Internkontroll gjelder den interne styringen og kontrollen i virksomheten. Dette til forskjell fra departementenes styring av statlige virksomheter, kommunestyrets styring av administrasjonen gjennom administrasjonssjefen (rådmannen) og bystyrets styring av byrådet i kommuner med parlamentarisk styreform.

Formålet med internkontroll er å gi ledelsen og virksomheten for øvrig rimelig sikkerhet, betryggende kontroll eller tilstrekkelig styring og kontroll (ulike begrepsvarianter av det samme) i arbeidet for å nå virksomhetens mål på en kostnadseffektiv måte og å etterleve lover og regler. Pålitelig rapportering er en forutsetning for tilstrekkelig internkontroll.

De målene som har spesielt fokus i enhver internkontroll kan ut fra dette oppsummeres som:

• Målrettet og effektiv drift
• Pålitelig rapportering
• Overholdelse av lover og regler

Begrepet internkontroll benyttes litt ulikt i ulike fagmiljø. Det går i hovedsak på omfang av begrepet. Dette veiledningsmateriellet benytter en vid forståelse av begrepet internkontroll – jf. parentesen (styring og kontroll) som benyttes i eForvaltningsforskriftens § 15.

Slik begrepet internkontroll forstås og brukes i dette veiledningsmateriellet består internkontrollen av både styrende element som utforming av mål, strategier og føringer innenfor virksomhetens ansvarsområde, systemrettede tiltak for å få internkontrollens prosesser til å fungere, samt konkrete tiltak internkontrollen etablerer inn mot det den har primærfokus på - i vår sammenheng informasjonssikkerhet.

Dette gir et samsvar mellom begrepet "internkontroll på informasjonssikkerhetsområdet" og begrepet "styringssystem for informasjonssikkerhet". Det siste begrepet er det som oftest brukes i norske informasjonssikkerhetsmiljøer, mens internkontroll brukes mer generelt innen andre områder i norsk virksomhetsstyring. Sli ulik begrepsbruk har i seg selv skapt en del forvirring.

eForvaltningsforskriftens § 15 og dette veiledningsmateriellet synliggjør med sin begrepsbruk at styring og kontroll med informasjonssikkerheten ikke skiller seg prinsipielt fra styring og kontroll med andre deler av virksomhetens områder. Dette understøtter også helhetlige styrings- og internkontrollsystem i virksomhetene på tvers av fagområder.

Enkelte fagmiljø har en snevrere definisjon av internkontroll og skiller mellom intern styring og internkontroll. Disse fagmiljøene presiserer oftest samtidig at internkontrollen må være integrert i den interne styringen. Et skille mellom intern styring og internkontroll kan derfor fremstå mer som et teoretisk skille enn et skille med praktisk betydning.

I eForvaltningsforskriften og dette veiledningsmateriellet omfatter internkontroll både styring og kontroll.