ISO 9001:2015 – 9.2 Internrevisjon

Vis alle

ISO 9001:2015 – 9.2 Internrevisjon

9.2 Internrevisjon

I forbindelse med den nye utgaven av standarden må organisasjonen gjennomføre internrevisjoner med planlagte intervaller for å sikre at ledelsessystemet samsvarer både med organisasjonens egne krav og kravene som er gitt i ISO 9001:2015, og sikre at ledelsessystemet er effektivt implementert og vedlikeholdt.

Organisasjonen må derfor:

  1. Planlegge, etablere, implementere og vedlikeholde ett revisjonsprogram som inkluderer frekvens, metode, ansvar, krav til planlegging og rapporter. Revisjonsprogrammet må også ta høyde for de kritiske prosessene, endringer som har effekt på organisasjonen, og resultatene fra tidligere intern revisjoner som er utført.
  2. Definere revisjonskriterier (ISO 9001, organisasjonens eget ledelsessystem og aktuelle kontraktuelle og lov/forskriftsmessige krav) og omfang (rammeverk) for hver av revisjonene.
  3. Ved valg av revisorer og gjennomføring av revisjonen, sikre objektivitet og uavhengighet til revisjonsprosessen.
  4. Sikre at resultatet fra revisjonen rapporteres til relevant ledelse
  5. Gjennomføre rettelser og korrektive tiltak innenfor akseptable tidsfrister.
  6. Oppbevare dokumentert informasjon (Registreringer) som bevis av at revisjonsprogrammet er implementert og revisjonsresultatene. Standarden refererer også til ISO 19011 (Retningslinjer for revisjon av ledelsessystemer) også kan benyttes.

Kommentar

Kravert er stort sett uforandret i forhold til 2008 utgaven, bare en liten subtil endring om at formålet med internrevisjonen ikke lenger skal bestemme samsvaret mellom ledelsessystemer, organisasjonens og standardens krav, men nå bare i gi informasjon om det forefinnes samsvar. Dette er viktig da det er organisasjonens øverste ledelse som skal gjennomgå resultatet av revisjonen som en del av prosessen, ledelsens gjennomgåelse. Med andre ord må organisasjonens øverste ledelse aktivt involvere seg i effekten av organisasjonens ledelsessystem. (Se artikkel 5.1 Ledelse og forpliktelse og kommende artikkel 9.3 Ledelsens gjennomgåelse)

Det er ikke lenger krav til at organisasjonen skal ha en egen prosedyre for intern revisjon. Likevel kan mange organisasjonen ha store fordeler med å vedlikeholde en slik prosedyre. Uansett må organisasjonen ivareta dokumentert informasjon (registreringer) som bevis for at ett effektivt revisjonsprogram blir gjennomført og at resultatene (inkludert resultater og korrigerende tiltak, der det er påkrevd.)

Vær også oppmerksom på at “endringer som påvirker organisasjonen” er en ekstra innsats i planleggingen av revisjonsprogrammet.

Prosessen Steg-for-steg

1.      Revisjonsprogrammet

Ved en jevnlig gjennomgang av revisjonsprogrammet for å sikre at kritiske (risikoutsatte) prosesser, resultater fra tidligere revisjoner og endringer som påvirker organisasjonen, er inkludert, når det skal besluttes når og hvor man skal ha spesielt fokus, og på denne måten få en best mulig effekt av revisjonsprogrammet. Nøkkelen her er å skape verdi, og at revisjonene ikke er en byråkratisk byrde. Den sistnevnte er en indikator på at revisjonene gjennomføres for sent eller er dårlig utført. (En ekstern revisor vil lett gjenkjenne dette symptomet, og vil granske revisjonsplanen grundig om dette avdekkes – Se mer om dette i revisjonskontroll under).

 

Merknad: Når det utføres endringer i ledelsessystemet, er internrevisjon ett utmerket verktøy å benytte for å kontrollere at prosessen med ledelsesendringer blir validert og at endringene har hatt den ønskede effekten. (Se også artikkel 6.3 Planlegging av endringer)

 

2.      Revisjonskriterier og omfang

Dette må etableres for hver enkelt revisjon i planleggingsfasen. Hvilke elementer i kravene som skal revideres, hvilke prosesser som skal gjennomgås og hva rammeverket er. Sjekklister er ofte benyttet som en del av revisjonsforberedelsene, med vær oppmerksom på at sjekklister basert på forhåndlagte «maler» må nøye gjennomgås for å sikre at de omfatter det omfanget som skal revideres. Ofte kan slike sjekklister være både begrensede og for omfattende til å gi en god revisjon, og at elementer i ledelsessystemet ikke blir revidert.

 

3.      Objektivitet og upartisk

Stillingsbeskrivelser og organisasjonskart kan ofte være ett godt grunnlag for å vise upartiskhet i større organisasjoner at revisor ikke er ansatt i de delene av prosessen som revideres. Dette kan være en større utfordring i små og mellomstore virksomheter hvor ansatte som en del av virksomheten må gjøre ulike oppgaver. Her kan man velge å sette ut revisjonene til en kvalifisert upartisk tjenestetilbyder.

 

Merk at det ikke er ett spesifisert krav for revisorer til å ha gjennomgått en formell opplæring innen revisjon, men revisoren må være i stand til å bevise tilstrekkelig kompetanse gjennom sin nøkkelfunksjon som har innvirkning på ytelsen og effektiviteten av ledelsessystemet. (Se artikkel 7.2 Kompetanse.) Ansatte og ledere med økonomiansvar kan være farget av sitt ansvar for virksomhetens økonomi i en funksjon som revisor. Dette vil ha en positiv effekt når det er snakk m forbedringer til å spare penger, og en negativ effekt om revisjonen avdekker behov for investeringer, eller har tiltak som koster penger.

 

4.      Rapportering til relevant ledelse

Det er viktig at resultatet av revisjonen rapporteres til relevant ledelse, og at resultatet er en del av ledelsens gjennomgåelse.

 

5.      Tilstrekkelighet og frister for korrigering og korrigerende tiltak

Annet en forsinkede eller dårlig utførte revisjoner (se punkt 1,) er manglende frister på korrektive tiltak, som igjen er en indikator til at ledelsessystemet er en «nødvendig onde», og ikke en integrert del av hvordan virksomheten faktisk drives. Det er derfor viktig at funn fra revisjonene blir behandlet snarest, og at tiltak, frister og ansvarlig blir satt. Merk at observasjoner gjort ved en revisjon også kan være viktig for organisasjonens kontinuerlige forbedringsprogram, (som er gjennomgående inkorporert gjennom hele ISO 9001 Standarden og er referert til flere ganger i disse artiklene.)

 

6.      Dokumentert informasjon (Registreringer)

Registreringer bør ikke være noe problem om revisjonsplanene er tilstrekkelig planlagt, gjennomført i forhold til plan, og god revisjonspraksis med oppfølging av gjennomførte tiltak, som er tilstrekkelige, tids satt og delegert til bemyndiget person.

 

Revisjonskontroll

Generelt

Revisor kan ikke forvente en dokumentert prosedyre for revisjon er på plass. Men dokumentert informasjon må være tilgjengelig som bevis for en effektiv implementering og som resultater fra revisjonene.

 

Merk til punktene 1 og 5: Utføringen av revisjoner samsvar med planer og frister, samt effektive korrigerende tiltak (og bevis for oppfølging på implementering) er ofte noe en revisor nøye vil gjennomgå i forbindelse med en organisasjons revisjonsprogram.

 

Overgang til 2015

Revisor kan ville se på at de organisatoriske endringene er inkorporert i planleggingsprosessen for revisjon.

 

Merk:

Kvalitetsmål og tilbakemeldinger fra kunder var listet som krav i det publiserte utkastet av 2015 standarden, men er ikke en del av kravene i den endelige standarden.