Hopp til innholdet
Hjem » Krav til internkontroll for små AS

Krav til internkontroll for små AS

    Mange små aksjeselskaper møter tidlig spørsmål fra kunder og leverandører om internkontroll: Har dere rutiner? Kan dere dokumentere dem? Hvis du lurer på krav til internkontroll for små AS, handler det i praksis om å vise at virksomheten er forsvarlig organisert, at risiko er vurdert, og at dere følger noen enkle, forståelige rutiner i hverdagen.

    Hva innebærer internkontroll i et lite AS

    For et lite selskap betyr internkontroll at dere har en bevisst og dokumentert måte å styre, gjennomføre og følge opp virksomheten på. Det omfatter styring og økonomi, drift og HMS, personvern og informasjonssikkerhet, samt etikk og leverandøroppfølging. Kunder etterspør sjelden store sertifiseringer fra små AS, men de forventer å se konkrete, tilpassede rutiner – ikke bare «vi gjør så godt vi kan».

    Innhold i artikkelen vis

    Noen minstekrav følger av generelle regler selskaper må forholde seg til. Styret skal sikre forsvarlig organisering og kontroll. Har dere ansatte, forventes et systematisk HMS-arbeid. Behandler dere personopplysninger, må dere ha passende tiltak og rutiner for dette. Og økonomifunksjonen må ha grunnleggende kontroller for bokføring, betalinger og dokumentasjon. I tillegg kan enkelte bransjer ha egne krav, og enkeltkunder kan stille særskilte betingelser i kontrakter.

    Hvis virksomheten har ansatte og praktiske arbeidsmiljøforhold, vil innholdet i HMS-delen typisk ta utgangspunkt i risiko i deres arbeidshverdag. Informasjon finnes hos Arbeidstilsynet. For personvern er det normalt tilstrekkelig å vise at dere vet hvilke data dere behandler, hvorfor, og hvordan dere beskytter dem, samt at dere har avtaler på plass med eventuelle databehandlere.

    Hold internkontrollen proporsjonal: Det viktigste er at den er forståelig, brukes i praksis og oppdateres jevnlig – ikke at den er tykk.

    I mange anbudsprosesser blir «krav til internkontroll for små AS» testet gjennom enkle spørsmålsskjemaer. Med et lett og godt dokumentert opplegg vil dere kunne svare raskt og konsistent – og ofte skille dere positivt ut.

    Minimum du bør ha skriftlig

    Start med et slankt sett dokumenter som beskriver hvem som gjør hva, hvordan dere gjennomfører viktige prosesser, og hvordan dere følger opp avvik og risiko. Følgende er et praktisk minimum for mange små AS:

    • Organisering og ansvar: En side som beskriver styrets rolle, daglig leders ansvar, og hvem som har ansvar for økonomi, HMS, personvern og IT.
    • Fullmakter og attestasjon: Hvem kan bestille, attestere og godkjenne betalinger? Beløpsgrenser og krav om totrinnskontroll der det er mulig.
    • Økonomirutiner: Kort beskrivelse av fakturamottak, bokføring, avstemming, mva- og rapporteringspunkter, samt hvordan dokumentasjon lagres.
    • Innkjøp og leverandørkontroll: Hvordan velges leverandører, hvilke enkle sjekker gjøres (for eksempel registrering, skatter/avgifter ved behov), og hvordan følges kvalitet opp.
    • Salg, fakturering og kreditt: Rutine for ordrebekreftelse, levering, fakturering, purring og oppfølging av utestående.
    • HMS-basics: Kort risikovurdering av arbeidshverdagen og tiltak (opplæring, verneutstyr der relevant, rapportering av nestenulykker/avvik).
    • Personvern: Behandlingsprotokoll i enkel form (hvilke data, formål, lagring, sletterutiner), samt databehandleravtaler for skytjenester.
    • Informasjonssikkerhet: Tilgangsstyring (hvem får hva), passordkrav, tofaktor, backup/restore-test, og enkel hendelseshåndtering.
    • Avvik og forbedring: Hvordan man melder avvik/forbedringsforslag, hvem som vurderer, og hvordan tiltak lukkes.
    • Etikk/anti-korrupsjon: Kortfattet kodeks om gaver, interessekonflikter og integritet i leverandørkjeden.

    Samle dette i en mappe (digitalt) strukturert etter tema. Én til to sider per tema holder ofte – det viktigste er at de faktisk brukes og kan legges frem ved forespørsel.

    Slik setter du det opp på 1–2 uker

    Med et lite team kommer du raskt i mål ved å timebokse arbeidet og gjenbruke det dere allerede gjør. Her er en praktisk fremgangsmåte:

    • Kartlegg nåsituasjonen: Noter hvordan dere faktisk jobber i dag på økonomi, innkjøp, leveranser, HMS, personvern og IT.
    • Velg «minste sett» dokumenter: Plukk temaene over som er relevante for dere, og dropp resten for nå.
    • Beskriv rutinen kort: 5–10 setninger per rutine om formål, trinn og ansvar.
    • Definer enkle kontroller: Eksempler er månedlig bankavstemming, to godkjenninger før utbetalinger, og kvartalsvis gjennomgang av tilgangsrettigheter.
    • Lag ett felles årshjul: Legg inn faste oppgaver (avstemming, styremøter, backup-test, HMS-runde, gjennomgang av personvernprotokoll).
    • Test og dokumenter: Kjør én syklus med rutinene, noter eventuelle avvik og beslutninger.
    • Publiser internt: Gjør dokumentene lett tilgjengelige for alle som trenger dem.
    • Avtal årlig revisjon: Sett dato i kalenderen for å rydde og forbedre – og noter endringer i en endringslogg.

    Fordeling av ansvar i lite team

    I et mikroteam går det an å kombinere roller så lenge det er sporbarhet og et minimum av totrinnskontroll på kritiske punkter. Eksempel:

    • Daglig leder: Overordnet ansvar, risikovurdering, oppfølging av årshjul og sluttgodkjenning av utbetalinger.
    • Økonomiansvarlig (kan være ekstern regnskapsfører): Fakturaflyt, avstemming og rapportering av nøkkeltall til styret.
    • HMS/personvern-ansvarlig: Koordinerer enkle sjekker/opplæring, fører logg over avvik og tiltak.
    • IT-ansvarlig (ofte samme person): Tilganger, enhetssikring, backup og hendelseshåndtering.

    Digital mappe og revisjonsspor

    Bruk en standard delt skyløsning. Én mappe per tema, og en «00_Styring»-mappe med årshjul, møteprotokoller og endringslogg. Navngi dokumenter med dato først (ÅÅÅÅ-MM-DD) for å få automatisk sortering. Legg ved skjermbilder/eksporter som bevis når dere har gjennomført en kontroll.

    Eksempler på enkle rutiner

    Nedenfor er noen korte eksempler som ofte holder i et lite selskap. Tilpass ordene til deres faktiske praksis.

    Betalinger og attestasjon:

    • Fakturaer kommer inn i regnskapssystemet og attesteres av ansvarlig for koststed.
    • Utbetalinger over en gitt grense godkjennes av to personer (attestant + daglig leder).
    • Bank avstemmes månedlig mot regnskap; avvik forklares og dokumenteres.

    Personvern i praksis:

    • Vi behandler kun nødvendige personopplysninger for salg, leveranse og support.
    • Skyløsninger har databehandleravtaler; tilganger gis etter «minste privilegium».
    • Årlig gjennomgang av protokoll og sletterutiner; hendelser loggføres og vurderes.

    HMS-basics:

    • Kvartalsvis sjekk av arbeidsmiljø (ergonomi, utstyr, brann/elektro der relevant).
    • Opplæring ved oppstart og ved endringer i arbeidsmetoder/verktøy.
    • Nestenulykker/avvik meldes i en enkel logg; tiltak lukkes med ansvar og frist.

    Tilgangskontroll og IT-sikkerhet:

    • Alle kontoer har tofaktor og sterke passord; delte kontoer unngås.
    • Tilganger revideres kvartalsvis; ansatte som slutter, deaktiveres samme dag.
    • Backup testes ved å gjenopprette en prøvefil to ganger i året.

    Avvik og forbedring:

    • Alle kan registrere avvik/forbedringsforslag i en felles logg.
    • Daglig leder prioriterer, tildeler ansvar og følger opp gjennomføring.
    • Lukkede tiltak signeres og dato-festes; erfaringer deles kort på neste møte.

    Vanlige fallgruver: Rutiner som er kopiert fra store virksomheter og ikke brukes i praksis, manglende dokumentasjon på utførte kontroller, og utydelige fullmakter for bestilling/utbetaling.

    Krav fra kunder og leverandører

    I tilbuds- og innkjøpsprosesser ber mange om dokumentasjon: etikkpolicy, HMS-egenerklæring, beskrivelse av informasjonssikkerhet, personvernrutiner og avvikshåndtering. Noen spør også om risikovurdering, opplæring eller oversikt over leverandørkjeden. Ha standarddokumentene klare i PDF, og en kort, konsistent prosjektbeskrivelse av hvordan dere jobber i praksis.

    Når spørreskjemaer inneholder krav som virker store for et lite selskap, svar med likeverdige, skalerte tiltak: «Vi har ikke en omfattende sertifisering, men vi har følgende dokumenterte kontroller …». Legg ved rutinebeskrivelsene, siste avstemmingslogg, og utdrag fra avviksliste eller årshjul som viser at rutinene faktisk kjøres.

    Skal du starte raskt – enten fra nyregistrering eller ved kjøp av hylleselskaper – trenger du uansett de samme grunnrutiner for å oppfylle forventningene i leverandørkjeden. Sett av litt tid de første ukene til å etablere dette, så slipper du panikk når første kundeskjema kommer.

    Hvordan vise at det fungerer

    Kunder bryr seg om etterlevelse. Ha derfor lett tilgjengelige «bevis» som kan deles ved forespørsel:

    • Protokoll fra siste styre-/ledermøte med gjennomgang av nøkkelrisiko og tiltak.
    • Skjermdump/eksport som viser at bank er avstemt, og at avvik er lukket.
    • Logg over tilgangsrevisjon (hvem fikk/ble fratatt tilgang når).
    • Resultat av siste backup-test (hva ble gjenopprettet, dato, ansvarlig).
    • Eksempel på en behandlingsprotokoll og en databehandleravtale for en skytjeneste.
    • HMS-sjekkliste med dato, funn og lukkede tiltak.

    Oppdater gjerne en kort «samsvarsrapport» hvert halvår med lenker til dokumentene over. Det gjør deling enkelt og viser kontinuitet.

    Kostnader og nytte

    For et lite AS er kostnaden primært tid. Å etablere et lett internt kontrollopplegg kan ofte gjøres på noen arbeidsdager fordelt over 1–2 uker, og deretter krever det få timer i måneden å drifte. Mange bruker eksisterende verktøy (regnskapssystem, skylagring, samhandlingsverktøy), så lisenskostnaden er ofte lav. Velger du mer avanserte løsninger, øker både lisens- og forvaltningskostnader – vurder alltid gevinst per time og krone.

    Nytten kommer som færre feil, raskere svar i anbud, bedre styringsinformasjon og lavere risiko. Ikke minst bygger det tillit hos profesjonelle kunder. Når noen spør eksplisitt etter «krav til internkontroll for små AS», har du et konkret og troverdig svar – dokumentert, kort og etterprøvbart.