Samsvarsmatrisen™ PRO – Juridisk etterlevelse og gap

Samsvarsmatrise: gapanalyse av juridisk etterlevelse på tvers av regelverk

En samsvarsmatrise svarer på det overordnede spørsmålet styret og ledelsen må kunne besvare: har vi faktisk kontroll på etterlevelsen – på tvers av alle regelverk samtidig? Samsvarsmatrisen™ PRO er et gratis verktøy for gapanalyse av juridisk etterlevelse som måler både samsvar (oppfyller vi kravene?) og modenhet (etterleves de systematisk?) på ni styringsområder – HMS og internkontroll, GDPR, Åpenhetsloven, aksjelovens styringsplikt, risiko og beredskap, lovpålagt opplæring, avvik, prosesskvalitet og ARP.

Resultatet er en styreklar rapport med score, de tre svakeste områdene, områdespesifikke tiltak og et beslutningslag der styret registrerer hva det faktisk bestemmer. Bygget for styreledere, daglige ledere og internkontrollansvarlige i norske virksomheter – ikke en generell regelgjennomgang, men en operativ samsvarsvurdering som tar selve beslutningen og dokumenterer den. Gratis, kvalitetssikret for 2026, ingen registrering.

Start verktøyet

Samsvarsmatrise – start gapanalysen av juridisk etterlevelse

Samsvarsmatrisen™ PRO – kjør gapanalysen på tvers av HMS, GDPR, Åpenhetsloven og aksjeloven, og få en styreklar rapport. Få minutter, ingen registrering.

Åpne verktøyet →

Samsvarsmatrise på styrenivå – det viktigste i ett oppslag

  • Hva den måler: samsvar (oppfyller vi kravene?) og modenhet (etterleves de systematisk?) på ni styringsområder samtidig.
  • Regelverk: HMS og internkontroll (§ 5), GDPR, Åpenhetsloven, aksjelovens styringsplikt, risiko og beredskap, lovpålagt opplæring, avvik, prosesskvalitet og ARP.
  • VETO-logikk: kombinert svikt i kritiske områder overstyrer totalscore og settes rødt – f.eks. manglende styringstilsyn + manglende beredskap (aksjeloven § 3-5 og § 6-13).
  • Synlig terskelregel: én kritisk mangel i et høykonsekvens-område (GDPR eller styreansvar) låser en ellers grønn status til minst gul – med navngitt årsak, ingen skjult vekting.
  • Styreforankring: gul eller rød score skal protokollføres i styret (tilsynsplikt, aksjeloven § 6-13).
  • Sluttprodukt: styreklar rapport med score, de tre svakeste områdene, områdespesifikke tiltak, trend over tid og et beslutningslag.
  • Pris: gratis, ingen registrering. All data forblir lokalt i din nettleser.

Kort fortalt for daglig leder

  • Hva: En samsvarsmatrise som gjør en gapanalyse av juridisk etterlevelse på tvers av alle de viktigste regelverkene i én operasjon.
  • For hvem: Styreleder, daglig leder, internkontroll- og etterlevelsesansvarlig i SMB, kommune og offentlig sektor.
  • Tidsbruk: Få minutter fra utfylling til ferdig, styreklar konklusjon.
  • Sluttprodukt: Rapport med samsvars-score, modenhetsprofil, de tre svakeste områdene, områdespesifikke tiltak og et beslutningslag – klar for styremøte, revisjon eller tilsyn.
  • Hva skiller dette fra en vanlig modenhetsvurdering: Konsulentenes gapanalyse er en tjeneste du kjøper; dette er et operativt verktøy du kjører selv, gratis, og som dokumenterer styrets beslutning.
  • Pris: Gratis, ingen registrering, ingen påmelding. All data forblir lokalt i din nettleser.

Hva er en samsvarsmatrise – og hvorfor gapanalyse på tvers av regelverk?

En samsvarsmatrise er et strukturert oppsett som måler virksomhetens etterlevelse mot kravene i et eller flere regelverk, og synliggjør gapene mellom der dere er og der loven krever at dere skal være. Styrken ved en god samsvarsmatrise ligger i bredden: i stedet for å vurdere HMS for seg, GDPR for seg og styreansvar for seg, gjør den en samlet gapanalyse på tvers av regelverk. Det er nettopp i skjøtene mellom regelverkene at risikoen ofte gjemmer seg – en virksomhet kan ha god HMS-dokumentasjon, men mangle aktsomhetsvurdering etter Åpenhetsloven, og samtidig ha et styre som ikke dokumenterer sin tilsynsplikt.

Det mange overser er at en samsvarsvurdering må måle to ulike ting samtidig. Den ene er formelt samsvar: finnes dokumentasjonen, instruksene og styringsdokumentene? Den andre er modenhet: etterleves de faktisk, konsistent og uavhengig av hvilken person som gjør jobben? En virksomhet kan ha full formell etterlevelse på papiret og likevel være sårbar fordi praksis er personavhengig. Samsvarsmatrisen™ PRO er bygget for å fange begge dimensjonene, og er en del av IS-modellen™ – instruksbasert styring.

Start Samsvarsmatrisen™ PRO

Få minutter. Ingen registrering. Styreklar rapport.

Start verktøyet →

Gapanalyse av juridisk etterlevelse: fra enkeltregelverk til helhet

En gapanalyse av etterlevelse handler om å identifisere avstanden mellom kravnivå og faktisk nivå, og deretter prioritere tiltakene som lukker de største gapene først. Verktøyet vurderer ni styringsområder: HMS og internkontroll etter internkontrollforskriften § 5, personvern og GDPR, Åpenhetsloven, aksjelovens styringsplikt, risiko- og beredskapsstyring, lovpålagt opplæring og resertifisering, avvik og systemisk forbedring, prosesskvalitet, og aktivitets- og redegjørelsesplikten (ARP). For hvert område settes et nivå – full kontroll, delvis kontroll eller kritisk mangel – og verktøyet beregner en samlet samsvars-score.

Resultatet er ikke bare et tall. Verktøyet løfter fram de tre svakeste styringsområdene slik at ledelsen får et tydelig prioriteringspunkt i stedet for en «vi må fikse alt»-følelse, og foreslår områdespesifikke tiltak knyttet til nettopp de svakeste områdene. Slik blir gapanalysen styrbar og handlingsorientert – ikke en rapport som havner i en skuff.

Lovgrunnlag: Internkontrollforskriften § 5 – krav til dokumentert styringssystem, og aksjeloven § 6-13 – styrets tilsynsansvar.

Samsvar og modenhet – to dimensjoner verktøyet måler

Samsvar svarer på om dere oppfyller lovens minimumskrav. Modenhet svarer på i hvilken grad etterlevelsen er systematisk og integrert i den daglige driften. Forskjellen er ikke akademisk: ved et tilsyn ser erfarne tilsynsmyndigheter etter om systemet faktisk fungerer, ikke om det finnes på papir. En samsvarsvurdering som bare måler dokumentasjon, vil derfor gi falsk trygghet. Gul score på Samsvarsmatrisen™ betyr som regel nettopp dette: virksomheten er formelt i samsvar, men etterlevelsen er ujevn og personavhengig.

Verktøyet bruker en gjennomsiktig logikk. En kombinert svikt i to kritiske områder kan utløse et VETO som overstyrer totalscoren og setter status rødt, fordi den konkrete kombinasjonen utgjør et reelt juridisk og operativt ansvar. I tillegg gjelder en synlig terskelregel: én kritisk mangel i et høykonsekvens-område – GDPR eller styrets styringsplikt – låser en ellers grønn status til minst gul, med navngitt årsak. Det er en åpen regel, ikke en skjult vekting: et enkeltområde med sanksjonsrisiko (gebyr inntil 4 % av omsetning, eller personlig styreansvar) kan ikke kompenseres av styrke på andre områder.

Styrets tilsynsplikt og personlig ansvar (aksjeloven § 6-13 og § 3-5)

For et styre er en samsvarsmatrise mer enn et ledelsesverktøy – den er dokumentasjon på at tilsynsplikten utøves. Aksjeloven § 6-13 pålegger styret en løpende tilsynsplikt, § 3-4 krever forsvarlig egenkapital og likviditet, og § 3-5 utløser en lovbestemt handleplikt ved kritisk situasjon. Dersom styret kjenner til kritiske mangler og ikke iverksetter tiltak, kan styremedlemmene holdes personlig erstatningsansvarlige. Å gjennomgå og protokollføre samsvarsmatrisen kvartalsvis er derfor en del av normal og forsvarlig utøvelse av styrevervet.

Verktøyet er bygget for nettopp denne forankringen. Rapporten har et beslutningslag der styret registrerer hva det faktisk bestemmer – enten «vi godkjenner vurderingen» eller «vi erkjenner avvik og iverksetter tiltak» – med ansvarlig og frist. Det gjør rapporten til en etterprøvbar styringsbeslutning, ikke bare en analyse. For det bredere bildet henger dette sammen med COSO-rammeverket og de tre forsvarslinjene.

Samsvarsmatrisen som internkontroll og styrings-KPI

En enkeltmåling forteller hvor dere står i dag. Den virkelige verdien kommer når samsvarsvurderingen gjentas: en kvartalsvis måling med sporbar rapport-ID gir styret et bilde av etterlevelsesmodenhet over tid. Verktøyet viser utviklingen mellom de siste målingene med en tydelig retning – forbedring, uendret eller tilbakegang. Trenden er ofte viktigere enn enkeltscoren: en bevegelse fra rød til gul forteller styret at tiltakene virker, mens vedvarende gul er et signal om at noe må endres strukturelt. Slik blir gapanalysen en styrings-KPI som understøtter tilsynsplikten, forankret i et helhetlig styringssystem og internkontrollarbeid.

Slik bruker du verktøyet – ni områder, én operasjon

Verktøyet ber deg vurdere ni styringsområder og samler alt før det konkluderer. Du må sette et nivå på alle ni før analysen kjøres – en gapanalyse er bare gyldig når hele matrisen er vurdert.

Trinn 1 – Vurder områdene: velg nivå (full kontroll, delvis, eller kritisk mangel) for hvert av de ni regelverks- og styringsområdene.

Trinn 2 – Kontekst: ansvarlig, virksomhet, kort beskrivelse og eventuell dokumentasjonsreferanse.

Trinn 3 – Kjør gapanalysen: verktøyet beregner samsvars-score, anvender VETO- og terskelregler, og viser status med navngitt årsak der den er låst.

Trinn 4 – Beslutning: styret registrerer sin beslutning med ansvarlig og frist – en etterprøvbar styringsbeslutning.

Trinn 5 – Rapport: en styreklar rapport med score, modenhetsprofil, de tre svakeste områdene, områdespesifikke tiltak og trend. Saken kan skrives ut som PDF, legges som kalenderfrist (.ics) og lastes ned som datafil til eget styrings- eller avvikssystem.

Klar til å kjøre gapanalysen?

Verktøyet åpner i egen side – ingen registrering, ingen påmelding.

Åpne Samsvarsmatrisen™ PRO →

Ofte stilte spørsmål om samsvarsmatrise og gapanalyse

Hva er en samsvarsmatrise?
En samsvarsmatrise er et strukturert oppsett som måler virksomhetens etterlevelse mot kravene i ett eller flere regelverk og synliggjør gapene. Samsvarsmatrisen™ PRO gjør en samlet gapanalyse på tvers av HMS, GDPR, Åpenhetsloven, aksjeloven og flere områder, og måler både formelt samsvar og modenhet.
Hva er forskjellen på samsvar og modenhet?
Samsvar handler om du oppfyller lovens minimumskrav på papiret. Modenhet handler om i hvilken grad etterlevelsen er systematisk, konsistent og integrert i hverdagsdriften. Du kan ha full formell etterlevelse og lav modenhet – typisk gjennom personavhengig praksis som svikter når nøkkelpersoner er borte.
Hvilke regelverk dekker gapanalysen?
Ni styringsområder: HMS og internkontroll (internkontrollforskriften § 5), GDPR, Åpenhetsloven, aksjelovens styringsplikt, risiko- og beredskapsstyring, lovpålagt opplæring, avvik og systemisk forbedring, prosesskvalitet, og aktivitets- og redegjørelsesplikten (ARP).
Hva betyr VETO i verktøyet?
VETO aktiveres når kombinasjonen av svikt i kritiske styringsområder er så alvorlig at den overstyrer totalscore og settes rødt. VETO ved manglende styringstilsyn og manglende beredskap (aksjeloven § 3-5 og § 6-13) utløser direkte personlig styreansvar. I tillegg låser én kritisk mangel i GDPR eller styreansvar en ellers grønn status til minst gul.
Hvem bør bruke verktøyet og når?
Samsvarsmatrisen™ PRO brukes periodisk på styrenivå – typisk kvartalsvis eller ved vesentlige endringer. Bruken bør involvere daglig leder og etterlevelsesansvarlig. Resultatet presenteres i styremøte, og ved gul eller rød score skal det protokollføres. Verktøyet er ikke egnet for løpende operativ kontroll.
Hva er forskjellen på dette og en konsulents gapanalyse?
En konsulents modenhetsvurdering og gapanalyse er en tjeneste du kjøper, ofte basert på intervjuer og dokumentgjennomgang. Samsvarsmatrisen™ PRO er et gratis, operativt selvvurderingsverktøy som styret kan kjøre selv, så ofte det vil, og som dokumenterer styrets egen beslutning.
Kan samsvarsscoren brukes som KPI i styrerommet?
Ja. Gjentakende kvartalsmålinger med rapport-ID gir styret et sporbart bilde av etterlevelsesmodenhet over tid, og verktøyet viser utviklingen mellom de siste målingene. Trenden er like viktig som enkeltscoren og understøtter tilsynsplikten etter aksjeloven § 6-13.
Hva er ARP og hvem er omfattet?
ARP – aktivitets- og redegjørelsesplikten – følger av likestillings- og diskrimineringsloven § 26. Alle arbeidsgivere har aktivitetsplikt, og virksomheter med mer enn 50 ansatte (eller 20 dersom en part krever det) har i tillegg redegjørelsesplikt i årsberetningen. Det er et typisk gap i norske virksomheter.
Lagrer verktøyet opplysningene våre noe sted?
Nei. Verktøyet kjører i din egen nettleser, og ingen opplysninger sendes til Internkontroll AS eller noen server. Alt lagres kun lokalt på din enhet, og kan tas vare på ved å skrive ut PDF, legge frist i kalender eller laste ned en datafil til eget styringssystem.

Om forfatterne

Svein Roar Holt – grunnlegger av Internkontroll AS og skaper av IS-modellen™
Svein Roar Holt Grunnlegger – Internkontroll AS & Internkontrollportalen.no

Skaper av IS-modellen™ og AvvikStandard™. Ekspert på strategisk virksomhetsstyring, governance og instruksbasert internkontroll. Har bygget Norges ledende digitale GRC-plattform for SMB og offentlig sektor.


Maria Zahlsen – grunnlegger av Internkontroll AS, jurist med arbeidsrett og forretningsjuss
Maria Zahlsen Grunnlegger – Internkontroll AS & Internkontrollportalen.no

Jurist med spesialisering innen arbeidsrett, kontraktsrett og forretningsjuss. Ekspert på operativ etterlevelse, HR-juss og organisatorisk risikostyring – med særlig fokus på menneskelig faktor og praktisk implementering av styringsverktøy.

Trenger du rådgivning?

Vi hjelper deg med virksomhetsstyring, internkontroll, HMS og GDPR.

Ta kontakt med oss →
Skroll til toppen