Internkontroll og dokumentasjon

Internkontrollforskriften – Alt din bedrift trenger å vite

Full oversikt: Slik mestrer du Internkontrollforskriften

For mange bedriftsledere kan ordet "Internkontrollforskriften" virke både tørt og overveldende. Det fremkaller bilder av tykke permer, byråkrati og endeløse sjekklister. Men hva om vi fortalte deg at denne forskriften egentlig er en av dine viktigste verktøykasser for å bygge en trygg, effektiv og lønnsom virksomhet? Å forstå og implementere systematisk HMS-arbeid er ikke bare en lovpålagt plikt – det er en investering i dine ansatte, ditt omdømme og din bunnlinje. I dette blogginnlegget bryter vi ned alt du trenger å vite om internkontroll, fra de juridiske kravene til praktisk implementering i din arbeidshverdag.

Hva er Internkontrollforskriften og systematisk HMS-arbeid?

La oss starte med det grunnleggende. Det formelle navnet er "Forskrift om systematisk helse-, miljø- og sikkerhetsarbeid i virksomheter", men den er universelt kjent som Internkontrollforskriften. Kjernen i forskriften er kravet om at alle virksomheter skal jobbe systematisk med helse, miljø og sikkerhet (HMS). Dette betyr at man skal gå fra en reaktiv tilnærming, der man kun reagerer når ulykker eller skader oppstår, til en proaktiv tilnærming der man aktivt jobber for å forhindre at de skjer i utgangspunktet.

Systematisk HMS-arbeid er altså en kontinuerlig prosess, ikke en engangshendelse. Det handler om å bygge en struktur og en kultur i bedriften hvor HMS er en integrert del av den daglige driften. Målet er å skape et fullt forsvarlig arbeidsmiljø, forebygge helseskader, verne det ytre miljø mot forurensning og sikre at virksomheten opererer i tråd med gjeldende lover og regler.

Dette innebærer å:

  • Ha klare mål for HMS-arbeidet.
  • Kjenne til hvilke farer og risikoforhold som finnes i virksomheten.
  • Ha en plan for å håndtere og redusere denne risikoen.
  • Sørge for at alle ansatte har nødvendig opplæring og kunnskap.
  • Ha rutiner for å avdekke og rette opp feil og mangler.
  • Regelmessig gjennomgå og forbedre systemet.

Et velfungerende internkontrollsystem gir forutsigbarhet, reduserer kostnader knyttet til sykefravær og ulykker, og styrker bedriftens konkurranseevne. Det er fundamentet for alt annet HMS-arbeid i virksomheten.

Lovkrav og Forankring i Norsk Lov: Hvem er omfattet?

Forståelsen av lovverket er essensiell for å kunne implementere internkontroll korrekt. Forskriften er ikke en isolert regel, men en sentral del av et større juridisk rammeverk som regulerer norsk arbeidsliv.

Hvem er omfattet av Internkontrollforskriften?

Svaret er enkelt og tydelig: Alle virksomheter. Forskriften § 2 slår fast at den gjelder for enhver virksomhet som er omfattet av arbeidsmiljøloven, forurensningsloven, sivilbeskyttelsesloven, eller andre relevante lover. Dette inkluderer:

  • Private aksjeselskaper (AS) og allmennaksjeselskaper (ASA)
  • Enkeltpersonforetak med ansatte
  • Offentlige etater og kommuner
  • Frivillige organisasjoner og stiftelser
  • Små håndverksbedrifter og store industrikonsern

I praksis betyr dette at så snart du har en ansatt, er du fullt ut pliktig til å ha et system for internkontroll. Selv enkeltpersonforetak uten ansatte er omfattet av deler av lovverket, selv om kravet til systematikk og dokumentasjon er mindre formelt.

Forholdet til Arbeidsmiljøloven (AML)

Internkontrollforskriften er en forskrift gitt med hjemmel i blant annet Arbeidsmiljøloven (AML). Man kan se på AML som "grunnloven" for arbeidsmiljøet, mens Internkontrollforskriften er en detaljert "bruksanvisning" for hvordan man skal oppfylle noen av de sentrale pliktene i loven. AML § 3-1 fastsetter arbeidsgivers overordnede plikt til å sørge for et fullt forsvarlig arbeidsmiljø. Internkontrollforskriften konkretiserer hva det vil si å jobbe systematisk for å oppnå dette.

Kunnskap om disse sammenhengene er avgjørende, spesielt for ledere. En leder kan ikke delegere sitt overordnede ansvar for HMS. Vårt HMS-kurs for ledere gir en grundig innføring i nettopp dette ansvaret og hvordan internkontrollsystemet er lederens viktigste verktøy for å ivareta det.

De 8 kravene i Internkontrollforskriften § 5

Selve kjernen i forskriftens krav til innhold finner vi i § 5. Denne paragrafen lister opp åtte konkrete punkter som internkontrollen må omfatte. Omfanget av dokumentasjon vil variere med virksomhetens størrelse og risiko, men selve funksjonene må være på plass.

  1. Fastsette mål for helse, miljø og sikkerhet: Virksomheten må ha klare, skriftlige mål for HMS-arbeidet. Disse målene skal være kjent i organisasjonen.
  2. Ha oversikt over virksomhetens organisasjon: Det må være tydelig definert hvordan ansvar, oppgaver og myndighet for HMS-arbeidet er fordelt. Hvem gjør hva? Hvem har ansvaret for at ting blir gjort?
  3. Kartlegge farer og problemer: Dette er kjernen i det proaktive arbeidet – risikovurderingen. Virksomheten må identifisere alle potensielle farer (f.eks. kjemikalier, støy, tunge løft, psykososiale faktorer) og vurdere risikoen for skade på mennesker eller miljø.
  4. Utarbeide planer og tiltak for å redusere risiko: Basert på kartleggingen må det lages en handlingsplan. Hvilke tiltak skal iverksettes for å fjerne eller kontrollere de identifiserte farene? Planen må være konkret med tidsfrister og ansvarlige personer.
  5. Iverksette rutiner for å avdekke, rette opp og forebygge overtredelser: Dette er systemet for avviksbehandling. Hva gjør vi når noe går galt, eller når vi oppdager en feil? Det må finnes en rutine for å melde fra, korrigere feilen og lære av den for å hindre gjentakelse.
  6. Sørge for systematisk overvåking og gjennomgang: Internkontrollen er ikke statisk. Systemet og resultatene må jevnlig sjekkes for å se om det fungerer som planlagt. Dette inkluderer vernerunder, medarbeidersamtaler og ledelsens gjennomgang.
  7. Sørge for kontroll med at lover og forskrifter etterleves: Forskriften krever at virksomheten har en rutine for å holde seg oppdatert på relevante HMS-forskrifter og sikre at disse følges.
  8. Dokumentere systemet: Alt det ovennevnte arbeidet skal kunne dokumenteres skriftlig. Dette er beviset, både internt og overfor Arbeidstilsynet, på at man jobber systematisk. Her kan en god internkontroll mal eller et digitalt system være avgjørende.

Internkontroll i Praksis: Fra Mal til Levende System

Mange starter jakten på en enkel "internkontroll mal" i håp om en rask løsning. En mal kan være et utmerket utgangspunkt, men det er avgjørende å forstå at en nedlastet fil i seg selv ikke utgjør et internkontrollsystem. Systemet må tilpasses, implementeres og "leve" i organisasjonen. Det er overgangen fra passivt dokument til aktivt verktøy som skiller de vellykkede fra de som bare oppfyller et minimumskrav på papiret.

Dokumentasjonskravet: Hva må egentlig skrives ned?

Kravet til skriftlig dokumentasjon (§ 5, punkt 8) skaper ofte usikkerhet. Hvor mye er nok? Forskriften legger opp til en risikobasert tilnærming. En liten kontorbedrift med lav risiko trenger betydelig mindre dokumentasjon enn en stor produksjonsbedrift med komplekse farer. Det som alltid må være skriftlig er:

  • HMS-mål.
  • Beskrivelse av organisasjon og ansvarsfordeling.
  • Resultatet av risikovurderinger og handlingsplaner.

Andre rutiner, som for avviksbehandling og opplæring, må også dokumenteres i et omfang som er nødvendig for å sikre at de blir fulgt. Her kommer digitale verktøy til sin rett. Et digitalt system som vårt Komplett HMS Internkontrollsystem gjør det enkelt å lagre, oppdatere og distribuere all nødvendig dokumentasjon, slik at den alltid er tilgjengelig for dem som trenger den.

Risikovurdering: Kjernen i Systematisk HMS-arbeid

Hvis du bare skal huske én ting om praktisk internkontroll, la det være risikovurdering. Dette er motoren i alt systematisk HMS-arbeid. Prosessen er logisk og kan brytes ned i fire trinn:

  1. Identifisere farer: Se på alle arbeidsoppgaver, prosesser, utstyr og stoffer. Hva kan potensielt forårsake skade? Involver de ansatte – de vet best hvor skoen trykker. Verneombudet har en nøkkelrolle her, og god opplæring er kritisk. Et 40-timers verneombudkurs gir den nødvendige kompetansen for å utføre denne oppgaven på en god måte.
  2. Analysere og vurdere risiko: For hver fare, vurder sannsynligheten for at en uønsket hendelse skjer, og konsekvensen hvis den skjer. Risiko = Sannsynlighet x Konsekvens. Dette hjelper deg å prioritere hvor du må sette inn tiltak først.
  3. Planlegge tiltak: Utvikle konkrete tiltak for å fjerne eller kontrollere risikoen. Tiltakshierarkiet bør følges: 1) Fjerne faren helt, 2) Erstatte med noe mindre farlig, 3) Tekniske tiltak (f.eks. verneskjermer), 4) Organisatoriske tiltak (f.eks. opplæring, rutiner), og 5) Personlig verneutstyr som siste utvei.
  4. Implementere og evaluere: Sett tiltakene ut i livet og sjekk at de fungerer som forventet. Er risikoen nå på et akseptabelt nivå?

Denne syklusen må gjentas jevnlig, og alltid ved endringer i virksomheten som kan påvirke risikobildet.

Hvem trenger kunnskap om internkontroll?

Kunnskap om internkontroll er ikke forbeholdt HMS-ansvarlige. For at systemet skal fungere, må kompetansen spres i organisasjonen.

  • Daglig leder og toppledelse: Har det overordnede juridiske ansvaret. De må forstå kravene for å kunne tildele ressurser, sette mål og etterspørre resultater.
  • Mellomledere og avdelingsledere: Er ansvarlige for at HMS-systemet følges i praksis i deres avdelinger. De må kunne gjennomføre risikovurderinger, følge opp avvik og sørge for at egne ansatte får nødvendig opplæring.
  • Verneombud og AMU-medlemmer: Skal ivareta arbeidstakernes interesser og påse at arbeidsgiver oppfyller sine plikter. De trenger inngående kunnskap om forskriften for å kunne utføre sin rolle effektivt.
  • Alle ansatte: Må kjenne til de rutinene og risikoforholdene som er relevante for deres egen arbeidshverdag. De har også en plikt til å medvirke, for eksempel ved å melde fra om farlige forhold og avvik.

Vårt digitale internkontrollsystem: Innhold og Fordeler

Å bygge et internkontrollsystem fra bunnen av kan være krevende. Vårt digitale system er utviklet for å gjøre denne prosessen så enkel og effektiv som mulig, samtidig som alle lovkrav oppfylles.

Kursinnhold: Hva vil du lære og få tilgang til?

Vårt system er mer enn bare et kurs; det er en komplett digital plattform. Gjennom systemet får du tilgang til:

  • En komplett malstruktur: En ferdig oppsatt digital perm som dekker alle de åtte kravene i forskriften, klar til å tilpasses din virksomhet.
  • Interaktive læringsmoduler: Lettfattelige leksjoner som forklarer lovgrunnlaget, roller og ansvar, og hvordan man utfører sentrale oppgaver som risikovurdering og avvikshåndtering.
  • Digitale verktøy: Moduler for å gjennomføre og dokumentere risikovurderinger, registrere og behandle avvik, og bygge opp et stoffkartotek.
  • HMS-årshjul: Et visuelt verktøy som hjelper deg å planlegge og huske alle årlige HMS-aktiviteter, som vernerunder, medarbeidersamtaler og revisjoner.
  • Dokumentarkiv: Et sentralt sted for å lagre all din HMS-dokumentasjon, tilgjengelig fra PC, mobil og nettbrett.

Varighet, Sertifisering og Pris

Fordelen med et nettbasert system er fleksibiliteten. Du jobber deg gjennom innholdet og bygger opp systemet i ditt eget tempo. Det er ingen fastsatt varighet. Ved gjennomføring av opplæringsdelene kan du generere et kursbevis. Dette beviset er verdifull dokumentasjon som viser at du har tilegnet deg nødvendig kunnskap om systematisk HMS-arbeid, noe som er et krav for øverste leder (AML § 3-5). Prisen for tilgang til hele det digitale internkontrollsystemet finner du på produktsiden. Se det som en lav engangsinvestering for å spare tid, sikre overholdelse av loven og bygge en tryggere arbeidsplass.

Vanlige Spørsmål om Internkontrollforskriften (FAQ)

Må jeg som driver enkeltpersonforetak ha internkontroll?

Ja, hvis du har ansatte. Da er du fullt ut omfattet av Internkontrollforskriften. Hvis du driver alene, uten ansatte, er du fortsatt underlagt lover som regulerer din bransje (f.eks. forurensningsloven eller lov om elektriske anlegg), og du må jobbe for å sikre din egen helse og sikkerhet. Kravet til et formelt, dokumentert system er derimot primært knyttet til det å ha ansatte.

Hva er egentlig forskjellen på HMS og internkontroll?

Dette er et godt spørsmål! HMS (Helse, Miljø, Sikkerhet) er fagområdet – altså hva du jobber med. Internkontroll er metoden – altså hvordan du jobber med det. Internkontrollforskriften krever at arbeidet med HMS skal være systematisk og planlagt.

Hvor mye dokumentasjon er nok?

Forskriften sier at dokumentasjonen skal tilpasses "virksomhetens art, aktiviteter, risikoforhold og størrelse". En liten frisørsalong trenger mindre dokumentasjon enn et stort skipsverft. En god tommelfingerregel er: Dokumenter det som er nødvendig for å sikre at HMS-arbeidet blir utført som planlagt, og slik at du kan bevise overfor Arbeidstilsynet at du har et fungerende system.

Hva skjer hvis man ikke følger Internkontrollforskriften?

Brudd på forskriften er brudd på loven. Arbeidstilsynet kan gi pålegg om å rette opp mangler innen en frist. Hvis pålegget ikke følges, kan de ilegge tvangsmulkt (en løpende bot). Ved alvorlige brudd kan de stanse deler av eller hele virksomheten. Ved svært alvorlige hendelser som skyldes manglende system, kan det også føre til bøter og i ytterste konsekvens straffansvar for ledelsen.

Er en gratis 'internkontroll mal' fra internett godt nok?

En mal er kun et skjelett. Den er ikke "god nok" før du har fylt den med innhold som er spesifikt for din bedrift, dine aktiviteter og din risiko. Du må også sørge for at systemet blir implementert og fulgt av de ansatte. En mal er en start, men selve jobben med å tilpasse og implementere må gjøres.

Hvordan kan et digitalt system hjelpe med internkontroll?

Et digitalt system forenkler alt. Dokumenter er alltid oppdatert og tilgjengelig for alle. Avvik kan meldes inn via mobil på stedet. Risikovurderinger kan enkelt deles og følges opp. Automatiske varsler kan minne deg på viktige frister fra HMS-årshjulet. Det reduserer papirarbeid, minimerer risikoen for feil og gjør systematisk HMS-arbeid mer effektivt og engasjerende.

Hva er et HMS-årshjul?

Et HMS-årshjul er en visuell kalender som gir en oversikt over alle faste, gjentakende HMS-aktiviteter gjennom et år. Typiske aktiviteter kan være årlige vernerunder, gjennomgang av risikovurderinger, brannøvelser, revisjon av stoffkartotek, og ledelsens gjennomgang av HMS-systemet. Det er et svært nyttig verktøy for å sikre at ingenting blir glemt i en travel hverdag.

Ta kurset hos Komplett HMS

Vårt nettbaserte kurs Internkontrollsystem tilfredsstiller lovkravet. Se kurset her →

Sist oppdatert: juni 2026 · skrevet av Komplett HMS AS — rådgivere innen HMS og internkontroll siden 2014.

Trenger bedriften din et komplett internkontrollsystem?

Vi leverer et ferdig, bransjespesifikt internkontrollsystem som oppfyller alle krav i internkontrollforskriften § 5, klart til bruk på 2–5 dager. Godkjent ved tilsyn fra Arbeidstilsynet og DiBK.

Se Internkontrollsystem — 7 990 kr →

Relaterte lovpålagte HMS-kurs

Et godt internkontrollsystem fungerer best når ansatte har gjennomført de lovpålagte kursene som forskriften refererer til:

Ofte stilte spørsmål om internkontrollforskriften

Hva er internkontrollforskriften § 5?

§ 5 lister de åtte konkrete kravene som internkontrollen skal dokumentere skriftlig — inkludert mål for HMS-arbeidet, organisering, rutiner for å avdekke avvik, risikovurdering og oppfølging.

Hvem er ansvarlig for internkontroll?

Øverste leder (daglig leder / styreleder) har det formelle ansvaret iht. internkontrollforskriften, selv om oppgaver kan delegeres.

Hva risikerer bedriften ved manglende internkontroll?

Arbeidstilsynet kan gi pålegg, tvangsmulkt (typisk fra 10 000 kr/dag) og i grove tilfeller stanse virksomheten. Forsikringsutbetaling kan også reduseres etter ulykker.

Tilbake til Blogg