IS-Modellen™

IS-modellen™
Instruksjonsbasert virksomhetsstyring som tåler ansvar, kontroll og bevis
Versjon 1.0 MASTER © Internkontroll AS Oppdatert mai 2026
©
Opphavsrettbeskyttet dokument – Internkontroll AS IS-modellen™ er utviklet av Svein Roar Holt og Maria Zahlsen, Internkontroll AS. Beskyttet iht. åndsverkloven av 15. juni 2018 nr. 40. Enhver kopiering eller kommersiell utnyttelse uten skriftlig tillatelse er forbudt.
Forfattere: Svein Roar Holt & Maria Zahlsen – Internkontroll AS | Sist oppdatert: mai 2026 | Juridisk forankring: Aksjeloven §§ 6-12, 6-13, 6-14, Internkontrollforskriften §§ 4-5, AML §§ 2-1, 3-1, åpenhetsloven, GDPR, ISO 9001:2015
Et scenario du kanskje kjenner igjen

Arbeidstilsynet varsler tilsyn. Styret samles raskt. HMS-permen hentes frem. Dokumentene er der – risikovurderinger, retningslinjer, policyer. Alt ser bra ut på papiret.

Så stiller tilsynslederen det enkle spørsmålet: «Kan dere vise oss hvordan dere har instruert de ansatte om dette, og hvordan dere har kontrollert at det faktisk etterleves?»

Stillhet. Ingen kan svare – ikke fordi ingenting er gjort, men fordi koblingen mellom krav og faktisk etterlevelse aldri ble gjort bindende. Kravene eksisterer, men de er aldri blitt til instrukser. De er aldri blitt til noe de ansatte er rettslig forpliktet til å følge.

Dette er ikke et uvanlig scenario. Det er et strukturproblem som rammer virksomheter på tvers av bransjer og størrelser – og det er nøyaktig dette problemet IS-modellen™ er konstruert for å løse.

1. Hvorfor IS-modellen™?

IS-modellen™ er utviklet for å løse et grunnleggende styringsproblem i moderne virksomheter: avstanden mellom rettslige krav, interne beslutninger og faktisk etterlevelse i praksis. Modellen tar utgangspunkt i at virksomheter ikke styres gjennom intensjoner, dokumentmengde eller ambisjoner, men gjennom bindende instrukser som ansatte er forpliktet til å følge.

IS-modellen™ er derfor ikke primært en kravmodell, men en instruksjonsbasert styringsmodell. Den er konstruert for å gjøre aksjelovens krav til forsvarlig organisering, styring og kontroll operativ, etterprøvbar og bevisbar.

Modellens fire kjerneegenskaper
⚙️
Instruksjonsbasert
Alle krav gjøres operative gjennom bindende instrukser – ikke ambisjoner eller dokumenter.
⚖️
Rettslig forankret
Bygget direkte på aksjelovens krav til forsvarlig organisering og styrets tilsynsansvar.
🔌
Systemuavhengig
Krever ingen nye IT-investeringer. Fungerer side om side med eksisterende fagsystemer.
📋
Bevisbar etterlevelse
Gir styret dokumentasjon som tåler tilsyn, revisjon og rettslig vurdering.
2. Hva er en instruks?

Definisjon: Instruks

En instruks er en bindende handlingsregel som er fastsatt av virksomheten innenfor styringsretten, og som ansatte er rettslig forpliktet til å følge i kraft av arbeidsavtalen. Instruksen oversetter krav (lov, forskrift, virksomhetsbeslutning eller beste praksis) til konkret, etterprøvbar handling.

I motsetning til retningslinjer, policyer eller veiledninger har instruksen en bindende rettslig karakter: brudd er ikke en kulturforseelse, men et kontraktsbrudd som kan utløse arbeidsrettslige sanksjoner.

En instruks i IS-modellens forstand har fem kjennetegn:

  • Konkret: Beskriver hva som skal gjøres, ikke hva som bør oppnås
  • Bindende: Hjemlet i styringsretten og arbeidsavtalen
  • Adressert: Rettet mot definerte roller eller funksjoner
  • Tidsangitt: Når og hvor ofte handlingen skal utføres
  • Etterprøvbar: Kan kontrolleres og dokumenteres
3. Aksjeloven som overordnet premiss

Aksjeloven utgjør det overordnede rettslige fundamentet for IS-modellen™. Loven pålegger styret å sørge for forsvarlig organisering av virksomheten og forsvarlig håndtering av risiko. Disse pliktene er rammepregede og forutsetter at virksomheten selv etablerer et styringssystem som er tilpasset virksomhetens art, omfang og risikobilde.

IS-modellen™ er utviklet nettopp for å fylle dette rommet. Den gir styret og ledelsen en konkret metode for å:

  • Identifisere relevante krav
  • Gjøre kravene styrbare
  • Instruere organisasjonen
  • Følge opp etterlevelse
  • Dokumentere faktisk styring
Operativt uttrykk for styringsansvaret

Modellen er ikke et tillegg til aksjeloven, men et operativt uttrykk for hvordan aksjelovens styringsansvar faktisk kan og bør utøves.

4. Styringssystemet som virksomhetens samlede regelverk

Et bærende prinsipp i IS-modellen™ er forståelsen av styringssystemet som virksomhetens samlede, nedtegnede regelverk. Dette regelverket består av summen av:

  • Eksterne myndighetskrav virksomheten er underlagt
  • Interne virksomhetskrav fastsatt av styre og ledelse
  • Valgt beste praksis som virksomheten har besluttet å gjøre bindende

Dette regelverket er normativt. Det beskriver ikke hva virksomheten ønsker, men hva som skal gjelde for virksomheten og dens ansatte. IS-modellen™ sikrer at dette regelverket ikke forblir abstrakt, men omformes til en sammenhengende instruksjonsstruktur.

5. Trelagsstrukturen – slik er modellen bygget opp

IS-modellen™ organiserer styringsdokumentene i tre distinkte nivåer som eliminerer gråsonene mellom hva man «MÅ» og hva man «BØR» gjøre:

1
Strategisk
Styring og eierskap
Definerer retning, rammer og ansvar. Forklarer hvorfor virksomheten gjør det den gjør. Består av strategi, policyer, mål og ansvarsdeling.
Eksempel – Nivå 1 Virksomhetspolicy for personvern: «Internkontroll AS skal behandle personopplysninger i tråd med personvernforordningen og prioriterer åpenhet, dataminimering og innebygd personvern i all behandling.»
2
★ MÅ-krav · Bindende plikt
Den operative kjernen
Oversetter strategiske mål til operative plikter gjennom instrukser – utvetydige MÅ-krav som ubetinget skal følges. Dette er hjertet i IS-modellen™ og det som skiller den fra alle andre rammeverk.
Eksempel – Nivå 2 (Instruks) Instruks GDPR-08: «Ved mistanke om personvernbrudd skal personvernombudet varsles innen 24 timer. Saksbehandler skal innen 72 timer vurdere om brudd skal meldes Datatilsynet etter GDPR art. 33. Vurderingen dokumenteres i avvikssystemet med begrunnelse, dato og ansvarlig.»
3
BØR/KAN
Gjennomføring og støtte
Hjelper ansatte å etterleve instruksene gjennom prosedyrer, veiledninger, maler og sjekklister. Støttemateriellet er ikke bindende – instruksene er det.
Eksempel – Nivå 3 Sjekkliste «Vurdering av personvernbrudd» med spørsmål som «Er det berørte personopplysninger sensitive?», «Er det risiko for fysisk skade?», «Er antallet berørte over 100?». Hjelper saksbehandler følge instruks GDPR-08, men er ikke selv bindende.
6. Instruksjonsfilteret™ – fra krav til kjørbar instruks

IS-modellen™ kan forstås gjennom begrepet instruksjonsfilteret. Dette filteret er selve kjernen i modellen. Alle krav – uansett opprinnelse – må passere gjennom instruksjonsfilteret for å få operativ effekt.

Instruksjonsfilteret som femstegs prosess
1 Identifisering
Krav avdekkes – fra lov, virksomhet eller praksis
2 Risikovurdering
Kravets relevans for virksomhetens drift
3 Beslutning
Styre/ledelse beslutter at kravet skal gjelde
4 Instruksjonsfesting
Kravet skrives som konkret, bindende instruks
5 Operasjonalisering
Tildeling, opplæring og oppfølging
Filteret visualisert: råmateriale → kjørbar instruks
Før filteret · Råmateriale
  • Lov- og forskriftstekster
  • Pålegg og veiledninger
  • Interne styringsbeslutninger
  • Strategiske mål
  • Beste praksis og standarder

Ikke styring, men informasjonsgrunnlag

I filteret · IS-modellen™
  • Vurderes mot risiko
  • Besluttes som bindende
  • Gis korrekt instruksjonsnivå
  • Plasseres hos rett rolle
  • Dokumenteres etterprøvbart
Etter filteret · Kjørbar instruks
  • Konkret og forståelig
  • Rettslig plikt til etterlevelse
  • Kontrollerbar og etterprøvbar
  • Adressert til konkrete roller
  • Knyttet til avvikssystemet
Filterets formål

IS-modellen™ er ikke et arkiv for regler, men mekanismen som gjør regler til handling. Et krav som ikke har vært gjennom alle fem stegene har ingen operativ kraft – uansett hvor godt det er dokumentert.

7. Ufravikelighetsprinsippet – instruksjonsfesting er ikke valgfritt

I IS-modellen™ skilles det tydelig mellom kravets juridiske rang og kravets operative form. Når det sies at kravets opprinnelse er underordnet, gjelder dette utelukkende den operative gjennomføringen – aldri den rettslige bindingen.

Ufravikelighetsprinsippet

Lov- og forskriftskrav kan aldri velges bort – de må alltid instruksjonsfestes
Manglende instruksjonsfesting er ikke nøytralitet, men styringssvikt
Virksomhetskrav kan gå lenger enn loven – instruksjonsformen er alltid ufravikelig
Avvik forstås konsekvent som brudd på instruks – og er grunnlag for forbedring

Det finnes ingen adgang i modellen til å unnlate å gjøre lovkrav operative gjennom instrukser. Manglende instruksjonsfesting innebærer ikke nøytralitet, men styringssvikt.

Samtidig åpner modellen eksplisitt for at virksomheten kan velge til strengere virksomhetskrav enn lovens minimum, og kan skjerpe, presisere eller konkretisere krav der risiko, drift eller strategi tilsier det.

Lovkrav er minimum, instruks er ufravikelig

Lovkrav utgjør alltid minimum. Virksomhetskrav kan gå lenger. Instruksjonsformen er ufravikelig i begge tilfeller.

Forholdet til AvvikStandard™

Innenfor IS-modellen™ forstås avvik konsekvent som brudd på instruks – uavhengig av kravets opprinnelse. Avvik er dermed:

  • Styringsinformasjon
  • Bevis på hvor regelverket ikke etterleves eller fungerer
  • Grunnlag for forbedring og korrigerende tiltak

AvvikStandard™ håndterer dette gjennom syv faser, fra eksponering til hub-basert læring. Sammen utgjør IS-modellen™ og AvvikStandard™ den fulle forsiden av Internkontroll AS' styringsfilosofi: en for å etablere instrukser, en for å oppdage og lære når de svikter.

8. Etterlevelse, instruks og ansettelsesavtalen

Et helt sentralt prinsipp i IS-modellen™ er at etterlevelse er kontraktsforankret. Gjennom ansettelsesavtalen og arbeidsgiverstyringsretten er arbeidstaker forpliktet til å følge lovlige instrukser, etterleve virksomhetens regelverk og utføre arbeidet i samsvar med gjeldende prosedyrer.

IS-modellen™ sikrer at:

  • Alle krav får instruksjonsform
  • Instruksene er tilgjengelige og forståelige
  • Etterlevelse kan forventes og håndheves
Rettslig plikt – ikke kultur

Etterlevelse er dermed ikke frivillig eller kulturelt betinget, men en rettslig plikt. Dette er kjernen i IS-modellens kontraktsrettslige fundament.

9. Trelinjeperspektivet – klarhet i roller og ansvar

I styring og kontroll er det nyttig å se ansvar gjennom et trelinjeperspektiv – ikke som en formell modell, men som en måte å skape klarhet i roller og ansvar.

Første linje
Operativt ansvar
Den operative virksomheten der kravene faktisk skal etterleves. Linjeledere og medarbeidere utfører arbeidet, treffer beslutninger og bærer det primære ansvaret for etterlevelse. Kan ikke flyttes.
Andre linje
Kontroll og støtte
Interne kontroll- og støttefunksjoner som overvåker og utfordrer hvordan virksomhetskrav etterleves. Internkontrollansvarlig er en sentral aktør her. Overtar ikke ansvaret.
Tredje linje
Uavhengig innsikt
Ekstern revisjon og uavhengige kontroller som gir vurdering utenfra. Erstatter verken operativt ansvar eller intern oppfølging, men styrker tilliten til systemet.
Styret er ikke en kontrollinje

Styret utgjør ikke en egen kontrollinje. Styrets rolle er å påse at virksomheten er organisert og styrt slik at etterlevelse er mulig, sannsynlig og dokumenterbar (jf. asl. §§ 6-12, 6-13 og IK-forskriften § 4). Styret mottar informasjon fra de tre linjene og bruker dette som grunnlag for beslutninger.

10. Strategisk verdi for styret

Et av de sterkeste elementene i IS-modellen™ er hvordan instruksjonsbasert styring påvirker bevisbyrden ved tilsyn, revisjon eller rettslig vurdering. Når styret kan dokumentere at:

  • Krav er identifisert
  • Krav er gjort til konkrete instrukser
  • Opplæring er gjennomført
  • Etterlevelse følges opp gjennom internkontroll og avvikssystem

– har styret langt på vei oppfylt sin styrings- og tilsynsplikt etter aksjeloven §§ 6-12 og 6-13.

Fra intensjon til handling

Vurderingen flyttes fra «har dere tenkt på dette?» til «kan dere vise hvordan dere har instruert og fulgt opp?». Dette gir IS-modellen™ en sentral funksjon som risikoreduserende styringsinfrastruktur for styret – og bidrar til å beskytte styremedlemmer mot personlig erstatningsansvar etter asl. § 17-1.

11. Implementeringsmodenhet

IS-modellen™ implementeres ikke i ett trekk. Modenhet bygges over tid. Modellen definerer fire modenhetsnivåer som virksomheten kan vurdere seg selv mot:

Nivå 1
Begynnende
Krav er kjent men ikke instruksjonsfestet. Styring skjer ad hoc.
Nivå 2
Utviklende
Sentrale instrukser etablert. Trelagsstrukturen tar form. Avvikssystem virker.
Nivå 3
Etablert
Komplett instruksjonsstruktur. Aktiv oppfølging. Avvik analyseres.
Nivå 4
Optimalt
Læringsdrevet. Avvik mater instruksjonsforbedring kontinuerlig. Bevisbar overfor tilsyn.

Modenhetsnivå måles via en strukturert egenevaluering. Internkontroll AS bistår med modenhetsanalyse og veikart for utvikling.

12. Sammenligning med andre rammeverk

IS-modellen™ supplerer ikke ISO 9001 eller COSO – den oversetter dem til operativ styring. Her er hovedforskjellene:

EgenskapIS-modellen™ISO 9001COSO ERMIK-forskriften
Instruksjonsbasert Ja, kjernen Implisitt Nei Implisitt
Rettslig fundert Aksjeloven Frivillig standard Frivillig standard Forskrift
Operasjonalisering 5-stegs filter PDCA-syklus 8 komponenter 5 elementer
Trelagsstruktur Strategisk/MÅ/BØR Prosessbasert Komponentbasert Aktivitetsbasert
Avvikskobling AvvikStandard™ Avvik & korreksjon Risiko-respons Avviksbehandling
Bevisbar for styret Eksplisitt mål Sertifiserbar Modnehetsmodell Tilsynsbar

IS-modellen™ er komplementær – ikke konkurrerende – med ISO 9001 og COSO. Den fyller gapet mellom rammeverkets prinsipper og konkret etterlevelse i hverdagen.

13. Kobling til ESG og åpenhetsloven

Moderne styringskrav strekker seg langt utover tradisjonelle compliance-områder. ESG-rapportering, åpenhetsloven og bærekraftsdirektiver pålegger virksomhetene konkrete plikter som krever instruksjonsfesting:

  • Åpenhetsloven – aktsomhetsvurderinger og redegjørelsesplikt for virksomheter med 50+ ansatte krever instrukser for kartlegging og oppfølging av leverandørkjeden
  • CSRD/ESRS – bærekraftsrapportering krever instrukser for datainnsamling, vesentlighetsanalyse og verifikasjon
  • EU Taxonomy – klassifisering av aktiviteter krever instrukser for prosessmapping og dokumentasjon
ESG fungerer som virksomhetskrav

I IS-modellen™ behandles ESG-krav på samme måte som andre myndighetskrav: de identifiseres, risikovurderes, besluttes som bindende, instruksjonsfestes og operasjonaliseres. Modellen er dermed fremtidssikret – nye styringskrav kan integreres uten å endre selve modellen.

14. IS-modellen™ og AvvikStandard™ – en samlet ramme

IS-modellen™ og AvvikStandard™ er Internkontroll AS' to kjernemodeller som er konstruert for å virke sammen. Hver av dem dekker en distinkt fase i styringssyklusen:

IS-modellen™
Etablerer styring – fra krav til kjørbar instruks. Sikrer at all styring er instruksjonsfestet, rettslig forankret og operasjonalisert. Forebyggende.
AvvikStandard™
Oppdager og lærer av brudd – syv faser fra eksponering til hub-basert læring. Skiller mellom avvik (utilsiktede brudd) og fravik (autoriserte unntak). Reaktiv og lærende.

Sammen utgjør de en komplett styringsramme: IS-modellen™ etablerer det som skal gjelde, AvvikStandard™ håndterer det når det går galt. Avvikene gir tilbakemelding som mater instruksjonsforbedring. Slik blir styringssystemet selvforbedrende over tid.

Hvordan modellene samhandler En instruks fra IS-modellen™ blir brutt → avviket fanges av AvvikStandard™ → MTO-rotårsaksanalyse identifiserer at instruksen er uklar → tilbakemelding til IS-modellen™ trigger instruksjonsrevisjon → ny instruks distribueres → systemet er forbedret.
15. IS-modellen™ – avsluttende kjerne

De fem kjerneprinsippene

  • Lovkrav kan aldri velges bort
  • Alle krav må instruksjonsfestes
  • Instruks er den eneste operative formen for etterlevelse
  • Instruksjonsbasert styring styrker styrets bevisposisjon
  • IS-modellen™ er instruksjonsfilteret som gjør krav til handling
Dette er ikke dokumentasjon. Dette er styring som tåler ansvar, kontroll og bevis.

Tilsynslederen som stiller det enkle spørsmålet om hvordan dere har instruert og fulgt opp – stiller ikke et urimelig spørsmål. Det er et grunnleggende styringsansvar. IS-modellen™ er svaret.

Vil du implementere IS-modellen™ i din virksomhet?

Vi tilbyr modenhetsanalyse, instruksjonskartlegging og praktisk implementering tilpasset virksomhetens størrelse, bransje og risikobilde.

KONTAKT INTERNKONTROLL AS →
Ofte stilte spørsmål om IS-modellen™
Hva er IS-modellen™?
IS-modellen™ er en instruksjonsbasert styringsmodell utviklet av Internkontroll AS. Den tar utgangspunkt i at virksomheter ikke styres gjennom intensjoner eller dokumentmengde, men gjennom bindende instrukser som ansatte er rettslig forpliktet til å følge. Modellen gjør aksjelovens krav til forsvarlig organisering, styring og kontroll operativ, etterprøvbar og bevisbar.
Hva er en instruks i IS-modellens forstand?
En instruks er en bindende handlingsregel fastsatt innenfor styringsretten, som ansatte er rettslig forpliktet til å følge gjennom arbeidsavtalen. Den må være konkret, bindende, adressert til definerte roller, tidsangitt og etterprøvbar. I motsetning til retningslinjer og policyer har instrukser kontraktsmessig karakter – brudd er kontraktsbrudd, ikke kulturforseelse.
Hvem passer IS-modellen™ for?
IS-modellen™ passer for alle virksomheter som er underlagt aksjelovens krav til forsvarlig organisering og risikohåndtering. Modellen er særlig relevant for styret og ledelsen i virksomheter som ønsker å omgjøre rettslige krav til operativ praksis, og for virksomheter som står overfor tilsyn, revisjon eller rettslig vurdering. Modellen er tilpasningsdyktig og skaleres til virksomhetens art, omfang og risikobilde.
Hva skiller IS-modellen™ fra ISO 9001 og COSO?
IS-modellen™ er ikke konkurrerende, men komplementær med ISO 9001 og COSO. Mens ISO 9001 er prosessbasert og COSO er komponentbasert, er IS-modellen™ instruksjonsbasert med rettslig fundament i aksjeloven. Modellens fem-stegs instruksjonsfilter og trelagsstruktur (Strategisk/MÅ/BØR) operasjonaliserer prinsippene fra de andre rammeverkene til konkret, bindende handling.
Hva er instruksjonsfilteret™?
Instruksjonsfilteret™ er en femstegs prosess som omformer krav til kjørbar instruks: (1) Identifisering av krav, (2) Risikovurdering av relevans, (3) Beslutning om bindende status, (4) Instruksjonsfesting i konkret form, (5) Operasjonalisering med tildeling og opplæring. Et krav som ikke har vært gjennom alle fem stegene har ingen operativ kraft, uansett hvor godt det er dokumentert.
Hva er ufravikelighetsprinsippet?
Ufravikelighetsprinsippet i IS-modellen™ slår fast at instruksjonsformen er ufravikelig: lovkrav kan aldri velges bort og må alltid instruksjonsfestes, virksomhetskrav kan gå lenger enn loven men må også gis instruksjonsform, og manglende instruksjonsfesting innebærer styringssvikt – ikke nøytralitet. Avvik forstås konsekvent som brudd på instruks.
Krever IS-modellen™ nye IT-systemer?
Nei. IS-modellen™ er systemuavhengig og krever ingen nye IT-investeringer. Den fungerer side om side med eksisterende fagsystemer, HMS-verktøy, avvikssystemer og dokumentasjonsløsninger virksomheten allerede har. Modellen handler om hvordan krav struktureres og gjøres operative – ikke om hvilken teknisk plattform som brukes.
Hva skjer hvis vi ikke instruksjonsfester kravene?
Innenfor IS-modellen™ forstås manglende instruksjonsfesting ikke som nøytralitet, men som styringssvikt. Krav som ikke er gjort til konkrete instrukser, er heller ikke operative for de ansatte – selv om kravene er rettslig bindende for virksomheten. Ved tilsyn, revisjon eller rettslig vurdering vil styret måtte kunne dokumentere at krav er identifisert, gjort til instrukser og fulgt opp.
Hvordan henger IS-modellen™ og AvvikStandard™ sammen?
IS-modellen™ etablerer styring – fra krav til kjørbar instruks. AvvikStandard™ oppdager og lærer av brudd på disse instruksene. Modellene er gjensidig avhengige: en instruks fra IS-modellen™ kan brytes (avvik), eller bevisst avvikes med hjemmel (fravik) – og AvvikStandard™ håndterer begge. Avvikene mater instruksjonsforbedring tilbake i IS-modellen™.
Hvordan styrker modellen styrets bevisposisjon?
Når styret kan dokumentere at krav er identifisert, gjort til konkrete instrukser, opplæring er gjennomført og etterlevelse følges opp, har styret langt på vei oppfylt sin styrings- og tilsynsplikt etter aksjeloven §§ 6-12 og 6-13. Vurderingen flyttes fra intensjon til handling. Dette gir IS-modellen™ en sentral funksjon som risikoreduserende styringsinfrastruktur for styret.
Hva er trelagsstrukturen?
IS-modellen™ organiserer styringsdokumentene i tre nivåer: Nivå 1 (Strategisk – Styring og eierskap) som forklarer hvorfor; Nivå 2 (Den operative kjernen – MÅ-krav) som er bindende instrukser; og Nivå 3 (Gjennomføring og støtte – BØR/KAN) som hjelper etterlevelse uten å være bindende. Skillet mellom Nivå 2 og 3 eliminerer gråsonene mellom hva man «MÅ» og hva man «BØR» gjøre.
Hva er trelinjeperspektivet?
Trelinjeperspektivet beskriver hvordan ansvar fordeles: Første linje er den operative virksomheten der etterlevelse faktisk skjer. Andre linje er interne kontroll- og støttefunksjoner som overvåker og rådgir. Tredje linje er ekstern revisjon som gir uavhengig innsikt. Styret er ikke en kontrollinje, men har en påse-rolle som mottar informasjon fra alle tre linjer.
Hvordan bygges IS-modellen™ over tid (modenhet)?
IS-modellen™ implementeres i fire modenhetsnivåer: Nivå 1 Begynnende (krav kjent men ikke instruksjonsfestet), Nivå 2 Utviklende (sentrale instrukser etablert), Nivå 3 Etablert (komplett struktur, aktiv oppfølging), og Nivå 4 Optimalt (læringsdrevet, avvik mater kontinuerlig forbedring). Modenhet måles via egenevaluering.
Dekker IS-modellen™ ESG og åpenhetsloven?
Ja. ESG-krav, åpenhetsloven og bærekraftsdirektiver behandles på samme måte som andre myndighetskrav i IS-modellen™: de identifiseres, risikovurderes, besluttes som bindende, instruksjonsfestes og operasjonaliseres. Modellen er fremtidssikret – nye styringskrav kan integreres uten å endre selve modellen.
Forfattere og faglig ansvar
Svein Roar Holt – grunnlegger av Internkontroll AS og arkitekt bak IS-modellen™
Svein Roar Holt

Grunnlegger av Internkontroll AS og arkitekt bak IS-modellen™ og AvvikStandard™. Spesialrådgiver innen virksomhetsstyring, regulatorisk etterlevelse og styrets personlige ansvar.

Om Svein Roar → LinkedIn →
Maria Zahlsen – grunnlegger av Internkontroll AS, jurist og medarkitekt
Maria Zahlsen

Jurist med spesialisering innen arbeidsrett, kontraktsrett og forretningsjuss. Medarkitekt bak IS-modellen™ og AvvikStandard™. Ekspert på operativ etterlevelse og organisatorisk risikostyring.

Om Maria → LinkedIn →

Opphavsrett og lisens – IS-modellen™

IS-modellen™ versjon 1.0 MASTER er utviklet av Svein Roar Holt og Maria Zahlsen, Internkontroll AS, og er beskyttet iht. åndsverkloven av 15. juni 2018 nr. 40.

Varemerker: IS-modellen™, AvvikStandard™, Instruksjonsfilteret™ og Styringsportalen™ tilhører Internkontroll AS, org.nr. 933 241 475.

Alle rettigheter reservert. Enhver kopiering, reproduksjon, distribusjon eller kommersiell utnyttelse uten skriftlig forhåndstillatelse fra Internkontroll AS er strengt forbudt og vil bli rettslig forfulgt. Sitater med fullstendig kildeangivelse er tillatt for ikke-kommersielle og akademiske formål.
© 2026 Internkontroll AS | Org.nr: 933 241 475 | internkontrollportalen.no | IS-modellen™ v1.0 MASTER

Om forfatterne

Svein Roar Holt – grunnlegger av Internkontroll AS og skaper av IS-modellen™
Svein Roar Holt Grunnlegger – Internkontroll AS & Internkontrollportalen.no

Skaper av IS-modellen™ og AvvikStandard™. Ekspert på strategisk virksomhetsstyring, governance og instruksbasert internkontroll. Har bygget Norges ledende digitale GRC-plattform for SMB og offentlig sektor.

Om Svein Roar → LinkedIn →
Maria Zahlsen – grunnlegger av Internkontroll AS, jurist med arbeidsrett og forretningsjuss
Maria Zahlsen Grunnlegger – Internkontroll AS & Internkontrollportalen.no

Jurist med spesialisering innen arbeidsrett, kontraktsrett og forretningsjuss. Ekspert på operativ etterlevelse, HR-juss og organisatorisk risikostyring – med særlig fokus på menneskelig faktor og praktisk implementering av styringsverktøy.

Om Maria → LinkedIn →
IS-modellen™ – instruksjonsbasert virksomhetsstyring | Internkontroll AS
IS-modellen™ v1.0 – fra krav til kjørbar instruks

Helhetlig styringsmodell – fra krav til kontinuerlig forbedring

Visuell modell som viser kravgrunnlaget, instruksjonsfilteret, trelagsstrukturen og koblingen til AvvikStandard™

Kravgrunnlaget
Myndighetskrav
Lover og forskrifter
Arbeidsmiljøloven
IK-forskriften · GDPR
Åpenhetsloven · CSRD
Bransjelovgivning
Virksomhetskrav
Styrets beslutninger
Eierforventninger
Avtalekrav · ESG
Bransjestandarder
Beste praksis (valgt)
Risikobilde
Virksomhetens art
Omfang og størrelse
Sårbarhet og eksponering
Bransjerisiko
Endringsrisiko
Instruksjonsfilteret
Krav vurderes, besluttes og gjøres operative · Manglende instruksjonsfesting = styringssvikt
1. Identifisering 2. Risikovurdering 3. Beslutning 4. Instruksjonsfesting 5. Operasjonalisering
IS-modellen™ – instruksjonsbasert virksomhetsstyring · Internkontroll AS
Styringssystemet
Nivå 1 – Styring og eierskap
Strategi · Policyer · Mål · Ansvarsdeling
Hvorfor
Nivå 2 – Instrukser ★ MÅ-krav · Bindende plikt
Operative instrukser knyttet til roller og ansvar – hjertet i IS-modellen™
Nivå 3 – Gjennomføring og støtte
Prosedyrer · Veiledninger · Maler · Sjekklister
BØR/KAN
Daglig drift – første linje etterlever instruksene
Ansatte og ledere utfører arbeidet i samsvar med virksomhetens styringssystem
Internkontrollprosessen
Risikovurdering
Identifiser risiko
Analyser konsekvens
Sannsynlighet
Tiltak og prioritering
Dokumentasjon
IK-forskriften § 5
Overvåking og kontroll
Kontrollaktiviteter
Tilsyn og verifikasjoner
Ledelsesgjennomgang
Internrevisjon
Indikatorer og målinger
Andre linje – støttefunksjoner
Avviksbehandling AvvikStandard™
Skille avvik vs. fravik
Klassifiser 🟢🟡🔴⚫
MTO-rotårsaksanalyse
A-B-C tiltak
1-3-6 effektmåling
v2.0 – syv faser
Varsling
AML kap. 2A · Oppfølging
HMS og arbeidsmiljø
Systematisk HMS-arbeid
Ekstern revisjon
Tredje linje · Uavhengig vurdering
↑ Kontinuerlig forbedring – avvik gir ny kunnskap til neste risikovurdering ↑
Kontinuerlig forbedring av styringssystemet
Funn fra internkontroll mater oppdatering av instrukser og risikovurderinger – sløyfen lukker seg
Styrets tilsynsansvar – aksjeloven §§ 6-12, 6-13
Styret påser at hele systemet er operativt, etterprøvbart og bevisbart – men er ikke selv en kontrollinje
© 2026 Internkontroll AS · IS-modellen™ · AvvikStandard™ · Styringsportalen™ · internkontrollportalen.no

Helhetlig styringsmodell – fra krav til kontinuerlig forbedring

IS-modellen™ – instruksjonsbasert virksomhetsstyring · Internkontroll AS

Hva dekker dokumentet?

  • Hvorfor IS-modellen™
  • Hva er en instruks?
  • Aksjeloven som premiss
  • Trelagsstrukturen (1-2-3)
  • Instruksjonsfilteret™ (5-stegs)
  • Ufravikelighetsprinsippet
  • Etterlevelse og arbeidsavtalen
  • Trelinjeperspektivet
  • Strategisk verdi for styret
  • Implementeringsmodenhet
  • Sammenligning med ISO/COSO
  • ESG og åpenhetsloven
  • Sammenheng med AvvikStandard™

Søsterhetsmodell

AvvikStandard™
AvvikStandard™ Helhetlig avviksstyring (v2.0)

IS-modellen™ etablerer styring; AvvikStandard™ oppdager og lærer av brudd. Sammen utgjør de Internkontroll AS' kjerneramme.

Innhold

Støtteverktøy

Relaterte fagsider

Widget F

Trenger du rådgivning?

Vi hjelper deg med virksomhetsstyring, internkontroll, HMS og GDPR.

Ta kontakt med oss →
Skroll til toppen