OKG Aktiebolag, inspektionsrapport internrevisionsverksamheten

TILLSYNSRAPPORT 2012-01-09 Process: Inspektera Vår referens: Tillståndshavare: OKG Aktiebolag Objekt: OKG Aktiebolag Förrättningsdatum: 2011-10-12--14 Arbetsgrupp: Yvonne Johansson, KM., Jan Gällsjö, KD Författare: Yvonne Johansson Samråd: Siv Larsson, KD Fastställd: Anne Edland, ckm OKG Aktiebolag, inspektionsrapport internrevisionsverksamheten 1. Sammanfattning Med syfte att inhämta kunskap och bedöma hur OKG Aktiebolag (OKG) uppfyller SSM:s krav avseende internrevisionsverksamheten genomfördes en inspektion 12-14 oktober 2011. Ytterligare syfte var att följa upp framdriften av de åtgärder som OKG redovisat att man genomför med anledning av SSM beslut ärende 2011/228. SSM bedömer att OKG uppfyller samtliga inspekterade krav men att det finns behov av förbättringar på några områden. Eftersom OKG nyligen ändrat arbetssätt för kvalitetsrevisioner är det viktigt att göra en uppföljning av föreliggande inspektion för att bedöma om OKG har förmågan att upprätthålla ambitionen som finns idag. SSM bedömer att OKG har styrande dokumentation och formulerade krav som uppfyller föreskrifterna. OKG har en organisation som omhändertar revisionsprogram och kompetenssäkring av revisionsledare och revisorer. Den svagaste länken i OKGs kvalitetsrevisionerna förefaller vara redovisning och utvärdering av resultat. Det var under inspektionen inte spårbart i vilken omfattning FLG (deltagare från företagsledningen) diskuterade revisionsresultat. Det framgick att redovisningar görs med KRO-index (jämförelsetal för kvalitetsrevisioner) vilket i sig verkar rimligt. Det finns dock starka Strålsäkerhetsmyndigheten Swedish Radiation Safety Authority SE-171 16 Stockholm Tel:+46 8 799 40 00 E-post: registrator@ssm.se Solna strandväg 96 Fax:+46 8 799 40 10 Webb: stralsakerhetsmyndigheten

Sida 2 (23) skäl att även göra redovisningar på kvalitativ nivå. OKG behöver analysera hur olika brister inom olika verksamhetsområden är värderade och hur de eventuellt samverkar och på så sätt riskerar att påverka säkerheten på ett mer negativt sätt än enskilda brister var för sig. En annan svag länk är bristen i att på ett strukturerat sätt använda erfarenheter, avvikelser/incidenter och liknande som underlag för val av vad som bör revideras eller vara ett fokus. Det var också i några fall otydligt hur uppföljningar av åtgärder skett samt att det i dokumentation inte framgick att man utvärderat effekten av revisionerna. OKG rapporterade själva att man har diskussioner i större utsträckning än vad som är spårbart i dokumentationen och att man har en positiv syn på kvalitetsrevisionerna som verktyg att utveckla verksamheten. Den samlade bedömningen är att OKG uppfyller samtliga inspekterade krav men har behov framförallt av att: förbättra sin analysmetod när det gäller meningsbärande aspekter, för att på så sätt få en uppfattning om hur olika brister från olika verksamhetsområden samverkar förbättra redovisning av resultat till FLG, vilket är en förutsättning för en bra utvärdering förbättra tydligheten av uppföljning av åtgärder utvärdera effekten av revisionerna systematiskt ta vara på erfarenheter från egen och annans verksamhet, inför revisioner visa på uthållighet med det nya arbetssättet 2. Bakgrund SSM ställer krav på att den kärntekniska verksamheten skall ledas, styras, utvärderas och utvecklas med stöd av ett ledningssystem. Ledningssystemet, inklusive de rutiner och instruktioner som behövs för styrningen av den kärntekniska verksamheten, skall vara dokumenterat och hållas aktuellt. SSM ställer dessutom krav på att tillämpningen av ledningssystemet, samt dess ändamålsenlighet och effektivitet skall systematiskt och periodiskt undersökas av en revisionsfunktion som skall ha en fristående ställning i förhållande till de verksamheter som blir föreföremål för revision. Ett fastställt revisionsprogram skall finnas vid anläggningen (SSMFS 2008:1 8). När SSM genomförde tillsyn av ledningssystemet 2008 identifierades ett antal förbättringsförslag. Slutsatsen var att OKGs internrevisionsverksamhet verkade ha stagnerat [1]. OKGs modell med väldigt många revisorer ute i

Sida 3 (23) verksamheten kombinerat med stagnation väckte farhågor om att de revisioner som genomfördes inte fick tillräckligt djup. Det konstaterades dessutom att OKG inte reviderat den egna revisionsfunktionen sedan 1997. Vid en uppföljning 2010 hade OKG inte beaktat de synpunkter som framkom vid inspektionen några år tidigare. Hela revisionsverksamheten var i stagnation [2]. Det positiva som man då kunde konstatera var dock att en internrevision av internrevisionsverksamheten hade genomförts hösten 2008. Vid denna hade externa revisorer anlitats. En allmän bild var att internrevisionsverksamheten hade låg status på OKG. Statusen behövde höjas och ett sätt som framfördes var att revisionsteamet behövde arbeta mer professionellt. 3. Syfte Syftet med föreliggande inspektion är att inhämta kunskap och bedöma hur OKG uppfyller SSM:s krav avseende internrevisionsverksamheten. Med detta avses hur internrevisionsverksamheten styrs av verksamhetssystemet, hur verksamheten bedrivs i praktiken och hur den följs upp och utvecklas. SSM behöver få kunskap om hur OKG kategoriserar och formulerar avvikelser och förbättringsbehov samt hur de reviderade enheterna uppfattar resultaten som korrekta, relevanta och som ett stöd för att utveckla den egna verksamheten. Ytterligare syfte är att följa upp framdriften av de åtgärder som OKG redovisat att man genomför med anledning av SSM beslut ärende 2011/228 (2011-13379) [3, 4, 5]. Underlag för beslutet var att SSM bedömde att identifierade avvikelser som framkommit gällande internrevisionens verksamhet och som inte åtgärdats inom föreskriven tid inte hade givits den betydelse som krävs för att uppfylla syftet med internrevisioner. Resultat från denna uppföljning behandlas i granskningsrapport (SSM2011-228-30, SSMs svar på redovisning enligt föreläggande internrevisionsverksamheten). Inspektionen syftar även till att vara pådrivande i säkerhetsarbetet inom området samt ge SSM underlag för fortsatt tillsyn. 4. Metod inklusive avgränsningar SSM har granskat fastställd styrande dokumentation, resultat från internrevisioner och genomfört intervjuer på plats OKG. Intervjuer genomfördes med personal från internrevisionsverksamheten samt med någon som varit utsatt för internrevisioner.

Sida 4 (23) Ett förmöte genomfördes den 14:e september på OKG. 5. Krav SSMFS 2008:1, 2 kap. 8. Den kärntekniska verksamheten ska ledas, styras, utvärderas och utvecklas med stöd av ett ledningssystem så utformat att kraven på säkerhet tillgodoses. Ledningssystemet, inklusive de rutiner och instruktioner som behövs för styrningen av den kärntekniska verksamheten, ska hållas aktuellt och vara dokumenterat. Tillämpningen av ledningssystemet, dess ändamålsenlighet och effektivitet ska systematiskt och periodiskt undersökas av en revisionsfunktion som ska ha en fristående ställning i förhållande till de verksamheter som blir föremål för revision. Ett fastställt revisionsprogram ska finnas vid anläggningen. Allmänna råd till SSMFS 2008:1, 2 kap. 8. Revisionsfunktionen bör ges en tillräckligt stark och fristående ställning i organisationen med befogenheter att rapportera direkt till anläggningens högsta chef. Revisorerna bör utses så att revisionsverksamheten har kontinuitet och utförs av personer med god kunskap om den verksamhet som granskas. Vid bedömningen av lämpligt revisionsintervall bör hänsyn tas till de olika verksamheternas betydelse för säkerheten och till de särskilda behov av revision som kan uppkomma. Normalt bör alla revisionsområden granskas minst vart fjärde år. Revisionsverksamheten som sådan och anläggningens ledningsfunktion bör också periodiskt bli föremål för revision. SSMFS 2008:1, 2 kap. 9, punkt 2. Tillståndshavaren ska se till att ansvar, befogenheter och samarbetsförhållanden definieras och dokumenteras för den personal som arbetar med uppgifter av betydelse för säkerheten i den kärntekniska verksamheten, SSMFS 2008:1, 2 kap. 9, punkt 5. Tillståndshavaren ska se till att personalen innehar den kompetens och lämplighet i övrigt som behövs för de arbetsuppgifter som har betydelse för säkerheten i den kärntekniska verksamheten samt att detta finns dokumenterat, SSMFS 2008:1, 2 kap. 9, punkt 7. Tillståndshavaren ska se till att erfarenheter av betydelse för säkerheten i den egna kärntekniska verksamheten och från liknande sådana verksamheter fortlöpande tas tillvara och delges berörd personal.

Sida 5 (23) 6. Observationer och bedömningar 6.1. Styrande dokumentation Ledningssystemet OKG använder två begrepp KRO och IRO vilka definieras enligt följande [6]. KRO (kvalitetsrevisioner) ska genomföras i syfte att verifiera efterlevnad av verksamhetssystemet och att verksamhetssystemet innehåller, för verksamheten, tillämpliga krav. IRO (intern utvärdering) görs utanför myndighetens krav. IRO ska genomföras som ett led i förbättrings- och utvecklingsarbetet inom respektive verksamhet i syfte att förebygga uppkomsten av avvikelser och brister samt utveckla och förbättra verksamheten. IROer ska genomföras tillsammans med berörd personal. VDs direktiv [6] anger att verksamhetsansvariga regelbundet ska följa upp och utvärdera verksamheten för att ge faktabaserat underlag för strategisk planering och förbättringsarbete. I ledningens uppföljning och utvärdering ska bland annat interna revisioner ingå. Revisioner ska systematiskt genomföras på all verksamhet i syfte att kontrollera verksamhetssystemets tillämpning, ändamålsenlighet och effektivitet. Revisioner ska genomföras med intervaller fastställda med hänsyn till de olika verksamheternas betydelse. KROer ska genomföras i syfte att verifiera efterlevnad av verksamhetssystemet och att verksamhetssystemet innehåller, för verksamheten, tillämpliga krav. Det ska finnas en lång- respektive kortsiktig plan för denna revisionsverksamhet och revisionsteamet ska ha en från den reviderade verksamheten fristående ställning. Teamet ska ha god kunskap om den verksamhet som ska revideras samt kompetens och erfarenhet att genomföra revisionen. Intern utvärdering, IRO ska genomföras som ett led i förbättrings- och utvecklingsarbetet inom respektive verksamhet i syfte att förebygga uppkomsten av avvikelser och brister samt utveckla och förbättra verksamheten. IROer ska genomföras tillsammans med berörd personal. Under 2010 beslutades att KRO verksamheten skulle utvecklas och att IAEA 1 guidelines ska användas (OSART 2 -guideline). Ansvaret för verksamheten flyttades från SG till SK och under året skulle det genomföras utbild- 1 International Atomic Energy Agency 2 Operational Safety Review Teams,

Sida 6 (23) ning avseende det nya arbetssättet och OSART guideline samt till viss del ny revisionsmetodik, enligt årsrapport KRO 2010. Observationer tillämpning Intervjuer bekräftade att beslutade förändringar genomförts. OKG använder sedan början av 2011 OKG OSART-guidline vid KRO. Skälet till förändringen uppgavs vara dels goda erfarenheter från IAEAs arbete och dels att denna guidline även omhändertar aspekter som inte är kravställda på OKG men som är bra att ta till sig som förbättringar. Syftet är att hela tiden förbättra organisationen. Ansvaret för KRO har flyttats till SK och planerade utbildningar har genomförts. Vice VD uppgav att det var en stor tillgång med KRO eftersom man får verksamhetsgenomgångar som ger svar på varför det ser ut på ett visst sätt. KRO ska revidera att OKG gör det som avses och att företaget utvecklar verksamheten. SSMs bedömning SSM bedömer att OKG uppfyller denna del av kravet. OKGs ledningssystem beskriver KRO-verksamheten samt att verksamhet är under utveckling. Det finns revisionsprogram och det finns ett nätverk av revisionsledare och revisorer vilka utbildas enligt plan. SSM bedömer att det finns goda förutsättningar för att nuvarande utveckling av KRO kan bli bra. Det är dock för tidigt att göra en slutlig bedömning eftersom verksamheten pågått drygt ett år och en viktig del i processen är hur identifierade brister hanteras och följs upp. Detta senare arbete i processen har inte hunnit påbörjas i någon större omfattning ännu. KRO-verksamheten på OKG har även tidigare har genomgått en del förändringar utan att uppnå förväntade resultat. En farhåga är att även denna förändring med sin stora ambition ska fallera. Under intervjuerna förmedlades emellertid en stor tilltro till det nya arbetssättet och en entusiasm från både revisionsledare och revisorer. Detta tillsammans med att OKG nu använder en etablerad guide utarbetad av IAEA gör att SSM bedömer att det finns bra förutsättningar och en större chans att lyckas etablera en fruktbar internrevisionsverksamhet.

Sida 7 (23) 6.2. Krav Inledningen Ledningssystemet De områden som ska revideras är främst en spegling av SSMFS 2008:1 och övriga SSM-krav man identifierat i Kravförteckningen samt krav i OSARTguideline 2005 [7] och ISO 14001:2004 [8]. Planen är att revidera tio processer på en övergripande nivå för att klarställa att OKGs verksamhet bedrivs enligt respektive process. Det innebär att beskrivningar ska överensstämma med tillämpat arbetssätt. I princip gäller det hur kravhandläggaren följer instruktion 2005-10476 [9]. Det framgår att alla lagar, förordningar, föreskrifter och standarder är uttolkade i instruktioner och de flesta revisioner görs på en nivå avseende hur efterlevnaden av dessa instruktioner är. För reviderad process ska det finnas beskrivningar i OKGs verksamhetssystem som överensstämmer med det arbetssätt som tillämpas i verksamheten och det ska finnas koppling till underliggande rutiner. Förväntningarna på resultatet är att processen ska spegla verksamheten som den är. I ledningsdokument Verksamhetskrav finns Krav och riktlinjer för olika verksamhetsområden. Krav och riktlinjer kvalitetsrevisioner, KRO [10] redogör för uppgiftens omfattning, krav på uppgiften, tolkning av krav, omhändertagande av krav samt uppföljning av kravefterlevnad. Observationer tillämpning Under intervjuer hänvisades till att SSMs föreskrifter finns inarbetade i ledningsdokument Krav och riktlinjer kvalitetsrevisioner. OSART guideline som används omhändertar ytterligare aspekter som inte är kravställda på OKG men som är bra att ta till sig som förbättringar. OKG har en kravförteckning ett enkelt system/databas för hantering av vem som ansvarar för respektive krav (alla) som ställs på OKGs verksamhet. Undantag är tekniska krav på anläggningarna. SSM noterade att SSMFS 2008:17 saknades i detta system/databas. Om OKG KRO identifierar avvikelser från krav enligt SSMs föreskrifter kan det resultera i stor avvikelse eller avvikelse. Om OKG KRO identifierar avvikelse från OSART guideline resulterar det som mest i förbättring. Det var väl känt bland de intervjuade vilka krav som ska revideras. Det var inte tydligt för alla skillnaden vad gäller konsekvensen av avvikelser gentemot SSMs föreskrifter och OSART. Det framfördes att OKG måste bli tydligare med vad som är krav och vad som är önskemål, utifrån KROresultaten

Sida 8 (23) SSMs bedömning SSM bedömer att OKG uppfyller denna del. SSM noterade en viss otydlighet om vad som är utgångspunkten för KRO om det är det egna verksamhetssystemet eller OSART-guiden. Även om det var väl känt bland de intervjuade vilka krav som ska revideras var det inte tydligt för alla skillnaden vad gäller konsekvensen av avvikelser gentemot SSMs föreskrifter respektive OSART Gentemot SSMs föreskrifter kunde avvikelse konstateras medan det gentemot OSART kunde konstateras att man behöver förbättringar. 6.3. Organisation Ledningssystemet Som beskrivits ovan har KRO verksamheten förändrats. Ett nätverk ska finnas med lämpligt antal revisorer och revisionsledare. Kompetenskrav för respektive kategori ska anges. En instruktion avseende kompetens inom KRO-verksamheten [11] redogör för arbetsrutiner allmänt, identifiering av befintlig kompetens, kompetensanalys, bemanningsanalys samt ger en beskrivning av kompetenskraven. Observationer tillämpning Det var goda erfarenheter från IAEA:s granskningar som hade inspirerade till att vilja utveckla den egna internrevisionsverksamhet (KRO) att efterlikna IAEAs metod. Utöver ovan beskrivna förändringar vad gäller OSARTguideline [7] mm har det medfört förändringar när det gäller organisation och sammansättning av revisionsteam samt revisionsprogrammet och avsatt tid för KRO. OKG har minskat på antalet KRO jämfört med tidigare. Under 2011 är 15 KRO planerade vilket ska jämföras med tidigare år då man genomförde ca 20/år. Idag pågår varje KRO under längre tid och upptar mer resurser. Varje KRO tar ca 5 arbetsdagar för genomförande. Det tillkommer tid för planering och bearbetning, omkring 13 resurser/år. Teamens sammansättning består av erfarna anställda. Man strävar efter att få ett nätverk med färre personer jämfört med tidigare. Dessa ska vara erfarna och varje revisor ska göra fler revisioner. Detta är en målsättning man har. Fortfarande består nätverket av omkring 100 personer varav omkring 68 personer är aktiva. Bland dessa är ungefär 13 aktiva revisionsledare. Revisionsledare kommer alltid från avdelning S. Varje team arbetar i minst 3 år.

Sida 9 (23) De intervjuade uppgav att denna förändring kändes meningsfull och det var roligt att arbeta på ett sätt som skulle leda till högre professionalism. OKG har börjat använda funktionen counterpart. Även detta ansågs vara en fördel. Syftet är att counterpart och revisionsteam ska vara överens vid avslutningsmötet vilket i sin tur ska ge bra förutsättningar för att åtgärder blir väl omhändertagna. Funktionen innehas vanligtvis av chefen för den enhet som är reviderad. Med syfte att underlätta förståelsen för identifierade brister har revisionsteamet och counterpart en kontinuerlig dialog under hela revisionen. Ett annat försök att efterlikna IAEAs upplägg är att man kompletterar med fältobservationer utöver dokumentgranskning och intervjuer. Målet är att man ska få en samlad bild för att på så sätt finna underliggande problem istället för att få en splittrad bild genom många små upptäckter. Sedan årsskiftet har man genomfört 5 revisioner med detta upplägg. SSMs bedömning SSM bedömer att OKG uppfyller kraven när det gäller ledning och styrning avseende denna del. SSM bedömer att det finns ett stort engagemang från de intervjuade vad gäller det nya arbetssättet gällande KRO. OKG behöver emellertid vara observant och tillse att man ger förutsättningar så det finns en uthållighet i detta engagemang. 6.3.1. Revisionsprogram Ledningssystemet Ett revisionsprogram ska finnas där det ska framgå att OKGs verksamhet ska revideras vart fjärde år och att områden som har betydelse för säkerheten och miljön ska revideras oftare [10]. Avdelning Säkerhet och kvalitet (S) ansvarar för att revisionsprogrammet finns [9]. Det beskrivs även att i de fall särskilda behov uppkommer ska revisioner på dessa områden genomföras [10]. Av revisionsprogrammet ska det framgå vilka områden som ska revideras, kort beskrivning av varje område och med vilken frekvens de ska revideras. Det ska framgå vilka förväntningar som finns på resultatet av respektive revision samt vilka verksamhetsområden som berörs. Revisionerna ska genomföras avseende tillämpning av OKGs verksamhetssystem, dess ändamålsenlighet och effektivitet [9, 10].

Sida 10 (23) OKG har definierat ovanstående enligt följande: Ändamålsenlighet innebär att verksamhetssystemets uppbyggnad, struktur och innehåll stöder och styr verksamheten, så att förutsättningar ges för att samtliga överliggande krav (lagar och föreskrifter) som ställs på verksamheten kan uppfyllas. Tillämpning innebär att verksamhetssystemet och verksamheten överensstämmer, samt att verksamhetssystemet används och är förankrat i organisationen. Effektivitet innebär att verksamhetssystemet ger tillräckliga förutsättningar för att upptäcka och åtgärda brister i verksamhetssystemet eller på genomförda varor eller tjänster (inte om sättet att uppfylla kraven är effektivt med avseende på resursutnyttjande). Revisionsverksamheten ska ha befogenhet att rapportera resultaten direkt till VD. Ledningssystemet beskriver att revisorer bör utses så att revisionsverksamheten har kontinuitet och utförs av personal med god kunskap om den verksamhet som revideras. Även revisionsverksamheten som sådan och företagets ledningsfunktion ska periodiskt bli föremål för revision. Revisionsprogrammet är enligt OKG uppdelat i en årsplan och långtidsplan. Det ska finnas ett revisionsprogram som gäller över en rullande åttaårsperiod. Det är KRO-samordnaren som tar fram årsplanen och det är avdelning S som ansvarar för att revisionsprogrammet finns. En instruktion [9] beskriver arbetsrutiner, allmänt, KRO-processen, riktlinjer för revisionsintervall, avsteg från tidsperiod, revisionsprinciper, organisation, kompetenskrav samt kvalitetsrevisionsindex. Det finns verksamheter som ska revideras varje år, vart tredje år samt vart fjärde år. Planen är att revidera tio processer på en övergripande nivå för att klarställa att OKGs verksamhet bedrivs enligt respektive process [8]. Det gäller följande processer: 1. Planera verksamheten 2. Följa upp, förbättra och säkerhetsvärdera verksamheten 3. Operativ planering 4. Driva kraftverk 5. Säkra varor och tjänster 6. Hantera finansiella resurser 7. Utveckla personal och arbetsmiljö 8. Vidmakthålla anläggning

Sida 11 (23) 9. Utveckla anläggning 10. Hantera information och kommunikation Observationer tillämpning OKG redovisade sitt revisionsprogram där det framgår vilka områden som ska revideras och med vilken frekvens. Istället för revisioner med flera års mellanrum, vilket beskrivs i ledningssystemet, görs även en del revisioner oftare, på vissa områden. Några områden revideras varje år men då inom begränsade delar på respektive område. Som exempel på ett fall då särskilt behov av revision uppkommit uppgav OKG revision på HFE-Plex. De intervjuade kände till att alla lagar, förordningar, föreskrifter och standarder är uttolkade i specifika instruktioner för olika områden likt instruktionen för KRO [10]. SSM observerade att just revisionsverksamheten, tidigare inte varit föremål för revision i den utsträckning som varit avsett. År 1997 gjordes en revision och därefter år 2008. I början av 2011 gjordes den senaste revisionen angående ledning, organisation och administration, MOA (Management, Organisation, Administration). Denna revision genomfördes enligt OSART riktlinjer. Revisionsrapporten var inte klar och fastställd vid SSMs inspektion. SSMs bedömning SSM bedömer att det finns förutsättningar att OKG klarar de höga ambitionerna som finns och bland annat förmedlas i instruktion 2007-01911, KROverksamheten, 2011-02-03. Det finns dock anledning att invänta senare delar i processen för att göra en slutlig bedömning. Det finns en farhåga med anledning av de ofta förekommande förändringarna av revisionsverksamheten. Det har tidigare förekommit flera förändringar som inte hunnit etableras och farhågan är att även denna senaste förändring inte ska etablera sig innan det är dags för nästa förändring. Skälet till farhågan är bland annat den ofärdiga revisionen från början av 2011, betecknad Moa, samt synpunkter som framfördes under avslutningsmötet. Synpunkter att det var just flera förändringsarbeten som varit skäl till att revisionsverksamheten tidigare inte varit utsatt för revision i den utsträckning som varit avsett. SSM bedömer att om det nya arbetssättet är bra ska en sådan försening inte förekomma eller höra till undantagen.

Sida 12 (23) 6.3.2. Kompetens Ledningssystemet Avdelning S är ansvarig för tvärfunktionen. Samtliga verksamhetsområden tillhandahåller revisorer. De personer som ansetts vara lämpliga att ingå i nätverket för revisionen är utvalda av chefer för OKGs verksamhetsområden i samråd med KRO-ansvarig. Det ska finnas kompetens och bemanningsanalyser för tvärfunktionen KRO i instruktion 2005-07130 [11]. Kompetensbedömning ska genomföras årligen när det gäller revisorer och revisionsledare och kompetenskrav för respektive kategori ska anges [12]. För att uppnå kompetenskraven ska en ny revisor går igenom relevanta instruktioner (2007-01911 och 2005-10135) och genomföra utbildningar/genomgångar. Den nya revisorn deltar sedan i en revision med ett team där det finns en bred erfarenhet. Lämpligen mixas utbildning och deltagande i revisioner. Utbildningar dokumenteras i respektive revisors utbildningsregister. I de fall det behövs spetskompetens kan personer anlitas både från OKG eller från externt företag. I samband med tidigare uppföljningar har det framkommit kritik gällande kompetensen hos revisorer, vid någon revision [13, 14, 15]. Man ansåg också att det var Mycket bra att ta in en extern revisor som var mycket påläst [14]. Det finns formulerade arbetsuppgifter som revisorerna och revisionsledarna ska. Det finns också formulerat fyra nivåer som går att uppnå kvalifikationerna [11]. Dessa nivåer kvalifikationer kan uppnås på olika sätt. Några exempel som anges är specifik utbildning att man deltagit i ett flertal interna revisioner eller motsvarande att man är chef/projektledare (revisionsledare) att man har arbetsuppgifter som kan anses motsvara en revisors arbetsuppgift. I de fall en chef har ett delegerat ansvar för någon av tvärfunktionerna gäller även ett ansvar för [16]: att tvärfunktionen har tillräcklig kompetens att kompetensanalyser för tvärfunktionen utförs och dokumenteras på kort och lång sikt att följa upp planerade åtgärder

Sida 13 (23) Medarbetare ansvarar för att den egna utvecklingsplanen och att den finns dokumenterad samt att de planerade åtgärderna genomförs. Medarbetaren ansvara även för att genomföra utbildningar de är kallade till. Observationer tillämpning KRO-ansvarig uppgav att det finns ett nätverk med lämpligt antal revisorer och revisionsledare. SSM tog del av en lista med revisorer och vilken kompetens de uppnått i förhållande till krav på områden. I årsrapport KRO 2008 samt KRO 2010 framgår att inga kompetenshöjande åtgärder hade genomförts. Årsrapport KRO 2009 redovisar att en kurs i revisionsmetodik med handledare från STF har genomförts och att nya revisorer deltog. Under 2009 genomfördes en endags kurs angående miljöstandarder med både nya och gamla revisorer som deltagare. Det beskrivs att det görs kompetenshöjande insatser under 2009 inom områdena: SSMFS 2008:1, ISO 14001:2004 samt revisionsmetodik med anledning av nya personer i KRO nätverket [13]. Efter förändringarna som genomförts har revisionsutbildningar haft detta fokus. Det framkom att det fanns exempel när en ny revisor endast genomgått utbildning som omhändertog förändringarna i internrevisionsverksamheten utan att ha en tidigare grund att utgå ifrån. Detta uppfattades som en miss och man hoppades att det var en tillfällig fadäs, orsakad av tidsbrist. OKG försöker i allt större utsträckning utnyttja experter på olika områden, vid de olika revisionerna. SSMs bedömning SSM bedömer att utbildning har genomförts men att det återstår att hålla utbildningen aktuell och anpassad till de medverkande. Det som genomförts har i första hand varit fokuserad på förändringar i arbetssätt och ny guide för genomförande. OKG behöver även hålla ordinarie utbildning på området aktuell. SSMs bedömning är att det verkar fungera bra med att i större utsträckning utnyttja experter på olika områden vid olika revisioner. 6.4. Redovisning Ledningssystemet Under hösten 2007 infördes ett internt krav att representant från FLG och SK ska delta vid avslutningsmöten. Enligt årsrapport KRO 2008 ska det ha fungerat på ett tillfredställande sätt. SSM noterar att det inte framgår i de övriga

Sida 14 (23) granskade årsrapporterna huruvida detta fungerar tillfredsställande. Däremot framgår en synpunkt, ett ifrågasättande när en person Blir fundersam på genomslagskraften för en sådan här revision när jag var den enda deltagaren på avslutningsmötet förutom revisorerna. Kommer enheter/avdelningar att se förslagen som något man måste stänga eller blir det en förbättring? [sid 10, årsrapport KRO 2009]. De brister som identifieras vid en KRO ska klassificeras i tre nivåer och nivåerna ska beskrivas. I instruktionen för krav och riktlinjer KRO [10] framgår inte någon beskrivning. Nivåerna är [17]: Stor avvikelse (ska åtgärdas omgående dock senast inom en månad) Avvikelse (ska vara åtgärdad inom tre månader) Förslag/rekommendation (ska vara åtgärdad inom sex månader) Resultat från KRO ska redovisas till FLG [10]. Det framgår inte hur ofta. De avvikelser och förslag som identifierats kopplas till OKGs målområden. OKG beskriver i årsrapporten [15] att det inte är enkelt att göra kopplingen då målområden inte är tillräckligt tydliga. Följande målområden finns beskrivna i årsrapporterna 2008-2010: Säkerhet Styrande dokument till verksamhetssystemet Säkerhet och säkerhets skydd Organisation (ledning och styrning), roller, ansvar Lagar/föreskrifter Produktion Drift/underhåll Brand, kemi, granskning och operativ bevakning Säkerhetsredovisningar Ekonomi Ekonomi Miljö Påverkan på miljön (inre och yttre) Personal och kompetens Bemanning, resurser och kompetens

Sida 15 (23) Anläggningsutveckling Ändringsverksamhet, konstruktion Redovisning av KRO-resultat görs med index. KRO-index är relationen mellan identifierade avvikelser/förbättringar och åtgärdade avvikelser/förbättringar. Det innebär att höga siffror visar på bra åtgärdsfrekvens. Årsrapporterna från 2008 [13], 2009 [14] och 2010 [15] visade att redovisning av index sker på två sätt. Dels en version där hänsyn har tagits till att organisationen givits möjlighet att åtgärda förbättringarna. Detta värde redovisas till FLG och ligger på 75-76 % i årsrapporterna ovan. Det andra värdet är lägre och är beräknat utifrån hur mycket som är åtgärdat i förhållande till hur mycket som identifierades, 21-28 %. OKG beskriver att det beror på att organisationen inte har haft möjlighet att åtgärda identifierade förbättringar. Det framgår endast delvis varför organisationen inte haft denna möjlighet. Det skäl som framhålls för årsrapport KRO 2010 är att ett stort antal revisioner genomfördes under senare del av året. Man uppger också att man har index för en rullande 3-årsperiod. KRO-samordnaren har månadsvis tagit fram resultat av framdriften i arbetet med avvikelser och förslag. Uppföljning har gjorts hur många förbättringar som inte har genomförts inom den tid chef beslutat. Detta antal tillsammans med antalet identifierade förbättringar, åtgärdade, nedlagda har månadsvis redovisats till FLG. SSM har inte tagit del av dokumentation att OKG har gjort någon särskild utvärdering om denna redovisning har givit önskat resultat. Observationer tillämpning Arbetet med funktionen counterpart har fungerat bra, enligt OKG. Det har varit enighet om identifierade avvikelser och brister vilket givit förutsättningar för att åtgärderna ska bli väl omhändertagna. Redovisning till FLG görs först och främst genom avrapportering av KROindex, varje kvartal. Sakfrågor redovisas vanligtvis inte vid dessa avrapporteringar. Det framgick av både vice VD och cs att ansvaret att lyfta speciella frågor ligger på cs. SSM fick uppfattningen att det inte förekommer speciellt ofta. Det fanns inte heller dokumenterat att FLG hanterat KRO eller KRO sakfrågor mer än vid några få tillfällen. De KRO sakfrågor som SSM kunde notera att de finns i FLG protokoll är förändringarna av KRO verksamheten, som diskuterats 2 ggr senaste året. KRO-index nämns en gång (8/11-10) av de 4 planerade [18]. Det framhölls från OKG att KRO diskuterades vid fler tillfällen än vad som framgick i protokoll från FLG under en period av ett år tillbaka.

Sida 16 (23) En genomförd revision (21-2009) har identifierats ej slutfört rapporterad. Rapporten är formulerad och på språkgranskning men inte frisläppt. Ingen kunde förklara orsaken till detta. Den första KRO som gjorts enligt nya arbetssättet MOA, genomfördes vecka 10. Rapporten från denna var fortfarande inte klar. Övriga revisioner som gjorts under året var klara, enligt OKG. År 2009 gjordes en revision av SK (Säkerhet/kvalitet). Vid detta tillfälle var SG revisionsledare. Nästa revision på SK är planerad till år 2013. Det var osäkert huruvida identifierade brister rapporterades i QAF eller inte, i de fall en KRO-rapport inte var färdig och fastställd. Vad gäller rapporten ovan från 2009 var identifierade förbättringar införda i QAF medan identifierade brister från revisionen MOA 2011 inte var införda i QAF. SSM noterade att det var svårt att få fram dessa uppgiften bland berörda. I några KRO-rapporter var redovisningen av brister mycket sparsam. Istället för beskrivning i rapporterna hänvisades till att beskrivning fanns i QAFsystemet. Exempel KRO, angående driftklarhet (DKV) SSM tog del av några KRO-rapporter. Ett exempel var Kvalitetsrevision 13 2009 Provning/kontroll av driftklarhet (DKV) [19]. Under vecka 946 genomfördes denna revision, vilket var enligt den rullande långtidsplanen. Syftet beskrevs vara att undersöka verksamhetssystemets tillämpning, ändamålsenlighet och effektivitet gällande provning och kontroll av driftklarhet efter RA, kortstopp samt underhåll och ändringar i fysiskt skydd. Vid revisionen konstaterades att det saknades system för strukturerad driftklarhetsverifierande provning DKV av det Fysiska skyddet. Anläggningsregistret i ODU eller något motsvarande system användes inte som hjälpmedel för vad och när för det som skulle provas. Rapporten uppger att detta uppmärksammats även tidigare i KRO 14-08. Man rapporterar ytterligare brister avseende det fysiska skyddet och flera gällande drift, sammantaget fem avvikelser och två förslag. Rapporten uppger att Revisorerna kommer att följa upp verksamhetens åtgärder efterhand de redovisas som åtgärdade enligt rutinerna i applikationen för förbättringar QAF (sid 4. Kvalitetsrevision 13 2009). De brister som upptäcktes betecknas i OKGs dokumentation som förbättringar. Dessa finns beskrivna som rubriker och med unika nummer i en matris med tillhörande målområde för respektive brist. För att få detaljerad information eller mer information och status om bristen hänvisas till QAF.

Sida 17 (23) För att följa vad som hände med denna KRO tog SSM del även av Kvalitetsrevision 14-2010 Provning/kontroll av Driftklarhet [17]. En av flera avgränsningar denna gång var att KRO skulle gälla O1 och O2 men inte det fysiska skyddet eller O3. Vidare berördes endast system med DKV i STF. Sammanfattningen i denna anger att provning och DKV efter åtgärder i anläggningen i huvudsak bedrivs på ett tillfredsställande sätt. För att förbättra behövs ett Provnings/DKV/Driftsättningsforum, vilket är ett verksamhetskrav idag men som saknas, enligt rapporten. KRO 14-2010 resulterade i fyra avvikelser; provkrav från säkerhetsredovisningen, rutiner för säkerställande av driftklarhet i alla driftlägen, Provnings/DKV/Driftsättnings-forum, analyser för provning. Även här uppges att bristerna (förbättringarna) är registrerade i QAF. I QAF framgår vilken verksamhet (enhetschef) som har ansvaret för att förbättringen åtgärdas. Enhetschefen dokumenterar sin hantering i QAF. Revisorerna kommer att följa upp åtgärderna. SSM följde inte hanteringen av identifierade brister längre än ovan beskrivet. SSMs bedömning SSM bedömer att OKG uppfyller denna del, angående redovisning. SSM bedömer dock att ledningens genomgång var alltför summariskt dokumenterad. SSMFS 2008:1 som anger att revisionsfunktionen ska rapportera direkt till företagsledningen innebär även att rapportera ska ha ett innehåll som speglas av vad som identifieras i revisionsverksamheten. För att FLG ska få ett tydligt underlag för att kunna värdera avvikelser och bristers sammanlagda påverkan på säkerheten behöver redovisningen förbättras. Redovisning till ledningen görs i huvudsak med KRO-index. OKG uppgav att i de fall det är särskilda områden som behöver diskuteras så lyfter cs det till ledningen. OKG uppgav även att man diskuterar mer än vad som var spårbart i dokumentationen. Det som var dokumenterat var att redovisning görs till FLG och redovisning görs i KRO-rapporter som hänvisar till utförligare beskrivningar i QAFsystemet. Det förekommer även utförligare beskrivningar i KRO-rapporter. SSM noterade att det inte framgick vilken effekt revisionerna haft. SSM bedömer att det finns anledning att utveckla metoder för att redovisa resultat samt värdera avvikelser och bristers sammanlagda påverkan på säkerheten. Redovisningen behöver utöver KRO-index innehålla meningsbärande aspekter. Det ska även vara tydligt hur olika brister är värderade och hur de eventuellt samverkar och på så sätt riskerar att påverka säkerheten på ett mer negativt sätt än enskilda brister var för sig.

Sida 18 (23) 6.5. Uppföljning Ledningssystemet KRO följs upp genom att det distribueras en enkät till de som intervjuats [12]. KRO-samordnaren värderar resultatet från enkäterna och resultaten från enkäterna redovisas i årsrapporten och är underlag i förbättringsarbetet. Det framgår att alla revisioner ska följas upp i syfte att säkerställa att funna avvikelser/förslag/rekommendationer åtgärdas samt att de har avsedd effekt (sid 11, 12). Utvärdering av KRO enkäter 2010 visar, enligt årsrapporten för 2010, ingen större skillnad mot tidigare år, förutom frågan avseende om KROn kommer att bidra till förbättringar i verksamheten. Medelvärdet har höjts på denna fråga. I årsrapporterna som SSM tog del av uppges att resultatet av enkätutvärderingen visar att KRO verksamheten fungerar på ett bra sätt [13], att det finns en positiv inställning till revisionerna och att de är en del i förbättringsarbetet [14, 15]. Den senaste rapporten saknar svarsfrekvens medan årsrapport KRO 2009 har en svarsfrekvens på 41 % och årsrapport KRO 2008 har en svarsfrekvens på 45 %. Båda dessa rapporterade frekvenser kommenteras med att det är lägre jämfört med tidigare år. Årsredovisning för 2010 gör en uppföljning av KROer gjorda 2009. Vilken form av index som används framgår inte men SSM utgår från att det är dessa så kallade offentliga siffror (se avsnitt 6.4). Uppföljning av hantering av avvikelser och förbättringar har gjorts utifrån uppgifter i avvikelsehanteringssystemet QAF. Detta medför att index påverkas när en åtgärd genomförts respektive en ny avvikelse eller nytt förslag införs. Vad gäller slutligt godkännande av åtgärder efter identifierade avvikelser/förbättringar framgår att Det är och ska vara revisionsledaren/teamet som avgör när en åtgärdad förbättring kan avslutas. [sid 5, årsrapport KRO 2009]. Den chef som avvikelser och förslag adresserats bedömer åtgärden men det är revisionsledaren/som gör den slutliga bedömningen. Erfarenheter Det har inte genomförts några erfarenhetsmöten med KRO nätverket under de tre senaste åren, enligt årsrapporterna [13, 14, 15]. Det erfarenhetsutbyte som gjordes under 2010 var att två personer deltog i externa revisioner på Forsmark (FKA) respektive Barsebäck (BKA). De två tidigare åren deltog inga revisorer i revisioner utanför OKG [13, 14, 15]. Vid ett möte juni/08 var ansvariga för KRO-verksamheten inbjudna till ett möte, i samband med möte där kvalitetscheferna inom kärnkraftsbolagen träffas regelbundet [14]. Det framgår inte om OKG KRO-ansvarig deltog.

Sida 19 (23) OKG har inte dokumenterad styrning av hur erfarenheter ska omhändertas i planering av KRO och för närvarande används inte strukturerat avvikelser/incidenter etc. som underlag för val av vad som bör revideras eller vara ett fokus. Observationer tillämpning Intervjuade bekräftade att det är reviderad enhet som avgör när en åtgärd är tillräcklig men att det slutliga godkännandet görs av revisionsledaren. SSM noterade några KRO där det inte klart och tydligt framgick hur uppföljning skett. I KRO Säkerhetskultur 2011 finns bland annat en förbättring KRO-11/935 som inte var uppfylld. Det var också oklarhet huruvida bristerna som identifierats i KRO2009-21 var dokumenterade i QAF systemet. Först efter avslutningsmötet kunde detta redas ut. Det konstaterades då att bristerna var dokumenterade trots att KRO 2009-21 inte var fastställd. SSM noterade att det var dålig kunskap om hur ledningen mottagit resultat från KRO-rapporter. Intervjuerna gav även en bild av att det var en splittrad uppfattning om hur uppföljningar görs. Vid intervjuer har Ledningens uppföljning inte observerats av de intervjuade. Instruktion 2008 31093 beskriver inte heller någon djupare uppföljning från ledningen. Det som observerats är uppföljning av KRO-index som visar på åtgärdandefrekvensen av upptäckta förbättringar 3. Innehållet i identifierade avvikelser ses vanligtvis inte vara av intresse för ledningen och det fanns en uppfattning från avdelning S att det inte görs uppföljningar på sakfrågor Vice VD och cs uppgav att det sker en regelbunden uppföljning av KROindex. Detta var inte spårbart dokumenterat i FLG-protokollen under en period på ett år tillbaka, mer än en gång (8/11 2010). Både vvd och cs uppgav att ansvaret att lyfta speciella frågor ligger på cs. Efter genomförda revisioner har man skickat ut enkäter till de reviderade. Upplevelsen var att revisionsverksamheten har blivit mycket bättre. När det gäller tillvaratagande av erfarenheter observerade SSM att OKG inte på ett strukturerat sätt använder erfarenheter från varken den egna verksamheten eller extern verksamhet. Man använder inte strukturerat avvikelse/incidenter etc som underlag för val av vad som bör revideras eller vad 3 OKG använder begreppet förbättringar här när man identifierat avvikelser från krav samt när man identifierat och brister gentemot OSART-guide.

Sida 20 (23) som ska vara fokus i aktuell revision. OKG uppgav att det kommer att bli enklare att använda information och erfarenheter efter implementerat avvikelsehanteringssystem SAFE 4. SSMs bedömning SSM bedömer att OKG gör en del uppföljning. Det är emellertid inte klart och tydligt hur ledningen arbetar med olika frågor som dominerar avvikelser och förbättringar SSM noterade några KRO där det var otydligt hur uppföljning skett. Detta förefaller vara en viktig ledningsfråga att komma till rätta med. I årsrapporter hänvisas till resultat från enkäter när det gäller hur KRO har fungerat och man redovisar positiva bilder. Dock bör man notera att svarsfrekvensen var mycket låg och en bortfallsanalys skulle kunna ge intressanta och värdefulla svar för verksamhetens utveckling. Den låga svarsfrekvensen kan bero på flera skäl. Resultatet blir i vilket fall inte helt trovärdigt med en svarsfrekvens under 50%. 4 OKG förtydligade under kommunikation att avvikelsehanteringssystemet hade beteckningen SAFE medan intervjuade uppgav dokument och avvikelsehanteringssystem CAP.

Sida 21 (23) 7. Samlad bedömning av kravuppfyllelsen SSM bedömer att OKG uppfyller samtliga inspekterade krav. Det finns styrande dokumentation avseende KRO-verksamheten. Det finns revisionsprogram och det finns ett nätverk av revisionsledare och revisorer vilka utbildas enligt plan. Revisionsverksamheten är dock under utveckling varför det är för tidigt att göra en slutlig bedömning det nya arbetssättet har endast pågått drygt ett år. OKG har tidigare gjort flera förändringar utan att uppnå förväntade resultat men SSM bedömer ändå att det finns förutsättningar att lyckas då OKG i sitt nya arbetssätt använder en etablerad guide utarbetad av IAEA och OKGs personal uttrycker stor entusiasm. Det minskar farhågan att även denna förändring ska fallera. En stor negativ punkt i protokollet var att den första revisionen, betecknad MOA, fortfarande inte var klar vid inspektionstillfället. Det ger inte signaler om att systemet fungerar optimalt. När det gäller vilka krav som är utgångspunkten för KRO så noterar SSM att det finns en viss otydlighet bland anställda om kraven utgick från det egna verksamhetssystemet eller OSART-guiden. Det var dock väl känt bland de intervjuade vilka krav som ska revideras. Organisationen för kvalitetsrevisioner har förändrats och inte fullt ut uppnått målsättningen för den nya organisationen. Det finns ett revisionsprogram med en filosofi att genomföra färre revisioner med högre kvalitet och man har i metod lagt till fältobservationer, när det passar. Utbildning har genomförts med fokus på det nya arbetssättet och det återstår för OKG att även hålla utbildningen aktuell och anpassad till de medverkande så varje revisor och revisionsledare upprätthåller sin kompetens. SSM noterade att tidsbrist i ett fall orsakat ojämnhet i kompetenssatsning. Den svagaste länken i OKGs kvalitetsrevisionerna förefaller vara redovisning och utvärdering av resultat. Det var under inspektionen inte spårbart i vilken omfattning FLG diskuterade revisionsresultat. Det framgick att redovisningar görs med KRO-index vilket i sig verkar rimligt. Det finns dock starka skäl att även göra redovisningar på kvalitativ nivå. OKG behöver analysera hur olika brister inom olika verksamhetsområden är värderade och hur de eventuellt samverkar och på så sätt riskerar att påverka säkerheten på ett mer negativt sätt än enskilda brister var för sig. OKG behöver i sin analysmetod på ett bättre sätt omhänderta meningsbärande aspekter. SSM kunde inte se att OKG för närvarande på ett strukturerat sätt använder erfarenheter, avvikelser/incidenter och liknande som underlag för val av vad som bör revideras eller vara ett fokus. OKG rekommenderas att strukturerat använda interna och externa erfarenheter för att identifiera eventuella svagheter i eget verksamhetssystem.

Sida 22 (23) SSM noterade att det i några KRO var otydligt om och hur uppföljningar skett. SSM noterade även att det inte framgick i dokumentation att man utvärderat effekten av revisionerna. OKG rapporterade själva att man har diskussioner i större utsträckning än vad som är spårbart i dokumentationen och att man har en positiv syn på kvalitetsrevisionerna som verktyg att utveckla verksamheten. I årsrapporter hänvisas till resultat från enkäter när det gäller hur KRO har fungerat - OKG redovisar positiva resultat. Dock bör noteras att svarsfrekvensen var mycket låg och en bortfallsanalys skulle kunna ge intressanta och värdefulla svar för verksamhetens utveckling. Oavsett skäl till den låga svarsfrekvensen blir resultatet inte helt trovärdigt med den svarsfrekvens man uppnått, under 50%. Den samlade bedömningen är att OKG uppfyller samtliga inspekterade krav men har behov framförallt av att: förbättra redovisning av resultat till FLG, vilket är en förutsättning för en bra utvärdering förbättra tydligheten av uppföljning av åtgärder utvärdera effekten av revisionerna systematiskt ta vara på erfarenheter från egen och annans verksamhet, inför revisioner visa på uthållighet med det nya arbetssättet 8. Andra notervärda omständigheter I anslutning till föreliggande inspektion följde SSM även upp delar av föreläggande gällande internrevisionsverksamheten [20]. SSM bedömde att OKG uppfyllde föreläggandet [21]. OKG har redovisat att FLG har månadsvis verksamhetsgenomgång med flertalet avdelningar. Deltagare är delar ur företagsledningen (vvd, CFO, S) samt avdelningschef. Som en del av dessa genomgångar ingår att följa upp statusen på utestående avvikelser från internrevisionsverksamheten. Trots denna rutin omhändertogs inte de brister som var underlag till ovanstående föreläggande. OKG bör utvärdera hur detta kan hända för att undvika att det upprepas.

Sida 23 (23) 9. Referenser 1 Inspektion av internrevisionsverksamheten vid OKG, SSM 2007/2052 2 SSM 2010/36-41. Ledningssystem och internrevisioner på OKG. 2010-02-18. 3 SSM2011-228-10, Beslut om att förelägga OKG Aktiebolag att för internrevisionsverksamheten vidta åtgärder och redovisa dessa. 2011-04-06. 4 2011-13379, Översändande av OKG aktiebolags svar på SSM föreläggande angående internrevisionsverksamheten, 2011-06-07 5 2011-13562, Rapport avseende ej åtgärdade KRO förbättringar. 2011-06-03. 6 2005-09502, VDs direktiv för styrning, ledning, utvärdering och utveckling. 2010-12-19.. 7 OSART Guidelines, 2005 Edition, Reference report for IAEA, Operational Safety Review Teams, Vienna, June 2005, Services Series 12. 8 2004-00623, Revisionsområden och revisionsprogram. 2011-02-03. 9 2007-01911, KRO-verksamheten, 2011-02-03 10 2007-09596, Krav och riktlinjer kvalitetsrevisioner, KRO. 2011-02-25. 11 2005-11376. Kompetens för revisorer och revisionsledare inom KROverksamheten. 2011-02-25 12 2005-10135, Planering och genomförande av kvalitets- och miljörevisioner. 2011-01-05. 13 2009-07316, Årsrapport KRO 2008. 2009-03-03 14 2010-02750. Årsrapport KRO 2009, 2010-02-01 15 2011-03625. Årsrapport KRO 2010. 2011-02-14 16 2005-07130, Utveckla kompetens och organisation, 2009-12-22. 17 2010-30056, Kvalitetsrevision 14-2010 Provning/kontroll av Driftklarhet,. 2010-11-23 18 2008-31093, Ledningens genomgång, 2010-06-04 19 2009-38210, Kvalitetsrevision 13 2009 Provning/kontroll av driftklarhet (DKV). 2009-12-10. 20 SSM2011-228-10. Beslut om att förelägga OKG Aktiebolag att för internrevisionsverksamheten vidta åtgärder och redovisa dessa. 2011-04-06. 21 SSM2011-228-29. SSMs svar på redovisning enligt föreläggande internrevisionsverksamheten. 2011-10-28