Internrevision vs. intern revision
Vi som är verksamma inom IIA känner ju oss helt hemmastadda med att vi är internrevisorer och att vi arbetar med internrevision. Men det finns ju faktiskt flera yrkesgrupper som också kallar sig för internrevisorer och vi stöter ofta på dem i våra företag/organsiationer. Vad är det för skillnad mellan oss och dem?
Flertalet av dem vi stöter på har koppling till ISO:s olika ledningssystem. ISO, International Organization for Standardization, är världens största organisation för utveckling av frivilliga och oberoende standarder. ISO grundades officiellt i februari 1947 och har sitt huvudkontor i Geneve, Schweiz. Det är drygt 160 länder som är medlemmar i ISO och över 22 000 standarder har publicerats.
De mest frekvent förekommande ledningssystemen i företag/organisationer som vi stöter på är:
- kvalitet (ISO 9001)
- miljö (ISO 14001)
- arbetsmiljö (ISO 45001 tidigare OHSAS 18001)
- informationssäkerhet (ISO 27001).
Dessa standarder är tillämpliga på alla typer av verksamheter. Har ett företag/organisation certifierat sig enligt någon av dessa standarder behöver verksamheten granskas enligt regelverket.. Ledningen för en organisation ger då utvalda medarbetare i uppdrag att granska:
- om man följer de arbetssätt och förhållningssätt som ledningen beslutat
- om dessa arbetssätt är lämpliga, d.v.s. säkra, miljövänliga, effektiva och lönsamma.
- hur införda styrmedel uppfattas, fungerar och lyckas förmå medarbetare och chefer arbeta på beslutat sätt.
De personer som utför denna granskning kallas för internrevisorer. Revisionen som bedrivs enligt ISO har sedan slutet av 80-talet utvecklats från att gå från ett fokus på kontroll av att det finns korrekta dokument till att undersöka och bidra till att det finns ett fungerande förbättringsarbete i alla delar av verksamheten. Det finns en särskild standard för revision av samtliga av ISO:s ledningssystem, ISO 19011.
Mer att läsa finns på ISO som har publicerat över 22 000 standarder varav cirka 1 000 standarder finns på deras hemsida, www.iso.org.
Eftersom vi också kallar oss internrevisorer så kan det inom våra företag/organisationer uppstå begreppsförvirring och vem gör egentligen vad?
Three Lines Model
IIA har tagit fram en modell, The Three Lines Model, för att hjälpa organisationer att identifiera strukturer och processer som på ett bra sätt kan stödja verksamheten att uppnå målen och tillhandahålla stark intern ledning och styrning samt riskhantering. Modellen visualiseras i nedanstående bild.
Om revision inom ramen för ISO-regelverken placeras in i ovanstående bild så skulle denna placeras in främst i andra linjen. Man skulle kunna säga att den enligt modellen är ett slag av intern revision inom ramen för ledningens ansvar för intern ledning och styrning.
Slutsats
Enligt IIA:s sätt att se på ledning och styrning samt riskhantering är ISO revisionen att betrakta som revision som görs/utförs internt på den operativa ledningens (alt. linjeorganisationens) uppdrag, dvs. något annat än internrevision som görs/utförs på styrelsens/ledningens uppdrag. I internrevisionens uppdrag ingår då även att granska ISO revisionen.
Stina Nilsson Kristiansson
Generalsekreterare och VD IIA Sweden
Mobil: +46(0)73-5795573
Vasagatan 7, 111 20 Stockholm