Prosesskartlegging i aktivitetsidentifiseringsfasen

Av /

FASE 1 AV 4 I IS-SYKLUSEN

Prosesskartlegging er det første og viktigste steget i IS-modellens™ sykliske firfase-modell, og fundamentet for hele virksomhetens styringssystem. Uten en grundig kartlegging av virksomhetens kjerne-, støtte- og ledelsesprosesser har styringen ingenting å feste seg ved – krav, risikovurderinger og instrukser blir hengende i løse luften.

Aktivitetsidentifiseringsfasen handler om å skaffe full oversikt over hva virksomheten faktisk gjør gjennom strukturert prosesskartlegging: hvilke prosesser som skaper verdi, hvilke som støtter dem, og hvilke som styrer dem. Resultatet danner grunnlaget for hele IS-modellens™ videre arbeid med risikovurdering, instruksforfatting og kontroll.

Denne pillar-siden gir deg den komplette guiden til strukturert prosesskartlegging – fra førsteinngangen til ferdig dokumentert grunnlag som tåler både ledelsens gjennomgang, internrevisjon og tilsyn fra Arbeidstilsynet.

👇 Hopp til hovedinnholdet og kom i gang med kartleggingen

Nøkkelfakta om prosesskartlegging

Posisjon i IS-syklusen
Fase 1 av 4 (topp i sirkelen)
Hjemmel
Aksjeloven § 6-12, IK-forskriften § 5 nr. 6, ISO 9001:2015
Hovedaktivitet
Kartlegge kjerne-, støtte- og ledelsesprosesser
Output
Dokumentert prosesskart med ansvarsplassering
Ansvar
Virksomhetsledelse, med medvirkning fra ansatte
Tidshorisont
Førstegangskartlegging: 4–8 uker. Årlig revisjon
Kobling til neste fase
Prosessene mates inn i risikovurderingsfasen
Risiko ved svikt
Manglende oversikt = manglende styring = personlig styreansvar

Kort fortalt for ledere

Prosesskartlegging er fundamentet. Uten oversikt over hva virksomheten faktisk gjør, kan du ikke vurdere risiko eller skrive instrukser som virker i praksis.
Tre prosesskategorier. Kartlegg kjerneprosesser (verdiskapende), støtteprosesser (HR, IT, økonomi) og ledelsesprosesser (strategi, styring) hver for seg.
Tre lag av kartlegging. Forretningside og markedsforventninger først, deretter konkrete prosesser, til slutt myndighetskrav som setter rammene.
Involver ansatte tidlig. De som faktisk gjør jobben kjenner prosessene best. Internkontrollforskriften § 4 krever medvirkning – ikke bare god skikk.
Resultatet er et levende kart. Prosesskartet skal oppdateres ved organisasjonsendringer, nye tjenester og endrede markedsforventninger.
Plassér ansvaret. Hver prosess skal ha en tydelig eier – ellers faller den mellom stolene når ting går galt.
Bevisbart for styret. Et dokumentert prosesskart er sentralt bevis på at styret har oppfylt tilsynsplikten etter aksjeloven §§ 6-12 og 6-13.

1. Hva er prosesskartlegging i IS-modellen™?

Prosesskartlegging er den systematiske prosessen der virksomheten skaffer seg full oversikt over alle aktiviteter, prosesser og leveranser som utøves i drift. I IS-modellen™ utgjør dette fase 1 i den sykliske firfase-modellen og er forutsetningen for alle de øvrige fasene. Uten et tydelig prosesskart finnes det ikke et reelt grunnlag for hverken risikovurdering, instruksforfatting eller kontroll.

Begrepet prosesskartlegging brukes på tvers av styringsstandarder. ISO 9001:2015 krever at virksomheten skal identifisere prosessene den utfører, definere rekkefølge og samspill, og styre dem med tildelte ressurser, ansvar og myndighet. Internkontrollforskriften § 5 nr. 6 stiller tilsvarende krav om systematisk oversikt over aktiviteter og risikoforhold. I aksjelovens § 6-12 ligger det implisitt at styret må sørge for forsvarlig organisering – noe som er praktisk umulig uten å vite hva virksomheten faktisk består av.

I IS-modellens™ kontekst går prosesskartleggingen lenger enn å bare tegne flytdiagrammer. Den skal også fange opp tre andre dimensjoner som tilsvarer den stiplede sektoren mellom fase 1 og fase 2 i IS-syklusen:

  • Forretningsidé: Hva er virksomhetens grunnleggende formål og verdiskapingslogikk?
  • Markedsforventninger: Hva forventer kunder, eiere, samarbeidspartnere og samfunnet?
  • Myndighetskrav: Hvilke lover, forskrifter og bransjekrav setter rammer for prosessene?

Disse tre dimensjonene utgjør konteksten som prosesskartleggingen skal speile. Et prosesskart som ikke reflekterer disse rammebetingelsene blir et internt teknisk dokument uten styringsmessig verdi. Aktivitetsidentifiseringsfasen er dermed ikke bare en teknisk øvelse, men en strategisk forankringsoppgave for ledelsen.

Det er viktig å skille mellom prosesskart og organisasjonskart. Et organisasjonskart viser den vertikale, funksjonelle strukturen – hvem rapporterer til hvem. Et prosesskart viser derimot virksomheten som et dynamisk system der prosessene går på tvers av avdelinger. Det er prosesskartet som forteller hva som faktisk skjer i den daglige driften – og det er dette grunnlaget IS-modellens™ instruksjonsfilter trenger.

2. De tre prosesskategoriene – kjerne, støtte og ledelse

God prosesskartlegging starter med å skille tre prosesskategorier. Skillet er etablert i ISO 9001-tradisjonen og brukes som standard utgangspunkt i moderne styringssystemer:

Kjerneprosesser

Kjerneprosessene er der virksomheten skaper verdi for kunden. De er selve grunnlaget for inntekt og strekker seg fra kundebehov gjennom utvikling, levering og oppfølging. For en regnskapsbedrift er det føring av regnskap, lønnskjøring og rapportering. For en byggeplass er det prosjektering, gjennomføring og overlevering. For en konsulentvirksomhet er det rådgivning og leveransehåndtering.

Kjerneprosessene skal kartlegges med høyest detaljnivå fordi det er her risikoen for verdiskapingen ligger. Et avvik i en kjerneprosess rammer direkte virksomhetens evne til å levere det kundene betaler for.

Støtteprosesser

Støtteprosessene skaper ikke direkte verdi for kunden, men gjør verdiskapingen mulig. HR, økonomi og lønn, IT og systemforvaltning, innkjøp og leverandøroppfølging, anlegg og bygg er typiske støtteprosesser. De er ofte usynlige i daglig drift – men det er nettopp derfor de er kritiske å kartlegge: Risikoen i støtteprosesser blir lett oversett, men kan ramme hele virksomheten når den materialiserer seg.

Et godt eksempel er personvern og GDPR-håndtering. Det er en støtteprosess som ikke skaper inntekt, men hvor svikt kan utløse bøter på opptil 4 % av global omsetning. Kartleggingen må derfor gå like langt som på kjerneprosessene.

Ledelsesprosesser

Ledelsesprosessene styrer og koordinerer kjerne- og støtteprosessene. Strategiarbeid, risikostyring, ledelsens gjennomgang, internrevisjon og styrearbeid hører hit. I IS-modellens™ trelagsstruktur ligger ledelsesprosessene primært på Nivå 1 (Strategisk – Styring og eierskap), mens kjerne- og støtteprosesser typisk har sitt operative tyngdepunkt på Nivå 2 (Instrukser).

For styret er det særlig viktig at ledelsesprosessene er kartlagt og dokumentert. Det er disse prosessene som danner grunnlaget for tilsynsplikten etter aksjeloven – og de er nettopp den typen prosesser tilsynsmyndigheter spør etter ved revisjon.

3. Forretningsidé, markedsforventninger og myndighetskrav

I IS-modellens™ syklus knytter den stiplede sektoren mellom fase 1 (Aktivitetsidentifisering) og fase 2 (Prosess- og risikovurdering) kartleggingen til virksomhetens overordnede rammebetingelser. Disse må forstås før prosessene gir mening.

Forretningsidé: Hver virksomhet har en grunnleggende forretningsidé som definerer hva den eksisterer for å gjøre. En revisor skal sikre at regnskap er korrekt og pålitelig. En entreprenør skal levere bygg og anlegg trygt og innenfor avtalte rammer. En leverandør av personalsystemer skal sikre at kundene får digitalt fungerende verktøy. Forretningsideen er ankerpunktet for prosesskartleggingen – det er den som definerer hva som er en kjerneprosess i akkurat din virksomhet.

Markedsforventninger: Markedet stiller krav som ikke alltid er nedfelt i lov. Kunder forventer leveringspresisjon, eiere forventer avkastning, samarbeidspartnere forventer åpenhet, og samfunnet forventer ansvarlig drift. Disse forventningene former hvilke prosesser som må kartlegges – og hvor høyt ambisjonsnivå som skal legges. En leverandør til offentlig sektor må kartlegge anbudsprosessen detaljert fordi feil her ekskluderer fra markedet. En SaaS-leverandør må kartlegge driftsstabilitet og personvern detaljert fordi kundene krever det.

Myndighetskrav: Lover, forskrifter og bransjespesifikke regler setter ufravikelige rammer for prosessene. Internkontrollforskriften er et slikt rammekrav. Det samme er arbeidsmiljøloven, regnskapsloven, personvernforordningen og bransjespesifikk lovgivning som finansforetaksloven, helselovgivningen eller plan- og bygningsloven.

I praksis betyr dette at en god prosesskartlegging gjøres parallelt med en kravidentifisering: For hver kartlagt prosess skal det dokumenteres hvilke myndighetskrav som regulerer den. Dette gir grunnlag for fase 2 (risikovurdering) og fase 3 (instruksforfatting), og er selve broen mellom virksomhetens drift og det rettslige rammeverket. Prosessene som ikke er knyttet til konkrete krav, lever i et juridisk vakuum – og det er ofte her tilsynsmyndigheter finner svikt.

Et illustrerende eksempel fra praksis: En revisjonsbedrift gjennomførte en omfattende prosesskartlegging av kjerneprosessene rundt regnskapsføring og rapportering. Kartleggingen ble grundig utført – men uten å koble prosessene til konkrete krav i regnskapsloven, bokføringsloven eller hvitvaskingsloven. Da Finanstilsynet kom på tilsyn, kunne bedriften vise frem detaljerte prosesskart, men kunne ikke dokumentere hvordan de enkelte prosessene faktisk ivaretok lovkravene. Resultatet ble pålegg om systematisk gjennomgang og kobling. Lærdommen: Et flott prosesskart uten kravkobling er teknisk imponerende, men styringsmessig utilstrekkelig.

Det motsatte kan også skje – at virksomheter har en velorganisert kravoversikt uten reell kobling til de operative prosessene. Da blir kravoppfyllelsen avhengig av enkeltpersoners hukommelse og tolkning, ikke av systematisk styring. IS-modellen™ er bygget for å hindre nettopp denne situasjonen: prosesskartet og kravoversikten skal flettes sammen i ett samlet styringsbilde der ingen prosess mangler kravkobling, og ingen krav mangler operativ adresse.

Markedsforventninger fortjener særskilt oppmerksomhet i moderne styringssystemer. Klassisk regulatorisk etterlevelse fokuserte på lovkrav alene. I dag er forventninger fra markedet ofte vel så bindende: Bærekraftsrapportering etter CSRD/ESRS er teknisk frivillig for små virksomheter, men kreves i praksis av store kunder og investorer. Universell utforming etter likestillings- og diskrimineringsloven er lovpålagt for offentlige virksomheter og en rekke private aktører, men forventes også av kunder utover lovens minimum. Prosesskartleggingen må fange opp disse forventningene, ikke bare det formelle lovverket.

4. Praktisk tilnærming – slik gjennomfører du prosesskartleggingen

Prosesskartlegging i IS-modellens™ ramme følger en strukturert metode som kan tilpasses virksomhetens størrelse og kompleksitet. Mindre virksomheter kan komme langt med enkle flytskjema og en strukturert workshop, mens større organisasjoner trenger formell prosessmodellering med BPMN-notasjon og digitale prosesskartverktøy. Felles for alle er imidlertid metoden:

Steg 1 – Top-down skissering. Start med ledelsens overblikk. Hvilke kjerneprosesser leverer verdi? Hvilke støtteprosesser muliggjør driften? Hvilke ledelsesprosesser styrer det hele? Tegn det øverste nivået av prosesskartet på én side – ikke gå i detaljer ennå. Dette gir et felles utgangspunkt for resten av arbeidet.

Steg 2 – Bottom-up validering. Involver ansatte i operative roller for å validere top-down-skissen. Det er her du oppdager prosessene som faktisk eksisterer, men som ledelsen ikke kjente til. Workshops med tverrfaglig deltakelse er den mest effektive metoden. Internkontrollforskriften § 4 fastsetter at "arbeidstakerne skal medvirke ved innføring og utøvelse av internkontroll" – dette er ikke valgfritt.

Steg 3 – Detaljering av kritiske prosesser. Ikke alle prosesser krever samme detaljnivå. Prioriter de som har høy risiko, høy frekvens eller stor regulatorisk eksponering. Detaljering kan gjøres som klassisk flytskjema, BPMN-modell eller swimlane-diagram. Verktøyene varierer, men kravene er de samme: Hver prosess skal ha en eier, en input, en output, og en definert sekvens av aktiviteter.

Steg 4 – Kobling til myndighetskrav. For hver kartlagt prosess: Hvilke lover, forskrifter eller bransjekrav regulerer den? Dette koblingsarbeidet er sentralt i IS-modellen™. Det er denne koblingen som gjør prosesskartet styringsmessig relevant – ikke bare et beskrivende dokument.

Steg 5 – Ansvarsplassering. Hver prosess skal ha en navngitt prosesseier med definert ansvar og myndighet. Dette knytter prosesskartleggingen til virksomhetsorganiseringen – navet i IS-syklusen som binder fasene sammen gjennom ansvar og myndighet. Uten ansvarsplassering blir prosesskartet et beskrivende dokument uten operativ kraft.

Steg 6 – Dokumentasjon og forankring. Prosesskartet skal være tilgjengelig, oppdatert og forstått av de som arbeider i prosessene. Dokumentasjon kan ligge i kvalitetsstyringssystem, dokumentstyringsplattform eller dedikerte prosesskartverktøy. Det viktigste er ikke valg av verktøy, men at kartet faktisk brukes – ikke ligger i en skuff.

Etter at kartleggingen er ferdig, er virksomheten klar for fase 2: Prosess- og risikovurderingsfasen. Her tas hver kartlagt prosess gjennom en strukturert risikovurdering for å identifisere hvor det er størst behov for instrukser, kontroller og barrierer.

5. Vanlige feil ved prosesskartlegging – og hvordan unngå dem

Erfaring fra tilsynspraksis og rådgivningsoppdrag avdekker noen typiske feil som gjentar seg i virksomheter på tvers av bransjer:

Feil 1: For omfattende kart fra start. Mange virksomheter forsøker å detaljere alle prosesser ned til instruksjonsnivå i førstegangskartleggingen. Resultatet blir et kart ingen forstår eller bruker. Korrekt tilnærming: Start grovt, valider med ansatte, og fordyp gradvis. Et oversiktlig kart som faktisk brukes er mer verdt enn et detaljert kart som ligger ubrukt.

Feil 2: Kun kjerneprosessene kartlegges. Støtte- og ledelsesprosessene blir ofte hoppet over fordi de ikke er "produktive". Men det er nettopp i disse områdene tilsynsmyndighetene leter ved revisjon. Avvikshåndtering, klagebehandling, sykefraværsoppfølging og personalprosesser er kritiske støtteprosesser som må kartlegges på samme nivå som kjerneprosessene.

Feil 3: Manglende ansvarsplassering. Et prosesskart uten navngitt prosesseier er teknisk ufullstendig. Når et avvik oppstår og ingen vet hvem som eier prosessen, eskalerer ofte saken til toppledelse eller styre – som ikke har operativ kapasitet til å håndtere alle avvik. Korrekt ansvarsplassering forebygger dette.

Feil 4: Statisk dokument. Prosesskartet oppdateres ikke når organisasjonen endres. Etter to års organisk vekst, omorganiseringer, nye tjenester og personellutskifting, beskriver kartet ikke lenger virksomheten. Korrekt tilnærming: Sett en fast rytme for revisjon (minimum årlig, oftere ved store endringer) og knytt revisjonen til ledelsens gjennomgang.

Feil 5: Ingen kobling til myndighetskrav. Prosesskartet utvikles som et internt effektiviseringsverktøy uten tanke på det rettslige rammeverket. Resultatet blir at prosesskartet og kravkartleggingen lever som to parallelle universer som aldri møtes. I IS-modellen™ er dette en kritisk feil – det er nettopp koblingen som gir kartet styringsverdi.

Feil 6: Ingen medvirkning fra ansatte. Kartet utarbeides av en intern stabsfunksjon uten å involvere de som faktisk utfører prosessene. Resultatet blir et kart som beskriver hvordan ledelsen tror prosessene fungerer – ikke hvordan de faktisk fungerer. I tillegg til å gi feil bilde, bryter dette med medvirkningskravet i internkontrollforskriften § 4.

Feil 7: Ingen kobling til avvikssystemet. Avvik som oppstår i drift mates ikke tilbake til prosesskartleggingen. Hver avvikstrend bør utløse spørsmålet: "Er dette en signalbrudd i en prosess vi har kartlagt – eller mangler vi prosessen i kartet?" Når kartet og AvvikStandard™ arbeider sammen, blir styringssystemet selvforbedrende.

Feil 8: Bransjespesifikke prosesser overses. Mange virksomheter kartlegger generelle prosesser (HR, IT, salg) grundig, men hopper over bransjespesifikke kjerneprosesser fordi "alle vet hvordan vi gjør det". Eksempler: Et byggefirma som ikke kartlegger SHA-koordinering, et helsehus som ikke kartlegger pasientforløp, en finansinstitusjon som ikke kartlegger transaksjonshåndtering. Det er ofte i bransjespesifikke prosesser den største regulatoriske risikoen ligger – og samtidig der konkurransefortrinn skapes. Kartleggingen må ha samme grundighetsnivå her som for de generelle støtteprosessene.

Feil 9: Prosesskartet brukes ikke i opplæring. Et godt prosesskart er gull verdt i onboarding av nye ansatte. Likevel blir det ofte liggende som et stabsdokument uten å være integrert i opplæringsmateriellet. Når kartet brukes aktivt i opplæring, oppnås tre fordeler: nye ansatte forstår sammenhenger raskere, prosessene blir testet for forståelighet, og avvik mellom kart og praksis blir avdekket av nye øyne. Dette er en lavkostnadsmetode for kontinuerlig validering.

6. Hvordan prosesskartlegging føder de andre fasene i IS-syklusen

Aktivitetsidentifiseringsfasen står ikke alene. Resultatene fra prosesskartleggingen mater direkte inn i de tre andre fasene i syklusen, og virkningskjeden er den samme uansett virksomhetstype:

Til fase 2 (Prosess- og risikovurdering): Hver kartlagt prosess danner et risikovurderingsobjekt. Uten et tydelig prosesskart blir risikovurderingen abstrakt og generell – og dermed lite handlingskraftig. Med kartet på plass kan risikoen vurderes prosess for prosess, med konkrete trusselbilder, sannsynligheter og konsekvenser. Dette er metoden som gir reell risikobasert internkontroll.

Til fase 3 (Aktivitetsorganisering): Prosessene fra kartleggingen blir grunnlaget for instruksforfatting. Hver prosess som risikovurderingen identifiserer som kritisk, skal ha en bindende instruks som beskriver hvordan den skal utføres. Instruks-Sjekken™ PRO er verktøyet som operasjonaliserer dette steget.

Til fase 4 (Kontroll og overvåking): Kontroll- og overvåkingsaktivitetene rettes mot de kartlagte prosessene. Uten kartet blir kontrollen tilfeldig og sjekklisteorientert – med kartet blir den målrettet og risikobasert. Ledelsens gjennomgang kan gjennomføres prosess for prosess.

Til navet (Virksomhetsorganisering): Ansvarsplasseringen i prosesskartet føder inn i organisasjonsstrukturen. Hver prosesseier får en formell rolle med definert ansvar og myndighet. Dette koblingsarbeidet er kjernen i IS-modellens™ instruksjonsbaserte tilnærming.

Den sykliske strukturen er det viktigste designvalget i IS-modellen™. Mange tradisjonelle styringssystemer behandler internkontroll som et lineært prosjekt med tydelig start og slutt: kartlegg, vurder, dokumenter, og deretter "drift". Dette gir et statisk styringssystem som raskt blir utdatert. IS-modellens™ sykliske design tvinger frem kontinuerlig oppdatering ved å bygge inn tilbakemeldingsløyfer fra kontroll- og overvåkingsfasen tilbake til ny prosesskartlegging.

I praksis betyr dette at virksomheter som implementerer IS-modellen™ bør planlegge for syklisk drift fra dag én. Kartleggingen som gjøres i fase 1 skal ikke arkiveres som ferdig leveranse, men leve som grunnlag for fase 2 og videre. Når fase 4 avdekker mønstre i avvik som tyder på at kartleggingen ikke fanger opp en faktisk prosess, eller at en kartlagt prosess har endret seg vesentlig, skal det utløse en ny revisjon av kartet. Dette er den sykliske kontinuiteten som skiller IS-modellen™ fra prosjektorienterte tilnærminger.

Når syklusen lukker seg – fra kontroll og overvåking tilbake til ny aktivitetskartlegging – tas funn fra avvikssystemet, ledelsens gjennomgang og internrevisjon med inn i ny revisjon av prosesskartet. Slik blir prosesskartleggingen en levende del av virksomhetens styring – ikke en engangsøvelse, men en kontinuerlig forbedringssyklus i samsvar med både ISO 9001-tradisjonen og IS-modellens™ instruksjonsbaserte logikk.

For styret er denne syklusen særlig viktig. Et dokumentert prosesskart med tydelig ansvarsplassering, koblet til risikovurdering, instrukser og kontroll, er sentralt bevis på at styret har oppfylt sitt tilsynsansvar etter aksjeloven §§ 6-12 og 6-13. Vurderingen som tilsynsmyndigheter, revisorer og domstoler gjør, flyttes fra "har dere tenkt på dette?" til "kan dere vise hvordan dere har kartlagt, vurdert og styrt?". Det er nettopp denne forflytningen IS-modellen™ er bygget for.

Det er viktig å forstå at prosesskartleggingen i IS-modellen™ skiller seg fra ren ISO 9001-tilnærming på ett vesentlig punkt: kobling til instruksbasert styring. ISO 9001 fokuserer primært på prosessenes logikk og effektivitet. IS-modellen™ tar samme utgangspunkt, men legger til kravet om at hver kritisk prosess skal resultere i bindende instrukser som ansatte er rettslig forpliktet til å følge. Dette er forskjellen mellom et dokumentert prosesskart og et styringssystem som faktisk binder organisasjonen.

For mellomstore virksomheter er det en typisk feil at prosesskartleggingen blir et HR- eller kvalitetsstabsprosjekt isolert fra ledelsens daglige styring. Når ledelsen ikke selv eier kartleggingsprosessen, ender resultatet ofte som et internt kvalitetsdokument uten reell styringseffekt. IS-modellen™ krever at toppledelsen er aktiv eier og bruker av prosesskartet – ikke fordi det er moteriktig, men fordi aksjeloven legger ansvaret hos styret og daglig leder, ikke hos kvalitetskoordinator.

Avslutningsvis: prosesskartlegging er ikke en engangsaktivitet, men startpunktet i en kontinuerlig styringssyklus. Et godt prosesskart åpner for systematisk risikobasert styring, instruksjonsbasert organisering og dokumenterbar kontroll. Et dårlig eller manglende prosesskart gir tilfeldig styring uansett hvor mye dokumentasjon som er produsert ellers. Investeringen i en grundig førstegangs kartlegging og disiplinert vedlikehold er en av de viktigste enkeltbeslutningene styret kan ta for å sikre forsvarlig virksomhetsstyring og redusere personlig styreansvar.

IS-syklusen – navigér mellom fasene

IS-modellen™ er en syklisk firfase-modell med Virksomhetsorganisering (ansvar/myndighet) i sentrum. Klikk på fasene for å lese mer.

Forretningside Markedsforventninger Myndighetskrav Identifisering og vurdering av sentrale og kritiske aktiviteter Kompetansekrav Opplæring Arbeidsinstrukser Kvalitetssikring Overvåking Avviksbehandling Revisjon Aktivitets- identifisering DU ER HER Prosess- og risikovurdering Aktivitets- organisering Kontroll og overvåking Virksomhets- organisering Ansvar · Myndighet

© Internkontroll AS · IS-modellen™ er en syklisk styringsmodell der funn fra fase 4 (Kontroll og overvåking) mater tilbake til fase 1 (Aktivitetsidentifisering) for kontinuerlig forbedring.

Ofte stilte spørsmål om prosesskartlegging

Hva er prosesskartlegging?

Prosesskartlegging er den systematiske metoden for å identifisere, beskrive og dokumentere alle prosesser i en virksomhet. I IS-modellens™ syklus er prosesskartlegging fase 1, og fundamentet for risikovurdering, instruksforfatting og kontroll. Resultatet er et dokumentert prosesskart som viser kjerne-, støtte- og ledelsesprosesser med ansvarsplassering.

Krever ISO 9001 prosesskartlegging?

Ja. ISO 9001:2015 krever at virksomheten skal identifisere prosessene den utfører, definere rekkefølge og samspill, og styre dem med tildelte ressurser, ansvar og myndighet. Prosesskartlegging er den praktiske metoden for å oppfylle dette kravet. Også uten ISO 9001-sertifisering vil internkontrollforskriften § 5 nr. 6 og aksjeloven § 6-12 stille tilsvarende krav til prosessoversikt.

Hva er forskjellen på prosesskart og organisasjonskart?

Et organisasjonskart viser den vertikale, funksjonelle strukturen – hvem rapporterer til hvem. Et prosesskart viser virksomheten som et dynamisk system der prosessene går på tvers av avdelinger. Organisasjonskartet sier hvem som er sjef, prosesskartet sier hva som faktisk gjøres. I IS-modellen™ er det prosesskartet som danner grunnlaget for instruksjonsfilteret.

Hvilke tre prosesskategorier skiller IS-modellen™?

IS-modellen™ følger ISO 9001-tradisjonens skille mellom kjerneprosesser (verdiskapende, kunderettet), støtteprosesser (HR, IT, økonomi som muliggjør driften) og ledelsesprosesser (strategi, styring, internrevisjon). Alle tre kategorier skal kartlegges, fordi risiko og regulatoriske krav kan oppstå i alle tre.

Hvor lang tid tar en førstegangs prosesskartlegging?

Tidsbruken varierer med virksomhetens størrelse og kompleksitet. For en mindre virksomhet med 10–30 ansatte er 4–6 uker realistisk. For en mellomstor virksomhet med 100–500 ansatte er 6–12 uker normalt. Det kritiske er ikke hvor lang tid kartleggingen tar, men at den faktisk gjennomføres med medvirkning fra ansatte og at resultatet holdes oppdatert over tid.

Hvem er ansvarlig for prosesskartleggingen?

Virksomhetsledelsen har det formelle ansvaret, jf. internkontrollforskriften § 4. Praktisk gjennomføring delegeres ofte til en internkontrollansvarlig eller kvalitetskoordinator. Ansatte skal medvirke etter samme paragraf. Styret har et tilsynsansvar etter aksjeloven §§ 6-12 og 6-13 og må kunne dokumentere at kartleggingen er gjennomført og oppdateres.

Hvor detaljert skal prosesskartet være?

Detaljnivået skal tilpasses risiko og regulatorisk eksponering. Kjerneprosesser og høyrisikoprosesser bør detaljeres til aktivitetsnivå. Lavrisikoprosesser kan beskrives på et høyere abstraksjonsnivå. En tommelfingerregel: hvis ingen kan utføre prosessen ut fra kartet, er det for grovt. Hvis kartet må oppdateres ukentlig, er det for detaljert.

Hvilke verktøy bør brukes til prosesskartlegging?

Verktøyet er mindre viktig enn metoden. Mindre virksomheter kan bruke flytdiagrammer i Word, PowerPoint eller dedikerte tjenester som Lucidchart og Miro. Større virksomheter bruker ofte BPMN-baserte verktøy eller integrerte kvalitetsstyringssystemer. Det viktigste er at kartet er tilgjengelig for de som skal bruke det, og at oppdatering er enkelt.

Må ansatte involveres i prosesskartleggingen?

Ja. Internkontrollforskriften § 4 fastsetter at "arbeidstakerne skal medvirke ved innføring og utøvelse av internkontroll". Dette gjelder også prosesskartlegging. I tillegg er medvirkning rent praktisk nødvendig: Det er de ansatte som faktisk utfører prosessene, og som derfor vet hvordan de fungerer i hverdagen. Kart laget uten medvirkning beskriver hvordan ledelsen tror prosessene fungerer – ikke hvordan de faktisk fungerer.

Hvor ofte skal prosesskartet revideres?

Minimum årlig som del av ledelsens gjennomgang. I tillegg ved alle vesentlige endringer: organisasjonsendringer, nye tjenester eller produkter, nye markedssegmenter, endringer i regulatorisk rammeverk, og betydelige avvikstrender. I praksis betyr dette at prosesskartet er et levende dokument, ikke en engangsleveranse.

Om forfatterne

Svein Roar Holt – grunnlegger av Internkontroll AS og skaper av IS-modellen™
Svein Roar Holt Grunnlegger – Internkontroll AS & Internkontrollportalen.no

Skaper av IS-modellen™ og AvvikStandard™. Ekspert på strategisk virksomhetsstyring, governance og instruksbasert internkontroll. Har bygget Norges ledende digitale GRC-plattform for SMB og offentlig sektor.

Om Svein Roar → LinkedIn →
Maria Zahlsen – grunnlegger av Internkontroll AS, jurist med arbeidsrett og forretningsjuss
Maria Zahlsen Grunnlegger – Internkontroll AS & Internkontrollportalen.no

Jurist med spesialisering innen arbeidsrett, kontraktsrett og forretningsjuss. Ekspert på operativ etterlevelse, HR-juss og organisatorisk risikostyring – med særlig fokus på menneskelig faktor og praktisk implementering av styringsverktøy.

Om Maria → LinkedIn →
Prosesskartlegging – fase 1 i IS-modellens™ sykliske firfase-modell
Prosesskartlegging er fase 1 i IS-modellens™ sykliske firfase-modell – fundamentet for risikovurdering, instruksforfatting og kontroll.

Innhold

  1. Hva er prosesskartlegging?
  2. De tre prosesskategoriene
  3. Forretningsidé, marked og myndighetskrav
  4. Praktisk tilnærming
  5. Vanlige feil – og hvordan unngå dem
  6. Kobling til IS-syklusen

FAQ

PRO-VERKTØY

Samsvarsmatrisen™ PRO

Strukturert kartlegging av myndighetskrav koblet til virksomhetens prosesser. Gir ferdig dokumentasjon for tilsyn og revisjon.

Bruk verktøyet →
PRO-VERKTØY

Kompetanse-Revisjonen™ PRO

Dokumenterer lovpålagt opplæring og kompetanse i tilknytning til kartlagte prosesser og roller.

Bruk verktøyet →

Relatert i IS-syklusen

Relaterte fagsider

Lovhenvisninger

Trenger du rådgivning?

Vi hjelper deg med virksomhetsstyring, internkontroll, HMS og GDPR.

Ta kontakt med oss →
Skroll til toppen