Styret – styreansvar

Hva er styreansvar?

Styreansvar er det rettslige ansvaret som påhviler medlemmer av et styre i kraft av deres verv. Ansvaret omfatter både handlingsplikter (det styret skal gjøre), tilsyns- og kontrollplikter (det styret skal påse at andre gjør), og en aktsomhetsnorm som binder hvert enkelt styremedlem personlig.

Styreansvaret er strengt personlig. Ingen kan instruere et styremedlem til å stemme på en bestemt måte, og hvert medlem må selv kunne stå inne for de beslutninger, handlinger eller unnlatelser som gjøres. Verken aksjonærtilhørighet, ansattrepresentasjon eller kollegiale beslutninger fjerner det personlige ansvaret.

I praksis består styreansvaret av tre samtidige dimensjoner:

• Selskapsrettslig ansvar – overfor selskapet, aksjonærene og kreditorene (asl. § 17-1)
• Strafferettslig ansvar – overfor samfunnet ved brudd på lov (straffeloven og særlovgivning)
• Tilsynsmessig ansvar – overfor kontrollmyndigheter (Arbeidstilsynet, Datatilsynet, Finanstilsynet m.fl.)

Lovgrunnlaget – aksjeloven og videre

Det selskapsrettslige fundamentet for styreansvar er aksjeloven §§ 6-12 og 6-13. Disse bestemmelsene definerer styrets forvaltnings- og tilsynsoppgaver:

Utover aksjeloven gjelder ansvar etter en rekke spesiallover, særlig der virksomheten driver i regulerte sektorer eller med samfunnskritisk risiko:

• Arbeidsmiljøloven – styreansvar ved systematiske brudd på sikkerhetsregler
• Forurensningsloven – personlig ansvar ved utslipp som skyldes manglende kontroll
• Personopplysningsloven (GDPR) – overtredelsesgebyr inntil 4 % av global omsetning
• Hvitvaskingsloven – ansvar for at rapporteringsrutiner fungerer
• Digitalsikkerhetsloven (NIS2) – direkte sanksjoner mot ledelsen ved manglende cyberkontroll
• Sikkerhetsloven – ansvar i virksomheter som omfattes av sikkerhetsloven
• Regnskapsloven – ansvar for at regnskap føres forsvarlig

Styret må derfor kjenne alle lover som regulerer virksomhetens kjerneområde – ikke bare aksjeloven.

De fire kjernepliktene i styreansvaret

Styreansvar i praksis kan reduseres til fire sammenhengende plikter. Hver plikt er en forutsetning for de øvrige – manglende oppfyllelse av én plikt undergraver hele kjeden.

Disse fire pliktene utgjør operasjonaliseringen av aksjeloven § 6-12. Styret kan delegere gjennomføringen, men ikke selve ansvaret.

Aktivt tilsyn – hva betyr det egentlig?

Aksjeloven § 6-13 pålegger styret å føre aktivt tilsyn. Hva som skiller aktivt fra passivt tilsyn er ofte avgjørende i ansvarsvurderinger.

Passivt tilsyn innebærer å motta og godkjenne ledelsens egne rapporter uten å verifisere underliggende data. Dette er ikke tilsyn i lovens forstand – det er ratifisering. Norske domstoler har gjentatte ganger slått fast at slik passivitet ikke oppfyller § 6-13.

Aktivt tilsyn kjennetegnes av:

• Styret etterspør og mottar uavhengig rapportering – ikke bare ledelsens egenrapportering
• Det finnes en fast årshjul-prosess for tilsyn med vesentlige risikoområder
• Styret protokollfører sine spørsmål, kritiske merknader og oppfølgingsvedtak
• Avvik og varsler behandles som faste agendapunkter
• Det utføres periodiske gjennomganger av internkontrollens funksjon
• Styret har tilgang til informasjon som ikke er filtrert av daglig leder

Dedikerte internkontrollressurser – beste praksis

Styrets sikrings- og tilsynsansvar ivaretas mest hensiktsmessig av en eller flere dedikerte internkontrollansvarlige som opererer uavhengig av virksomhetens daglige drift og rapporterer direkte til styret. Dette enten som en særskilt definert styreoppgave, eller – ofte mer hensiktsmessig – ved særskilt ansatte ressurser med spesialkompetanse.

Hvorfor uavhengighet er kritisk: En funksjon med særskilt definert myndighet til innsyn og tilgang kan gi styret objektiv rapportering som ikke er farget av virksomhetsledelsens daglige operative hensyn. Uten denne uavhengigheten risikerer styret å motta et systematisk skjevt bilde av virkeligheten – og dermed ikke kunne oppfylle sitt tilsynsansvar reelt.

Dedikerte internkontrollressurser bør minst:

• Ha rapporteringsrett direkte til styret, ikke kun til daglig leder
• Ha definert mandat til innsyn i alle deler av virksomheten
• Være beskyttet mot represalier og inngrep i sin uavhengighet
• Ha en fast plass i styrets årshjul
• Levere rapporter som dokumenterer både funn og styrets oppfølging

Sammenheng med internkontroll og styringssystem

Styreansvar og internkontroll er to sider av samme sak. Aksjelovens krav til "betryggende kontroll" (§ 6-12) operasjonaliseres gjennom internkontrollsystemet. Internkontrollforskriften pålegger virksomheten å systematisk planlegge, organisere, utføre, evaluere og forbedre arbeidet på områder som lov og forskrift krever.

Det er styrets ansvar å påse at:

• Risikobildet er kartlagt og oppdateres regelmessig
• Internkontrollsystemet dekker alle vesentlige risikoer
• Instrukser og rutiner er forankret i styringsretten og bindende
• Etterlevelse kontrolleres og avvik følges opp
• Ledelsens gjennomgang gjennomføres minst årlig
• Resultatene rapporteres til styret og dokumenteres

Et styre uten et fungerende internkontrollsystem opererer rettslig blindt. Det er ikke spørsmål om risiko inntreffer – det er spørsmål om når.

Personlig ansvar – når styreansvaret blir privat

Styreansvar er som hovedregel et plikt-ansvar – styret skal gjøre noe. Når plikten svikter, blir det et konsekvens-ansvar som rammer den enkelte personlig.

Ansvaret kan materialisere seg på tre nivåer:

Ansvarsnivå	Hjemmel	Konsekvens	Forsikring?
Erstatningsansvar	Asl. § 17-1	Personlig og ubegrenset økonomisk ansvar	Som hovedregel ja
Strafferettslig ansvar	Straffeloven og særlovgivning	Bot, fengsel, rettighetstap	Nei
Foretaksstraff	Straffeloven § 27	Bot for foretaket; tap av rettigheter	Begrenset
Karantene/rettighetstap	Konkursloven og straffeloven	Tap av retten til å sitte i styre eller drive virksomhet	Nei

For en grundig gjennomgang av den strafferettslige dimensjonen, se vår fagartikkel om personlig styreansvar – når systemsvikt blir straffbart.

Skyldgraden – fra alminnelig uaktsomhet til forsett

Hvor høy skyldgrad som kreves for ansvar varierer mellom rettsregimene:

• Alminnelig uaktsomhet – tilstrekkelig for erstatningsansvar etter asl. § 17-1
• Grov uaktsomhet – ofte krav for personlig straffansvar etter særlovgivning
• Forsett – kreves for de groveste straffebudene (økonomisk kriminalitet, korrupsjon)

For foretaksstraff etter strl. § 27 er det viktig å merke seg at det ikke kreves at noen enkeltperson kan dømmes – ansvaret er objektivt på foretaksnivå. Dette betyr i praksis at virksomheten kan straffes selv om styremedlemmene personlig går fri – men styrets manglende systemarbeid blir et skjerpende moment ved straffeutmålingen.

Rettsutvikling – styreansvar har blitt strengere

Norsk rettspraksis viser en tydelig utvikling de siste 20 årene:

• Eksplosiv økning i antall saker: Fra et titalls saker årlig på 2000-tallet til flere hundre i dag
• Skjerpet aktsomhetskrav: Domstolene stiller stadig høyere krav til styrets dokumenterte oppfølging
• Utvidet medvirkeransvar: Også andre enn styremedlemmer (rådgivere, ansatte) kan rammes ved medvirkning
• Nye sektorlover: NIS2, åpenhetsloven og bærekraftsdirektivet (CSRD) utvider styrets ansvarsområde
• Skjerpet GDPR-regime: Datatilsynets gebyrnivå har økt betydelig

Praktisk styrearbeid – årshjulet for forsvarlig tilsyn

Et styre som vil oppfylle sine plikter etter aksjeloven bør operere etter et fast årshjul. Et minimumsoppsett:

Periode	Tilsynsaktivitet
Hvert styremøte	Gjennomgang av økonomisk status, vesentlige avvik og varsler
Kvartalsvis	Status på risikobildet, oppfølging av tilsynssaker, KPI-rapportering
Halvårlig	Gjennomgang av internkontrollens funksjon på utvalgte områder
Årlig	Ledelsens gjennomgang, samlet risikoanalyse, evaluering av styrets eget arbeid
Ved behov	Ekstraordinære gjennomganger ved hendelser, tilsyn eller endringer

Hvert punkt skal protokollføres, dokumenteres og være sporbar i styrets arkiv. Manglende protokollføring tilsvarer i praksis at oppgaven ikke er utført – det er protokollen som beviser at styret faktisk har gjort jobben.

Sjekkliste – er ditt styre rettslig forsvarlig rigget?

Som styremedlem bør du minst én gang i året kunne svare ja på alle disse spørsmålene:

• Har styret en oppdatert oversikt over virksomhetens vesentlige risikoer?
• Er det vedtatt skriftlige instrukser som dekker disse risikoene?
• Mottar styret periodisk rapportering om internkontrollens tilstand?
• Er rapporteringen uavhengig av daglig leders egen vurdering?
• Følger styret opp avvik og varsler systematisk?
• Er styrets vedtak og oppfølging dokumentert i protokollene?
• Har styret en årshjul-prosess for tilsyn?
• Er det gjennomført en ledelsens gjennomgang siste 12 måneder?
• Har styret etterspurt status på områder vi vet er risikoutsatte?
• Er internkontrollen testet av andre enn de som utøver den?
• Har styret kompetanse på sektorlovgivningen virksomheten omfattes av?
• Er styrets eget arbeid evaluert det siste året?

Manglende ja på flere av disse spørsmålene er ikke et tegn på at styret er dårlig – det er et signal om at arbeidet må profesjonaliseres før en hendelse gjør det rettslig påkrevd.

Avsluttende vurdering

Styreansvar er ikke en abstrakt juridisk konstruksjon – det er en daglig praksis som materialiseres gjennom protokoller, instrukser, rapporter og oppfølgingsspor. Et styre som tar ansvaret seriøst, bygger systemer som både forebygger hendelser og dokumenterer styrets eget tilsyn.

Tre forhold er særlig viktige:

• Ansvar kan ikke delegeres bort. Gjennomføring delegeres; ansvar består.
• Tilsyn må være aktivt og uavhengig. Passive godkjenninger av ledelsens egenrapportering er ikke tilsyn i lovens forstand.
• Dokumentasjon er beviset på etterlevelse. Det som ikke står i protokollen, har i rettslig forstand ikke skjedd.

Gjennom IS-modellen™ tilbyr Internkontroll AS et helhetlig rammeverk som dekker alle fire kjerneplikter – etablering, forankring, etterlevelse og tilsyn – og gir styret den dokumentasjonskjeden som beskytter mot personlig ansvar når tilsyn eller etterforskning oppstår.