...
För att etablera och underhåll en revisionsfunktion där helhet och delar hänger samman och styrs mot kvalitet och effektivitet krävs tydliga, strukturerade och styrda processer. Revision som genomförs stokastiskt och på förekommen anledning ger inte någon långsiktig och hållbar nytta. Den tenderar att bli ett försök till att inhämta information för att släcka bränder. Revision bör sättas i ett större sammanhang där proaktivitet och systematik blir grunden för en hållbar och motståndskraftig verksamhet. Även om revision kan behöva genomföras på förekommen anledning bör den ingå i ett systematiskt program och styras ur ett helhetsperspektiv. Nedan beskrivs processer som var och en bidrar till helheten där risk, systematik, pedagogik och ständig förbättring står i centrum.
Dom viktigaste input och output till och från processerna utgörs av följande artefakter:
RevisionsprogramRevisionsplanRevisionsrapportRiskanalysUrvalRevisionsomgångRevisionstillfälleRegelverk
Olika metoder kan väljas utifrån behov:
På platsen revisionRevision via digitala mediaIntervjuStickprovsundersökningSkrivbordsrevision (dokumentgranskning)Enkät
Analys- och planeringsprocessen
Analys- och planeringsprocessen
Ett revisionsprogram kan bestå av en mängd organisationer/områden som skall revideras. Under analys- och planeringsprocessen analyseras och sammanställs en riskbild utifrån kända parametrar . Prioritering utifrån riskbilden Ett revisionsprogram kan bestå av en mängd organisationer/områden som skall revideras. Under analys- och planeringsprocessen sammanställs olika indikationer som visar på olika grad av riskbild. Prioritering utifrån riskparametrar ger det urval av organisationer/områden som skall lyftas för revision inför kommande revisionsomgång. Vid analysen avgörs även vilken revisionsmetod som skall väljas eller om en kombination av metoder ger ett mervärde. Olika metoder sätt att revidera ger olika grad av insyn i reviderad parts verksamhet och kan vara någon av följande:
...
Under planeringsfasen framställs revisionsplanerna som är själva agendan vid revisionengenomförande av en revision. Där framgår vilka områden som skall revideras, vilka roller som behöver delta samt tidpunkt för intervjuerna.
Visuell bild över analys- och planeringsprocessen
Revisionsprocessen
Under genomförandet av en revision på plats eller via digitala media är det av vikt att fokusera både regelverkets krav och lärandet hos reviderad part. Revisionsprocessen skall vara tydlig och strukturerad. Vid inledningsmötet presenteras agendan, det systematiska arbetssättet samt revisionsprocessen i sin helhet. Under revisionens gång tydliggörs vilka avvikelser som identifierats med referens till regelverkets krav. Under eventuella avvikelserna för reviderad part i det sammanhang där avvikelsen identifierats. Vid avslutande möte presenteras revisorernas slutsatser i en revisionsrapport och avvikelserna accepteras (förstås) av reviderad part. Ett pedagogiskt angreppssätt vid revision bör eftersträvas då möjligheten till större efterlevnad av regelverk går genom lärandet snarare än genom kontroll och pekpinnar.
Efter 3 veckor genomförs uppföljning för att stämma av åtgärdsplaner och efter 3 månader ett ytterligare kort möte för att stämma av åtgärdernas genomförande. Eventuella kvarstående risker sammanställs och dokumenteras. Därefter stängs revisionen.
Avvikelser och larm
Avvikelser (förstås) av reviderad part. Avvikelser mot rådande regelverk dokumenteras med rubrik, referens till regelverkets kriterium samt med objektiva bevis. Avvikelsen kategoriseras som mindre eller större. Vid en större avvikelse skall korrigerande åtgärder genomföras omgående och rapporteras till revisonsledaren. För alla identifierade avvikelser skall reviderad organisation göra en rotorsaksanalys och sätt upp en åtgärdsplan per avvikelse inom en treveckorsperiod. Revisorn bedömer i dialog med organisationen att åtgärdsplanerna är rimliga och adekvata. Härefter får organisationen under en tremånadersperiod genomföra åtgärderna och redovisar sedan resultatet i en ytterligare dialog med revisorn.är rimliga och adekvata. Härefter får organisationen under en tremånadersperiod genomföra åtgärderna och redovisar sedan resultatet i en ytterligare dialog med revisorn. Ett pedagogiskt angreppssätt vid revision bör eftersträvas då möjligheten till större efterlevnad av regelverk går genom lärandet snarare än genom kontroll och pekpinnar.
Eventuella kvarstående risker sammanställs och dokumenteras. Därefter stängs revisionen.
Avvikelser och larm
Under en revisionsprocess kan revisorn identifiera brister som är så stora att de bedöms behöva eskaleras omgående för vidare hantering. I dessa fall tas en larmrapport fram och eskaleras i enlighet med en i förväg definierad eskaleringstrappa.
I de fall en större avvikelse inte resulterar i en larmrapport anges skäl till detta i rapporten.
Visuell bild över revisionsprocessen
Rapporterings- och förbättringsprocessen
När alla revisioner är stängda avslutas även revisionsomgången. Resultatet från alla ingående revisioner sammanfattas, analyseras och redovisas genom översiktliga diagram. Statistiken visar mognadsförskjutningen innan och efter genomförd revision, inom vilka områden i regelverket där flest brister har identifierats samt hur bristerna är fördelade över olika typ av organisation. Det samlade resultatet sammanställs i en rapport och delges ledningen skriftligen. Vid genomgång med ledningen inhämtas även återkoppling som grund för att förbättra processerna.
Visuell bild över rapporterings- och förbättringsprocessen
Styrning och ledning
En tydlig rollfördelning beskriven i en matris (RACI/HUKI) där det tydligt framgår vilken roll som gör vad hålls aktuell och kommuniceras löpande inom revisionsteamet. Beslutsmandatet framgår tydligt i matrisen. Beställnings- och uppdragsparametrar skall tydligt framgå av avtalet mellan revisionsfunktionen och uppdragsgivaren. Under revisionsomgången genomförs PULS-möten med syftet att säkerställa att revisionerna löper på friktionsfritt. Revisionsfunktionen är sammanhållande och leder PULS-möten, riskanalys, urval och planering av revisionsomgångar. Behov av att ta in extern kompetens för att genomföra revision beror på hur man valt att sätta upp revisionsfunktionen. I det fall extern kompetens behöver upphandlas styr revisionsfunktionen revisionsarbetet och på så sätt upprätthålls enhetlighet i processer och resultat. Olika revisionsuppdrag hanteras och samordnas i en strukturerad process med tydliga beslutspunkter. Krav på revisionsledare och specialister fastställs och hanteras utifrån uppdragets art.
| Info |
|---|
Var uppstår lärande?
|
...
Utbildning inom informationssäkerhet, kvalitet, ledningssystem och revisionsledning. Kunskap om tillitsramverket och relaterade standarder, utbildning i revisionsmetodik enligt ISO 19011, erfarenhet av revision i komplexa organisationer samt förståelse för riskhantering, intern kontroll och ledningssystem.Revisorn Revisorn behöver kunna tolka krav, förstå informationssäkerhet och ledningssystem, behärska intervjuteknik och stickprovstagning, identifiera avvikelser och kommunicera resultat.I I en AI-stödd process krävs dessutom förmåga att tolka AI-rapporter, kvalitetssäkra AI:s slutsatser, förstå begränsningar, bidra till modellförbättring och skydda informationssäkerheten vid användning av AI.
...