Typer av granskningsåtgärder är bestämda metoder för att systematiskt undersöka och verifiera information inom revision och informationssäkerhet för att säkerställa regelöverensstämmelse och riskhantering. Inom svensk juridik och IT-säkerhet delas dessa metoder in i tre huvudkategorier enligt FAR:s ramverk: revision och översiktlig granskning, övriga bestyrkandeuppdrag samt granskning enligt särskild överenskommelse (ISRS 4400). För legala och informationssäkerhetsproffs är valet av rätt granskningsmetod avgörande. Fel val leder till otillräckligt underlag, förväntansgap och i värsta fall rättsliga konsekvenser.
1. Vilka är de huvudsakliga typerna av granskningsåtgärder?
Svensk revision delar granskningsuppdrag i tre kategorier: revision och översiktlig granskning, övriga bestyrkandeuppdrag och granskning enligt särskild överenskommelse. FAR:s ramverk för 2026 tydliggör skillnaderna mellan dessa uppdragsformer, deras transparenskrav och kontrollnivå. Det är den mest grundläggande strukturen du behöver förstå innan du väljer granskningsform.
De tre kategorierna skiljer sig i syfte, rapportering och ansvarsnivå:
- Revision och översiktlig granskning regleras av ISA (International Standards on Auditing) och ISRE (International Standard on Review Engagements). Revisorn lämnar ett uttalande med hög eller måttlig säkerhet. Denna form används vid lagstadgad revision av årsredovisningar och kräver djupgående kontroll av interna processer.
- Övriga bestyrkandeuppdrag regleras av ISAE (International Standard on Assurance Engagements). Revisorn granskar ett specifikt påstående och lämnar ett uttalande med antingen hög eller måttlig säkerhet. Typiska tillämpningar inkluderar hållbarhetsrapportering och interna kontrolluttalanden.
- Granskning enligt särskild överenskommelse (ISRS 4400) innebär att revisorn utför avtalade åtgärder och rapporterar iakttagelser utan att dra egna slutsatser. Uppdragsgivaren ansvarar för tolkningen av resultaten.
Proffstips: Välj uppdragsform utifrån vilket beslutsstöd mottagaren faktiskt behöver. En styrelse som vill ha ett tydligt uttalande behöver revision eller bestyrkandeuppdrag, inte en ISRS 4400-rapport.
Valet av kategori styr hela granskningsprocessen, från planering och dokumentation till rapportens juridiska tyngd. Att blanda ihop kategorierna är ett vanligt misstag som skapar förväntansgap hos kunden.
2. Hur används digitala och nätverksbaserade granskningsåtgärder inom informationssäkerhet?
Nätverksövervakning delas in i aktiv, passiv, prestanda- och säkerhetsövervakning med olika syften och tekniska lösningar. Aktiv övervakning testar funktion i realtid, medan passiv övervakning analyserar trafik i efterhand. Båda metoderna är centrala inom informationssäkerhetsarbete och compliance.
| Typ av övervakning | Syfte | Typiska verktyg | Juridisk aspekt |
|---|---|---|---|
| Aktiv övervakning | Testa funktion och tillgänglighet | Ping, SNMP, syntetiska tester | Kräver dokumenterad policy |
| Passiv övervakning | Analys och efterforskning | NetFlow, paketanalys | Känslig vid personaldata |
| Prestandaövervakning | Mäta kapacitet och svarstider | Molntjänster, dashboards | Begränsad personuppgiftsrisk |
| Säkerhetsövervakning | Upptäcka intrång och avvikelser | SIEM-system, logganalys | Kräver DPIA vid personaldata |
Säkerhetsövervakning är den mest reglerade formen. GDPR, AI-förordningen och NIS2 ställer krav på att organisationer dokumenterar syftet med varje övervakningsåtgärd och genomför konsekvensbedömningar vid hög risk.
63% av svenska chefer använder övervakningsprogram för anställda, men endast 40% av de anställda är medvetna om detta. Det skapar en direkt kollision med GDPR:s transparenskrav och Integritetsskyddsmyndighetens riktlinjer.
Proffstips: Genomför alltid en DPIA (konsekvensbedömning) innan du inför ny personalövervakning. Information på intranätet räcker inte som rättslig grund enligt Integritetsskyddsmyndigheten.
Bossware och AI-baserad personalövervakning ställer krav på konsekvensbedömningar och transparens enligt GDPR för att undvika rättsliga följder. Risken för sanktioner är verklig vid bristande efterlevnad. Läs mer om juridiska krav vid anställdas övervakning för att förstå hur tillsynsmyndigheter agerar i praktiken.
3. Vilka granskningsmetoder kombinerar traditionell revision med moderna analyser?
Kombinationen av bankanalys och bolagsgranskning, kallad Integrity Due Diligence, ger ett mer träffsäkert underlag för affärsbeslut och upptäcker risker snabbare. Metoden är unik i Norden och möter behovet av aktuella beslutsdata utöver traditionella årsredovisningar. Det är en direkt respons på att historiska finansiella data ofta är för gamla för att fånga upp aktuella risker.
En integrerad granskningsansats kombinerar traditionella finansiella underlag med realtidsbankanalys för att bättre upptäcka risker innan affärsbeslut. Det innebär att granskaren inte enbart tittar på årsredovisningen utan också analyserar löpande transaktionsmönster, betalningsbeteenden och kassaflöden i realtid.
Fördelarna med denna kombinerade metodik är konkreta:
- Realtidsdata fångar upp likviditetsproblem och ovanliga transaktioner som inte syns i årsredovisningen.
- Bolagsgranskning identifierar ägarstrukturer, kopplingar till sanktionerade parter och historiska regelöverträdelser.
- Finansiell analys ger ett kvantitativt underlag som kompletterar den kvalitativa bolagsbedömningen.
- Samverkan mellan metoderna minskar risken för att missa kritiska varningssignaler vid due diligence.
För compliance-ansvariga innebär detta att due diligence i compliance inte längre kan begränsas till en granskning av offentliga register. Moderna granskningsmetoder kräver tillgång till aktuella data och en strukturerad process för att tolka dem korrekt.
Kritiska expertutlåtanden betonar att metoden kräver tydliga avtal om datadelning och sekretess. Utan dessa avtal riskerar granskaren att bryta mot GDPR eller affärssekretessregler.
4. Hur skiljer sig ISRS 4400 från andra granskningsformer?
ISRS 4400 är den granskningsform som ger störst flexibilitet men också störst risk för missförstånd. ISRS 4400 kräver full transparens och tydligt avtalade granskningsåtgärder, med en rapport som innehåller iakttagelser per åtgärd utan revisorsslutsats. Uppdragsgivaren drar egna slutsatser baserat på revisorns iakttagelser.
Processen för ett ISRS 4400-uppdrag följer en tydlig ordning:
- Uppdragsbrev upprättas med detaljerade beskrivningar av varje granskningsåtgärd. Vaga formuleringar är den vanligaste orsaken till förväntansgap.
- Samråd sker mellan revisor och uppdragsgivare om åtgärdernas utformning och avgränsning.
- Genomförande av de avtalade åtgärderna utan att revisorn utvidgar eller begränsar uppdraget på eget initiativ.
- Rapport levereras med iakttagelser per åtgärd. Rapporten innehåller inga uttalanden om huruvida informationen är korrekt eller fullständig i ett bredare perspektiv.
- Tolkning görs av uppdragsgivaren, inte revisorn.
“Vid granskning enligt särskild överenskommelse är det kritiskt att formulera granskningsåtgärder detaljerat i uppdragsbrevet för att undvika förväntansgap. Revisorn levererar endast iakttagelser; uppdragsgivaren drar egna slutsatser.” — FAR Online, kommentarer till ISRS 4400
Effektiva granskningsåtgärder enligt ISRS 4400 bygger på ett gemensamt ansvar mellan revisor och kund att definiera ändamålsenliga åtgärder med tydligt uppdragsbrev. Det vanligaste misstaget är att uppdragsgivaren förväntar sig ett uttalande om riktighet, vilket ISRS 4400 aldrig levererar. Denna distinktion måste klarläggas redan vid första mötet.
För jurister och compliance-ansvariga är ISRS 4400 särskilt användbar vid specifika kontroller, till exempel verifiering av att en leverantör följer avtalade rutiner eller att en viss process genomförs korrekt. Läs mer om hur ISO 27002 och informationssäkerhet kan kombineras med dessa granskningsformer.
5. Vad visar Revisorsinspektionens praxis om granskningsåtgärder?
Substansgranskningar utan kontroll av interna processer kan ge otillräckligt underlag vid revision. Revisorsinspektionens disciplinbeslut understryker vikten av ett helhetsperspektiv i granskningsåtgärder. Det räcker inte att granska enskilda transaktioner om den interna kontrollmiljön inte bedömts.
Revisorsinspektionens avgöranden visar ett tydligt mönster. Revisorer som isolerar substansgranskning från kontroll av interna processer riskerar att missa systematiska fel. En substansgranskning av enskilda poster ger ett snävt underlag. Den interna kontrollmiljöns effektivitet avgör hur tillförlitliga de granskade posterna faktiskt är.
Praktiska konsekvenser för din organisation:
- Planera alltid granskningen så att den interna kontrollmiljön bedöms parallellt med substansgranskningar.
- Dokumentera varför du valt att begränsa eller utvidga specifika granskningsåtgärder.
- Säkerställ att granskningsplanen motiverar valet av åtgärder utifrån identifierade risker.
För compliance-ansvariga innebär detta att granskningsstrategin måste vara riskbaserad från start. En strukturerad efterlevnadsprocess hjälper organisationer att bygga denna struktur systematiskt.
6. Jämförelse av huvudsakliga granskningsåtgärder
Tabellen nedan ger en snabb referens för val av granskningsform beroende på syfte, rapporteringskrav och rättslig status.
| Granskningsform | Syfte | Rapportering | Transparenskrav | Typiskt användningsområde |
|---|---|---|---|---|
| Revision (ISA) | Hög säkerhet om finansiell information | Revisionsberättelse med uttalande | Hög | Lagstadgad årsrevision |
| Översiktlig granskning (ISRE) | Måttlig säkerhet | Rapport med begränsat uttalande | Medel | Delårsrapporter |
| Bestyrkandeuppdrag (ISAE) | Hög eller måttlig säkerhet om specifikt påstående | Bestyrkanderapport | Hög | Hållbarhetsrapportering, intern kontroll |
| Särskild överenskommelse (ISRS 4400) | Iakttagelser per avtalad åtgärd | Rapport utan slutsats | Mycket hög | Specifika kontroller, leverantörsgranskning |
| IT-säkerhetsövervakning | Upptäcka avvikelser och intrång | Loggrapporter, incidentrapporter | Hög (GDPR, NIS2) | Nätverkssäkerhet, personalövervakning |
Nyckelfaktorn vid val av granskningsform är vem som ska använda resultatet och vilket beslut det ska stödja. En styrelse som fattar investeringsbeslut behöver ett uttalande med hög säkerhet. En intern compliance-funktion som kontrollerar en specifik process kan ofta nöja sig med ISRS 4400.
Viktiga insikter
Rätt val av granskningsform kräver att du matchar metoden mot mottagarens beslutsbehov, regelverkets krav och den interna kontrollmiljöns mognad.
| Punkt | Detaljer |
|---|---|
| Tre huvudkategorier | FAR:s ramverk 2026 delar granskningsuppdrag i revision, bestyrkandeuppdrag och ISRS 4400. |
| ISRS 4400 kräver precision | Detaljerade granskningsåtgärder i uppdragsbrevet är avgörande för att undvika förväntansgap. |
| IT-övervakning regleras hårt | GDPR och NIS2 kräver DPIA och transparens vid personalövervakning; intranätsinformation räcker inte. |
| Integrity Due Diligence | Kombinationen av bankanalys och bolagsgranskning ger ett mer träffsäkert riskunderlag än årsredovisningar. |
| Helhetsperspektiv i revision | Substansgranskning utan kontroll av intern miljö ger otillräckligt underlag enligt Revisorsinspektionen. |
Granskningsåtgärder i praktiken: vad jag lärt mig efter år i branschen
Jag har sett samma misstag upprepas i organisation efter organisation. Den vanligaste fallgropen är inte att man väljer fel granskningsform, utan att man aldrig ens diskuterar valet med kunden. Man antar att kunden förstår skillnaden mellan en ISRS 4400-rapport och en revisionsberättelse. Det gör de sällan.
Det som verkligen skiljer erfarna compliance-proffs från nybörjare är förmågan att ställa rätt frågor tidigt. Vad ska rapporten användas till? Vem läser den? Vilket beslut ska den stödja? Svaren på dessa frågor avgör allt annat.
Jag har också sett hur digitala övervakningsverktyg implementeras utan att någon ens frågat om det krävs en DPIA. Organisationen tror att ett meddelande på intranätet räcker. Det gör det inte. Integritetsskyddsmyndigheten är tydlig på den punkten, och tillsynsmyndigheter i andra EU-länder har börjat bötfälla för precis detta.
Det som ger mig hopp är den nya kombinationsmetodiken, som Integrity Due Diligence från SRS och Gokind. Den visar att branschen rör sig mot mer träffsäkra granskningsmetoder som kombinerar realtidsdata med traditionell analys. Det är rätt riktning. Men det kräver att organisationer investerar i strukturerade processer och inte bara köper ett verktyg och hoppas på det bästa.
Min rekommendation är enkel: börja med att kartlägga vilket beslutsstöd du faktiskt behöver, välj sedan granskningsform utifrån det, och dokumentera varje val med en tydlig motivering.
— Jesper
Så kan Trustview stödja ditt granskningsarbete
Att hålla ordning på granskningsåtgärder, konsekvensbedömningar och compliance-dokumentation är tidskrävande utan rätt stöd. Trustview samlar juridiskt arbete, riskbedömningar och uppföljning av åtgärder på en plattform, vilket gör det enklare att säkerställa att rätt granskningsform används vid rätt tillfälle.
Trustview hjälper compliance-ansvariga och jurister att strukturera hela granskningsprocessen, från val av metod till dokumentation och uppföljning. Plattformen stödjer arbete enligt GDPR, NIS2 och interna revisionsstandarder. Läs mer om hur du kan uppnå strukturerad regelöverensstämmelse och bygga ett hållbart compliance-program som håller även när regelverken förändras.
Vanliga frågor
Vad är typer av granskningsåtgärder inom revision?
Typer av granskningsåtgärder är de specifika metoder som används för att samla in och verifiera information vid ett granskningsuppdrag. Enligt FAR:s ramverk 2026 delas de in i revision, bestyrkandeuppdrag och granskning enligt särskild överenskommelse (ISRS 4400).
Vad skiljer ISRS 4400 från en vanlig revision?
Vid ISRS 4400 lämnar revisorn inga slutsatser, endast iakttagelser per avtalad åtgärd. Uppdragsgivaren ansvarar själv för att tolka resultaten, vilket kräver ett mycket detaljerat uppdragsbrev för att undvika missförstånd.
Vilka krav gäller för IT-övervakning av anställda i Sverige?
IT-övervakning av anställda kräver en konsekvensbedömning (DPIA) enligt GDPR om behandlingen innebär hög risk. Information på intranätet räcker inte som rättslig grund; Integritetsskyddsmyndigheten kräver aktiv och dokumenterad transparens.
Vad är Integrity Due Diligence och varför används det?
Integrity Due Diligence kombinerar bankanalys och bolagsgranskning för att ge ett mer träffsäkert riskunderlag än traditionella årsredovisningar. Metoden är unik i Norden och används för att upptäcka risker i realtid inför affärsbeslut.
Varför räcker inte substansgranskning ensam vid revision?
Revisorsinspektionens disciplinbeslut visar att substansgranskning utan kontroll av den interna kontrollmiljön ger otillräckligt underlag. En riskbaserad granskningsplan måste bedöma interna processer parallellt med enskilda transaktioner.
