Styret skal påse at selskapet har god intern kontroll og hensiktsmessige systemer for risikostyring i forhold til omfanget og arten av selskapets virksomhet. Internkontrollen og systemene bør også omfatte selskapets verdigrunnlag og retningslinjer for etikk og samfunnsansvar.
Styret bør årlig foreta en gjennomgang av selskapets viktigste risikoområder og den interne kontroll. 
Styret bør i årsrapporten gi en beskrivelse av hovedelementene i selskapets interne kontroll og risikostyringssystemer knyttet til dets finansielle rapportering. 

Styret skal påse at selskapet har god intern kontroll og hensiktsmessige systemer for risikostyring i forhold til omfanget og arten av selskapets virksomhet. Internkontrollen og systemene bør også omfatte selskapets verdigrunnlag og retningslinjer for etikk og samfunnsansvar.

Styret bør årlig foreta en gjennomgang av selskapets viktigste risikoområder og den interne kontroll.

Styret bør i årsrapporten gi en beskrivelse av hovedelementene i selskapets interne kontroll og risikostyringssystemer knyttet til dets finansielle rapportering. 

Kommentar

Styrets ansvar og formål
Anbefalingen om risikostyring og intern kontroll er en presisering av styrets tilsynsansvar.

Formålet med risikostyring og intern kontroll er å håndtere, ikke eliminere, risikoer knyttet til vellykket virksomhetsutøvelse, og å styrke kvaliteten på den finansielle rapporteringen. Effektiv risikostyring og god intern kontroll bidrar til å sikre aksjeeiernes investeringer og selskapets eiendeler. 

Intern kontroll omfatter retningslinjer, prosesser, oppgaver, adferd og andre forhold som:

  • legger til rette for målrettet og effektiv virksomhet i selskapet og som gjør det mulig å håndtere forretningsrisiko, operasjonell risiko, risiko for overtredelse av lover og forskrifter samt annen risiko som er av betydning for oppnåelse av selskapets forretningsmål
  • bidrar til å sikre kvaliteten på intern og ekstern rapportering
  • bidrar til å sikre at selskapet opererer i samsvar med relevante lover, forskrifter og interne retningslinjer for virksomheten, herunder selskapets verdier og retningslinjer for etikk og samfunnsansvar.

Styret må selv danne seg en oppfatning om selskapets interne kontroll, basert på informasjon som blir forelagt styret. Rapporteringen fra ledelsen til styret bør gi en balansert fremstilling av alle risikoer av betydning, og hvordan internkontrollsystemet håndterer disse risikoene. 

Internkontrollsystemet skal minst omfatte organiseringen og gjennomføringen av selskapets finansielle rapportering. I selskaper med internrevisjon må det være etablert et system for at styret kan motta rapporter regelmessig og ellers ved behov. Hvis et selskap ikke har en slik separat internrevisjon, må det vurderes særskilt hvordan slik informasjon kan tilflyte styret.

De etiske retningslinjene bør gi anvisning om hvordan ansatte kan kommunisere forhold knyttet til ulovlig eller uetisk adferd fra selskapets side til styret. Klare retningslinjer for intern kommunikasjon vil redusere muligheten for at selskapet kommer i situasjoner som kan skade selskapets omdømme eller finansielle situasjon.

Styrets årlige gjennomgang
Styrets årlige gjennomgang av risikoområder og internkontrollsystemet bør omfatte forhold som er tatt opp i rapporter til styret gjennom året, og eventuell tilleggsinformasjon som er nødvendig for å sikre at styret har tatt i betraktning alle forhold knyttet til selskapets interne kontroll.

Gjennomgangen bør ta for seg:

  • endringer i forhold til forrige års gjennomgang knyttet til art og omfang av risikoer av betydning, og selskapets evne til å tilpasse seg virksomhetsendringer og eksterne endringer;
  • omfanget av og kvaliteten på ledelsens løpende oppfølging av risikoer og internkontrollsystem, og dersom det er relevant, internrevisjonens arbeid;
  • omfang og hyppighet av ledelsens rapportering til styret om resultatene av denne oppfølgingen, som gjør det mulig for styret å foreta en samlet vurdering av kontrolltilstanden i selskapet og hvordan risikoene håndteres;
  • tilfeller av betydelig kontrollsvikt eller svakheter som er avdekket i løpet av året, og om de har hatt, kunne ha hatt eller vil kunne ha betydelig innvirkning på selskapets økonomiske resultat eller stilling, og
  • hvordan selskapets eksterne rapporteringsprosess fungerer.

Styrets rapportering
Styrets beskrivelse i årsrapporten av hovedelementene i den interne kontrollen knyttet til finansiell rapportering, bør inneholde tilstrekkelig og overordnet informasjon som gjør det mulig for aksjeeierne å forstå hvordan internkontrollsystemet er organisert. Beskrivelsen bør relateres til hovedområdene for den interne kontrollen knyttet til finansiell rapportering. Dette omfatter kontrollmiljøet, risikovurdering, kontrollaktiviteter, informasjon og kommunikasjon og oppfølging.

Dersom selskapet anvender et etablert rammeverk for intern kontroll, bør dette angis. Eksempel på dette kan være Committee of Sponsoring Organizations of the Treadway Commissions (COSO) rammeverk for risikostyring og intern kontroll.