. Denne veiledningen gir ingen detaljerte retningslinjer av den typen som kan finnes i standarden, men er fokusert på å gi påpekninger og tips som kan være en støtte når krav om interne revisjoner i jernbanelovgivningen skal oppfylles.

Kravet om å planlegge, gjennomføre og følge opp interne revisjoner er på ingen måte unikt for jernbanen. Tvert imot er det gjennomgående krav som fremkommer innen de fleste fag- og samfunnsområder både i regelverk som internkontrollforskriften, gjennom krav fra kunder og samfunn og ikke minst som en del av sertifiserte styringssystemer som eksempelvis ISO 9001, ISO 14001 og OHSAS 18001.

At kravet gjelder innen så mange ulike områder, sier noe om hvor viktig dette verktøyet anses å være for å kunne lede og styre en virksomhet godt og effektivt. Samtidig tilsier det at det i mange tilfeller kan være lurt å tenke gjennom om det er noe å hente ved å samordne systematikken for flere områder fremfor å arbeide separat for å oppfylle kravet for det enkelte felt.

5.3 Hvorfor interne revisjoner?

Interne revisjoner er en av flere metoder for å måle hvordan virksomheten presterer. En viktig del av planleggingen vil derfor være å finne ut på hvilken måte og i hvilket omfang interne revisjoner må gjennomføres i din virksomhet for at de skal gi den informasjonen du faktisk er ute etter, og dekke hele systemet. Da er det viktig å også tenke gjennom hvilken informasjon du faktisk har fra før eller får ved å bruke andre verktøy.

Interne revisjoner er ikke noe du iverksetter fortløpende på områder der du allerede vet at det er mangler. I slike tilfeller er det oftest en bedre bruk av ressursene å rette opp det du allerede vet er galt, og så heller benytte interne revisjoner som et systematisk verktøy for å «overvåke» om systemet som helhet fungerer slik som du tror og forventer.

På den ene siden vil hver enkelt intern revisjon kunne avdekke avvik fra krav og gi verdifull informasjon om forbedringsmuligheter til den som er ansvarlig for en aktivitet, prosess eller leverandør. Samtidig vil virksomhetens øverste ledelse gjennom flere revisjoner få informasjon om hvilke krav som oppfylles og hvilke som ikke oppfylles i ulike deler av virksomheten og hos leverandører. Interne revisjoner vil da også kunne gi nyttig erfaringsoverføring mellom ulike enheter og aktiviteter.

Virksomhetens ledelse skal ikke bare ha oversikt over, men også kontroll med at krav overholdes og med egen risiko og egne prestasjoner. Det er derfor viktig å ha et godt system for å følge opp resultatene etter de interne revisjonene. I dette ligger at årsaker til avvik avdekkes, tiltak gjennomføres og effekter verifiseres. Informasjon om hva som er galt er ikke særlig nyttig før den benyttes til å iverksette endringer!

Totalt sett er både resultatene fra den enkelte revisjon og den samlede vurderingen av resultatet fra alle virksomhetens interne revisjoner også et viktig underlag til ledelsens gjennomgåelse. Hensikten med ledelsens gjennomgåelse er å sikre at sikkerhetsstyringssystemet som helhet er hensiktsmessig, tilstrekkelig og effektivt gjennom å vurdere resultater, legge planer, gjøre prioriteringer og iverksette tiltak.

For at ledelsen skal kunne gjøre de riktige prioriteringene og iverksette nødvendige tiltak, er det helt essensielt å sitte med god og nok kunnskap. De interne revisjonene spiller en svært viktig rolle i arbeidet med å fremskaffe slik kunnskap. Resultatene som fremkommer gjennom interne revisjoner er samtidig med på å gi et grunnlag for i neste omgang å vurdere hvor ofte og i hvilket omfang fremtidige revisjoner må gjennomføres for ulike aktiviteter og områder.

I mange tilfeller avdekkes avvik gjennom tilsynets revisjoner og andre tilsynsaktiviteter. Dette medfører ofte at en stor del av virksomhetens ressurser må fokuseres på arbeidet med å rette opp de manglene som tilsynet har påpekt uten at det nødvendigvis er i tråd med de langsiktige planer og ønsker bedriften har for sikkerhetsarbeidet sitt.

Dersom virksomheten derimot utfører og følger opp interne revisjoner på en god måte vil slike avvik i større grad avdekkes av virksomheten selv. Virksomheten vil da ha en mye bedre mulighet til å styre sikkerhetsarbeidet og ressursprioriteringene sine langsiktig. I mange tilfeller vil ressursbruken totalt sett da kunne reduseres betydelig.

At en virksomhet kan fremvise et godt og effektivt system for å planlegge, gjennomføre og følge opp interne revisjoner, vil gi tilsynsmyndighetene større tro på og tillit til at dette er en virksomhet som er i stand til å avdekke og rette opp sine egne feil og som har styring på sikkerhetsarbeidet sitt. Virksomheten kan da vurderes å innebære en mindre relativ risiko slik at omfanget av tilsynsaktiviteter reduseres. I tillegg vil dette kunne virke tillitvekkende også for kunder og andre interessenter.

5.4 Krav til virksomhetene

Kravene om interne revisjoner er ikke særnorske. Det framgår av kravene til sikkerhetsstyringssystem i jernbanesikkerhetsdirektivet (2004/49/EF) artikkel 9 punkt 2 jf. vedlegg III punkt 2 bokstav j i direktivet. Dette gjenspeiles i sikkerhetsstyringsforskriften § 7-1 hvor det heter:

«Jernbanevirksomheten skal systematisk gjennomføre revisjoner av sitt sikkerhetsstyringssystem for å vurdere om det er tilfredsstillende dokumentert og etterlevd og om det tilfredsstiller krav i jernbanelovgivningen.

Jernbanevirksomhetene skal systematisk gjennomføre revisjoner av leverandører for å vurdere om leverandører overholder krav i eller i medhold av avtaler.

Revisjoner skal gjennomføres i henhold til anerkjent metodikk, vedtatte revisjonsprogrammer og på en måte som ivaretar objektivitet og uavhengighet.»

Det er en identisk bestemmelse i § 7-1 i kravforskriften som inneholder krav til sporvei, tunnelbane og forstadsbane m.m.

Forskrift om gjennomføring av felles sikkerhetsmetode for overvåking som skal anvendes av jernbaneforetak, infrastrukturforvaltere og enheter med ansvar for vedlikehold (overvåkingsforskriften), inneholder også krav om gjennomføring av interne revisjoner, men bruker begrepet overvåking.

Overvåkingsforskriften implementerer EU-forordning 1078/2012 EF i norsk rett. Denne forskriften har tilsvarende formål og innhold som kravet om interne revisjoner i sikkerhetsstyringsforskriften og kravforskriften, men har mer detaljerte krav enn de to sistnevnte forskriftene.

5.5 Hva ser vi etter?

  • At sikkerhetsstyringssystemet følges regelmessig opp og at det overvåkes
  • At det benyttes og fungerer etter hensikten
  • At virksomheten har utformet strategi, prioriteringer og planer for interne revisjoner/overvåking slik det kreves i overvåkingsforskriften
  • At virksomheten planmessig og systematisk reviderer sikkerhetsstyringssystemet sitt for å bedømme om dette er implementert som besluttet og fungerer som tilsiktet, samt at alle krav gitt i eller i medhold av jernbaneloven er oppfylt.
  • At revisjonene omfatter hele sikkerhetsstyringssystemet, m.a.o. alle aktiviteter, prosesser, prosedyrer og tiltak med mer som har betydning for sikkerheten. Dette er uavhengig av om det utføres/forefinnes internt i virksomheten eller håndteres av leverandører
  • At virksomheten har sikret seg rett til å revidere leverandørenes gjennomføring av arbeidsoppgaver
  • At hyppighet og omfang for interne revisjoner er sikkerhetsmessig begrunnet
  • At virksomheten under revisjoner sammenligner sikkerhetsarbeidets faktiske gjennomføringer med de prosedyrer og tiltak som er besluttet
  • At manglende samsvar med krav gitt i eller i medhold av jernbanelovgivningen eller mellom utførelse og beslutninger behandles som avvik
  • At resultater fra revisjoner inngår i underlaget for ledelsens gjennomgåelse av styringssystemet

5.6 Erfaringer etter revisjoner og inspeksjoner


– Utfordringer i virksomhetene

Gjennom ulike tilsynsaktiviteter har tilsynet erfart at flere av virksomhetene «sliter» med interne revisjoner og at dette omhandler etterlevelse av krav så vel som utnyttelse av interne revisjoner som et effektivt og hensiktsmessig verktøy for virksomheten selv.

Eksempler på noen av de gjentagende problemstillingene vi støter på, er:

  • Omfanget av eget sikkerhetsstyringssystem er ikke kartlagt/kjent eller beskrevet – verken for interne aktiviteter eller for aktiviteter der leverandører benyttes. Dette medfører at virksomheten ikke har oversikt over hvilke områder som faktisk skal revideres og det blir vanskelig å kunne si noe om hvor ofte eller hvor omfattende det er nødvendig at revisjoner gjennomføres.
  • Ledelsens gjennomgåelse regnes som en intern revisjon og øvrige interne revisjoner gjennomføres ikke. Interne revisjoner er et verktøy for å overvåke og kontrollere sikkerhetsstyringssystemet (et «måleapparat»). Slik skal de skaffe grunnlag og informasjon slik at ledelsen i ledelsens gjennomgåelse kan vurdere og sikre at det samme systemet er tilfredsstillende implementert, vedlikeholdt og tilfredsstiller krav gjennom eksempelvis iverksettelse av tiltak. Ledelsens gjennomgåelse er således ikke en intern revisjon. Ved å gjennomføre ledelsens gjennomgåelse uten informasjon om resultater fra interne revisjoner svekkes også det grunnlaget ledelsen har for å prioritere og sikre gjennomføring av riktige tiltak.
  • Programmer for interne revisjoner styres ikke sentralt og benyttes ikke som et verktøy for virksomhetens ledelse. Programmene for revisjoner skal samlet ivareta en overvåking av hele sikkerhetsstyringssystemet. Når programmene ikke har en sentral styring, vil evnen til å gi et helhetsbilde fort svekkes.
  • Revisjonene dekker over tid ikke hele sikkerhetsstyringssystemet. Revisjonene gjennomføres for å overvåke hele sikkerhetsstyringssystemet. Dersom enkelte områder, aktiviteter eller funksjoner utelates eller «glemmes» (uten at det er gjort bevisst ut ifra en vurdering av at overvåkingen ivaretas på andre måter) vil ikke denne hensikten oppnås.
  • Virksomheten har ikke vurdert nødvendig hyppighet av interne revisjoner eller leverandørrevisjoner – ofte er dette i sammenheng med at der ikke er et bevisst forhold til hva som faktisk inngår i systemet. Når interne revisjoner benyttes uten at det er vurdert hva slags omfang som trengs for å få nødvendig informasjon og kontroll taper verktøyet mye av sin verdi. Dette kan medføre at det investeres ressurser i å gjennomføre interne revisjoner uten at hensikten – å overvåke sikkerhetsstyringssystemet og ha kontroll med systemets effektivitet – oppnås.
  • Hyppigheten av intern-/leverandørrevisjoner er ikke sikkerhetsmessig begrunnet. De interne revisjonene skal gi virksomheten informasjon om systemene, som er etablert for å ivareta og forbedre sikkerheten, virker etter hensikten. En vurdering av hvor omfattende/hyppige revisjoner som trengs på ulike områder for å gi nok informasjon for å bedømme om sikkerheten ivaretas, er derfor nødvendig for at bruken skal være hensiktsmessig. I noen tilfeller har virksomhetene begrunnet hyppigheten ut ifra praktiske hensyn (ressurser etc.) uten at det er vurdert om revisjonsprogrammet da oppfyller sin hensikt.
  • Revisjonsprogrammene (som ofte er årlige) ivaretar ikke den hyppigheten som er definert av virksomheten. Noen ganger har virksomheten vurdert hvilken hyppighet som er nødvendig og begrunnet dette sikkerhetsmessig. Likevel benyttes ikke alltid denne vurderingen i planleggingen av revisjonsprogrammer. Når programmene så over tid ikke ivaretar den forhåndsvurderte hyppigheten ivaretar heller ikke virksomheten den revisjonsaktiviteten de har sagt er sikkerhetsmessig nødvendig.
  • Avvik fra revisjonsprogrammet behandles ikke og avvik kompenseres ikke. Revisjonsprogrammene inneholder den revisjonsaktiviteten som virksomheten har sagt er sikkerhetsmessig nødvendig. På linje med andre bestemmelser som ivaretar sikkerheten må derfor avvik fra denne håndteres. Dersom programmet avvikes (eksempelvis ved at enkelte revisjoner kuttes ut eller flyttes)uten at det kan vises til vurderinger og/eller at eventuelt andre tiltak settes inn, kan det ikke lenger sies at revisjonsprogrammet ivaretar den sikkerhetsmessige hensikten.
  • Funn fra revisjonene følges ikke tilstrekkelig opp med korrigerende tiltak og det er uklarheter rundt ansvaret for oppfølgingen. Revisjoner avdekker både avvik fra krav og forbedringsmuligheter. Når korrigerende tiltak (fjerning av årsak) ikke gjennomføres eller det ikke verifiseres om tiltakene fungerer etter hensikten, vil ofte avvikene oppstå på nytt eller i en annen form. Informasjonen fra interne revisjoner brukes da ikke til å påse at sikkerheten ivaretas og forbedres. En av årsakene til dette kan være at revisjonspersonell ikke får tilstrekkelig autoritet/gjennomslag i organisasjonen, og at avviksoppfølgingen derfor ikke prioriteres.
  • Resultatet av revisjonene vurderes ikke som helhet og benyttes ikke som underlag i ledelsens gjennomgåelse. Når hver enkelt revisjon bare ses på isolert vil fremdeles enheter og områder få avdekket avvik og forbedringsmuligheter. Virksomheten mister imidlertid effekten av den samlede vurderingen som sier om systemet som helhet er tilfredsstillende implementert, vedlikeholdt og tilfredsstiller krav. Informasjonen bidrar da ikke til å gi ledelsen et godt grunnlag for å sikre og forbedre systemene når de skal prioritere å iverksette tiltak.

Tips til arbeidet med interne revisjoner

I det følgende finner du noen tips og forslag som kan benyttes i arbeidet med interne revisjoner. Punktene under er ikke en liste over lovpålagte krav. Punktene trenger heller ikke å beskrive en ideell, fullstendig eller riktig løsning for din virksomhet, imidlertid vil noen av punktene forhåpentlig være nyttige påminnelser og gi ideer for videre arbeid.

  • Bruk gjerne standarder som ISO 19011 som veiledning og hjelp, men husk at de interne revisjonene og leverandørrevisjonene skal være et verktøy for å hjelpe virksomheten. Revisjonene skal bidra til å gi virksomheten oversikt og kontroll og det viktigste er derfor å sikre at de gjør nettopp det!
  • Overvåkingsforskriftens krav om at det skal foreligge en strategi, prioriteringer og planer for overvåking kan være et viktig bidrag blant flere for å gi interne revisjoner en ledelsesmessig forankring i virksomheten.
  • Tenk gjerne over om det er fornuftig å samordne revisjonene med andre fagområder, men pass på at de fortsatt ivaretar det enkelte felts krav og behov.
  • Start med å få oversikt over hva som inngår i virksomhetens sikkerhetsstyringssystem. Hvilke prosesser, aktiviteter, enheter, områder osv. har betydning for sikkerheten i virksomheten? Hvilke leverandører, varer og tjenester har betydning for sikkerheten? Ofte kan det være greit å ha en oversikt som beskriver nettopp hva som inngår.
  • Det er viktig å sikre en sentral vurdering og styring av revisjonsprogrammene. Siden det vil være den samlede informasjonen fra de revisjoner som gjennomføres som benyttes til å vurdere sikkerhetsstyringssystemet som helhet, må det sikres at programmene ivaretar det behovet ledelsen har for informasjon i eksempelvis ledelsens gjennomgåelse.
  • Når det er kjent hva systemet omfatter kan vurderingen av behovet for kontrollaktiviteter enklere iverksettes. For å vurdere omfanget av interne revisjoner som virksomheten sikkerhetsmessig har behov for, kan blant annet følgende punkter være nyttige å tenke gjennom:
  • Hvilket behov er det for kontroll og overvåking av ulike aktiviteter og områder i systemet? Er noen aktiviteter mer kritiske? Enkelte leverandører?
  • Hvilke andre former for kontroll og overvåking har vi?
  • Hvor godt kjent er de ulike områdene for oss fra før?
  • Til slutt, og med alt dette som utgangspunkt blir spørsmålet: «Hvor ofte, hvor og hvordan må vi gjennomføre interne revisjoner for å sikre at vi har kontroll på om systemet vårt virker?» Vil vi være best tjent med få og store revisjoner; eller mange mindre? Kanskje finnes det kritiske områder som trenger revisjon flere ganger i året, mens andre områder ikke er så kritiske og vil være dekket ved revisjon hvert 3. år? Er det naturlig å tenke prosess, geografi eller organisasjon? Dette må virksomheten selv vurdere og begrunne.
  • Når virksomheten har vurdert og definert nødvendig hyppighet (omfang) basert på sikkerhetsmessige behov kan dette omsettes i revisjonsprogrammer for virksomheten. Det er viktig å sikre at revisjonsprogrammene ivaretar det behovet og den hyppigheten som virksomheten har vurdert som nødvendig. Har du eksempelvis sagt at alle leverandører skal revideres årlig, må du sikre at revisjonsprogrammet for det neste året inneholder revisjoner av alle sammen.
  • Dersom det blir nødvendig å avvike fra den oppsatte planen er det viktig å sørge for at det gjøres en form for avviksbehandling der konsekvenser og eventuelle behov for kompenserende tiltak vurderes. Siden planleggingen allerede er basert på at det oppsatte programmet er det som sikkerhetsmessig er nødvendig for å ha kontroll med systemet, er det viktig å være bevisst på hva en endring medfører (og være sikker på at nødvendig overvåking fremdeles er ivaretatt).
  • Husk igjen at den interne revisjonen er virksomhetens verktøy for å kontrollere seg selv. Når selve revisjonene skal gjennomføres kan det være nyttig å stille seg noen av disse spørsmålene:
  • Er de som skal revidere uavhengige slik at de har et ”friskt blikk” på det som skal undersøkes?
  • Har vi med nødvendig kompetanse slik at vi kan avdekke avvik og forbedringsområder?
  • Kan det finnes nyttige effekter av erfaringsoverføringer innad i organisasjonen?
  • Finnes det en prosess i etterkant av revisjonen som sikrer at årsaker til avvik avdekkes, tiltak gjennomføres og effekten av tiltakene verifiseres? Informasjon om hva som er galt er ikke særlig nyttig før den benyttes til å iverksette endringer!
  • Er det som ble avdekket gyldig og av interesse i andre deler av virksomheten (det er kanskje ikke nødvendig å vente på at en ny revisjon skal avdekke det samme et annet sted?)?
  • Se til at det i forbindelse med ledelsens gjennomgåelse gjøres en vurdering også av hva de samlede resultatene fra revisjonene sier om sikkerhetsstyringssystemets hensiktsmessighet, tilstrekkelighet og effektive virkning slik at ledelsen kan agere ut ifra dette.
  • Husk at ledelsens gjennomgåelse ikke er en intern revisjon, men et forum der resultatene fra de interne revisjonene vurderes og ageres ut ifra.