Årsrapport-Audit™ PRO – Styrets internkontrollrapport

Tilgang begrenset

Dette verktøyet er kun tilgjengelig på internkontrollportalen.no og tilknyttede domener.

Metodisk avgrensning: Årsrapport-Audit™ PRO v3.0 er et beslutningsstøtteverktøy for styrets internkontrollvurdering basert på COSO 2013, Aksjeloven §§ 6-12/6-13 og NUES. Verktøyet erstatter ikke juridisk rådgivning eller ekstern revisjon. Juridisk disclaimer: Resultatene er veiledende og kan ikke alene legges til grunn for juridiske beslutninger. Kontakt kvalifisert rådgiver for bindende vurderinger.
Autosaves løpende · Årsrapport-Audit PRO v3.0
🔄 Du har en påbegynt revisjon lagret. Vil du fortsette?
Fyll inn alle obligatoriske felt før du går videre.

Steg 0 – Virksomhetsregistrering

Grunndata om virksomheten og regnskapsåret som vurderes.

Obligatorisk felt
Obligatorisk felt
Obligatorisk felt
Obligatorisk felt
Obligatorisk felt

Steg 1 – COSO 1: Kontrollmiljø

Tonen fra toppen – instrukser, fullmakter og styringsstruktur.

Er styreinstruks og daglig leders instruks etablert som gjennomførings- og kvalitetssikringsinstrukser – og revidert siste 12 måneder?4p
Aksjeloven § 6-23 · IS-modellen™ – instruksbasert virksomhetsstyring
Er fullmaktsmatriser for økonomi og HR etablert og godkjent av styret?4p
Aksjeloven § 6-12 · NUES pkt. 10
Er rolleinstrukser for HMS-ansvarlig og personvernansvarlig (DPO) etablert?3p
Arbeidsmiljøloven § 3-1 · GDPR Art. 37-39
Er det samsvar mellom ressurser og lovpålagte forpliktelser?3p
Aksjeloven § 6-12 · Alminnelig forsvarlighetskrav
Er kompetansematrise for kritiske funksjoner etablert og oppdatert?3p
NUES · Arbeidsmiljøloven § 3-2
Er styresammensetningen tilfredsstillende mht. uavhengighet og kompetanse?3p
Aksjeloven § 6-1 · NUES pkt. 8

Steg 2 – COSO 2: Risikovurdering og overvåking

Data hentes automatisk fra Styringsportalen der tilgjengelig.

📊 Data hentet fra Styringsportalen™
Er strategisk risikovurdering gjennomført og presentert for styret?4p
Aksjeloven § 6-12 · ISO 31000
Status på åpne avvik fra avvikssystemet5p
Internkontrollforskriften § 5 · Universal-Avviks-Audit™ (SPHub)
VETO 2: Kritiske åpne avvik blokkerer konklusjon om betryggende kontroll iht. Aksjeloven § 6-13 per revisjonstidspunktet.
Potensielle sanksjoner: Styreansvar etter aksjeloven § 17-1. Tilsynsorgan kan pålegge stansing eller bøter.
Er 1-3-6 måneders verifiseringskontroller gjennomført som planlagt?3p
IS-modellen™ · Internkontrollforskriften § 5
Er styrets risikotoleranse (akseptabel risiko) definert og kommunisert til ledelsen?3p
COSO 2013 – Risk Appetite · NUES pkt. 10
Status på DPIA – personvernkonsekvensutredninger5p
GDPR Art. 35-36 · Art. 5(2) (SPHub)
VETO 1 – GDPR ART. 36: Datatilsynet MÅ konsulteres. Styret kan ikke erklære betryggende kontroll per revisjonstidspunktet.
Potensielle sanksjoner: Bøter inntil 4% av global årsomsetning (GDPR Art. 83). Datatilsynet kan pålegge behandlingsstopp.
Er revisor-dialog dokumentert og merknader håndtert?3p
Revisorloven · Aksjeloven § 7-1
VETO 4: Vesentlige revisor-merknader blokkerer konklusjon per revisjonstidspunktet.
Potensielle sanksjoner: Styreansvar etter aksjeloven § 17-1. Revisor kan ta forbehold i revisjonsberetningen.

Steg 3 – COSO 3: Kontrollaktiviteter

Operasjonelle kontroller som sikrer at ledelsens direktiver gjennomføres.

Er godkjenningsrutiner og attestasjonsregler etablert for utgifter og kontrakter?4p
Aksjeloven § 6-12 · NRS
Er segregering av oppgaver ivaretatt i økonomi- og regnskapsfunksjonen?3p
COSO 2013
Er tilgangskontroll til IT-systemer og sensitive data implementert?3p
GDPR Art. 32 · NSM grunnprinsipper
Er det etablert rutiner for sikkerhetskopiering og gjenoppretting?3p
GDPR Art. 32 · Internkontrollforskriften § 5
Er det etablert rutiner for fysisk sikring av verdier og arkiv?2p
Regnskapsloven § 2-7 · Bokføringsloven § 13

Steg 4 – COSO 4: Informasjon og kommunikasjon

Sikrer at relevant informasjon kommuniseres til rett person til rett tid.

Er rapporteringslinjer fra daglig leder til styre klart definert?3p
Aksjeloven § 6-15 · NUES pkt. 9
Er det etablert et varslingssystem (whistleblower-kanal) for ansatte?3p
Arbeidsmiljøloven § 2A-1 til § 2A-7
LOVPLIKT: Virksomheter med 5+ ansatte er pliktige til intern varslingskanal iht. Arbeidsmiljøloven § 2A-3.
Potensielle sanksjoner: Arbeidstilsynet kan pålegge retting og ilegge tvangsmulkt inntil 15G per uke (aml. § 18-10).
Dokumenterer styrereferatene forsvarlig beslutningsgrunnlag?3p
Aksjeloven § 6-29 · NUES pkt. 9
Er instrukser og rutiner gjort tilgjengelige for relevante ansatte?2p
Internkontrollforskriften § 5 · Arbeidsmiljøloven § 3-1

Steg 5 – COSO 5: Overvåking og kontinuerlig forbedring

Aksjeloven § 6-13 – løpende evaluering av internkontrollens effektivitet.

Er det gjennomført internrevisjon eller ekstern gjennomgang av internkontrollen?4p
NUES pkt. 14 · Aksjeloven § 6-13
Er tiltakspunkter fra forrige årsrevisjon og styrevedtak fulgt opp?5p
Aksjeloven § 6-12 · COSO løpende overvåking
Er HMS-arbeidet evaluert og oppdatert iht. internkontrollforskriften § 5 – lovpålagt årlig gjennomgang?4p
Internkontrollforskriften § 5 · Arbeidsmiljøloven § 3-1
VETO 5 – MANGLENDE LOVPÅLAGT HMS-GJENNOMGANG: Internkontrollforskriften § 5 krever årlig evaluering av HMS-arbeidet. Styret kan ikke erklære betryggende kontroll per revisjonstidspunktet.
Potensielle sanksjoner: Arbeidstilsynet kan ilegge overtredelsesgebyr (aml. § 18-10) og stanse virksomheten (aml. § 18-8). Styreansvar kan utløses.
Er neste planlagte revisjonsgjennomgang datofestet og tildelt ansvarlig?2p
God styringspraksis · NUES

Steg 6 – ESG og lovpålagte særkrav

Kontrollpunkter aktiveres basert på selskapstype og størrelse fra steg 0.

Er sykefraværsoppfølging iht. arbeidsmiljøloven gjennomført og dokumentert?3p
Arbeidsmiljøloven § 4-6 · Folketrygdloven § 8-7a
Påkrevd ved 10+ ansatte
Er lønnskartlegging gjennomført iht. likestillings- og diskrimineringsloven?2p
Likestillings- og diskrimineringsloven § 26a
Åpenhetsloven – aktivert for din virksomhet
Er aktsomhetsvurdering iht. Åpenhetsloven gjennomført og publisert?4p
Åpenhetsloven § 4 · § 5 (frist 30. juni)
VETO 3 – ÅPENHETSLOVEN: Virksomheten er rapporteringspliktig men har ikke gjennomført aktsomhetsvurdering.
Potensielle sanksjoner: Forbrukertilsynet kan ilegge overtredelsesgebyr (åpenhetsloven § 14) og tvangsmulkt inntil 10% av global omsetning.
Åpenhetsloven – aktivert for din virksomhet
Er rutiner for informasjonskrav fra offentligheten etablert?2p
Åpenhetsloven § 6 (svarfrist 3 uker)
Påkrevd ved 50+ ansatte
Er redegjørelse for samfunnsansvar inkludert i årsberetningen (§ 3-3a)?3p
Regnskapsloven § 3-3a
Er klimarisiko og bærekraft vurdert i virksomhetens risikovurdering?2p
TCFD-anbefalinger · Kommende CSRD-krav

Steg 7 – Konklusjon og rapport

Aggregert score per COSO-dimensjon, VETO-status og tre rapportdokumenter.

Kvalitetssikring av revisjonen: Er denne årsrapport-revisjonen utført i tråd med virksomhetens kvalitetssikringsinstruks for rapportering?QA
IS-modellen™ – kvalitetssikringsinstruks · God revisjonspraksis
Styrets hovedbekymringer for kommende år (fritekst)Kontekst
Tilleggsinfo til revisjonsprotokollen – styrker dokumentasjon av faktisk styrearbeid
-Beregner...

⛔ VETO AKTIVERT – Betryggende kontroll kan ikke erklæres per revisjonstidspunktet

Styreprotokoll
Tiltaksplan
Revisjonslogg
.
JSON-eksport – Årsrapport-Audit™ PRO v3.0
Svein Roar Holt

Svein Roar Holt

Grunnlegger av Internkontroll AS og arkitekt bak IS-modellen™. Ekspert på strategisk virksomhetsstyring, styrets tilsynsansvar og instruksbasert internkontroll.

Se profil →
Maria Zahlsen

Maria Zahlsen

Medgründer av Internkontroll AS. Ekspert på HMS, kvalitetssikring og systematisk internkontroll – med særlig fokus på praktisk etterlevelse av internkontrollforskriften og Arbeidsmiljøloven.

Se profil →

Styrets årsrapport om internkontroll – juridiske plikter i 2026

Styret har etter aksjeloven §§ 6-12 og 6-13 plikt til å sikre betryggende forvaltning og kontroll. I Norge forventes det at styrets vurdering bygger på anerkjente rammeverk som COSO, ISO 31000, NUES og Arbeidsmiljølovens krav til systematisk HMS. Årsrapport-Audit™ PRO v3.0 automatiserer disse kravene ved å strukturere vurderingen etter COSOs fem komponenter, avdekke VETO-forhold, måle styringsscore og generere en komplett styreprotokoll som dokumenterer forsvarlig tilsynspraksis.

Ofte stilte spørsmål om Årsrapport-Audit™ PRO v3.0

Hva er formålet med Årsrapport-Audit™ PRO?

Verktøyet gjør det mulig for styret å dokumentere betryggende kontroll på en juridisk korrekt, strukturert og revisjonssikker måte. Det bygger på COSO, aksjeloven §§ 6-12/6-13, NUES og ISO 31000, og genererer en fullverdig årsrapport inkludert styreprotokoll, tiltaksplan og revisjonsspor.

Hva betyr "VETO" i revisjonsprosessen?

VETO utløses når lovpålagte krav ikke er oppfylt, slik at styret ikke kan erklære betryggende kontroll per revisjonstidspunktet. Typiske VETO-punkter er: kritiske åpne avvik, høyrisiko-DPIA (GDPR art. 36), manglende varslingssystem (aml. § 2A-3), manglende HMS-gjennomgang (Internkontrollforskriften § 5) eller manglende aktsomhetsvurdering etter Åpenhetsloven. Verktøyet blokkerer automatisk grønn status og viser potensielle sanksjoner for hvert VETO-punkt.

Hvordan beregnes styringsscoren (0–100%)?

Scoren beregnes ved vekting av alle kontrollpunkter innen COSOs fem dimensjoner: Kontrollmiljø, Risikovurdering, Kontrollaktiviteter, Informasjon & Kommunikasjon og Overvåking. Hver KPI har en vekt (2–5 poeng) og vurderes som "Ja", "Delvis" eller "Nei". VETO overstyrer alltid score – et VETO-forhold blokkerer grønn status uavhengig av total prosentscore.

Kan styret bruke rapporten som offisiell dokumentasjon?

Ja. Årsrapport-Audit™ PRO genererer en komplett styreprotokoll med juridisk hjemmel, vurderinger, VETO-status, konklusjon, vedtakstekst og revisjonsspor (Audit Trail med unik rapport-ID og tidsstempel). Rapporten kan legges direkte ved som styredokument, revisjonsdokumentasjon eller i protokollarkivet.

Hvorfor er verktøyet basert på COSO-rammeverket?

COSO er verdens mest brukte rammeverk for internkontroll og det eksplisitt anbefalte grunnlaget for god virksomhetsstyring i Europa. Strukturen gir styret en internasjonalt anerkjent metodikk for å måle modenhet og identifisere svakheter i kontrollmiljøet. Verktøyet skiller mellom etterlevelse (formelle krav oppfylt) og robusthet (systemet tåler feil, press og personavhengighet).

Hva bruker verktøyet data fra Styringsportalen™ til?

Dersom virksomheten har brukt andre PRO-verktøy (f.eks. Universal-Avviks-Audit™ eller DPIA-Vurdering™ PRO), hentes disse resultatene automatisk inn for å sikre et helhetlig risikobilde. Dette gir styret en samlet vurdering uten ekstra arbeid og eliminerer dobbeltregistrering.

Når bør styret gjennomføre Årsrapport-Audit™?

Minimum én gang årlig, før årsrapporten behandles. Mange virksomheter velger også en halvårlig versjon for å sikre kontinuerlig overvåking av kontrollmiljøet – særlig ved høy risiko eller høyt endringstempo. Verktøyet genererer automatisk kalenderavtaler for 3-, 6- og 12-månedersoppfølging.

Hva betyr det når scoren havner i "gul sone"?

Gul sone (65–84%) betyr at virksomheten har grunnleggende etterlevelse, men at systemets robusthet ikke er fullt ut tilfredsstillende. Styret bør be om tiltak for å tette identifiserte svakheter. Verktøyet genererer automatisk en prioritert tiltaksplan som kan vedtas i styremøtet.

Er tiltaksplanen i verktøyet egnet for styrevedtak?

Ja. Tiltaksplanen er sortert etter prioritet (høy/middels), knyttet til COSO-dimensjonene og klar til å legges frem som beslutningsunderlag. Den inneholder felt for ansvarlig person og frist, slik styret enkelt kan fatte vedtak direkte i møtet.

Kan revisjonen gjenopptas dersom den ikke fullføres?

Ja. Verktøyet lagrer all progresjon automatisk (autosave med nøkkel aa_autosave_v30) og tilbyr "Fortsett revisjonen"-banner ved gjenbesøk. Dette gjør det mulig å jobbe i flere økter uten å miste data. Ved fullføring slettes autosave-dataene og resultatet overføres til Styringsportalen™-hubben.

.
Skroll til toppen