• Omfattning av intern revision 2
• Omfattning av intern revision
• Internrevisionsplan
• Utvärdering av lagefterlevnad
• Revision
• Internrevision

Fråga:
Överlåtelse av informationsinhämtning vid intern revision

Kan en enskild intern revisor överlåta arbetet med att inhämta information om en verksamhet till en kompetent lokal resurs (till exempel en medarbetare på den lokala ”miljöavdelningen”).

Svar:
Nej. Enligt ISO 14001:2015 avsnitt 9.2.2 Internt revisionsprogram, så ska organisationen: … ”b) … genomföra revisioner på ett sätt som säkerställer revisionsprocessens objektivitet och oberoende”.

Om revisorn ber en lokal resurs (till exempel en person som arbetar på den lokala verksamhetens ”miljöavdelning”) att utan överinseende inhämta information om hur den lokala verksamheten uppfyller krav (i ISO 14001 mm) så är inte ”… revisionsprocessens objektivitet och beroende” säkerställt. Detta gäller även om revisorn förser den lokala resursen med underlag (checklistor, kontrollpunkter etc.).

Ovanstående svar ligger även i linje med de principer som anges i ISO 19011:2018 Vägledning för revision av ledningssystem. Se också ISO 14004: 2016 avsnitt 9.2 stycke 5 som beskriver krav på interna revisorer.

Fråga:
Omfattning av intern revision 2

"Vid en extern revision har vi fått en observation som går ut på "...hur man med god överblick säkerställer att hela verksamheten...omfattas av intern revision över tid". Som exempel har getts dagvattendammar som finns inom en del av verksamheten. Den verksamhet som är aktuell har ett multisite-certifikat och inom ramen för detta förekommer det ett stort antal lokaler (i vissa fall spridda över stora ytor) och stora ytterområden (i vissa fall dagvattendammar och reningsverk spritt på olika anläggningar). I alla lokaler och ytor förekommer inte någon "miljöfarlig verksamhet." I samband med revision försöker vi besöka så mycket som möjligt på de mindre anläggningarna. Dock besöks inte varenda städskrubb, personalutrymme och kontorsyta. På större anläggningar finns ändå fler lokaler och flera likartade verksamheter förekommer i vissa fall. När det gäller organisationsdelar och krav i standarden känner jag mig trygg att det som ska omfattas revideras. Ställer verkligen standarden krav på att hela fysiska verksamheten ska besökas? Eller går det att göra ett stickprovsförvarande av relevanta delar, där omfattningen på stickprov står i relation till vilken "miljöpåverkande verksamhet" som bedöms ske på respektive plats?"

Svar:
Nej. Standarden kräver inte att hela fysiska verksamheten ska besökas eller täckas vid en intern miljörevision. Det viktiga är att det finns en systematik hur revisionerna läggs upp så att väsentliga delar av verksamheten gås igenom och att de betydande miljöaspekterna är en utgångspunkt. Hänsyn ska också tas till vad som också framkommit från tidigare intern och extern miljörevision. Standarden säger vidare att interna revisioner ska ge information om huruvida miljöledningssystemet är effektivt implementerat och underhåller samt lever upp till de egna kraven och kraven i ISO 14001. Stickprov är visserligen ett vanligt inslag vid revision, men man skall kunna motivera rimligheten i angreppssättet, exempelvis utifrån verksamhetens karaktär, hur den styrs och följs upp (inklusive resultat från tidigare revisioner, etc.)

Fråga:
Omfattning av intern revision

"Utifrån den plan som presenterats för interna revisioner kan det inte bedömas vilka standardkrav som kommer att ingå vid respektive revisionstillfälle. Avvikelse mot kravet att organisationen skall upprätta en plan för interna revisioner som säkerställer att hela verksamheten och samtliga standardkrav omfattas inom fastställd tidsperiod."

"Måste en organisation i sitt revisionsprogram ha en plan som säkerställer att hela verksamheten och samtliga standardkrav omfattas inom fastställd en viss tidsperiod?"

Svar:
Nej. ISO 14001 innehåller inget specifikt krav på att "hela verksamheten och samtliga standardkrav omfattas inom fastställd tidsperiod". Vad som står i standarden är att interna revisioner ska ge information om miljöledningssystemet överensstämmer med egna krav, kraven i ISO 14001 och är infört och underhållits på ändamålsenligt sätt. Därtill krävs bl.a. att omfattningen av varje revision ska definieras, men det är inte samma sak som att "hela verksamheten och samtliga standardkrav omfattas inom fastställd tidsperiod".

Fråga:
Internrevisionsplan

1. Räcker det att i en intern rutin för internrevision beskriva att alla krav och områden ska revideras varje år?
2. Jag har i utbildning uppfattat det som att man ska ha en plan som riskbaserat visar hur man ska revidera organisationens alla områden/processer under en 3-årsperiod? Är det bör på den eller skall?
3. Här har man en rutin som beskriver att hela den certifierade verksamheten ska revideras årligen, är det tillräckligt?

"Revisionsprogram har man likställt med agenda för själva revisionen vilket i min värld är två olika saker."

Svar:

• 1) Nej, det är inte tillräckligt.
  
  Enligt standarden krävs att för varje miljörevision ska revisionskriterier och omfattning definieras, där berörda processer som har betydelse för miljön (risker och möjligheter), resultat från tidigare revisioner, förändringar i verksamheten samt lagar och andra bindande krav beaktas.
  
  Det är också viktigt att man inte blandar ihop begreppen i sammanhanget; det är viktigt att organisationen är säker på vad man menar "program" och "revisionsplan". Mer vägledning för begrepp och för hur internrevision bör genomföras finns i ISO 19011 Vägledning för revision av ledningssystem.
  
  
• 2) och 3) Vad gäller riskbaserat: Se svar på fråga 1.
  
  Vad gäller treårsplan: Nej, inget krav enligt standarden. De interna revisionerna ska ske med planerade intervaller som bestäms av organisationen. Många organisationer utför sina interna revisioner i samband med externa revisionscykler. Se mer beskrivning i svar på fråga 1).

Fråga:
Utvärdering av lagefterlevnad
Är det ett krav att samtliga arbetsställen (i ett exempelföretag finns det 80 arbetsställen) ska vara föremål för utvärdering av lagefterlevnad varje år? De flesta arbetsställen har mycket liknande verksamhet och därför verkar det ur resurssynvinkel lämpligt med att göra stickprov på ett antal ställen i stället för allkontroll som är ytterst tidsödande (4.5.2 Avsnitt 9.1.2 Utvärdering av lagefterlevnad)

Svar:
Det är inte ett krav att samtliga arbetsställen ska vara föremål för utvärdering av lagefterlevnad varje år. Det viktiga är att företaget organiserar arbetet med lagefterlevnad så att det säkerställs att bindande krav följs på samtliga arbetsställen. Det ska finnas en rutin hur lagbevakning sker löpande och hur lagefterlevnaden utvärderas regelbundet i organisationen.

Hur ofta utvärderingen ska ske beror på det enskilda tillämpliga legala kravet, vilken funktion som kravet är tillämpligt på och vilken miljöpåverkan som kan uppstå om inte kravet efterlevs.

Fråga:
Revision
Ska revisorer skriva avvikelser mot AFS'ar vid miljö- och kvalitetsrevisioner?

Svar:
Generellt ingår inte arbetsmiljöfrågor i ett miljöledningssystem som utformats med stöd av ISO 14001:2015. Det finns således inga generella krav som nödvändiggör en granskning av Arbetsmiljöverkets författningar. Däremot kan företaget själv ha identifierat arbetsmiljörelaterade miljöaspekter i sin inventering av miljöaspekter. I så fall kan det naturligtvis finnas tillämpliga legala krav som har samband med den aktuella miljöaspekten.

Vidare kan företaget själv för en miljöaspekt som rör den yttre miljön ha identifierat tillämpliga legala krav av arbetsmiljökaraktär, d.v.s. legala krav som är tillämpliga och har samband med miljöaspekten i fråga. Det ligger emellertid utanför ramen för granskningen av att miljöledningssystem, som utformats med stöd av ISO 14001, att särskilt beröra efterlevnaden av Arbetsmiljöverkets föreskrifter (AFS:ar). Om revisorn upptäcker en avvikelse som har med arbetsmiljön att göra är det emellertid aldrig fel att upplysa företaget om detta. Men en sådan observation bör inte rapporteras som en avvikelse i revisionsrapporten.

Men lagstiftningen är inte alltid glasklart uppdelad mellan arbetsmiljö och naturmiljö. Det kan exempelvis finnas regler som har såväl arbetsmiljö- som naturmiljöaspekter, t ex föreskrifter som har utfärdats av Myndigheten för samhällsskydd och beredskap (MSB):

Om frågeställaren avser ett arbetsmiljö- och miljöledningssystem (eller verksamhetsledningssystem) som utformats med stöd av både ISO 14001 och OHSAS 18001 eller AFS 2000:1 är det naturligtvis helt relevant att skriva avvikelser mot arbetsmiljölag, arbetsmiljöförordning och Arbetsmiljöverkets föreskrifter (AFS:ar) om det visar sig att verksamheten inte följer gällande regelverk. I ett sådant fall måste dock tredjepartsrevisorn också vara godkänd arbetsmiljörevisor för att kunna utfärda sådana avvikelser.

Fråga:
Internrevision
Innefattar kravet på intern revision (avsnitt 9.2) också en kontroll av efterlevnad av legala krav eller finansiell revision?

Svar:
Nej. Syftet med Internrevisionen är att ge information om miljöledningssystemet har införts på ett korrekt sätt, underhålls fortlöpande, uppfyller kraven i standarden och de krav som organisationen själv fastställt. Det är organisationen själv som avgör vilka krav utöver ISO 14001:2015 som ska vara tillämpliga på miljöledningssystemet. Internrevisionen är inte en finansiell revision, en revision om överensstämmelse med bindande krav eller en revision av intressenters behov och förväntningar. Standardens definition av avvikelse klargör detta genom förklaringen i Not 1 (3.4.3), nämligen att en avvikelse inte betyder att alla krav inte uppfylls utan att ett enskilt krav i standarden - eller sådant krav som organisationen själv har fastställt - inte uppfylls. Detta innebär i detta avseende ingen ändring från tidigare versioner av standarden.