Hjem › Virksomhetsstyring › Regelverk

Regelverk i virksomhetsstyring og internkontroll

Fra rettslige krav til instruksjonsbasert og etterprøvbar styring

I virksomhetsstyring og internkontrollarbeid brukes begrepet regelverk ofte uklart og upresist. I realiteten er regelverk i styringsøyemed langt mer omfattende – og langt mer normativt – enn som så. Regelverk er ikke teori eller anbefalinger, men instruksjonsgrunnlag.

Forfattere: Svein Roar Holt & Maria Zahlsen – Internkontroll AS | Sist oppdatert: april 2026 | Juridisk forankring: Aksjeloven § 6-12, Arbeidsmiljøloven, Internkontrollforskriften

Hva menes med regelverk i styringsøyemed?

Innenfor virksomhetsstyring og internkontroll må regelverk forstås som summen av alle bindende krav virksomheten er forpliktet til å etterleve, og som derfor må inngå i virksomhetens styringssystem. Dette omfatter både eksterne og interne normer, og det er først når disse instruksjonsfestes at virksomheten faktisk kan sies å være styrt.

Regelverket i styringsøyemed omfatter fire hovedkategorier:

Myndighetskrav

Lover og forskrifter som gjelder uavhengig av virksomhetens egne valg. Kan aldri velges bort.

Virksomhetskrav

Styrets og ledelsens egne normative instrukser – like bindende som myndighetskrav.

Forpliktende avtaler

Kontrakter, forsikringsvilkår og leieavtaler som pålegger bindende plikter.

Bindende beste praksis

Standarder og beste praksis som virksomheten har besluttet å gjøre bindende.

Aksjeloven – plikten til virksomhetsstyring og internkontroll

Utgangspunktet for all virksomhetsstyring er aksjeloven. Aksjeloven pålegger styret å sørge for forsvarlig organisering av virksomheten, forsvarlig forvaltning av selskapets verdier og forsvarlig håndtering av risiko.

Disse pliktene forutsetter at styret etablerer et styringssystem som gir oversikt over hvilke krav virksomheten er underlagt, hvordan kravene er instruksjonsfestet, hvordan etterlevelse følges opp, og hvordan styringen kan dokumenteres og etterprøves. Internkontrollarbeid er dermed ikke et frivillig tillegg, men en nødvendig konsekvens av aksjelovens styringsplikt.

Myndighetskrav – det ufravikelige minimum

Myndighetskrav utgjør den ufravikelige delen av regelverket. Disse kravene gjelder uavhengig av virksomhetens egne valg, og kan aldri velges bort. For de fleste virksomheter omfatter dette:

Arbeidsmiljøloven – krav til fullt forsvarlig arbeidsmiljø, systematisk HMS-arbeid, risikovurdering, medvirkning og opplæring
Internkontrollforskriften – krav til systematisk styring av helse, miljø og sikkerhet
Ferieloven – regler om ferie, feriepenger og arbeidstakers rettigheter
Regnskaps- og bokføringslovgivning – krav til dokumentasjon, sporbarhet og korrekt rapportering
Personvernregelverket (GDPR) – krav til behandling av personopplysninger, informasjonssikkerhet og internkontroll
Diskriminerings- og likestillingslovgivning – krav til likebehandling, forebygging og aktivitetsplikt
Sektor- og bransjelovgivning – avhengig av virksomhetens art og risiko

Virksomhetskrav – styrets og ledelsens egne instrukser

I tillegg til myndighetskrav fastsetter styre og ledelse egne krav for virksomheten. Disse virksomhetskravene er ikke frivillige, men normative instrukser fastsatt innenfor styringsretten. De kan bestå av interne policyer og styringsbeslutninger, krav til kvalitet og sikkerhet, organisatoriske instrukser og ansvarsfordeling, samt interne kontroll- og rapporteringsinstrukser.

Når virksomhetskrav er besluttet, er de en del av virksomhetens regelverk og skal etterleves på lik linje med eksterne krav. De gir virksomheten anledning til å gå ut over lovens minimum der risiko, strategi eller verdigrunnlag tilsier det.

Forpliktende avtaler som del av regelverket

Regelverket omfatter også avtaler som pålegger virksomheten bindende plikter – kundekontrakter, leverandøravtaler, offentlige kontrakter, forsikringsvilkår og leieavtaler. Manglende etterlevelse kan medføre alvorlige konsekvenser, eksempelvis bortfall av forsikringsdekning eller kontraktsrettslige sanksjoner. I styringsøyemed er dette regelverk som må instruksjonsfestes og følges opp.

Beste praksis – når det gjøres bindende

Beste praksis og standarder er i utgangspunktet ikke rettslig bindende. De blir en del av regelverket først når virksomheten velger å gjøre dem bindende gjennom instruks. Dermed gjelder samme etterlevelseslogikk uavhengig av kravets opprinnelse:

Beste praksis → virksomhetskrav
Virksomhetskrav → instruks
Instruks → plikt til etterlevelse

Regelverk og instruksjon – fra krav til handling

Ingen krav etterleves i kraft av sin eksistens alene. Regelverk må transformeres til handling. I IS-modellen™ kaller vi denne transformasjonen Instruksjons-filteret – prosessen der råmateriale fra regelverket omformes til kjørbare, forståelige og etterprøvbare instrukser.

Instruksjons-filteret sikrer at:

Krav vurderes i virksomhetens kontekst
Krav gis riktig instruksjonsnivå
Ansvar plasseres tydelig
Etterlevelse kan kontrolleres

Før instruksjon foreligger det ikke styring, bare informasjon.

IS-matrisen – fra oppslagsverk til styringsmotor

For å håndtere regelverk på en enkel, effektiv og hensiktsmessig måte har vi etablert en omfattende database – IS-matrisen™. I IS-matrisen har vi registrert om lag 1 700 lover og forskrifter, strukturert etter tema, bransje og risikoområde.

Matrisen er utviklet for å hjelpe virksomheter med å identifisere hvilke myndighetskrav som gjelder, strukturere kravene som del av eget regelverk, koble krav til virksomhetskrav og instrukser, og sikre helhetlig og konsistent styring. IS-matrisen™ er ikke et statisk arkiv, men en dynamisk motor som varsler ved endringer i regelverket og sikrer at virksomhetens instrukser til enhver tid er harmonisert med siste revisjon av lov- og forskriftskrav.

Regelverket utgjør fundamentet for virksomhetens drift. IS-modellen™ og IS-matrisen™ er virksomhetens digitale ryggrad – her kobles krav til ansvar, regelverk blir til instruks, og teori blir til dokumentert etterlevelse som tåler ansvar, kontroll og bevis.

Trenger du hjelp med regelverket?

Vi identifiserer hvilke krav som gjelder din virksomhet og gjør dem operative gjennom instrukser.

KONTAKT INTERNKONTROLL AS

Om forfatterne

Svein Roar Holt – grunnlegger av Internkontroll AS og skaper av IS-modellen™

Svein Roar Holt Grunnlegger – Internkontroll AS & Internkontrollportalen.no

Skaper av IS-modellen™ og AvvikStandard™. Ekspert på strategisk virksomhetsstyring, governance og instruksbasert internkontroll. Har bygget Norges ledende digitale GRC-plattform for SMB og offentlig sektor.

Om Svein Roar → LinkedIn →

Maria Zahlsen – grunnlegger av Internkontroll AS, jurist med arbeidsrett og forretningsjuss

Maria Zahlsen Grunnlegger – Internkontroll AS & Internkontrollportalen.no

Jurist med spesialisering innen arbeidsrett, kontraktsrett og forretningsjuss. Ekspert på operativ etterlevelse, HR-juss og organisatorisk risikostyring – med særlig fokus på menneskelig faktor og praktisk implementering av styringsverktøy.

Om Maria → LinkedIn →

Regelverk i virksomhetsstyring – myndighetskrav og instruksbasert etterlevelse | Internkontroll AS

Regelverk i virksomhetsstyring – fra krav til handling | Internkontroll AS

Hva dekker denne siden?

Hva regelverk betyr i styringsøyemed
De 4 kategoriene: myndighetskrav, virksomhetskrav, avtaler og beste praksis
Aksjelovens styringsplikt og internkontroll
IS-matrisen™ – 1 700 lover og forskrifter
Instruksjons-filteret – fra krav til handling

For: Styremedlemmer, daglige ledere og internkontrollansvarlige

Våre kjernemodeller

IS-modellen™ – instruksbasert virksomhetsstyring | Internkontroll AS

IS-modellen™ Instruksbasert styring

AvvikStandard™ – helhetlig modell for avviksstyring | Internkontroll AS

AvvikStandard™ Helhetlig avviksstyring

Relaterte fagsider

Virksomhetsstyring Helhetlig strategisk styring – overordnet rammeverk Styringssystem Bygg et komplett styringssystem med instrukser Internkontroll Det operative kontroll-laget i styringssystemet Styreansvar Styrets lovpålagte ansvar etter aksjeloven § 6-12 IS-modellen™ Fra lovkrav til operative instrukser → Alle 30 verktøy i Styringsportalen™ Norges ledende digitale GRC-plattform for SMB

Ofte stilte spørsmål

Er interne styrevedtak en del av regelverket?

Ja. Når styret fatter vedtak som fastsetter bindende krav, blir disse en del av virksomhetens regelverk og skal instruksionsfestes på lik linje med myndighetskrav.

Hva skjer hvis en instruks strider mot et lovkrav?

Instruksen er ugyldig. I IS-modellen™ er lovkrav alltid minimum. Instruksjons-filteret sikrer at dette avdekkes før instruksen tas i bruk.

Er beste praksis alltid en del av regelverket?

Nei. Beste praksis blir først regelverk når virksomheten velger å gjøre den bindende gjennom instruks. Før det er den kun veiledende.

Hva er forskjellen på myndighetskrav og virksomhetskrav?

Myndighetskrav følger av lov og forskrift og gjelder ufravikelig. Virksomhetskrav er styrets og ledelsens egne normative beslutninger. Begge er like bindende når de er instruksionsfestet, men virksomheten kan aldri fastsette krav som er lavere enn lovens minimum.

Hva er IS-matrisen™?

IS-matrisen™ er en database med om lag 1 700 lover og forskrifter, strukturert etter tema, bransje og risikoområde. Den kobler myndighetskrav til instrukser i virksomhetens styringssystem.

Sentrale lovhenvisninger

Aksjeloven – Lovdata Arbeidsmiljøloven – Lovdata Internkontrollforskriften – Lovdata Personopplysningsloven (GDPR) – Lovdata Begreper og definisjoner – GRC-ordliste

© 2026 Internkontroll AS | Org.nr: 933 241 475
Innholdet på denne siden, inkludert metodikk og faglige definisjoner, er beskyttet etter åndsverkloven. Uautorisert kopiering eller kommersiell utnyttelse er forbudt.

Personvernerklæring | Kontakt oss

Trenger du rådgivning?

Vi hjelper deg med virksomhetsstyring, internkontroll, HMS og GDPR.

Ta kontakt med oss →