Interne revisjonar

Rettleiinga utdjupar krava til interne revisjonar og gir tips om ein arbeidsmetodikk for å få til ei god gjennomføring.

Bakgrunn

Tryggingsforskrifta og kravforskrifta set krav til gjennomføring av interne revisjonar. I tilsynsverksemda ser vi at nokre jernbaneverksemder har utfordringar med å etterleve krav og utnytte interne revisjonar som eit effektivt og formålstenleg verktøy.

Hensikt

Rettleiaren utdjupar krava til interne revisjonar i regelverket og gir nokre tips til ein arbeidsmetodikk for å få til ei god gjennomføring.

Omfang

Rettleiaren beskriv planlegging, gjennomføring og rapportering av interne revisjonar. Den tek ikkje for seg oppfølging av avvik i form av årsaksanalyse, handlingsplanar og gjennomføring av tiltak.

Interne revisjonar og gjennomgåinga til leiinga må ikkje forvekslast. Resultat av interne revisjonar vil vere ein del av underlaget for å gjennomføre gjennomgåinga til leiinga – sjå eigen rettleier om gjennomgåinga til leiinga.

Kravet om interne revisjonar gjeld for verksemder som blir omfatta av tryggingsforskrifta og kravforskrifta. Det vil seie at sidespor og museumsbanar ikkje har krav på seg om å gjennomføre interne revisjonar.

Sentrale krav i regelverk

Regelverket krev at det skal etablerast revisjonsprogram for interne revisjonar. Gjennomføringa av slike revisjonar skal skje i samsvar med anerkjend metodikk. Vidare krevst det at revisjonar skal gjennomførast systematisk for å vurdere om tryggingsstyringssystemet er tilfredsstillande dokumentert, at det er etterlevd og at det tilfredsstiller krav i jernbanelovgivinga.

Verksemda skal også systematisk gjennomføre revisjonar av leverandørar for å vurdere om desse overheld krava som er sette gjennom avtalane med leverandørane.

Interne revisjonar

Hensikt

Interne revisjonar er eit verktøy som skal nyttast for systematisk å overvake tryggingsstyringssystemet. Som ein del andre aktivitetar kan interne revisjonar vere ein måte å kontrollere om krava som blir stilte gjennom lovgivinga, av bedrifta sjølv eller andre, blir tilfredsstilte. Verksemda kan kontrollere etterlevinga der interne revisjonar bidreg til å gi svar på om systemet er tilfredsstillande implementert. Vidare kan det undersøkjast om systemet er halde ved like og tilfredsstiller konkrete interne og eksterne krav.

For kvar enkelt verksemd er det kanskje vel så viktig at interne revisjonar er verktøyet til leiinga for å få informasjon om systema verkar effektivt og etter hensikta. Det kan godt hende at eit formelt krav er tilfredsstilt, men at løysinga likevel er lite tenleg og unødvendig kostbar for verksemda.

Ved også å bruke interne revisjonar som eit underlag for å vurdere om systemet er effektivt, får verksemda eit godt utgangspunkt for å prioritere tiltak og gjere fornuftige endringar.

Resultatet frå interne revisjonar må vurderast og følgjast opp både enkeltvis og samla.

Kva er interne revisjonar?

Ifølgje den europeiske standarden ISO 9000 blir ein revisjon definert som ein «systematisk, uavhengig og dokumentert prosess for å skaffe revisjonsbevis og bedømme det objektivt for å bestemme i kva grad kriterium for revisjon er oppfylte».

Revisjon blir mellom anna nytta som eit verktøy for å sertifisere og følgje opp styringssystem og i utøvinga av tilsyn innan ei rekkje fagområde. Denne typen revisjonar er typiske eksterne, eller «tredjepartsrevisjonar».

Interne revisjonar har den same definisjonen, men er verksemda sitt eige verktøy for å vurdere om den oppfyller dei eksterne og interne krava som blir stilte og om systemet som blir nytta er effektivt.

Det finst ein eigen europeisk standard – ISO 19011 – som gir retningslinjer for korleis revisjonar og revisjonsprogram kan planleggjast, blir gjennomførte og blir følgde opp. Denne kan nyttast i arbeidet både med eksterne og interne revisjonar. Denne rettleiinga gir ingen detaljerte retningslinjer av den typen som kan finnast i standarden, men er fokusert på å gi påpeikingar og tips som kan vere ei støtte når krav om interne revisjonar i jernbanelovgivinga skal oppfyllast.

Kravet om å planleggje, gjennomføre og følgje opp interne revisjonar er på ingen måte unikt for jernbanen. Tvert imot er det gjennomgåande krav som kjem fram innan dei fleste fag- og samfunnsområde både i regelverk som internkontrollforskrifta, gjennom krav frå kundar og samfunn og ikkje minst som ein del av sertifiserte styringssystem som eksempelvis ISO 9001, ISO 14001 og OHSAS 18001.

At kravet gjeld innan så mange ulike område, seier noko om kor viktig dette verktøyet blir rekna for å vere for å kunne leie og styre ei verksemd godt og effektivt. Samtidig tilseier det at det i mange tilfelle kan vere lurt å tenkje gjennom om det er noko å hente ved å samordne systematikken for fleire område framfor å arbeide separat for å oppfylle kravet for det enkelte felt.

Kvifor interne revisjonar?

Interne revisjonar er ein av fleire metodar for å måle korleis verksemda presterer. Ein viktig del av planlegginga vil derfor vere å finne ut på kva måte og i noko som omfang interne revisjonar må gjennomførast i verksemda di for at dei skal gi den informasjonen du faktisk er ute etter, og dekkje heile systemet. Då er det viktig å også tenkje gjennom kva informasjon du faktisk har frå før eller får ved å bruke andre verktøy.

Interne revisjonar er ikkje noko du set i verk fortløpande på område der du allereie veit at det er manglar. I slike tilfelle er det oftast ein betre bruk av ressursane å rette opp det du allereie veit er gale, og så heller nytte interne revisjonar som eit systematisk verktøy for å «overvake» om systemet samla sett fungerer slik som du trur og forventar.

På den eine sida vil kvar enkelt intern revisjon kunne avdekkje avvik frå krav og gi verdifull informasjon om forbetringshøve til den som er ansvarleg for ein aktivitet, prosess eller leverandør. Samtidig vil den øvste leiinga for verksemda gjennom fleire revisjonar få informasjon om kva krav som blir oppfylte og kva for nokre av dei som ikkje blir oppfylte i ulike delar av verksemda og hos leverandørar. Interne revisjonar vil då også kunne gi nyttig erfaringsoverføring mellom ulike einingar og aktivitetar.

Leiinga for verksemda skal ikkje berre ha oversikt over, men også kontroll med at krav blir overhalde og med eigen risiko og eigne prestasjonar. Det er derfor viktig å ha eit godt system for å følgje opp resultata etter dei interne revisjonane. I dette ligg at årsaker til avvik blir avdekte, tiltak blir gjennomført og effektar blir verifiserte. Informasjon om kva som er gale er ikkje særleg nyttig før han blir nytta til å setje i verk endringar!

Totalt sett er både resultata frå kvar enkelt revisjon og den samla vurderinga av resultatet frå alle dei interne revisjonane for verksemda også eit viktig underlag til gjennomgåinga til leiinga. Formålet med gjennomgåinga til leiinga er å sikre at tryggingsstyringssystemet samla sett er formålstenleg, tilstrekkeleg og effektivt gjennom å vurdere resultat, leggje planar, gjere prioriteringar og setje i verk tiltak.

For at leiinga skal kunne gjere dei rette prioriteringane og setje i verk nødvendige tiltak, er det heilt essensielt å sitje med god og nok kunnskap. Dei interne revisjonane speler ei svært viktig rolle i arbeidet med å skaffe slik kunnskap. Resultata som kjem fram gjennom interne revisjonar er samtidig med på å gi eit grunnlag for i neste omgang å vurdere kor ofte og i noko som omfang framtidige revisjonar må gjennomførast for ulike aktivitetar og område.

I mange tilfelle blir avvik avdekte gjennom revisjonane til tilsynet og andre tilsynsaktivitetar. Dette medfører ofte at ein stor del av ressursane for verksemda må fokuserast på arbeidet med å rette opp dei manglane som tilsynet har påpeika utan at det nødvendigvis er i tråd med dei langsiktige planane og ønskjer bedrifta har for tryggingsarbeidet sitt.

Dersom verksemda derimot utfører og følgjer opp interne revisjonar på ein god måte vil slike avvik i større grad avdekkjast av verksemda sjølv. Verksemda vil då ha eit mykje betre høve til å styre tryggingsarbeidet og ressursprioriteringane sine langsiktig. I mange tilfelle vil ressursbruken totalt sett då kunne reduserast betydeleg.

At ei verksemd kan leggje fram eit godt og effektivt system for å planleggje, gjennomføre og følgje opp interne revisjonar, vil gi tilsynsmaktene større tru på og tillit til at dette er ei verksemd som er i stand til å avdekkje og rette opp sine eigne feil og som har styring på tryggingsarbeidet sitt. Verksemda kan då vurderast å innebere ein mindre relativ risiko slik at omfanget av tilsynsaktivitetar blir redusert. I tillegg vil dette kunne verke tillitvekkjande også for kundar og andre interessentar.

Kva ser vi etter?

  • At tryggingsstyringssystemet blir følgt regelmessig opp og at det blir overvakt
  • At det blir nytta og fungerer etter hensikta
  • At verksemda har forma ut strategi, prioriteringar og planar for interne revisjonar/overvaking slik det trengst i overvakingsforskrifta
  • At verksemda planmessig og systematisk reviderer tryggingsstyringssystemet sitt for å bedømme om dette er implementert som vedtok og fungerer som tilsikta, og dessutan at alle krav gitt i eller i medhald av jernbanelova er oppfylte.
  • At revisjonane omfattar heile tryggingsstyringssystemet, m.a.o. alle aktivitetar, prosesser, prosedyrar og tiltak med meir som har noko å seie for tryggleiken. Dette er uavhengig av om det blir utført/førefinst internt i verksemda eller blir handtert av leverandørar
  • At verksemda har sikra seg rett til å revidere gjennomføringa til leverandørane av arbeidsoppgåver
  • At hyppigheit og omfang for interne revisjonar er tryggingsmessig grunngitt
  • At verksemda under revisjonar samanliknar dei faktiske gjennomføringane til tryggingsarbeidet med dei prosedyrane og tiltak som er vedtekne
  • At manglande samsvar med krav gitt i eller i medhald av jernbanelovgivinga eller mellom utføring og avgjerder blir behandla som avvik
  • At resultat frå revisjonar inngår i underlaget for gjennomgåinga til leiinga av styringssystemet

Erfaringar etter revisjonar og inspeksjonar


Utfordringar i verksemdene

Gjennom ulike tilsynsaktivitetar har tilsynet erfart at fleire av verksemdene «slit» med interne revisjonar og at dette omhandlar etterleving av krav så vel som utnytting av interne revisjonar som eit effektivt og formålstenleg verktøy for verksemda sjølv.

Døme på nokre av dei gjentakande problemstillingane vi støyter på, er:

  • Omfanget av eige tryggingsstyringssystem er ikkje kartlagt/kjent eller beskrive – verken for interne aktivitetar eller for aktivitetar der leverandørar blir nytta. Dette medfører at verksemda ikkje har oversikt over kva område som faktisk skal reviderast og det blir vanskeleg å kunne seie noko om kor ofte eller kor omfattande det er nødvendig at revisjonar blir gjennomførte.
  • Gjennomgåinga til leiinga blir rekna som ein intern revisjon og andre interne revisjonar blir ikkje gjennomførte. Interne revisjonar er eit verktøy for å overvake og kontrollere tryggingsstyringssystemet (eit «måleapparat»). Slik skal dei skaffe grunnlag og informasjon slik at leiinga i gjennomgåinga til leiinga kan vurdere og sikre at det same systemet er tilfredsstillande implementert, halde ved like og tilfredsstiller krav gjennom eksempelvis iverksetjing av tiltak. Gjennomgåinga til leiinga er såleis ikkje ein intern revisjon. Ved å gjennomføre gjennomgåinga til leiinga utan informasjon om resultat frå interne revisjonar blir også svekte det grunnlaget leiinga har for å prioritere og sikre gjennomføring av rette tiltak.
  • Program for interne revisjonar blir styrte ikkje sentralt og blir ikkje nytta som eit verktøy for leiinga for verksemda. Programma for revisjonar skal samla vareta ei overvaking av heile tryggingsstyringssystemet. Når programma ikkje har ei sentral styring, vil evna til å gi eit heilskapsbilete fort blir svekt.
  • Revisjonane dekkjer over tid ikkje heile tryggingsstyringssystemet. Revisjonane blir gjennomførte for å overvake heile tryggingsstyringssystemet. Dersom enkelte område, aktivitetar eller funksjonar blir utelatne eller «blir gløymde» (utan at det er gjort medvite ut frå ei vurdering av at overvakinga blir vareteken på andre måtar) vil ikkje denne hensikta oppnåast.
  • Verksemda har ikkje vurdert nødvendig hyppigheit av interne revisjonar eller leverandørrevisjonar – ofte er dette i samanheng med at der ikkje er eit medvite forhold til kva som faktisk inngår i systemet. Når interne revisjonar blir nytta utan at det er vurdert kva slags omfang som trengst for å få nødvendig informasjon og kontroll taper verktøyet mykje av sin verdi. Dette kan medføre at det blir ressursar investerte i å gjennomføre interne revisjonar utan at hensikta – å overvake tryggingsstyringssystemet og ha kontroll med effektiviteten til systemet – blir oppnådd.
  • Hyppigheita av intern-/leverandørrevisjonar er ikkje tryggingsmessig grunngitte. Dei interne revisjonane skal gi verksemda informasjon om systema, som er etablerte for å vareta og forbetre tryggleiken, verkar etter hensikta. Ei vurdering av kor omfattande/hyppige revisjonar som trengst på ulike område for å gi nok informasjon for å bedømme om tryggleiken blir vareteken, er derfor nødvendig for at bruken skal vere formålstenleg. I nokre tilfelle har verksemdene grunngitt hyppigheita ut frå praktiske omsyn (ressursar etc.) utan at det er vurdert om revisjonsprogrammet då oppfyller hensikta si.
  • Revisjonsprogramma (som ofte er årlege) varetek ikkje den hyppigheita som er definert av verksemda. Nokre gonger har verksemda vurdert kva hyppigheit som er nødvendig og grunngav dette tryggingsmessig. Likevel blir ikkje alltid nytta denne vurderinga i planlegginga av revisjonsprogram. Når programma såg over tid ikkje varetek den førehandsvurderte hyppigheita varetek heller ikkje verksemda den revisjonsaktiviteten dei har sagt er tryggingsmessig nødvendig.
  • Avvik frå revisjonsprogrammet blir ikkje behandla og avvik blir ikkje kompenserte. Revisjonsprogramma inneheld den revisjonsaktiviteten som verksemda har sagt er tryggingsmessig nødvendig. På linje med andre føresegner som varetek tryggleiken må derfor avvik frå denne handterast. Dersom programmet blir avvike (eksempelvis ved at enkelte revisjonar blir kutta ut eller blir flytta)utan at det kan visast til vurderingar og/eller at eventuelt andre tiltak blir sette inn, kan det ikkje lenger seiast at revisjonsprogrammet varetek den tryggingsmessige intensjonen.
  • Funn frå revisjonane blir følgt ikkje tilstrekkeleg opp med korrigerande tiltak og det er uklarleikar rundt ansvaret for oppfølginga. Revisjonar avdekkjer både avvik frå krav og forbetringsmoglegheiter. Når korrigerande tiltak (fjerning av årsak) ikkje blir gjennomført eller det ikkje blir verifisert om tiltaka fungerer etter hensikta, vil ofte avvika oppstå på nytt eller i ei anna form. Informasjonen frå interne revisjonar blir då ikkje brukte til å sjå til at tryggleiken blir vareteken og blir forbetra. Ei av årsakene til dette kan vere at revisjonspersonell ikkje får tilstrekkeleg autoritet/gjennomslag i organisasjonen, og at avviksoppfølginga derfor ikkje blir prioritert.
  • Resultatet av revisjonane blir ikkje samla sett vurdert og blir ikkje nytta som underlag i gjennomgåinga til leiinga. Når kvar enkelt revisjon berre sest på isolert vil framleis einingar og område få avdekt avvik og forbetringsmoglegheiter. Verksemda mistar likevel effekten av den samla vurderinga som seier om systemet samla sett er tilfredsstillande implementert, halde ved like og tilfredsstiller krav. Informasjonen bidreg då ikkje til å gi leiinga eit godt grunnlag for å sikre og forbetre systema når dei skal prioritere å setje i verk tiltak.

Tips til arbeidet med interne revisjonar

I det følgjande finn du nokre tips og forslag som kan nyttast i arbeidet med interne revisjonar. Punkta under er ikkje ei liste over lovpålagde krav. Punkta treng heller ikkje å beskrive ein ideell, fullstendig eller rett løysing for verksemda di, likevel vil nokon av punkta forhåpentleg vere nyttige påminningar og gi idear for vidare arbeid.

  • Bruk gjerne standardar som ISO 19011 som rettleiing og hjelp, men hugs at dei interne revisjonane og leverandørrevisjonane skal vere eit verktøy for å hjelpe verksemda. Revisjonane skal bidra til å gi verksemda oversikt og kontroll og det viktigaste er derfor å sikre at dei gjer nettopp det!
  • Kravet frå overvakingsforskrifta om at det skal liggje føre ein strategi, prioriteringar og planar for overvaking kan vere eit viktig bidrag blant fleire for å gi interne revisjonar ei leiingsmessig forankring i verksemda.
  • Tenk gjerne over om det er fornuftig å samordne revisjonane med andre fagområde, men pass på at dei framleis varetek kvart enkelt felts krav og behov.
  • Start med å få oversikt over kva som inngår i tryggingsstyringssystemet for verksemda. Kva prosessar, aktivitetar, einingar, område osb. har noko å seie for tryggleiken i verksemda? Kva leverandørar, varer og tenester har noko å seie for tryggleiken? Ofte kan det vere greitt å ha ei oversikt som beskriv nettopp kva som inngår.
  • Det er viktig å sikre ei sentral vurdering og styring av revisjonsprogramma. Sidan det vil vere den samla informasjonen frå dei revisjonane som blir gjennomførte som blir nytta til å vurdere tryggingsstyringssystemet samla sett, må det sikrast at programma varetek det behovet leiinga har for informasjon i eksempelvis gjennomgåinga til leiinga.
  • Når det er kjent kva systemet omfattar kan vurderinga av behovet for kontrollaktivitetar enklare blir sette i verk. For å vurdere omfanget av interne revisjonar som verksemda tryggingsmessig har behov for, kan mellom anna følgjande punkt vere nyttige å tenkje gjennom:
    • Kva behov er det for kontroll og overvaking av ulike aktivitetar og område i systemet? Er nokon aktivitetar meir kritiske? Enkelte leverandørar?
    • Kva andre former for kontroll og overvaking har vi?
    • Kor godt kjent er dei ulike områda for oss frå før?
  • Til slutt, og med alt dette som utgangspunkt blir spørsmålet: «Kor ofte, kvar og korleis må vi gjennomføre interne revisjonar for å sikre at vi har kontroll på om systemet vårt verkar?» Vil vi vere best tent med få og store revisjonar; eller mange mindre? Kanskje finst det kritiske område som treng revisjon fleire gonger i året, medan andre område ikkje er så kritiske og vil vere dekte ved revisjon kvart tredje år? Er det naturleg å tenkje prosess, geografi eller organisasjon? Dette må verksemda sjølv vurdere og grunngi.
  • Når verksemda har vurdert og definert nødvendig hyppigheit (omfang) basert på tryggingsmessige behov kan dette omsetjast i revisjonsprogram for verksemda. Det er viktig å sikre at revisjonsprogramma varetek det behovet og den hyppigheita som verksemda har vurdert som nødvendig. Har du eksempelvis sagt at alle leverandørar skal reviderast årleg, må du sikre at revisjonsprogrammet for det neste året inneheld revisjonar av alle saman.
  • Dersom det blir nødvendig å avvike frå den oppsette planen er det viktig å sørgje for at det blir gjort ei form for avviksbehandling der konsekvensar og eventuelle behov for kompenserande tiltak blir vurderte. Sidan planlegginga allereie er basert på at det oppsette programmet er det som tryggingsmessig er nødvendig for å ha kontroll med systemet, er det viktig å vere klar over kva ei endring medfører (og vere sikker på at nødvendig overvaking framleis er vareteken).
  • Hugs igjen at den interne revisjonen er verktøyet for verksemda for å kontrollere seg sjølv. Når sjølve revisjonane skal gjennomførast kan det vere nyttig å stille seg nokre av desse spørsmåla:
    • Er dei som skal revidere uavhengige slik at dei har ” eit ”friskt blikk” på det som skal undersøkjast?
    • Har vi med nødvendig kompetanse slik at vi kan avdekkje avvik og forbetringsområde?
    • Kan det finnast nyttige effektar av erfaringsoverføringar internt i organisasjonen?
    • Finnes det ein prosess i etterkant av revisjonen som sikrar at årsaker til avvik blir avdekte, tiltak blir gjennomført og effekten av tiltaka blir verifisert? Informasjon om kva som er gale er ikkje særleg nyttig før han blir nytta til å setje i verk endringar!
    • Er det som vart avdekt gyldig og av interesse i andre delar av verksemda (det er kanskje ikkje nødvendig å vente på at ein ny revisjon skal avdekkje det same ein annan stad?)?
  • Sjå til at det i samband med gjennomgåinga til leiinga også blir kva vurdert dei samla resultata frå revisjonane seier om hensiktsmessigheita, nøgda og effektive verknaden av tryggingsstyringssystemet slik at leiinga kan agere ut frå dette.
  • Hugs at gjennomgåinga til leiinga ikkje er ein intern revisjon, men eit forum der resultata frå dei interne revisjonane blir vurderte og blir agerte ut frå.