Sikkerhetsloven § 3-4 bestemmer at det gis forskrift om stedlig tilsyn. Av virksomhetsikkerhetsforskriften fremgår det at tilsyn som hovedregel skal gjennomføres som systemrevisjon:

§ 89. Tilsyn med virksomheter underlagt lov om nasjonal sikkerhet (tredje ledd)

Tilsyn skal som hovedregel gjennomføres som systemrevisjon.

Forebyggende sikkerhetsarbeid skal gjennomføres planlagt og systematisk i form av sikkerhetsstyring, jf. sikkerhetsloven § 4-1. Det er i første rekke styringssystemet for sikkerhet som undersøkes ved tilsyn. De forebyggende sikkerhetstiltakene som utgjør dette styringssystemet skal dimensjoneres i forhold til risiko, jf. sikkerhetsloven § 4-2. Systemrevisjonene må derfor også omfatte undersøkelser av risikovurdering og -håndtering, det vil si av risikostyringen.

Systemrevisjoner gjennomføres ikke for å avdekke enkeltfeil, men som grunnlag for å vurdere styringssystemets samsvar og hensiktsmessighet. I den grad enkeltfeil avdekkes skal slike alltid håndteres.

I systemrevisjoner registreres revisjonsbevis. Dette er objektive fakta om det forebyggende sikkerhetsarbeidet. Revisjonsbevisene vurderes i sammenheng for å identifisere underliggende årsaker i form av mangler ved grunnprinsippene i sikkerhetsstyringen:

  • sikkerhetsledelse
  • sikkerhetsorganisering
  • sikkerhetstiltak og -prosedyrer
  • forholdet til andre virksomheter
  • sikkerhetsoppfølging
  • sikkerhetsdokumentasjon

I tillegg må eventuelle mangler i risikostyringen identifiseres. Manglene angis som avvik fra krav i sikkerhetsloven med forskrifter. Revisjonsbevis som ikke gir grunnlag for avvik kan angis som observasjoner som virksomheten må være oppmerksom på slik at disse ikke utvikler seg til avvik.

Eksempel på vurdering av revisjonsbevis

Enkeltfeil ved at dør står åpen registreres som revisjonsbevis. I utgangspunktet kan dette vurderes som utilstrekkelig fysisk sikring, dvs. som en mangel knyttet til sikkerhetstiltak og -prosedyrer. Etter andre undersøkelser er det imidlertid registrert som revisjonsbevis at flere medarbeidere ikke har gjennomført opplæring i fysisk sikring, dvs. en mangel knyttet til sikkerhetsorganisering. Ytterligere undersøkelser har registrert som revisjonsbevis at virksomhetens ledelse har redusert opplæringen av nyansatte. Dette er en mangel knyttet til sikkerhetsledelse. Denne mangelen vurderes som underliggende årsak og angis som avvik.

Avvik skal håndteres ved å implementere varige, korrigerende tiltak som hindrer at avviket gjenoppstår. Gjentagelse hindres gjennom korrigering av avvikets underliggende årsaker. Slik korrigering forutsetter analyse av underliggende årsaker til avviket samt av om tilsvarende avvik har inntruffet tidligere eller andre steder i virksomheten.

Tilsyn med forebyggende sikkerhetsarbeid kan med fordel gjennomføres i henhold til anerkjente standarder for systemrevisjon som NS-EN ISO 19011 retningslinjer for revisjon av ledelsessystemer