Många som går in i sin första ISO 27001-revision försöker lista ut exakt vad revisorn kommer att fråga efter. Vilka dokument måste finnas? Vad är viktigast att visa upp?
Men i praktiken är det inte så revisioner fungerar.
Den här artikeln bygger på insikter från ett inspelat webbinarie om ISO 27001-revisioner, där informationssäkerhetsrådgivaren Tim Andersson delar med sig av hur revisioner faktiskt går till i verkligheten. Och det viktigaste att ta med sig är detta: revisorn försöker förstå hur ni arbetar – inte bara vad ni har dokumenterat.
Helheten är viktigare än enskilda dokument
En av de största missuppfattningarna är att revisionen handlar om att visa upp rätt dokument. Men även om dokumentationen är viktig, är den bara en del av helheten.
“Revisorn bedömer inte enskilda dokument… utan hela ledningssystemet.” – Tim Andersson
Det innebär att revisorn hela tiden försöker se sammanhanget. Hur hänger era policys ihop med riskarbetet? Hur kopplas beslut till faktiska åtgärder? Och används det ni har beskrivit i praktiken?
Organisationer som fastnar i dokumentation missar ofta just detta. De har “allt på plats”, men kan ändå inte riktigt förklara hur det hänger ihop. Det är då revisionen börjar kännas svår.
Den röda tråden från krav till verklighet
Det som verkligen avgör hur en revision går är om det finns en tydlig röd tråd genom hela arbetet.
Den börjar i vilka krav ni har på er – från lagar, kunder eller andra intressenter. Därifrån identifierar ni risker. Riskerna leder till beslut om åtgärder. Och dessa åtgärder ska sedan genomföras och följas upp.
“Revisorn letar efter den här röda tråden från kravbild till risk till åtgärd – och att det lever i verksamheten.” – Tim Andersson
Det är inte en enskild del som granskas, utan kopplingen mellan dem. Om den är tydlig blir det också enkelt att förklara hur ni arbetar. Om den saknas upplevs systemet snabbt som fragmenterat.
Ledningens roll och verkligheten i organisationen
Revisionen börjar ofta med att revisorn försöker förstå er verksamhet. Vad ni gör, vilka krav ni har och vilken kontext ni verkar i.
“Först vill revisorn förstå: vad sysslar ni med? Vilka krav har ni? Då förstår man också vilka risker som är relevanta.” – Tim Andersson
Därefter riktas fokus mot ledningen. Eftersom ISO 27001 är ett ledningssystem behöver ledningen kunna förklara sina prioriteringar och beslut.
Men det stannar inte där. Revisorn går också ner i organisationen och pratar med medarbetare, gör stickprov och testar hur arbetssätten faktiskt fungerar i praktiken.
Som Tim Andersson beskriver det:
“En ledning som inte kan förklara varför man har gjort vissa prioriteringar… där börjar revisorn gräva… revisorn gör intervjuer och stickprov och kan fråga vem som helst i verksamheten.”
Det är ofta här det avgörs. Om svaren är samstämmiga och rimliga bygger det förtroende. Om de spretar, visar det att systemet inte riktigt är förankrat.
Vad som egentligen avgör om du klarar revisionen
Det är lätt att tro att målet är att få noll avvikelser. Men i praktiken är det inte det som avgör.
“Revisorn vill kunna säga: jag har sett tillräckligt mycket för att tro att det här kommer fungera över tid.” – Tim Andersson
Det handlar alltså om helhetsintrycket. Om revisorn får en tydlig och trovärdig bild av hur ni arbetar, och ser att systemet faktiskt används och utvecklas, då spelar mindre brister mindre roll.
Ett bra sätt att tänka inför en revision är därför inte att fråga “har vi allt på plats?” utan snarare:
Går det att förstå hur vi arbetar – från krav till risk till åtgärd och uppföljning?
Om svaret är ja, då har ni redan gjort det viktigaste jobbet.
