Kort svar
Styrets oppfølging av risiko og internkontroll bør være praktisk og prioritert, ikke et årlig ritual.
Start med å kontrollere om dagens praksis faktisk dekker hvilke risikoer som betyr mest nå, hvordan kontrolltiltakene faktisk fungerer og hvordan styret følger opp avvik og forbedringer.
Når dette ofte blir aktuelt
- når virksomheten må avklare hvilke risikoer som betyr mest nå
- når dere er usikre på om dagens praksis dekker hvordan kontrolltiltakene faktisk fungerer
- når ledelse eller styre trenger kontroll på hvordan styret følger opp avvik og forbedringer
Det bedriften bør avklare først
| Spørsmål | Hvorfor det betyr noe |
|---|---|
| Hvilke risikoer som betyr mest nå | viser om plikt eller risiko faktisk er utløst |
| Hvordan kontrolltiltakene faktisk fungerer | peker på hvilke tiltak som haster mest |
| Hvordan styret følger opp avvik og forbedringer | gjør det lettere å forklare og dokumentere vurderingen |
Praktisk framgangsmåte
- Beskriv dagens praksis konkret før dere vurderer nye tiltak.
- Test om grunnlag, rutiner og dokumentasjon dekker hvilke risikoer som betyr mest nå.
- Lukk de største hullene først rundt hvordan kontrolltiltakene faktisk fungerer.
- Sørg for løpende oppfølging og dokumentasjon av hvordan styret følger opp avvik og forbedringer.
Dokumentasjon som ofte avgjør
Det som faktisk er dokumentert underveis, betyr ofte mer enn hva bedriften mente å gjøre. Samle derfor:
- styre- eller generalforsamlingsprotokoller og saksunderlag
- registrerte roller, fullmakter og vedtektsutskrifter
- policyer, rutiner og kontrollspor som viser hva som faktisk gjøres
- styre- eller ledelsesbehandling av vurderinger, funn og tiltak
Vanlige feil
- dagens praksis blir tatt for gitt uten at den testes mot faktiske krav og forhold
- styret får rapporter, men ber ikke om det som mangler
- ansvar glir mellom eiere, styre og ledelse uten at det sies tydelig
Slik bruker dere guiden i praksis
For en bedrift er ikke målet å lese seg opp på styrets oppfølging av risiko og internkontroll i seg selv. Målet er å avklare hva som må besluttes, hvem som eier oppfølgingen, og hvilke dokumenter som bør tåle en senere kontroll, tvist eller intern gjennomgang.
Bruk derfor guiden som en arbeidsliste: start med grunnlag, vurdering, beslutning og oppfølging, og fordel deretter oppgavene mellom styreleder, daglig leder og styremedlemmene som trenger et forsvarlig beslutningsgrunnlag. Da blir vurderingen mer konkret enn en generell regelavklaring, og dere reduserer risikoen for svakt beslutningsgrunnlag, uklare protokoller og manglende oppfølging av risiko.
Spørsmål som gir bedre avklaring
- Hvilket beslutningsgrunnlag trenger styret før saken kan behandles?
- Hvilke alternativer, risikoer og økonomiske konsekvenser bør fremgå tydelig?
- Hva skal protokollen vise om vurderingen, uenighet og videre oppfølging?
- Hvem eier tiltakene etter styremøtet, og når skal styret få ny status?
- Er saken så vesentlig at eiere, revisor eller ekstern rådgiver bør involveres?
Et godt beslutningsgrunnlag bør vise
| Del | Hva bør stå klart |
|---|---|
| Grunnlag | hvilke tall, risikovurderinger og alternativer styret faktisk har fått |
| Vurdering | hva styret har diskutert, prioritert og eventuelt bedt ledelsen følge opp |
| Sporbarhet | hvordan beslutning, uenighet og videre kontroll fremgår av protokollen |
Denne typen oversikt gjør det enklere å prioritere riktig nivå på arbeidet. Den hjelper også bedriften å skille mellom det som kan løses med bedre intern rutine, det som bør avklares med motpart eller leverandør, og det som bør vurderes før dere tar neste formelle steg.
Når bør dere hente konkret hjelp?
Når beslutningen kan påvirke kreditorer, ansatte, eiere eller personlig ansvar, bør styret sikre seg et tydelig faktagrunnlag og riktig rådgivning tidlig. Det gjelder særlig hvis dere kan bli møtt med tilsyn, krav om innsyn, økonomisk tap eller personlig ansvar.
Relaterte guider
- Styrets oppfølging av likviditetsprognoser: hva bør rapporteres?
- Styrets oppfølging av leverandøravhengighet og konsentrasjonsrisiko
- Styrets oppfølging av IT- og cyberrisiko