COSOs nylig utgitt governance prinsipper for styrer: Et viktig signal til internrevisjon
COSO publiserte 31. mars 2026 Corporate Governance: Guiding Principles for Board Oversight, et styreorientert rammeverk som samler 12 prinsipper for god virksomhetsstyring. Dokumentet er ikke ment som en sjekkliste eller et nytt kravsett, men som et felles referansepunkt for styredialog, særlig i virksomheter der virksomhetsstyring (Governance), risiko og internkontroll ofte diskuteres fragmentert. For internrevisjon og risikofunksjonen gir prinsippene et nyttig rammeverk for å strukturere vurderinger, dialog med styret, og egne leveranser.
Formål og bakgrunn – hvorfor er dette relevant?
COSO understreker at effektiv risikostyring og internkontroll ikke kan vurderes isolert, men må forstås innenfor en bredere governance‑kontekst formet av styrets tilsynsoppgaver, ansvarliggjøring, informasjonsflyt og kultur. Prinsippene er eksplisitt rettet mot styret, men inneholder også “management enablement considerations” – nettopp der internrevisjon og risikofunksjonen ofte spiller en sentral rolle. Ambisjonen er å styrke kvaliteten i styrets tilsyn gjennom bedre sammenheng mellom strategi, risiko, kontroll, insentiver og kultur.
COSOs nye governance‑prinsipper for styrer: Hva bør internrevisjon og risikofunksjonen merke seg?
COSO publiserte 31. mars 2026 Corporate Governance: Guiding Principles for Board Oversight, et styreorientert rammeverk som samler 12 prinsipper for god virksomhetsstyring. Dokumentet er ikke ment som en sjekkliste eller et nytt kravsett, men som et felles referansepunkt for styredialog, særlig i virksomheter der governance, risiko og internkontroll ofte diskuteres fragmentert. For internrevisjon og risikofunksjonen gir prinsippene et nyttig rammeverk for å strukturere vurderinger, dialog med styret, og egne leveranser.
Formål og bakgrunn – hvorfor er dette relevant?
COSO understreker at effektiv risikostyring og internkontroll ikke kan vurderes isolert, men må forstås innenfor en bredere governance‑kontekst formet av styrets tilsynsoppgaver, ansvarliggjøring, informasjonsflyt og kultur. Prinsippene er eksplisitt rettet mot styret, men inneholder også “management enablement considerations” – nettopp der internrevisjon og risikofunksjonen ofte spiller en sentral rolle. Ambisjonen er å styrke kvaliteten i styrets tilsyn gjennom bedre sammenheng mellom strategi, risiko, kontroll, insentiver og kultur.
De 12 prinsippene – strukturert i fire styringsdimensjoner
COSO grupperer de 12 prinsippene i fire overordnede styringsdimensjoner som samlet beskriver hvordan godt styretilsyn fungerer i praksis:
A. Styrets grunnmur (Prinsipp 1–4)
1. Styrets styringsstruktur
Styret etablerer og følger opp en styringsstruktur som tydeliggjør roller, delegasjoner og ansvar.
2. Styreansvar og ansvarliggjøring
Styret ivaretar sitt forvalteransvar (fiduciary duties) og sikrer åpenhet, ansvarliggjøring og tillit gjennom god styring og pålitelig rapportering og offentliggjøring.
3. Styresammensetning og styreledelse
Styret består av en hensiktsmessig kombinasjon av kompetanse, erfaring, integritet og uavhengighet, og følger opp planlagt fornyelse og suksesjon for å sikre langsiktig styreeffektivitet.
4. Styrets effektivitet
Styret evaluerer og forbedrer systematisk sitt arbeid, sine arbeidsformer og sin evne til å tilpasse seg interne og eksterne endringer.
B. Formål og kultur (Prinsipp 5–6)
5. Formål, samfunnsoppdrag og verdier
Styret følger opp at virksomhetens formål, samfunnsoppdrag og verdier henger reelt sammen med strategi, kultur, insentiver og praksis i organisasjonen.
6. Kultur, adferd og tonen fra toppen
Styret setter tydelige forventninger til integritet og etisk adferd, og følger opp at tonen fra toppen faktisk etterleves i organisasjonen.
C. Strategi og muliggjørende kapabiliteter (Prinsipp 7–9)
7. Strategi, mål og måloppnåelse
Styret gir uavhengige innspill til strategi og mål, følger opp gjennomføring og prestasjoner, og sikrer sammenheng med risikovilje og insentivsystemer.
8. Teknologi og data
Styret fører tilsyn med at teknologi og data brukes og styres i tråd med strategi og risikovilje, og at de bidrar til bedre ytelse og økt robusthet.
9. Interessentdialog
Styret følger opp hvordan virksomheten identifiserer og involverer interessenter, sikrer troverdig og balansert kommunikasjon, og vurderer hvordan innsikt fra interessenter påvirker strategiske valg.
D. Ledelse og robusthet (Prinsipp 10–12)
10. Toppledelse og etterfølgelse
Styret utpeker administrerende direktør og følger opp ledelse, lederutvikling og etterfølgelse for å sikre kontinuitet og organisatorisk robusthet.
11. Toppledelsens prestasjon og godtgjørelse
Styret vurderer toppledelsens prestasjoner og fastsetter godtgjørelses‑ og insentivordninger som fremmer langsiktig verdiskaping og tydelig ansvarlighet.
12. Risikostyring og internkontroll
Styret fører tilsyn med virksomhetens risikostyring og internkontroll, inkludert overvåking og uavhengig bekreftelse (assurance), for å støtte strategi og styrke virksomhetens robusthet.
Prinsipp 12: Risiko og internkontroll – mer enn risikoreduksjon
For internrevisjon og risikofunksjonen er prinsipp 12 særlig sentralt. COSO beskriver styrets tilsyn med risiko og internkontroll som en kjerne i virksomhetsstyringen, tett koblet til strategi og måloppnåelse. Et viktig poeng er at risikotilsyn ikke bare handler om å begrense tap, men også om å muliggjøre verdiskaping:
“Board oversight of risk includes not only the entity’s focus on the downside of risk but also taking advantage of the upside of risk when the opportunity aligns to strategy and risk appetite.”
Dette utfordrer et tradisjonelt defensivt risikosyn ved å prise at det skal være en balanse mellom risikoreduksjon og risikoutnyttelse.
COSO trekker særlig frem:
- behovet for at risikovilje faktisk brukes som beslutningsramme i strategiske valg
- styrets forståelse av hvordan risiko identifiseres, prioriteres og overvåkes – inkludert nye og risikokonsentrasjoner
- bruk av scenarioanalyser og stresstester for “severe but plausible” hendelser
- samspillet mellom ledelsens overvåking, internkontroll og assurance (herunder internrevisjon)
- verdien av et helhetlig assurance‑bilde, ofte strukturert etter trelinjemodellen.
I tillegg peker COSO på økende styreforventninger til transparens rundt bruk av AI (inkludert generativ AI) i rapportering og beslutningsprosesser, og hvordan risiko og kontroller håndteres på dette området.
Praktiske refleksjoner
I vår virksomhet
- Er våre governance-prinsipper tydelige – men brukt som dialoglinse, ikke sjekkliste?
- Har vi en risikovilje som faktisk brukes i strategibeslutninger – og justeres når omgivelsene endrer seg?
- Får styret et helhetlig bilde av risiko og kontroll (monitorering + internrevisjon + eksternrevisjon + andre), eller er det stykkevis og delt?
- Har vi gode scenarioanalyser for “severe but plausible” hendelser – og påvirker de kapitalallokering og beredskap?
- Har vi tilstrekkelig transparens rundt bruk av AI i rapportering og tilhørende kontroller?
For internrevisorer
- Kobler vi revisjonsfunn tydeligere til styring, strategi og verdiskaping
- Støtter vi styret med integrerte vurderinger av risiko, kontroll, kultur og insentiver
- Flytter vi dialogen fra «er kontrollene på plass?» til «støtter risiko‑ og kontrollbildet strategiske valg og robusthet?»
Kort sagt: Dokumentet styrker internrevisjonens rolle som strategisk samtalepartner for styret – ikke bare som kontrollfunksjon.
