ISO Audit: what it is and why it's important

Det som vanligvis omtales som en ISO-revisjon, er i virkeligheten ikke en slik revisjon. Det er snarere en revisjon av et styringssystem som oppfyller en ISO-standard, og den utføres enten av bedriftens egne ansatte hvis det er en intern revisjon, eller av et tredjeparts sertifiseringsorgan som DNV hvis det er en ekstern revisjon. Ikke desto mindre er det en sentral del av arbeidet med å oppfylle og opprettholde ISO-sertifiseringen.

ISO-revisjon: betydning og definisjon

Det finnes nå en lang rekke ISO-standarder for styringssystemer som dekker så forskjellige områder som kvalitet, informasjonssikkerhet, miljø, helse og sikkerhet på arbeidsplassen og mange flere. Ofte refereres det til disse standardene ved hjelp av ISO-standardnumrene ISO 9001, ISO/IEC 27001, ISO 14001 og ISO 45001.

En ISO-revisjon er en systematisk prosess for å innhente revisjonsbevis og evaluere dem objektivt for å avgjøre i hvilken grad revisjonskriteriene er oppfylt. Det er en viktig del av en organisasjons styringssystem som bidrar til å vurdere effektiviteten av implementeringen av ISO-standarder og identifisere områder som kan forbedres.

Hvorfor er en ISO-revisjon viktig?

Det er normalt frivillig for en bedrift å implementere et styringssystem i samsvar med en ISO-standard og bli sertifisert. I noen tilfeller kan det imidlertid være for å overholde lokale eller nasjonale forskrifter. Ofte kan det betraktes som en "lisens til å drive handel", fordi partnere i leverandørkjeden, kunder og andre interessenter krever bevis på at organisasjonen bruker beste praksis og forplikter seg til å forbedre resultatene kontinuerlig på områder som produkter og tjenester, miljø og informasjonssikkerhet. Det kan også være til hjelp på bærekraftområdet, for eksempel når det gjelder å oppfylle ESG-prinsipper og relevante bærekraftsmål.

ISO-revisjoner er en viktig del av prosessen fordi de er utformet for å overvåke og sikre at organisasjonens prosesser er i tråd med de definerte ISO-standardene, og for å verifisere at systemet er effektivt og virkningsfullt. Revisjonene vil også avdekke risikoer og avvik og gi mulighet til kontinuerlig forbedring av systemet.

Typer ISO-revisjon

Det finnes to hovedtyper av ISO-revisjoner:

Interne revisjoner

Interne revisjoner, også kjent som førstepartsrevisjoner, utføres av organisasjonens egne utdannede interne revisorer for egenevaluering og forbedring.
Alle ISO-standarder for styringssystemer krever at organisasjoner utfører interne revisjoner. I korthet går kravet ut på at en organisasjon må planlegge, etablere, implementere og vedlikeholde revisjonsprogram(mer), inkludert hyppighet, metoder, ansvarsområder, planleggingskrav og rapportering. Interne revisjoner er et viktig ledelsesverktøy for å overvåke resultatene og identifisere forbedringsmuligheter.

ISO 19011 gir nyttig veiledning for revisjonsprosessen.

Den første internrevisjonen vil vanligvis finne sted i en tidlig fase av etableringen og implementeringen. En syklus av interne revisjoner er også en forutsetning for å kunne gå videre med en sertifiseringsrevisjon.

Det kan være lurt å få en foreløpig evaluering av implementeringen av organisasjonens styringssystem utført av et sertifiseringsorgan/registrator. Hensikten er å identifisere områder med avvik eller svakheter og gjøre det mulig å korrigere disse områdene før den akkrediterte sertifiseringsprosessen påbegynnes.

Finn ut mer om DNVs kurs for internrevisorer.

Sertifiseringsrevisjoner

Sertifisering eller "eksterne" revisjoner utføres av et tredjeparts sertifiseringsorgan for å verifisere at styringssystemet er i samsvar med kravene i en bestemt ISO-standard. En vellykket sertifiseringsrevisjon vil resultere i at ledelsessystemet mottar et sertifikat som viser interessentene at systemet har blitt vurdert som effektivt av en uavhengig part.

Revisjoner kan være tidkrevende og kostbare, så hvis en organisasjon har tatt i bruk flere ledelsessystemer, er det verdt å vurdere en integrert revisjon av ledelsessystemet. De fleste av de vanligste ISO-standardene for styringssystemer har en harmonisert struktur, felles begreper og de samme kjernekravene. Dette øker brukervennligheten og gjør det enklere for en organisasjon å kombinere noen eller alle styringssystemene sine i ett integrert system.

Feil du bør unngå i ISO-revisjoner

Implementering av standardiserte styringssystemer i en organisasjon anses som den moderne måten å drive forretning på, men det kan være et stort skritt å ta for noen selskaper. Dårlig kvalitet på revisjoner skyldes ofte en kombinasjon av manglende planlegging og forberedelser, utilstrekkelig kommunikasjon og involvering av relevant personell samt mangelfull dokumentasjon og journalføring. Etter at revisjonen har funnet sted, er manglende oppfølging av identifiserte avvik og korrigerende tiltak en annen faktor som må unngås.

Kompetansen til en revisor eller et revisjonsteam er en viktig faktor for å sikre en effektiv og fruktbar revisjon. Når en organisasjon utarbeider revisjonsprogrammet, bør den sørge for å utpeke revisorer med relevant opplæring og kompetanse for det reviderte området. Medlemmene i revisjonsteamet bør ideelt sett ha deltatt på et internrevisorkurs som tilbys av sertifiseringsorganet eller en annen opplæringsleverandør. DNV tilbyr opplæring for interne hovedrevisorer og medlemmer av revisjonsteamet.

Et opplært team vil bidra til å unngå de fleste av de vanligste feilene som kan oppstå før, under og etter en revisjon. Betydningen av revisors kvalitet og kompetanse bør ikke overses. En revisjon vil samle personer på ulike nivåer, og i noen tilfeller kan revisjonen oppleves som en inntrenging eller et spørsmålstegn ved deres evner og metoder. Det er viktig at revisjonsteamet er i stand til å takle slike situasjoner.

Ved å forstå betydningen, viktigheten, standardene, typene og de vanligste fallgruvene ved ISO-revisjoner kan organisasjoner bedre forberede seg på og dra nytte av disse vurderingene, noe som til syvende og sist vil føre til bedre kvalitet og ytelse.