Internkontroll, virksomhetsstyring og HMS – Norges ledende fagressurs

Internkontroll er systematiske tiltak som skal sikre at virksomhetens aktiviteter planlegges, organiseres, utføres og vedlikeholdes i tråd med lover og forskrifter. Den skal fange opp feil før de blir til skader, sikre forutsigbarhet i drift og dokumentere at virksomheten etterlever krav fra Arbeidstilsynet, Datatilsynet og andre tilsynsmyndigheter. Effektiv internkontroll bygger på klare instrukser, tydelige roller, risikobasert tilnærming og kontinuerlig forbedring gjennom avvikshåndtering. Les mer om internkontroll.

Alle aksjeselskap er forpliktet til å ha internkontroll gjennom styrets forvaltningsansvar jf. aksjeloven § 6-12 og tilsynsplikt jf. § 6-13. Ledelsen skal sørge for at virksomheten drives forsvarlig og at bokføring, formuesforvaltning og intern kontroll er betryggende. I tillegg pålegger internkontrollforskriften systematisk HMS-arbeid for alle virksomheter med ansatte, og personopplysningsloven stiller krav om internkontroll for behandling av personopplysninger. Bransjespesifikke regelverk gir ytterligere krav til finans, helse, bygg og offentlig sektor. Omfanget skal tilpasses virksomhetens størrelse, art og risikoeksponering – men plikten til å kunne dokumentere forsvarlig styring og tilsyn kan ikke delegeres bort. Se regelverkssiden.

Virksomhetsstyring er den overordnede systematikken for å lede og kontrollere en virksomhet – strategi, mål, prosesser og oppfølging. Internkontroll er den delen av virksomhetsstyringen som sikrer at driften er lovlig, forsvarlig og dokumentert. Sagt enkelt: Virksomhetsstyring handler om å gjøre de riktige tingene. Internkontroll handler om å gjøre tingene riktig. Begge deler må være på plass for at styret og ledelsen skal kunne vise forsvarlig utøvelse av ansvar. Les mer om virksomhetsstyring.

Styringssystemet skal dokumentere mål, ansvarsfordeling, arbeidsprosesser, kontrolltiltak og oppfølging. Sentrale dokumenter inkluderer instrukser for nøkkelprosesser, risikovurderinger, avvikshåndtering, opplæringsplaner og rapportering til ledelse og styre. Omfanget skal stå i forhold til virksomhetens art og risiko – ikke alt må være skriftlig, men det som påvirker etterlevelse, sikkerhet eller personvern skal kunne dokumenteres ved tilsyn. Et godt styringssystem er dynamisk og brukes aktivt i den daglige driften. Se styringssystem.

En hendelse er en uønsket situasjon som oppstår i driften. Et avvik er en hendelse der det foreligger brudd på regelverk, interne rutiner eller kvalitetskrav – og som krever systematisk behandling og korrigering. Et varsel er derimot en formell melding om kritikkverdige forhold, typisk regulert av arbeidsmiljøloven kapittel 2A. Riktig klassifisering avgjør hvilken prosess som utløses, hvilke frister som gjelder, og hvem som skal involveres. Feil klassifisering kan føre til rettslig ansvar. Les mer om avviksbehandling.

Risikostyring er prosessen med å identifisere, vurdere, redusere og overvåke risiko i hele virksomheten. I praksis betyr det at man kartlegger farer før de realiseres, vurderer sannsynlighet og konsekvens, innfører barrierer og kontrolltiltak, og følger opp effekten av tiltakene. God risikostyring er kontinuerlig – ikke et engangsprosjekt. Den omfatter både HMS-risiko, informasjonssikkerhet, compliance-risiko, økonomisk risiko og omdømmerisiko. Resultatet dokumenteres og brukes som beslutningsgrunnlag i virksomhetsstyringen. Se risikostyring.

Styret har det overordnede tilsynsansvaret med at virksomheten har forsvarlig internkontroll, jf. aksjeloven § 6-12 og § 6-13. Ledelsen har det operative ansvaret for å etablere, drifte og videreutvikle systemet. Ved manglende internkontroll kan både styremedlemmer og daglig leder holdes personlig ansvarlige – både sivilrettslig og i enkelte tilfeller strafferettslig. Styret må jevnlig motta rapportering om status, avvik og tiltak. Ansvaret kan ikke delegeres bort. Les mer om roller og ansvar.

Et fungerende styringssystem bygges gjennom fire faser: først kartlegges virksomhetens myndighetskrav og risikobilde, deretter utformes instrukser og rutiner som oversetter kravene til operativ adferd, så settes systemet i drift med opplæring og ansvarstildeling, og til slutt etableres kontroll- og oppfølgingsmekanismer som fanger avvik og driver kontinuerlig forbedring. Nøkkelen ligger i at instruksene er praktisk anvendbare, at ansvar er tydelig plassert, og at ledelsen etterspør dokumentasjon jevnlig. Et styringssystem som bare eksisterer på papir, gir ingen reell kontroll. Se styringssystem.

Arbeidsmiljøloven § 3-1 pålegger arbeidsgiver å sørge for systematisk HMS-arbeid i samarbeid med arbeidstakerne. Dette omfatter kartlegging av risiko, utarbeidelse av handlingsplaner, opplæring, oppfølging av sykefravær, tilrettelegging, vernerunder og involvering av verneombud og AMU der dette kreves. Arbeidsgiver skal også etablere rutiner for avvik og kontinuerlig forbedring. Konkrete krav varierer med bransje og størrelse – bygg- og anleggsbransjen, industri og helse har særskilte krav. Internkontrollforskriften setter rammen for hvordan HMS-arbeidet skal systematiseres. Les mer om HMS-arbeid.

Etterlevelse krever mer enn gode dokumenter. Det forutsetter at instrukser er enkle å forstå og bruke, at ansvar er tydelig plassert på rett nivå, at opplæringen er reell og ikke bare avkrysning, og at ledelsen etterspør oppfølging konsekvent. Kulturen må belønne åpenhet om avvik fremfor skjuling. Kontroll- og rapporteringssløyfer må være lette å bruke – helst digitale og integrert i arbeidshverdagen. Når systemet oppleves som et hjelpemiddel og ikke en byrde, etterleves det frivillig. Da blir internkontroll en kvalitetsfaktor, ikke bare et krav.