Forskrift om risikostyring og internkontroll

Denne siden viser Forskrift om risikostyring og internkontroll i en brukervennlig struktur med kapitler, paragrafer og stabile lenker til hver bestemmelse.

Dokumenttype: Forskrift
Dato: 2008-09-22
Nummer: 1080
Kilde: Lovdata
Departement: Finansdepartementet
I kraft: 2009-01-01
Sist importert: 17. juni 2026

Vis på Lovdata ↗

Kapittel 1. Innledende bestemmelser

§ 1. Virkeområdeegen side

Forskriften gjelder for

Regulerte markeder
Verdipapirforetak
Forvaltningsselskaper for verdipapirfond
Betalingsforetak og opplysningsfullmektiger
E-pengeforetak
Forsikringsformidlingsvirksomhet
Eiendomsmeglingsforetak
Inkassoforetak
Regnskapsforetak
Gjeldsinformasjonsforetak
Låneformidlingsvirksomhet, unntatt aksessorisk låneformidling
Revisjonsforetak.
Norsk naturskadepool.

Endret ved forskrifter 9 des 2016 nr. 1528 (i kraft 1 jan 2017), 15 feb 2019 nr. 147 (i kraft 1 april 2019), 29 juli 2020 nr. 1602 (i kraft 1 okt 2020), 14 des 2020 nr. 2898 (i kraft 1 jan 2021), 9 feb 2022 nr. 189, 18 feb 2022 nr. 315 (i kraft 1 mars 2022), 22 juni 2022 nr. 1139 (i kraft 1 jan 2023), 16 des 2022 nr. 2270 (i kraft 1 jan 2023), 28 juni 2023 nr. 1155 (i kraft 1 juli 2023), 8 des 2025 nr. 2555 (i kraft 1 jan 2026).

§ 2. Forholdsmessighet og virksomhet i enkeltpersonforetakegen side

Foretakene skal tilpasse risikostyringen og internkontrollen etter arten, omfanget av og kompleksiteten i foretakets virksomhet.

Der virksomheten drives i et enkeltpersonforetak, er innehaver av foretaket ansvarlig for å ivareta pliktene som påhviler styret og daglig leder etter forskriften her. Rapporteringsplikt etter § 8 annet ledd gjelder ikke for enkeltpersonforetak.

Endret ved forskrift 14 des 2020 nr. 2898 (i kraft 1 jan 2021).

Kapittel 2. Ansvar for risikostyring og internkontroll

§ 3. Styretegen side

Styret skal påse at foretaket har hensiktsmessige systemer for risikostyring og internkontroll, herunder:

at det er klar ansvarsdeling mellom styret og daglig ledelse fastsatt i instrukser for styret og daglig leder,
at foretaket har en klar organisasjonsstruktur,
fastsette mål og strategi for foretaket, samt overordnede retningslinjer for virksomheten. Det skal fremgå hvilken risikoprofil foretaket skal ha, samt hvilke risikorammer som gjelder der hvor dette er relevant,
fastsette prinsipper for risikostyring og internkontroll for foretaket som helhet og innenfor hvert enkelt virksomhetsområde,
påse at risikostyringen og internkontrollen blir etablert i samsvar med lover og forskrifter, vedtekter, pålegg fra Finanstilsynet og retningslinjer gitt av styret til administrasjonen, blant annet gjennom behandling av rapporter utarbeidet i henhold til § 8 og kapittel 4,
påse at risikostyringen og internkontrollen er gjennomført og overvåket, blant annet gjennom behandling av rapporter utarbeidet i samsvar med § 8 og kapittel 4,
avgjøre om foretaket skal ha internrevisjon i samsvar med § 9,
evaluere sitt arbeid og sin kompetanse knyttet til foretakets risikostyring og internkontroll minimum årlig.

Endret ved forskrift 18 des 2009 nr. 1726 (i kraft 21 des 2009).

§ 4. Daglig lederegen side

Daglig leder skal:

sørge for å etablere en forsvarlig risikostyring og internkontroll på basis av en vurdering av aktuelle risikoer etter retningslinjer fastsatt av styret,
løpende følge opp endringer i foretakets risikoer, og påse at foretakets risikoer er forsvarlig ivaretatt i samsvar med styrets retningslinjer,
gi styret relevant og tidsriktig informasjon som er av betydning for foretakets risikostyring og internkontroll, herunder informasjon om nye risikoer,
påse at foretakets risikostyring og internkontroll er dokumentert,
påse at risikostyringen og internkontrollen blir gjennomført og overvåket på en forsvarlig måte.

§ 5. Utkontrakteringegen side

Foretaket har ansvar for risikostyring og internkontroll også der deler av virksomheten er utkontraktert. Det skal foreligge en skriftlig avtale som sikrer dette. Avtalen må sikre at foretaket gis rett til innsyn i og kontroll med utkontraktert virksomhet.

Avtalen skal sikre at Finanstilsynet gis tilgang til opplysninger fra og tilsyn med virksomheten der Finanstilsynet finner det nødvendig.

Foretaket skal sørge for at organisasjonen besitter tilstrekkelig kompetanse til å håndtere utkontrakteringsavtalen.

Endret ved forskrift 18 des 2009 nr. 1726 (i kraft 21 des 2009).

Kapittel 3. Risikostyring og internkontroll

§ 6. Risikostyringegen side

Foretaket skal løpende vurdere hvilke vesentlige risikoer som er knyttet til virksomheten. Ved endringer eller etablering av produkter og rutiner av vesentlig betydning skal en slik risikovurdering foreligge før virksomheten igangsettes.

Med utgangspunkt i definerte mål og strategier for virksomheten skal det minst én gang årlig foretas en gjennomgang av vesentlige risikoer for alle virksomhetsområder. Det skal for alle virksomhetsområder foretas en systematisk vurdering av om foretakets risikostyring og internkontroll er tilstrekkelig for å håndtere foretakets identifiserte risikoer på en forsvarlig måte.

Endret ved forskrift 9 des 2016 nr. 1528 (i kraft 1 jan 2017).

§ 7. Gjennomføring av internkontrollenegen side

Ledere på alle vesentlige virksomhetsområder skal løpende vurdere gjennomføringen av internkontrollen.

Det skal minst én gang årlig foretas en oppsummerende vurdering av om internkontrollen har vært gjennomført på en tilfredsstillende måte.

§ 8. Dokumentasjon og rapporteringegen side

Vurderingene etter § 6 annet ledd og § 7 annet ledd skal dokumenteres. Et sammendrag med konklusjoner om risikosituasjonen og om det er behov for nye tiltak skal foreligge for det enkelte virksomhetsområdet.

Daglig leder skal, minst én gang årlig, utarbeide en samlet vurdering av risikosituasjonen som skal forelegges styret til behandling.

Dokumentasjonen skal oppbevares i minst tre år, og være tilgjengelig for Finanstilsynet.

Endret ved forskrifter 18 des 2009 nr. 1726 (i kraft 21 des 2009), 9 des 2016 nr. 1528 (i kraft 1 jan 2017).

Kapittel 4. Internrevisjon eller uavhengig bekreftelse

§ 9. Internrevisjonegen side

Foretak som nevnt i § 1 første ledd nr. 1, 4 og 5 skal ha internrevisjon. Det samme gjelder foretak som nevnt i § 1 første ledd som i mer enn 12 måneder har hatt en samlet forvaltningskapital for egen og kunders regning på mer enn 10 milliarder kroner eller inngår i finanskonsern med samlet forvaltningskapital som overstiger dette.

Leder av internrevisjonen skal tilsettes og avskjediges av styret, ha rett til å møte i styremøtene, samt avgi rapport om risikostyringen og internkontrollen minimum én gang pr. år. Styret skal godkjenne internrevisjonens ressurser og planer på årlig basis.

Internrevisjonen skal gjennomføres i henhold til anerkjente standarder og løpende følge foretakets virksomhet.

Endret ved forskrifter 9 des 2016 nr. 1528 (i kraft 1 jan 2017), 22 juni 2022 nr. 1139 (i kraft 1 jan 2023).

§ 10. Uavhengig bekreftelseegen side

I foretak hvor det ikke er etablert internrevisjon skal styret sørge for at foretakets valgte revisor avgir en årlig bekreftelse til styret om

det er foretatt risikovurderinger i henhold til § 6 annet ledd
det er foretatt vurderinger i henhold til § 7 annet ledd
det foreligger dokumentasjon i samsvar med § 8
foretakets rutiner sikrer at den samlede vurdering av risikosituasjonen som er forelagt styret, jf. § 8 annet ledd, bygger på de risikovurderinger som er foretatt.

Kapittel 5. Unntak

§ 11. Unntakegen side

Finanstilsynet kan i særlige tilfeller gjøre unntak fra bestemmelsene i denne forskrift.

Endret ved forskrift 18 des 2009 nr. 1726 (i kraft 21 des 2009).

Kapittel 6. Ikrafttredelse

§ 12. Ikrafttredelse mv.egen side

Denne forskrift trer i kraft 1. januar 2009. Fra samme tidspunkt oppheves forskrift 20. juni 1997 nr. 1057 om klargjøring av kontrollansvar, dokumentasjon og bekreftelse av den interne kontroll. Kravene i forskriften skal være gjennomført innen 31. desember 2009.