Le contrôle interne porte sur la bonne application des règles, des procédures et des méthodes décrites dans le système de gestion de la sécurité. Il vise également à vérifier l'adéquation du système de gestion de la sécurité aux enjeux de sécurité tels que définis après l'analyse de risques prévue à l'annexe 2.
Il traite de l'ensemble des points prévus à l'annexe 1.
La documentation attestant du contrôle interne, tenue à la disposition du préfet, retrace l'ensemble des objectifs de ce contrôle définis au premier alinéa, les éventuels écarts constatés ainsi que les suites données à ces contrôles.

L'audit externe, réalisé tous les trois ans par un organisme d'inspection, porte sur l'adéquation du système de gestion de la sécurité aux enjeux de sécurité.
Il traite de l'ensemble des points prévus à l'annexe 1 au moins tous les six ans.
Il porte également sur la bonne application des procédures du système de gestion de la sécurité, en particulier l'effectivité du contrôle interne, notamment par des visites sur site. Il ne se traduit pas par un audit systématique de l'ensemble des procédures ou équipements, mais son étendue est à l'appréciation de l'organisme d'inspection au vu des constats réalisés et des risques identifiés.

L'exonération de l'audit externe s'applique conformément à l'article 19 du décret du n° 2017-439 du 30 mars 2017 susvisé pour les exploitants ferroviaires chargés d'une infrastructure présentant un faible niveau de risques.
Il appartient aux exploitants de déterminer le niveau de risques de l'infrastructure qu'ils ont en charge à partir d'une évaluation des risques portant sur les domaines relatifs à l'exploitation, à l'infrastructure et au transport de marchandises dangereuses ainsi qu'à l'environnement, et dont les modalités sont définies en annexe 2.

Les organismes d'inspection établissent un rapport d'audit, dont le format est défini à l'annexe 3, qu'ils transmettent à l'exploitant ferroviaire dans un délai de deux mois après l'audit.
Lorsque le rapport d'audit fait apparaître des non-conformités à la réglementation ou des points de fragilité, l'exploitant ferroviaire établit et transmet à l'organisme dans le délai prescrit par ce dernier un échéancier des dispositions qu'il entend prendre pour y remédier afin de garantir le respect de l'objectif de sécurité.
Les organismes d'inspection conservent, pour chaque exploitant ferroviaire contrôlé, les résultats de ses deux derniers audits dans la limite de six années. L'exploitant ferroviaire tient les deux derniers rapports à la disposition du préfet.
En cas de changement d'organisme d'inspection, l'exploitant ferroviaire transmet au nouvel organisme d'inspection les deux derniers rapports d'inspection.

Conformément au premier alinéa de l'article 22 du décret du 30 mars 2017 susvisé, lorsque l'organisme d'inspection constate un manquement grave à la réglementation ou un risque grave ou imminent pour la sécurité des circulations, il en avise immédiatement le préfet.
L'exploitant ferroviaire concerné prend les mesures conservatoires immédiates adaptées et les fait connaître sans délai au préfet.
Dans un délai d'une semaine, l'organisme d'inspection transmet à l'exploitant ferroviaire et au préfet les éléments sur les constats de manquement grave à la réglementation ou de risque grave ou imminent pour la sécurité des circulations. L'exploitant ferroviaire transmet au préfet, dans un délai d'un mois après réception des éléments précités, les dispositions prises ou qu'il entend prendre avec un échéancier afin de garantir le respect de l'objectif de sécurité.
Après parution du rapport d'audit définitif, l'exploitant ferroviaire s'assure de l'adéquation des mesures mises en place avec les conclusions de ce rapport, ceci afin de garantir le respect de l'objectif de sécurité.