Hva er forskjellen mellom avvik og fravik?

Et avvik er et utilsiktet brudd på lov, forskrift eller intern instruks. Et fravik er en bevisst, autorisert og dokumentert avgjørelse om å gjøre noe annerledes enn det fastsatte, innenfor styringsrettens rammer eller på grunnlag av innvilget dispensasjon. Avvik er svikt; fravik er styring.

Hva er de to typene fravik?

Type 1: Fravik fra intern instruks – hjemlet i styringsretten. Type 2: Fravik fra myndighetskrav – hjemlet i en konkret dispensasjonshjemmel i lov eller forskrift, innvilget skriftlig av rette myndighet før handlingen utføres.

Når er en handling et fravik og ikke et avvik?

Når alle fem vilkår er oppfylt: tilsiktet, autorisert, begrunnet, skriftlig dokumentert, og tidsavgrenset. Mangler ett vilkår, er forholdet et avvik.

Hva skjer hvis et fravik feilklassifiseres som avvik?

Lederen som har utøvd sin lovlige styringsrett blir straffet i avvikssystemet, kulturen skades, og over tid tør ikke ledere ta autoriserte beslutninger.

Hva skjer hvis et avvik feilklassifiseres som fravik?

Systemsvikt skjules som lovlig avgjørelse, rotårsaken avdekkes ikke, og risikoen for gjentakelse vedvarer. I grove tilfeller kan dette utgjøre brudd på aksjeloven § 6-12 med personlig ansvar.

Hva er forskjellen mellom avvik og hendelse?

Et avvik er et brudd på lov, forskrift eller egne instrukser og indikerer systemsvikt. En hendelse er en uønsket situasjon som ikke skyldes brudd på myndighetskrav eller instrukser.

Hva er forskjellen mellom avvik og observasjon?

En observasjon er et forbedringspunkt uten påvist brudd på myndighetskrav eller instrukser. Observasjoner håndteres i forbedringssystemet uten rotårsaksanalyse.

Når er et nesten-uhell et avvik?

Når det berører myndighetskrav, avdekker svak eller manglende instruks, indikerer svikt i barrierer, eller har høy potensiell konsekvens (rød eller svart kritikalitet).

Hva er dokumentkvelning?

Dokumentkvelning oppstår når avvikssystemet fylles med hendelser, observasjoner og fravik som ikke er reelle avvik. Ledelsen drukner i saker uten reell systemrisiko.

Hvilke ni roller definerer AvvikStandard?

Melder, klassifisør, saksbehandler, analyseansvarlig, tiltaksansvarlig, godkjenner, instruksansvarlig, fravikssøker og fraviksgodkjenner. Saksbehandler og godkjenner kan aldri være samme person.

Hva er et A-tiltak og hvorfor er det viktigst?

A-tiltak er systemiske tiltak som endrer instrukser, innfører tekniske barrierer eller automatiserer kontroll. De fjerner muligheten for gjentakelse. Ved rød og svart kritikalitet er A-tiltak obligatorisk.

Hva er 1-3-6 effektmåling?

Effekten av tiltak kontrolleres etter 1, 3 og 6 måneder. Hver kontroll skal munne ut i en entydig JA/NEI-bekreftelse på om tiltaket fungerer.

Hvilke KPI-er produserer AvvikStandard?

Åtte obligatoriske KPI-er: avviksrate per enhet, avviksrate per kritikalitet, lukketid, tiltaksfordeling A/B/C, 1-3-6 lukkegrad, fraviksrate, repeterte avvik, og mønster-fravik.

Hvordan henger AvvikStandard og IS-modellen sammen?

IS-modellen definerer instruksstyringen. AvvikStandard oppdager når instruksene ikke etterleves (avvik), når de bevisst avvikes (fravik), eller når de bør revideres.

Kan AvvikStandard brukes i personalsaker?

Nei. AvvikStandard er et verktøy for systemforbedring, ikke skyldplassering. Den skal ikke brukes i personalsaker, som sanksjonsverktøy eller som beredskapsplan.

AvvikStandard™ v1.2 | Internkontroll AS

AvvikStandard™

Helhetlig modell for avviksstyring, fravikshåndtering, etterlevelse og kontinuerlig forbedring

Versjon 2.0 MASTER © Internkontroll AS Oppdatert mai 2026

Forfattere: Svein Roar Holt & Maria Zahlsen – Internkontroll AS | Sist oppdatert: mai 2026 | Juridisk forankring: Internkontrollforskriften § 5, AML § 3-1, aksjeloven §§ 6-12, 6-14, 6-15, 17-1, GDPR art. 5-6, åpenhetsloven §§ 4-5, ISO 9001:2015, COSO ERM 2017

1. Formål og anvendelsesområde

AvvikStandard™ er en helhetlig modell for identifisering, klassifisering, analyse, behandling og læring av avvik og fravik i virksomhetsstyring og internkontroll.

Formålet med AvvikStandard™ er å sikre at virksomheten:

etterlever lov, forskrift og andre myndighetskrav
etterlever egne styringsdokumenter og instrukser
skiller tydelig mellom utilsiktede brudd (avvik) og tilsiktede autoriserte unntak (fravik)
identifiserer systemsvikt på en tidlig og strukturert måte
gjennomfører korrigerende og forebyggende tiltak med dokumentert effekt
oppnår varig forbedring og reduserer risiko for gjentakelse
gir styret og ledelsen kvantifiserbare styringsindikatorer
behandler tredjeparts-relaterte avvik etter samme metodikk
sikrer GDPR-etterlevelse i avviksregisteret
bygger en kultur der det er trygt å melde fra

Modellen kan benyttes på tvers av fagområder, herunder HMS, kvalitet, personvern, informasjonssikkerhet, arbeidsmiljø, økonomi og øvrig virksomhetsstyring.

2. Normativt hierarki

AvvikStandard™ etablerer ingen nye materielle krav, men er en metodisk ramme for etterlevelse. Følgende normhierarki gjelder alltid:

Lov og forskrift (myndighetskrav) – ufravikelig minimum
Virksomhetens interne styringsdokumenter og instrukser – styringsrettens uttrykk
AvvikStandard™ som metode for identifikasjon, klassifisering, analyse, korrigering og forbedring

Presisering

AvvikStandard™ erstatter ikke instrukser, overstyrer ikke myndighetskrav, og benyttes for å avdekke, analysere og korrigere manglende eller utilstrekkelig etterlevelse – samt for å skille slike brudd fra autoriserte fravik.

3. Sentrale begreper og kategorier

3.1 Myndighetskrav og instrukser (sannhetspunkter)

Myndighetskrav (lov og forskrift) og interne instrukser utgjør virksomhetens normative sannhetspunkter. All praksis, adferd og beslutning vurderes direkte opp mot disse. Manglende etterlevelse innebærer at det foreligger et avvik – med mindre forholdet er et autorisert fravik (se 3.7 og seksjon 4).

3.2 Avvik

Definisjon: Et utilsiktet brudd på lov, forskrift eller virksomhetens interne instrukser. Indikerer systemsvikt og krever rotårsaksanalyse, tiltak og effektmåling.

Eksempel Operatør fyller ikke ut den daglige kontrolloggen som instruksen krever. Det foreligger ingen autorisert dispensasjon. → Avvik.

3.3 Hendelse

Definisjon: En uønsket situasjon som ikke kan tilbakeføres til brudd på myndighetskrav eller interne instrukser, og som ikke skyldes svikt i virksomhetens styringssystem.

Eksempel En kunde reklamerer på en levering som ble levert i tråd med kontraktens ordlyd, men som ikke matchet kundens forventning. Ingen instrukser brutt. → Hendelse.

Viktig avgrensning

Hendelser skal ikke underlegges rotårsaksanalyse, inngå i avviksstatistikk eller belaste avviksrapportering.

3.4 Nesten-uhell

Definisjon: En situasjon som under marginalt endrede omstendigheter kunne ha medført skade, tap eller alvorlige konsekvenser.

Eksempel En truckfører kommer 30 cm unna en gående person fordi siktforholdene var dårlige. Ingen skade skjedde. Men instruksen om sonedeling mellom kjøretøy og fotgjengere er ikke fulgt opp i praksis. → Nesten-uhell, behandles som avvik.

3.5 Observasjon

Definisjon: Et forbedringspunkt uten påvist brudd på myndighetskrav eller instrukser.

Eksempel En medarbeider foreslår at man kan flytte sjekklisten til mobiltelefonen for å spare tid. Dagens instruks er fulgt, men kan forbedres. → Observasjon.

3.6 Prinsipp for styringsmessig utskilling

Grunnprinsipp

Kun forhold som innebærer et utilsiktet brudd på myndighetskrav eller interne instrukser skal behandles som avvik.

Manglende eller uklar utskilling fører til dokumentkvelning, redusert kvalitet i avviksbehandlingen, og økt risiko for at alvorlige avvik ikke behandles korrekt.

Lederansvar

Korrekt klassifisering er en lederoppgave. Feilklassifisering anses som svikt i styringsprosessen.

3.7 Fravik

Definisjon: En bevisst, autorisert og dokumentert avgjørelse om å gjøre noe annerledes enn det som er fastsatt i en instruks eller et myndighetskrav, innenfor lovens og styringsrettens rammer.

Eksempel Daglig leder godkjenner skriftlig at to-stegs godkjenning av innkjøp utelates for én konkret tre-dagers driftssituasjon ved overgang til nytt ERP-system. Dokumentert med dato, varighet og begrunnelse. → Fravik.

4. Fravik vs. avvik – det styringsmessige skillet

4.1 Hva er fravik?

Et fravik er en lovlig styringshandling der den som har myndighet over en instruks bevisst velger å gjøre noe annerledes enn det instruksen pålegger. Det er det motsatte av et avvik: i stedet for å være en utilsiktet svikt i etterlevelse, er det en tilsiktet og autorisert beslutning.

Begrepet er kritisk fordi det beskytter to ting:

Ledelsens reelle styringsrett – uten fravik-konseptet vil enhver bevisst avgjørelse om å avvike fra en instruks bli klassifisert som "avvik"
Avvikssystemets integritet – et system som behandler både utilsiktede brudd og lovlige styringsvedtak som "avvik" mister evnen til å skille systemsvikt fra normal styring

4.2 To typer fravik

Type 1: Fra virksomhetskrav

Hjemlet i styringsretten

Den som har myndighet over en intern instruks kan også avvike fra den, så lenge avgjørelsen holder seg innenfor myndighetskrav. Aktører: instruksansvarlig, daglig leder, eller leder med uttrykt fullmakt.

Type 2: Fra myndighetskrav

Hjemlet i innvilget dispensasjon

Konkret dispensasjonshjemmel i lov eller forskrift, og innvilget skriftlig vedtak fra rette myndighet før handlingen utføres. Aktører: tilsynsmyndighet (Arbeidstilsynet, Datatilsynet, kommunen, etc.).

4.3 Femvilkårstesten – når noe er fravik (ikke avvik)

Et forhold kvalifiserer som fravik kun når alle fem vilkår er oppfylt samtidig:

Tilsiktet: Beslutningen er tatt med vilje og full kunnskap om instruksen/kravet
Autorisert: Vedtatt av noen med uttrykt myndighet til å avvike
Begrunnet: Saklig styringsmessig grunn er dokumentert
Skriftlig dokumentert: Vedtak er nedtegnet med dato, ansvarlig, begrunnelse og varighet
Tidsavgrenset: Gjelder konkret situasjon/periode, ikke som vedvarende praksis

Viktig

Mangler ett vilkår, er forholdet et avvik – uansett hva det kalles. Et "fravik" uten hjemmel er bare et avvik med pent navn.

4.4 Fraviks tidsdimensjon

Punktfravik Timer/dager

Én konkret handling i en akutt situasjon

Periodefravik Uker/måneder

Avgrenset periode, f.eks. omstilling eller ferieavvikling

Strukturfravik Maks 3 mnd

Inntil instruksen er revidert. Skal aldri vare lenger uten instruksendring

4.5 Konsekvenser av feilklassifisering

Avvik feilklassifisert som fravik

Systemsvikt skjules som "lovlig avgjørelse", rotårsak avdekkes ikke, risiko for gjentakelse. I grove tilfeller brudd på asl. § 6-12 med personlig ansvar etter § 17-1.

Fravik feilklassifisert som avvik

Ledere straffes for å utøve sin lovlige styringsrett, statistikk forvrenges, kultur skades, tillit til avvikssystemet smuldrer.

Korrekt klassifisering krever en eksplisitt fraviksinstruks som angir hvem som kan godkjenne, hvordan dokumentasjon skjer, og et fraviksregister separat fra avviksregisteret.

5. Aktører og roller i AvvikStandard™

For at modellen skal være entydig og etterprøvbar, definerer AvvikStandard™ ni distinkte roller. En person kan inneha flere roller, men hver rolle må alltid fylles.

5.1 De ni rollene

Melder

Den som oppdager og rapporterer forholdet. Lav terskel, anonym mulig.

Klassifisør

Førstegangsklassifisering. Linjeleder for berørt enhet.

Saksbehandler

Driver saken gjennom fasene 1-7. Linjeleder eller utpekt fagperson.

Analyseansvarlig

Leder rotårsaksanalysen (MTO). Internkontrollansvarlig eller fagleder.

Tiltaksansvarlig

Implementerer A/B/C-tiltak. Den med operativt ansvar.

Godkjenner

Lukker saken etter verifikasjon. Daglig leder eller delegert fullmakt.

Instruksansvarlig

Myndighet til å endre instruks (kritisk ved A-tiltak). Direktør/fagsjef.

Fravikssøker

Den som ber om eller tar et fravik. Linjeleder, fagsjef, daglig leder.

Fraviksgodkjenner

Myndighet til å godkjenne fravik. Instruksansvarlig (Type 1) eller tilsynsmyndighet (Type 2).

5.2 RACI-matrise – kjernefasene

Aktivitet	Melder	Klass.	Saksb.	Anal.	Tilt.	Godkj.	Instruks.
Melding mottas	R	I	I	–	–	–	–
Klassifisering	I	R	C	–	–	A	–
Rotårsaksanalyse	C	I	C	R	I	A	C
A-tiltak	–	I	C	C	C	A	R
B/C-tiltak	–	I	C	C	R	A	I
Implementering	–	I	C	I	R	A	C
1-3-6 verifikasjon	–	I	R	C	I	A	C
Lukking	–	I	C	I	I	R	I

R = Responsible, A = Accountable, C = Consulted, I = Informed

Ufravikelige prinsipper

• Hver rolle må alltid være tildelt før saksbehandling starter
• Saksbehandler og godkjenner kan aldri være samme person
• Analyseansvarlig bør være uavhengig av tiltaksansvarlig
• Instruksansvarlig involveres alltid ved A-tiltak

6. Eskaleringsmatrisen

6.1 Eskalering – avvik

Kritikalitet	Eskaleringsterskel	Tidsfrist	Varslingsplikt
🟢 Grønn	Linjeleder behandler lokalt	7 dager til vedtak	Avd.leder ved måned-rapport
🟡 Gul	Linjeleder → avdelingsleder	24 timer til involvering	Avdelingsleder skriftlig
🔴 Rød	Avd.leder → daglig leder	8 timer til involvering	Daglig leder + IK-ansvarlig
⚫ Svart	Daglig leder → styret + tilsyn	Umiddelbart (samme dag)	Styreleder, IK-ansvarlig, tilsyn

6.2 Lukketidsfrister

Kritikalitet	Initialvurd.	Rotårsak	Tiltak iverksatt	1-3-6 ferdig
🟢 Grønn	7 dager	14 dager	30 dager	6 mnd
🟡 Gul	24 timer	7 dager	14 dager	6 mnd
🔴 Rød	8 timer	72 timer	7 dager	6 mnd
⚫ Svart	Umiddelbart	24 timer	24-72 timer	6 mnd

6.3 Eskalering – fravik

Type fravik	Hvem godkjenner	Maks varighet	Rapportering
Type 1 punkt	Instruksansvarlig / daglig leder	Dager	Linjeleder informeres
Type 1 periode	Daglig leder	Maks 3 måneder	Ledergruppen
Type 1 struktur	Daglig leder + instruksrevisjon	3 mnd uten revisjon = avvik	Styret ved kvartal
Type 2 (myndighet)	Tilsynsmyndighet	Etter dispensasjon	Styret + IK-ansvarlig

Manglende eskalering

Manglende eskalering eller feilklassifisering anses som systemsvikt og kan i seg selv klassifiseres som avvik.

7. AvvikStandard™ – de syv fasene

Fase 1

Eksponering og umiddelbar respons

Identifisering, faktafesting og umiddelbar sikring for å redusere skade.

Fase 2

Klassifisering og kritikalitet

Forhold klassifiseres som avvik, fravik, hendelse, nesten-uhell eller observasjon. Avvik gis kritikalitet.

Fase 3

Strategisk ansvarsetting

Roller tildeles per RACI-matrisen i seksjon 5. Instruksansvarlig involveres tidlig ved A-tiltak.

Fase 4

Rotårsaksanalyse (MTO)

Menneske, Teknologi, Organisasjon. Metode velges: 5-Hvorfor, Bow-tie, Fishbone eller SCAT.

Fase 5

Tiltaksstyring (A-B-C)

Tiltak prioriteres etter styrke. A-tiltak obligatorisk ved rød og svart kritikalitet.

Fase 6

Effektmåling (1-3-6)

Effekt kontrolleres etter 1, 3 og 6 måneder med entydig JA/NEI-bekreftelse.

Fase 7

Hub-basert læring og forbedring

Læring deles på mikro-, meso-, makro- og meta-nivå. Mønstre i fravik utløser instruksrevisjon.

Klassifiseringssløyfe (fase 2)

1. Foreligger autorisert fravik som dekker forholdet? JA → Registreres som fravik (separat register) NEI → Gå til steg 2 2. Er det brudd på myndighetskrav eller intern instruks? JA → Avvik – fortsett til kritikalitetsvurdering NEI → Gå til steg 3 3. Er det en uønsket situasjon uten normbrudd? JA → Hendelse (lokal oppfølging) NEI → Gå til steg 4 4. Er det et forbedringspunkt uten brudd? JA → Observasjon (forbedringssystem) NEI → Gå til steg 5 5. Kunne situasjonen ført til skade ved minimal endring? JA → Nesten-uhell (vurder som avvik)

Fase 2 – Kritikalitetsnivåer (kun avvik)

🟢 Grønn

🟡 Gul

🔴 Rød

⚫ Svart

Fase 4 – Utvidet rotårsakspark

Metode	Anvendes ved	Styrke
5-Hvorfor	Enkle, lineære årsaker (🟢🟡)	Rask, lett å lære
Bow-tie	Sikkerhet med klare barrierer (🔴⚫)	Visualiserer barrierer
Fishbone (Ishikawa)	Komplekse, multi-årsakssaker	Avdekker parallelle årsaker
SCAT	Sikkerhet med personskade	Strukturert, akkreditert

Fase 5 – Tiltakshierarki (A-B-C)

A-tiltak (systemiske)

Endring av instruks, tekniske/fysiske barrierer, automatisering. Bør utformes som tekniske sperrer som gjør det fysisk umulig å bryte instruksen. Obligatorisk ved 🔴⚫.

B-tiltak (kompetanse)

Opplæring, sertifisering, kompetanseheving. Støtter A-tiltak.

C-tiltak (adferd)

Påminnelser og rutineendringer. Kan aldri stå alene.

Fase 6 – Effektmåling (1-3-6)

JA/NEI-bekreftelse

Hver effektkontroll (1-3-6 måneder) skal munne ut i en entydig JA/NEI-bekreftelse på om tiltaket eller barrieren fungerer som forutsatt. Manglende gjentakelse alene er ikke tilstrekkelig.

8. Hub-basert læring og forbedring

8.1 Læringsnivåene

Nivå	Definisjon	Læringsterskel
Mikro	Innen én enhet	Lokal behandling og lukking
Meso	På tvers av enheter i samme virksomhet	3 like avvik = tverrgående gjennomgang
Makro	På tvers av virksomheter (konsern, bransje)	Identifisert mønster med systemisk relevans
Meta	Påvirker AvvikStandard™ selv	Modellrevisjon ved gjentatte gap

8.2 Læringsterskler – konkrete utløsere

Obligatorisk instruksrevisjon

• 5 avvik på samme rotårsak → instruksrevisjon obligatorisk
• 5 like fravik → instruksrevisjon obligatorisk
• Strukturfravik > 3 mnd uten revisjon → reklassifiseres som avvik

9. Kobling til risikostyring

AvvikStandard™ er reaktiv – avviket har skjedd. Men hver avviksbehandling skal også oppdatere virksomhetens forebyggende risikostyring.

Speil-prinsippet

Funn fra rotårsaksanalysen skal alltid speiles i risikoregisteret. Før tiltak: oppdatert sannsynlighet og konsekvens. Etter 1-3-6 verifikasjon: restrisiko vurderes på nytt.

10. Modellens styringsindikatorer (KPI-er)

For å støtte styrets tilsynsplikt etter aksjeloven § 6-12 og § 6-15, skal AvvikStandard™ produsere kvantifiserbare målepunkter.

10.1 Åtte obligatoriske KPI-er

Avviksrate per enhetAntall per 1000 timer · Måned · Linjeleder

Avviksrate per kritikalitetFordelt 🟢🟡🔴⚫ · Måned · Daglig leder

Lukketid per kritikalitetMedian/snitt dager · Måned · Daglig leder

TiltaksfordelingAntall A vs B vs C · Kvartal · Styret

1-3-6 lukkegrad% saker med JA på alle tre · Kvartal · Styret

FraviksrateAntall fravik / antall avvik · Kvartal · Styret

Repeterte avvikSamme rotårsak innen 6 mnd · Kvartal · Styret

Mønster-fravikLike fravik > 3 stk · Kvartal · Daglig leder

Tolkning av indikatorene

Stigende avviksrate er ikke automatisk negativt – det kan tvert imot bety bedre meldekultur. Det som er negativt: stigende repetisjonsrate på samme rotårsak, lav 1-3-6-lukkegrad, eller stigende C-tiltaksandel.

11. Tredjepartshåndtering

AvvikStandard™ behandler avvik forårsaket av tredjepart (leverandør, underleverandør, kontraktspartner) etter samme metodikk, med tilleggssteg:

Kontraktsmessig oppfølging mot tredjepart
Sanksjonsvurdering etter kontraktens bestemmelser
Læringskobling til leverandørevaluering
Aksjeloven § 6-12: Styret skal ha oversikt over tredjepartsrisiko

Åpenhetsloven – ingen Type-2 fravik

For virksomheter omfattet av åpenhetsloven gjelder kobling til aktsomhetsvurderinger og rapporteringsplikt. Type-2 fravik fra åpenhetslovens krav er ikke mulig – loven gir ikke dispensasjonsadgang.

12. GDPR og avviksregisteret

12.1 Behandlingsgrunnlag

Avvikstype	Rettslig grunnlag (GDPR art. 6)
HMS- og arbeidsmiljøavvik	Art. 6(1)(c) – rettslig forpliktelse (AML)
Personvernavvik	Art. 6(1)(c) – rettslig forpliktelse (GDPR art. 33)
Kvalitets- og driftsavvik	Art. 6(1)(f) – berettiget interesse
Varslingssaker	Art. 6(1)(c) – rettslig forpliktelse (AML kap. 2A)

12.2 Sletteregler

Avvikstype	Lagringstid	Hjemmel
Avsluttede driftsavvik (🟢🟡)	5 år	Bokføringsloven, dokumentasjon
Sikkerhetsavvik (🔴⚫)	10 år	HMS-historikk, tilsyn
GDPR-brudd	5 år etter siste handling	GDPR-tilsyn og sanksjoner
Personopplysninger i analyse	Anonymiseres etter 2 år	Dataminimering

Tilgangskontroll

Linjeleder kun til egen enhet. Ledergruppen til virksomheten. Styret til aggregert statistikk. Anonymisering ved deling i fase 7. Tilgangslogg skal kunne dokumentere hvem som har sett hvilke avviksopplysninger.

13. Kulturelle minstekrav

AvvikStandard™ kan ikke fungere uten en støttende kultur. Modellen stiller fire operative kulturkrav:

13.1 Anonym meldemulighet

Det skal være mulig å melde avvik anonymt. Anonymitet kan ikke garanteres ved varsling etter AML kap. 2A der saksbehandling forutsetter dialog, men terskelen for å melde må være lav.

13.2 Tilbakemeldingsfrist

Den som melder skal innen 5 arbeidsdager motta bekreftelse, klassifisering og forventet behandlingstid.

13.3 Transparens på "lukkede uten tiltak"

Statistikk skal være tilgjengelig for ansatte. Hvis flere enn 30 % av meldingene lukkes uten tiltak, signaliserer det enten feilklassifisering eller manglende læring.

13.4 Årlig kulturmåling

"Jeg vet hvor jeg melder fra om avvik"
"Jeg er trygg på at meldinger får oppfølging"
"Jeg har ikke opplevd negative konsekvenser av å melde"
"Jeg har tillit til ledelsens håndtering av avvik"

14. Avgrensning for bruk av AvvikStandard™

AvvikStandard™ skal ikke brukes:

som sanksjonsverktøy
i personalsaker (med mindre saken avdekker en underliggende systemsvikt)
som krise- eller beredskapsplan
som tvisteløsningsverktøy uten systemdimensjon
som forsøk på å konvertere systemsvikt til fravik i ettertid
som erstatning for risikostyring

Formålspresisering

AvvikStandard™ er et verktøy for systemforbedring og styringsmessig læring, ikke skyldplassering. Fravik-konseptet er ikke en bakdør for å skjule avvik – det er en formalisering av legitim styringsrett.

15. Versjonshistorikk og endringshåndtering

15.1 Versjonshistorikk

Versjon	Dato	Endringer
v1.0	2025	Første utkast
v1.1	2026	Juridisk forankring, MTO-rammeverk
v1.2	april 2026	A-B-C-tiltak, 1-3-6 effektmåling, hub-læring
v2.0	mai 2026	Major: fravik-konseptet, RACI-roller, eskaleringsmatrise, utvidet rotårsakspark, KPI-er, tredjepart, GDPR, kulturkrav

15.2 Endringspolicy

Endringstype	Versjonsnotasjon	Godkjenning
Mindre presiseringer	v2.0.1 (patch)	Forfatter
Tillegg uten endring av eksisterende	v2.1 (minor)	Forfatter + faglig peer
Substansielle utvidelser	v3.0 (major)	Forfatter + ekstern fagvurdering

Pågående saker behandles ferdig etter den versjon som var gjeldende ved oppstart. Tre måneder etter major-versjon fases gammel versjon ut.

Trenger din virksomhet å implementere AvvikStandard™?

Vi bistår med opplæring, implementering og kvalitetssikring av AvvikStandard™ tilpasset din virksomhets størrelse, bransje og risikobilde.

KONTAKT INTERNKONTROLL AS →

Ofte stilte spørsmål om AvvikStandard™

Hva er forskjellen mellom avvik og fravik?: Et avvik er et utilsiktet brudd på lov, forskrift eller intern instruks – det indikerer systemsvikt og krever rotårsaksanalyse. Et fravik er en bevisst, autorisert og dokumentert avgjørelse om å gjøre noe annerledes enn det fastsatte, innenfor styringsrettens rammer eller på grunnlag av innvilget dispensasjon. Avvik er svikt; fravik er styring.
Hva er de to typene fravik?: Type 1: Fravik fra intern instruks – hjemlet i styringsretten. Den som har myndighet over en instruks kan velge å avvike fra den, så lenge avgjørelsen er innenfor myndighetskrav. Type 2: Fravik fra myndighetskrav – hjemlet i en konkret dispensasjonshjemmel i lov eller forskrift, innvilget skriftlig av rette myndighet før handlingen utføres.
Når er en handling et fravik og ikke et avvik?: Når alle fem vilkår er oppfylt: tilsiktet, autorisert, begrunnet, skriftlig dokumentert, og tidsavgrenset. Mangler ett vilkår, er forholdet et avvik – uansett hva det kalles. Et "fravik" uten hjemmel er bare et avvik med pent navn.
Hva skjer hvis et fravik feilklassifiseres som avvik?: Lederen som har utøvd sin lovlige styringsrett blir straffet i avvikssystemet, kulturen skades, og over tid tør ikke ledere ta autoriserte beslutninger. Dette undergraver virksomhetens styringsrett og forvrenger avviksstatistikken.
Hva skjer hvis et avvik feilklassifiseres som fravik?: Systemsvikt skjules som "lovlig avgjørelse", rotårsaken avdekkes ikke, og risikoen for gjentakelse vedvarer. I grove tilfeller kan slik feilklassifisering utgjøre brudd på aksjeloven § 6-12 om forsvarlig organisering – med personlig ansvar for ledelsen.
Hva er forskjellen mellom avvik og hendelse?: Et avvik er et brudd på lov, forskrift eller virksomhetens egne instrukser og indikerer systemsvikt. Det krever rotårsaksanalyse og dokumenterte tiltak. En hendelse er en uønsket situasjon som ikke skyldes brudd på myndighetskrav eller instrukser. Den dokumenteres kort og rettes opp lokalt uten avviksbehandling.
Hva er forskjellen mellom avvik og observasjon?: En observasjon er et forbedringspunkt uten påvist brudd på myndighetskrav eller instrukser. Et avvik er et konkret brudd på en norm. Observasjoner håndteres i forbedringssystemet uten rotårsaksanalyse.
Når er et nesten-uhell et avvik?: Et nesten-uhell behandles som fullverdig avvik når det berører myndighetskrav, avdekker svak eller manglende instruks, indikerer svikt i barrierer, eller har høy potensiell konsekvens. Et nesten-uhell med høy potensiell alvorlighet avdekker en systemsvikt som ikke ble realisert denne gangen.
Hva er «dokumentkvelning»?: Dokumentkvelning oppstår når avvikssystemet fylles med hendelser, observasjoner og fravik som ikke er reelle avvik. Ledelsen drukner i saker uten reell systemrisiko, mens de faktiske avvikene forsvinner i mengden.
Hvilke ni roller definerer AvvikStandard™?: Melder, klassifisør, saksbehandler, analyseansvarlig, tiltaksansvarlig, godkjenner, instruksansvarlig, fravikssøker og fraviksgodkjenner. En person kan inneha flere roller, men hver rolle må alltid fylles, og saksbehandler og godkjenner kan aldri være samme person.
Hva er et A-tiltak og hvorfor er det viktigst?: A-tiltak er systemiske tiltak som endrer instrukser, innfører tekniske barrierer eller automatiserer kontroll. De er viktigst fordi de fjerner muligheten for gjentakelse – i motsetning til B- og C-tiltak som er avhengige av at den enkelte husker og velger å handle riktig. Ved rød og svart kritikalitet er A-tiltak obligatorisk.
Hva er 1-3-6 effektmåling?: 1-3-6 effektmåling betyr at effekten av tiltak kontrolleres etter 1 måned, 3 måneder og 6 måneder. Hver kontroll skal munne ut i en entydig JA/NEI-bekreftelse på om tiltaket fungerer som forutsatt. Manglende gjentakelse av avviket alene er ikke tilstrekkelig bevis.
Hvilke KPI-er produserer AvvikStandard™?: Modellen krever åtte obligatoriske KPI-er: avviksrate per enhet, avviksrate per kritikalitet, lukketid, tiltaksfordeling A/B/C, 1-3-6 lukkegrad, fraviksrate, repeterte avvik, og mønster-fravik. Disse støtter styrets tilsynsplikt etter aksjeloven § 6-12.
Hvordan henger AvvikStandard™ og IS-modellen™ sammen?: IS-modellen™ definerer at all virksomhetsstyring baseres på skriftlige instrukser som oversetter myndighetskrav til forpliktende handlingsregler. AvvikStandard™ oppdager når instruksene ikke etterleves (avvik), når de bevisst og autorisert avvikes (fravik), eller når de bør revideres på grunn av mønstre i begge. De to modellene er gjensidig avhengige.
Kan AvvikStandard™ brukes i personalsaker?: Nei. AvvikStandard™ er et verktøy for systemforbedring – ikke skyldplassering. Den skal ikke brukes i personalsaker, som sanksjonsverktøy, som beredskapsplan eller som tvisteløsningsverktøy uten systemdimensjon. Hvis en personalsak avdekker et underliggende systemavvik, kan AvvikStandard™ brukes til systemdimensjonen, men personalsaken behandles separat.

Forfattere og faglig ansvar

Svein Roar Holt

Grunnlegger av Internkontroll AS og arkitekt bak IS-modellen™ og AvvikStandard™. Ekspert på strategisk virksomhetsstyring, governance og instruksbasert internkontroll.

Om Svein Roar → LinkedIn →

Maria Zahlsen

Jurist med spesialisering innen arbeidsrett, kontraktsrett og forretningsjuss. Medarkitekt bak AvvikStandard™. Ekspert på operativ etterlevelse og organisatorisk risikostyring.

Om Maria → LinkedIn →

Opphavsrett og lisens – AvvikStandard™

AvvikStandard™ versjon 2.0 MASTER er utviklet av Svein Roar Holt og Maria Zahlsen, Internkontroll AS, og er beskyttet iht. åndsverkloven av 15. juni 2018 nr. 40.

Varemerker: AvvikStandard™, IS-modellen™ og Styringsportalen™ tilhører Internkontroll AS, org.nr. 933 241 475.

Alle rettigheter reservert. Enhver kopiering, reproduksjon, distribusjon eller kommersiell utnyttelse uten skriftlig forhåndstillatelse fra Internkontroll AS er strengt forbudt og vil bli rettslig forfulgt. Sitater med fullstendig kildeangivelse er tillatt for ikke-kommersielle og akademiske formål.

AvvikStandard™ – helhetlig modell for avviksstyring og kontinuerlig forbedring | Internkontroll AS — AvvikStandard™ v2.0 – fra avvik til fravik til kontinuerlig forbedring

Forhold identifisert

Noen oppdager noe som krever vurdering – avvik, fravik, hendelse, observasjon eller nesten-uhell?

↓

Fase 2 – Klassifiseringssløyfen

Hva er forholdet egentlig?

🆕

Fravik

Tilsiktet, autorisert avvik fra instruks/myndighet

Eget register

❌

Avvik

Utilsiktet brudd på lov eller instruks – systemsvikt

Faser 3-7

⚠️

Hendelse

Uønsket, men ikke normbrudd

Lokal oppfølging

💡

Observasjon

Forbedringspunkt uten brudd

Forbedringssystem

⚡

Nesten-uhell

Kunne ført til skade ved minimal endring

Vurderes som avvik

Hvis avvik: kritikalitet og syv faser →

Avviks-grenen – kritikalitet og eskalering

Linjeleder klassifiserer · Ledelsen involveres ved 🔴⚫ · Manglende eskalering = systemsvikt

🟢 Grønn

7 dager · lokalt

🟡 Gul

24 t · avd.leder

🔴 Rød

8 t · daglig leder

⚫ Svart

Umiddelbart · styret

↓

De syv fasene

Eksponering

Faktafest og umiddelbar sikring

Klassifisering

Avvik · kritikalitet 🟢🟡🔴⚫

Ansvarsetting

RACI · 9 roller tildeles

Rotårsak (MTO)

Menneske · Teknologi · Organisasjon

Tiltak (A-B-C)

A obligatorisk ved 🔴⚫

Effektmåling

1-3-6 · JA/NEI-bekreftelse

Læring

Mikro · meso · makro · meta

↓

Tiltakshierarkiet (Fase 5)

A-tiltak (systemiske)

Endring av instruks · tekniske barrierer · automatisering · fysiske sperrer

Obligatorisk ved 🔴⚫

B-tiltak (kompetanse)

Opplæring · sertifisering · kompetanseheving

Støtter A

C-tiltak (adferd)

Påminnelser · rutineendringer · skilting

Aldri alene

↓

Effektmåling 1-3-6 (Fase 6)

måned

måneder

Hver kontroll skal munne ut i en entydig JA / NEI bekreftelse på om tiltaket fungerer

↓

Hub-basert læring (Fase 7) – fire nivåer

Mikro

Innen én enhet · lokal lukking

Meso

På tvers av enheter · 3 stk = gjennomgang

Makro

På tvers av virksomheter · konsern · bransje

Hva dekker dokumentet?

Formål og normhierarki
Begreper med eksempler
Fravik vs. avvik
Femvilkårstesten
Ni aktørroller + RACI
Eskaleringsmatrisen
De syv fasene
Hub-basert læring
Kobling til risikostyring
8 obligatoriske KPI-er
Tredjepart, GDPR, kultur
Versjonshistorikk

Kategorier – hurtigoversikt

Avvik Utilsiktet brudd → rotårsaksanalyse

Fravik Tilsiktet, autorisert → registreres separat

Hendelse Uønsket, men ikke normbrudd → lokalt

Nesten-uhell Behandles som avvik ved høy konsekvens

Observasjon Forbedringspunkt → forbedringssystem

Støtteverktøy

Relaterte fagsider

Trenger du rådgivning?

Vi hjelper deg å implementere AvvikStandard™ i din virksomhet – tilpasset størrelse, bransje og risikobilde.

Ta kontakt med oss →

Trenger du rådgivning?

Vi hjelper deg med virksomhetsstyring, internkontroll, HMS og GDPR.

Ta kontakt med oss →

AvvikStandard™ – Helhetlig modell for avviksstyring

Trenger din virksomhet å implementere AvvikStandard™?

Opphavsrett og lisens – AvvikStandard™

AvvikStandard™ – fra hendelse til læring

Hva dekker dokumentet?

Kategorier – hurtigoversikt

Innhold

Støtteverktøy

Relaterte fagsider

Trenger du rådgivning?

Trenger du rådgivning?