Begreper og definisjoner – GRC, virksomhetsstyring og internkontroll

Q: Hva betyr GRC og hvem bruker det?

GRC står for Governance, Risk and Compliance. Brukes av styrer, daglige ledere, compliance-ansvarlige, DPO-er og risk managere som integrerer virksomhetsstyring, risikostyring og etterlevelse i én helhetlig modell.

Q: Hva er COSO-rammeverket?

COSO er et internasjonalt rammeverk for internkontroll med fem komponenter: kontrollmiljø, risikovurdering, kontrollaktiviteter, informasjon og kommunikasjon, samt overvåking. Brukes som faglig fundament for styringssystemer i norske virksomheter.

Q: Hvem har ansvaret for internkontroll i en virksomhet?

Det overordnede ansvaret ligger hos styret. Daglig leder implementerer og vedlikeholder systemet. Internkontrollansvarlig koordinerer arbeidet, men linjelederne har ansvar for etterlevelse innen sine områder.

Q: Hva er forskjellen på et verneombud og en HMS-ansvarlig?

Verneombudet er en lovpålagt tillitsvalgt valgt av ansatte. HMS-ansvarlig er utpekt av arbeidsgiver med koordineringsansvar for HMS-arbeidet. De utfyller hverandre men har ulike mandat.

Norges mest komplette fagleksikon for GRC, virksomhetsstyring og internkontroll – med over 210 begreper. Begreper merket IS er kjerneelementene i IS-Modellen™.

1. Virksomhetsstyring, ledelse og kontekst

Virksomhetsstyring (Corporate Governance): Systemet for overordnet ledelse og kontroll av en virksomhet.

Styrets tilsynsplikt: Lovpålagt plikt til å påse at virksomheten er forsvarlig organisert.

Styreinstruks: IS Bindende regler for styrets arbeid, habilitet og saksbehandling.

Fullmaktsmatrise: IS Dokumentert oversikt over delegerte rettigheter til beslutninger.

Virksomhetens kontekst: Interne og eksterne rammeforutsetninger for styringen.

Interessentanalyse: Kartlegging av krav fra eiere, ansatte og kunder.

Mål- og resultatstyring (MRS): Styring basert på definerte mål og målbare resultater.

Ledelsens gjennomgang: IS Årlig strategisk evaluering av styringssystemets egnethet.

Habilitet: Krav om nøytralitet hos beslutningstakere.

Organisatorisk forsvarlighet: Rettslig krav til virksomhetens strukturering.

Signaturrett: Formell myndighet til å binde selskapet juridisk.

Prokura: Fullmakt til å handle på vegne av firmaet i vanlige forhold.

Eierstrategi: Dokumentert plan for eiernes langsiktige mål.

Vedtekter: Selskapets grunnleggende regler fastsatt av eiere.

Forretningsorden: Styrets plan for møtevirksomhet og årsplaner.

Compliance-funksjon: Rolle som overvåker etterlevelse av lover og regler.

Forvaltningsansvar: Styrets ansvar for å ivareta selskapsverdier aktsomt.

Hvitvaskingsprotokoll: IS Dokumentasjon av tiltak mot økonomisk kriminalitet.

Firmategningsrett: Hvem som kan opptre på vegne av foretaket utad.

Transparens: Graden av innsyn og åpenhet i virksomhetens styring.

Uavhengighet: Krav til at kontrollfunksjoner kan operere uten innblanding.

Strategisk risiko: Risiko knyttet til fundamentale feilvalg i retning.

Styringsmodell: Struktur for myndighetsutøvelse i en virksomhet.

Scope (Omfang): Avgrensning av hva styringssystemet dekker.

Kjerneverdier: Prinsipper som skal prege organisasjonskulturen.

Selskapsstrategi: Plan for å nå virksomhetens formål.

Sanksjonsrisiko: Faren for reaksjoner ved regelbrudd.

2. Risikostyring og tiltaksdesign

Risiko: Usikkerhet som påvirker mål, uttrykt som sannsynlighet multiplisert med konsekvens.

Restrisiko (Residual Risk): Risikoen som gjenstår etter at tiltak er iverksatt.

Risikoeier: IS Leder med ansvar for håndtering av en spesifikk risiko.

Risikoregister: IS Strukturert oversikt over trusler, tiltak og ansvarlige.

Beredskapsplan: IS Operative instrukser for krisehåndtering.

Risikovurdering: Systematisk prosess for å identifisere og vurdere risiko.

ROS-analyse: Risiko- og sårbarhetsanalyse.

Risikoappetitt: Nivået av risiko virksomheten er villig til å operere med.

Kontrollaktiviteter: Handlinger og prosedyrer som reduserer risiko.

Kontrollgap: Avvik mellom nødvendig og faktisk iverksatt kontroll.

Barriere: Hindring som stopper eller begrenser uønskede hendelser.

Scenarioanalyse: Gjennomgang av tenkte hendelsesforløp og konsekvenser.

Risikoaksept: Beslutning om å godta risiko uten ytterligere tiltak.

Detekterende kontroller: Tiltak som oppdager feil eller avvik.

Forebyggende kontroller: Tiltak som hindrer at avvik oppstår.

Risikoprofil: Virksomhetens samlede eksponering for risiko.

Inherent risiko: Risiko vurdert før tiltak er iverksatt.

Risikomatrise: Visuelt verktøy for prioritering av risikoer.

Beredskapsleder: Person som leder innsats ved krise.

3. Kravstyring og juridisk samsvar (compliance)

Samsvarsvurdering: Kontroll av om gjeldende krav etterleves.

Kravhierarki: Lov → Forskrift → Standard → Instruks.

Lovspeil: IS Kartlegging av hvordan lov er ivaretatt i instrukser.

Myndighetskrav: Ufravikelige regler fastsatt av myndigheter.

Virksomhetskrav: Krav fra eiere eller kunder, f.eks. SLA-krav.

Dokumentasjonskrav: Krav til skriftlig bevisføring og arkivering.

Gap-analyse: Kartlegging av forskjellen mellom krav og faktisk praksis.

Lovlighetskontroll: Verifisering av at beslutninger er lovlige.

Kontraktsstyring: Systematisk oppfølging av avtaler og forpliktelser.

Tilsynsprosess: Myndighetenes kontroll av virksomheten.

Rapporteringsplikt: Lovpålagt plikt til å informere myndigheter.

Preseptorisk lov: Ufravikelig lovgivning som ikke kan fravikes ved avtale.

Hjemmelsgrunnlag: Juridisk kilde som gir grunnlag for en handling.

Tredjepartsrisiko: Risiko knyttet til leverandører og samarbeidspartnere.

Legal Compliance: Tilstand hvor alle juridiske plikter er oppfylt.

Internkontrollforskriften: Forskrift som fastsetter rammer for HMS-styring.

Rettssikkerhet: Forutsigbarhet og beskyttelse mot vilkårlig myndighetsutøvelse.

4. Operative elementer og IS-metodikk

Instruks: IS Bindende må-dokument som angir hvordan en oppgave skal utføres.

Hjemling: IS Kobling av instrukser mot arbeidsavtalen og lovverket.

Instruksregister: IS Samlet oversikt over alle aktive instrukser og må-krav.

Sjekkliste: IS Verktøy for å dokumentere at en instruks er utført.

Avviksprotokoll: IS Lovpålagt register over feil, brudd og uregelmessigheter.

Stillingsinstruks: IS Operative krav og ansvar knyttet til en spesifikk rolle.

Policy (Prinsipp): Overordnede rammer og verdisyn for virksomheten.

Styrende dokumenter: Policyer og instrukser som angir krav.

Gjennomførende dokumenter: Sjekklister og maler for utførelse.

Kontrollerende dokumenter: Rapporter og logger som dokumenterer etterlevelse.

Styringsrett: Arbeidsgivers rett til å lede, fordele og kontrollere arbeidet.

Avvik: Manglende etterlevelse av lover, forskrifter eller instrukser.

CAPA: Korrigerende og forebyggende tiltak for å hindre gjentakelse av feil.

Årsaksanalyse: Systematisk metode for å finne rotårsaken til et avvik.

Systemsvikt: Alvorlig og gjennomgående mangel i styringssystemet.

Internrevisjon: Uavhengig og systematisk kontroll av systemets effektivitet.

Kontinuerlig forbedring: Iterativ PDCA-prosess for å forbedre systemer og praksis.

Versjonskontroll: Sikre at siste gyldige versjon av dokumenter er i bruk.

Dokumentstyring: Rutiner for godkjenning, distribusjon og arkivering av dokumenter.

Ansvarslinjer: Klart definerte linjer for hvem som er ansvarlig for hva.

5. Organisasjon, roller og ansvar

Internkontrollansvarlig: IS Koordinator for vedlikehold og etterlevelse av styringssystemet.

Prosesseier: Leder med ansvar for en definert prosess og dens resultater.

Systemeier: Leder med ansvar for et fagsystem eller IT-system.

Delegasjonsreglement: Formelle regler for overføring av myndighet.

AMU (Arbeidsmiljøutvalg): Lovpålagt partssammensatt samarbeidsorgan for HMS.

Verneombud: Ansattes valgte representant i HMS-arbeidet.

Linjeledelse: Ledere med direkte driftsansvar for ansatte og resultater.

DPO (Data Protection Officer): Personvernombud – rådgiver for GDPR-etterlevelse.

CISO: Strategisk ansvarlig for informasjonssikkerhet.

Stillingsbeskrivelse: Definisjon av en stillings ansvar, oppgaver og myndighet.

Kompetansematrise: Oversikt over faktiske ferdigheter mot stillingskrav.

Organisasjonskart: Visuell fremstilling av linjeansvar og rapporteringslinjer.

HMS-ansvarlig: Koordinator for virksomhetens HMS-planer og tiltak.

Mandat: Formelt grunnlag og fullmakt for en rolle eller et prosjekt.

6. Informasjonssikkerhet og personvern

Behandlingsprotokoll: IS Lovpålagt register over personopplysninger (GDPR Art. 30).

Databehandleravtale: IS Avtale som regulerer leverandørers behandling av persondata.

Tilgangsstyring: IS Kontroll med hvem som har tilgang til systemer og data.

Sletteinstruks: IS Regler for når og hvordan persondata skal slettes.

DPIA (Data Protection Impact Assessment): Risikoanalyse for personvern ved nye behandlinger.

Konfidensialitet: Sikring av at data kun er tilgjengelig for autoriserte.

Innebygd personvern: Privacy by Design – personvern innbakt fra start.

Sikkerhetsbrudd: Uautorisert tilgang til eller tap av persondata.

Behandlingsansvarlig: Virksomheten som bestemmer formål og midler for databehandling.

Databehandler: Leverandør som behandler persondata på vegne av behandlingsansvarlig.

Kryptering: Teknisk sikring av konfidensialitet ved overføring og lagring.

Dataminimering: Prinsipp om å kun samle nødvendige personopplysninger.

Personvernerklæring: Informasjon til registrerte om hvordan data behandles.

Innsynsbegjæring: Registrertes rett til innsyn i egne personopplysninger.

7. Kultur, modenhet og etterlevelse

Varslingsrutiner: IS System for melding av kritikkverdige forhold.

Etterlevelseskultur: Organisasjonens faktiske praktisering av regler og krav.

Modenhetsnivå: Hvor integrert og effektivt styringssystemet er i praksis.

Kontrollklima: Ledelsens fokus på integritet og etterlevelse.

Lærende organisasjon: Virksomhet som systematisk forbedrer seg basert på feil.

Ledelsesforankring: Ledelsens aktive etterspørsel og støtte til styringssystemet.

Sikkerhetskultur: Felles bevissthet og atferd rundt sikkerhet i organisasjonen.

Endringsledelse: Strukturert tilnærming til å innføre nye regler og systemer.

Ansvarliggjøring: Sikre at brudd på krav får konsekvenser.

Trygghetskultur: Kultur der ansatte kan melde feil uten frykt for sanksjoner.

Omdømmerisiko: Risiko for tap av tillit og omdømme ved regelbrudd eller feil.

Kommunikasjonsflyt: Bevegelse av informasjon gjennom organisasjonens ledd.

Adferdskode (Code of Conduct): Dokumentert forventning til ansattes oppførsel og etikk.

Ofte stilte spørsmål

Hva innebærer styrets tilsynsplikt?

Styret har et lovpålagt ansvar for å påse at virksomheten er forsvarlig organisert og at tilstrekkelige systemer for internkontroll er etablert.

Hva er forskjellen på en instruks og en rutine?

I IS-Modellen™ er en instruks et bindende må-dokument direkte hjemlet i lovverket eller arbeidsavtalen, mens rutiner er mer veiledende.

Hvorfor er begrepsforståelse viktig i GRC?

En felles begrepsforståelse sikrer at alle ledd tolker krav og risiko likt, noe som reduserer faren for systemfeil og avvik.

Hva er formålet med en behandlingsprotokoll?

Å dokumentere alle personopplysninger virksomheten behandler (GDPR Art. 30), slik at etterlevelse kan verifiseres overfor tilsynsmyndigheter.

Hva menes med «organisatorisk forsvarlighet» etter aksjeloven?

Aksjeloven § 6-12 pålegger styret å sørge for at virksomheten er forsvarlig organisert. Dette innebærer klare ansvarslinjer, tilstrekkelig kompetanse, hensiktsmessige styringsdokumenter og systemer for internkontroll som faktisk etterleves i den daglige driften.

Hva er forskjellen på en policy og en instruks?

En policy er et overordnet prinsippdokument som angir virksomhetens verdier, mål og rammer. En instruks er et bindende må-dokument som konkretiserer hvordan en spesifikk oppgave skal utføres, direkte hjemlet i lovverket eller arbeidsavtalen.

Hva betyr GRC og hvem bruker det?

GRC står for Governance, Risk and Compliance – virksomhetsstyring, risikostyring og etterlevelse. Begrepet brukes av styrer, daglige ledere, compliance-ansvarlige, DPO-er og risk managere som arbeider systematisk med å integrere disse tre disiplinene i én helhetlig styringsmodell.

Hva er COSO-rammeverket og hvordan brukes det i norsk virksomhetsstyring?

COSO er et internasjonalt anerkjent rammeverk for internkontroll og risikostyring med fem komponenter: kontrollmiljø, risikovurdering, kontrollaktiviteter, informasjon og kommunikasjon, samt overvåking. I norsk sammenheng brukes COSO som faglig fundament for å bygge styringssystemer som tilfredsstiller krav i aksjeloven, internkontrollforskriften og GDPR.

Hvem har ansvaret for internkontroll i en virksomhet?

Det overordnede ansvaret ligger hos styret. Den daglige lederen er ansvarlig for å implementere og vedlikeholde styringssystemet. I praksis koordineres internkontrollarbeidet av en internkontrollansvarlig, men linjelederne har ansvar for etterlevelse innen sine områder.

Hva er forskjellen på et verneombud og en HMS-ansvarlig?

Verneombudet er en lovpålagt tillitsvalgt valgt av og blant de ansatte. HMS-ansvarlig er en rolle utpekt av arbeidsgiver med ansvar for å koordinere og følge opp virksomhetens HMS-arbeid. De to rollene utfyller hverandre men har ulike mandat og ansvarsgrunnlag.

Hva gjør en DPO (personvernombud)?

En DPO overvåker behandlingsaktiviteter, gir råd om personvernkonsekvenser, fungerer som kontaktpunkt for Datatilsynet og informerer ansatte om deres plikter. Rollen er lovpålagt for offentlige organer og virksomheter som behandler særlige kategorier personopplysninger i stor skala.

Hva er forskjellen på risiko og avvik?

Risiko er en vurdering av fremtidig usikkerhet – sannsynligheten for at noe uønsket kan skje multiplisert med konsekvensen. Et avvik er en allerede inntruffet hendelse som bryter med gjeldende krav eller instrukser. Risikostyring er proaktivt, avvikshåndtering er reaktivt.

Hva er restrisiko og når aksepteres den?

Restrisiko er risikoen som gjenstår etter at alle planlagte tiltak er iverksatt. Den må vurderes opp mot virksomhetens risikoappetitt og akseptkriterier. Dersom restrisikoen er innenfor akseptable grenser kan den godtas, men beslutningen må dokumenteres og følges opp.

Hva er en ROS-analyse og når skal den gjennomføres?

En ROS-analyse er en systematisk gjennomgang av hvilke uønskede hendelser som kan inntreffe, hvor sannsynlig de er og hvilke konsekvenser de kan få. Den bør gjennomføres ved etablering av nye prosesser, ved vesentlige endringer, etter alvorlige avvik og som del av den årlige ledelsesgjennomgangen.

Hva er et risikoregister og hvem skal oppdatere det?

Et risikoregister er en strukturert oversikt over identifiserte risikoer, vurderinger, tiltak og ansvarlige. Ansvaret for å oppdatere registeret ligger hos risikoeiere i linjen, koordinert av internkontrollansvarlig, og gjennomgås jevnlig av ledelsen og styret.

Når er en DPIA påkrevd?

En DPIA er påkrevd når en behandling av personopplysninger sannsynligvis vil medføre høy risiko for de registrertes rettigheter. Typiske situasjoner er systematisk overvåking, behandling av særlige kategorier personopplysninger i stor skala og bruk av ny teknologi.

Hva er forskjellen på behandlingsansvarlig og databehandler?

Behandlingsansvarlig er virksomheten som bestemmer formålet med behandlingen av personopplysninger og har det overordnede GDPR-ansvaret. Databehandler er en ekstern part som behandler personopplysninger på vegne av den behandlingsansvarlige, regulert gjennom en databehandleravtale.

Hva skiller IS-Modellen™ fra andre styringsmodeller?

IS-Modellen™ bygger på instruksen som det primære operative styringsdokumentet. Alle må-krav fra lovverk og virksomhetskrav omsettes til konkrete, hjemlete instrukser knyttet til arbeidsavtalen. Dette gir reell styringsevne og etterprøvbar dokumentasjon, i motsetning til modeller som primært baserer seg på veiledende rutiner.

Hva betyr hjemling i IS-Modellen™?

Hjemling er koblingen mellom en instruks og dens rettslige eller avtalemessige grunnlag. I IS-Modellen™ skal hver instruks være hjemlet i lovverket eller i arbeidsavtalen via styringsretten, slik at instruksen er bindende og virksomheten kan dokumentere grunnlaget for sitt krav.

Hva er forskjellen på myndighetskrav og virksomhetskrav?

Myndighetskrav er ufravikelige regler fastsatt av lovgiver eller tilsynsmyndigheter, som arbeidsmiljøloven og GDPR. Virksomhetskrav er krav virksomheten selv har fastsatt eller som følger av avtaler med kunder og eiere. Begge typer krav må ivaretas i styringssystemet.

Hva er konsekvensen av manglende internkontroll?

Manglende internkontroll kan medføre pålegg og bøter fra tilsynsmyndigheter, erstatningsansvar for styret og ledelsen, tap av omdømme og kundertillit, redusert operativ effektivitet og i ytterste konsekvens straffansvar.

Hva er forskjellen på internrevisjon og ekstern revisjon?

Internrevisjon er en uavhengig kontrollfunksjon internt i virksomheten som vurderer om styringssystemet fungerer som forutsatt. Ekstern revisjon utføres av en uavhengig tredjepart og fokuserer primært på regnskap og finansiell rapportering.

Hva innebærer kontinuerlig forbedring i praksis?

Kontinuerlig forbedring er en iterativ prosess basert på PDCA-syklusen der virksomheten systematisk identifiserer forbedringsmuligheter gjennom avviksbehandling, samsvarsvurderinger, risikovurderinger og ledelsesgjennomgang.

Hva sier internkontrollforskriften om dokumentasjonskrav?

Internkontrollforskriften § 5 krever at virksomheter dokumenterer HMS-arbeidet i nødvendig grad. Dette inkluderer mål for HMS-arbeidet, oversikt over organisasjon og ansvar, kartlegging av farer, rutiner for å avdekke og rette opp avvik, samt oversikt over hvordan internkontrollen gjennomgås og forbedres.

Når er AMU lovpålagt?

Arbeidsmiljøutvalg (AMU) er lovpålagt i virksomheter med 50 eller flere ansatte, jf. arbeidsmiljøloven § 7-1. I virksomheter med 20–49 ansatte kan en av partene kreve at det opprettes AMU.

Kan styret delegere ansvaret for internkontroll?

Styret kan delegere det operative arbeidet til daglig leder og internkontrollansvarlig, men kan ikke delegere bort det overordnede tilsynsansvaret. Aksjeloven § 6-13 slår fast at styret skal føre tilsyn med den daglige ledelsen og aktivt etterspørre rapporter om internkontrollens status.

Hva er Styringsportalen™ og hvem er den laget for?

Styringsportalen™ er Norges ledende digitale GRC-plattform for SMB, IKS og DPO-er. Den tilbyr profesjonelle verktøy for virksomhetsstyring, internkontroll, HMS og GDPR basert på IS-Modellen™, utviklet for styreledere, daglige ledere og internkontroll- og risikoansvarlige.

Hva er åpenhetsloven og hvilke virksomheter omfattes av den?

Åpenhetsloven pålegger større norske virksomheter å gjennomføre aktsomhetsvurderinger for å kartlegge risiko for brudd på menneskerettigheter og anstendige arbeidsforhold i egen virksomhet og leverandørkjede. Loven gjelder virksomheter som overskrider to av tre terskelverdier: 50 ansatte, 70 mill. kr i omsetning og 35 mill. kr i balansesum.

→ Trenger du rådgivning? Kontakt oss

Svein Roar Holt

Grunnlegger av Internkontroll AS, Internkontrollportalen og arkitekt bak IS-modellen™ og AvvikStandard™ og tilhørende verktøy. Ekspert på operasjonell etterlevelse og styringssystemer.

Om Svein Roar → LinkedIn →

Maria Zahlsen

Grunnlegger av Internkontroll AS, Internkontrollportalen og arkitekt bak IS-modellen™ og AvvikStandard™ og tilhørende verktøy. Ekspert på operasjonell etterlevelse og styringssystemer.

Om Maria → LinkedIn →