Intern revision

Intern revision er en uafhængig og objektiv vurdering af, om din organisations processer, kontroller og compliance-indsats fungerer som tilsigtet. Revisionen identificerer svagheder, verificerer overholdelse af krav og giver ledelsen et grundlag for at træffe beslutninger om forbedringer.

Tilbage til ordbog

Hvad er intern revision?

Intern revision er organisationens selvkontrol. Det er den proces, hvor du systematisk undersøger, om dine politikker, kontroller og procedurer fungerer i praksis. Formålet er ikke at finde fejl for fejlens skyld, men at sikre løbende forbedring og give ledelsen et ærligt billede af tilstanden.

Uafhængighed er afgørende. Den, der reviderer, må ikke være den samme, der udfører det arbejde, der revideres. Hvis din IT-afdeling har implementeret en kontrol, skal revisionen af den kontrol udføres af en person uden for IT.

Intern revision adskiller sig fra ekstern revision. En ekstern revision udføres af en uafhængig tredjepart, typisk i forbindelse med certificering (f.eks. ISO 27001) eller lovpligtig finansiel revision. Intern revision er din egen løbende kontrolmekanisme.

Resultaterne af intern revision indgår i ledelsesgennemgangen og danner grundlag for korrigerende handlinger og forbedringer af din compliance-ramme.

Revisionsprocessen

En struktureret intern revision følger typisk disse faser:

Planlægning: Udarbejd et revisionsprogram, der dækker alle relevante områder over en defineret periode. Prioriter på baggrund af risikovurdering og tidligere fund.
Forberedelse: Definer scope, kriterier og metode for den enkelte revision. Gennemgå relevant dokumentation på forhånd: politikker og procedurer, tidligere revisionsrapporter og eventuelle afvigelser.
Udførelse: Gennemfør interviews, observationer og kontrol af dokumentation. Sammenlign den faktiske praksis med de definerede krav og kontroller.
Rapportering: Dokumentér fund, klassificér afvigelser og udarbejd anbefalinger. Rapportér til ledelsen.
Opfølgning: Verificér, at korrigerende handlinger er gennemført og effektive.

ISO 27001 kalder den interne revision for intern audit og stiller specifikke krav til planlægning, uafhængighed og dokumentation.

Regulatoriske krav til intern revision

ISO 27001 (klausul 9.2) kræver, at du gennemfører intern audit med planlagte mellemrum for at verificere, at dit ISMS opfylder organisationens egne krav og standardens krav.

GDPR nævner ikke intern revision direkte, men forordningens krav om ansvarlighed og dokumentation gør det i praksis nødvendigt med regelmæssige interne kontroller af databeskyttelsesforanstaltninger.

NIS2 kræver, at væsentlige og vigtige enheder har politikker for, hvordan de vurderer effektiviteten af deres cybersikkerhedsforanstaltninger. Intern revision er et centralt redskab til det.

DORA stiller krav om uafhængig revision af IKT-risikostyring i finansielle virksomheder, herunder test og vurdering af kontroller.

Flere regulativer peger altså i samme retning: du skal kunne dokumentere, at dine kontroller virker, og intern revision er den mest anerkendte metode til at gøre det.

Best practice for intern revision

Brug en risikobaseret tilgang til at prioritere. Du har sjældent ressourcer til at revidere alt på én gang, og de største risici fortjener mest opmærksomhed.

Sørg for reel uafhængighed. Revisoren må aldrig revidere sit eget arbejde. I mindre organisationer kan det betyde, at du bruger eksterne konsulenter til dele af revisionen.

Dokumentér alt systematisk. Revisionsprogrammet, de enkelte revisionsrapporter, fund, korrigerende handlinger og opfølgning skal dokumenteres i din registerfortegnelse eller et dedikeret revisionssystem.

Behandl afvigelser som muligheder for forbedring, ikke som kritik. En kultur, hvor medarbejdere frygter revisionen, giver sjældent ærlige svar. Sikkerhedsbevidsthed handler også om at forstå, at revision er til for at hjælpe.

Kobl revisionsresultaterne til ledelsesgennemgangen. Ledelsen skal se de samlede resultater og træffe beslutninger om ressourcer, prioriteringer og forbedringer.

Ofte stillede spørgsmål om intern revision

Hvad er forskellen på intern revision og ekstern revision?

Intern revision udføres af organisationens egne medarbejdere (eller en indlejet funktion) og fokuserer på løbende forbedring af processer og kontroller. Ekstern revision udføres af en uafhængig tredjepart, typisk i forbindelse med certificering eller lovpligtig revision.

Hvor ofte skal man gennemføre intern revision?

ISO 27001 kræver intern revision med planlagte mellemrum. De fleste organisationer gennemfører en fuld revisionsrunde årligt, men kritiske områder kan revideres oftere. Frekvensen bør baseres på risiko og tidligere fund.

Kan man lade en ekstern part udføre den interne revision?

Ja, mange organisationer bruger eksterne konsulenter til intern revision for at sikre uafhængighed og specialistkompetencer. Det vigtige er, at revisoren er uafhængig af de processer, der revideres.

Hvad sker der, hvis intern revision finder afvigelser?

Afvigelser dokumenteres, klassificeres efter alvorlighed og tildeles en ansvarlig person med en frist for korrigerende handling. Alvorlige afvigelser rapporteres til ledelsen. Efterfølgende verificeres det, at handlingen er gennemført og effektiv.