Internkontroll-standarder for bedrifter
COSO og ISO-rammeverkene gir struktur for intern kontroll. For norske bedrifter er den praktiske oversettelsen viktigere enn full sertifisering.
Internkontroll er rammeverket som sikrer at bedriften følger lover, beskytter eiendeler og rapporterer pålitelig. I norsk praksis bygger de fleste på enten COSO-rammeverket, ISO-standarder eller en kombinasjon — men kjernen er den samme: definerte kontrollpunkter med tydelig ansvar.
De vanligste rammeverkene
| Rammeverk | Hovedfokus | Vanlig bruk i Norge |
|---|---|---|
| COSO | Intern kontroll for finansiell rapportering | Større selskaper, særlig børsnoterte |
| COSO ERM | Risikostyring | Konsern og virksomheter med kompleks risiko |
| ISO 31000 | Risikoledelse, generisk | Sektorovergripende, ofte i kombinasjon |
| NS-EN ISO 19600 | Compliance | Sektorer med streng regelverksetterlevelse |
| NS-ISO/IEC 27001 | Informasjonssikkerhet | Tjenester og bransjer med sensitive data |
Hva regnskapsfunksjonen særlig må sikre
Regnskap berøres av flere kontrollpunkter:
- Tilgangskontroll til regnskapssystem
- Funksjonsdeling mellom registrering, attestasjon og godkjenning
- Avstemming mot bank og delbøker
- Sporbarhet ved endring av bokførte poster — se norsk bokføringsstandard i detalj
- Kvalitetssikring ved månedslukking
- Beredskap ved systemfeil eller datatap
Hvor norske bedrifter ofte feiler
- Funksjonsdeling brytes når én person både fakturerer og bokfører innbetalingen
- Tilgangsstyring er for grov — alle får administratorrettigheter for å unngå friksjon
- Avvik logges, men gås ikke gjennom systematisk
- Endringer i kontroll dokumenteres ikke når organisasjonen vokser
- Beredskap testes aldri i praksis
Hvordan internkontroll møter regnskapsstandarder
God internkontroll forutsetter at det er en felles standard for hva som faktisk er en korrekt bokføring, riktig periodisering og passende dokumentasjon. Standardene blir derfor selve grunnmuren — uten dem mangler kontrollene noe å måles mot. Sammenlign med ISO 9001 og regnskapsfunksjonen for prosessperspektivet.
Hvor mye trenger en SMB?
For mindre virksomheter blir full implementasjon av COSO eller ISO ofte for tungt. Det praktiske er å adoptere prinsippene i forenklet form:
- Skriv ned hvem som gjør hva i regnskapsprosessen
- Definer ett kontrollpunkt per måned (avstemming, rapportgjennomgang)
- Bruk systemstøtte for funksjonsdeling der det finnes
- Test minst ett scenario med datatap eller utfall årlig
- Gjennomgå rutinene ved nyansettelser i økonomi
Hvor du kan lese mer
Finanstilsynet og Standard Norge er viktige norske forvaltere. For internasjonale rammeverk, se COSO og ISO . Vil du forstå standardarbeidet som ligger bak norske presiseringer, er hva gjør en standardorganisasjon og hvordan utvikles en standard gode neste artikler.