Hjem Virksomhetsstyring Risikostyring

Risikostyring og beredskap – Strategisk kontroll over virksomhetens usikkerhet

Fra risikoidentifikasjon til instruksbasert beredskap og etterprøvbar styring

Risikostyring er en av de mest kritiske komponentene i et velfungerende styringssystem. Det handler ikke om å eliminere all risiko, men om å ha en bevisst og systematisk tilnærming til usikkerhet som kan påvirke virksomhetens evne til å nå sine mål. Ved å identifisere, analysere og håndtere risiko proaktivt, legger virksomheten grunnlaget for informerte beslutninger og langsiktig verdiskaping.
Forfattere: Svein Roar Holt & Maria Zahlsen – Internkontroll AS  |  Sist oppdatert: april 2026  |  Juridisk forankring: Aksjeloven § 6-12, Internkontrollforskriften § 5

Gjennom risikostyringsprosessen knyttes strategiske ambisjoner sammen med operative realiteter. Dette sikrer at ledelsen og styret har den nødvendige oversikten over trusler og muligheter, og at ressurser settes inn der de gir størst effekt for å beskytte virksomhetens verdier, ansatte og omdømme.

Risikostyring er en integrert og fundamental del av godt internkontrollarbeid og god virksomhetsstyring. Uten effektiv risikostyring vil internkontrollen bare være en reaktiv funksjon.

Risikostyringsprosessen – fire sentrale faser

1. Risikoidentifikasjon

Kartlegging av potensielle hendelser eller forhold som kan hindre måloppnåelse eller føre til uønskede hendelser. Spørsmålet man stiller er: «Hva kan hindre oss i å nå målene eller etterkomme forpliktelsene våre?» Dette gjøres gjennom analyse av prosesser, aktiviteter, intervjuer og erfaring fra tidligere avvik.

2. Analyse og evaluering

Vurdering av sannsynlighet og konsekvens for å fastslå risikonivået og behovet for tiltak. Resultatet sammenlignes mot virksomhetens risikoappetitt og akseptkriterier.

3. Risikohåndtering

Implementering av tiltak for å redusere, overføre, unngå eller akseptere den identifiserte risikoen. Risikobehandlingen leder direkte til forebyggende tiltak som siden blir en del av det løpende internkontrollarbeidet – gjerne i form av nye instrukser.

4. Overvåking og rapportering

Kontinuerlig oppfølging av risikobildet og tiltakenes effekt, samt rapportering til beslutningstakere. Risikoregisteret er det sentrale styringsverktøyet for denne fasen.

Styrets ansvar og lovpålagte krav til risikostyring

I henhold til Aksjeloven har styret det overordnede ansvaret for at virksomheten har tilfredsstillende systemer for internkontroll og risikostyring. Dette er ikke bare en lovpålagt plikt, men en forutsetning for forsvarlig drift. Krav til risikostyring er forankret i ulike deler av norsk lovverk:

  • Internkontrollforskriften: Krever at virksomheten systematisk kartlegger farer og problemer, vurderer risikoen og utarbeider instrukser og tiltak for å redusere den.
  • Aksjeloven/Allmennaksjeloven: Styret har lovpålagt ansvar for å sørge for forsvarlig organisering og at ledelsen etablerer systemer for internkontroll og risikostyring.
  • Personopplysningsloven/GDPR: Krever risikovurdering (DPIA) for behandlingsaktiviteter med høy risiko for de registrertes rettigheter og friheter.

Disse kravene innebærer at risikostyring ikke er en valgfri øvelse, men en lovpålagt plikt som må dokumenteres og følges opp. En strukturert risikostyring gir styret og daglig leder trygghet for at kritiske områder som økonomi, HMS, IKT-sikkerhet og personvern blir ivaretatt systematisk.

Risikoforhold og beredskapstiltak

Beredskap må defineres som alle proaktive tiltak egnet til å eliminere eller redusere identifiserte risikoer, uavhengig av risikoens natur. Å begrense beredskapsfokuset til kun IKT-sikkerhet, brann eller naturhendelser gir en ufullstendig og dermed utilstrekkelig risikostyring. Virksomhetens resiliens krever at ledelsen kartlegger og iverksetter instrukser mot alle forhold som kan true oppnåelsen av mål og leveranser:

  • Strategiske trusler: Endringer i markedet, nye konkurrenter eller politiske endringer.
  • Operasjonelle sårbarheter: Lav effektivitet, mangelfull kompetanse eller brudd i kritiske interne prosesser.
  • Sikkerhets- og miljørisiko: Brann, naturskade, vold/trusler, kjemikalier eller IKT-sikkerhetsbrudd.
  • Regulatorisk risiko: Manglende etterlevelse av myndighetskrav, standarder og inngåtte avtaler.

Lovpålagte beredskapsplaner

Internkontrollforskriften § 5 pålegger virksomheten å dokumentere instrukser for å ivareta arbeidstakernes helse, miljø og sikkerhet, herunder beredskap mot ulykker og akutte hendelser. Det lovpålagte beredskapsarbeidet må baseres på en systematisk Risiko- og Sårbarhetsanalyse (ROS-analyse). Sentrale lovpålagte beredskapsplaner inkluderer:

  • Beredskapsplan for brann og eksplosjon: Detaljerer varslingsrutiner, rømningsveier, samlingsplass og vedlikehold av brannvernutstyr.
  • Førstehjelps- og ulykkesplan: Akutt håndtering av personskade, inkludert tilgang på førstehjelpsutstyr og varsling av 113.
  • Krisesituasjonsplan (vold/trusler): Tiltak ved voldelige eller truende situasjoner, inkludert fysisk sikring og oppfølging av ansatte.
  • Kontinuitetsplan: Gjenoppretting av kritiske systemer og funksjoner etter større avbrudd, for å sikre rask gjenopptakelse av driften.

Alle beredskapsplaner skal testes gjennom jevnlige øvelser (minimum årlig) og dokumenteres som en del av instruksregisteret.

Har dere kontroll på deres kritiske risikoer?

Vi bistår med metodikk og instrukser for å etablere en risikostyring som gir reell merverdi og beslutningsstøtte for styret og ledelsen.

KONTAKT INTERNKONTROLL AS

Om forfatterne

Svein Roar Holt – grunnlegger av Internkontroll AS og skaper av IS-modellen™
Svein Roar Holt Grunnlegger – Internkontroll AS & Internkontrollportalen.no

Skaper av IS-modellen™ og AvvikStandard™. Ekspert på strategisk virksomhetsstyring, governance og instruksbasert internkontroll. Har bygget Norges ledende digitale GRC-plattform for SMB og offentlig sektor.

Om Svein Roar → LinkedIn →
Maria Zahlsen – grunnlegger av Internkontroll AS, jurist med arbeidsrett og forretningsjuss
Maria Zahlsen Grunnlegger – Internkontroll AS & Internkontrollportalen.no

Jurist med spesialisering innen arbeidsrett, kontraktsrett og forretningsjuss. Ekspert på operativ etterlevelse, HR-juss og organisatorisk risikostyring – med særlig fokus på menneskelig faktor og praktisk implementering av styringsverktøy.

Om Maria → LinkedIn →
Risikostyring og beredskap – systematisk virksomhetsstyring | Internkontroll AS
Risikostyring og beredskap – strategisk kontroll | Internkontroll AS

Hva dekker denne siden?

  • Risikostyringsprosessens 4 faser
  • Styrets lovpålagte ansvar etter aksjeloven
  • Risikoforhold og beredskapstiltak
  • Lovpålagte beredskapsplaner etter internkontrollforskriften § 5
  • ROS-analyse som grunnlag for beredskap
For: Styremedlemmer, daglige ledere og HMS-ansvarlige

Ofte stilte spørsmål

Hva er forskjellen på risikostyring og risikovurdering?
Risikostyring er det overordnede systemet for å håndtere usikkerhet i hele virksomheten. Risikovurdering er ett konkret verktøy – den systematiske analysen av sannsynlighet og konsekvens for identifiserte risikoer.
Har styret lovpålagt ansvar for risikostyring?
Ja. Aksjeloven § 6-12 pålegger styret å sørge for forsvarlig organisering, herunder at det er etablert tilfredsstillende systemer for internkontroll og risikostyring. Dette ansvaret kan ikke delegeres bort.
Hva er en ROS-analyse?
En Risiko- og Sårbarhetsanalyse er en systematisk gjennomgang av hvilke uønskede hendelser som kan inntreffe, sannsynligheten for disse og hvilke konsekvenser de kan få. Den er lovpålagt grunnlag for beredskapsplaner etter Internkontrollforskriften.
Hva er risikoappetitt og hvorfor er det viktig?
Risikoappetitt er nivået av risiko virksomheten er villig til å operere med. Den definerer terskelen for når risiko er akseptabel og når nye instrukser og tiltak må iverksettes.
Hvilke beredskapsplaner er lovpålagte?
Internkontrollforskriften § 5 krever instrukser for brann og eksplosjon, førstehjelp og ulykker, og andre akutte hendelser basert på ROS-analyse. Planene skal testes gjennom årlige øvelser.
Hva er forskjellen på inherent risiko og restrisiko?
Inherent risiko er risikoen vurdert før noen tiltak er iverksatt. Restrisiko er risikoen som gjenstår etter at forebyggende instrukser og tiltak er på plass. Det er restrisikoen som sammenlignes mot virksomhetens akseptkriterier.
Hvordan integreres risikostyring i styringssystemet?
Risikovurderingen danner grunnlaget for hvilke instrukser som må etableres. Risikofunn omsettes til konkrete instrukser for forebygging, gjennomføring og kvalitetssikring – som deretter overvåkes og revideres jevnlig.

Trenger du rådgivning?

Vi hjelper deg med virksomhetsstyring, internkontroll, HMS og GDPR.

Ta kontakt med oss →
Skroll til toppen