Få innsikt i noen av de grunnleggende begrepene som er avgjørende for å navigere effektivt innen GRC-landskapet og forstå RISMAs syn på governance, risk og compliance.
Ordbok for GRC-begreper
Anneks A
Anneks A er en integrert del av ISO 27001-standarden og lister en rekke klassifiserte sikkerhetskontroller som organisasjoner skal bruke for å vise samsvar med standarden. Anneks A inneholder 93 kontroller delt opp i fire kategorier:
-
Organisatoriske
-
Menneskelige
-
Fysiske
-
Teknologiske
Basert på disse kontrollene utarbeides en Statement of Applicability (SoA), som nøye dokumenterer hvordan hver kontroll brukes, tilpasses eller utelates. Anneks A og SoA er derfor tett sammenkoblet.
Artikkel 15 - Retten til innsyn
Artikkel 15 er en del av EUs personvernforordning (GDPR) og fokuserer på den registrertes rett til innsyn i sine egne personopplysninger. Retten til innsyn innebærer at den registrerte kan be om å få se de personopplysningene som en organisasjon behandler om dem, samt få informasjon om selve databehandlingsaktivitetene. Formålet med artikkel 15 er å skape åpenhet i databehandlingen og sikre større datakontroll for den registrerte.
Artikkel 20 - Retten til dataportabilitet
Artikkel 20 er en del av EUs personvernforordning (GDPR) og omhandler den registrertes rett til dataportabilitet. Retten innebærer at den registrerte har rett til å motta en kopi av de personopplysningene som vedkommende selv har gitt til organisasjonen. Opplysningene skal gis i et vanlig brukt og maskinlesbart format.
Samtidig gir artikkel 20 den registrerte muligheten til å be om at disse opplysningene overføres direkte til en annen behandlingsansvarlig uten hinder – forutsatt at det er teknisk mulig.
Artikkel 30 - Føre register over behandlingen
Artikkel 30 er en del av EUs personvernforordning (GDPR) og bygger videre på forordningens fokus på ansvarlighet. Artikkelen fastsetter kravet om at den behandlingsansvarlige skal føre et register over organisasjonens behandlingsaktiviteter. Samtidig skal en databehandler føre en oversikt over de behandlingsaktivitetene de utfører på oppdrag av den behandlingsansvarlige.
Artikkel 32 - Behandlingssikkerhet
Artikkel 32 er en del av EUs personvernforordning (GDPR) og fokuserer på sikkerheten ved behandling av personopplysninger både hos den behandlingsansvarlige og databehandlerne. Den pålegger organisasjoner å implementere tekniske og organisatoriske sikkerhetstiltak som er tilpasset risikoen ved databehandlingen.
Samtidig spesifiserer artikkelen at personopplysninger kun skal behandles av autorisert personell i henhold til instruksjoner fra den behandlingsansvarlige, databehandleren eller i samsvar med nasjonal eller EU-lovgivning. Formålet er å sikre et høyt nivå av sikkerhet og beskyttelse for personopplysninger.
Artikkel 13 - Informasjon til den registrerte
Et sentralt element i GDPR er artikkel 13, som pålegger den behandlingsansvarlige å gi tydelig og forståelig informasjon til den registrerte om hvem som samler inn opplysningene, formålet med innsamlingen og hvordan de skal brukes.
Formålet er å sikre at den registrerte er fullt informert om hvordan deres personopplysninger behandles.
CIS18
CIS18, eller Centre for Internet Security sine 18 kontroller, er et rammeverk med 18 sikkerhetskontroller som har som mål å forbedre cybersikkerheten for organisasjoner globalt. Kontrollene gir veiledning for å identifisere, prioritere og implementere sikkerhetstiltak for å beskytte data og systemer mot cybertrusler.
Compliance
Compliance, eller etterlevelse på norsk, beskriver prosessen med å overholde gjeldende lovgivning, standarder og krav for organisasjonen – for eksempel bransjespesifikke standarder, GDPR og etiske retningslinjer.
Hensikten med compliance er å sikre at organisasjonen unngår brudd på disse reglene, noe som støtter høyere kvalitetsstandarder, bygger tillit hos interessenter og øker åpenheten i virksomheten. Compliance er en dynamisk prosess som krever kontinuerlig oppmerksomhet og tilpasning til nye regler eller endrede forretningsforhold.
COSO - Committee of Sponsoring Organizations of the Treadway Commission
COSO er et internasjonalt anerkjent rammeverk som er utviklet for å skape en strukturert metode for å vurdere og forbedre intern kontroll og risikostyring innen organisasjoner.
Rammeverket ble etablert av Committee of Sponsoring Organizations (COSO) og er strukturert rundt fem nøkkelkomponenter: kontrollmiljø, risikovurdering, kontrollaktiviteter, informasjon og kommunikasjon, samt overvåking.
CSDDD - Corporate Sustainability Due Diligence Directive
CSDDD er en forkortelse for Corporate Sustainability Due Diligence Directive, og det er et direktiv fra EU som stiller krav til organisasjoner om å gjennomføre due diligence innen områdene miljø og menneskerettigheter.
I praksis betyr dette at organisasjoner som omfattes av direktivet må gjennomføre due diligence-prosesser knyttet til sine aktiviteter og verdikjeder for å identifisere, forebygge og redusere negative effekter på menneskerettigheter og miljø. Direktivet har som mål å tvinge enkelte selskaper til å ta ansvar for sin påvirkning på omverdenen gjennom reelle lovkrav i stedet for gjennom anbefalinger.
CSR - Corporate social responsibility
CSR, som står for Corporate Social Responsibility, beskriver organisasjoners innsats for å integrere sosiale og miljømessige hensyn i deres daglige virksomhet. Gjennom en tydelig definert CSR-strategi setter en organisasjon mål og iverksetter tiltak som bidrar positivt til samfunnet og miljøet. Denne strategien er ikke bare avgjørende for å nå bærekraftsmål, men spiller også en viktig rolle i å forbedre selskapets omdømme og langsiktige suksess.
CSRD - Corporate Sustainability Reporting Directive
CSRD står for Corporate Sustainability Reporting Directive og er et EU-direktiv som stiller en rekke krav til bedrifters bærekraftsrapportering. Målet med direktivet er å standardisere rapporteringsprosessene og forbedre åpenheten innen bærekraft over hele Europa. Dette vil gjøre det enklere for investorer, leverandører og kunder å forstå og vurdere en organisasjons bærekraftsarbeid.
Databehandleravtal
En databehandleravtale er en juridisk kontrakt mellom en behandlingsansvarlig og en databehandler som fastsetter vilkår og bestemmelser for behandling av personopplysninger. Avtalen er utformet for å sikre at begge parter forstår sine respektive roller og ansvar i forbindelse med behandling av personopplysninger, og at de overholder gjeldende personvernlovgivning.
Dataetikk
Dataetikk fokuserer på ansvarlig og reflektert innsamling, behandling og bruk av data. I tillegg til å bidra til overholdelse av lovgivningen innebærer dataetikk en dyp respekt for individets data, anerkjenner deres verdi og sikrer deres beskyttelse. Dette prinsippet bør ikke bare være en juridisk forpliktelse, men også integreres som en kjerneverdi i selskapets kultur, fra ledelsen til hver enkelt medarbeider.
Dataminimering
Dataminimering er en prinsipp innenfor GDPR som innebærer at personopplysninger kun skal samles inn og behandles når det er nødvendig for et spesifikt formål. I henhold til GDPR artikkel 5(1)(c) skal data være relevante og begrenset til det som kreves for å oppnå målet, og organisasjoner må unngå å samle inn unødvendige opplysninger.
Data governance
Data governance er en strategisk og operativ disiplin for å kontrollere og håndtere organisasjonens dataressurser. Målet er å maksimere dataverdien og sikre at data brukes effektivt og ansvarlig. Den omfatter den samlede kontrollen over tilgjengelighet, brukervennlighet, integritet og sikkerhet for data som brukes i en organisasjon.
DORA - Digital Operational Resilience Act
DORA, Digital Operational Resilience Act, er en EU-forordning med formål om å styrke den digitale operative motstandskraften innen finanssektoren og leverandører av informasjons- og kommunikasjonsteknologi (IKT-tjenester).
Forordningen fokuserer på beskyttelse av finanssektorens kritiske infrastruktur gjennom krav til grundig leverandørstyring og regelmessige trusselbaserte evalueringer, som sikrer forbedret beskyttelse av informasjonssystemene.
Dobbel vesentlighet
Dobbel vesentlighet (Double Materiality) er prinsippet om at organisasjoner ikke bare påvirker miljøet og samfunnet (impact materiality), men også at bærekraftsrisikoer kan ha økonomisk betydning for organisasjonen (financial materiality).
Corporate Sustainability Reporting Directive (CSRD) krever at virksomheter integrerer prinsippet om dobbel vesentlighet i sin rapportering for å gi et transparent og pålitelig innblikk i hvordan deres aktiviteter påvirker miljø og samfunn – samt hvilke bærekraftsrisikoer de står overfor.
DPIA - Data Protection Impact Assessment
DPIA står for Data Protection Impact Assessment og er et krav i henhold til EUs personvernforordning (GDPR). Det er en prosess som hjelper organisasjoner med å identifisere og redusere personvernrisikoer som kan påvirke en registrert persons privatliv.
DPO - Personvernombud
DPO er en forkortelse for det engelske Data Protection Officer, som på norsk kalles personvernombud. Det er personvernombudets rolle å gi råd og overvåke at den behandlingsansvarlige følger reglene i personvernforordningen (GDPR).
Mens alle offentlige myndigheter er pålagt å ha et personvernombud, er private virksomheter kun forpliktet til å utpeke et dersom de oppfyller spesifikke vilkår knyttet til behandlingen av personopplysninger.
EBA
EBA – eller Den europeiske banktilsynsmyndigheten – er et EU-organ som har som oppgave å sikre en enhetlig regulering og tilsyn med banksektoren i EUs medlemsland. Hensikten er å fremme finansiell stabilitet og effektivitet.
EIOPA
EIOPA – eller Den europeiske tilsynsmyndigheten for forsikring og tjenestepensjon – er et EU-organ med oppdrag å beskytte allmennhetens interesser ved å bidra til stabilitet og effektivitet i det finansielle systemet for EUs økonomi, borgere og virksomheter. Dette skjer gjennom regulering og tilsynspraksis.
ESG - Environmental, Social and Governance
ESG, som står for Environmental (miljø), Social (sosialt ansvar) og Governance (virksomhetsstyring), representerer en tilnærming der organisasjoner vurderer og forbedrer sitt bærekraftsarbeid innenfor disse tre kjerneområdene. Denne metoden brukes blant annet i forbindelse med CSRD, og gjør det mulig for organisasjoner å kvantifisere og kommunisere sitt bærekraftige bidrag og sin påvirkning innen miljø, sosialt ansvar og god selskapsstyring.
ESG-rapportering
En ESG-rapport gir en detaljert og transparent oversikt over en organisasjons resultater innen miljømessige, sosiale og styringsrelaterte aspekter. Den muliggjør sammenligning og evaluering av bærekraftsinitiativer på tvers av selskaper og sektorer.
Gjennom rapporten presenteres organisasjonens kjerneverdier, kultur og bærekraftsstrategi, noe som gir interessenter innsikt i håndteringen av ESG-relaterte risikoer og muligheter.
ESRS - The European Sustainability Reporting Standards
ESRS, eller European Sustainability Reporting Standards, utviklet av EFRAG, fastsetter rammene for hvordan selskaper skal rapportere om sine bærekraftsinnsats. Disse omfatter 12 standarder innen miljø, sosialt ansvar og god selskapsstyring, og inkluderer krav om å beskrive strategi, mål og verdikjeder i forbindelse med de tverrgående områdene, samt å definere vesentlighet.
Totalt omfatter de 12 ESRS-standardene:
-
Generelle prinsipper og overordnede rapporteringskrav
-
Spesifikke rapporteringskrav med fokus på 10 ESG-områder
EU Green Deal
EU Green Deal er en rekke initiativer som har som mål å redusere de nåværende karbonutslippene med 55 % innen 2030 (sammenlignet med 1990-nivået), og senere oppnå klimanøytralitet. Formålet med den europeiske grønne given er å øke den effektive bruken av ressurser ved å overgå til en ren, sirkulær økonomi, samt å stoppe klimaendringene, snu tapet av biologisk mangfold og redusere forurensning.
EUs taksonomi for miljømæssig bæredygtighed
EUs taksonomi er en del av EUs klimastrategi med målet om å oppnå klimanøytralitet innen 2050. Den introduserer et enhetlig klassifiseringssystem som definerer hvilke økonomiske aktiviteter som anses som bærekraftige. Dette skaper en standardisert tilnærming for å definere bærekraft, noe som gjør det lettere for selskaper å vise og kommunisere sine bærekraftsinnsatser.
Finansiell vesentlighet
Finansiell vesentlighet refererer til de aspektene av en organisasjons virksomhet som har en betydelig påvirkning på de økonomiske resultatene. Det kan omfatte et bredt spekter av faktorer, fra operasjonelle og juridiske risikoer til miljømessige og sosiale konsekvenser.
Finansielle kontroller
Finansielle kontroller er sikkerhetsmekanismer som etableres for å sikre effektiv, sterk og pålitelig finansiell rapportering, samtidig som risikoen for vesentlige feil minimeres. De er relevante for både store og små virksomheter, og det finnes flere grunner til å ha et effektivt kontrollmiljø og sterke arbeidsverktøy innen dette området.
GDPR - General Data Protection Regulation
GDPR står for General Data Protection Regulation og er den europeiske personvernforordningen. GDPR styrker individers rettigheter over deres personopplysninger og pålegger organisasjoner ansvar for sikker behandling og beskyttelse av data. Organisasjoner er forpliktet til å oppfylle spesifikke krav til personvern og demonstrere etterlevelse ved å dokumentere at deres interne rutiner og policyer er i samsvar med GDPRs krav.
Governance
Governance, eller corporate governance, refererer til de regler, strukturer, prosesser og retningslinjer som er grunnleggende for et selskaps drift og ledelse. Det omfatter prinsipper for etikk, risikostyring, regelefterlevelse og effektiv forvaltning, med målet om å sikre ansvarlig beslutningstaking, ansvarlighet og transparens innen organisasjonen.
GRC - Governance, Risk, and Compliance
GRC står for Governance, Risk og Compliance og representerer en helhetlig tilnærming for å lede og koordinere styring, risikostyring og etterlevelse innen en organisasjon. Det handler om å sette mål, utvikle strategi og fatte beslutninger (styring), vurdere potensielle risikoer (risiko) og sikre etterlevelse av lovgivning (compliance), alt for å beskytte organisasjonens integritet og fremme optimal drift.
GRC-modning
GRC-modning (Governance, Risk, and Compliance-modning) refererer til en organisasjons evne til å effektivt håndtere og integrere styring, risikostyring og etterlevelse i sine prosesser. Det handler om hvor godt en organisasjon har utviklet sine metoder og systemer for å sikre at disse områdene er strukturerte, konsistente og i samsvar med relevante regler og retningslinjer.
Hendelseshåndtering
Hendelseshåndtering er en kritisk prosess som innebærer en strukturert tilnærming for å identifisere, rapportere, vurdere, håndtere og lære av hendelser innen en organisasjon. Denne prosessen inkluderer å etablere klare retningslinjer og policyer som sikrer et raskt og effektivt svar på hendelser for å minimere skader, driftsstopp og styrke sikkerhetstiltakene.
ISAE 3000
En ISAE 3000-erklæring er en revisjonsrapport som dokumenterer at en organisasjon har implementert nødvendige prosedyrer og kontroller for å overholde personvernforordningen og dens krav til sikkerhetstiltak.
ISAE 3402
ISAE 3402 er en internasjonal standard som benyttes ved revisjon av IT-forholdene i en organisasjon. Rapporten fungerer som dokumentasjon på at organisasjonen overholder gjeldende lovkrav innen IT-sikkerhet og generelt viser god IT-praksis.
ISMS - Information Security Management System
ISMS, eller Information Security Management System, er en strukturert tilnærming for håndtering av informasjonssikkerhet som integrerer prosesser, teknologi og personell for å beskytte organisasjonens informasjon gjennom effektiv risikostyring.
ISO 27001 kan med fordel brukes som utgangspunkt for arbeidet med informasjonssikkerhet. Selv om standarden ikke spesifiserer konkrete sikkerhetstiltak, gir den et rammeverk for beste praksis for å sikre data både internt og eksternt.
ISO 27001
ISO 27001 er en internasjonal standard som danner grunnlaget for et effektivt ledelsessystem for informasjonssikkerhet. Standardens fokus er på beste praksis og retningslinjer for håndtering av informasjonssikkerhet både internt og eksternt.
Formålet med ISO 27001 er å beskytte konfidensialitet, integritet og tilgjengelighet av organisasjonens informasjon.
ISO-standard
ISO-standarder er internasjonale standarder som gir organisasjoner et praktisk rammeverk for ulike områder, inkludert økonomi, sosialt ansvar og miljø. Å implementere en ISO-standard i en organisasjon innebærer å standardisere prosesser og prosedyrer, noe som sikrer enhetlighet og kvalitet i utførelsen av oppgaver.
Kontraktshåndtering
Kontraktshåndtering – eller contract management på engelsk – er den overordnede prosessen for å administrere en organisasjons kontrakter fra start til slutt. Dette inkluderer blant annet utarbeidelse av kontrakter, forhandlinger, oppfyllelse av kontraktsforpliktelser, reforhandling og avslutning av de juridisk bindende dokumentene. Målet er å optimalisere håndteringen og øke verdiskapingen, slik at organisasjonens kontrakter er i tråd med dens virksomhet og mål.
Leverandørstyring
Leverandørstyring handler om å evaluere, administrere og overvåke organisasjonens relasjoner med eksterne leverandører for å sikre at deres tjenester og produkter oppfyller de fastsatte standardene for kvalitet og sikkerhet. Det omfatter alt fra innledende due diligence og valg av leverandører til løpende evaluering og risikohåndtering av forretningsrelasjonene.
LIA - Legitimate interests assessment
LIA står for Legitimate Interests Assessment. En LIA gjennomføres for å dokumentere den avveiningen en organisasjon er forpliktet til å gjøre når den ønsker å behandle personopplysninger basert på interesseavveiingsregelen.
NFRD - Non-financial Reporting Directive
NFRD står for Non-Financial Reporting Directive og var et EU-direktiv som krevde at større EU-selskaper med over 500 ansatte – inkludert børsnoterte selskaper, forsikringsselskaper og banker – offentliggjorde ikke-finansiell informasjon og mangfoldsdata knyttet til ESG (miljø, sosialt ansvar og god selskapsstyring).
NFRD er siden blitt erstattet av CSRD (Corporate Sustainability Reporting Directive), som endrer og skjerper de gjeldende kravene for selskapers bærekraftsrapportering.
NIS2 - Network and Information Security 2
NIS2 er en oppdatert versjon av det opprinnelige NIS-direktivet (også kalt direktivet for nettverks- og informasjonssikkerhet). Med fokus på å styrke cybersikkerheten og beskytte kritisk infrastruktur og tjenester, utvider NIS2 virkeområdet til å omfatte et bredere spekter av sektorer og virksomheter.
NIS2 pålegger både offentlige myndigheter og private selskaper å implementere tekniske, operasjonelle og organisatoriske sikkerhetstiltak for å sikre en effektiv håndtering av risikoer som truer deres informasjonssystemer og nettverk.
OHS - Occupational Health and Safety
OHS, eller Occupational Health and Safety, refererer til praksiser og retningslinjer som har som mål å sikre et trygt og sunt arbeidsmiljø for ansatte ved å forebygge arbeidsrelaterte skader og sykdommer.
Personopplysningsloven
Personopplysningsloven er den norske loven som regulerer behandlingen av personopplysninger og implementerer EUs personvernforordning (GDPR) i norsk rett. Loven trådte i kraft 20. juli 2018 og sikrer individers rettigheter og friheter ved behandling av deres personopplysninger.
Personopplysningsloven stiller krav til blant annet åpenhet, samtykke, sikkerhet og innsynsrett, og gir enkeltpersoner mulighet til å få sine opplysninger rettet eller slettet. Den gjelder for alle virksomheter i Norge som behandler personopplysninger, samt for utenlandske virksomheter som tilbyr varer eller tjenester til personer i Norge.
Policy management
Policy management er prosessen med å utvikle, opprettholde og sikre etterlevelse av retningslinjer og regler innen en organisasjon. Hensikten er å sørge for at virksomheten følger organisasjonens verdier, mål, lovkrav og bransjestandarder.
QMS - Quality Management System
QMS, eller Quality Management System, er et strukturert system av prosedyrer og prosesser som er utformet for å forbedre effektiviteten og kvaliteten på en organisasjons produkter, tjenester og virksomhet.
Risikovurdering
En risikovurdering er en prosess der organisasjoner kan identifisere, analysere og vurdere risikoer knyttet til deres virksomhet eller en spesifikk aktivitet. Hensikten med å gjennomgå risikoene er å evaluere sannsynligheten for at uønskede hendelser inntreffer og identifisere hvilke konsekvenser det ville ha dersom organisasjonen ikke kan unngå dem.
Risk Management - Risikostyring
Risikostyring handler om å oppdage risikoer, vurdere deres potensial og bestemme hvordan de best kan håndteres av organisasjonen. Dette gir organisasjonen strategier for å balansere risikotaking mot risikoreduksjon, med det overordnede målet å forebygge eller minimere potensielle hendelser som kan redusere inntektene, føre til konkurs eller skade organisasjonens omdømme.
SFDR - Sustainable Finance Disclosure Regulation
SFDR står for Sustainable Finance Disclosure Regulation og er en EU-forordning som inneholder spesifikke retningslinjer for finansmarkedaktører og finansielle rådgiveres informasjonsplikt i forbindelse med integrering av miljømessige, sosiale og styringsrelaterte faktorer (ESG).
Informasjonskravene skal hjelpe investorer å forstå hvordan finansinstitusjoner arbeider med bærekraft, for å sikre et sterkere beslutningsgrunnlag før investeringer.
SFP - The Sustainable Finance Package
EUs Sustainable Finance Package (SFP) er et sett med tiltak som har som mål å støtte bærekraftig finansiering og investeringer i Europa. SFP er en integrert del av EUs strategi for å nå sine klimamål og bør sees på som et skritt mot å transformere den finansielle sektoren til en sentral drivkraft for vekst innen den bærekraftige økonomien i EU.
SoA - Statement of Applicability
SoA betyr "Statement of Applicability" og er en integrert og avgjørende del av ISO 27001-standarden for informasjonssikkerhet. SoA-dokumentet utgjør en obligatorisk liste over kontrolltiltak som spesifiseres i standarden. SoA fungerer som en kobling mellom risikovurdering og risikohåndtering ved å dokumentere organisasjonens aktive informasjonssikkerhetsnivå samt de valgene og unntakene som er gjort i prosessen.
Slettingspolicy
En slettingspolicy er et sett med retningslinjer og prosedyrer som skal følges hver gang personopplysninger samles inn. Allerede når personopplysningene gjøres tilgjengelige, bør organisasjonen ha en plan for når de skal slettes, samt hvordan det skal gjøres og bekreftes i systemet.
TIA - Transfer Impact Assessment
TIA står for Transfer Impact Assessment. I praksis er det en vurdering som må gjøres av partene ved en overføring av personopplysninger fra et land innenfor EU/EØS til et land utenfor EU/EØS. Partene kalles dataimportør og dataeksportør.
Third Party Risk Management - Sikkerhet i leverandørkjeden
Third Party Risk Management (TPRM) er en integrert del av organisasjonens overordnede risikostyringsstrategi og bidrar til forsyningskjedenes sikkerhet. Denne prosessen fokuserer på å identifisere, vurdere og håndtere de risikoene som er forbundet med å inngå forretningsforhold med tredjepart, som leverandører, distributører, underleverandører, tjenesteleverandører og partnere.
VSME (Voluntary Sustainability Reporting Standard)
VSME står for "Voluntary Sustainability Reporting Standard for SMEs" og er en frivillig standard for bærekraftsrapportering, spesielt utviklet for små og mellomstore bedrifter. Den ble utviklet av EFRAG for å hjelpe bedrifter med å dokumentere sine bærekraftstiltak, forbedre ESG-prestasjoner og tilpasse seg fremtidige reguleringer. VSME tilbyr et strukturert, men fleksibelt rammeverk som letter rapporteringen uten å skape en urimelig administrativ byrde.
Åpenhetsloven
Åpenhetsloven er en lov i Norge som gir forbrukerne rett til å be om dokumentasjon for at menneskerettighetene og arbeidsvilkårene for alle arbeidstakere i produksjonskjeden blir respektert og opprettholdt. Denne norske loven forplikter virksomheter til å redegjøre for de forholdene som ligger til grunn for produksjonen av varene forbrukerne kjøper.