Er internkontroll bare HMS?

Nei. HMS-internkontroll etter Internkontrollforskriften er kun én dimensjon. Det primære grunnlaget er aksjeloven § 6-12 om forsvarlig organisering og tilsyn. I tillegg har særlover som hvitvaskingsloven, finansforetaksloven, sikkerhetsloven, GDPR og åpenhetsloven egne internkontrollkrav.

Hva sier aksjeloven § 6-12 om internkontroll?

Bestemmelsen pålegger styret å sørge for forsvarlig organisering, holde seg orientert om økonomisk stilling, påse at virksomheten, regnskap og formuesforvaltning er gjenstand for betryggende kontroll, og føre tilsyn med daglig leder. Dette er det primære rettslige grunnlaget for internkontroll i norske aksjeselskaper.

Hva er forskjellen på internkontroll og HMS?

HMS er ett av flere områder som krever internkontroll. Internkontrollforskriften regulerer kun den HMS-spesifikke delen. Internkontrollen som helhet omfatter også økonomi, GDPR, antikorrupsjon, kvalitet, sikkerhet og bransjespesifikke krav. Internkontroll er paraplyen, HMS er ett av flere felt under den.

Hvilke fem elementer består internkontrollen av?

Etter Internkontrollforskriften § 5: kunnskap om gjeldende krav, kompetente arbeidstakere, mål for arbeidet, kartlegging og risikovurdering, og systematisk overvåking. COSO-rammeverket har parallell struktur: kontrollmiljø, risikovurdering, kontrollaktiviteter, informasjon og kommunikasjon, og overvåking.

Hvilket ansvar har styret for internkontrollen?

Styret har det overordnede ansvaret etter aksjeloven § 6-12. Dette ansvaret kan ikke delegeres bort. Brudd kan utløse personlig erstatningsansvar etter § 17-1. Styret skal påse at virksomheten har et internkontrollsystem tilpasset virksomhetens art, omfang og risikobilde.

Hva er IS-modellen og hvordan henger den sammen med internkontroll?

IS-modellen er Internkontroll AS sin instruksjonsbaserte tilnærming. Den tar utgangspunkt i at virksomheter ikke styres gjennom intensjoner, men gjennom bindende instrukser. Modellen bruker et femstegs instruksjonsfilter for å gjøre alle krav operative som konkrete instrukser ansatte er rettslig forpliktet til å følge.

Hvordan henger internkontroll og avviksbehandling sammen?

Avviksbehandling er den reaktive siden av internkontrollen. AvvikStandard er Internkontroll AS sin modell: den skiller mellom avvik, fravik, hendelser, nesten-uhell og observasjoner, og håndterer hver kategori gjennom syv faser fra eksponering til hub-basert læring.

Hva er de vanligste fallgruvene i internkontrollarbeidet?

De seks vanligste: HMS-perm som hele systemet, policyer uten instrukser, standardsystem uten tilpasning, mangelfull dokumentasjon, avviksbehandling som rituale, og ledelsens gjennomgang som formalia. Hver undergraver internkontrollens reelle virkning.

Hvordan beskytter god internkontroll mot styreansvar?

Et velfungerende system flytter vurderingen ved tilsyn fra 'har dere tenkt på dette?' til 'kan dere vise at dette ble gjort?'. Når styret kan dokumentere identifisering, instruksjonsfesting, opplæring og oppfølging, har styret langt på vei oppfylt § 6-12 – og redusert risikoen for personlig erstatning etter § 17-1.

Internkontroll – Aksjelovens krav til forsvarlig organisering og tilsyn

Q: Hva er PDCA-syklusen?

PDCA er et prinsipp for kontinuerlig forbedring: Plan, Do, Check og Act. Det er innbakt i Internkontrollforskriften, ISO 9001 og IS-modellen. Sikrer at internkontrollen er en kontinuerlig syklus, ikke en engangshandling.

Q: Trenger en liten virksomhet internkontroll?

Ja. Aksjeloven § 6-12 gjelder ALLE aksjeselskaper. Også et lite selskap må ha et internkontrollsystem som tilfredsstiller kravet om forsvarlig organisering. Internkontrollen skal være tilpasset virksomhetens art, omfang og risikobilde.

Q: Hva er forskjellen på internkontroll, egenkontroll og revisjon?

Internkontroll er virksomhetens systematiske arbeid. Egenkontroll er konkrete aktiviteter innenfor internkontrollen. Revisjon er en uavhengig vurdering av om internkontrollen fungerer som forutsatt. Internkontroll er paraplyen, egenkontroll er en aktivitet, revisjon er verifikasjon.

Mer enn HMS – det helhetlige systemet for styringsmessig kontroll over drift, risiko og etterlevelse

Forfattere: Svein Roar Holt & Maria Zahlsen – Internkontroll AS | Sist oppdatert: mai 2026 | Juridisk forankring: Aksjeloven §§ 6-12, 6-13, 17-1, Internkontrollforskriften §§ 4-5, AML §§ 2-1, 3-1, hvitvaskingsloven § 8, finansforetaksloven § 13-5, sikkerhetsloven § 4-1, GDPR art. 24

Nøkkelfakta om internkontroll

Aksjeloven § 6-12 – det primære rettslige grunnlaget for internkontroll i alle aksjeselskap
Internkontroll ≠ HMS – HMS-internkontroll etter forskriften er kun én av flere dimensjoner
Særlovgivning – hvitvaskingsloven, finansforetaksloven, sikkerhetsloven og GDPR har egne internkontrollkrav
Styrets ansvar – kan ikke delegeres bort. Brudd kan utløse personlig erstatningsansvar etter § 17-1
IS-modellen™ – Internkontroll AS' instruksjonsbaserte modell gjør kravene operative

Kort fortalt for ledere og styremedlemmer

Internkontroll er ikke det samme som HMS. Det er en utbredt misforståelse i norske virksomheter at internkontroll handler primært om Internkontrollforskriften av 1996. Men forskriften regulerer kun den HMS-spesifikke delen av virksomhetens internkontroll. Den primære kilden til kravet om internkontroll er aksjeloven § 6-12, som pålegger styret å sørge for forsvarlig organisering av virksomheten.

I tillegg har en rekke særlover egne internkontrollkrav: hvitvaskingsloven, finansforetaksloven, sikkerhetsloven, GDPR, åpenhetsloven og bransjespesifikk lovgivning. Et velfungerende internkontrollsystem må håndtere alle disse lagene samtidig. IS-modellen™ er Internkontroll AS' metode for å gjøre dette systematisk.

Internkontroll er det systematiske arbeidet en virksomhet utfører for å sikre at drift, risiko og etterlevelse er under kontroll – og at det kan dokumenteres at det er det. Det er en grunnleggende styringsfunksjon som alle virksomheter må ha, men som ofte misforstås som et HMS-tema alene.

I denne pillaren forklarer vi internkontrollens fulle juridiske og styringsmessige bredde: fra aksjelovens overordnede krav om forsvarlig organisering, gjennom Internkontrollforskriftens HMS-spesifikke regler, til særlovgivningens bransjekrav. Vi viser også hvordan IS-modellen™ og AvvikStandard™ sammen utgjør Internkontroll AS' helhetlige tilnærming.

1. Hva er internkontroll?

Internkontroll kan defineres som virksomhetens systematiske arbeid for å sikre forsvarlig drift, etterlevelse av krav og styring av risiko. Det handler om å organisere driften slik at virksomheten med rimelig sikkerhet når sine mål, overholder lover og forskrifter, og kan dokumentere at det gjøres.

Internkontroll har fire grunnleggende kjennetegn:

Systematisk – ikke tilfeldig, men strukturert og planmessig
Forebyggende – orientert mot å unngå feil og avvik før de oppstår
Etterprøvbart – dokumentert slik at det kan vurderes utenfra
Integrert – en del av den daglige driften, ikke et parallelt system

Internkontroll er ikke en "ting" i seg selv – det er måten en virksomhet organiserer seg på for å holde kontroll over det den gjør. Et godt internkontrollsystem er nesten usynlig fordi det er innbakt i hvordan arbeidet utføres.

2. Den utbredte misforståelsen: «Internkontroll = HMS»

⚠ En misforståelse som koster virksomheter dyrt

Mange tror at «internkontroll» er et HMS-begrep, og at Internkontrollforskriften av 1996 er den primære kilden til kravet. Dette er feil – og misforståelsen er kostbar.

Internkontrollforskriften regulerer kun HMS-internkontroll. Den er én av flere kilder til virksomhetens samlede internkontrollplikt, men den er ikke den primære. Virksomheter som lar HMS-permen være eneste «internkontrollsystem», dekker bare en liten del av sine plikter.

Misforståelsen oppstår fordi Internkontrollforskriften ble innført i 1996 som en velkjent norsk forskrift, og fordi mange HMS-rådgivere fokuserer kun på dette regelverket. Men aksjeloven, hvitvaskingsloven, sikkerhetsloven, GDPR og en rekke andre lover har sine egne, langt videre internkontrollkrav.

Resultatet er at mange virksomheter har et godt HMS-system, men mangelfullt internkontrollsystem på områder som GDPR, økonomi, kontraktsstyring, antikorrupsjon og bærekraft.

3. Aksjeloven § 6-12 – det primære grunnlaget

For alle aksjeselskaper i Norge er aksjeloven § 6-12 det primære rettslige grunnlaget for kravet om internkontroll. Bestemmelsen pålegger styret å sørge for «forsvarlig organisering av virksomheten» og at det føres «nødvendig tilsyn» med virksomhetens drift.

Dette innebærer i praksis at styret skal:

Holde seg orientert om selskapets økonomiske stilling
Påse at virksomheten, regnskap og formuesforvaltning er gjenstand for betryggende kontroll
Sørge for forsvarlig organisering av virksomheten
Føre tilsyn med daglig leder og selskapets virksomhet for øvrig

Brudd på § 6-12 kan utløse personlig erstatningsansvar for styremedlemmer etter aksjeloven § 17-1. I praksis betyr dette at dersom virksomheten lider tap som følge av at styret ikke har sørget for forsvarlig organisering eller tilsyn, kan styremedlemmer holdes personlig ansvarlige.

Sentralt poeng Aksjelovens § 6-12 gjelder ALLE aksjeselskaper, uavhengig av størrelse, bransje eller om virksomheten har ansatte. Selv et lite selskap med kun styre og daglig leder må ha et internkontrollsystem som tilfredsstiller kravet om forsvarlig organisering og tilsyn.

Aksjelovens krav er rammepreget – loven sier ikke nøyaktig hvordan internkontrollen skal utformes, men hva den skal oppnå. Det er virksomhetens ansvar å etablere et system som er tilpasset virksomhetens art, omfang og risikobilde. Dette er nettopp det IS-modellen™ er konstruert for å løse.

4. Internkontrollforskriften – HMS-spesifikk plikt

Internkontrollforskriften av 6. desember 1996 regulerer den HMS-spesifikke delen av internkontrollen. Den hjemles i en rekke HMS-lover (arbeidsmiljøloven, brann- og eksplosjonsvernloven, forurensningsloven, m.fl.) og pålegger virksomheten å etablere et systematisk arbeid for å sikre at HMS-kravene etterleves.

Forskriftens § 5 fastsetter de fem grunnleggende elementene i HMS-internkontrollen:

Sørge for at lover og forskrifter er kjent

Virksomheten skal ha oversikt over hvilke krav som gjelder for sin drift, og sørge for at de relevante kravene er kjent for ansatte og ledelse.

Sørge for at arbeidstakerne har tilstrekkelige kunnskaper

Ansatte skal ha den kompetansen som kreves for å utføre arbeidet forsvarlig, og kunne medvirke i HMS-arbeidet, jf. arbeidstakers medvirkningsplikt.

Fastsette mål for HMS-arbeidet

Virksomheten skal ha klare mål for HMS-arbeidet, dokumentert skriftlig og forankret i ledelsen.

Kartlegge farer og problemer, vurdere risiko og utarbeide planer og tiltak

Systematisk risikokartlegging og -vurdering, med konkrete planer for å redusere risiko der den er uakseptabel.

Foreta systematisk overvåking og gjennomgang av internkontrollen

Internkontrollen må selv være underlagt systematisk overvåking gjennom ledelsens gjennomgang, internrevisjon og kontinuerlig forbedring.

Forskriften understreker at internkontrollen skal være tilpasset virksomhetens art, aktiviteter, risikoforhold og størrelse – det er ikke en standardløsning som passer alle.

5. Særlovers krav til internkontroll

Utover aksjeloven og Internkontrollforskriften har en rekke særlover egne, ofte detaljerte, krav til internkontroll. Disse må håndteres parallelt med de generelle kravene:

Lov / Forskrift	Hva det krever	Hvem det gjelder
Aksjeloven § 6-12	Forsvarlig organisering og tilsyn	Alle aksjeselskaper
Internkontrollforskriften	Systematisk HMS-internkontroll	Virksomheter med HMS-pliktig aktivitet
Hvitvaskingsloven § 8	Risikobasert tilnærming og rutiner mot hvitvasking	Rapporteringspliktige (banker, revisorer, eiendomsmeglere mfl.)
Finansforetaksloven § 13-5	Effektivt risikostyrings- og internkontrollsystem	Banker, forsikringsforetak, kredittforetak
Sikkerhetsloven § 4-1	Sikkerhetsstyring av nasjonale sikkerhetsverdier	Virksomheter med samfunnskritisk virksomhet
GDPR art. 24 og 32	Tekniske og organisatoriske tiltak for personvern	Alle som behandler personopplysninger
Åpenhetsloven §§ 4-5	Aktsomhetsvurderinger og redegjørelse	Virksomheter med 50+ ansatte og over visse omsetningsmål
Bokføringsloven § 4	Forsvarlig bokføring og dokumentasjon	Bokføringspliktige
Konkurranseloven §§ 10-11	Compliance-program mot konkurransekrenkelser	Alle virksomheter (særlig markedsledere)

For mange virksomheter gjelder flere av disse lovene samtidig. Kompleksiteten i regelverkslandskapet er en hovedgrunn til at internkontroll bør være instruksjonsbasert – fordi bare et instruksbasert system kan håndtere kravene fra mange lover på en samlet måte. Dette er nøyaktig kjernen i IS-modellen™.

6. Internkontrollens fem kjerneelementer

Uavhengig av hvilket regelverk som er kilden, har et godt internkontrollsystem fem grunnleggende elementer som henger sammen. Disse fem elementene gjenspeiles i COSO-rammeverket internasjonalt, og er også synlige i Internkontrollforskriften § 5:

Kontrollmiljø – «tone from the top», kultur, etiske retningslinjer, organisasjonsstruktur og kompetanse
Risikovurdering – systematisk identifisering, analyse og prioritering av risiko, jf. kartlegging av risiko
Kontrollaktiviteter – konkrete tiltak (instrukser, sperringer, godkjenningsrutiner) som reduserer risiko
Informasjon og kommunikasjon – tilstrekkelig informasjonsflyt opp, ned og på tvers i organisasjonen
Overvåking og forbedring – systematisk gjennomgang, avviksbehandling og kontinuerlig forbedring

Disse fem elementene er ikke uavhengige – de bygger på hverandre. Et svakt kontrollmiljø undergraver alle de andre. En grundig risikovurdering uten kontrollaktiviteter er bare papirarbeid. Kontrollaktiviteter uten overvåking blir ikke kontinuerlig forbedret.

7. PDCA-syklusen – kontinuerlig forbedring

Internkontroll er ikke en engangshandling, men en kontinuerlig syklus. Det internasjonalt anerkjente PDCA-prinsippet (Plan-Do-Check-Act) er innbakt i både Internkontrollforskriften, ISO 9001 og IS-modellen™:

Plan

Identifiser krav, vurder risiko, fastsett mål, lag instrukser

Implementer instrukser, opplæring, daglig drift i tråd med planen

Check

Overvåk, mål, rapporter avvik, gjennomgå ledelsens vurderinger

Act

Implementer korrigerende tiltak, oppdater instrukser, forbedring

I AvvikStandard™ er PDCA-prinsippet operasjonalisert gjennom de syv fasene fra eksponering til hub-basert læring. Sammen sikrer IS-modellen™ og AvvikStandard™ at PDCA-syklusen ikke bare er en idé, men en praktisk virkelighet.

8. IS-modellen™ – fra lovkrav til operativ handling

IS-modellen™ er Internkontroll AS' instruksjonsbaserte tilnærming til internkontroll. Modellen tar utgangspunkt i at virksomheter ikke styres gjennom intensjoner eller dokumentmengder, men gjennom bindende instrukser som ansatte er rettslig forpliktet til å følge gjennom arbeidsavtalen og styringsretten.

IS-modellen™ håndterer regelverkskompleksiteten gjennom et femstegs instruksjonsfilter:

Identifisering – krav avdekkes fra alle relevante kilder (aksjeloven, IK-forskriften, særlovgivning, virksomhetsbeslutninger)
Risikovurdering – kravets relevans for virksomhetens drift vurderes
Beslutning – styre/ledelse beslutter at kravet skal gjelde og prioriteres
Instruksjonsfesting – kravet skrives som konkret, bindende instruks
Operasjonalisering – tildeling, opplæring og oppfølging

Resultatet er at alle krav, fra alle kilder, behandles i én sammenhengende metodisk ramme. Dette er hva som gjør internkontrollsystemet etterprøvbart og bevisbart overfor tilsyn, revisjon eller rettslig vurdering.

9. AvvikStandard™ – avvik som læringsmekanisme

AvvikStandard™ er Internkontroll AS' helhetlige modell for avviksstyring. Den dekker reaksjonssiden av internkontrollen – det som skjer når noe går galt, eller når noen bevisst og autorisert avviker fra fastsatte instrukser.

Modellen skiller mellom fem distinkte kategorier:

Avvik – utilsiktede brudd på lov eller intern instruks (systemsvikt)
Fravik – tilsiktede, autoriserte unntak fra instrukser eller myndighetskrav
Hendelse – uønsket situasjon uten normbrudd
Nesten-uhell – situasjoner som kunne ført til skade ved minimal endring
Observasjon – forbedringspunkter uten normbrudd

AvvikStandard™ håndterer hver kategori riktig, gjennom syv faser fra eksponering til hub-basert læring. Læringen mater tilbake i IS-modellen™ – sløyfen lukker seg.

Sammenhengen mellom modellene

IS-modellen™ etablerer styring gjennom instrukser. AvvikStandard™ håndterer brudd og fravik fra instrukser. Sammen utgjør de en komplett ramme for virksomhetens internkontroll – fra forebyggende styring til reaktiv læring.

10. Internkontroll vs. egenkontroll vs. revisjon

Tre relaterte begreper blandes ofte. Det er viktig å skille:

Internkontroll

Det systematiske arbeidet virksomheten selv gjør for å sikre forsvarlig drift, etterlevelse og risikohåndtering.

Kontinuerlig · System

Egenkontroll

Konkret aktivitet hvor virksomheten kontrollerer eget arbeid mot fastsatte krav. En komponent i internkontrollen.

Aktivitet · Komponent

Revisjon

Uavhengig vurdering, internt eller eksternt, av om internkontrollen fungerer som forutsatt. Tredje linje i forsvar.

Verifikasjon · Uavhengig

Internkontroll er paraplyen. Egenkontroll er en aktivitet innenfor internkontrollen. Revisjon er en uavhengig vurdering av om internkontrollen fungerer.

11. Roller og ansvar i internkontrollen

Internkontroll fungerer ikke uten tydelig ansvarsfordeling. De sentrale rollene er:

Styret – overordnet ansvar for forsvarlig organisering og tilsyn (asl. § 6-12)
Virksomhetsledelsen – operativt ansvar for daglig drift og implementering (asl. § 6-14)
Internkontrollansvarlig – fagressurs for systematisk arbeid og koordinering
Arbeidstakerne – medvirkningsplikt og etterlevelse i daglig arbeid (AML § 2-3)
Verneombud – ansattes representant i HMS-saker
Arbeidsmiljøutvalg – formelt forum for HMS-saker i større virksomheter
Bedriftshelsetjenesten – ekstern fagstøtte i HMS-spørsmål

12. Verdiskaping for interessegrupper

Internkontroll er ikke kun lovpålagt arbeid – det skaper reell verdi for alle interessenter:

For eierne

Et robust internkontrollsystem reduserer risikoen for økonomisk tap, omdømmekriser og juridiske problemer. Det øker virksomhetens verdi, gir tryggere investering og bidrar til langsiktig bærekraft. Ved due diligence-prosesser er kvaliteten på internkontrollen ofte avgjørende for verdsettelsen.

For styret

Internkontrollarbeidet er styrets viktigste virkemiddel for å oppfylle sin lovpålagte plikt etter aksjeloven § 6-12. Et velfungerende system beskytter styremedlemmene mot personlig erstatningsansvar etter § 17-1, og gir trygghet i beslutninger som tas på grunnlag av god styringsinformasjon.

For virksomhetsledelsen

Klare instrukser og strukturerte rapporteringslinjer gjør det lettere å lede. Ledelsen kan fokusere på strategi og utvikling fremfor å slukke branner. Avviksinformasjon gir læring som forbedrer driften kontinuerlig.

For ansatte

Klare instrukser gir trygghet og forutsigbarhet i arbeidshverdagen. Ansatte vet hva som forventes, hvordan oppgaver skal utføres, og at de blir hørt når de melder fra om avvik. Et godt internkontrollsystem skaper psykologisk trygghet.

For eksterne interessenter

Kunder, leverandører, myndigheter og samfunnet får trygghet for at virksomheten opererer forsvarlig. Dette er særlig viktig i bransjer med høy regulatorisk eksponering, eller hvor virksomheten er underlagt åpenhetsloven og bærekraftsrapportering.

13. Vanlige fallgruver

Ut fra erfaring med rådgivning til hundrevis av norske virksomheter, ser vi gjentakende fallgruver:

HMS-perm som «internkontrollsystem» Mange tror at en HMS-perm dekker hele internkontrollkravet. Den dekker kun HMS-internkontrollen – ikke aksjelovens, GDPR's eller særlovgivningens krav.

Policyer uten instrukser Policyer beskriver hva virksomheten ønsker, men er ikke bindende handlingsregler. Uten konkrete, instruksjonsfestede krav blir internkontrollen ikke operativ.

Systemet er ikke tilpasset størrelse og risiko Et standardsystem kjøpt fra hyllen passer sjelden. Internkontrollen skal være tilpasset virksomhetens art, omfang og risikobilde, jf. både aksjeloven og IK-forskriften.

Mangel på dokumentasjon Dersom det ikke er dokumentert, har det «ikke skjedd» fra et tilsynsperspektiv. Dette gjelder særlig styreprotokoller, ledelsens gjennomgang og oppfølging av avvik.

Avviksbehandling som rituale Avvik registreres, men det skjer ingen reell rotårsaksanalyse, og tiltakene er ofte påminnelser (C-tiltak) i stedet for systemiske endringer (A-tiltak).

Ledelsens gjennomgang som formalia Møtet holdes fordi det skal holdes, men det er ingen reell vurdering av systemets virkemåte. Styret får rapporter de ikke leser kritisk.

14. Strategisk verdi og styrets bevisposisjon

Et velfungerende internkontrollsystem er ikke kun et juridisk verneapparat – det er strategisk infrastruktur. Det gir styret og ledelsen bevisbar etterlevelse overfor tilsyn, revisjon og rettslig vurdering.

Når en tilsynsleder spør «Kan dere vise hvordan dere har instruert og fulgt opp dette?», er det det instruksjonsbaserte internkontrollsystemet som gir svaret. Vurderingen flyttes fra «har dere tenkt på dette?» til «kan dere vise at dette ble gjort?».

For styret betyr dette en konkret reduksjon av personlig erstatningsrisiko etter aksjeloven § 17-1. For virksomheten betyr det redusert sårbarhet ved sanksjoner, omdømmekriser og rettstvister.

Strategisk konklusjon Internkontroll er ikke et nødvendig onde – det er virksomhetens viktigste forsvarsverk mot tilfeldighet, svikt og rettslig eksponering. Investering i godt internkontrollsystem gir avkastning gjennom redusert risiko, økt produktivitet og styrket markedsposisjon.

Avsluttende vurdering

Internkontroll er fundamentet for forsvarlig virksomhetsstyring i alle aksjeselskaper. Det er ikke et HMS-tema alene – det er styrets primære verktøy for å oppfylle aksjelovens krav om forsvarlig organisering og tilsyn.

Internkontroll AS har gjennom IS-modellen™ og AvvikStandard™ utviklet en helhetlig metodikk som håndterer regelverkskompleksiteten i moderne virksomheter, fra aksjeloven og Internkontrollforskriften til særlovgivningens krav. Vår tilnærming gjør internkontrollen operativ, etterprøvbar og bevisbar – og dermed strategisk verdifull, ikke bare lovpålagt.

Ofte stilte spørsmål om internkontroll

Er internkontroll bare HMS?: Nei, det er en utbredt misforståelse. HMS-internkontroll etter Internkontrollforskriften er kun én dimensjon. Det primære grunnlaget for internkontroll i alle aksjeselskap er aksjeloven § 6-12 om forsvarlig organisering og tilsyn. I tillegg har særlover som hvitvaskingsloven, finansforetaksloven, sikkerhetsloven, GDPR og åpenhetsloven egne internkontrollkrav.
Hva sier aksjeloven § 6-12 om internkontroll?: Aksjeloven § 6-12 pålegger styret å sørge for forsvarlig organisering av virksomheten, holde seg orientert om økonomisk stilling, påse at virksomheten, regnskap og formuesforvaltning er gjenstand for betryggende kontroll, og føre nødvendig tilsyn med daglig leder og selskapets virksomhet. Dette er det primære rettslige grunnlaget for internkontroll i norske aksjeselskaper.
Hva er forskjellen på internkontroll og HMS?: HMS (helse, miljø og sikkerhet) er ett av flere områder som krever internkontroll. Internkontrollforskriften regulerer den HMS-spesifikke delen, men internkontrollen som helhet omfatter også økonomi, GDPR, antikorrupsjon, kvalitet, sikkerhet, åpenhetsloven og bransjespesifikke krav. Internkontroll er paraplyen, HMS er ett av flere felt under den.
Hvilke fem elementer består internkontrollen av?: Etter Internkontrollforskriften § 5 består HMS-internkontrollen av fem elementer: kunnskap om gjeldende krav, kompetente arbeidstakere, mål for arbeidet, kartlegging og risikovurdering, og systematisk overvåking og gjennomgang. COSO-rammeverket internasjonalt har en parallell femelement-struktur: kontrollmiljø, risikovurdering, kontrollaktiviteter, informasjon og kommunikasjon, samt overvåking.
Hvilket ansvar har styret for internkontrollen?: Styret har det overordnede ansvaret etter aksjeloven § 6-12 for å sørge for forsvarlig organisering og føre tilsyn. Dette ansvaret kan ikke delegeres bort. Brudd kan utløse personlig erstatningsansvar etter § 17-1. Styret skal påse at virksomheten har et internkontrollsystem som er tilpasset virksomhetens art, omfang og risikobilde – og at systemet faktisk fungerer.
Hva er IS-modellen™ og hvordan henger den sammen med internkontroll?: IS-modellen™ er Internkontroll AS' instruksjonsbaserte tilnærming til internkontroll. Modellen tar utgangspunkt i at virksomheter ikke styres gjennom intensjoner, men gjennom bindende instrukser. Den bruker et femstegs instruksjonsfilter for å gjøre alle krav, uansett kilde, operative i form av konkrete instrukser som ansatte er rettslig forpliktet til å følge.
Hvordan henger internkontroll og avviksbehandling sammen?: Avviksbehandling er den reaktive siden av internkontrollen. Når noe går galt eller noen avviker fra instrukser, skal det håndteres systematisk. AvvikStandard™ er Internkontroll AS' modell for dette: den skiller mellom avvik, fravik, hendelser, nesten-uhell og observasjoner, og håndterer hver kategori riktig gjennom syv faser fra eksponering til hub-basert læring.
Hva er PDCA-syklusen?: PDCA er et internasjonalt anerkjent prinsipp for kontinuerlig forbedring: Plan (planlegg), Do (utfør), Check (kontroller) og Act (forbedre). Prinsippet er innbakt i Internkontrollforskriften, ISO 9001 og IS-modellen™. Det sikrer at internkontrollen ikke er en engangshandling, men en kontinuerlig syklus.
Trenger en liten virksomhet internkontroll?: Ja. Aksjeloven § 6-12 gjelder ALLE aksjeselskaper, uavhengig av størrelse. Også et lite selskap med kun styre og daglig leder må ha et internkontrollsystem som tilfredsstiller kravet om forsvarlig organisering og tilsyn. Internkontrollen skal imidlertid være tilpasset virksomhetens art, omfang og risikobilde – det er ingen «one size fits all».
Hva er forskjellen på internkontroll, egenkontroll og revisjon?: Internkontroll er virksomhetens systematiske arbeid for å sikre forsvarlig drift. Egenkontroll er konkrete aktiviteter innenfor internkontrollen, hvor virksomheten kontrollerer eget arbeid mot fastsatte krav. Revisjon er en uavhengig vurdering, intern eller ekstern, av om internkontrollen fungerer som forutsatt. Internkontroll er paraplyen, egenkontroll er en aktivitet under den, revisjon er ekstern verifikasjon.
Hva er de vanligste fallgruvene i internkontrollarbeidet?: De seks vanligste er: (1) HMS-perm som «internkontrollsystem», (2) policyer uten konkrete instrukser, (3) standardsystem som ikke er tilpasset virksomhetens art, (4) mangelfull dokumentasjon, (5) avviksbehandling som rituale uten reell rotårsaksanalyse, og (6) ledelsens gjennomgang som formalia uten kritisk vurdering. Hver av disse undergraver internkontrollens reelle virkning.
Hvordan beskytter god internkontroll mot styreansvar?: Et velfungerende internkontrollsystem flytter vurderingen ved tilsyn eller rettssak fra «har dere tenkt på dette?» til «kan dere vise at dette ble gjort?». Når styret kan dokumentere at krav er identifisert, gjort til konkrete instrukser, opplæring er gjennomført og etterlevelse følges opp, har styret langt på vei oppfylt sin tilsynsplikt etter aksjeloven § 6-12 – og redusert risikoen for personlig erstatningsansvar etter § 17-1.

Om forfatterne

Svein Roar Holt – grunnlegger av Internkontroll AS og skaper av IS-modellen™

Svein Roar Holt Grunnlegger – Internkontroll AS & Internkontrollportalen.no

Skaper av IS-modellen™ og AvvikStandard™. Ekspert på strategisk virksomhetsstyring, governance og instruksbasert internkontroll. Har bygget Norges ledende digitale GRC-plattform for SMB og offentlig sektor.

Om Svein Roar → LinkedIn →

Maria Zahlsen – grunnlegger av Internkontroll AS, jurist med arbeidsrett og forretningsjuss

Maria Zahlsen Grunnlegger – Internkontroll AS & Internkontrollportalen.no

Jurist med spesialisering innen arbeidsrett, kontraktsrett og forretningsjuss. Ekspert på operativ etterlevelse, HR-juss og organisatorisk risikostyring – med særlig fokus på menneskelig faktor og praktisk implementering av styringsverktøy.

Om Maria → LinkedIn →

Internkontroll – aksjelovens krav til forsvarlig organisering og tilsyn | Internkontroll AS — Internkontroll – fra aksjelovens krav til operativ kontroll | Internkontroll AS

Hva dekker denne siden?

Hva er internkontroll?
Misforståelsen "Internkontroll = HMS"
Aksjeloven § 6-12 som primært grunnlag
Internkontrollforskriften – HMS-spesifikt
Særlovers internkontrollkrav
Fem kjerneelementer + COSO
PDCA-syklusen
IS-modellen™ og AvvikStandard™
Internkontroll vs. egenkontroll vs. revisjon
Roller og ansvar
Verdiskaping for interessegrupper
Vanlige fallgruver
Strategisk verdi for styret

For: Styremedlemmer, daglige ledere, internkontrollansvarlige og rådgivere

Våre kjernemodeller

IS-modellen™
Instruksjonsbasert virksomhetsstyring (v1.0)

AvvikStandard™
Helhetlig avviksstyring (v2.0)

Undersider og fagsider

Roller og ansvar

Sentrale lovhenvisninger

Trenger din virksomhet et helhetlig internkontrollsystem?

Vi bistår med implementering av IS-modellen™ og AvvikStandard™ tilpasset virksomhetens størrelse, bransje og risikobilde – fra aksjelovens generelle krav til særlovgivningens spesifikke plikter.

KONTAKT INTERNKONTROLL AS →