Hva er internkontrollforskriften? En grundig guide til regelverket og hvordan du implementerer det i virksomheten

Innen norsk lovverk er det mange uttrykk som kan virke tekniske og abstrakte. Dette gjelder spesielt ordningen rundt internkontroll og den såkalte internkontrollforskriften. I praksis handler dette om å få businessen til å gå riktig og trygt ved å sikre at lover og regler følges, at risikoer håndteres, og at det er mulig å dokumentere og gjenbruke kontrollen. Denne artikkelen tar deg i dybden gjennom hva internkontrollforskriften er, hvem som er omfattet, og hvordan man konkret kan bygge og drifte et velfungerende internkontrollsystem som tilfredsstiller kravene. Vi bruker også varianter av uttrykket hva er internkontrollforskriften for å ivareta god SEO og synlighet i søk.

Hva er internkontrollforskriften?

Hva er internkontrollforskriften? Kort sagt er dette forskrift som pålegger virksomheter å etablere og vedlikeholde et systematisk rammeverk for helse, miljø og sikkerhet (HMS), samt andre relevante områder som brannvern, forurensning og kvalitet, avhengig av virksomhetens art. Forskriftens formål er å sikre at virksomheten driver ansvarlig, følger gjeldende lover og regler, og har gode rutiner for å identifisere, vurdere og behandle risikoer.

Ordet internkontroll kommer av to hovedaspekter: en systematisk tilnærming til å identifisere lovpålagte krav og en intern kultur for å handle i samsvar med disse kravene. Forskriftens spissfindighet ligger i at den ikke bare er et sett med dokumenter, men et levende system som må fungere i praksis. Dette betyr at ledelse, verneorganisasjon og alle ansatte må være involvert i å utvikle, implementere og forbedre kontrollen. I tillegg er dokumentasjon og oppfølging essensielt: det må være synlig hva som er gjort, hvorfor det ble gjort, og hva som gjenstår.

En ofte brukt formulering av hva er internkontrollforskriften i praksis, er at det er regelverket som krever systematisk arbeid med å sikre overholdelse av relevante lover, forskrifter og standarder gjennom målbare prosesser og tydelige ansvarsforhold.

Hvem gjelder internkontrollforskriften for?

Hvem gjelder forskriften for? Kort sagt gjelder den alle virksomheter som har plikt til internkontroll ifølge Arbeidsmiljøloven og tilhørende forskrifter. Dette inkluderer små og mellomstore bedrifter så vel som store organisasjoner, og strekker seg over de fleste bransjer: industri, bygg og anlegg, tjenesteyting, handel, offentlig sektor og ideelle organisasjoner. Det er likevel praktiske variasjoner i hvordan kravene tas ut i praksis, avhengig av virksomhetens risiko og kompleksitet.

Det er viktig å merke seg at behovet for internkontroll noen ganger må tilpasses spesifikke forhold, som for eksempel kjemikalier, farlige stoffer, arbeidsforhold med høy risiko eller produkter og tjenester som har særlige krav. Selv om kravene i utgangspunktet gjelder bredt, kan det være nødvendig å definere tiltak som er skreddersydde for bransjen eller virksomhetens særegne forhold.

Hva er kravene i internkontrollforskriften?

De konkrete kravene i internkontrollforskriften omfatter flere elementer som tilsammen utgjør kjernen i et velfungerende internkontrollsystem:

• Ledelsesforankring: Øverste ledelse må vise at internkontroll er prioritert og integrert i virksomhetens strategi og daglige drift. Dette innebærer tydelige mål, ansvar og ressurser.
• Organisering og ansvar: Fastsett roller og ansvarsområder, inkludert verneombud, HMS-ansvarlig, og andre relevante funksjoner, slik at oppgaver blir klart fordelt og fulgt opp.
• Risikostyring og vurdering: Systematisk identifisering av risikoer knyttet til helse, miljø og sikkerhet, miljøpåvirkning, og eventuell annen relevant risiko. Gjennomføring av vurderinger og prioritering av tiltak basert på sannsynlighet og konsekvens.
• Rutiner og prosedyrer: Dokumenterte rutiner for arbeid som påvirker HSE og andre områder. Rutiner skal være forståelige, tilgjengelige og oppdaterte.
• Opplæring og kompetanse: Tilrettelegge opplæring slik at ansatte har nødvendig kunnskap og ferdigheter til å følge rutinene og respondere på hendelser.
• Dokumentasjon og registrering: Beholde dokumentasjon som viser at kravene oppfylles. Dette inkluderer planen for internkontroll, prosesser, risikovurderinger, avvik, korrigerende tiltak og gjennomføring av oppfølging.
• Avvik, korrigerende tiltak og dokumentasjon: System for å fange opp avvik, analysere årsaker og iverksette tiltak som forebygger gjentagelse, samt oppfølging av tiltakene.
• Overvåking og revisjon: Jevnlig evaluering av internkontrollsystemet for å sikre at det fungerer som tiltenkt og at det oppfyller endrede krav og forhold.
• Forbedring: Kontinuerlig forbedring basert på erfaringer, nye regler og endrede forhold i virksomheten.

Det er viktig å forstå at kravene ikke er statiske; de må tilpasses virksomhetens risikobilde og legitimate behov. Slettes regelverkene og veiledningene utvikler seg over tid, må også internkontrollsystemet justeres og vedlikeholdes for å forbli effektivt.

Hvordan bygger du et effektivt internkontrollsystem?

Å etablere et robust internkontrollsystem er ofte den mest utfordrende, men mest givende delen av arbeidet. Her er en praktisk, trinnvis veiledning som hjelper deg å komme i gang og bygge et varig rammeverk for hva er internkontrollforskriften i praksis hos din virksomhet.

Trinn 1: Forstå risikoene og fastsett mål

Start med å kartlegge hvilke lover og forskrifter som gjelder for din virksomhet, og hvilke risikoer de ulike kravene adresserer. Sett klare mål for hva du ønsker å oppnå med internkontrollsystemet, for eksempel færre ulykker, bedre dokumentasjon eller høyere kompetansenivå blant ansatte.

Trinn 2: Utpek ansvar og bygg organisasjonen

Definer hvem som har ansvar for hva. Dette inkluderer ledelsesansvar, operativt ansvar, og roller som verneombud eller HMS-ansvarlig. Sørg for at det finnes en tydelig kommunikasjonskanal og at alle ansatte vet hvor de skal henvende seg ved spørsmål eller avvik.

Trinn 3: Utarbeid rutiner og dokumentasjon

Utvikle dokumenterte rutiner som dekker de identifiserte risikoene. Dette inkluderer risikovurderinger, sikkerhetsrutiner, opplæringsprogrammer, og avviksbehandling. Dokumentasjonen må være lett tilgjengelig, forståelig og oppdatert. Konfigurer en enkel struktur for dokumentasjon, slik at den er søkbar og gjenbrukbar.

Trinn 4: Opplæring og kompetanseutvikling

Planlegg og gjennomfør opplæring som dekker alle relevante temaer. Dette bør ikke være engangsarrangementer, men en del av en kontinuerlig kompetanseutvikling som følger endringer i regelverket, prosessene og organisasjonen.

Trinn 5: Gjennomføring og registrering

Implementer rutinene i daglig drift og sørg for at alle handlinger blir registrert i samsvar med kravene i internkontrollforskriften. Dette innebærer også registrering av avvik og tiltak, slik at man bygger en sporbar historie som kan brukes i evalueringer og revisjoner.

Trinn 6: Overvåking, evaluering og forbedring

Etter implementering må systemet overvåkes. Gjennomfør periodiske evalueringer, og juster tiltak og rutiner etter behov. Bruk erfaringene til kontinuerlig forbedring og tilpasning til endrede forhold i virksomheten og lovverket.

Risiko og avvikshåndtering under internkontrollforskriften

Et solid fokusområde i hva er internkontrollforskriften, er hvordan man håndterer risiko og avvik. God risikostyring hjelper virksomheten med å prioritere ressurser og sikre at de mest alvorlige risikoene får oppmerksomhet.

Risikovurdering

Risikostyring innebærer å identifisere mulige hendelser som kan ha negativ effekt på helse, miljø eller sikkerhet, samt andre relevante områder for virksomheten. Deretter vurderer man sannsynlighet og konsekvens, og prioriterer tiltak basert på dette. Dokumentasjonen av risikovurderingene må være tilgjengelig og kunne revideres ved behov.

Avvik og korrigerende tiltak

Når avvik oppstår, må det iverksettes korrigerende tiltak og forebyggende tiltak. Det innebærer å analysere årsakene, beslutte implementerte tiltak og følge opp effekt. En tydelig avviksprosess er essensiell for å forhindre gjentakelse og for at læring skjer i organisasjonen.

Dokumentasjon og sporbarhet

Dokumentasjonen i en internkontrollprosess er selve kjernen i hva er internkontrollforskriften. Uansett størrelse på virksomheten, bør den ha en dokumentasjon som viser at prosesser opprettholdes, at risikoer vurderes, og at tiltak iverksettes og evalueres. Noen viktige dokumentasjonsområder er:

• Plan for internkontroll og målsettinger
• Risikovurderinger og prioriterte tiltak
• Opplæringsplaner og gjennomføringsbevis
• Rutiner og prosedyrer for HSE og andre relevante områder
• Avviksrapporter og korrigerende tiltak
• Periodiske evalueringer og revisjonsrapporter

Implementering i ulike virksomhetstyper

Alle bransjer kan ha nytte av et solid internkontrollsystem, men hvordan man implementerer oppgavene kan variere. Her er noen praktiske tilpasninger for vanlige virksomhetstyper:

Produksjon og industri

I produksjon særlig fokus på farlige arbeidsoperasjoner, maskinsikkerhet, miljøpåvirkning og avfallshåndtering. Dokumentasjon knyttet til risiko og vedlikehold er ofte omfattende.

Bygg og anlegg

Arbeidsmiljøet på byggplassene er ofte preget av midlertidige forhold og varierende arbeidere. Det krever effektive rutiner for opplæring, verneutstyr, utsjekk av arbeidstillatelser og systemer for å håndtere midlertidige endringer og avvik.

Tjenesteytende næringer

For tjenester er fokuset ofte på arbeidsmiljø, kundekontakt, personvern og kvalitet. Rutiner for opplæring, arbeidsprosesser og kundeadministrasjon er sentrale elementer.

Offentlig sektor og ideelle organisasjoner

Offentlig sektor har ofte strengere krav til dokumentasjon og åpenhet. Her er det viktig med tydelige retningslinjer, rapportering, og sikker håndtering av data og personvern.

Slik kommer du i gang: en praktisk sjekkliste

En enkel sjekkliste kan bidra til å se hva som allerede er på plass og hva som mangler. Bruk denne som utgangspunkt og tilpass til din virksomhet:

1. Kartlegg gjeldende lovverk og krav som gjelder for din bransje.
2. Definer mål og overordnede ansvarsområder i ledelsen.
3. Gjør en første risikovurdering og prioriter tiltak.
4. Utarbeid eller oppdater rutiner og prosedyrer.
5. Utvikle en opplæringsplan og gjennomfør nødvendig opplæring.
6. Implementer dokumentasjon og registreringsrutiner.
7. Innfør avvikshåndtering og korrigerende tiltak.
8. Planlegg regelmessige evalueringer og revisjoner av internkontrollsystemet.

Vanlige spørsmål om Hva er internkontrollforskriften

Hva innebærer internkontrollforskriften i praksis for små bedrifter?

For små bedrifter betyr dette ofte en tilrettelagt tilnærming hvor man fokuserer på de mest kritiske risikoområdene, og hvor dokumentasjonen blir enklere, men likevel tydelig og tilgjengelig. Gjennom tydelige rutiner og en forankret lederforankring kan små virksomheter oppnå god kontroll og overholdelse uten unødig byråkrati.

Er internkontrollforskriften bare om HMS?

Selve kjernen er HMS, men forskriften kan også dekke andre områder som miljø, kvalitet og beredskap, avhengig av virksomhetens art og risiko. Det er viktig å kartlegge hvilke områder som er relevante for din virksomhet og sikre at de er integrert i internkontrollsystemet.

Hvor ofte bør internkontrollsystemet revurderes?

Evalueringer og oppdateringer bør gjøres regelmessig, og spesielt ved store endringer i virksomheten, regelverket eller når det skjer hendelser som gir ny innsikt. En årlig gjennomgang er ofte et fornuftig minimum, men hyppigere oppdateringer kan være nødvendige i høyrisiko-bransjer.

Hva skjer hvis en virksomhet ikke overholder kravene?

Brudd på internkontrollforskriften kan medføre sanksjoner, gebyrer eller pålegg om å rette opp forholdene. Utover lovpålagte konsekvenser kan manglende internkontroll også føre til økt risiko for ulykker, skader og negative konsekvenser for omdømme og kunder.

Hvordan kombinerer jeg internkontroll med andre styringssystemer?

Det er ofte fruktbart å integrere internkontroll med andre ledelsessystemer som kvalitetsstyring, miljøledelse eller informasjonsikkerhet. Dette kan skape synergier og redusere duplisering av arbeid, samtidig som det gir en helhetlig tilnærming til organisasjonens risiko og måloppnåelse.

Oppsummering: Hva er internkontrollforskriften og hvorfor er den viktig?

Hva er internkontrollforskriften i essens? Det er et rammeverk som gjør virksomheter i stand til å styre risikoer og overholde lover og regler på en systematisk og dokumentert måte. Forskriften betyr at ledelse må ta ansvar, at det utvikles klare rutiner, og at alle ansatte forstår sin rolle i å opprettholde sikkerhet, helse, miljø og kvalitet. Dessuten skaper det en kultur for kontinuerlig forbedring, der erfaringer fra avvik og hendelser brukes til å styrke virksomhetens drift og beskytte ansatte, kunder og samfunnet for øvrig.

Å lykkes med hva er internkontrollforskriften handler om kombinasjonen av forpliktende rammeverk og en praktisk, menneskelig tilnærming. Med riktig fokus på dokumentasjon, risikostyring og kontinuerlig forbedring, blir internkontroll ikke bare en regel å forholde seg til, men et konkurransefortrinn som bidrar til tryggere arbeid og mer bærekraftig vekst.