Styrets egenevaluering- verkøyet - Internkontrollportalen

Q: Hva bruker verktøyet data fra Styringsportalen™ til?

Dersom virksomheten har brukt andre PRO-verktøy som Universal-Avviks-Audit™ eller DPIA-Vurdering™ PRO, hentes disse resultatene automatisk inn for å sikre et helhetlig risikobilde uten dobbeltregistrering.

Q: Når bør styret gjennomføre Årsrapport-Audit™?

Minimum én gang årlig, før årsrapporten behandles. Mange velger halvårlig revisjon ved høy risiko eller høyt endringstempo. Verktøyet genererer automatisk kalenderavtaler for 3-, 6- og 12-månedersoppfølging.

Q: Er tiltaksplanen i verktøyet egnet for styrevedtak?

Ja. Tiltaksplanen er sortert etter prioritet, knyttet til COSO-dimensjonene og klar til å legges frem som beslutningsunderlag med felt for ansvarlig person og frist.

Q: Kan revisjonen gjenopptas dersom den ikke fullføres?

Ja. Verktøyet lagrer all progresjon automatisk og tilbyr Fortsett revisjonen-banner ved gjenbesøk. Dette gjør det mulig å jobbe i flere økter uten å miste data. Ved fullføring slettes autosave-dataene automatisk.

Tilgang begrenset

Dette verktøyet er kun tilgjengelig på internkontrollportalen.no og tilknyttede domener.

Metodisk avgrensning: Årsrapport-Audit™ PRO v3.2 er et beslutningsstøtteverktøy for styrets internkontrollvurdering basert på COSO 2013, Aksjeloven §§ 6-12/6-13 og NUES. Verktøyet erstatter ikke juridisk rådgivning eller ekstern revisjon. Juridisk disclaimer: Resultatene er veiledende og kan ikke alene legges til grunn for juridiske beslutninger. Kontakt kvalifisert rådgiver for bindende vurderinger.

Om dette verktøyet. Dette er styrets formelle egenevaluering av internkontrollen. Du vurderer virksomheten mot COSO-rammeverkets fem dimensjoner pluss ESG/lovkrav, forankret i aksjeloven §§ 6-12 og 6-13. Verktøyet beregner en styringsscore, varsler om kritiske mangler, og produserer ferdig styreprotokoll, tiltaksplan og lovdekningsmatrise klar for styremøtet.
Har dere kjørt Verktøy 1 (Etterlevelse-Monitor) først, fylles virksomhetsdata og funn automatisk inn der de hører hjemme – kontroller registreringen i Steg 0, og se notater på de berørte kontrollpunktene.

Autosaves løpende · Årsrapport-Audit PRO v3.2

Fyll inn alle obligatoriske felt før du går videre.

Steg 0 – Virksomhetsregistrering

Grunndata om virksomheten og regnskapsåret som vurderes.

Grunndata om virksomheten og regnskapsåret. Er Verktøy 1 (Etterlevelse-Monitor) kjørt, er flere felt allerede fylt ut – kontroller at de stemmer, og fyll inn det som mangler.

Virksomhetsnavn *

Obligatorisk felt

Organisasjonsnummer

Daglig leder *

Obligatorisk felt

Styreleder *

Obligatorisk felt

Revisjonsleder / Intern revisor

Regnskapsår *

Obligatorisk felt

Selskapstype *

Obligatorisk felt

Antall ansatte

Omsetning

Dato for revisjon

Steg 1 – COSO 1: Kontrollmiljø

Tonen fra toppen – instrukser, fullmakter og styringsstruktur.

Fundamentet: styreinstruks, fullmakter, roller, kompetanse og styrets sammensetning. Her vurderes om rammene rundt internkontrollen er på plass.

Er styreinstruks og daglig leders instruks etablert som gjennomførings- og kvalitetssikringsinstrukser – og revidert siste 12 måneder?4p

Aksjeloven § 6-23 · IS-modellen™ – instruksbasert virksomhetsstyring

Er fullmaktsmatriser for økonomi og HR etablert og godkjent av styret?4p

Aksjeloven § 6-12 · NUES pkt. 10

Er rolleinstrukser for HMS-ansvarlig og personvernansvarlig (DPO) etablert?3p

Arbeidsmiljøloven § 3-1 · GDPR Art. 37-39

Er det samsvar mellom ressurser og lovpålagte forpliktelser?3p

Aksjeloven § 6-12 · Alminnelig forsvarlighetskrav

Er kompetansematrise for kritiske funksjoner etablert og oppdatert?3p

NUES · Arbeidsmiljøloven § 3-2

Er styresammensetningen tilfredsstillende mht. uavhengighet og kompetanse?3p

Aksjeloven § 6-1 · NUES pkt. 8

Har styret fastsatt planer og budsjetter for virksomheten i nødvendig utstrekning?3p

Aksjeloven § 6-12 (2)

Steg 2 – COSO 2: Risikovurdering og overvåking

Data hentes automatisk fra Styringsportalen der tilgjengelig.

Om virksomheten systematisk identifiserer og håndterer risiko. Her hentes funn fra avvikssystem, DPIA og Verktøy 1 inn automatisk som notat på de relevante punktene – styret gjør likevel sin egen vurdering.

Er strategisk risikovurdering gjennomført og presentert for styret?4p

Aksjeloven § 6-12 · ISO 31000

Status på åpne avvik fra avvikssystemet5p

Internkontrollforskriften § 5 · Universal-Avviks-Audit™ (SPHub)

VETO 2: Kritiske åpne avvik blokkerer konklusjon om betryggende kontroll iht. Aksjeloven § 6-13 per revisjonstidspunktet.

Potensielle sanksjoner: Styreansvar etter aksjeloven § 17-1. Tilsynsorgan kan pålegge stansing eller bøter.

Er 1-3-6 måneders verifiseringskontroller gjennomført som planlagt?3p

IS-modellen™ · Internkontrollforskriften § 5

Er styrets risikotoleranse (akseptabel risiko) definert og kommunisert til ledelsen?3p

COSO 2013 – Risk Appetite · NUES pkt. 10

Status på DPIA – personvernkonsekvensutredninger5p

GDPR Art. 35-36 · Art. 5(2) (SPHub)

VETO 1 – GDPR ART. 36: Datatilsynet MÅ konsulteres. Styret kan ikke erklære betryggende kontroll per revisjonstidspunktet.

Potensielle sanksjoner: Bøter inntil 4% av global årsomsetning (GDPR Art. 83). Datatilsynet kan pålegge behandlingsstopp.

Er revisor-dialog dokumentert og merknader håndtert?3p

Revisorloven · Aksjeloven § 7-1

VETO 4: Vesentlige revisor-merknader blokkerer konklusjon per revisjonstidspunktet.

Potensielle sanksjoner: Styreansvar etter aksjeloven § 17-1. Revisor kan ta forbehold i revisjonsberetningen.

Steg 3 – COSO 3: Kontrollaktiviteter

Operasjonelle kontroller som sikrer at ledelsens direktiver gjennomføres.

De konkrete kontrollene: godkjenningsinstrukser, arbeidsdeling, tilgangsstyring, sikkerhetskopiering og fysisk sikring.

Er godkjenningsinstrukser og attestasjonsregler etablert for utgifter og kontrakter?4p

Aksjeloven § 6-12 · NRS

Er segregering av oppgaver ivaretatt i økonomi- og regnskapsfunksjonen?3p

COSO 2013

Er tilgangskontroll til IT-systemer og sensitive data implementert?3p

GDPR Art. 32 · NSM grunnprinsipper

Er det etablert instrukser for sikkerhetskopiering og gjenoppretting?3p

GDPR Art. 32 · Internkontrollforskriften § 5

Er det etablert instrukser for fysisk sikring av verdier og arkiv?2p

Regnskapsloven § 2-7 · Bokføringsloven § 13

Steg 4 – COSO 4: Informasjon og kommunikasjon

Sikrer at relevant informasjon kommuniseres til rett person til rett tid.

Rapporteringslinjer fra daglig leder til styret, varslingssystem, behandling av mottatte varsler og at instrukser er tilgjengelige.

Er rapporteringslinjer fra daglig leder til styre klart definert?3p

Aksjeloven § 6-15 · NUES pkt. 9

Er det etablert et varslingssystem (whistleblower-kanal) for ansatte?3p

Arbeidsmiljøloven 2A

LOVPLIKT: Virksomheter med 5+ ansatte er pliktige til intern varslingskanal iht. Arbeidsmiljøloven 2A.

Potensielle sanksjoner: Arbeidstilsynet kan pålegge retting og ilegge tvangsmulkt inntil 15G per uke (aml. § 18-10).

Er mottatte varsler behandlet rettmessig – undersøkt innen rimelig tid, med forsvarlig arbeidsmiljø for varsler og vern mot gjengjeldelse?3p

Arbeidsmiljøloven 2A

Dokumenterer styrereferatene forsvarlig beslutningsgrunnlag?3p

Aksjeloven § 6-29 · NUES pkt. 9

Er instrukser gjort tilgjengelige for relevante ansatte?2p

Internkontrollforskriften § 5 · Arbeidsmiljøloven § 3-1

Steg 5 – COSO 5: Overvåking og kontinuerlig forbedring

Aksjeloven § 6-13 – løpende evaluering av internkontrollens effektivitet.

Om kontrollen følges opp over tid: internrevisjon, oppfølging av tiltak, årlig HMS-gjennomgang og styrets løpende tilsyn med daglig leder.

Er det gjennomført internrevisjon eller ekstern gjennomgang av internkontrollen?4p

NUES pkt. 14 · Aksjeloven § 6-13

Er tiltakspunkter fra forrige årsrevisjon og styrevedtak fulgt opp?5p

Aksjeloven § 6-12 · COSO løpende overvåking

Er HMS-arbeidet evaluert og oppdatert iht. internkontrollforskriften § 5 – lovpålagt årlig gjennomgang?4p

Internkontrollforskriften § 5 · Arbeidsmiljøloven § 3-1

VETO 5 – MANGLENDE LOVPÅLAGT HMS-GJENNOMGANG: Internkontrollforskriften § 5 krever årlig evaluering av HMS-arbeidet. Styret kan ikke erklære betryggende kontroll per revisjonstidspunktet.

Potensielle sanksjoner: Arbeidstilsynet kan ilegge overtredelsesgebyr (aml. § 18-10) og stanse virksomheten (aml. § 18-8). Styreansvar kan utløses.

Er neste planlagte revisjonsgjennomgang datofestet og tildelt ansvarlig?2p

God styringspraksis · NUES

Fører styret aktivt og dokumentert tilsyn med daglig ledelse og virksomheten for øvrig?4p

Aksjeloven § 6-13 (1)

Steg 6 – ESG og lovpålagte særkrav

Kontrollpunkter aktiveres basert på selskapstype og størrelse fra steg 0.

Bærekraft og særlovgivning: sykefravær, åpenhetsloven, samfunnsansvar og klimarisiko. Flere punkter er betingede og vises bare når de er relevante for virksomheten.

Er sykefraværsoppfølging iht. arbeidsmiljøloven gjennomført og dokumentert?3p

Arbeidsmiljøloven § 4-6 · Folketrygdloven § 8-7a

Påkrevd ved 10+ ansatte

Er lønnskartlegging gjennomført iht. likestillings- og diskrimineringsloven?2p

Likestillings- og diskrimineringsloven § 26a

Åpenhetsloven – aktivert for din virksomhet

Er aktsomhetsvurdering iht. Åpenhetsloven gjennomført og publisert?4p

Åpenhetsloven § 4 · § 5 (frist 30. juni)

VETO 3 – ÅPENHETSLOVEN: Virksomheten er rapporteringspliktig men har ikke gjennomført aktsomhetsvurdering.

Potensielle sanksjoner: Forbrukertilsynet kan ilegge overtredelsesgebyr (åpenhetsloven § 14) og tvangsmulkt inntil 10% av global omsetning.

Åpenhetsloven – aktivert for din virksomhet

Er instrukser for informasjonskrav fra offentligheten etablert?2p

Åpenhetsloven § 6 (svarfrist 3 uker)

Påkrevd ved 50+ ansatte

Er redegjørelse for samfunnsansvar inkludert i årsberetningen (§ 3-3a)?3p

Regnskapsloven § 3-3a

Er klimarisiko og bærekraft vurdert i virksomhetens risikovurdering?2p

TCFD-anbefalinger · Kommende CSRD-krav

Steg 7 – Konklusjon og rapport

Aggregert score per COSO-dimensjon, VETO-status, lovdekning og tre rapportdokumenter.

Her kvalitetssikrer styret vurderingen og kan beskrive sine viktigste bekymringer for kommende år. Disse feltene tas med i den ferdige protokollen.

Kvalitetssikring av revisjonen: Er denne årsrapport-revisjonen utført i tråd med virksomhetens kvalitetssikringsinstruks for rapportering?QA

IS-modellen™ – kvalitetssikringsinstruks · God revisjonspraksis

Styrets hovedbekymringer for kommende år (fritekst)Kontekst

Tilleggsinfo til revisjonsprotokollen – styrker dokumentasjon av faktisk styrearbeid

Slik leses resultatet. Hvert kontrollpunkt vektes etter hvor tungt det veier, og summen gir en styringsscore i prosent. Men score alene avgjør ikke konklusjonen: enkelte punkter er VETO-punkter. Er et VETO-vilkår ikke oppfylt, kan styret ikke erklære betryggende kontroll – uansett hvor høy prosenten ellers er. VETO-punktene speiler selskapets størrelse og art, slik at mindre virksomheter ikke straffes for krav som ikke gjelder dem.

-Beregner...

⛔ VETO AKTIVERT – Betryggende kontroll kan ikke erklæres per revisjonstidspunktet

Resultatet består av fire deler: styreprotokoll (med konklusjon, vedtak og signaturfelt), tiltaksplan (prioriterte gap), lovdekningsmatrise (status mot hver lovplikt) og revisjonslogg. Alt kan skrives ut eller lagres som PDF og legges direkte i styresaken. Notater og bekymringer dere skriver inn følger med i utskriften.

Styreprotokoll

Lovdekning

Tiltaksplan

Revisjonslogg

Svein Roar Holt

Grunnlegger av Internkontroll AS og arkitekt bak IS-modellen™. Ekspert på strategisk virksomhetsstyring, styrets tilsynsansvar og instruksbasert internkontroll.

Se profil →

Maria Zahlsen

Medgründer av Internkontroll AS. Ekspert på HMS, kvalitetssikring og systematisk internkontroll – med særlig fokus på praktisk etterlevelse av internkontrollforskriften og Arbeidsmiljøloven.

Se profil →

Styrets årsrapport om internkontroll – juridiske plikter i 2026

Styret har etter aksjeloven §§ 6-12 og 6-13 plikt til å sikre betryggende forvaltning og kontroll. I Norge forventes det at styrets vurdering bygger på anerkjente rammeverk som COSO, ISO 31000, NUES og Arbeidsmiljølovens krav til systematisk HMS. Årsrapport-Audit™ PRO v3.2 automatiserer disse kravene ved å strukturere vurderingen etter COSOs fem komponenter, avdekke VETO-forhold, måle styringsscore og generere en komplett styreprotokoll som dokumenterer forsvarlig tilsynspraksis.

Ofte stilte spørsmål om Årsrapport-Audit™ PRO v3.2

Hva er formålet med Årsrapport-Audit™ PRO?

Verktøyet gjør det mulig for styret å dokumentere betryggende kontroll på en juridisk korrekt, strukturert og revisjonssikker måte. Det bygger på COSO, aksjeloven §§ 6-12/6-13, NUES og ISO 31000, og genererer en fullverdig årsrapport inkludert styreprotokoll, tiltaksplan og revisjonsspor.

Hva betyr "VETO" i revisjonsprosessen?

VETO utløses når lovpålagte krav ikke er oppfylt, slik at styret ikke kan erklære betryggende kontroll per revisjonstidspunktet. Typiske VETO-punkter er: kritiske åpne avvik, høyrisiko-DPIA (GDPR art. 36), manglende varslingssystem (aml. 2A), manglende HMS-gjennomgang (Internkontrollforskriften § 5) eller manglende aktsomhetsvurdering etter Åpenhetsloven. Verktøyet blokkerer automatisk grønn status og viser potensielle sanksjoner for hvert VETO-punkt.

Hvordan beregnes styringsscoren (0–100%)?

Scoren beregnes ved vekting av alle kontrollpunkter innen COSOs fem dimensjoner: Kontrollmiljø, Risikovurdering, Kontrollaktiviteter, Informasjon & Kommunikasjon og Overvåking. Hver KPI har en vekt (2–5 poeng) og vurderes som "Ja", "Delvis" eller "Nei". VETO overstyrer alltid score – et VETO-forhold blokkerer grønn status uavhengig av total prosentscore.

Kan styret bruke rapporten som offisiell dokumentasjon?

Ja. Årsrapport-Audit™ PRO genererer en komplett styreprotokoll med juridisk hjemmel, vurderinger, VETO-status, konklusjon, vedtakstekst og revisjonsspor (Audit Trail med unik rapport-ID og tidsstempel). Rapporten kan legges direkte ved som styredokument, revisjonsdokumentasjon eller i protokollarkivet.

Hvorfor er verktøyet basert på COSO-rammeverket?

COSO er verdens mest brukte rammeverk for internkontroll og det eksplisitt anbefalte grunnlaget for god virksomhetsstyring i Europa. Strukturen gir styret en internasjonalt anerkjent metodikk for å måle modenhet og identifisere svakheter i kontrollmiljøet. Verktøyet skiller mellom etterlevelse (formelle krav oppfylt) og robusthet (systemet tåler feil, press og personavhengighet).

Hva bruker verktøyet data fra Styringsportalen™ til?

Dersom virksomheten har brukt andre PRO-verktøy (f.eks. Universal-Avviks-Audit™ eller DPIA-Vurdering™ PRO), hentes disse resultatene automatisk inn for å sikre et helhetlig risikobilde. Dette gir styret en samlet vurdering uten ekstra arbeid og eliminerer dobbeltregistrering.

Når bør styret gjennomføre Årsrapport-Audit™?

Minimum én gang årlig, før årsrapporten behandles. Mange virksomheter velger også en halvårlig versjon for å sikre kontinuerlig overvåking av kontrollmiljøet – særlig ved høy risiko eller høyt endringstempo. Verktøyet genererer automatisk kalenderavtaler for 3-, 6- og 12-månedersoppfølging.

Hva betyr det når scoren havner i "gul sone"?

Gul sone (65–84%) betyr at virksomheten har grunnleggende etterlevelse, men at systemets robusthet ikke er fullt ut tilfredsstillende. Styret bør be om tiltak for å tette identifiserte svakheter. Verktøyet genererer automatisk en prioritert tiltaksplan som kan vedtas i styremøtet.

Er tiltaksplanen i verktøyet egnet for styrevedtak?

Ja. Tiltaksplanen er sortert etter prioritet (høy/middels), knyttet til COSO-dimensjonene og klar til å legges frem som beslutningsunderlag. Den inneholder felt for ansvarlig person og frist, slik styret enkelt kan fatte vedtak direkte i møtet.

Kan revisjonen gjenopptas dersom den ikke fullføres?

Ja. Verktøyet lagrer all progresjon automatisk (autosave med nøkkel aa_autosave_v30) og tilbyr "Fortsett revisjonen"-banner ved gjenbesøk. Dette gjør det mulig å jobbe i flere økter uten å miste data. Ved fullføring slettes autosave-dataene og resultatet overføres til Styringsportalen™-hubben.