COSO-rammeverket og Tre forsvarslinjer – Grunnlag for et velfungerende internkontrollsystem
Introduksjon – to rammeverk som utfyller hverandre
COSO-rammeverket definerer hva som skal til for å etablere et effektivt internkontrollsystem. Rammeverket består av fem integrerte komponenter: kontrollmiljø, risikovurdering, kontrollaktiviteter, informasjon og kommunikasjon samt overvåking – som samlet utgjør grunnlaget for et helhetlig og dynamisk system.
Tre forsvarslinje-modellen er en metode for å definere hvem som er ansvarlig for de ulike aktivitetene i et slikt system:
1. Forsvarslinje
Alle i virksomheten – styre, ledelse og ansatte – som utfører og kvalitetssikrer arbeid etter styringssystemets instrukser.
2. Forsvarslinje
Internkontroll-, risiko-, HR- og sikkerhetsansvarlig som utvikler, implementerer og overvåker styringssystemet.
3. Forsvarslinje
Uavhengig revisjonsansvarlig personell med ansvar for å sikre nødvendig revisjon av systemet.
Et internkontrollsystem basert på prinsippene i COSO-rammeverket og Tre forsvarslinje-modellen gir et godt grunnlag for at alle vet hvem som skal gjøre hva, når og hvordan innenfor virksomhetsstyrings- og internkontrollarbeidet.
Selv et slikt internkontrollsystem vil ha begrenset effekt og verdi uten et solid styringssystem som fundament. Internkontrollsystemet trenger «virksomhetsregler» å måle seg mot for å identifisere avvik og sikre etterlevelse. Ethvert godt internkontrollarbeid følger således av et tilsvarende godt virksomhetsstyringsarbeid.
Kontrollmiljøet – COSO komponent 1
Kontrollmiljøet – som kanskje mer presist burde vært benevnt som styrings-, gjennomførings-, kvalitetssikrings- og kontrollmiljøet – er den første og grunnleggende komponenten i COSO-rammeverket og utgjør fundamentet for alle øvrige elementer i systemet.
Et sterkt og positivt kontrollmiljø skaper en kultur som verdsetter styring, organisering og kvalitet, og legger dermed grunnlaget for effektiv og bærekraftig drift i samsvar med gjeldende lover og forskrifter. Kontrollmiljøet omfatter alle deler av organisasjonen – fra toppledelsen og styret til den enkelte ansatte.
Styret har et overordnet ansvar for å etablere og opprettholde et effektivt kontrollmiljø gjennom sitt tilsyn med ledelsen, sin uavhengighet og sin kompetanse. Toppledelsen har ansvaret for å omsette styrets forventninger til konkrete handlinger og skape en god organisasjonskultur – gjennom klare retningslinjer og instrukser, effektiv kommunikasjon og ved selv å etterleve disse standardene.
Risikovurdering – COSO komponent 2
Risikovurdering er prosessen med å identifisere og analysere relevante risikoer knyttet til oppnåelse av virksomhetens mål. Dette er en forutsetning for å kunne iverksette hensiktsmessige kontrolltiltak. Risikovurderingen må være systematisk, dokumentert og regelmessig oppdatert for å ha reell verdi i styringssystemet.
En god risikovurdering tar utgangspunkt i virksomhetens faktiske aktiviteter og de kravene som gjelder – ikke generelle maler eller abstrakte modeller. Se mer om kartlegging av risiko.
Kontrollaktiviteter – COSO komponent 3
Kontrollaktiviteter er de konkrete tiltakene og prosedyrene som sikrer at ledelsens instrukser etterleves og at risikoene håndteres på en akseptabel måte. Dette inkluderer godkjenningsprosedyrer, autorisasjoner, verifiseringer, avstemminger og driftsmessige gjennomganger.
Kontrollaktivitetene er det operative uttrykket for IS-modellens™ instruksjonsprinsipp: krav må gjøres operative gjennom konkrete, etterprøvbare instrukser – ikke bare dokumenteres.
Informasjon og kommunikasjon – COSO komponent 4
Relevant informasjon må identifiseres, samles inn og kommuniseres til rett person til rett tid for at de skal kunne utføre sine oppgaver. Kommunikasjon må skje effektivt både oppover, nedover og på tvers i organisasjonen. Dette inkluderer instrukser, rapporter, avviksmeldinger og tilbakemeldinger fra ansatte.
Overvåking – COSO komponent 5
Internkontrollsystemet må overvåkes og vurderes løpende for å sikre at det fortsatt er relevant og effektivt. Overvåking kan skje gjennom løpende aktiviteter – som lederes daglige tilsyn – og gjennom separate evalueringer som internrevisjon. Avvik som avdekkes gjennom overvåkingen skal behandles og korrigeres raskt.
Rammeverk er ikke nok – styringssystemet er fundamentet
Alle tre forsvarslinjene spiller en viktig rolle i å etablere og vedlikeholde et velfungerende internkontrollsystem. Men det avgjørende poenget er dette: COSO og Tre forsvarslinjer er rammeverk for å organisere internkontrollarbeidet – ikke en erstatning for det faktiske arbeidet med å instruksjonsfeste krav, følge opp etterlevelse og dokumentere styringen.
Et internkontrollsystem som bygger på disse rammeverkene, men mangler konkrete instrukser, oppdaterte risikovurderinger og fungerende kontrollaktiviteter, vil ha begrenset praktisk verdi. Det er kombinasjonen av anerkjente rammeverk og et solid, instruksjonsbasert styringssystem som skaper reell etterlevelse.
Trenger du hjelp med å bygge et velfungerende internkontrollsystem?
Vi kombinerer anerkjente rammeverk med IS-modellens instruksjonsbaserte tilnærming for reell etterlevelse.
Ta kontakt her
Svein Roar Holt
Grunnlegger av Internkontroll AS og arkitekt bak IS-modellen™. Spesialrådgiver innen virksomhetsstyring, regulatorisk etterlevelse og styrets personlige ansvar.
Om Svein Roar → LinkedIn →Internkontroll AS · © 2026 Svein Roar Holt