Internkontroll: Komplett guide for små og mellomstore bedrifter (2026)

Internkontroll betyr at bedriften selv tar ansvar for å sjekke at den følger reglene innen HMS – helse, miljø og sikkerhet. Det er ikke en perm i hylla, men et levende system av rutiner, sjekklister, risikovurderinger, avviksmeldinger og dokumentasjon som brukes i daglig drift.

Forskrift om systematisk helse-, miljø- og sikkerhetsarbeid i virksomheter – kjent som internkontrollforskriften – trådte i kraft i 1997 og gjelder for alle virksomheter som omfattes av arbeidsmiljøloven. Formålet er å forebygge skader, sykdom, ulykker og miljøskader gjennom planmessig arbeid.

Kort sagt: internkontroll er måten du beviser at bedriften har orden i eget hus – både overfor Arbeidstilsynet, kunder, forsikringsselskap og dine egne ansatte.

Det er virksomhetens ledelse – i praksis daglig leder eller styreleder – som har det overordnede ansvaret for at internkontrollen er på plass og fungerer. Dette ansvaret kan ikke delegeres bort. Du kan delegere oppgaver, men ikke ansvaret.

Ansatte har plikt til å medvirke i HMS-arbeidet, melde fra om avvik og følge rutinene som er etablert. Verneombud og eventuelt arbeidsmiljøutvalg (AMU) skal involveres i utforming og oppfølging.

Internkontrollforskriften § 5 lister opp åtte konkrete krav alle virksomheter må oppfylle. Disse danner ryggraden i ethvert HMS-system:

• Sørge for at lover og forskrifter er tilgjengelige og at man har oversikt over kravene som gjelder.
• Sørge for at arbeidstakerne har tilstrekkelig kunnskap og ferdigheter i HMS-arbeidet.
• Sørge for at arbeidstakerne medvirker, slik at samlet kunnskap og erfaring utnyttes.
• Fastsette mål for helse, miljø og sikkerhet.
• Ha oversikt over virksomhetens organisasjon, inkludert ansvar, oppgaver og myndighet for HMS.
• Kartlegge farer og problemer, vurdere risiko og utarbeide tilhørende planer og tiltak.
• Iverksette rutiner for å avdekke, rette opp og forebygge overtredelser av HMS-krav (avvikshåndtering).
• Foreta systematisk overvåkning og gjennomgang av internkontrollen.

Et HMS-system er det praktiske verktøyet som binder de åtte lovkravene sammen. Tradisjonelt har dette vært en perm med dokumenter, skjemaer og rutiner. I dag er det stort sett digitalt – et internkontroll system som lar deg samle policy, sjekklister, avvik, risikovurderinger og dokumentasjon på ett sted.

Forskjellen er enorm: en papir-perm leses ofte ikke før Arbeidstilsynet ringer. Et digitalt HMS-system brukes hver dag av ansatte på mobilen – sjekklister krysses av, avvik meldes med bilde, rutiner signeres.

For små og mellomstore bedrifter er det å innføre et digitalt internkontroll system ofte den raskeste veien fra «vi mangler kontroll» til «vi er tilsynsklare».

HMS-håndboken er bedriftens samlede dokumentasjon av internkontrollen. Det finnes ingen fast mal – den skal være tilpasset virksomhetens størrelse, art og risiko. Men de fleste håndbøker inneholder:

• HMS-policy og overordnede mål
• Organisasjonskart med roller og ansvar (daglig leder, verneombud, AMU, BHT)
• Oversikt over relevante lover og forskrifter
• Risikovurderinger og tiltaksplan
• Rutiner for avviksbehandling
• Instrukser for kritiske arbeidsoppgaver
• Beredskaps- og brannvernrutiner
• Plan for HMS-opplæring
• Årshjul med planlagte aktiviteter

Risikovurdering er hjertet i internkontrollen. Du kartlegger hva som kan gå galt, vurderer hvor sannsynlig det er og hvor alvorlig konsekvensen blir, og setter inn tiltak.

Den vanligste metoden er en 5×5-matrise: sannsynlighet (1–5) ganger konsekvens (1–5) gir en risikoverdi mellom 1 og 25. Grønt felt (1–4) er akseptabel risiko, gult (5–12) krever tiltak når mulig, rødt (15–25) krever tiltak umiddelbart.

For en restaurant kan typiske farer være kuttskader, brannfare, glatte gulv og allergener. For et byggefirma er det fallulykker, tunge løft, støy og kjemikalier. Bransje styrer hva som er relevant.

Et avvikssystem er bedriftens måte å fange opp og lære av hendelser, nestenulykker og avvik fra rutiner. En god avviksflyt har fire steg: melding, vurdering, tiltak og lukking.

Den vanligste feilen er at avvik registreres, men aldri lukkes. Da bygger det seg opp en hale av åpne saker som verken ansatte eller ledelse stoler på. Et moderne avvikssystem viser status på alle avvik, tildeler ansvarlig person og sender påminnelser automatisk.

Tips: gjør det ekstremt enkelt å melde avvik. På mobilen, med bilde, på 20 sekunder. Terskelen avgjør hvor mye du faktisk får inn.

Et HMS-årshjul viser alle planlagte aktiviteter fordelt på årets måneder: vernerunder, brannøvelser, medarbeidersamtaler, BHT-besøk, ledelsens gjennomgang, oppdatering av risikovurderinger og så videre.

Årshjulet gjør HMS-arbeidet forutsigbart og dokumenterbart. Det er også det første Arbeidstilsynet spør om: «Vis meg planen deres for året – og hva som faktisk er gjennomført.»

Det høres ut som en stor jobb, men for de fleste små og mellomstore bedrifter er det fullt mulig å ha et levende internkontrollsystem oppe og gå i løpet av få timer – hvis du bruker ferdige bransjemaler.

• 1. Velg bransje og last inn ferdige rutiner, sjekklister og risikovurderinger.
• 2. Tilpass HMS-policy og mål til din bedrift.
• 3. Legg inn organisasjon og roller (daglig leder, verneombud, AMU).
• 4. Gå gjennom risikovurderingen og juster sannsynlighet/konsekvens.
• 5. Aktiver avvikssystemet og inviter ansatte.
• 6. Sett opp årshjul med vernerunder og brannøvelser.
• 7. Planlegg første ledelsens gjennomgang.

Etter å ha sett hundrevis av norske bedrifter bygge HMS-system, går de samme feilene igjen:

• Permen i hylla – flott på papir, ubrukelig i praksis.
• For ambisiøst – 200 sjekklister ingen orker å fylle ut.
• Avvik lukkes aldri – haugen vokser, tilliten forsvinner.
• Ingen plan for opplæring av nye ansatte.
• Ledelsens gjennomgang gjennomføres aldri.

Excel og papir fungerer – helt til de ikke gjør det. Du mister versjoner, ingen vet hvilken sjekkliste som er gjeldende, og ansatte glemmer å levere skjemaer fra felten.

Et digitalt internkontroll system løser dette ved å være tilgjengelig på mobil, kreve signering, sende påminnelser og samle alt i én tidslinje. Når Arbeidstilsynet kommer, henter du ut rapport for valgt periode på 30 sekunder.