Identifisering av myndighetskrav

Av /

Ca. 2 000 myndighetskrav for virksomheter kan gjelde din virksomhet. Få ledere vet det, og enda færre har systematisk oversikt. Manglende identifisering av myndighetskrav er den vanligste grunnen til avvik, tilsynssaker og personlig styreansvar – fordi du kan ikke etterleve et krav du ikke vet eksisterer. Denne guiden viser hvordan du kartlegger, dokumenterer og holder oversikt over de myndighetskrav som faktisk gjelder din virksomhet, og hvordan dette koblet til IS-modellen og AvvikStandard™ blir et reelt styringsverktøy – ikke en perm i hyllen.

Nøkkelfakta om myndighetskrav

  • Omfang: Norge har ca. 500 lover og 10 000 forskrifter. Internkontrollportalen.no har systematisert ca. 2 000 myndighetskrav for virksomheter som kan gjelde i Norge.
  • Rettslig grunnlag: Internkontrollforskriften § 5 nr. 1 pålegger virksomheter å sørge for at relevante lover og forskrifter er tilgjengelige – og ha oversikt over de krav som er av særlig viktighet.
  • Hjemmelsgrunnlag: Internkontrollforskriften er hjemlet i flere lover, blant annet arbeidsmiljøloven, brann- og eksplosjonsvernloven, forurensningsloven, produktkontrolloven, strålevernloven og genteknologiloven.
  • Dokumentasjonskrav: 5 av 8 punkter i § 5 må dokumenteres skriftlig. Identifisering av kravene utgjør grunnlaget for de andre.
  • Ansvar: Endelig ansvar for identifisering ligger hos daglig leder og styret. Ansvaret kan ikke outsources – bare støttes.
  • Konsekvens ved svikt: Tilsynssaker, overtredelsesgebyr, daglige tvangsmulkter og personlig styreansvar etter aksjeloven § 17-1.
Kort fortalt for ledere:

Identifisering av myndighetskrav for virksomheter er den første og viktigste oppgaven i ethvert internkontrollsystem. Hvis du ikke vet hvilke lover og forskrifter som gjelder for din virksomhet, kan du heller ikke etterleve dem – og du kan heller ikke dokumentere etterlevelse overfor tilsynsmyndigheter, revisor eller styret. Identifiseringen er ikke en engangsjobb. Regelverket endrer seg kontinuerlig – nye forskrifter kommer, eksisterende endres, og virksomhetens egen aktivitet utvikler seg. Praktisk løsning: en strukturert oversikt som kategoriserer kravene per fagområde, med ansvarlig person, vurdering av relevans, og tilknytning til konkrete tiltak i styringssystemet.

1. Hva er myndighetskrav for virksomheter – og hvorfor er identifisering kritisk?

Et myndighetskrav for virksomheter er en rettslig bindende forpliktelse som en offentlig myndighet pålegger en virksomhet eller person. Det kan være formulert i lov, forskrift, enkeltvedtak, pålegg eller konsesjonsvilkår. Felles for alle myndighetskrav for virksomheter er at de er rettslig håndhevbare – brudd kan medføre sanksjoner, gebyrer, pålegg eller i ytterste konsekvens straffeansvar.

For at en virksomhet skal kunne etterleve myndighetskrav for virksomheter, må den først vite hvilke krav som faktisk gjelder. Det er denne første oppgaven – identifisering av myndighetskrav – som er utgangspunktet for ethvert systematisk arbeid med internkontroll, kvalitetsstyring, HMS, personvern og virksomhetsstyring.

⚖ Rettslig grunnlag

Internkontrollforskriften § 5 nr. 1 pålegger virksomheten å «sørge for at de lover og forskrifter i helse-, miljø- og sikkerhetslovgivningen som gjelder for virksomheten er tilgjengelig, og ha oversikt over de krav som er av særlig viktighet for virksomheten». Plikten gjelder for alle virksomheter som omfattes av forskriften, og dokumentasjonsplikten er presisert gjennom flere bestemmelser i forskriftens § 5.

Identifisering handler om mer enn å laste ned en lovsamling. Det handler om å besvare tre spørsmål: Hvilke krav finnes? Hvilke gjelder oss? Og hvordan skal vi etterleve dem i praksis? Mange virksomheter stopper på første spørsmål – og tror at de er ferdige når de har en perm med utskrift av forskrifter.

For en grunnleggende forståelse av begrepsapparatet, se også Begreper og definisjoner, hvor sentrale begreper innen internkontroll, etterlevelse og styring er forklart i sammenheng.

2. Omfanget av myndighetskrav for virksomheter – det få ledere forstår

Norge er et lovregulert samfunn. Anslaget som brukes på Internkontrollportalen og i andre fagmiljøer er ca. 500 lover og 10 000 forskrifter – og tallet stiger jevnt i takt med EU-tilpasning, ny teknologi (NIS2, KI-forordningen), og endrede samfunnsbehov.

For å forstå hvor stor jobben med identifisering faktisk er, har vi i Internkontrollportalen.no gjort grovsorteringen for deg: ca. 2 000 myndighetskrav for virksomheter er kategorisert, ID-merket og strukturert i vår IS-matrise. Dette er den mest omfattende strukturerte oversikten over myndighetskrav for norske virksomheter som finnes – og selve grunnlaget for verktøyene Samsvarsmatrisen™ PRO og IS-modellen™.

IS-matrisen i tall

Antall myndighetskrav strukturert og kategorisert per kategori (mai 2026):

ca. 1 000 Spesiallovgivning, bransjekrav og virksomhetskrav
ca. 250 Økonomi, regnskap, pensjon, forsikring og finansiell rapportering
ca. 200 Internkontroll, miljø, sikkerhet, personvern og beredskap
ca. 200 Virksomhets- og personaladministrasjon
ca. 50 Innkjøp, salg, markedsføring og kundebehandling
ca. 2 000 Totalt antall registrerte myndighetskrav for virksomheter

Den enkelte virksomhet er selvfølgelig ikke underlagt alle de ca. 2 000 kravene. Et regnskapsbyrå er ikke underlagt akvakulturloven, og en frisør har normalt ikke noe forhold til petroleumsforskriftene. Men poenget er motsatt: du må vite hvilke krav som finnes for å kunne avgjøre hvilke som ikke gjelder deg. Og du må kunne dokumentere den vurderingen.

Det er her IS-matrisen blir et reelt arbeidsverktøy. Strukturen i matrisen følger forretningskategoriene som de aller fleste virksomheter kan kjenne seg igjen i, og hvert krav har en unik ID, en kategori, en relevansvurdering og en samsvarsstatus. På den måten kan en daglig leder for en SMB faktisk gjennomgå listen og krysse av – og dokumentere at vurderingen er gjort.

3. Forskjellen på lov, forskrift, veileder og enkeltvedtak

Når vi snakker om «myndighetskrav for virksomheter» i hverdagsspråket, blander vi ofte sammen flere ulike rettskildetyper. For at identifiseringen skal bli systematisk, må forskjellene være klare.

TypeHva er det?Eksempel
Lov Vedtatt av Stortinget. Generell, prinsipiell – setter ramme. Arbeidsmiljøloven, personopplysningsloven, aksjeloven.
Forskrift Vedtatt av regjering, departement eller direktorat med hjemmel i lov. Detaljert og operativ. Internkontrollforskriften, byggteknisk forskrift (TEK17), arbeidsplassforskriften.
Veileder/rundskriv Ikke rettslig bindende i seg selv, men angir hvordan tilsynsmyndigheten tolker regelverket. I praksis ofte normerende. Folkehelseinstituttets legionellaveileder, Datatilsynets veiledere om GDPR.
Enkeltvedtak Konkret avgjørelse rettet mot en bestemt virksomhet eller person. Rettslig bindende for adressaten. Pålegg fra Arbeidstilsynet, konsesjon fra Miljødirektoratet, vedtak fra NAV.
Standard Frivillig, men kan bli rettslig bindende når lov/forskrift henviser til den eller virksomheten har sertifisering. NS-EN ISO 9001, NS-EN ISO 27001, NS-EN ISO 14001.

Vurderingen av hva som er et myndighetskrav for din virksomhet, er ofte mer komplisert enn folk tror. En veileder er strengt tatt ikke et myndighetskrav – men hvis tilsynsmyndigheten konsekvent bruker den som vurderingsgrunnlag, blir den i praksis normerende. Derfor skal også sentrale veiledere være med i en god identifisering, men markert som veiledning – ikke som lovkrav.

Vanlig misforståelse

«Vi bruker bare bransjestandarden» er ikke samme som «vi etterlever myndighetskravene». Bransjestandarder kan være gode hjelpemidler, men de erstatter ikke en selvstendig vurdering av hvilke lover og forskrifter som gjelder for din virksomhet. Tilsynet spør om regelverket – ikke om standarden.

4. Hvem har ansvaret for å identifisere myndighetskrav for virksomheter?

Spørsmålet om ansvar er ikke alltid like enkelt som det burde være. I praksis fordeles ansvaret mellom flere roller, men det endelige ansvaret kan ikke flyttes.

Styret

Styret har det overordnede ansvaret for at virksomheten drives forsvarlig og i samsvar med lov, jf. aksjeloven § 6-12 om forvaltning av selskapet. Det innebærer plikt til å forsikre seg om at det finnes et system som identifiserer relevante myndighetskrav – ikke at styret selv gjør identifiseringen. Manglende oversikt kan utløse personlig erstatningsansvar etter aksjeloven § 17-1. Mer om dette i pillar-artikkelen Styreansvar.

Daglig leder

Daglig leder har det operative ansvaret for at virksomheten faktisk har systemet på plass og at det fungerer (aksjeloven § 6-14). I praksis er det daglig leder som må «eie» identifiseringen – enten ved å gjøre den selv eller ved å delegere og kvalitetssikre.

Internkontrollansvarlig / HMS- eller kvalitetsansvarlig

Mange virksomheter har en utpekt rolle som koordinerer arbeidet. Vedkommende er ansvarlig for at identifiseringen faktisk gjøres, dokumenteres og holdes oppdatert. Se også vår fagside om Internkontrollansvarlig.

Linjeleder / fagansvarlig

I praksis er det ofte fagansvarlige som vet best hvilke krav som gjelder for sitt område: HR-leder kjenner arbeidsrett, IT-leder kjenner GDPR og NIS2, økonomisjefen kjenner regnskapsloven. Men kjennskap er ikke samme som oversikt. Linjelederne må samordnes inn i ett felles system.

Eksterne rådgivere – med begrensninger

Advokater, revisorer og konsulenter kan bistå – men de tar ikke over ansvaret. Tilsynsmyndigheten henvender seg til virksomheten, ikke til konsulenten. Et tilsyn ber om å se virksomhetens dokumentasjon, ikke fakturaen fra rådgiver.

Hovedregel

Ansvaret for identifisering kan ikke outsources – bare støttes. Det er virksomheten selv, gjennom styret og daglig leder, som svarer for at oversikten finnes og er korrekt.

5. Slik identifiserer du relevante myndighetskrav for virksomheter – fem steg

Identifisering er ikke noe man gjør på en ettermiddag. Men prosessen kan struktureres i fem steg som virker for de aller fleste virksomheter.

Steg 1: Avgrens virksomheten

Før du kan identifisere relevante krav, må du beskrive virksomheten konkret nok til at relevansen kan vurderes:

  • Bransje og hovedaktivitet: Hva produserer eller leverer virksomheten?
  • Sekundæraktiviteter: Drives det utleie, transport, lagring, eksport?
  • Størrelse: Antall ansatte, omsetning, eierform.
  • Geografi: Hvor er virksomheten lokalisert? Drives det grenseoverskridende aktivitet?
  • Risikoprofil: Hvilke aktiviteter har potensial for skade på menneske, miljø, eiendom eller data?

Steg 2: Identifiser relevante regelverksområder

De fleste virksomheter berøres av et begrenset utvalg av regelverksområder. Bruk denne grovinndelingen som utgangspunkt:

  • Selskapsrett, regnskap og skatt (gjelder så å si alle)
  • Arbeidsrett og personaladministrasjon (gjelder alle med ansatte)
  • HMS og internkontroll (gjelder alle med ansatte)
  • Personvern og GDPR (gjelder alle som behandler personopplysninger)
  • Bygg, eiendom og brannsikring (gjelder alle som har lokaler)
  • IT-sikkerhet og digital infrastruktur (NIS2 omfatter stadig flere)
  • Bransjespesifikke særlover (helse, finans, transport, utdanning, akvakultur, …)

Steg 3: Finn autoritative kilder

Listen over myndighetskrav skal bygge på offisielle kilder. De viktigste:

  • Lovdata (lovdata.no) – grunnkilden for lover og forskrifter
  • Tilsynsmyndighetenes nettsider – Arbeidstilsynet, Datatilsynet, Miljødirektoratet, DSB, Skatteetaten, Finanstilsynet og bransjedirektorater
  • Bransjeforeninger – ofte oppdatert oversikt over særlovgivning og endringer
  • Strukturerte oversikter – som Internkontrollportalens IS-matrise med ca. 2 000 kategoriserte myndighetskrav for virksomheter

Steg 4: Vurder relevans og anvendelse

For hvert krav må virksomheten gjøre tre vurderinger:

  1. Gjelder kravet oss? Enkelt ja/nei, basert på avgrensningen i Steg 1.
  2. Hvilke deler av virksomheten gjelder det for? Ofte gjelder kun noen kapitler eller bestemmelser.
  3. Hvilken risikoprofil har kravet for oss? Hva skjer ved brudd? Bot, pålegg, omdømmetap, personskade?

Steg 5: Dokumenter strukturert

Identifiseringen av myndighetskrav for virksomheter er verdiløs hvis den ikke er dokumentert. Minst følgende felter bør være med per krav:

  • Navn på lov/forskrift
  • Unik ID (gjør det mulig å spore på tvers av prosesser)
  • Kategori / fagområde
  • Ansvarlig person/rolle i virksomheten
  • Vurdering av relevans (Høy / Lav / Ikke relevant)
  • Vurdering av risiko
  • Samsvarsstatus (samsvar / avvik / under vurdering)
  • Etterlevelsesstatus (etterleves / avviksbehandles / ikke etterlevd)
  • Dato for siste vurdering

Sjekkliste – ferdig identifisert?

  • Vi har avgrenset virksomheten i bransje, størrelse og aktivitet
  • Vi har vurdert alle relevante regelverksområder
  • Hvert krav er knyttet til en ansvarlig person
  • Hvert krav har en relevans- og risikovurdering
  • Dokumentasjonen kan fremvises tilsynsmyndighet uten ettearbeid
  • Det finnes en rutine for å oppdatere oversikten ved regelverksendringer

6. Identifisering vs. etterlevelse – den kritiske forskjellen

Mange virksomheter forveksler identifisering av myndighetskrav for virksomheter med etterlevelse, og det fører til reelle hull i internkontrollen.

IdentifiseringEtterlevelse
Vite hvilke myndighetskrav for virksomheter som gjelder oss Faktisk oppfylle kravene i daglig drift
Resultat: en oversikt eller matrise Resultat: rutiner, instrukser, kontroller og dokumentasjon
Statisk (oppdateres ved endringer) Dynamisk (skjer kontinuerlig)
Forutsetning for alt videre arbeid Forutsetter at identifisering er gjort
Eksempel: «Internkontrollforskriften gjelder oss» Eksempel: «Vi har gjennomført risikovurderinger for alle aktiviteter, dokumentert tiltak og utfører årlig revisjon»

En virksomhet kan ha utmerket identifisering uten å etterleve noe som helst – og det er nettopp den situasjonen et tilsyn raskest avdekker. Omvendt kan en virksomhet etterleve mange krav «av seg selv» uten å ha noen formell identifisering – men da er det ikke noe system, og man kan ikke dokumentere at man kjenner kravene man oppfyller.

Begge deler trengs. Identifisering er kartet, etterlevelse er terrenget. Tilsynet ser på begge.

7. Sammenheng med IS-modellen

IS-modellen™ er Internkontrollportalens metodiske rammeverk for myndighetskrav for virksomheter for systematisk virksomhetsstyring og internkontroll. Modellen er strukturert i faser, og identifisering av myndighetskrav er det første og forutsetningsskapende leddet i hele kjeden.

Logikken er enkel: uten identifisering er det ingen forutsetning for samsvarsvurdering. Uten samsvarsvurdering kan du ikke vite om du etterlever. Uten etterlevelse kan du ikke vite om du har avvik. Og uten avvikshåndtering kan du ikke forbedre. Hele kjeden står og faller med første ledd.

IS-modellens etterlevelsesspor

Identifisering → Samsvarsvurdering → Etterlevelsesvurdering → Avviksbehandling → Forbedring. Hvert av disse leddene er dokumentert i IS-matrisen for hvert enkelt myndighetskrav, slik at virksomheten kan vise hvor i prosessen et bestemt krav befinner seg til enhver tid.

Praktisk betyr dette at hvert av de ca. 2 000 kravene i IS-matrisen ikke bare er identifisert – de har også en vurdering av samsvar og etterlevelse, knyttet til konkrete styringsdokumenter og tiltak. Det er denne sporbarheten som gjør forskjellen på en perm i hyllen og et reelt styringsverktøy.

8. Sammenheng med AvvikStandard™

AvvikStandard™ er Internkontrollportalens metode for håndtering av avvik mot myndighetskrav for virksomheter for klassifisering, behandling og lukking av avvik. Den er konstruert som et speil av myndighetskravene: et avvik er per definisjon et brudd på, eller en risiko for brudd på, et identifisert krav.

Det betyr at kvaliteten på avvikssystemet er en direkte funksjon av kvaliteten på identifiseringen. Hvis virksomheten ikke har identifisert kravet som en bestemt rutine springer ut av, kan den heller ikke registrere et avvik som meningsfullt avvik – fordi det da ikke kobles til noe rettslig grunnlag.

Praktisk eksempel: en avvikende temperatur i et serveromskap er bare et teknisk avvik. Men hvis virksomheten har identifisert ISO 27001-tiltak A.7.5 (fysisk sikring) og personopplysningsforskriftens krav til informasjonssikkerhet, blir det samme avviket plutselig knyttet til både GDPR og kontraktsforpliktelser overfor kunder. Det er denne koblingen mellom myndighetskrav for virksomheter og avvik som gir avvikssystemet juridisk og forretningsmessig vekt.

I IS-matrisen håndteres dette gjennom en kobling mellom myndighetskrav og AvvikStandard™: hvert identifisert krav har en feltreferanse til avviksprotokollen, slik at avvik registreres mot konkrete krav og kan agregeres i ledelsens gjennomgang.

9. Hvordan holde oversikten oppdatert

Identifisering av myndighetskrav for virksomheter er ikke noe man gjør én gang. Regelverket endrer seg kontinuerlig:

  • Nye lover og forskrifter vedtas hvert år. EU-tilpasning bringer regelmessig nye direktiver og forordninger inn i norsk rett.
  • Endringer i eksisterende regelverk – ofte hyppigere enn man tror. Internkontrollforskriften alene er endret minst åtte ganger siden 1996.
  • Nye tolkninger og tilsynspraksis – tilsynsmyndighetene utvikler praksis som kan endre hva som regnes som tilfredsstillende etterlevelse.
  • Endringer i virksomhetens egen aktivitet – nytt produkt, ny avdeling, nytt land, nye ansatte i ny rolle. Alt kan utløse nye krav.

De vanligste tilnærmingene til oppdatering er:

TilnærmingStyrkerSvakheter
Manuelt nyhetsabonnement (Lovdata, tilsynsmyndigheter) Gratis, direkte kilde Krever tid, lett å miste oversikt
Bransjeforening / advokat Filtrert, fagrelevant Bransjespesifikt, dyrt
Strukturert internkontrollsystem Kobler endringer til konkrete krav i oversikten Krever investering i system
Årlig revisjon med ekstern hjelp Kvalitetssikret, dokumentert Kun én gang i året – endringer kan komme oftere

I praksis er en kombinasjon best: et strukturert system som hovedplattform, supplert med årlig kvalitetssikring og kontinuerlig oppfølging av endringer som påvirker virksomhetens kjerneaktivitet.

10. Vanlige feil ved identifisering av myndighetskrav for virksomheter

Etter å ha analysert tilsynsrapporter, avviksregistreringer og virksomhetsdokumentasjon, ser vi de samme feilene gjenta seg.

Feil 1: «Vi følger bare bransjestandarden»

Bransjestandarder er nyttige hjelpemidler, men de er ikke uttømmende, og de er ikke det rettslige grunnlaget. Tilsynsmyndigheten spør om regelverket – ikke om standarden.

Feil 2: «Vi har gjort dette én gang»

Identifisering er en pågående aktivitet. Et lovregister fra 2022 er ikke oppdatert i 2026. NIS2 finnes ikke i en oversikt fra 2022.

Feil 3: «Vi følger med på e-post fra myndighetene»

Ad hoc-overvåking gjennom abonnementer eller nyhetsbrev er bra som supplement, men det er ikke et system. Du kan ikke dokumentere oversikt basert på e-poster i innboksen.

Feil 4: «Revisor tar dette»

Revisor reviderer regnskapet, ikke virksomhetens etterlevelse av myndighetskrav. Internrevisjon kan ha en bredere rolle, men virksomheten selv er ansvarlig.

Feil 5: Identifisering uten relevansvurdering

En lang liste over alle norske lover er ikke en identifisering. Det er en kopi av Lovdata. Identifisering krever vurdering: hva gjelder oss, og hvor mye?

Feil 6: Identifisering uten ansvarsplassering

Hvis ingen er ansvarlig for å holde oversikten oppdatert, blir den ikke oppdatert. «Alle» er det samme som «ingen».

Feil 7: Identifisering uten kobling til styringsdokumenter

Et identifisert krav uten kobling til en konkret instruks, rutine eller prosedyre er bare en notatslapp. Det er først når kravet styrer atferd at det gir verdi.

Den dyreste feilen

Den dyreste feilen er ikke å ha identifisert et krav man burde ha identifisert – den er å tro man har identifisert det fordi man har en perm med utskrifter, mens hverdagen styres av rutiner som ble skrevet før kravet ble vedtatt.

11. Digitale verktøy – manuell vs. systematisk tilnærming

Markedet for verktøy som hjelper virksomheter med identifisering og etterlevelse av myndighetskrav for virksomheter er fragmentert. Tilnærmingene varierer i kompleksitet, kostnad og verdi.

Regneark (Excel)

Nivå 1. Mange virksomheter starter her. Det fungerer for små virksomheter med få krav, men skalerer dårlig: vanskelig å samordne mellom personer, lett å miste versjonskontroll, ingen kobling til avvikssystem.

Mapper og dokumenter (SharePoint, Google Drive)

Nivå 2. Bedre struktur enn løse filer, men fortsatt manuell vedlikehold. Egnet for virksomheter med 10-50 ansatte og moderat kompleksitet.

Konsulenttjenester

Nivå 3. Profesjonell identifisering levert av advokat eller konsulent. Høy kvalitet ved leveringstidspunkt, men koster mye, og er statisk: oppdatering krever ny leveranse.

Generiske GRC-systemer (Governance, Risk, Compliance)

Nivå 4. Internasjonale plattformer som Diligent, Workiva, MetricStream. Avanserte, men ofte dyre og dårlig tilpasset norsk regelverk.

Strukturerte norske internkontrollsystemer

Nivå 5. Spesialiserte plattformer bygget for norsk regelverk og norske virksomheter. Internkontrollportalens IS-matrise med ca. 2 000 kategoriserte myndighetskrav for virksomheter er et eksempel: kravene er forhåndsidentifisert, og virksomheten gjør sin egen relevansvurdering, samsvarsvurdering og etterlevelsesvurdering – uten å starte fra blanke ark.

Valget mellom nivåene avhenger av virksomhetens størrelse, kompleksitet og risiko. For en SMB med 5-50 ansatte er regneark eller mapper ofte tilstrekkelig, men kvaliteten avhenger fullt ut av personen som vedlikeholder. For mellomstore og store virksomheter er en strukturert plattform nesten alltid bedre, både fordi den reduserer manuell jobb og fordi den gir tilsyn og styre dokumentasjon i et standardisert format.

12. Eksempler på myndighetskrav for virksomheter per type

Identifisering av myndighetskrav for virksomheter blir konkret når den knyttes til en spesifikk virksomhetstype. Her er fire eksempler som viser hvor ulikt regelverksbildet kan være.

Liten håndverksbedrift (rørlegger, 8 ansatte)

  • Aksjeloven, regnskapsloven, skatteforvaltningsloven
  • Arbeidsmiljøloven, ferieloven, folketrygdloven
  • Internkontrollforskriften, arbeidsplassforskriften
  • Brann- og eksplosjonsvernloven, byggherreforskriften (på byggeplass)
  • Plan- og bygningsloven (godkjenningskrav for ansvarsrett)
  • Personopplysningsloven (kunderegister)
  • Forskrift om tekniske krav til byggverk (TEK17)

Mellomstor kommune (2 500 innbyggere)

  • Kommuneloven, forvaltningsloven, offentleglova
  • Helse- og omsorgstjenesteloven, opplæringslova, sosialtjenesteloven
  • Arkivloven, personopplysningsloven (omfattende behandling)
  • Plan- og bygningsloven, forurensningsloven, brannvernloven
  • Anskaffelsesloven og forsyningsforskriften
  • Beredskapsloven, sivilbeskyttelsesloven
  • Internkontrollforskrifter på alle relevante sektorer

Mellomstor entreprenør (60 ansatte, bygg og anlegg)

  • Plan- og bygningsloven, byggesaksforskriften (SAK10), TEK17
  • Byggherreforskriften, arbeidsmiljøloven, internkontrollforskriften
  • Forurensningsloven, avfallsforskriften
  • Anskaffelsesloven (for offentlige oppdrag)
  • Aksjeloven, regnskapsloven, skatteforvaltningsloven
  • Krav til sentral godkjenning og lokal ansvarsrett
  • HMS-kort-forskriften, allmenngjøringsloven

Liten konsulent / kontorvirksomhet (12 ansatte)

  • Aksjeloven, regnskapsloven, skatteforvaltningsloven, bokføringsloven
  • Arbeidsmiljøloven, internkontrollforskriften, arbeidsplassforskriften
  • Personopplysningsloven (omfattende ved kundeleveranser)
  • Markedsføringsloven, hvitvaskingsloven (i visse bransjer)
  • Bransjespesifikk lovgivning (advokatloven, revisorloven, eiendomsmeglingsloven – avhengig av tjenesten)

Eksemplene viser to ting: omfanget varierer kraftig med bransje og størrelse, og den konkrete vurderingen kan ikke gjøres generisk. Hver virksomhet må gjennom prosessen selv – men en strukturert grunnoversikt som IS-matrisen reduserer arbeidet med 70-80 prosent for de fleste.

13. Identifisering som ledd i internkontroll og virksomhetsstyring

Identifisering av myndighetskrav for virksomheter er ikke en isolert oppgave – den er kjernen i to større rammeverk som de fleste virksomheter må forholde seg til.

Internkontroll

I henhold til internkontrollforskriften er identifisering av myndighetskrav for virksomheter det første kravet (§ 5 nr. 1). Resten av forskriften – risikovurdering, opplæring, dokumentasjon, avvikshåndtering, revisjon – bygger på at identifiseringen er gjort. Sviktende identifisering er den vanligste roten til avvik som tilsynsmyndighetene avdekker.

Virksomhetsstyring

I et bredere perspektiv inngår identifisering som en del av virksomhetsstyring. Styret kan ikke utøve sitt forvaltningsansvar uten å vite hvilke ytre krav virksomheten må forholde seg til. Daglig leders rapportering til styret om etterlevelse er bare meningsfull hvis det finnes en oversikt over krav å etterleve.

Risikostyring

Identifiserte krav er en sentral input til risikostyringen. Compliance-risiko – risikoen for brudd på myndighetskrav – kan ikke kvantifiseres uten en oversikt over hvilke krav som faktisk gjelder.

Tilsynsforberedelser

Et tilsyn fra Arbeidstilsynet, Datatilsynet eller andre myndigheter starter normalt med å be om virksomhetens dokumentasjon for identifisering av myndighetskrav for virksomheter: hvilke krav har dere identifisert som relevante, og hvordan etterlever dere dem? Et tydelig svar her setter tonen for hele tilsynet.

14. Sjekkliste for identifisering av myndighetskrav for virksomheter

Komplett sjekkliste

  • Virksomheten er beskrevet konkret nok til at relevansvurdering er mulig (bransje, størrelse, aktivitet, geografi, risiko)
  • Vi har gjennomgått alle relevante regelverksområder, ikke bare HMS
  • Vi har en strukturert oversikt med unik ID per krav
  • Hvert krav har en relevansvurdering (Høy / Lav / Ikke relevant)
  • Hvert krav har en risikovurdering
  • Hvert krav har en utpekt ansvarlig person/rolle
  • Hvert krav har en samsvarsvurdering (samsvar / avvik / under vurdering)
  • Hvert krav har en kobling til konkret styringsdokument eller tiltak
  • Det finnes en rutine for å oppdatere oversikten ved regelverksendringer
  • Oversikten er gjennomgått av styret og dokumentert i styreprotokoll
  • Identifiseringen revideres minst årlig
  • Resultatet kan fremvises tilsynsmyndighet uten ettearbeid

15. Avsluttende vurdering

Identifisering av myndighetskrav for virksomheter er den enkleste oppgaven å utsette – og den dyreste å forsømme. Den gir ingen umiddelbar verdi i form av salg, produktivitet eller innovasjon, men uten den faller hele resten av virksomhetsstyringen sammen som korthus i møte med et tilsyn, en hendelse eller et erstatningskrav.

For norske virksomheter er den gode nyheten at jobben ikke trenger å starte fra blanke ark. Med ca. 2 000 kategoriserte myndighetskrav for virksomheter i IS-matrisen er grovsorteringen ferdig. Det som gjenstår er virksomhetens egen vurdering av relevans – og oppfølgingen som gjør identifiseringen til mer enn en oversikt: et reelt styringsverktøy, koblet til risiko, samsvar, etterlevelse og avvik.

Identifisering av myndighetskrav for virksomheter er forutsetningen. Etterlevelse er gevinsten. Mellom dem ligger arbeidet – som dette systemet gjør strukturert, dokumentert og styrebart.

For dypere innføring i de tilliggende fagområdene, se våre pillar-artikler om Internkontroll, Virksomhetsstyring, Risikostyring og Begreper og definisjoner.

Ofte stilte spørsmål om myndighetskrav

Hva er forskjellen på lover, forskrifter og veiledere?

Lover vedtas av Stortinget og setter generelle rammer. Forskrifter vedtas med hjemmel i lov og er detaljerte og operative. Veiledere er ikke rettslig bindende i seg selv, men angir hvordan tilsynsmyndigheten tolker regelverket – og i praksis blir de ofte normerende. En god identifisering av myndighetskrav for virksomheter inkluderer alle tre kategoriene, men markerer dem tydelig fra hverandre.

Hvor mange myndighetskrav finnes det egentlig?

Norge har ca. 500 lover og 10 000 forskrifter. Internkontrollportalens IS-matrise har systematisert ca. 2 000 myndighetskrav for virksomheter som kan gjelde i Norge. Den enkelte virksomhet er normalt underlagt et betydelig mindre antall – avhengig av bransje, størrelse, aktivitet og geografi.

Hvem har ansvar for å identifisere myndighetskrav?

Det endelige ansvaret ligger hos styret og daglig leder. Styret har overordnet forvaltningsansvar etter aksjeloven § 6-12, og daglig leder har det operative ansvaret etter § 6-14. I praksis kan delegering skje til internkontrollansvarlig, HMS-ansvarlig eller fagansvarlige – men ansvaret kan ikke outsources til eksterne rådgivere.

Hvor ofte må identifiseringen oppdateres?

Som hovedregel skal identifiseringen være «levende» – det vil si at den oppdateres når regelverket endrer seg eller når virksomhetens aktivitet endrer seg. I praksis bør den ha en formell årlig revisjon som dokumenteres, kombinert med kontinuerlig oppdatering ved kjente endringer.

Gjelder veiledere som myndighetskrav?

Strengt juridisk sett er veiledere ikke rettslig bindende. Men hvis en tilsynsmyndighet konsekvent bruker en veileder som vurderingsgrunnlag, blir den i praksis normerende. Eksempler er Folkehelseinstituttets legionellaveileder og Datatilsynets veiledere om GDPR. Sentrale veiledere bør derfor være med i identifiseringen, men markert som veiledning.

Hvordan dokumenterer jeg at krav er identifisert?

Minst følgende per krav: navn, unik ID, kategori, ansvarlig person, relevansvurdering, risikovurdering, samsvarsstatus, etterlevelsesstatus og dato for siste vurdering. Dokumentasjonen kan være i regneark, internkontrollsystem eller annen strukturert form – men den må kunne fremvises tilsynsmyndighet uten ettearbeid.

Hva skjer hvis virksomheten ikke har identifisert relevante krav?

Konsekvensene av manglende identifisering av myndighetskrav for virksomheter varierer etter regelverket og bruddets alvor: avvik registrert ved tilsyn, pålegg om utbedring, daglige tvangsmulkter, overtredelsesgebyr, stenging av virksomhet, og i alvorlige tilfeller personlig styreansvar etter aksjeloven § 17-1 eller straffeansvar.

Kan jeg outsource identifiseringen til en advokat eller konsulent?

Du kan få bistand til selve gjennomgangen, men ansvaret blir hos virksomheten. Tilsynet henvender seg til virksomheten, ikke konsulenten. En god praksis er å bruke ekstern bistand til å etablere førsteversjon, og deretter eie og oppdatere den selv.

Hva er forskjellen på identifisering og samsvarsvurdering?

Identifisering svarer på spørsmålet «hvilke krav gjelder oss?». Samsvarsvurdering svarer på «etterlever vi de identifiserte kravene?». Begge er nødvendige – og samsvarsvurdering forutsetter at identifiseringen er ferdig. I IS-modellen er dette to atskilte ledd som dokumenteres separat for hvert krav.

Hva er IS-matrisen og hvordan brukes den til identifisering?

IS-matrisen er Internkontrollportalens strukturerte oversikt over ca. 2 000 myndighetskrav for virksomheter i Norge, kategorisert etter forretningsområde, med felter for relevans, risiko, samsvar, etterlevelse og ansvarlig person. Den brukes som utgangspunkt for virksomhetens egen identifisering: i stedet for å starte fra blanke ark, går virksomheten gjennom matrisen og merker hvilke krav som gjelder, hvor relevant de er, og hvem som har ansvaret. Resten av kjeden – samsvar, etterlevelse, avvik – bygges inn i samme system.

Om forfatterne

Svein Roar Holt – grunnlegger av Internkontroll AS og skaper av IS-modellen™
Svein Roar Holt Grunnlegger – Internkontroll AS & Internkontrollportalen.no

Skaper av IS-modellen™ og AvvikStandard™. Ekspert på strategisk virksomhetsstyring, governance og instruksbasert internkontroll. Har bygget Norges ledende digitale GRC-plattform for SMB og offentlig sektor.

Om Svein Roar → LinkedIn →
Maria Zahlsen – grunnlegger av Internkontroll AS, jurist med arbeidsrett og forretningsjuss
Maria Zahlsen Grunnlegger – Internkontroll AS & Internkontrollportalen.no

Jurist med spesialisering innen arbeidsrett, kontraktsrett og forretningsjuss. Ekspert på operativ etterlevelse, HR-juss og organisatorisk risikostyring – med særlig fokus på menneskelig faktor og praktisk implementering av styringsverktøy.

Om Maria → LinkedIn →
Identifisering av myndighetskrav for virksomheter – komplett guide
Ca. 2 000 myndighetskrav for virksomheter strukturert i IS-matrisen

Innhold på denne siden

  1. Hva er myndighetskrav?
  2. Omfanget – ca. 2 000 krav
  3. Lov, forskrift, veileder, vedtak
  4. Hvem har ansvaret?
  5. Fem steg til identifisering
  6. Identifisering vs. etterlevelse
  7. Sammenheng med IS-modellen
  8. Sammenheng med AvvikStandard™
  9. Hold oversikten oppdatert
  10. Vanlige feil
  11. Digitale verktøy
  12. Eksempler per virksomhetstype
  13. Kobling til internkontroll
  14. Sjekkliste
  15. Avsluttende vurdering

Ofte stilte spørsmål

Relaterte sider

Lovhenvisninger

Trenger du rådgivning?

Vi hjelper deg med virksomhetsstyring, internkontroll, HMS og GDPR.

Ta kontakt med oss →
Skroll til toppen