Internkontroll AS · internkontrollportalen.no

🔒

Tilgangskode kreves

Ledelsens Gjennomgang PRO™ er et betalingsverktøy.
Skriv inn tilgangskoden du fikk da du bestilte.
Koden lagres i nettleseren din – du slipper å taste den inn igjen.

Har du ikke tilgangskode? Bestill her
Spørsmål? srh@internkontrollportalen.no

Pris: 6 900 kr eks. mva per bruk, eller 39 000 kr eks. mva for årsabonnement (ubegrenset bruk i 12 måneder).

Internkontroll AS · Styringsportalen™ PRO v4.0 · Ultimate

Ledelsens Gjennomgang PRO™

Styringstunnelen® – fra datagrunnlag til juridisk relevante beslutninger · ISO 9001/45001 § 9.3 · Aksjeloven §§ 6-12 og 6-13

Trinn 1 av 5 – Grunnlag

Grunnlag

Modul 1 – Datagrunnlag

Modul 2 – Vurdering

Modul 3 – Beslutninger

Godkjenning

Grunnlag for gjennomgangen

Registrer hvem, hva og når – og bekreft at datagrunnlaget er fullstendig.

Antas-feil-prinsippet gjelder hele rapporten: Forhold som ikke er dokumentert å være i orden, må i styringssystemsammenheng antas å være ikke-i-orden inntil det motsatte er bevist. Dette følger av Internkontrollforskriften § 5 nr. 7, ISO 9001/45001 pkt. 7.5 og fast tilsynspraksis. Tomme felter behandles derfor som dokumentasjonsmangler, ikke som "ikke besvart".

Virksomheten

Virksomhetsnavn *

Fyll inn virksomhetsnavn

Organisasjonsnummer

Daglig leder *

Fyll inn daglig leder

Styreleder

Gjennomgangens ramme

Periode fra

Periode til

Møtedato

Type gjennomgang *

📅

Ordinær gjennomgang Minimum årlig full gjennomgang

⚠️

Ekstraordinær gjennomgang Utløst av A-avvik, lovendring eller vesentlig risiko-endring

Velg type gjennomgang

⚖️ Ledelsens bekreftelse – Management Assertion

Sikrer at gjennomgangen ikke baseres på selektivt utvalgt informasjon. Uten denne bekreftelsen reduseres rapportens juridiske verdi vesentlig.

Prinsipp: Ledelsens gjennomgang kan kun gi reell styringskraft dersom datagrunnlaget er ubeskåret og representativt. Skjult informasjon kan senere rammes av Aksjeloven § 17-1 (styremedlemmers erstatningsansvar) og Straffeloven § 220 (ledelsessvikt).

Jeg bekrefter at datagrunnlaget for denne gjennomgangen er fullstendig, korrekt og ikke selektivt fremstilt. Jeg har ikke unntatt informasjon som kan påvirke ledelsens eller styrets vurdering av virksomhetens styringssystem.

🔒 Personvern: Verktøyet lagrer alle opplysninger lokalt i din nettleser (localStorage). Ingen data sendes til Internkontroll AS eller tredjepart. Du har full kontroll over informasjonen. Hjemmel: GDPR art. 6 nr. 1 bokstav f (berettiget interesse) og art. 13. Slett lokal lagring ved å tømme nettleserdata.

Modul 1 – Datagrunnlag

ISO 9001/45001 § 9.3.2: Inputs til ledelsens gjennomgang. Hva vet vi, hvilke krav gjelder, hvordan fungerer prosessene våre.

Modul 1 dokumenterer hva virksomheten vet. Modul 2 vil bygge ledelsens vurderinger på dette grunnlaget. Punktene 1.0–1.2 etablerer fundamentet (regelverk og virksomhetskrav). Punktene 1.3–1.8 dokumenterer faktiske forhold i perioden.

1.0 Regelverksoversikt

Har vi en oppdatert og dokumentert oversikt over alle lover og forskrifter som gjelder for vår virksomhet?

📖 Veiledning og hjemler – klikk for å åpne

Hvorfor dette punktet?

En internkontroll som ikke vet hvilke krav den skal kontrollere mot, er ikke internkontroll – det er aktivitet uten retning. Før virksomheten kan vurdere om noe er i orden, må det være avklart og dokumentert hva som faktisk gjelder for oss.

Hvorfor må styret og ledelsen vite dette?

Aksjeloven § 6-12 fjerde ledd pålegger styret å holde seg orientert om virksomhetens stilling og påse at virksomheten, regnskap og formuesforvaltning er gjenstand for betryggende kontroll. "Betryggende kontroll" forutsetter at det er kjent hva det skal kontrolleres mot. Daglig leder har en speilende plikt etter § 6-14. En ledelse som ikke kan dokumentere hvilke lover og forskrifter som gjelder, har ikke et grunnlag å føre kontroll fra – og kan dermed heller ikke oppfylle tilsynsplikten reelt.

Hva er risiko og konsekvens?

For virksomheten: Brudd på lover man ikke visste gjaldt. Tilsynsanmerkninger, pålegg, overtredelsesgebyr, tap av sertifiseringer, kontraktbrudd, omdømmetap.

For styremedlemmer personlig: Aksjeloven § 17-1 (erstatningsansvar) og § 19-1 (straffansvar) inntrer når styret ikke har iverksatt nødvendige tiltak. Manglende regelverkskartlegging er en sterk indikasjon på at slike tiltak aldri kunne vært utformet.

For daglig leder: Straffeloven § 220 (manglende styring og ledelse) og bransjespesifikke straffebestemmelser. Internkontrollforskriften § 5 nr. 7 stiller selvstendig krav til skriftlig dokumentasjon.

For ansatte og tredjepart: Skader, økonomisk tap eller rettighetsbrudd som inntreffer fordi virksomheten ikke kjente plikten den skulle ha oppfylt.

Prinsipp

Dette punktet handler ikke om hvor mange lover virksomheten har på en liste – det handler om hvorvidt ledelsen kan stå inne for at oversikten er fullstendig, oppdatert og forstått. En liste alle har glemt eksistensen av oppfyller ikke kravet.

Har vi dokumentert oversikt over relevant regelverk?

🟢

Fullt forstått og dokumentertOppdatert oversikt finnes, plassering og ansvarlig kjent, gjennomgått siste 12 måneder

🟡

Hovedbildet kjentOversikt finnes, men er eldre enn 12 måneder eller ufullstendig dokumentert

🟠

Registrert, ikke vurdertKunnskap om lover finnes, men ikke samlet eller verifisert som komplett

🔴

Mangler grunnlagVi har ikke samlet, skriftlig, oppdatert oversikt

Plassering, ansvarlig og endringer siden forrige gjennomgang

1.1 Operasjonalisering av eksterne krav

For hvert vurdert relevant – herunder kritisk – myndighetskrav: er det tilknyttet hensiktsmessig gjennomførings- og/eller kvalitetssikringsinstruks for å etterleve og dokumentere kravet?

📖 Veiledning og hjemler – klikk for å åpne

Hvorfor dette punktet?

En liste over lover som gjelder er kun utgangspunkt. Krav uten operasjonalisering er ord på papir – de gir ingen styringskraft. For at regelverket faktisk skal etterleves, må hvert relevant krav være oversatt til (a) en instruks som sikrer gjennomføring og (b) et bevis eller en dokumentasjonsform som lar virksomheten vise at det faktisk skjer.

Hvorfor må styret og ledelsen vite dette?

Det er forskjell på å vite at noe gjelder og å ha gjort noe med at det gjelder. Tilsyn, revisorer og domstoler skiller alltid mellom kunnskap og operasjonalisering. En virksomhet som visste hva som gjaldt, men ikke hadde innrettet seg etter det, er ofte mer eksponert juridisk enn en som ikke visste – fordi unnlatelsen blir bevisst. Styret kan ikke føre tilsyn med etterlevelse av krav som aldri er gjort til operative instrukser i organisasjonen.

Hva er risiko og konsekvens?

Gap mellom kunnskap og praksis: Virksomheten kjenner kravet, men har ikke knyttet det til en konkret arbeidsoppgave. Resultatet er at kravet faller mellom stoler – ingen vet at det er deres ansvar.

Manglende dokumentasjonsform: Selv om handlingen utføres, kan virksomheten ikke vise at den utføres. I tilsynssammenheng tilsvarer dette at den ikke utføres. ISO 9001/45001 pkt. 7.5 og Internkontrollforskriften § 5 nr. 7 forutsetter dokumentérbar etterlevelse.

Personlig ansvar: Styreansvar etter Aksjeloven § 17-1 forutsetter at styret har innrettet kontroll mot kjente krav. Manglende operasjonalisering er ofte den konkrete unnlatelsen som utløser ansvar når noe går galt – ikke selve hendelsen.

Prinsipp

For hvert vurdert relevant – herunder kritisk – myndighetskrav skal det kunne svares på tre spørsmål: Hva er kravet? Hvilken gjennomførings- og/eller kvalitetssikringsinstruks sikrer at vi etterlever det? Hvor finner vi dokumentasjonen som beviser etterlevelsen? Hvis ett av svarene er uklart, er kravet ikke operasjonalisert.

Gjennomføringsinstruks beskriver hvordan oppgaven skal utføres. Kvalitetssikringsinstruks beskriver hvordan vi sjekker at den ble utført korrekt. Begge bidrar til etterlevelse, og begge bidrar til at vi kan dokumentere etterlevelsen.

Status på operasjonalisering – samlet vurdering

🟢

Fullt forstått og dokumentertHvert vurdert relevant krav er tilknyttet hensiktsmessig gjennomførings- og/eller kvalitetssikringsinstruks. Etterlevelse kan dokumenteres.

🟡

Hovedbildet kjentDe fleste krav har tilknyttet instruks, men enkelte gap er identifisert.

🟠

Registrert, ikke vurdertInstrukser finnes, men koblingen mellom hvert vurdert relevant krav og tilhørende instruks er ikke verifisert.

🔴

Mangler grunnlagVi kan ikke for de relevante kravene fremvise tilknyttede gjennomførings- og/eller kvalitetssikringsinstrukser.

Identifiserte gap mellom krav og operasjonalisering

1.2 Virksomhetskrav – interne krav og kontraktsforpliktelser

Har vi oversikt over interne krav (eier, styre, sertifiseringer, kontrakter), og er det knyttet styringsverktøy til at de etterleves og dokumenteres?

📖 Veiledning og hjemler – klikk for å åpne

Hvorfor dette punktet?

Lover er ikke det eneste virksomheten må forholde seg til. Eierne stiller krav. Styret vedtar instrukser. Kunder krever leveranser etter avtale. Sertifiseringsordninger, leverandører, forsikringsselskap, banker og bransjeorganisasjoner stiller alle krav som virksomheten har påtatt seg å oppfylle. Disse interne og avtalebaserte kravene er like bindende som lov – ofte mer kommersielt avgjørende.

Hvorfor må styret og ledelsen vite dette?

Brudd på en kundeavtale kan koste mer enn brudd på en forskrift. Manglende oppfølging av en styreinstruks er et selvstendig brudd på Aksjeloven § 6-12. Tap av en sertifisering på grunn av udokumentert etterlevelse av egne instrukser er en hyppig kilde til kommersiell skade. Et styre som ikke har oversikt over hvilke krav virksomheten har bundet seg til, kan ikke vurdere risiko – og dermed heller ikke vedta risiko-appetitt eller føre tilsyn.

Hva er risiko og konsekvens?

Kommersielt: Mislighold, dagbøter, kontraktshevning, tap av kunder, tap av sertifiseringer, krav om erstatning. I motsetning til lovbrudd har kontraktsbrudd som regel motpart som forfølger saken aktivt.

Forsikring: Forsikringsselskap stiller ofte vilkår om sikringstiltak, dokumentert internkontroll og rapporteringsinstrukser. Brudd på vilkår kan gi reduksjon eller bortfall av forsikringsdekning ved skade.

Finansiering: Banker og långivere har covenants og rapporteringskrav. Brudd kan utløse oppsigelse av lån eller endret rente.

Eierforhold: Eierne kan kreve daglig leder fjernet ved manglende oppfølging av eierdirektiv. Styret kan bli erstatningsansvarlig overfor eierne ved unnlatelser.

Personlig: Styremedlemmer som ikke følger opp egne instrukser kan rammes av Aksjeloven §§ 17-1 og 19-1.

Prinsipp

Vesentlige interne og avtalebaserte krav skal være kjent, dokumentert, og knyttet til en instruks eller et styringsverktøy som sikrer at de etterleves – på samme måte som lovkrav. Skillet mellom "ekstern lov" og "intern avtale" er juridisk skarpt, men i styringssystemsammenheng er kravet til dokumentert etterlevelse identisk.

Kategorier av interne krav – avhuk relevans

Prioriterte virksomhetskrav (valgfritt – legg inn de viktigste)

Krav-kilde	Hva krever det	Styringsverktøy/instruks	Hvor dokumentert

Status på virksomhetskrav – samlet vurdering

🟢

Fullt forstått og dokumentertSamlet oversikt finnes. Vesentlige krav er knyttet til styringsverktøy. Etterlevelse kan dokumenteres.

🟡

Hovedbildet kjentOversikt finnes, men styringsverktøy mangler for enkelte vesentlige krav.

🟠

Registrert, ikke vurdertVi kjenner enkelte krav, men har ikke en samlet vurdering eller dokumentasjon på etterlevelse.

🔴

Mangler grunnlagVi har ikke samlet oversikt over interne krav og kontraktsforpliktelser.

Beskrivelse og eventuelle gap

1.3 Roller og ansvar

Er sentrale lovpålagte og virksomhetskritiske roller besatt og dokumentert?

📖 Veiledning og hjemler – klikk for å åpne

Hvorfor dette punktet?

Et styringssystem fungerer ikke uten at noen er ansvarlig for at det fungerer. Roller og ansvar er bindeleddet mellom kravene som gjelder og handlingen som skal utføres. Når roller er uklare eller ubesatt, faller oppgaver mellom stoler – ikke fordi noen handler galt, men fordi ingen vet at det er deres å handle. Manglende rolledokumentasjon er det vanligste enkeltfunnet ved tilsyn fra Arbeidstilsynet, Datatilsynet og bransjespesifikke tilsynsmyndigheter.

Hvorfor må styret og ledelsen vite dette?

Aksjeloven § 6-12 forutsetter klar arbeidsdeling mellom styret, daglig leder og virksomheten for øvrig. Daglig leder har etter § 6-14 selvstendig ansvar for "den daglige ledelse av selskapets virksomhet" – men dette ansvaret kan ikke utøves dersom underliggende roller er uklare. Styret kan ikke føre tilsyn med roller som ikke finnes, og kan ikke holde noen ansvarlig for oppgaver som aldri er tildelt.

Roller som etter lov skal være formelt utpekt og dokumentert: verneombud (AML § 6-1, ved minst 5 ansatte), arbeidsmiljøutvalg (AML § 7-1, ved minst 50 ansatte, eller ved 20–49 ansatte når en av partene krever det), HMS-ansvarlig (Internkontrollforskriften § 5), brannvernleder (forebyggendeforskriften), personvernombud der GDPR krever det (art. 37), varslingsmottaker (AML kap. 2A) og bedriftshelsetjeneste der det er pålagt (AML § 3-3).

Hva er risiko og konsekvens?

For virksomheten: Tilsynsanmerkninger og pålegg. Ved hendelse: påstand om systemsvikt, fordi systemet ikke pekte ut noen ansvarlig.

For ansatte: Manglende beskyttelse. Et fraværende verneombud betyr at ansattes rett til medvirkning er brutt. Manglende AMU betyr at det partssammensatte arbeidet med arbeidsmiljø ikke skjer. Begge er selvstendige lovbrudd uavhengig av om noen "klager".

For styret personlig: Aksjeloven § 6-12 fjerde ledd pålegger styret å sikre at virksomheten har "betryggende kontroll". Et styre som har latt sentrale roller stå ubesatt over tid har bevist at slik kontroll ikke har vært på plass. Erstatnings- og straffansvar etter §§ 17-1 og 19-1 forutsetter ikke at styret aktivt har gjort noe galt – passivitet ved kjente mangler er nok.

For daglig leder: Manglende rolledelegasjon kan tilbakeføres til daglig leder som personlig brudd på Internkontrollforskriften § 5 og Straffeloven § 220.

Prinsipp

En rolle eksisterer i styringssystem-sammenheng først når den er (a) skriftlig utpekt med navn og dato, (b) kjent og akseptert av rolleinnehaveren, og (c) utstyrt med ressurser og myndighet til å utføre oppgaven. Et navn på et organisasjonskart uten reell delegasjon er ikke en rolle – det er en tegning.

Lovpålagte/virksomhetskritiske roller – status

Status på roller og ansvar – samlet vurdering

🟢

Fullt forstått og dokumentertAlle pålagte og virksomhetskritiske roller er besatt med skriftlig utpeking. Ansvarsmatrise oppdatert.

🟡

Hovedbildet kjentRoller er besatt, men formell utpeking eller ansvarsbeskrivelse er ufullstendig.

🟠

Registrert, ikke vurdertVi har personer i roller, men dokumentasjon og delegasjon er ikke verifisert.

🔴

Mangler grunnlagVesentlige lovpålagte roller er ubesatt eller uklare.

Beskrivelse av roller, ressursgrunnlag og eventuelle mangler

1.4 Oppfølging av tidligere beslutninger

Status på tiltak vedtatt ved forrige gjennomgang – med effekt-validering og eventuelle uløste A-avvik.

📖 Veiledning og hjemler – klikk for å åpne

Hvorfor dette punktet?

En ledelses gjennomgang som ikke følger opp egne tidligere vedtak er et rituelt møte uten styringskraft. Hver gjennomgang skal bygge på den forrige – ellers blir samme problemer behandlet som "nye" hver gang, og ingen forbedring akkumulerer. Verre: vedtak som aldri sjekkes blir over tid en bekreftelse på at vedtak i dette forumet ikke betyr noe.

Hvorfor må styret og ledelsen vite dette?

ISO 9001/45001 pkt. 9.3.2 a) krever at ledelsens gjennomgang inkluderer "the status of actions from previous management reviews". Dette er ikke en formalitet – det er kravet som hindrer gjennomgangen i å degenerere til avkrysningsøvelse.

Et særlig kritisk underpunkt: uløste A-avvik fra forrige periode. A-avvik som ikke er lukket innen ny gjennomgang er en av de tyngste indikatorene tilsynsmyndigheter ser etter. De viser at virksomheten registrerer systemsvikt uten å rette dem.

Hva er risiko og konsekvens?

Forfallende styringsverdi: Vedtak uten oppfølging mister kraft. Ansatte og ledere lærer at vedtak i ledermøtet er "intensjoner", ikke "krav".

Akkumulert risiko: Identifiserte problemer som ikke følges opp blir ikke borte – de vokser.

Juridisk: Manglende oppfølging er ofte det avgjørende ankepunktet etter en ulykke eller skade. "Visste virksomheten om dette? Hva ble vedtatt? Hva ble gjort?"

Prinsipp

Hvert vedtak fra forrige gjennomgang skal kunne kategoriseres som gjennomført med dokumentert effekt, gjennomført uten validert effekt, under arbeid, eller ikke gjennomført. "Glemt" er ikke en akseptabel kategori og må behandles som systemsvikt i seg selv.

Status på tidligere beslutninger – samlet vurdering

🟢

Fullt forstått og dokumentertAlle tidligere vedtak er gjennomgått, kategorisert, og effekt-validert.

🟡

Hovedbildet kjentDe fleste vedtak er fulgt opp, men effekt eller status på enkelte er uklar.

🟠

Registrert, ikke vurdertVi har vedtaksoversikt, men status er ikke systematisk gjennomgått av ledelsen.

🔴

Mangler grunnlagVi kan ikke gjøre rede for status på tidligere vedtak. Ingen forrige gjennomgang, eller vedtakene er glemt.

Status på tidligere vedtak og eventuelle uløste A-avvik fra forrige periode

1.5 Endringer i rammebetingelser

Nye lover, forskrifter, teknologi, organisasjonsendringer eller bransjeforhold siden forrige gjennomgang – fanget opp og vurdert?

📖 Veiledning og hjemler – klikk for å åpne

Hvorfor dette punktet?

Et styringssystem som ikke fanger opp endringer i rammebetingelser blir over tid utdatert – uten at noen merker det før det smeller. Lover endres. Forskrifter erstattes. Ny rettspraksis omtolker eksisterende krav. Tilsynsmyndigheter endrer fortolkningspraksis. Ny teknologi skaper nye risikoer. Organisasjonen omstilles. Eierforhold endres.

Hvorfor må styret og ledelsen vite dette?

ISO 9001/45001 pkt. 9.3.2 b) krever eksplisitt at ledelsens gjennomgang vurderer "changes in external and internal issues that are relevant to the management system". Aksjeloven § 6-12 fjerde ledd pålegger styret å holde seg orientert om virksomhetens stilling, og dette inkluderer endringer i rammene virksomheten opererer innenfor.

Hva er risiko og konsekvens?

Stille forfall: Det farligste ved utdaterte styringssystemer er at de ser ut som om de fungerer. Rutinene utføres, dokumentasjonen produseres, men de svarer ikke lenger på reelle krav.

Personlig ansvar: En styrebeslutning fra 2023 kan ikke forsvare en handling i 2026 hvis rammebetingelsene har endret seg vesentlig i mellomtiden.

Tap av sertifisering: ISO-sertifiseringer mistes typisk ikke ved store enkeltavvik, men ved at sertifikatholder ikke kan dokumentere systematisk håndtering av endringer i kravgrunnlag.

Forsikring og kontrakter: Mange forsikringsavtaler og kundeavtaler har klausuler om at virksomheten skal "etterleve gjeldende regelverk".

Prinsipp

Endringer skal ikke bare registreres – de skal vurderes for konsekvens. Et "ingenting har endret seg"-svar uten dokumentert vurdering har samme verdi som intet svar – og er sannsynligvis feil.

Status på endringsvurdering – samlet vurdering

🟢

Fullt forstått og dokumentertEndringer er aktivt gjennomgått fra alle relevante kilder. Konsekvenser er vurdert.

🟡

Hovedbildet kjentVesentlige endringer er fanget opp, men ikke alle endringskilder er systematisk gjennomgått.

🟠

Registrert, ikke vurdertVi kjenner til endringer, men har ikke systematisk vurdert konsekvens for vårt styringssystem.

🔴

Mangler grunnlagVi har ikke gjennomført endringsvurdering. "Ingen endringer" er ikke verifisert.

Beskrivelse av relevante endringer

1.6 Avviksbildet – ledelsens redegjørelse

Kvalitativ vurdering av avviksbildet etter AvvikStandard™ A/B/C – ikke en telleøvelse.

📖 Veiledning og hjemler – klikk for å åpne

Hvorfor dette punktet?

Avvik er styringssystemets diagnostiske signal – men kun hvis de forstås. Tellinger alene gir falsk presisjon: "0 A-avvik" kan bety at systemet fungerer perfekt, eller at avvik ikke fanges opp, eller at de ikke meldes. Tallet alene kan ikke skille disse situasjonene fra hverandre. Bare ledelsens dokumenterte forståelse av avviksbildet kan.

AvvikStandard™

A – Systemsvikt. Hull eller feil i selve styringssystemet. Eksempel: en instruks mangler, en kontroll fanger ikke opp det den skulle, et lovkrav er ikke operasjonalisert. A-avvik utløser obligatorisk styrebehandling.

B – Etterlevelsessvikt. Kulturelt eller systematisk mønster av at eksisterende instrukser ikke følges. B-avvik krever ledelsessanksjon og oppfølging i linje.

C – Enkelthendelser. Engangstilfeller uten styringsmessig konsekvens. Skal filtreres bort fra ledelsens og styrets oppmerksomhet, men registreres for trendanalyse.

Hvorfor må styret og ledelsen vite dette?

Aksjeloven § 6-13 pålegger styret tilsyn. Dette tilsyn kan ikke bygge på tall – det må bygge på forståelse. Et styre som har lest "3 A-avvik" har ikke ført tilsyn hvis det ikke kan redegjøre for hva avvikene var, hvorfor de oppsto, hva det betyr for virksomheten, og hva som er gjort.

Spesielt om A-avvik: Et A-avvik er per definisjon en konstatering av at styringssystemet har en svakhet. Konsekvensen er ikke "vi løser denne saken" – konsekvensen er "vi må endre systemet slik at slike saker ikke kan oppstå igjen". Hvis A-avvik håndteres som enkeltsaker uten systemtiltak, er det i realiteten C-behandling av et A-problem.

Hva er risiko og konsekvens?

Underrapportering belønnes: Hvis avvikstall styrer vurderingen, blir kulturen at "færre meldte avvik = bedre". Sterke virksomheter melder mye, fordi de fanger opp mye – og lærer.

Mønstre overses: Tre B-avvik isolert kan se ubetydelige ut. Tre B-avvik som alle handler om samme rutinebrudd er en kulturell svikt som krever ledelsessanksjon.

Personlig ansvar: "Vi visste, men gjorde ikke nok" er sterkere ansvarsgrunnlag enn "vi visste ikke".

Prinsipp

Avviksbildet skal redegjøres for, ikke telles. For hvert A-avvik skal ledelsen kunne forklare hva som skjedde, hvorfor det skjedde, hvilken rotårsak som ligger under, og hvilken systemtilpasning som er gjort eller planlagt.

Vurdering av avviksbildet – samlet

🟢

Fullt forstått og dokumentertVi kan redegjøre for hver A-avvik for seg, har vurdert mønstre i B-avvik, og C-avvik filtreres etter AvvikStandard™.

🟡

Hovedbildet kjentHovedbildet er forstått, men enkeltsaker eller rotårsaker mangler full forståelse.

🟠

Registrert, ikke vurdertVi har registreringer av avvik, men ikke en dokumentert ledelsesvurdering av rotårsaker eller mønstre.

🔴

Mangler grunnlagVi har ikke avvikslogg eller grunnlag for å vurdere avviksbildet samlet.

A-avvik – redegjørelse (hva, hvorfor, rotårsak, status, systemtiltak)

B-avvik – mønstre, områder, tiltak

C-avvik – filtrering og trendanalyse

1.7 Overvåking og kontrollvirksomhet

Funn fra 2. linje (verneombud, kvalitetsansvarlig, HMS-ansvarlig osv.) og 3. linje (intern revisjon, ekstern revisor, sertifiseringsorgan, tilsyn).

📖 Veiledning og hjemler – klikk for å åpne

Hvorfor dette punktet?

Overvåking og kontroll er styringssystemets sanseapparat. Det er gjennom kontrollvirksomheten – fra verneombudets runder og kvalitetslederens revisjoner til ekstern revisjon og tilsynsbesøk – at virksomheten faktisk ser hva som foregår. Et styringssystem uten kontrollvirksomhet styrer i blinde.

Sterke virksomheter har en sunn balanse: 1. linje gjør jobben, 2. linje sjekker at den blir gjort, 3. linje sjekker at sjekkingen er reell.

Hvorfor må styret og ledelsen vite dette?

Aksjeloven § 6-12 fjerde ledd krever "betryggende kontroll". Dette er strukturelt et krav om at det finnes kontrollfunksjoner – ikke bare at ting går bra. Hvis ekstern revisor, sertifiseringsorgan eller offentlig tilsyn har vært inne i virksomheten siden forrige gjennomgang, er deres funn obligatoriske inputs til ledelsens vurdering.

Hva er risiko og konsekvens?

Blind drift: Et styringssystem uten 2.- og 3.-linje-kontroll vet bare det 1. linje selv velger å rapportere. Det er ikke kontroll – det er selvevaluering.

Tilsynsfunn som "henger": Et tilsynsfunn som er kjent for ledelsen men ikke fulgt opp er det skarpeste enkeltindikatoret på ledelsessvikt ved senere tilsyn.

Personlig ansvar: Styremedlemmer som har mottatt revisors eller tilsynets rapport uten å iverksette tiltak har dokumentert kjennskap til problemet. Aksjeloven § 17-1 har vesentlig lavere terskel når kunnskap er bevist.

Prinsipp

Kontrollvirksomhet skal vurderes både på dekning (sjekker vi nok?) og funn (hva har vi sett?). Ledelsen skal kunne redegjøre for hva 2. og 3. linje har funnet, hvordan det er behandlet, og om det er avdekket områder hvor kontrollene ikke når.

Status på overvåking og kontroll – samlet vurdering

🟢

Fullt forstått og dokumentertKontrollvirksomhet i 2. og 3. linje er gjennomført, funn er behandlet, dekning er vurdert.

🟡

Hovedbildet kjentKontrollvirksomhet finnes, men dekningsgrad eller behandlingsstatus på funn er ufullstendig.

🟠

Registrert, ikke vurdertVi har enkelte kontrollresultater, men ikke en samlet ledelsesvurdering.

🔴

Mangler grunnlagSystematisk overvåking og kontroll i 2./3. linje er ikke etablert eller dokumentert i perioden.

2. linje – funn og behandling

3. linje – ekstern revisjon, sertifisering, tilsyn

Dekningsvurdering – områder uten tilstrekkelig kontroll

1.8 Funksjon i kjerneprosessene

Fungerer overvåking, avviksbehandling og risikovurdering som styringsmekanismer? Forskjellen fra 1.6/1.7: dette spør om prosessen fungerer, ikke om resultatet er bra.

📖 Veiledning og hjemler – klikk for å åpne

Hvorfor dette punktet?

Tre prosesser utgjør kjernen i alt styringssystem-arbeid: overvåking (fanger vi opp hva som skjer?), avviksbehandling (gjør vi noe meningsfullt med det vi fanger opp?), og risikovurdering (forstår vi hvilke trusler som påvirker oss?). Hvis disse tre fungerer, gjør hele systemet det. Hvis én av dem ikke fungerer, lekker styringssystemet uavhengig av hvor flott det ser ut på papir.

Forskjellen mellom dette punktet og 1.6/1.7 er fundamental: 1.6 og 1.7 spør "hva ble fanget opp?" – dette punktet spør "fungerer prosessen som skal fange opp?". Det er derfor ikke nok at avviksloggen viser få avvik; vi må vurdere om avviksprosessen i det hele tatt er i stand til å fange opp avvik.

Hvorfor må styret og ledelsen vite dette?

Det enkleste eksempelet: en virksomhet rapporterer "0 A-avvik" og er stolt av tallet. Sannheten er at ingen ansatte vet hvordan man melder avvik, det finnes ingen kanal, og selv om noe meldes blir det ikke registrert. Tallet "0" er da ikke uttrykk for et fungerende system – det er uttrykk for et ikke-fungerende avviksregistreringssystem.

Aksjeloven § 6-12 fjerde ledd krever "betryggende kontroll" – og kontroll består av prosesser, ikke dokumenter. Internkontrollforskriften § 5 nr. 6 og 7 stiller direkte krav til at virksomheten "iverksetter rutiner for å avdekke, rette opp og forebygge overtredelser". Selve instruksen er kravet.

Hva er risiko og konsekvens?

Falsk trygghet er verre enn åpen utrygghet: En virksomhet som tror den har orden fordi tallene ser fine ut, søker ikke hjelp og oppdager problemer for sent.

Underrapportering forsterker seg selv: Hvis avviksprosessen er ukjent eller upraktisk, vil ansatte med tiden slutte å forsøke å melde.

Risikoblindhet: En utdatert risikovurdering er farligere enn ingen, fordi den brukes som beslutningsgrunnlag.

Prinsipp – tre kontrollspørsmål

1. Overvåking: Hvis noe vesentlig skjedde i virksomheten i går, ville vi visst det innen rimelig tid? Gjennom hvilken kanal?

2. Avviksbehandling: Hvis en ansatt observerte et avvik nå, ville hun visst hvor og hvordan å melde det? Ville meldingen blitt registrert, kategorisert, behandlet og lukket innen frist?

3. Risikovurdering: Når ble risikovurderingen sist oppdatert? Av hvem? Reflekterer den dagens risikobilde?

Hvis ett av svarene er uklart eller hypotetisk, fungerer ikke prosessen.

Overvåking – fungerer den som styringsmekanisme?

🟢

Fungerer dokumentertVi har dokumenterte overvåkingskanaler. Informasjon når frem til ledelsen i tide.

🟡

Fungerer i hovedtrekkHovedkanaler er på plass, men noen områder har svak overvåking.

🟠

Eksisterer formeltKanalene finnes, men det er usikkert om de fanger opp det de skal.

🔴

Fungerer ikkeVi har ikke fungerende overvåkingsprosess.

Avviksbehandling – fungerer den som styringsmekanisme?

🟢

Fungerer dokumentertAvviksprosessen er kjent for ansatte, fungerer i praksis, og er verifisert.

🟡

Fungerer i hovedtrekkProsessen finnes, men er ikke kjent eller praktisert konsistent i alle deler av organisasjonen.

🟠

Eksisterer formeltVi har en instruks, men er usikre på om den brukes.

🔴

Fungerer ikkeVi har ikke fungerende avviksbehandlingsprosess. Ansatte vet ikke hvor/hvordan å melde.

Risikovurdering – fungerer den som styringsmekanisme?

🟢

Fungerer dokumentertRisikovurdering er aktuell, oppdateres systematisk, og er ledelsesforankret.

🟡

Fungerer i hovedtrekkRisikovurdering finnes, men er ikke fullt oppdatert eller dekker ikke alle risikokategorier.

🟠

Eksisterer formeltVi har et risikovurderingsdokument, men det er gammelt eller ikke i aktiv bruk.

🔴

Fungerer ikkeVi har ikke aktuell risikovurdering eller fungerende prosess for å oppdatere den.

Beskrivelse av kjerneprosessenes funksjon og eventuelle gap

Modul 2 – Strategisk analyse og risikovurdering

ISO 9001/45001 § 9.3.2 c-f: Vurdering av risikobilde, systemets egnethet, risiko-appetitt, scenarier, beredskap.

Modul 2 er ledelsens vurderingsarbeid. Med datagrunnlaget fra Modul 1 etablert, tar ledelsen aktivt stilling: Hva er risikobildet? Er systemet egnet? Hvilken risiko-appetitt vedtar vi? Hva med worst case? Har vi beredskap? Er spesielle risikoområder håndtert?

2.1 Risikobildet

Ledelsens dokumenterte forståelse av hvilke vesentlige trusler virksomheten faktisk står overfor – akkurat nå.

📖 Veiledning og hjemler – klikk for å åpne

Hvorfor dette punktet?

Risikobildet er ledelsens dokumenterte forståelse av hvilke vesentlige trusler virksomheten faktisk står overfor – akkurat nå. Dette er noe annet enn risikovurderingen som dokument: dokumentet er et historisk arbeid, mens risikobildet er en levende vurdering på det tidspunktet ledelsens gjennomgang gjennomføres.

En virksomhet kan ha en flott risikovurdering fra 2023 og likevel være risikoblind i 2026. Det fordi rammebetingelsene (ref. 1.5), avviksbildet (ref. 1.6) og prosessfunksjonen (ref. 1.8) endrer seg løpende, og fordi risiko ikke er statisk. Risikobildet er det som binder Modul 1 (hva vet vi) til resten av Modul 2 (hva betyr det).

Hvorfor må styret og ledelsen vite dette?

Aksjeloven § 6-12 fjerde ledd pålegger styret å påse "betryggende kontroll", og dette er ikke mulig uten at styret kjenner det risikobildet kontrollen skal være betryggende mot.

ISO 9001/45001 § 6.1 forutsetter at risiko er identifisert og forstått. Internkontrollforskriften § 5 nr. 6 stiller direkte krav om at virksomheten "kartlegger farer og problemer og på denne bakgrunn vurderer risiko".

Et særlig poeng: risikobildet er ledelsens egen vurdering, ikke en gjengivelse av et dokument. Hvis ledelsen kun viser til et risikoregister uten å ha tatt eierskap til vurderingen i dette møtet, har ikke ledelsen vurdert risiko – den har henvist til at noen andre har gjort det.

Hva er risiko og konsekvens?

Risikoblindhet: Beslutninger fattes uten at trusselbildet er forstått.

Akkumulert risiko: Risikoer som ikke er identifisert vokser uavbrutt. Cybertrusler, regulatoriske endringer, leverandørrisiko – alle utvikler seg gradvis og slår inn akkumulert.

Beslutninger uten grunnlag: Risiko-appetitten i 2.3, scenariene i 2.4, beredskapen i 2.5, og beslutningene i Modul 3 hviler alle på risikobildet. Et udokumentert risikobilde gjør alle disse punktene formelt korrekte, men reelt uten innhold.

Personlig ansvar: Aksjeloven § 17-1 har vesentlig lavere terskel når risiko var kjent og ikke håndtert. "Vi visste ikke" er et svakt forsvar når årsaken er at man aldri sjekket.

Prinsipp

Risikobildet er ledelsens redegjørelse for hva som kan ramme oss, hvor sannsynlig det er, og hvor alvorlig det vil være. Det skal ta utgangspunkt i de faktiske forhold som er fremkommet i Modul 1.

HMS og arbeidsmiljø – vesentligste identifisert risiko

Økonomi og finans – vesentligste identifisert risiko

Omdømme og merkevare – vesentligste identifisert risiko

Kontrakt og juridisk – vesentligste identifisert risiko

ESG og bærekraft – vesentligste identifisert risiko

Endringer i risikobildet siden forrige gjennomgang

Status på risikobildet – samlet vurdering

🟢

Fullt forstått og dokumentertRisikobildet er aktivt vurdert av ledelsen i denne perioden, basert på datagrunnlaget i Modul 1.

🟡

Hovedbildet kjentRisikobildet er vurdert, men deler er ikke systematisk gjennomgått.

🟠

Registrert, ikke vurdertVi viser til tidligere risikoregister, ikke til ledelsens egen aktive vurdering nå.

🔴

Mangler grunnlagVi har ikke tilstrekkelig grunnlag til å vurdere risikobildet aktivt.

2.2 Egnethet og tilstrekkelighet

Er styringssystemet "fit for purpose", og har vi nok ressurser (folk/tid/kompetanse/verktøy) til at det faktisk fungerer?

📖 Veiledning og hjemler – klikk for å åpne

Hvorfor dette punktet?

Egnethet og tilstrekkelighet er to forskjellige spørsmål: Egnethet handler om systemet er innrettet riktig for vår virksomhet, vår bransje, vår størrelse, vår risikoeksponering. Tilstrekkelighet handler om vi har nok ressurser (mennesker, tid, kompetanse, verktøy) til at systemet faktisk kan fungere.

Begge spørsmålene må besvares. ISO 9001/45001 pkt. 9.3.2 c) krever eksplisitt vurdering av "the suitability, adequacy, and effectiveness of the management system".

Hvorfor må styret og ledelsen vite dette?

Et utilstrekkelig styringssystem er en av de tyngste grunnene til at A-avvik dukker opp. Et uegnet styringssystem er enda farligere, fordi ressursene som settes inn ikke gir tilsvarende styringsverdi.

Aksjeloven § 6-12 første ledd pålegger styret "forvaltningen av selskapet" og fjerde ledd "tilsyn med daglig ledelse og selskapets virksomhet". Disse pliktene kan ikke oppfylles dersom styret aldri har vurdert om virksomheten har det styringssystemet den faktisk trenger.

Hva er risiko og konsekvens?

Falsk dokumentasjon av kontroll: Et utilstrekkelig system genererer dokumentasjon som ser komplett ut, men reflekterer ikke faktisk kontroll.

Utbrent internkontrollansvarlig: Et system uten ressurser hviler typisk på én person som strekker seg langt. Når denne personen blir syk, slutter eller gir opp, kollapser hele kontrollen.

Sertifiseringstap: ISO-sertifisering kan ikke opprettholdes med utilstrekkelig ressursnivå over tid.

Personlig ansvar: Styremedlemmer som har akseptert utilstrekkelig ressursnivå – ofte under press for kostnadskontroll – kan etter Aksjeloven § 17-1 holdes ansvarlige.

Prinsipp

"Vi har det vi trenger" er ikke en vurdering – det er en uttalelse. Vurderingen skal kunne svare på: hvilke ressurser har vi, hvilke krav stiller systemet, hvilket gap eksisterer, og hva er konsekvensen av gapet?

Egnethet og tilstrekkelighet – samlet vurdering

🟢

Fullt forstått og dokumentertSystemet er egnet, og vi har dokumenterte ressurser. Ingen kjente gap.

🟡

Hovedbildet kjentSystemet er i hovedsak egnet, men ressursnivået er marginalt eller har gap på enkelte områder.

🟠

Registrert, ikke vurdertVi har ikke aktivt vurdert egnethet eller tilstrekkelighet, men antar at det "går rundt".

🔴

Mangler grunnlagSystemet er ikke egnet, eller ressurser er åpenbart utilstrekkelige.

Vurdering av egnethet og identifiserte ressursgap

2.3 Operasjonalisert risiko-appetitt

Ledelsen vedtar appetitt per kategori på 3-delt skala. Dette er en bindende styringsbeslutning, ikke en preferanse.

📖 Veiledning og hjemler – klikk for å åpne

Hvorfor dette punktet?

Risiko-appetitt er ledelsens uttrykte vilje til å akseptere risiko i ulike kategorier. I praksis er dette ofte et honnørord ("vi har lav appetitt for risiko") som ikke gir styringskraft. Operasjonalisert risiko-appetitt betyr noe annet: ledelsen tar konkret stilling, per kategori, og angir hva som skal være regelen for hvordan risiko håndteres på det området.

Skalaen

Nulltoleranse – ingen risiko aksepteres. Forebyggende tiltak skal hindre at hendelser oppstår overhodet. Brudd på nulltoleranse er et selvstendig avvik. Typisk for liv-og-helse-områder, alvorlige lovbrudd, korrupsjon.

Betinget aksept – risiko aksepteres kun dersom konkrete vilkår er oppfylt: barrierer er på plass, ansvar er definert, kompenserende kontroller eksisterer. Brudd på vilkårene utløser eskalering.

Akseptabel risiko – risiko ligger innenfor ordinær forretningsdrift. Det kreves overvåking, men ikke spesielle kontroller utover det normale.

Hvorfor må styret og ledelsen vite dette?

Et styre som ikke har vedtatt risiko-appetitt har overlatt til 1. og 2. linje å avgjøre hvilken risiko som er akseptabel. Det er en ansvarsfraskrivelse som rammer både styret og daglig leder personlig.

Aksjeloven § 6-12 første ledd om forvaltningen krever at styret tar stilling – ikke at det "godkjenner det administrasjonen foreslår".

Hva er risiko og konsekvens?

Drift uten styring: Hver beslutning som har risikodimensjon blir en isolert vurdering uten styringsmandat.

Etterskuddsvis ansvarsplassering: Når noe går galt blir ansvarsplasseringen tilfeldig.

Manglende eskaleringsklarhet: Saker som burde vært på styrebordet ligger på linjeledernivå.

Personlig ansvar: "Vi hadde ikke tatt stilling" er svakere enn "vi vurderte og aksepterte" – fordi det førstnevnte tilsvarer at styret ikke gjorde jobben.

Prinsipp

For hver risikokategori skal ledelsen ta aktiv stilling, ikke "ikke ta stilling". Hvis appetitten er "betinget", må vilkårene navngis. En risiko-appetitt-matrise uten begrunnede valg er ikke styring – det er pynt.

Skala: Nulltoleranse: Ingen risiko aksepteres · Betinget aksept: Risiko aksepteres kun dersom spesifikke vilkår er oppfylt · Akseptabel risiko: Risiko ligger innenfor ordinær forretningsdrift

Kategori	Risiko-appetitt
HMS & Arbeidsmiljø Liv og helse – ofte nulltoleranse
Økonomi & Finans Likviditet, kontraktsrisiko, svindel
Omdømme & Merkevare Kundetap, medieoppslag
Kontrakt & Juridisk Mislighold, erstatning, regelbrudd
ESG & Bærekraft Miljø, sosiale forhold, governance

💡 Merk: ESG vurderes både som egen risikokategori og som tverrgående styringsrisiko (koblet til omdømme, kontraktskrav og kapitaltilgang).

Endring fra forrige gjennomgang og begrunnelse for valg

2.4 Scenario- og stresstesting

Hva skjer hvis det verste materialiserer seg? Har vi en plan, eller skal vi finne den ut underveis?

📖 Veiledning og hjemler – klikk for å åpne

Hvorfor dette punktet?

Risikobildet (2.1) og risiko-appetitten (2.3) er statiske vurderinger. Scenario- og stresstesting er det dynamiske motstykket: hva skjer hvis det verste materialiserer seg? Har vi en plan, eller skal vi finne den ut underveis?

Dette er den disiplinen som skiller virksomheter som har vurdert risiko fra virksomheter som har registrert risiko.

Hvorfor må styret og ledelsen vite dette?

Aksjeloven § 6-12 fjerde ledd om tilsynsplikten innebærer at styret skal kunne vurdere virksomheten på et grunnlag som dekker mer enn dagens øyeblikksbilde.

Stresstesting er også en av de kraftigste teknikkene for å avdekke hull i styringssystemet før de gir hendelser.

Hva er risiko og konsekvens?

Lammelse i krise: Virksomheter som ikke har gjennomtenkt hva de skal gjøre, gjør typisk feil i de første 24–48 timene av en krise.

Reaktivitet i stedet for proaktivitet: En virksomhet uten scenarier reagerer på det som har skjedd.

Personlig ansvar: Når en hendelse inntreffer som var rimelig forutsigbar, vil granskere alltid spørre: "Var dette vurdert?"

Prinsipp

Scenario-vurderingen skal være konkret. "Vi har god beredskap" er ikke et scenario – det er en påstand. Scenariet er: "Hvis Y inntreffer på mandag morgen, gjør vi X innen Z, kontaktet av A, koordinert av B."

⚡ Worst-case scenarier

Hvis det største A-avviket materialiserer seg – hva er maks konsekvens?

Hvis ingen nye ressurser tilføres – hvilke krav brytes først?

Hvis risiko-appetitten overskrides – har vi en definert eskaleringsplan?

✅

Ja – dokumentert plan finnesHvem varsles, hva utløses, innen hvilken tid

❌

Nei – må utarbeidesEskalering vil måtte improviseres

Status på scenario-arbeidet – samlet vurdering

🟢

Fullt forstått og dokumentertWorst case-scenarier er gjennomarbeidet, eskaleringsplan finnes.

🟡

Hovedbildet kjentHovedscenarier er vurdert, men eskaleringsplan eller bordøvelse mangler.

🟠

Registrert, ikke vurdertVi har ikke gjennomført scenario-tenking aktivt i denne perioden.

🔴

Mangler grunnlagWorst case er ikke vurdert.

2.5 Beredskap og krisehåndtering

Plan, øving og ressurser for nødssituasjoner – inkludert GDPR-varsling, evakuering, brann, IT-hendelser.

📖 Veiledning og hjemler – klikk for å åpne

Hvorfor dette punktet?

Beredskap er forskjellen mellom et styringssystem som forebygger og et styringssystem som forebygger og responderer. De fleste hendelser kan ikke unngås helt – det som skiller virksomheter, er hvordan de håndterer hendelser når de først oppstår.

Beredskap er ikke det samme som scenario-tenking (2.4). Scenarier er ledelsens vurdering av hva som kan skje. Beredskap er virksomhetens praktiske forberedelse: planer, roller, kontaktlister, øvelser, ressurser.

Hvorfor må styret og ledelsen vite dette?

Beredskapskrav er nedfelt i flere kilder, ofte mer eksplisitt enn ledelsen er klar over: AML § 3-2 (førstehjelp/evakuering), Internkontrollforskriften § 5 nr. 6, ISO 45001 pkt. 8.2, GDPR art. 33–34 (72-timersfrist), brann- og eksplosjonsvernloven §§ 4–6, NIS2-direktivet (under implementering), bransjespesifikke krav.

Hva er risiko og konsekvens?

Forsterking av krise: En krise hvor responsen er dårlig, blir typisk dobbelt så dyr og tre ganger så lang.

Personskade og dødsfall: Manglende evakueringsplan eller førstehjelpsberedskap har vært direkte årsak til personskader som kunne vært unngått.

Bortfall av forsikringsdekning: Forsikringsavtaler har typisk klausuler om "etablert beredskap".

Personlig ansvar: Etter ulykker vil ledelsens beredskapssvikt gjerne være mer alvorlig juridisk enn selve hendelsen.

Prinsipp

Beredskap måles i tre dimensjoner: plan (finnes den), øving (er den prøvd), og ressurser (har vi det vi trenger). En plan uten øving er en hypotese.

Beredskap – samlet vurdering

🟢

Fullt forstått og dokumentertBeredskapsplaner foreligger, er øvet og ressurssatt for de identifiserte nødssituasjoner.

🟡

Hovedbildet kjentPlaner finnes, men er ikke nylig øvet eller dekker ikke alle nødssituasjoner.

🟠

Registrert, ikke vurdertPlandokumenter finnes, men er ikke verifisert som operative.

🔴

Mangler grunnlagIngen plan eller mangelfull dekning av kjente nødssituasjoner.

Identifiserte nødssituasjoner og status på beredskap

GDPR – varslingsrutine ved personvernhendelser (72-timersfristen)

✅

EtablertSkriftlig instruks med ansvar, fremgangsmåte og kontaktpersoner

❌

Mangler72-timersfristen kan ikke overholdes ad hoc

2.6 Personvern, varsling og tredjepartsrisiko

Tre risikoområder hvor strukturen er det selvstendige lovkravet – ikke bare det underliggende.

📖 Veiledning og hjemler – klikk for å åpne

Hvorfor dette punktet?

Tre risikoområder har de siste årene flyttet seg fra "spesialfag" til "ledelsesplikt": personvern (GDPR), varsling (AML kap. 2A) og tredjepart (åpenhetsloven, NIS2 og kontraktsrelatert leverandørrisiko). De har det til felles at:

– Lovkravene er konkrete og dokumentasjonskrevende.
– Manglende oppfyllelse oppdages typisk eksternt før virksomheten selv ser det.
– Ansvar er klart plassert hos ledelsen, og personlig eksponering er reell.
– "Vi har ikke hatt slike saker" er ikke et bevis på at systemet fungerer.

Personvern (GDPR)

Behandlingsprotokoll (art. 30), DPIA der relevant (art. 35), databehandleravtaler (art. 28), avvikshåndtering (art. 33–34), de registrertes rettigheter (art. 12–22), informasjonsplikt (art. 13–14), personvernombud der pålagt (art. 37). Personopplysningsloven implementerer GDPR i norsk rett.

Varsling (AML kap. 2A)

Varslingsrutine er obligatorisk for virksomheter med 5 eller flere ansatte. Rutinen skal være skriftlig, kjent for alle ansatte, og sikre forsvarlig saksbehandling. Manglende rutine er selvstendig lovbrudd.

Tredjepartsrisiko

Åpenhetsloven krever aktsomhetsvurderinger for omfattede virksomheter (omsetning over 70 mill. kr eller etter andre kriterier). NIS2 (under implementering) vil stille krav om leverandørkjedesikkerhet. Kontraktsrettslig risiko fra leverandører som ikke etterlever krav, kan skade virksomheten direkte.

Hva er risiko og konsekvens?

Personvern: Datatilsynet har myndighet til å pålegge gebyrer på inntil 4 % av global årsomsetning eller 20 mill. EUR.

Varsling: En varslingssak uten rutine eskalerer raskt. Etterforskningen vil typisk fokusere på styrets unnlatelse.

Tredjepart: En leverandørs lovbrudd kan bli virksomhetens ansvar når aktsomhetsvurdering ikke er utført.

Prinsipp

På disse områdene er den dokumenterte strukturen halve oppfyllelsen. Manglende struktur er ikke "noe vi får tatt fatt i" – det er pågående lovbrudd.

Personvern (GDPR) – status

🟢

Fullt forstått og dokumentertBehandlingsprotokoll, databehandleravtaler, avvikshåndtering, registrertes rettigheter – på plass og oppdatert.

🟡

Hovedbildet kjentDet meste er på plass, men enkelte elementer mangler eller er utdatert.

🟠

Registrert, ikke vurdertVi behandler personopplysninger, men har ikke verifisert struktur.

🔴

Mangler grunnlagSentrale GDPR-elementer mangler. Pågående lovbrudd.

Varsling (AML kap. 2A) – status

🟢

Fullt forstått og dokumentertSkriftlig varslingsinstruks, kjent for ansatte, oppdatert. Eller: under 5 ansatte og ikke pålagt.

🟡

Hovedbildet kjentInstruks finnes, men er ufullstendig eller ikke kommunisert til alle ansatte.

🟠

Registrert, ikke vurdertVi har en uformell praksis, men ikke skriftlig instruks.

🔴

Mangler grunnlagIngen varslingsinstruks – pågående lovbrudd hvis vi har 5+ ansatte.

Tredjepart (åpenhetslov, NIS2, leverandørrisiko) – status

🟢

Fullt forstått og dokumentertAktsomhetsvurdering der pålagt. Leverandørkrav vurdert. Risiko håndtert.

🟡

Hovedbildet kjentHovedleverandører er vurdert, men ikke alle, og dokumentasjonen kan være ufullstendig.

🟠

Registrert, ikke vurdertVi kjenner våre leverandører, men har ikke gjort formell risikovurdering.

🔴

Mangler grunnlagIngen aktsomhetsvurdering der det er pålagt. Tredjepartsrisiko ikke håndtert.

Beskrivelse av status og tiltak på de tre områdene

Modul 3 – Beslutninger og forpliktelser

ISO 9001/45001 § 9.3.3: Outputs fra ledelsens gjennomgang. Hva ledelsen forplikter seg til å gjøre.

Modul 3 dokumenterer hva ledelsen gjør med det den vet og har vurdert. Modul 1 dokumenterte hva virksomheten vet. Modul 2 dokumenterte hva ledelsen mener om det. Dette er disiplinen som skiller en gjennomgang som har styringsverdi fra en gjennomgang som er en formalitet.

📋 Decision Quality Check (DQC)

Hver beslutning i Modul 3 skal oppfylle tre kvalitetskrav. Beslutninger som ikke oppfyller alle tre er ikke beslutninger – de er intensjoner.

De tre kvalitetskravene:
Tidsatt – det er definert når tiltaket skal være gjennomført
Forankret – det er navngitt hvem som er ansvarlig, og personen er kjent med ansvaret
Etterprøvbart – det er definert hvordan gjennomføring skal kunne dokumenteres

3.1 Reviderte instrukser

Konkrete endringer i instrukser, prosedyrer eller styrende dokumenter som følge av gjennomgangen.

📖 Veiledning og hjemler – klikk for å åpne

Når brukes dette punktet?

3.1 brukes når Modul 1 eller Modul 2 har avdekket et A-avvik (systemsvikt) som krever at en instruks endres eller etableres. Eksempler: en gjennomførings- eller kvalitetssikringsinstruks mangler, en eksisterende instruks er utdatert eller feil, eller et lovkrav er ikke operasjonalisert i form av en konkret instruks.

A-avvik som handler om manglende ressurser, bemanning eller kompetanse hører ikke hjemme her – de skal til 3.2. B-avvik (etterlevelsessvikt) hører heller ikke hjemme her – de skal til 3.3.

Hvorfor dette punktet?

Instrukser, prosedyrer og styrende dokumenter er styringssystemets nervesystem. Når vurderingene i Modul 1 og 2 har avdekket avvik, gap eller endringsbehov, er det her endringene konkretiseres til faktisk endret praksis.

Dette er også det vanligste stedet for symbolsk styring: at man "vedtar" å oppdatere en instruks uten å si hvilken, hvordan, eller hvem som skal gjøre det. Resultatet er at ingenting endrer seg, mens protokollen viser at ledelsen "behandlet saken".

Hvorfor må styret og ledelsen vite dette?

Internkontrollforskriften § 5 nr. 7 krever skriftlig dokumentasjon av instrukser. Når en instruks endres, må endringen dokumenteres – ny versjon, dato for ikrafttredelse, eventuell opplæring av berørte. ISO 9001/45001 § 7.5.3 har eksplisitte krav til styring av dokumentert informasjon.

Aksjeloven § 6-12 om forvaltningsansvar innebærer at styret skal sørge for at virksomhetens organisering, herunder instrukser, faktisk fungerer. Et styre som vedtar å "se på" instruksene har ikke besluttet noe – det har bedt om en utredning.

Hva er risiko og konsekvens?

Avvik som gjentar seg: Hvis et avvik i Modul 1 ikke møtes med konkret endring av instruks, vil samme avvik komme igjen.

Inkonsistent praksis: Når instrukser endres uformelt eller delvis, oppstår parallelle versjoner i organisasjonen.

Personlig ansvar: En leder som vet om at en instruks er mangelfull og ikke oppdaterer den, har bevisst opprettholdt en kjent svakhet.

Prinsipp

Hver instruks-endring skal beskrives konkret – hvilken instruks, hva endres, hvorfor, og hvordan endringen kommuniseres til de som skal følge den. En "endring av instrukser" uten spesifikasjon er ikke en endring.

✏️ Vedtatt endring av instruks

Prosesseier: — ikke valgt —

Hvilken instruks, hva endres, hvorfor, og hvordan kommuniseres endringen?

Ansvarlig prosesseier

Frist

Tidsatt Forankret Etterprøvbart

3.2 Ressurser, bemanning og kompetanse

Konkret beslutning om bemanning, kompetanse, organisasjonsendring eller annen ressurstilpasning – som svar på vurderingen i 2.2.

📖 Veiledning og hjemler – klikk for å åpne

Når brukes dette punktet?

3.2 brukes når 2.2 (egnethet og tilstrekkelighet) har avdekket ressurssvakhet, eller når 1.3 (roller og ansvar) har avdekket at sentrale roller er ubesatte. Eksempler: bemanningen er underdimensjonert, kompetanse mangler på et område, et lovpålagt rolleforhold er ikke besatt (verneombud, brannvernleder, personvernombud), eller det er behov for organisasjonsmessig endring.

3.2 handler om at vi har systemet, men mangler ressurser til å drive det. Hvis selve systemet er feil eller mangler instruks, hører saken til 3.1.

Hvorfor dette punktet?

Vurderingen i 2.2 om egnethet og tilstrekkelighet får sin praktiske oppfølging her. Hvis ressursgap er identifisert, er det Modul 3 som omsetter erkjennelsen til faktiske beslutninger om bemanning, kompetanse, organisasjonsendring eller annen tilpasning.

Beslutninger om ressurser har en spesielt skarp egenskap: de involverer prioriteringer som styret selv må ta stilling til. Det er ikke en beslutning som kan delegeres ned i organisasjonen, fordi den binder styringssystemets samlede kapasitet.

Hvorfor må styret og ledelsen vite dette?

Aksjeloven § 6-12 omfatter eksplisitt at styret skal "fastsette planer og budsjetter for selskapets virksomhet" (annet ledd). Selv om dette verktøyet ikke håndterer kronebeløp, er prinsippet det samme: ressursrammene som styringssystemet skal opereres innenfor, må styret aktivt ta stilling til. Manglende stillingtaken er ikke et nøytralt valg – det er et valg om å forbli innenfor dagens rammer, og må derfor begrunnes.

Daglig leder har etter § 6-14 ansvaret for "den daglige ledelse" og må påse at virksomheten har "betryggende kontroll". En daglig leder som vet at bemanningen ikke er tilstrekkelig, men ikke fremmer saken for styret, har ikke utøvd dette ansvaret tilbørlig.

Hva er risiko og konsekvens?

Stille forfall: Et utilstrekkelig bemannet styringssystem vil over tid generere flere avvik, færre kontroller, og dårligere dokumentasjon.

Personlig ansvar: Når en hendelse inntreffer som tydelig kan tilskrives ressursmangel, vil etterforskningen alltid spørre: "Var ressursmangelen kjent? Ble den løftet til styret? Hva besluttet styret?"

Bemanningsrelaterte avvik: Mangel på verneombud, brannvernleder, personvernombud eller andre lovpålagte roller (jf. 1.3) er pågående lovbrudd som hver dag akkumulerer ansvar.

Prinsipp

Ressursbeslutninger skal være konkrete: hvilken rolle eller kompetanse, hva er behovet begrunnet i, hvilken tidsramme, og hvem har ansvaret for gjennomføring. "Vurdere bemanningen" er ikke en beslutning – det er utsettelse.

👥 Vedtatt ressursbeslutning

Ansvarlig: — ikke valgt —

Hvilken rolle, kompetanse eller organisasjonsendring – og begrunnelse

Ansvarlig

Frist

Tidsatt Forankret Etterprøvbart

3.3 Sanksjonering og korrigering

Når B-avvik er identifisert (etterlevelsessvikt, kulturelle mønstre): hvilken ledelsesrespons besluttes?

📖 Veiledning og hjemler – klikk for å åpne

Når brukes dette punktet?

3.3 brukes når 1.6 har avdekket et B-avvik (etterlevelsessvikt) – et kulturelt eller systematisk mønster av at eksisterende instrukser ikke følges. Eksempler: gjentatte brudd på avviksregistreringsinstruks, manglende bruk av sjekklister, manglende deltakelse i obligatorisk opplæring, gjentatt avvik fra HMS-rutiner.

Skillet mellom 3.1 og 3.3 er fundamentalt: 3.1 brukes når selve instruksen er feil eller mangler (A-avvik). 3.3 brukes når instruksen finnes og er riktig, men blir ikke fulgt (B-avvik). Sistnevnte krever respons mot atferd, ikke mot system.

Hvis 1.6 ikke har identifisert B-avvik, er punktet ikke aktuelt for denne gjennomgangen.

Hvorfor dette punktet?

Når B-avvik (etterlevelsessvikt) er identifisert i 1.6 – kulturelt mønster av at instrukser ikke følges – kreves det ledelsesrespons som går utover å oppdatere instruksen. Instruksen var jo der; problemet er at den ikke ble fulgt. Da må respons rette seg mot atferd: opplæring, tydeliggjøring av forventning, oppfølging i linje, og i alvorlige tilfeller arbeidsrettslige reaksjoner.

Dette er ofte den ubehageligste delen av styringssystem-arbeidet, og derfor den som hyppigst utsettes.

Hvorfor må styret og ledelsen vite dette?

Aksjeloven § 6-12 fjerde ledd om "betryggende kontroll" forutsetter at avvik fra instrukser får konsekvenser. Hvis brudd aldri sanksjoneres, har instruksene reelt ingen styringskraft.

Sanksjonering skal alltid skje innenfor gjeldende arbeidsrettslige rammer: AML kap. 15 om opphør av arbeidsforhold, drøftingsplikt før individuelle reaksjoner, forholdsmessighetsprinsipp, tariffavtaler. HR skal alltid konsulteres før personalmessige sanksjoner.

Hva er risiko og konsekvens?

Mønstre forsterkes: Når brudd ikke får konsekvens, lærer organisasjonen at brudd er akseptable.

Andre ansatte rammes: Den ansatte som ikke følger instruksene oppleves som premiert, mens den som følger dem oppleves som dum.

Lovbrudd glir gjennom: Etterlevelsessvikt på lovregulerte områder blir over tid lovbrudd som virksomheten har akseptert.

Personlig ansvar: Styret og daglig leder kan etter § 17-1 holdes ansvarlige for skader som oppstår fordi etterlevelsessvikt ikke ble adressert.

Prinsipp

Sanksjonsbeslutninger skal være konkrete: hvilket B-avvik, hvilken respons, hvilken tidsramme, og hvilken oppfølging. "Følge opp etterlevelse" er ikke en beslutning – det er en intensjon.

⚠️ HR-konsultasjon obligatorisk ved personalmessige sanksjoner. Brudd på arbeidsrettslige rammer kan koste mer enn det opprinnelige avviket. Drøftingsplikt, forholdsmessighet og tariffavtaler skal alltid vurderes før vedtak.

⚖️ Vedtatt sanksjon eller korrigering

Ansvarlig linjeleder: — ikke valgt —

Hvilket B-avvik, hvilken respons

Ansvarlig linjeleder

Frist

HR er konsultert før vedtak (obligatorisk ved personalmessige sanksjoner)

Tidsatt Forankret Etterprøvbart

3.4 Oppdaterte mål

Mål for kommende periode, koblet til risikobildet (2.1) og risiko-appetitten (2.3).

📖 Veiledning og hjemler – klikk for å åpne

Hvorfor dette punktet?

Mål er ledelsens uttrykk for hva virksomheten skal oppnå – og dermed målestokken som senere gjennomganger skal vurderes mot. Uten oppdaterte og forankrede mål blir ledelsens gjennomgang en serie isolerte øyeblikksbilder uten retning.

Mål skal kobles til risikobildet (2.1) og risiko-appetitten (2.3). Hvis virksomheten har vedtatt nulltoleranse for HMS-risiko, skal dette gjenspeiles i konkrete HMS-mål.

Hvorfor må styret og ledelsen vite dette?

ISO 9001/45001 § 6.2 stiller eksplisitte krav til at virksomheten "establish quality/OHS objectives at relevant functions, levels, and processes". Disse målene skal være konsistente med politikk, målbare, overvåkede, kommunisert, oppdatert.

Aksjeloven § 6-12 annet ledd om at styret skal "fastsette planer" innebærer at retning settes formelt. Mål som ikke er styrebehandlet er ikke virksomhetens mål – de er administrasjonens preferanser.

Hvis mål endres fra forrige gjennomgang, skal endringen begrunnes. Det som ikke er legitim grunn, er at målene var ubehagelige og derfor stille fjernes uten begrunnelse.

Hva er risiko og konsekvens?

Drift uten retning: Virksomheten styrer på dagsorden i stedet for strategi.

Mål som "glir": Når mål endres uformelt eller stille, mister de sin styringskraft.

Sertifisering i fare: ISO-sertifiseringer kan trekkes ved dokumenterte avvik fra § 6.2.

Prinsipp

Mål skal være konkrete nok til å være målbare, og oppdaterte nok til å reflektere dagens virkelighet. Hvis mål endres, skal endringen begrunnes synlig i rapporten – ikke gjøres usynlig.

🎯 Mål for kommende periode

Ansvarlig: Toppledelsen

Konkrete mål for kommende periode

Endringer fra fjorårets mål – med begrunnelse

Frist for første statusvurdering

Tidsatt Forankret Etterprøvbart

Godkjenning, rest-risiko og signering

Bindende avslutning av ledelsens gjennomgang – juridisk relevant dokumentasjon.

⚖️ Prinsippet som ligger til grunn for hele rapporten

Denne rapporten er skrevet etter prinsippet om at forhold som ikke er dokumentert å være i orden, må i styringssystemsammenheng antas å være ikke-i-orden. Dette er ikke en streng tolkning – det er kjernekravet i ISO 9001/45001 pkt. 7.5, Internkontrollforskriften § 5 nr. 7, fast tilsynspraksis og rettslig bevisvurdering.

Felter merket "ikke dokumentert" eller "AVVIK" representerer reelle styringsavvik som krever oppfølging, uavhengig av om den underliggende situasjonen i praksis kan være tilfredsstillende. Bevisbyrden for at internkontroll har fungert ligger hos virksomheten, ikke hos tilsynsmyndigheten, kunden, eller skadelidte.

Styremedlemmer og daglig leder bes ved signering bekrefte at de har lest og forstått rapporten i sin helhet, og at signeringen innebærer eksplisitt aksept av identifiserte risikoer og dokumentasjonsmangler. Aksjeloven § 6-12 og § 6-13 kan ikke oppfylles ved formell signering uten reell innsikt – og signering uten innsikt skifter ikke ansvaret bort fra signataren.

📊 Tilsynsklarhetsindeks

Automatisk beregnet oversikt over hvor mange av rapportens obligatoriske elementer som kan dokumenteres ved tilsyn.

Tilsynsklarhetsindeks

0 av 0 obligatoriske elementer dokumentert

💡 Hva indeksen betyr: Den svarer på det enkleste spørsmålet et tilsyn vil stille – "Hvis Arbeidstilsynet, Datatilsynet eller revisor banker på i morgen og ber om dokumentasjon på ledelsens gjennomgang, hvor mye kan virksomheten vise frem?" Indeksen er ikke en karakter – den er en ærlig sammenstilling av hva som er dokumentert. En lav indeks betyr ikke at virksomheten gjør dårlig arbeid – den betyr at virksomheten ikke kan dokumentere at den gjør godt arbeid. I styringssystemsammenheng er forskjellen avgjørende.

5.3 Rest-risiko-aksept

Etter at ovenstående tiltak er vedtatt, må gjenværende rest-risiko aksepteres aktivt av styret og toppledelsen.

📖 Veiledning og hjemler – klikk for å åpne

Fra "vi visste ikke" til "vi visste, og valgte"

Etter at ovenstående tiltak er vedtatt, vil det fortsatt være gjenværende rest-risiko. Dette er normalt – risiko kan reduseres, ikke elimineres. Men rest-risikoen må aksepteres aktivt av styret og toppledelsen, slik at ansvaret flyttes fra "vi visste ikke" til "vi visste, og valgte".

Dette skiftet er juridisk avgjørende. En virksomhet som har akseptert rest-risiko har vurdert og besluttet. En virksomhet som ikke har gjort det, har bare videreført driften. Forskjellen merkes umiddelbart hvis rest-risikoen materialiserer seg.

Hjemler

Aksjeloven § 17-1 har vesentlig høyere terskel for ansvar når risiko er kjent, vurdert og akseptert. Den har vesentlig lavere terskel når risiko bare er videreført uten aktivt valg.

ISO 9001/45001 forutsetter at risikohåndtering er bevisst. Akseptert rest-risiko er bevisst risikohåndtering. Uakseptert rest-risiko er ikke risikohåndtering – det er passivitet.

Bekreftelsen er bindende. Den kan ikke senere bortforklares som "vi forsto ikke hva vi signerte".

⚖️ Bindende rest-risiko-aksept

Styret og toppledelsen aksepterer eksplisitt den rest-risikoen som gjenstår etter at instruks-revisjoner (3.1), ressursbeslutninger (3.2), sanksjoneringer (3.3) og oppdaterte mål (3.4) er gjennomført. Vi har vurdert risikobildet (2.1), egnetheten (2.2), risiko-appetitten (2.3), worst case-scenarier (2.4), beredskapen (2.5) og spesielle risikoområder (2.6), og bekrefter at vi forblir i ordinær drift med åpen aksept av gjenværende risiko innenfor vedtatt appetitt.

Begrunnelse for aksept – konkret hvilken rest-risiko aksepteres, og hvorfor det er forsvarlig

5.4 Signaturer

Hver signatar bekrefter ved navn at rapporten er lest, forstått og at signering innebærer personlig ansvar.

📖 Veiledning og hjemler – klikk for å åpne

Signering binder personlig

Signering av denne rapporten er en juridisk handling, ikke en formalitet. Hver signatar bekrefter at:

– Rapporten er lest i sin helhet, ikke bare oppsummeringen
– Identifiserte avvik og dokumentasjonsmangler er forstått
– Aksept av rest-risiko er reelt ment, ikke pro forma
– Signataren tar personlig ansvar for sin del av oppfølgingen

Aksjeloven § 6-12 og § 6-13 plasserer ansvaret personlig hos hver styremedlem. Signering uten innsikt fritar ikke fra ansvar – den dokumenterer at signataren har påtatt seg ansvaret.

Det anbefales at hver signatar tar seg tid til å lese rapporten før signering, og at uavklarte spørsmål reises før signatur, ikke etter.

📝 Signaturer

Daglig leder – navn

Daglig leder – dato

Daglig leder bekrefter å ha lest hele rapporten og forstått innholdet, og er kjent med personlig ansvar etter Aksjeloven §§ 6-14, 17-1 og 19-1 samt Internkontrollforskriften § 5.

Styreleder – navn

Styreleder – dato

Styreleder bekrefter å ha lest hele rapporten og forstått innholdet, og er kjent med personlig ansvar etter Aksjeloven §§ 6-12, 6-13, 17-1 og 19-1.

Internkontrollansvarlig – navn (valgfritt)

Internkontrollansvarlig – dato

Verneombud – navn (valgfritt – for HMS-tunge virksomheter)

Verneombud – dato

5.5 Audit trail – juridisk dokumentasjon

Tidsstemplede handlinger gjennom verktøyets bruk. Kan brukes ved tilsyn for å vise at gjennomgangen ikke ble produsert i ettertid.

Hjemmel: Aksjeloven § 6-12 og § 6-13 forutsetter at styret kan dokumentere sin tilsynsutøvelse. Audit trail er en av de sterkeste dokumentasjonsformene tilgjengelig for digitale verktøy.

[venter på første handling...]

Endringer lagres automatisk lokalt