Begreper og definisjoner

Norges autoritative styringsspråk for GRC, virksomhetsstyring og internkontroll – 282 begreper i 9 strukturerte klasser

Versjon 1.0 MASTER © Internkontroll AS Oppdatert mai 2026

Forfattere: Svein Roar Holt & Maria Zahlsen – Internkontroll AS | Sist oppdatert: mai 2026 | Juridisk forankring: Aksjeloven §§ 6-12, 6-13, 17-1, Internkontrollforskriften, AML, GDPR, ISO 9001/27001/31000, COSO ERM/IC, åpenhetsloven

Internkontroll AS' begrepsapparat er konstruert som et helhetlig styringsspråk for Norges fremste virksomheter, basert på IS-modellen™ og AvvikStandard™. Det er ikke en ordliste, men et fagspråk som tåler juridisk etterprøving, styremessig vurdering og operativ bruk.

Hvert begrep er plassert i én av ni klasser og markert med fire styringsakser: norm-status, rettslig relevans, styringsnivå og systemrolle. Strukturen er kompatibel med – men ikke underordnet – ISO, COSO, OECD og IIA.

Metodisk presisering – Instruks vs. retningsgivende dokumentasjon

Internkontroll AS bruker «instruks» som standardbegrep for bindende MÅ-krav, og «prosedyre»/«rutine» som standardbegreper for veiledende BØR/KAN-dokumenter.

Selve navnet er imidlertid ikke det normativt vesentlige. Det normativt vesentlige er at virksomheten har et tydelig differensiert skille mellom MÅ-krav og retningsgivende styringsdokumentasjon. En virksomhet som kaller sine bindende dokumenter «retningslinjer» og sine veiledende dokumenter «instrukser» vil oppleve betydelig styringsforvirring – uavhengig av om intensjonen er god.

Differensiering trumfer terminologi. Differensiering med konsistent terminologi er det optimale.

Slik leser du 4-akse-markeringen

Hvert begrep har en kompakt akse-markering, f.eks. [N: MÅ | R: DIREKTE | S: STYRE | F: STRUKT]:

N (Norm-status): MÅ (norm) · SKAL (metode) · BØR/KAN (støtte) · DESKR (deskriptiv)
R (Rettslig relevans): DIREKTE (lovbestemt) · INDIREKTE (følger av) · INGEN (operativ)
S (Styringsnivå): STYRE · LEDELSE · LINJE · STØTTE · ALLE
F (Systemrolle): FOREB (forebyggende) · KONTR (kontrollerende) · KORR (korrigerende) · LÆR (lærende) · STRUKT (strukturell)

282 begreper vises

Hopp til klasse

1Normative kjernebegreper 2Instruksjon og regelverk 3Avvik–fravik–hendelse 4Risiko 5Kontroll og etterlevelse 6Roller og ansvar 7Læring og forbedring 8System og dokument 9Eksterne (kartlegging)

Bla alfabetisk

A B C D E F G H I J K L M N O P Q R S T U V W X Y Z Æ Ø Å

Ingen begreper matchet søket. Prøv et annet søkeord eller .

Klasse 1

Begreper og definisjoner -Normative kjernebegreper

Få begreper, strengt definerte, ufravikelige. Alle andre begreper må kunne spores tilbake hit.

1.1Styring: [N: MÅ | R: DIREKTE | S: STYRE | F: STRUKT]
Den helhetlige, normative aktiviteten å fastsette retning, fordele myndighet og sikre at virksomheten drives slik som besluttet. Det fundamentale begrepet som alle andre styringsbegreper bygger på.

Se også: Virksomhetsstyring · Styringssystem
1.2Virksomhetsstyring Corporate Governance: [N: MÅ | R: DIREKTE | S: STYRE | F: STRUKT]
Det helhetlige systemet for ledelse og kontroll av en virksomhet. Omfatter styring (governance), risikostyring og etterlevelse (compliance). På norsk foretrekkes virksomhetsstyring fremfor det engelske «corporate governance».

Se også: GRC · Pillar: Virksomhetsstyring
1.3Forsvarlig organisering Kjerne: [N: MÅ | R: DIREKTE | S: STYRE | F: STRUKT]
Aksjelovens § 6-12-krav til at virksomheten skal være organisert slik at den kan drives på forsvarlig måte – tilpasset virksomhetens art, omfang og risikobilde. Rammepreget norm som forutsetter et tilpasset styringssystem. Også omtalt som «organisatorisk forsvarlighet».

Hjemmel: Aksjeloven § 6-12

Se også: Aksjeloven § 6-12 · Styringssvikt
1.4Styringsrett: [N: MÅ | R: DIREKTE | S: LEDELSE | F: STRUKT]
Arbeidsgivers rett til å lede, fordele og kontrollere arbeidet innenfor avtalens og lovens rammer. Hjemmelen for at instrukser er bindende for arbeidstakere – fundamentet i IS-modellen™.

Se også: Instruks · Arbeidsavtale · Hjemling
1.5Normativt sannhetspunkt Kjerne Ny: [N: MÅ | R: DIREKTE | S: ALLE | F: STRUKT]
Det fastsatte normgrunnlaget – myndighetskrav og interne instrukser – som virksomhetens adferd vurderes mot. Ikke en mening eller preferanse, men en rettslig referanse. All vurdering av etterlevelse skjer mot det normative sannhetspunktet.

Se også: Myndighetskrav · Virksomhetskrav · Instruks
1.6Myndighetskrav: [N: MÅ | R: DIREKTE | S: ALLE | F: STRUKT]
Ufravikelige regler fastsatt av lovgiver eller tilsynsmyndighet. Kan ikke velges bort. Må alltid instruksjonsfestes for å få operativ effekt – manglende instruksjonsfesting er styringssvikt.

Se også: Virksomhetskrav · Instruksjonsfesting · Ufravikelighetsprinsippet
1.7Virksomhetskrav: [N: MÅ | R: INDIREKTE | S: STYRE | F: STRUKT]
Krav virksomheten selv har fastsatt eller er bundet av gjennom avtale. Like instruksjonspliktige som myndighetskrav i IS-modellen™. Kan gå lenger enn lovens minimum, men instruksjonsformen er ufravikelig.

Se også: Myndighetskrav · Instruks
1.8Etterlevelse Compliance: [N: MÅ | R: DIREKTE | S: ALLE | F: KONTR]
Tilstanden hvor alle krav virksomheten er bundet av faktisk etterleves i praksis. Norsk primærterm; engelske «compliance» og «legal compliance» er sekundære synonymer. Etterlevelse er målet, internkontroll er metoden.

Se også: Internkontroll · Compliance-funksjon
1.9Styringssvikt Kjerne Ny: [N: MÅ | R: DIREKTE | S: STYRE | F: STRUKT]
Manglende eller mangelfull styring som gjør virksomheten ute av stand til å oppfylle krav. Manglende instruksjonsfesting er styringssvikt – ikke nøytralitet. Sentralt begrep for tilsyn og rettslig vurdering av styreansvar.

Relevans: Aksjeloven § 17-1 (erstatningsansvar)

Se også: Bevisposisjon · Ufravikelighetsprinsippet
1.10Dokumentert styring Kjerne Ny: [N: MÅ | R: DIREKTE | S: ALLE | F: STRUKT]
Styring som er nedfelt i instrukser og styringsdokumenter, og som kan bevises ved tilsyn eller revisjon. Det styret kan vise frem av strukturerte styringsbeviser. Kritisk for bevisposisjonen.

Se også: Reell styring · Bevisposisjon · Etterprøvbarhet
1.11Reell styring Kjerne Ny: [N: MÅ | R: INDIREKTE | S: ALLE | F: KONTR]
Styring som faktisk virker i praksis – hvor instrukser etterleves og kontroll utøves. Forskjellig fra dokumentert styring. En virksomhet kan ha dokumentert styring uten reell styring – og omvendt. Tilsyn og rettssaker handler om begge.

Se også: Dokumentert styring · Etterlevelse

Klasse 2

Instruksjons- og regelverksbegreper

Begrepene som gjør krav til bindende plikt. IS-modellens kjerne.

2A · Kjernebegreper

2.1Instruks IS: [N: MÅ | R: DIREKTE | S: ALLE | F: STRUKT]
Bindende handlingsregel fastsatt innenfor styringsretten, som ansatte er rettslig forpliktet til å følge gjennom arbeidsavtalen. Internkontroll AS' standardterm for bindende MÅ-krav. En instruks er konkret, adressert til definerte roller, tidsangitt og etterprøvbar. Brudd er kontraktsbrudd, ikke kulturforseelse.

Se også: Prosedyre (veiledende) · Rutine (veiledende) · Instruksjonsfesting
2.2Instruksjonsfesting Kjerne Ny: [N: MÅ | R: DIREKTE | S: LEDELSE | F: STRUKT]
Den styringshandlingen som omformer et krav til bindende instruks. Steg 4 i Instruksjonsfilteret™. Manglende instruksjonsfesting er styringssvikt, ikke nøytralitet.

Se også: Instruksjonsfilteret™ · Styringssvikt
2.3Instruksansvar Kjerne Ny: [N: MÅ | R: DIREKTE | S: STYRE | F: STRUKT]
Den lovpålagte eller styringsrettslige plikten til å sikre at instrukser etableres, gjøres kjent og etterleves. Forskjellig fra instruksansvarlig (rolle) – instruksansvar er plikten, instruksansvarlig er rollen.

Se også: Instruksansvarlig · Styrets tilsynsplikt
2.4Instruksansvarlig: [N: MÅ | R: INDIREKTE | S: LEDELSE | F: KONTR]
Den rollen (typisk linjeleder eller funksjonsansvarlig) som har det operative ansvaret for at en konkret instruks fungerer i praksis. Forskjellig fra instruksansvar (plikten).

Se også: Instruksansvar · Internkontrollansvarlig
2.5Instruksjons-eier: [N: MÅ | R: INDIREKTE | S: LEDELSE | F: STRUKT]
Lederstrukturen som sikrer at instrukser etableres og oppdateres. Typisk virksomhetsledelsen som kollektivt organ.

Se også: Pillar: Virksomhetsledelse
2.6Instruksjonsfilteret™: [N: SKAL | R: INDIREKTE | S: LEDELSE | F: STRUKT]
IS-modellens 5-stegs prosess for å omforme krav til kjørbar instruks: (1) identifisering, (2) risikovurdering, (3) beslutning, (4) instruksjonsfesting, (5) operasjonalisering. Et krav som ikke har vært gjennom alle fem stegene har ingen operativ kraft.

Se også: Pillar: IS-modellen™
2.7Ufravikelighetsprinsippet: [N: MÅ | R: DIREKTE | S: STYRE | F: STRUKT]
IS-modellens kjerneprinsipp: lovkrav kan aldri velges bort, må alltid instruksjonsfestes. Manglende instruksjonsfesting er styringssvikt. Instruksjonsformen er ufravikelig – også for virksomhetskrav som går lenger enn loven.

Se også: Styringssvikt · Instruksjonsfesting
2.8Hjemling: [N: MÅ | R: DIREKTE | S: LEDELSE | F: STRUKT]
Koblingen mellom en instruks og dens rettslige eller avtalemessige grunnlag (lov, forskrift, virksomhetsbeslutning eller arbeidsavtalen via styringsretten). En instruks uten hjemmel er ikke bindende.

Se også: Styringsrett · Arbeidsavtale · Hjemmelsgrunnlag
2.9Autorisasjon Kjerne Ny: [N: MÅ | R: DIREKTE | S: STYRE | F: STRUKT]
Forutsetningen for at fravik er gyldig: kun den med instruksgivermyndighet kan beslutte fravik. Uautorisert avvik fra instruks er ikke fravik – det er avvik. Sentralt for fraviksvurdering.

Se også: Fravik · Femvilkårstesten · Fraviksgodkjenner
2.10Instruksregister: [N: MÅ | R: INDIREKTE | S: LEDELSE | F: STRUKT]
Samlet, oppdatert oversikt over alle aktive instrukser med versjon, eier og hjemmel. Sentralt verktøy for instruksjonsbasert styring.

Se også: Versjonskontroll · Dokumentstyring

2B · Hierarki: Instruks (MÅ) → Prosedyre/Rutine (veiledende) → Støtte

2.11Policy Prinsipp: [N: BØR/KAN | R: INDIREKTE | S: STYRE | F: STRUKT]
Overordnet prinsippdokument som angir virksomhetens verdier, mål og rammer. Ikke i seg selv operativt bindende – må omformes til instruks for å få operativ effekt.

Se også: Instruks · Styrende dokumenter
2.12Retningslinje: [N: BØR/KAN | R: INDIREKTE | S: LEDELSE | F: STRUKT]
Mer konkret enn policy, men ikke nødvendigvis bindende. Operativ effekt forutsetter instruksjonsfesting. Begrepet brukes ofte ulikt i bransjen – det viktige er differensieringen mot bindende instruks.

Se også: Policy · Instruks
2.13Prosedyre: [N: BØR/KAN | R: INDIREKTE | S: LINJE | F: STRUKT]
Beskrivelse av hvordan en instruks bør utføres – sekvensiell, trinnvis. Veiledende, ikke bindende i Internkontroll AS' bruk. Underordnet instruks. NB: Begrepet brukes ulikt i ulike rammeverk – det vesentlige er at MÅ-krav (instruks) og BØR-dokumenter (prosedyre) er differensiert.

Se også: Instruks · Rutine
2.14Rutine: [N: BØR/KAN | R: INDIREKTE | S: LINJE | F: STRUKT]
I praksis synonym med prosedyre, men ofte mindre formell. Veiledende, ikke bindende i Internkontroll AS' bruk. Anbefales standardisert til prosedyre-begrepet for konsistens, men terminologien er underordnet differensieringen mot bindende instruks.

Se også: Prosedyre · Instruks
2.15Veiledning: [N: BØR/KAN | R: INGEN | S: STØTTE | F: STRUKT]
Beskrivende støttemateriale som hjelper utførelse, men er ikke bindende. Kan referere til både instruks og prosedyre.

Se også: Sjekkliste
2.16Sjekkliste: [N: BØR/KAN | R: INGEN | S: LINJE | F: KONTR]
Operativt verktøy for å dokumentere at en instruks er utført. Underordnet, ikke-bindende, men kan være praktisk obligatorisk når en instruks krever bruk av sjekkliste.

Se også: Instruks · Veiledning
2.17Stillingsinstruks: [N: MÅ | R: DIREKTE | S: LINJE | F: STRUKT]
Operativ, bindende instruks knyttet til en spesifikk rolle. Beskriver konkrete oppgaver, myndighet og kompetansekrav. Skiller seg fra stillingsbeskrivelse ved sin bindende karakter.

Se også: Stillingsbeskrivelse (beskrivende, ikke bindende)
2.18Stillingsbeskrivelse: [N: BØR/KAN | R: INDIREKTE | S: LINJE | F: STRUKT]
Beskrivende dokument om en stillings ansvar, oppgaver og myndighet. Ikke i seg selv bindende – må kombineres med stillingsinstruks for å gi rettslig virkning. Brukes ofte i rekruttering og HR.

Se også: Stillingsinstruks (bindende)
2.19Styreinstruks: [N: MÅ | R: DIREKTE | S: STYRE | F: STRUKT]
Bindende regler for styrets arbeid, habilitet og saksbehandling. Lovpålagt for visse virksomhetstyper.

Se også: Forretningsorden · Pillar: Styret
2.20HMS-instruks: [N: MÅ | R: DIREKTE | S: ALLE | F: STRUKT]
Bindende instruks som regulerer HMS-relaterte aktiviteter. Hjemlet i AML og Internkontrollforskriften.

Hjemmel: AML § 3-1 · Internkontrollforskriften

Se også: Pillar: HMS-arbeid

2C · Dokumenttyper

2.21Styrende dokumenter: [N: SKAL | R: INDIREKTE | S: STYRE | F: STRUKT]
Policyer, instrukser og retningslinjer som angir krav. Det øverste laget i styringsdokumentpyramiden.
2.22Gjennomførende dokumenter: [N: SKAL | R: INGEN | S: LINJE | F: STRUKT]
Sjekklister, prosedyrer og maler for utførelse. Det operative laget i styringsdokumentpyramiden.
2.23Kontrollerende dokumenter: [N: SKAL | R: INDIREKTE | S: LINJE | F: KONTR]
Rapporter, logger og protokoller som dokumenterer etterlevelse. Det dokumenterende laget.
2.24Trelagsstrukturen: [N: SKAL | R: INDIREKTE | S: ALLE | F: STRUKT]
IS-modellens organisering av styringsdokumenter i tre nivåer: Nivå 1 (Strategisk – Hvorfor: strategi, policyer, mål), Nivå 2 (Instrukser – MÅ: bindende plikt), Nivå 3 (Gjennomføring – BØR/KAN: prosedyrer, veiledninger, sjekklister). Eliminerer gråsonene mellom MÅ og BØR.

Se også: Pillar: IS-modellen™

Klasse 3

Avvik–fravik–hendelse

AvvikStandard™'s lukkede begrepssett. Ingen kreative varianter – bare entydige termer.

3A · Primærbegreper (alltid entydige)

3.1Avvik: [N: MÅ | R: DIREKTE | S: ALLE | F: KORR]
Utilsiktet brudd på myndighetskrav eller intern instruks. Alltid systemsvikt eller etterlevelsessvikt – krever syvfasert AvvikStandard™-håndtering. Ikke å forveksle med fravik (autorisert) eller hendelse (uten normbrudd).

Se også: Fravik · Hendelse · Pillar: AvvikStandard™
3.2Fravik Kjerne Ny: [N: MÅ | R: DIREKTE | S: STYRE/LEDELSE | F: STRUKT]
Tilsiktet, autorisert og dokumentert avgjørelse om å avvike fra fastsatt instruks/myndighetskrav, innenfor lovens og styringsrettens rammer. Skal alltid passere femvilkårstesten. Krever eget fraviksregister – håndteres ikke som avvik.

Se også: Femvilkårstesten · Autorisasjon · Fraviksregister
3.3Hendelse: [N: SKAL | R: INDIREKTE | S: LINJE | F: KORR]
Uønsket situasjon som ikke kan tilbakeføres til brudd på myndighetskrav eller intern instruks. Behandles ikke som avvik – krever kun gjenopprettelse, ikke rotårsaksanalyse.

Se også: Avvik · Dokumentkvelning
3.4Nesten-uhell: [N: SKAL | R: INDIREKTE | S: LINJE | F: FOREB]
Situasjon som under marginalt endrede omstendigheter kunne medført skade eller alvorlige konsekvenser. Behandles som risikobasert avvik – verdifullt læringsmateriale.

Se også: Avvik · Rotårsaksanalyse
3.5Observasjon: [N: BØR/KAN | R: INGEN | S: ALLE | F: LÆR]
Forbedringspunkt uten påvist brudd på myndighetskrav eller instrukser. Håndteres i forbedringssystemet, ikke avvikssystemet.

3B · Fravik-presiseringer

3.6Femvilkårstesten Kjerne Ny: [N: MÅ | R: DIREKTE | S: STYRE/LEDELSE | F: STRUKT]
Test for å avgjøre om et forhold er fravik (ikke avvik). Alle fem vilkår må være oppfylt: (1) tilsiktet, (2) autorisert, (3) begrunnet, (4) skriftlig dokumentert, (5) tidsavgrenset. Mangler ett vilkår – er forholdet et avvik, ikke et fravik.

Se også: Fravik · Reklassifisering
3.7Autorisert fravik: [N: MÅ | R: DIREKTE | S: STYRE/LEDELSE | F: STRUKT]
Fravik som er besluttet av rolle med instruksgivermyndighet. Kontrast: uautorisert avvik fra instruks er avvik.

Se også: Autorisasjon · Fraviksgodkjenner
3.8Dispensasjon: [N: MÅ | R: DIREKTE | S: STYRE | F: STRUKT]
Myndighetsbeslutning om unntak fra lovkrav. Forutsetning for fravik fra myndighetskrav (Type 2-fravik). Søkes hos relevant tilsynsmyndighet.

Se også: Fravik
3.9Punktfravik: [N: SKAL | R: INDIREKTE | S: LEDELSE | F: STRUKT]
Fravik for én konkret handling i akutt situasjon (timer/dager). Den korteste tidsdimensjonen.
3.10Periodefravik: [N: SKAL | R: INDIREKTE | S: LEDELSE | F: STRUKT]
Fravik for avgrenset periode (uker/måneder), f.eks. ved omstilling, reorganisering eller spesielle prosjekter.
3.11Strukturfravik: [N: SKAL | R: INDIREKTE | S: STYRE | F: STRUKT]
Fravik som gjelder inntil instruks er revidert. Maksimal varighet er 3 måneder uten revisjon – etter dette må enten instruksen oppdateres eller fraviket reklassifiseres til avvik.

Se også: Reklassifisering
3.12Reklassifisering Kjerne Ny: [N: MÅ | R: DIREKTE | S: LEDELSE | F: KORR]
Endring av status fra fravik til avvik når ett av femvilkårene faller bort (f.eks. tidsfrist passert uten revisjon). Kritisk styringsmekanisme – uten reklassifisering kan fravik bli en juridisk feilkonstruksjon.

Se også: Femvilkårstesten · Strukturfravik
3.13Fraviksregister: [N: MÅ | R: INDIREKTE | S: LEDELSE | F: STRUKT]
Separat register fra avviksregisteret. Dokumenterer alle godkjente fravik med vilkår, varighet, ansvarlig og revisjonsplan.

Se også: Avviksregister · Fravik

3C · Klassifisering og eskalering

3.14Klassifiseringssløyfen: [N: SKAL | R: INDIREKTE | S: LINJE | F: KORR]
AvvikStandard™'s strukturerte beslutningsprosess for å skille avvik / fravik / hendelse / nesten-uhell / observasjon. Fase 2 i syvfasemodellen.

Se også: Sorteringsverktøy™
3.15Kritikalitet: [N: SKAL | R: INDIREKTE | S: LEDELSE | F: KORR]
Klassifisering av avvik i AvvikStandard™ med fire nivåer: 🟢 Grønn (7 dager / lokalt) · 🟡 Gul (24 t / avd.leder) · 🔴 Rød (8 t / daglig leder) · ⚫ Svart (umiddelbart / styret). Hver kritikalitet har egen eskaleringsterskel og lukketidsfrist.

Se også: Eskaleringsmatrise
3.16Eskaleringsmatrise: [N: SKAL | R: INDIREKTE | S: LEDELSE | F: KORR]
Strukturert matrise i AvvikStandard™ med terskler, tidsfrister og varslingsplikter for hver kritikalitet. Manglende eskalering er systemsvikt.

Se også: Kritikalitet
3.17Avviksprotokoll: [N: MÅ | R: DIREKTE | S: LEDELSE | F: KONTR]
Lovpålagt register over feil, brudd og uregelmessigheter. Dokumentasjon av avvikshåndtering. I AvvikStandard™ omtales også som avviksregister.

Hjemmel: Internkontrollforskriften § 5

Se også: Avviksregister
3.18Sorteringsverktøy™: [N: BØR/KAN | R: INGEN | S: LINJE | F: KORR]
Internkontroll AS' verktøy for klassifisering av avvik vs. hendelse. Operasjonaliserer Klassifiseringssløyfen.

Se også: Sorteringsverktøy™ i Styringsportalen
3.19Dokumentkvelning: [N: DESKR | R: INGEN | S: ALLE | F: KORR]
Tilstand der avvikssystemet fylles med ikke-reelle avvik (hendelser, observasjoner), slik at alvorlige avvik forsvinner i mengden. Sentralt motargument mot "lavterskel for å melde alt"-praksis.

Se også: Klassifiseringssløyfen · Hendelse
3.20AvvikStandard™: [N: SKAL | R: INDIREKTE | S: ALLE | F: KORR]
Internkontroll AS' helhetlige modell for avviksstyring i syv faser: (1) Eksponering, (2) Klassifisering, (3) Ansvarsetting, (4) Rotårsaksanalyse, (5) Tiltak A-B-C, (6) Effektmåling 1-3-6, (7) Hub-basert læring.

Se også: Pillar: AvvikStandard™ · IS-modellen™
3.21Avviksbehandling: [N: MÅ | R: DIREKTE | S: ALLE | F: KORR]
Den systematiske prosessen for å identifisere, analysere, korrigere og lære av avvik. Operasjonalisert gjennom AvvikStandard™'s syvfasemodell. Lovpålagt etter Internkontrollforskriften § 5 og en kjernedel av internkontrollen. Skiller seg fra "avvikshåndtering" (gjenoppretting) ved at avviksbehandling alltid inkluderer rotårsaksanalyse og varig styrkning av styringssystemet.

Hjemmel: Internkontrollforskriften § 5

Se også: Pillar: Avviksbehandling · AvvikStandard™ · Rotårsaksanalyse

Klasse 4

Risikobegreper

Begreper knyttet til usikkerhet før noe skjer. Klart adskilt fra avviksbegreper. Risiko = potensial; avvik = realisert brudd.

4A · Kjernebegreper

4.1Risiko: [N: DESKR | R: INDIREKTE | S: ALLE | F: FOREB]
Usikkerhet som påvirker mål, vurdert som sannsynlighet × konsekvens. Potensial, ikke realisert. Skarpt skille fra avvik.

Se også: Avvik (realisert) · Pillar: Risikostyring
4.1aRisikostyring: [N: MÅ | R: DIREKTE | S: STYRE | F: STRUKT]
Den helhetlige, strategiske disiplinen som integrerer risikoidentifikasjon, risikovurdering, risikobehandling og overvåking i ett samlet styringssystem. Lovpålagt etter aksjeloven § 6-12 som styrets ansvar. Fundamentet for forsvarlig drift – uten effektiv risikostyring blir internkontrollen reaktiv.

Hjemmel: Aksjeloven § 6-12 · ISO 31000 · COSO ERM

Se også: Pillar: Risikostyring · Risikovurdering · COSO ERM
4.1bKartlegging av risiko: [N: MÅ | R: DIREKTE | S: ALLE | F: FOREB]
Den operative prosessen som omsetter risikostyring til konkrete handlinger – fra identifikasjon, gjennom analyse og evaluering, til risikobehandling gjennom instrukser. Diagnostisk verktøy som identifiserer hvilke instrukser virksomheten må etablere. Lovpålagt etter Internkontrollforskriften § 5.

Hjemmel: Internkontrollforskriften § 5

Se også: Pillar: Kartlegging av risiko · Risikovurdering · ROS-analyse
4.2Sannsynlighet: [N: DESKR | R: INGEN | S: ALLE | F: FOREB]
Vurdering av hvor sannsynlig en uønsket hendelse er. Komponent i risikoberegningen.

Se også: Konsekvens
4.3Konsekvens: [N: DESKR | R: INGEN | S: ALLE | F: FOREB]
Vurdering av virkning hvis en uønsket hendelse inntreffer. Komponent i risikoberegningen.

Se også: Sannsynlighet
4.4Inherent risiko Iboende risiko: [N: DESKR | R: INGEN | S: ALLE | F: FOREB]
Iboende risiko vurdert før tiltak er iverksatt. «Den rå risikoen» i virksomheten.

Se også: Restrisiko
4.5Restrisiko Residual Risk: [N: SKAL | R: INDIREKTE | S: STYRE/LEDELSE | F: FOREB]
Risikoen som gjenstår etter at tiltak er iverksatt. Må vurderes mot virksomhetens risikoappetitt og akseptkriterier. Sammenlignes mot inherent risiko for å måle tiltakseffekt.

Se også: Inherent risiko · Risikoappetitt · Risikoaksept
4.6Risikoaksept: [N: MÅ | R: INDIREKTE | S: STYRE/LEDELSE | F: STRUKT]
Beslutning om å godta restrisiko uten ytterligere tiltak. Skal alltid dokumenteres skriftlig med begrunnelse.

Se også: Restrisiko
4.7Risikoappetitt: [N: SKAL | R: INDIREKTE | S: STYRE | F: STRUKT]
Nivået av risiko virksomheten er villig til å operere med. Fastsettes av styre/ledelse. Definerer terskelen for når risiko må behandles.

Referanse: ISO 31000
4.8Risikoprofil: [N: DESKR | R: INGEN | S: STYRE | F: FOREB]
Virksomhetens samlede eksponering for risiko. Aggregert oversikt på styresnivå.

4B · Operative begreper

4.9Risikoidentifikasjon: [N: SKAL | R: INDIREKTE | S: ALLE | F: FOREB]
Systematisk avdekking av risiko. Første trinn i risikovurderingsprosessen.

Se også: Risikovurdering
4.10Risikovurdering: [N: MÅ | R: DIREKTE | S: ALLE | F: FOREB]
Systematisk prosess for identifisering, analyse og evaluering av risiko. Lovpålagt etter Internkontrollforskriften § 5.

Hjemmel: Internkontrollforskriften § 5

Se også: Pillar: Kartlegging av risiko
4.11ROS-analyse: [N: SKAL | R: INDIREKTE | S: ALLE | F: FOREB]
Risiko- og sårbarhetsanalyse. Norsk variant av risikovurdering, særlig brukt i HMS- og beredskapssammenheng.
4.12Risikoreduserende tiltak: [N: SKAL | R: INDIREKTE | S: LINJE | F: FOREB]
Tiltak som reduserer sannsynlighet eller konsekvens. Resultat av risikobehandling – typisk omsatt til instrukser.

Se også: Instruks
4.13Risikoeier: [N: MÅ | R: INDIREKTE | S: LEDELSE | F: STRUKT]
Leder med ansvar for håndtering av en spesifikk risiko. Ansvaret kan ikke ligge "i avdelingen" – det må alltid være tilordnet en navngitt rolle.
4.14Risikoregister: [N: MÅ | R: INDIREKTE | S: LEDELSE | F: STRUKT]
Strukturert oversikt over identifiserte risiko, vurderinger, tiltak og ansvarlige. Sentralt styringsverktøy for kontinuerlig oppfølging.
4.15Risikomatrise: [N: BØR/KAN | R: INGEN | S: ALLE | F: STRUKT]
Visuelt verktøy for prioritering av risikoer (sannsynlighet × konsekvens). Vanligvis 4×4 eller 5×5 matrise.

4C · Barrierer

4.16Barriere: [N: SKAL | R: INDIREKTE | S: LINJE | F: FOREB]
Hindring som stopper eller begrenser uønskede hendelser. Tre typer: tekniske, organisatoriske, menneskelige.

Se også: Tekniske barrierer · Organisatoriske barrierer · Menneskelige barrierer · Bow-tie-analyse
4.17Tekniske barrierer: [N: SKAL | R: INDIREKTE | S: LINJE | F: FOREB]
Fysiske eller digitale sperringer som hindrer uønsket handling: kryptering, automatiske sperrer, fysiske skiller, tilgangskontroll.
4.18Organisatoriske barrierer: [N: SKAL | R: INDIREKTE | S: LEDELSE | F: FOREB]
Instrukser, prosedyrer og rolledelinger som hindrer uønsket handling. Mest skalerbar av barrieretypene.
4.19Menneskelige barrierer: [N: SKAL | R: INDIREKTE | S: LINJE | F: FOREB]
Kompetanse, oppmerksomhet og adferd som forebygger feil. Den minst stabile barrieretypen – avhenger av menneskelige faktorer.

4D · Andre risikobegreper

4.20Beredskapsplan: [N: MÅ | R: DIREKTE | S: LEDELSE | F: KORR]
Operative instrukser for krisehåndtering. Lovpålagt på flere områder (brann, sikkerhet, kontinuitet).

Hjemmel: Internkontrollforskriften § 5
4.21Beredskapsleder: [N: SKAL | R: INDIREKTE | S: LEDELSE | F: KORR]
Person som leder innsats ved krise. Skal alltid være entydig utpekt og tilgjengelig.
4.22Scenarioanalyse: [N: BØR/KAN | R: INGEN | S: LEDELSE | F: FOREB]
Gjennomgang av tenkte hendelsesforløp og konsekvenser. Brukes ved kompleks risiko og strategisk planlegging.
4.23Strategisk risiko: [N: SKAL | R: INDIREKTE | S: STYRE | F: FOREB]
Risiko knyttet til fundamentale feilvalg i retning. Styresak. Ofte lengre tidshorisont enn operasjonell risiko.
4.24Sanksjonsrisiko: [N: DESKR | R: DIREKTE | S: STYRE | F: FOREB]
Faren for reaksjoner ved regelbrudd: bøter, pålegg, omdømmetap, personlig erstatningsansvar etter aksjeloven § 17-1.
4.25Tredjepartsrisiko: [N: SKAL | R: INDIREKTE | S: LEDELSE | F: FOREB]
Risiko knyttet til leverandører og samarbeidspartnere. Sentralt i åpenhetsloven og GDPR-databehandleravtaler.

Se også: Aktsomhetsvurdering · Databehandler
4.26Omdømmerisiko: [N: DESKR | R: INDIREKTE | S: STYRE | F: FOREB]
Risiko for tap av tillit og omdømme ved regelbrudd eller feil. Kan ha vesentlig økonomisk effekt.
4.27SJA (Sikker Jobb Analyse): [N: SKAL | R: INDIREKTE | S: LINJE | F: FOREB]
Metode for risikoanalyse av spesifikke arbeidsoppgaver før utførelse. Sentralt i HMS-arbeid.

Se også: SJA-Kontroll™ PRO
4.28Risikobasert tilnærming: [N: SKAL | R: DIREKTE | S: ALLE | F: STRUKT]
Prioritering av tiltak ut fra vurdert risiko. Sentralt prinsipp i hvitvaskingsloven, GDPR, ISO-standarder og åpenhetsloven.
4.29Standardrisk-tilnærming: [N: SKAL | R: INGEN | S: ALLE | F: STRUKT]
Tilnærming basert på forhåndsdefinerte scenarier og kontroller. Mindre fleksibel enn risikobasert tilnærming, men gir konsistens.

Klasse 5

Kontroll- og etterlevelsesbegreper

Strenge skiller mellom kontroll, verifikasjon, tilsyn og revisjon. Disse blandes aldri sammen.

5A · Strenge skiller (kritisk)

5.1Internkontroll: [N: MÅ | R: DIREKTE | S: ALLE | F: KONTR]
Det systematiske arbeidet en virksomhet utfører for å sikre forsvarlig drift, risikohåndtering og etterlevelse. Primært hjemlet i aksjeloven § 6-12, ikke kun Internkontrollforskriften (HMS).

Hjemmel: Aksjeloven § 6-12 · Internkontrollforskriften

Se også: Pillar: Internkontroll
5.2Kontroll: [N: MÅ | R: DIREKTE | S: LINJE | F: KONTR]
Løpende verifisering av at instrukser etterleves i daglig drift. Pågående aktivitet, ikke engangshandling.

Se også: Verifikasjon (etterprøvende) · Egenkontroll
5.3Verifikasjon: [N: SKAL | R: INDIREKTE | S: LINJE | F: KONTR]
Etterprøvende vurdering av at noe er gjort korrekt. Engangsaktivitet eller punktvis. Skarpt skille fra kontroll (løpende).

Se også: Kontroll (løpende)
5.4Egenkontroll: [N: SKAL | R: INDIREKTE | S: LINJE | F: KONTR]
Konkret aktivitet hvor virksomheten kontrollerer eget arbeid mot fastsatte krav. En komponent i internkontrollen, ikke et alternativ til den.

Se også: Internkontroll (paraplyen)
5.5Overvåking: [N: SKAL | R: INDIREKTE | S: ALLE | F: KONTR]
Systematisk innsamling av data om systemets virkemåte. Grunnlag for kontroll og forbedring.
5.6Tilsyn: [N: DESKR | R: DIREKTE | S: ALLE | F: KONTR]
Myndighetenes kontroll av virksomheten (Arbeidstilsynet, Datatilsynet, Finanstilsynet, etc.). Ekstern – ikke å forveksle med internkontroll.

Se også: Arbeidstilsynet · Datatilsynet · Internkontroll (intern)
5.7Revisjon: [N: SKAL | R: INDIREKTE | S: STØTTE | F: KONTR]
Uavhengig og systematisk vurdering av om internkontrollen fungerer. Tredje linje i forsvar. Forskjellig fra både kontroll og verifikasjon.

Se også: Internrevisjon · Trelinjemodellen

5B · Kontrollaktiviteter

5.8Kontrollaktiviteter: [N: SKAL | R: INDIREKTE | S: LINJE | F: KONTR]
Handlinger og prosedyrer som reduserer risiko eller verifiserer etterlevelse. Tredje COSO-komponent.

Referanse: COSO IC 2013
5.9Forebyggende kontroller: [N: SKAL | R: INDIREKTE | S: LINJE | F: FOREB]
Tiltak som hindrer at avvik oppstår – designet inn i prosessen. Sterkest preventiv effekt.

Se også: Detekterende kontroller · Korrigerende kontroller
5.10Detekterende kontroller: [N: SKAL | R: INDIREKTE | S: LINJE | F: KONTR]
Tiltak som oppdager feil eller avvik i ettertid. Eksempel: avvikssystem, kontrollistgjennomgang, automatisk varsling.
5.11Korrigerende kontroller: [N: SKAL | R: INDIREKTE | S: LINJE | F: KORR]
Tiltak som retter opp feil eller avvik etter de er oppdaget. Sammen med forebyggende og detekterende utgjør de helhetlig kontrolldekning.
5.12Kontrollgap: [N: DESKR | R: INDIREKTE | S: LEDELSE | F: KONTR]
Avvik mellom nødvendig og faktisk iverksatt kontroll. Avdekkes typisk ved gap-analyse eller revisjon.
5.13Kontrollmiljø: [N: MÅ | R: INDIREKTE | S: STYRE | F: STRUKT]
"Tone from the top", kultur, etiske retningslinjer, organisasjonsstruktur og kompetanse. Første komponent i COSO IC 2013. Fundamentet for alle andre kontrollelementer.

Referanse: COSO IC 2013
5.14Kontrollklima: [N: BØR/KAN | R: INGEN | S: STYRE | F: STRUKT]
Ledelsens fokus på integritet og etterlevelse. Subjektiv side av kontrollmiljøet – mer kulturell enn strukturell.

5C · Etterlevelse

5.15Compliance: [N: DESKR | R: DIREKTE | S: ALLE | F: KONTR]
Engelsk synonym for «etterlevelse». Norsk primærterm: etterlevelse.

Se også: Etterlevelse (norsk primær)
5.16Compliance-funksjon: [N: SKAL | R: INDIREKTE | S: STØTTE | F: KONTR]
Rolle/avdeling som overvåker etterlevelse av lover og regler. Andre linje i trelinjemodellen.

Se også: Trelinjemodellen
5.17Samsvarsvurdering: [N: SKAL | R: INDIREKTE | S: LEDELSE | F: KONTR]
Kontroll av om gjeldende krav etterleves. Strukturert vurdering på tvers av regelverk.

Se også: Samsvarsmatrisen™ PRO
5.18Lovspeil: [N: SKAL | R: INDIREKTE | S: STØTTE | F: STRUKT]
Kartlegging av hvordan lov er ivaretatt i instrukser. Sentralt verktøy for instruksjonsbasert styring.
5.19Gap-analyse: [N: SKAL | R: INDIREKTE | S: LEDELSE | F: STRUKT]
Kartlegging av forskjellen mellom krav og faktisk praksis. Brukes ved compliance-vurdering, ny lovgivning og forbedringsprosjekter.
5.20Internrevisjon: [N: SKAL | R: INDIREKTE | S: STØTTE | F: KONTR]
Uavhengig og systematisk kontroll av styringssystemets effektivitet. Andre/tredje linje. Skiller seg fra ekstern revisjon ved at den utføres innenfor virksomheten.

Referanse: ISO 19011
5.21Lovlighetskontroll: [N: MÅ | R: DIREKTE | S: STYRE | F: KONTR]
Verifisering av at beslutninger er lovlige. Styresak.
5.22Tilsynsprosess: [N: DESKR | R: DIREKTE | S: ALLE | F: KONTR]
Myndighetenes kontroll av virksomheten – fra varsel til vedtak.

Klasse 6

Roller og ansvar

Roller ≠ personer. Én person kan ha flere roller, men rollene må alltid defineres.

6A · Styringsroller (top-down)

6.1Styret: [N: MÅ | R: DIREKTE | S: STYRE | F: STRUKT]
Det selskapsorgan som etter aksjeloven § 6-12 har overordnet ansvar for forsvarlig organisering og tilsyn. Kollegialt organ – ikke enkeltperson.

Hjemmel: Aksjeloven § 6-12

Se også: Pillar: Styret
6.2Styreleder: [N: MÅ | R: DIREKTE | S: STYRE | F: STRUKT]
Leder av styret med ansvar for styrets arbeid og innkalling. Forvalter styrets samlede mandat.
6.3Daglig leder: [N: MÅ | R: DIREKTE | S: LEDELSE | F: STRUKT]
Selskapets øverste operativt ansvarlige etter aksjeloven § 6-14. Utøver daglig ledelse innenfor styrets retningslinjer og pålegg.

Hjemmel: Aksjeloven § 6-14
6.4Ledelsen: [N: DESKR | R: INDIREKTE | S: LEDELSE | F: STRUKT]
Daglig leder + ledergruppen. Ikke styret. Skiller mellom operativ ledelse (ledelsen) og strategisk tilsyn (styret).

Se også: Pillar: Virksomhetsledelse
6.5Linjeledelse: [N: SKAL | R: INDIREKTE | S: LINJE | F: STRUKT]
Ledere med direkte driftsansvar for ansatte og resultater. Første linje i trelinjemodellen.
6.6Styrets tilsynsplikt: [N: MÅ | R: DIREKTE | S: STYRE | F: KONTR]
Styrets lovpålagte plikt etter asl. §§ 6-12, 6-13 til å påse at virksomheten er forsvarlig organisert og under tilsyn. Kan ikke delegeres bort.

Hjemmel: Aksjeloven § 6-12 · § 6-13

6B · Internkontroll- og støttefunksjoner

6.7Internkontrollansvarlig: [N: SKAL | R: INDIREKTE | S: STØTTE | F: KONTR]
Koordinator for vedlikehold og etterlevelse av styringssystemet. Andre linje. Bør rapportere direkte til styret for uavhengighet.

Se også: Pillar: Internkontrollansvarlig
6.8HMS-ansvarlig: [N: SKAL | R: INDIREKTE | S: STØTTE | F: KONTR]
Koordinator for virksomhetens HMS-planer og tiltak. Skiller seg fra verneombud (ansattes representant).
6.9Risk Manager: [N: SKAL | R: INDIREKTE | S: STØTTE | F: KONTR]
Strategisk rolle med ansvar for risikostyringssystemet. Ofte plassert i andre linje.
6.10DPO (Personvernombud): [N: MÅ | R: DIREKTE | S: STØTTE | F: KONTR]
Data Protection Officer / Personvernombud etter GDPR art. 37. Lovpålagt for offentlige organer og enkelte private virksomheter.

Hjemmel: GDPR art. 37

Se også: Datatilsynet
6.11CISO / Informasjonssikkerhetsansvarlig: [N: SKAL | R: INDIREKTE | S: STØTTE | F: KONTR]
Strategisk ansvarlig for informasjonssikkerhet. Norsk variant: «Informasjonssikkerhetsansvarlig».
6.12Bedriftshelsetjeneste (BHT): [N: MÅ | R: DIREKTE | S: STØTTE | F: STRUKT]
Lovpålagt tjeneste etter AML § 3-3 som bistår arbeidsgiver i HMS-arbeidet. Pliktig for visse bransjer.

Hjemmel: AML § 3-3

Se også: Pillar: Bedriftshelsetjenesten
6.13Verneombud: [N: MÅ | R: DIREKTE | S: LINJE | F: STRUKT]
Ansattes valgte representant i HMS-arbeidet etter AML § 6-1. Skal ikke forveksles med HMS-ansvarlig.

Hjemmel: AML § 6-1

Se også: Pillar: Verneombud
6.14AMU (Arbeidsmiljøutvalg): [N: MÅ | R: DIREKTE | S: STØTTE | F: STRUKT]
Lovpålagt partssammensatt samarbeidsorgan etter AML § 7-1. Pliktig ved 50+ ansatte.

Hjemmel: AML § 7-1

Se også: Pillar: Arbeidsmiljøutvalg

6C · Eierskapsroller

6.15Prosesseier: [N: SKAL | R: INDIREKTE | S: LEDELSE | F: STRUKT]
Leder med ansvar for en definert prosess og dens resultater.
6.16Systemeier: [N: SKAL | R: INDIREKTE | S: LEDELSE | F: STRUKT]
Leder med ansvar for et fagsystem eller IT-system.
6.17Behandlingsansvarlig: [N: MÅ | R: DIREKTE | S: STYRE | F: STRUKT]
Virksomheten som bestemmer formål og midler for behandling av personopplysninger. Det overordnede GDPR-ansvaret.

Hjemmel: GDPR art. 4 nr. 7

Se også: Databehandler
6.18Databehandler: [N: SKAL | R: DIREKTE | S: STØTTE | F: STRUKT]
Leverandør som behandler personopplysninger på vegne av behandlingsansvarlig. Reguleres av databehandleravtale.

Hjemmel: GDPR art. 4 nr. 8

Se også: Databehandleravtale

6D · Avviksroller (RACI fra AvvikStandard™)

6.19Melder: [N: MÅ | R: INDIREKTE | S: ALLE | F: KORR]
Den som rapporterer et mulig avvik, fravik eller hendelse. Skal sikres mot represalier (jf. AML kap. 2A).
6.20Klassifisør: [N: MÅ | R: INDIREKTE | S: LEDELSE | F: KORR]
Rolle med myndighet til å klassifisere et meldt forhold som avvik / fravik / hendelse / nesten-uhell / observasjon.
6.21Saksbehandler: [N: SKAL | R: INDIREKTE | S: LINJE | F: KORR]
Rolle med ansvar for utredning og oppfølging av et avvik gjennom alle syv faser.
6.22Analyseansvarlig: [N: SKAL | R: INDIREKTE | S: STØTTE | F: LÆR]
Rolle med ansvar for rotårsaksanalyse (MTO, 5-Hvorfor, Bow-tie, Fishbone, SCAT). Ofte fagspesialist.
6.23Tiltaksansvarlig: [N: MÅ | R: INDIREKTE | S: LEDELSE | F: KORR]
Rolle med ansvar for å iverksette korrigerende tiltak (A/B/C). Skal alltid være linjelederen som har myndighet.
6.24Godkjenner: [N: MÅ | R: INDIREKTE | S: LEDELSE | F: KONTR]
Rolle med myndighet til å godkjenne lukking av avvik etter 1-3-6-effektmåling. Skal være en annen enn tiltaksansvarlig (firhåndsprinsippet).
6.25Fraviksgodkjenner: [N: MÅ | R: DIREKTE | S: STYRE/LEDELSE | F: STRUKT]
Rolle med instruksgivermyndighet som autoriserer fravik. Skal være den som hadde myndighet til å fastsette den opprinnelige instruksen.

Se også: Fravik · Autorisasjon

6E · Tilsynsmyndigheter

6.26Arbeidstilsynet: [N: DESKR | R: DIREKTE | S: ALLE | F: KONTR]
Norsk tilsynsmyndighet for arbeidsmiljø. Håndhever arbeidsmiljøloven.
6.27Datatilsynet: [N: DESKR | R: DIREKTE | S: ALLE | F: KONTR]
Norsk tilsynsmyndighet for personvern. Håndhever GDPR/personopplysningsloven.
6.28Finanstilsynet: [N: DESKR | R: DIREKTE | S: ALLE | F: KONTR]
Norsk tilsynsmyndighet for finansielle markeder og foretak.
6.29Forbrukertilsynet: [N: DESKR | R: DIREKTE | S: ALLE | F: KONTR]
Norsk tilsynsmyndighet for forbrukerrettigheter og åpenhetsloven.
6.30Konkurransetilsynet: [N: DESKR | R: DIREKTE | S: ALLE | F: KONTR]
Norsk tilsynsmyndighet for konkurranse.
6.31Helsetilsynet: [N: DESKR | R: DIREKTE | S: ALLE | F: KONTR]
Norsk tilsynsmyndighet for helse- og omsorgstjenester.
6.32DSB: [N: DESKR | R: DIREKTE | S: ALLE | F: KONTR]
Direktoratet for samfunnssikkerhet og beredskap.
6.33EDPB: [N: DESKR | R: DIREKTE | S: ALLE | F: KONTR]
European Data Protection Board – europeisk personvernråd som koordinerer tilsyn på tvers av EU/EØS.

6F · Andre rolle-relaterte begreper

6.34RACI-matrise: [N: SKAL | R: INGEN | S: ALLE | F: STRUKT]
Metode for ansvarsfordeling: Responsible (utfører) · Accountable (ansvarlig) · Consulted (konsultert) · Informed (informert). Brukt i AvvikStandard™.
6.35Mandat: [N: SKAL | R: INDIREKTE | S: ALLE | F: STRUKT]
Formelt grunnlag og fullmakt for en rolle eller et prosjekt.
6.36Delegasjonsreglement: [N: MÅ | R: DIREKTE | S: STYRE | F: STRUKT]
Formelle regler for overføring av myndighet. Skal være skriftlig og dokumentert.
6.37Fullmaktsmatrise: [N: MÅ | R: DIREKTE | S: STYRE | F: STRUKT]
Dokumentert oversikt over delegerte rettigheter til beslutninger. Sentralt verktøy for autorisasjon.
6.38Kompetansematrise: [N: SKAL | R: INGEN | S: STØTTE | F: STRUKT]
Oversikt over faktiske ferdigheter mot stillingskrav. Brukes ved opplæringsbehov og rekruttering.
6.39Organisasjonskart: [N: BØR/KAN | R: INGEN | S: ALLE | F: STRUKT]
Visuell fremstilling av linjeansvar og rapporteringslinjer.
6.40Ansvarslinjer: [N: MÅ | R: DIREKTE | S: ALLE | F: STRUKT]
Klart definerte linjer for hvem som er ansvarlig for hva. Sentralt for forsvarlig organisering etter aksjeloven § 6-12.
6.41Habilitet: [N: MÅ | R: DIREKTE | S: STYRE | F: STRUKT]
Krav om nøytralitet hos beslutningstakere.

Hjemmel: Forvaltningsloven § 6 · Aksjeloven § 6-27
6.42Trelinjemodellen: [N: SKAL | R: INGEN | S: ALLE | F: STRUKT]
IIA's modell for ansvarsfordeling: første linje (operativ – linjelederne), andre linje (kontroll/støtte – internkontrollansvarlig, compliance), tredje linje (uavhengig revisjon). Oppdatert til "Three Lines Model" i 2020.

Se også: Internrevisjon · Compliance-funksjon
6.43Tone from the top: [N: BØR/KAN | R: INGEN | S: STYRE | F: STRUKT]
COSO-prinsipp om at ledelsens synlige adferd setter standarden for kontrollkulturen. Sentralt i kontrollmiljøet.
6.44Forvaltningsansvar: [N: MÅ | R: DIREKTE | S: STYRE | F: STRUKT]
Styrets ansvar for å ivareta selskapsverdier aktsomt. Aksjeloven § 6-12 + § 17-1.

Klasse 7

Læring, forbedring og modenhet

Begreper som beskriver hvordan systemet endres over tid.

7A · Tiltakshierarki (AvvikStandard™)

7.1A-tiltak (systemiske): [N: MÅ | R: INDIREKTE | S: LEDELSE | F: STRUKT]
Endring av instruks, tekniske barrierer, automatisering, fysiske sperrer. Obligatorisk ved 🔴 Rød og ⚫ Svart kritikalitet i AvvikStandard™. Sterkest preventiv effekt.

Se også: B-tiltak · C-tiltak · Kritikalitet
7.2B-tiltak (kompetanse): [N: SKAL | R: INDIREKTE | S: STØTTE | F: STRUKT]
Opplæring, sertifisering, kompetanseheving. Støtter A-tiltak, kan ikke stå alene. Brukes når menneskelig faktor er medvirkende årsak.
7.3C-tiltak (adferd): [N: BØR/KAN | R: INGEN | S: LINJE | F: STRUKT]
Påminnelser, rutineendringer, skilting. Kan aldri stå alene som tiltak. Svakest preventiv effekt – men kan være nyttig som supplement.
7.4CAPA: [N: SKAL | R: INDIREKTE | S: LEDELSE | F: KORR]
Corrective Action Preventive Action – korrigerende og forebyggende tiltak. ISO-term som dekker både A- og B-tiltak.
7.51-3-6 effektmåling: [N: MÅ | R: INDIREKTE | S: LEDELSE | F: KONTR]
AvvikStandard™'s metode for verifikasjon av tiltak: kontroll etter 1, 3 og 6 måneder med JA/NEI-bekreftelse av reell effekt. Manglende effektmåling = avviket er ikke lukket.

7B · Rotårsaksanalyse

7.6Rotårsaksanalyse / Årsaksanalyse: [N: SKAL | R: INDIREKTE | S: STØTTE | F: LÆR]
Systematisk metode for å finne rotårsak til avvik – ikke bare den umiddelbare utløsende faktoren. Fase 4 i AvvikStandard™.

Se også: MTO-analyse · 5-Hvorfor · Bow-tie
7.7MTO-analyse: [N: SKAL | R: INDIREKTE | S: STØTTE | F: LÆR]
Rotårsaksanalyse basert på Menneske, Teknologi, Organisasjon. Primær metodikk i AvvikStandard™. Sikrer at man ikke skylder på enkeltansatte når årsaken er systemisk.

Se også: Årsaksfinneren™ PRO
7.85-Hvorfor: [N: BØR/KAN | R: INGEN | S: LINJE | F: LÆR]
Rotårsaksanalysemetode for 🟢 Grønn og 🟡 Gul kritikalitet. Spør "hvorfor" fem ganger på rad inntil rotårsaken er identifisert.
7.9Bow-tie-analyse: [N: SKAL | R: INDIREKTE | S: STØTTE | F: LÆR]
Visuell rotårsaksanalyse for 🔴 Rød og ⚫ Svart kritikalitet. Kobler årsaker (venstre) → topphendelse (midten) → konsekvenser (høyre), med barrierer mellom.

Se også: Barriere
7.10Fishbone-analyse (Ishikawa): [N: BØR/KAN | R: INGEN | S: STØTTE | F: LÆR]
Rotårsaksanalyse for komplekse multi-årsakskjeder. Visualiserer årsaker i hovedkategorier (typisk MTO eller 6M).
7.11SCAT-analyse: [N: BØR/KAN | R: INGEN | S: STØTTE | F: LÆR]
Systematic Cause Analysis Technique – for sikkerhetshendelser med personskade. Identifiserer både umiddelbare og bakenforliggende årsaker.
7.12Systemsvikt: [N: DESKR | R: DIREKTE | S: STYRE | F: KORR]
Alvorlig og gjennomgående mangel i styringssystemet. Påvist av rotårsaksanalyse. Krever A-tiltak (instruksjonsendring), ikke bare B/C.

Se også: Styringssvikt · A-tiltak

7C · Læring og forbedring

7.13Kontinuerlig forbedring: [N: SKAL | R: INDIREKTE | S: ALLE | F: LÆR]
Iterativ PDCA-prosess for å forbedre systemer og praksis. Kjerneprinsipp i kvalitetsstyring.

Se også: PDCA-syklusen
7.14PDCA-syklusen: [N: SKAL | R: INDIREKTE | S: ALLE | F: LÆR]
Plan-Do-Check-Act – internasjonalt anerkjent prinsipp for kontinuerlig forbedring. Brukt i ISO 9001 og andre standarder.
7.15Hub-basert læring: [N: SKAL | R: INDIREKTE | S: ALLE | F: LÆR]
AvvikStandard™'s læringsmodell på fire nivåer: mikro (lokal), meso (på tvers av enheter), makro (på tvers av virksomheter), meta (modellrevisjon). Fase 7 i syvfasemodellen.
7.16Mikro-læring: [N: SKAL | R: INDIREKTE | S: LINJE | F: LÆR]
Læring innen én enhet – lokal lukking av avviket. Det laveste nivået av hub-læring.
7.17Meso-læring: [N: SKAL | R: INDIREKTE | S: LEDELSE | F: LÆR]
Læring på tvers av enheter. Ved 3+ like avvik utløses tverrgående gjennomgang automatisk.
7.18Makro-læring: [N: BØR/KAN | R: INGEN | S: STYRE | F: LÆR]
Læring på tvers av virksomheter, konsern, bransje. Ofte koordinert gjennom bransjeforeninger eller tilsynsmyndigheter.
7.19Meta-læring: [N: SKAL | R: INGEN | S: STYRE | F: LÆR]
Modellrevisjon av AvvikStandard™ selv basert på systemiske mønstre. Det høyeste nivået – endrer selve læringssystemet.
7.20Systemisk læring Kjerne Ny: [N: SKAL | R: INDIREKTE | S: STYRE | F: LÆR]
Læring som fører til endringer i selve styringssystemet, ikke bare i lokale instrukser. Distinkt fra "forbedring" som kan være punktvis. Sentralt for varig kvalitetsutvikling.

Se også: Meta-læring · Styringssystem
7.21Lærende organisasjon: [N: BØR/KAN | R: INGEN | S: ALLE | F: LÆR]
Virksomhet som systematisk forbedrer seg basert på feil. Begrep popularisert av Peter Senge.

7D · Modenhet og kultur

7.22Modenhetsnivå: [N: SKAL | R: INGEN | S: STYRE | F: STRUKT]
Hvor integrert og effektivt styringssystemet er i praksis. IS-modellen™ definerer fire nivåer: ad-hoc, definert, integrert, optimalisert.
7.23Etterlevelseskultur: [N: BØR/KAN | R: INGEN | S: ALLE | F: STRUKT]
Organisasjonens faktiske praktisering av regler og krav. Subjektiv side av etterlevelsen.
7.24Sikkerhetskultur: [N: BØR/KAN | R: INGEN | S: ALLE | F: STRUKT]
Felles bevissthet og adferd rundt sikkerhet i organisasjonen.
7.25Trygghetskultur: [N: BØR/KAN | R: INGEN | S: ALLE | F: STRUKT]
Kultur der ansatte kan melde feil uten frykt. Forutsetning for et velfungerende avvikssystem.
7.26Ansvarliggjøring: [N: SKAL | R: INDIREKTE | S: LEDELSE | F: STRUKT]
Sikre at brudd på krav får konsekvenser. Motvekt til kulturer der "alle har ansvar betyr at ingen har ansvar".
7.27Endringsledelse: [N: SKAL | R: INGEN | S: LEDELSE | F: STRUKT]
Strukturert tilnærming til å innføre nye regler og systemer.
7.28Ledelsesforankring: [N: MÅ | R: INDIREKTE | S: STYRE/LEDELSE | F: STRUKT]
Ledelsens aktive etterspørsel og støtte til styringssystemet. Et system uten ledelsesforankring er et papirsystem.
7.29Adferdskode Code of Conduct: [N: SKAL | R: INDIREKTE | S: ALLE | F: STRUKT]
Dokumentert forventning til ansattes oppførsel og etikk. Skal kombineres med instrukser for å få operativ effekt.
7.30Kommunikasjonsflyt: [N: SKAL | R: INGEN | S: ALLE | F: STRUKT]
Bevegelse av informasjon gjennom organisasjonens ledd. Sentralt for at styret skal få det informasjonsgrunnlaget tilsynsplikten krever.
7.31Ledelsens gjennomgang: [N: MÅ | R: DIREKTE | S: STYRE/LEDELSE | F: KONTR]
Årlig strategisk evaluering av styringssystemets egnethet, tilstrekkelighet og effektivitet. Lovpålagt etter ISO 9001 § 9.3.

Referanse: ISO 9001 § 9.3

Se også: Ledelsens Gjennomgang PRO™

Klasse 8

System- og dokumentbegreper

Begreper som ofte misbrukes – må tøyles strengt. Dokumentasjon ≠ styring; system ≠ etterlevelse.

8A · Styringssystem

8.1Styringssystem Kjerne: [N: MÅ | R: DIREKTE | S: ALLE | F: STRUKT]
Virksomhetens samlede struktur for ledelse og kontroll – policyer, instrukser, prosesser, dokumentasjon. Virksomhetens regelverk. Skal være kjent, etterlevd og oppdatert.

Se også: Pillar: Styringssystem
8.2Styringsmodell: [N: SKAL | R: INDIREKTE | S: STYRE | F: STRUKT]
Struktur for myndighetsutøvelse i en virksomhet. Konkretiserer hvordan styring utøves i praksis.
8.3IS-modellen™: [N: SKAL | R: INDIREKTE | S: ALLE | F: STRUKT]
Internkontroll AS' instruksjonsbaserte styringsmodell. Bygger på prinsippet at all styring skjer gjennom bindende instrukser hjemlet i styringsretten.

Se også: Pillar: IS-modellen™ · Instruksjonsfilteret™
8.4GRC: [N: DESKR | R: INGEN | S: ALLE | F: STRUKT]
Governance, Risk and Compliance – integrert tilnærming til virksomhetsstyring. Dekker styring, risikostyring og etterlevelse i ett.

8B · Dokumentasjon og sporbarhet

8.5Dokumentasjon: [N: MÅ | R: DIREKTE | S: ALLE | F: STRUKT]
Skriftlig nedfelt informasjon som beviser at noe er gjort. Ikke styring i seg selv – bare bevis for styring.

Se også: Dokumentert styring · Reell styring
8.6Dokumentasjonskrav: [N: MÅ | R: DIREKTE | S: ALLE | F: STRUKT]
Krav til skriftlig bevisføring og arkivering. Lovpålagt på flere områder (regnskap, GDPR, HMS).
8.7Dokumentstyring: [N: MÅ | R: DIREKTE | S: STØTTE | F: STRUKT]
Rutiner for godkjenning, distribusjon og arkivering av dokumenter.
8.8Versjonskontroll: [N: MÅ | R: DIREKTE | S: STØTTE | F: STRUKT]
Sikre at siste gyldige versjon av dokumenter er i bruk. Avgjørende for instruksregistret.
8.9Sporbarhet: [N: MÅ | R: DIREKTE | S: ALLE | F: KONTR]
Egenskap ved et system der enhver handling kan tilbakeføres til tid, sted og rolle. Forutsetning for tilsyn og rettslig vurdering.
8.10Etterprøvbarhet: [N: MÅ | R: DIREKTE | S: ALLE | F: KONTR]
Egenskap ved styring der eksterne kan vurdere om noe er gjort korrekt. Sentralt for tilsynssituasjoner.
8.11Bevisposisjon: [N: MÅ | R: DIREKTE | S: STYRE | F: STRUKT]
Styrets posisjon ved tilsyn, revisjon eller rettssak basert på dokumenterbar etterlevelse. Avgjørende for vern mot personlig erstatningsansvar etter aksjeloven § 17-1.

Se også: Styringssvikt · Dokumentert styring

8C · Registre

8.12Avviksregister: [N: MÅ | R: DIREKTE | S: LEDELSE | F: KONTR]
Lovpålagt register over alle utilsiktede brudd. Sentralt i internkontrollen.

Se også: Avviksprotokoll · Fraviksregister
8.13Behandlingsprotokoll: [N: MÅ | R: DIREKTE | S: STØTTE | F: STRUKT]
Lovpålagt register over personopplysninger. GDPR art. 30.

Hjemmel: GDPR art. 30
8.14Hvitvaskingsprotokoll: [N: MÅ | R: DIREKTE | S: LEDELSE | F: STRUKT]
Dokumentasjon av tiltak mot økonomisk kriminalitet etter hvitvaskingsloven.

8D · Andre system-begreper

8.15Scope (Omfang): [N: SKAL | R: INGEN | S: STYRE | F: STRUKT]
Avgrensning av hva styringssystemet dekker. Sentralt ved sertifisering og tilsyn.
8.16Virksomhetens kontekst: [N: SKAL | R: INGEN | S: STYRE | F: STRUKT]
Interne og eksterne rammeforutsetninger. ISO 9001:2015 punkt 4.
8.17Interessentanalyse: [N: SKAL | R: INDIREKTE | S: STYRE | F: STRUKT]
Kartlegging av krav fra eiere, ansatte og kunder. Sentralt i ESG og strategiarbeid.
8.18Mål- og resultatstyring (MRS): [N: SKAL | R: INGEN | S: STYRE | F: STRUKT]
Styring basert på definerte mål og målbare resultater (KPI-er). Sentralt verktøy for ledelsens gjennomgang.
8.19Eierstrategi: [N: SKAL | R: INDIREKTE | S: STYRE | F: STRUKT]
Dokumentert plan for eiernes langsiktige mål.
8.20Selskapsstrategi: [N: SKAL | R: INDIREKTE | S: STYRE | F: STRUKT]
Plan for å nå virksomhetens formål. Skiller seg fra eierstrategi (eiernes langsiktige mål).
8.21Vedtekter: [N: MÅ | R: DIREKTE | S: STYRE | F: STRUKT]
Selskapets grunnleggende regler fastsatt av eiere.
8.22Forretningsorden: [N: SKAL | R: DIREKTE | S: STYRE | F: STRUKT]
Styrets plan for møtevirksomhet og årsplaner.
8.23Kjerneverdier: [N: BØR/KAN | R: INGEN | S: STYRE | F: STRUKT]
Prinsipper som skal prege organisasjonskulturen.

Klasse 9

Eksterne og sekundære begreper (kartleggingslag)

Begreper fra ISO, COSO, EU, ESG, GDPR. Ikke normative i seg selv – kartlegges mot primært begrep i klasse 1–8.

9A · Lover og forskrifter

9.1Aksjeloven (asl.): [Mapping: → 1.3 Forsvarlig organisering]
Lov av 13.06.1997 nr. 44 om aksjeselskaper. Primært grunnlag for internkontroll i Norge.

Lovdata: Aksjeloven
9.2Aksjeloven § 6-12: [Mapping: → 6.1 Styret · 1.3 Forsvarlig organisering]
Styrets plikt til forsvarlig organisering og tilsyn. Den mest sentrale paragrafen i norsk virksomhetsstyring.

Lovdata: § 6-12
9.3Aksjeloven § 6-13: [Mapping: → 6.6 Styrets tilsynsplikt]
Styrets tilsynsansvar overfor daglig leder.

Lovdata: § 6-13
9.4Aksjeloven § 6-14: [Mapping: → 6.3 Daglig leder]
Daglig leders ansvar for den daglige ledelsen.

Lovdata: § 6-14
9.5Aksjeloven § 6-15: [Mapping: → 6.3 Daglig leder]
Daglig leders rapporteringsplikt til styret.

Lovdata: § 6-15
9.6Aksjeloven § 17-1: [Mapping: → 1.9 Styringssvikt]
Personlig erstatningsansvar for styremedlemmer ved forsømt tilsynsplikt eller styringssvikt.

Lovdata: § 17-1
9.7Internkontrollforskriften: [Mapping: → 5.1 Internkontroll]
Forskrift av 06.12.1996 nr. 1127. Krav til HMS-internkontroll.

Lovdata: Internkontrollforskriften
9.8Arbeidsmiljøloven (AML): [Mapping: → 5.1 Internkontroll · klasse 6]
Lov av 17.06.2005 nr. 62.

Lovdata: AML
9.9Hvitvaskingsloven: [Mapping: → 4.28 Risikobasert tilnærming]
Lov av 01.06.2018 nr. 23.

Lovdata
9.10Finansforetaksloven: [Mapping: → 5.1 Internkontroll]
Lov av 10.04.2015 nr. 17. § 13-5 krever effektivt internkontrollsystem.
9.11Sikkerhetsloven: [Mapping: → 5.1 Internkontroll]
Lov av 01.06.2018 nr. 24. Nasjonal sikkerhet.
9.12Bokføringsloven: [Mapping: → 8.5 Dokumentasjon]
Lov av 19.11.2004 nr. 73.
9.13Konkurranseloven: [Mapping: → 5.16 Compliance-funksjon]
Lov av 05.03.2004 nr. 12.
9.14Åpenhetsloven: [Mapping: → 9.34 Aktsomhetsvurdering]
Lov av 18.06.2021 nr. 99 om aktsomhetsvurderinger i leverandørkjeden.

Lovdata
9.15Personopplysningsloven: [Mapping: → klasse 6 (DPO m.fl.)]
Norsk lov som implementerer GDPR.

Lovdata
9.16Forvaltningsloven § 6: [Mapping: → 6.41 Habilitet]
Habilitetsregler for offentlig forvaltning.

Lovdata: § 6
9.17Preseptorisk lov: [Mapping: → 1.6 Myndighetskrav]
Ufravikelig lovgivning som ikke kan fravikes ved avtale.

9B · Internasjonale standarder

9.18ISO 9001:2015: [Mapping: → 8.1 Styringssystem]
Internasjonal standard for kvalitetsstyringssystemer.
9.19ISO 27001: [Mapping: → klasse 5, 6]
Internasjonal standard for informasjonssikkerhet (ISMS).
9.20ISO 31000: [Mapping: → klasse 4]
Internasjonal standard for risikostyring.
9.21ISO 19011: [Mapping: → 5.7 Revisjon]
Internasjonal standard for revisjon av styringssystemer.
9.22ISO 37001: [Mapping: → 5.16 Compliance-funksjon]
Internasjonal standard for antikorrupsjon-styring.
9.23ISO 37301: [Mapping: → 5.16 Compliance-funksjon]
Internasjonal standard for compliance-styring.
9.24COSO IC 2013: [Mapping: → 5.1 Internkontroll · 5.13 Kontrollmiljø]
Internal Control framework: 5 komponenter, 17 prinsipper.
9.25COSO ERM 2017: [Mapping: → klasse 4]
Enterprise Risk Management: 5 komponenter, 20 prinsipper.
9.26Three Lines Model (IIA): [Mapping: → 6.42 Trelinjemodellen]
IIA's modell for ansvarsfordeling, oppdatert 2020.
9.27Non-conformity (ISO): [Mapping: → 3.1 Avvik]
ISO-term for avvik. Norsk primær: avvik.
9.28Control activities (COSO): [Mapping: → 5.8 Kontrollaktiviteter]
COSO-term for kontrollaktiviteter.
9.29Compliance function (ISO): [Mapping: → 5.16 Compliance-funksjon]
ISO-term for compliance-funksjon.

9C · ESG og bærekraft

9.30ESG: [Mapping: → 8.1 Styringssystem]
Environmental, Social, Governance.

Se også: Pillar: ESG
9.31CSRD: [Mapping: → 9.14 Åpenhetsloven]
Corporate Sustainability Reporting Directive (EU).
9.32ESRS: [Mapping: → 9.31 CSRD]
European Sustainability Reporting Standards.
9.33EU Taxonomy: [Mapping: → 8.17 Interessentanalyse]
Klassifiseringssystem for bærekraftige aktiviteter.
9.34Aktsomhetsvurdering: [Mapping: → 4.10 Risikovurdering]
Systematisk identifisering av menneskerettighetsbrudd og uanstendige arbeidsforhold i leverandørkjeden. Lovpålagt etter åpenhetsloven.
9.35Vesentlighetsanalyse: [Mapping: → 8.17 Interessentanalyse]
Vurdering av vesentlige ESG-temaer for virksomheten.
9.36Dobbel vesentlighet: [Mapping: → 9.35 Vesentlighetsanalyse]
CSRD-prinsipp om dobbel påvirkning – både inn til virksomheten og ut til omverdenen.

9D · GDPR-spesifikke begreper

9.37GDPR: [Mapping: → 9.15 Personopplysningsloven]
EUs personvernforordning (2016/679).
9.38Personopplysning: [Mapping: → klasse 6 (DPO)]
GDPR art. 4 nr. 1: enhver opplysning som kan knyttes til en identifisert eller identifiserbar fysisk person.
9.39Særlige kategorier personopplysninger: [Mapping: → 9.38 Personopplysning]
Sensitive personopplysninger. GDPR art. 9.
9.40Behandling: [Mapping: → 6.17 Behandlingsansvarlig]
GDPR art. 4 nr. 2: enhver operasjon som utføres med personopplysninger.
9.41Behandlingsgrunnlag: [Mapping: → 9.40 Behandling]
GDPR art. 6 – seks alternative grunnlag for behandling.
9.42Samtykke: [Mapping: → 9.41 Behandlingsgrunnlag]
Behandlingsgrunnlag etter GDPR art. 6(1)(a). Skal være frivillig, spesifikt, informert og utvetydig.
9.43Berettiget interesse: [Mapping: → 9.41 Behandlingsgrunnlag]
Behandlingsgrunnlag etter GDPR art. 6(1)(f).
9.44Lagringstid: [Mapping: → 8.5 Dokumentasjon]
GDPR-prinsipp om at personopplysninger ikke skal lagres lengre enn nødvendig.
9.45Datasubjektets rettigheter: [Mapping: → 9.37 GDPR]
GDPR art. 15-22: innsyn, retting, sletting, begrensning, dataportabilitet, protest.
9.46DPIA: [Mapping: → 4.10 Risikovurdering]
Data Protection Impact Assessment. GDPR art. 35. Lovpålagt risikovurdering for høyrisiko-behandlinger.
9.47Dataminimering: [Mapping: → 9.41 Behandlingsgrunnlag]
GDPR art. 5(1)(c): personopplysninger skal være adekvate, relevante og begrenset til det nødvendige.
9.48Innebygd personvern Privacy by Design: [Mapping: → klasse 5]
Privacy by Design. GDPR art. 25.
9.49Konfidensialitet: [Mapping: → klasse 5]
Sikring mot uautorisert tilgang.
9.50Kryptering: [Mapping: → 4.17 Tekniske barrierer]
Teknisk sikring av data ved kryptografiske metoder.
9.51Sikkerhetsbrudd: [Mapping: → 3.1 Avvik (GDPR-spesifikk)]
Uautorisert tilgang/tap av persondata. GDPR-meldeplikt innen 72 timer.
9.52Personvernerklæring: [Mapping: → 8.5 Dokumentasjon]
Informasjon til registrerte om hvordan personopplysninger behandles.
9.53Innsynsbegjæring: [Mapping: → 9.45 Datasubjektets rettigheter]
GDPR art. 15.
9.54Databehandleravtale: [Mapping: → 6.18 Databehandler]
GDPR-pålagt avtale mellom behandlingsansvarlig og databehandler.
9.55Tilgangsstyring: [Mapping: → klasse 5]
Kontroll med systemtilgang basert på rolle og behov.
9.56Sletteinstruks: [Mapping: → 2.1 Instruks]
Regler for sletting av persondata.

9E · Andre eksterne begreper

9.57Signaturrett (firmategningsrett): [Mapping: → 6.1 Styret · 6.3 Daglig leder]
Formell myndighet til å binde selskapet juridisk. Synonym: firmategningsrett.
9.58Prokura: [Mapping: → 6.36 Delegasjonsreglement]
Fullmakt etter prokuraloven 1985. Mer begrenset enn signaturrett.
9.59Transparens: [Mapping: → 8.10 Etterprøvbarhet]
Graden av åpenhet i styringen.
9.60Uavhengighet: [Mapping: → 5.7 Revisjon]
Krav til kontrollfunksjoner – at de kan operere uten innblanding fra dem som blir kontrollert.
9.61Rettssikkerhet: [Mapping: → 1.6 Myndighetskrav]
Forutsigbarhet og vern mot vilkårlighet i rettsanvendelsen.
9.62Hjemmelsgrunnlag: [Mapping: → 2.8 Hjemling]
Juridisk kilde for handling.
9.63Kravhierarki: [Mapping: → 1.6 Myndighetskrav · 2.1 Instruks]
Lov → Forskrift → Standard → Instruks.
9.64Kontraktsstyring: [Mapping: → klasse 5 (kontroll)]
Systematisk oppfølging av avtaler.
9.65Rapporteringsplikt: [Mapping: → 8.6 Dokumentasjonskrav]
Lovpålagt informasjonsplikt overfor myndigheter eller eiere.
9.66Legal compliance: [Mapping: → 1.8 Etterlevelse]
Tilstand der juridiske plikter er oppfylt. Engelsk synonym; norsk primær: etterlevelse.
9.67Arbeidsavtale: [Mapping: → 1.4 Styringsrett]
Skriftlig avtale etter AML kap. 14. Hjemmelen for at instrukser binder ansatte.

Hjemmel: AML § 14-5
9.68SLA (Service Level Agreement): [Mapping: → 1.7 Virksomhetskrav]
Tjenestenivåavtale mellom leverandør og kunde.
9.69Underleverandørkjede: [Mapping: → 9.34 Aktsomhetsvurdering]
Leverandørkjeden i innkjøp – sentralt i åpenhetsloven.
9.70Varslingsrutiner: [Mapping: → 6.19 Melder]
System for melding av kritikkverdige forhold. Lovpålagt etter AML kap. 2A.

Hjemmel: AML §§ 2A-1 – 2A-7
9.71Vernerunder: [Mapping: → 5.5 Overvåking]
Systematiske inspeksjoner av arbeidsmiljø.
9.72Tilrettelegging: [Mapping: → 2.1 Instruks]
AML § 4-6. Plikt for arbeidsgiver overfor ansatte med redusert arbeidsevne.

Hjemmel: AML § 4-6
9.73Sykefraværsoppfølging: [Mapping: → 2.1 Instruks]
AML § 4-6 + folketrygdloven. Lovpålagt oppfølging av sykmeldte ansatte.
9.74Systematisk HMS-arbeid: [Mapping: → 5.1 Internkontroll]
AML § 3-1 – det systematiske arbeidet med helse, miljø og sikkerhet.

Hjemmel: AML § 3-1
9.75Forvaltningsansvar: [Mapping: → 6.6 Styrets tilsynsplikt]
Styrets ansvar for selskapsverdier. Ekstern variant av begrep 6.44.

Tilbake til toppen

↑ Til søkefelt og navigasjon

Om forfatterne

Svein Roar Holt

Skaper av IS-modellen™ og AvvikStandard™. Ekspert på strategisk virksomhetsstyring, governance og instruksbasert internkontroll.

Om Svein Roar → LinkedIn →

Maria Zahlsen

Jurist med spesialisering innen arbeidsrett, kontraktsrett og forretningsjuss.

Om Maria → LinkedIn →

Opphavsrett og bruk

Begrepsapparatet, klasseinndelingen, 4-akse-markeringen, IS-modellen™, AvvikStandard™ og samtlige trademark-merkede konsepter er beskyttet etter åndsverkloven og varemerkeloven.

Det er tillatt å sitere enkelte begreper i journalistisk og akademisk sammenheng med kildehenvisning til Internkontroll AS / Internkontrollportalen.no. Kommersiell bruk, omfattende kopiering eller bruk i konkurrerende rammeverk er ikke tillatt uten skriftlig samtykke.

⚠ Uautorisert kopiering, modifisering eller kommersiell utnyttelse er forbudt og kan medføre rettslige skritt.