Evidens-sjekkliste for revisjon

Når tilsyn eller revisjon banker på døren, er det for sent å begynne å lete etter dokumentasjon. Denne sjekklisten hjelper deg med å sikre at du har evidensen på plass og vet hvor den ligger.

Hvorfor en sjekkliste?

Ved tilsyn eller revisjon forventes det at du kan fremlegge dokumentasjon raskt og strukturert. Mangel på evidens, eller evidens som er vanskelig å finne, kan gi inntrykk av manglende kontroll selv om dere faktisk har gode rutiner.

En sjekkliste hjelper deg med å:

• Identifisere hull i dokumentasjonen før noen spør
• Vite nøyaktig hvor hver type evidens ligger
• Fordele ansvar for ulike deler av dokumentasjonen
• Forberede deg på typiske spørsmål

Sjekkliste: Grunnleggende evidens

Systemoversikt

• Komplett liste over alle KI-systemer i bruk
• Navn, leverandør og versjon for hvert system
• Formål og bruksområde dokumentert
• Dato for når systemet ble tatt i bruk
• Ansvarlig person eller rolle for hvert system

Hvor ligger det? Systemregisteret eller KI-oversikten.

Klassifiseringsdokumentasjon

• Risikoklassifisering for hvert system
• Skriftlig begrunnelse for valgt klassifisering
• Referanse til relevant Annex eller artikkel
• Dato og hvem som gjorde vurderingen
• Eventuell oppdatering ved endringer

Hvor ligger det? Klassifiseringsvurdering per system eller samlet klassifiseringslogg.

Leverandørdokumentasjon

• Systembeskrivelse fra leverandør
• Bruksanvisning med begrensninger
• Risikoklassifisering fra leverandør
• Samsvarserklæring for høyrisikosystemer
• Databehandleravtale

Hvor ligger det? Leverandørmappen for hvert system.

Sjekkliste: Vurderinger og beslutninger

Risikovurderinger

• Egen risikovurdering for høyrisikosystemer
• Vurdering av diskrimineringsrisiko
• Vurdering av konsekvenser for berørte
• Tiltak for å redusere identifisert risiko
• Eventuell DPIA der påkrevd

Hvor ligger det? Vurderingsmappen eller systemfilen.

Beslutningslogg

• Beslutning om å ta systemet i bruk
• Hvem som tok beslutningen
• Hvilket grunnlag beslutningen var basert på
• Eventuelle vilkår eller begrensninger
• Godkjenning av risikoaksept der relevant

Hvor ligger det? Beslutningsloggen eller styringsdokumenter.

Sjekkliste: Rutiner og prosesser

Dokumenterte rutiner

• Prosedyre for vurdering av nye KI-systemer
• Rutine for håndtering av leverandøroppdateringer
• Prosess for hendelsesrapportering
• Rutine for regelmessig gjennomgang
• Prosedyre for opplæring av brukere

Hvor ligger det? Rutinehåndboken eller kvalitetssystemet.

Opplæringsdokumentasjon

• Oversikt over hvem som har fått opplæring
• Innhold i opplæringen
• Dato for gjennomført opplæring
• Eventuell bekreftelse fra deltakere

Hvor ligger det? Opplæringsregisteret eller HR-systemet.

Sjekkliste: Logger og sporbarhet

Systemlogger

• Logger fra høyrisikosystemer som påkrevd
• Dokumentasjon av hva som logges
• Oppbevaringsperiode for logger
• Tilgang til eksport av logger

Hvor ligger det? Systemet selv eller eksportert til arkiv.

Beslutningslogger

• Logg over beslutninger der KI har bidratt
• Dokumentasjon av menneskelig tilsyn
• Eventuell overprøving av KI-anbefalinger
• Begrunnelse for viktige beslutninger

Hvor ligger det? Fagsystemet eller egen beslutningslogg.

Avvikslogg

• Registrering av avvik og hendelser
• Håndtering og oppfølging av avvik
• Eventuell rapportering til myndigheter
• Læringspunkter og tiltak

Hvor ligger det? Avvikssystemet eller hendelsesloggen.

Sjekkliste: Informasjon og transparens

Informasjon til berørte

• Dokumentasjon av informasjon gitt til brukere eller berørte
• Innhold i informasjonen
• Hvordan og når informasjonen ble gitt
• Eventuell bekreftelse på mottatt informasjon

Hvor ligger det? Kommunikasjonsloggen eller informasjonsarkivet.

Intern kommunikasjon

• Informasjon til ansatte om KI-systemer i bruk
• Eventuell drøfting med tillitsvalgte
• Referat fra relevante møter

Hvor ligger det? Møtereferater eller kommunikasjonsarkiv.

Praktisk organisering

Mappestruktur

En fornuftig struktur kan være:

KI-dokumentasjon/
├── Systemoversikt.xlsx
├── Rutiner/
│   ├── Vurdering-nye-systemer.pdf
│   ├── Hendelsesrapportering.pdf
│   └── Opplæring.pdf
├── Systemer/
│   ├── System-A/
│   │   ├── Klassifisering.pdf
│   │   ├── Leverandørdokumentasjon/
│   │   ├── Risikovurdering.pdf
│   │   └── Logger/
│   └── System-B/
│       └── ...
└── Logger/
    ├── Beslutningslogg.xlsx
    └── Avvikslogg.xlsx

Ansvarskart

Definer hvem som er ansvarlig for å holde hver del oppdatert:

• Systemoversikt: IT-ansvarlig
• Klassifiseringsvurderinger: KI-ansvarlig eller juridisk
• Leverandørdokumentasjon: Innkjøp
• Rutiner: Kvalitetsansvarlig
• Logger: Systemansvarlig per system

Regelmessig gjennomgang

Sett en fast rutine for å gå gjennom sjekklisten, for eksempel:

• Kvartalsvis: Sjekk at alle punkter er dekket
• Årlig: Full gjennomgang med oppdatering
• Ved endringer: Oppdater relevant dokumentasjon

Videre lesning

• Tilsyn, revisjon og bevis
• Hva tilsyn vil se
• Hvilke logger og registre
• Slik strukturerer du KI-systemfil
• Slik svarer du kundespørsmål om etterlevelse
• Hvor lenge lagre KI-dokumentasjon
• Alvorlige hendelser og rapportering

Sist oppdatert

2026-02-02