Nedenstående gir en beskrivelse av Internkontrollportalens instruksbaserte styringsmodell (IS-Modellen), inkludert en anbefalt fremgangsmåte for implementering og revisjon av eksisterende styringssystemer.

IS-Modellen er en målrettet metodikk for å forenkle, tydeliggjøre og sikre etterlevelse av en organisasjons styringsdokumentasjon. Kjernen i modellen er å etablere et klart og entydig "må-regime" der kun ett begrep representerer bindende krav til ansatte.

IS-Modellen bidrar således til enkel og effektiv operasjonell implementering og tydeliggjøring av  strategiske og strukturelle føringer i COSO-rammeverket.

1. Hovedprinsippet: Entydig Må-regime

IS-Modellen eliminerer den vanlige forvirringen og blandingen mellom begreper som prosedyrer, retningslinjer, rutiner og instrukser mv..

Instruks (MÅ):
Dette er det eneste operative dokumentet som representerer et obligatorisk krav til etterlevelse. Instrukser skal ubetinget følges.

Andre begreper (BØR/KAN):
Alle andre dokumenter – inkludert de som historisk sett har hatt uklar status (som prosedyrer, retningslinjer og rutiner) – skal plasseres i kategorien for veiledende materiale eller beste praksis.

Definisjon:
En Instruks er en presis og autoritativ beskrivelse av hva som pliktmessig skal gjøres, av hvem, og når det skal gjøres, for å oppfylle et lovkrav, et risikoreduserende tiltak eller et strategisk mål.

2. Trelagsstruktur for klarhet

IS-Modellen organiserer styringsdokumentene i et hierarki med tre distinkte nivåer, som eliminerer gråsonene mellom må, bør og kan:

Nivå 1: Styring og eierskap (Strategisk)

Formål:
Definerer retning, rammer og ansvar. Forklarer hvorfor virksomheten gjør det den gjør.

Dokumenttyper:
Strategi (virksomhetens overordnede mål, visjon), Policyer (toppledelsens besluttede prinsipper og forpliktelser).

Status:
Bindende for ledelsen og setter rammene for Nivå 2, men er ikke operative MÅ-krav for den enkelte ansatte.

Nivå 2: Den operative kjernen (MÅ-Krav)

Formål:
Oversetter strategiske mål og risikoreduserende tiltak til operative plikter.

Dokumenttyper:
Instrukser (utvetydige MÅ-krav).

Status: 

Obligatorisk og representerer det eneste grunnlaget for formelt avvik dersom de ikke følges. Dette er kjernen i internkontrollen.

Nivå 3: Gjennomføring og støtte (BØR/KAN)

Formål: 

Støtte den ansatte i å etterleve Instrukser på en best mulig måte.

Dokumenttyper: 

Veiledninger (detaljert beskrivelse av hvordan en Instruks kan følges), maler, sjekklister, flytskjemaer og registreringsskjemaer.

Status: 

Anbefalt/Valgfritt. Bruk av disse er ikke et formelt MÅ-krav, med mindre Instrukten eksplisitt krever bruk av et spesifikt verktøy (f.eks. en sjekkliste).

Anbefalt fremgangsmåte for implementering og revisjon

Implementering av IISM er en endringsprosess som krever grundig analyse og disiplin.

Fase 1: Forberedelse og beslutning

Ledelsesforankring: 

Toppledelsen må fullt ut eie og autorisere innføringen av IISM. Forståelse for at alle styringsdokumenter skal gjennomgås, er kritisk.

Definer kriterier: 

Etabler klare kriterier for hva som gjør et krav til en Instruks. Dette må kun være for områder som er:

Lovpålagte (inkludert konsesjonskrav).

Risikokritiske (tiltak som er essensielle for å redusere uakseptabel risiko, ofte identifisert i risikovurderinger à la COSO-modellen).

Kvalitetskritiske (nødvendige steg for å oppnå standardisert, avtalt kvalitet).

Kartlegging: 

Gjennomfør en fullstendig kartlegging av alle eksisterende styringsdokumenter ("begrepsjungelen").

Fase 2: Redesign og reorganisering

Omklassifisering: 

Gå gjennom alle eksisterende dokumenter (prosedyrer, rutiner, retningslinjer) og plasser dem i IISM's tre nivåer:

Flytt til Nivå 1 (Policy): Dokumenter som er prinsipper og rammer (f.eks. HR-policy).

Konverter til Instruks (Nivå 2): Detaljerte krav som må følges (f.eks. sikkerhetsrutiner, godkjenningsprosesser). Disse må omskrives for å være presise, autoritative MÅ-krav.

Flytt til Veiledning (Nivå 3): Detaljert beskrivelse av hvordan arbeidet utføres, som ikke er bindende (f.eks. maler, utførelsesbeskrivelser).

Begrepsrensing: 

Slett eller endre navn på dokumenter som skaper forvirring. Alle bindende operative krav må nå hete Instruks.

Opprettelse av et Instruksregister: 

Etabler en sentral, lett tilgjengelig portal/register der kun Instrukser er plassert for å sikre at ansatte vet hvor de finner det obligatoriske.

Fase 3: Kommunikasjon og trening

Opplæring av ansatte: 

Dette er den viktigste suksessfaktoren. Alle ansatte må lære:

Regelen: "Hvis det er en Instruks, skal det gjøres. Hvis ikke, er det veiledende."

Formålet: Hvordan IISM reduserer usikkerhet og øker effektiviteten.

Lederegenskap: 

Tren ledere til å forstå at de nå må være disiplinerte: En ny Instruks skal kun utarbeides hvis den er kritisk, og den krever ledelsesgodkjenning (sikrer eierskap).

Fase 4: Revisjon og kontinuerlig forbedring

Implementering av IISM gjør internrevisjon mye enklere og mer fokusert.

Revisjonsfokus: 

Revisjonsaktiviteter skal rettes nesten utelukkende mot etterlevelse av Nivå 2-Instruksene.

Kontrollspørsmål: 

I stedet for å spørre "Fulgte dere prosedyren?", spør man: "Ble Instruks [XX] fulgt?" Dette gir et binært (ja/nei) svar, som er lettere å revidere og rapportere.

Forbedring: 

Avvik skal primært knyttes til brudd på Instrukser. Dette gir ledelsen et klart bilde av hvor styringssystemet svikter, og hvor endringer/opplæring er nødvendig. IISM tvinger frem en kultur der man unngår å lage en ny Instruks med mindre det er absolutt nødvendig.

Fordelen: 

Denne tilnærmingen skaper en effektiv tilbakemeldingssløyfe der revisjonsresultatene gir direkte og meningsfull informasjon tilbake til ledelsen om selskapets faktiske risikostyring.

Unngå begrepsjungelen! Digitaliser IS-Modellen. Se hvordan vår digitale plattform forenkler implementeringen av det entydige MÅ-regimet. Få et sentralisert Instruksregister og verktøy for revisjon og Avviksbehandling. Ta kontakt for en uforpliktende demonstrasjon av et enkelt, effektivt og hensiktsmessig styringssystem.

Senest revidert den 07.12.2025