Ordbog for GRC-begreber
Få indsigt i nogle af de essentielle grundbegreber, der er nødvendige for at navigere effektivt i GRC-landskabet og forstå RISMAs tilgang til governance, risk og compliance.
ABC står for Anti-Bribery and Corruption, som på dansk oversættes til anti-bestikkelse og korruption. Begrebet refererer til de politikker, procedurer og foranstaltninger, en organisation igangsætter for at forhindre, opdage og håndtere bestikkelse og korrupte handlinger. Disse bestræbelser kan være forankret i række lovgivninger – både internationale og nationale – som har til formål at fremme en etisk forretningspraksis og sikre, at organisationer opererer med integritet
AML står for Anti-money laundering. På dansk oversættes det til anti-hvidvask og beskriver processen med at forhindre, identificere og rapportere mistænkelige finansielle transaktioner, der kan være tegn på hvidvaskning af penge. Disse bestræbelser er forankret i række lovgivninger – både internationale og nationale – som har til formål at forhindre, at kriminelle kan misbruge det finansielle system til at hvidvaske penge og finansiere terrorisme.
Anneks A er en integreret del af ISO 27001-standarden, der opregner en række klassificerede sikkerhedskontroller, som organisationer skal bruge til at demonstrere compliance med standarden. Anneks A indeholder 93 kontroller fordelt på fire kategorier:
- Organisatoriske
- Menneskelige
- Fysiske
- Teknologiske.
APV er en forkortelse for arbejdspladsvurdering og er lovpligtig proces for organisationer med ansatte. Formålet med en arbejdspladsvurdering er identificere risici eller problemer i arbejdsmiljøet for derved at kortlægge og evaluere arbejdsmiljøforholdet. Dette gøres ved at undersøge de fysiske, psykiske og sociale faktorer på arbejdspladsen, hvorefter organisationen skal vurdere, hvordan den ønsker at håndtere og mitigere disse.
Artikel 15 er en del af EU’s databeskyttelsesforordning (GDPR) og centrerer sig om den registreredes ret til indsigt i egne personoplysninger. Retten til indsigt indebærer, at den registrerede kan anmode om at se de personoplysninger, en organisation behandler om dem, samt få information om selve databehandlingsaktiviteterne. Formålet med Artikel 15 er at skabe gennemsigtighed i databehandlingen og sikre større datakontrol til den registrerede.
Artikel 20 er en del af EU’s databeskyttelsesforordning (GDPR) og handler om den registreredes ret til dataportabilitet. Retten indebærer, at den registrerede har ret til at modtage en kopi af de personoplysninger, som vedkommende selv har oplyst til organisationen. Disse skal udleveres i et almindeligt anvendt og maskinlæsbart format.
Samtidig giver artikel 20 den registrerede mulighed for at anmode om, at disse oplysninger overføres direkte til en anden dataansvarlig uden hindring – forudsat at det er teknisk muligt.
Artikel 30 er en del af EU’s databeskyttelsesforordning (GDPR) og kommer i forlængelse af forordningens fokus på ansvarlighed. Artiklen fastsætter kravet om at den dataansvarlige skal udarbejde en fortegnelse over organisationens behandlingsaktiviteter. Samtidig skal en databehandler udarbejde en fortegnelse over behandlingsaktiviteter, som de gør på vegne af en dataansvarlig.
Artikel 32 er en del af EU’s databeskyttelsesforordning (GDPR) og fokuserer på sikkerheden omkring behandlingen af personoplysninger hos både dataansvarlige og databehandlere. Den pålægger organisationer at implementere tekniske og organisatoriske sikkerhedsforanstaltninger, der matcher risikoen ved datahåndteringen.
Samtidig specificerer artiklen, at personoplysninger kun behandles af autoriseret personale efter instrukser fra den dataansvarlige, databehandler eller i overensstemmelse med national eller EU-lovgivning. Formålet er at sikre en høj grad af sikkerhed og beskyttelse af persondat
Begrebet compliance betyder på dansk "overholdelse" og kan beskrives som processen med leve op til gældende lovgivning, standarder og krav for organisationen – fx branchespecifikke standarder, GDPR og etiske normer.
Formålet med compliance er at sikre, at organisationen forebygger overtrædelser af disse regler, hvilket understøtter højere kvalitetsstandarder, skaber tillid hos interessenter og øger transparensen i organisationens aktiviteter. Compliance er en dynamisk proces, der kræver løbende opmærksomhed og tilpasning til nye regler eller ændrede forretningsforhold.
Contract management – eller kontraktstyring som det kaldes på dansk – er den overordnede proces med at administrere en organisations kontrakter fra start til slut. Dette indebærer bl.a. udarbejdelse af kontrakter, forhandling, opfyldelse af kontraktlige forpligtelser, genforhandling og afslutning af de juridisk bindende dokumenter. Dette har til henblik at optimere håndteringen og øge værdiskabelsen, så organisationens kontrakter er alignet med dens forretning og målsætninger.
CSDDD er en forkortelse for Corporate Sustainability Due Diligence Directive og er et direktiv fra EU, der stiller krav til organisationer om due diligence på miljø- og menneskerettighedsområdet.
I praksis betyder det, at organisationer underlagt direktivet skal gennemføre due diligence-processer i forbindelse med sine aktiviteter og værdikæder for at identificere, forebygge, og afbøde negative påvirkninger på menneskerettigheder og miljø. Direktivet sigter mod at få visse virksomheder til at tage ansvar for deres indvirkninger på omverdenen gennem reelle lovkrav fremfor ved anbefalinger.
CSR, som står for Corporate Social Responsibility, beskriver organisationers indsats for at integrere sociale og miljømæssige hensyn i deres daglige drift. Gennem en veldefineret CSR-strategi sætter en organisation mål og iværksætter tiltag, der bidrager positivt til samfundet og miljøet. Denne tilgang er ikke kun afgørende for at nå bæredygtighedsmål, men spiller også en vigtig rolle i at forbedre virksomhedens omdømme og langsigtede succes.
CSRD står for Corporate Sustainability Reporting Directive og er et EU-direktiv, der sætter en række krav til virksomheders bæredygtighedsrapportering. Målet med direktivet er at standardisere rapporteringsprocesserne og forbedre gennemsigtigheden inden for bæredygtighed i hele Europa. Dette vil gøre det nemmere for investorer, leverandører og kunder at forstå og vurdere en organisations bæredygtighedsindsats.
En databehandleraftale er en juridisk kontrakt mellem en dataansvarlig og en databehandler, der fastlægger vilkår og betingelser for behandling af personoplysninger. Aftalen er designet til at sikre, at begge parter forstår deres respektive roller og ansvar i forbindelse med behandling af personoplysninger og overholder gældende databeskyttelseslovgivning.
Databeskyttelsesloven er en dansk lov, der fungerer som et supplement til EU’s GDPR. Hvor GDPR sætter den overordnede ramme for databeskyttelse i EU, tilpasser og præciserer databeskyttelsesloven anvendelsen af GDPR til specifikke danske forhold. Databeskyttelsesloven modsiger således ikke GDPR, men fokuserer på at udfylde og detaljere områder, hvor der er behov for yderligere klarhed eller tilpasning til det danske marked
Dataetik fokuserer på ansvarlig og reflekteret indsamling, bearbejdning, og anvendelse af data. Ud over at bidrage til compliance med lovgivningen, indebærer dataetik en dyb respekt for individets data, anerkender deres værdi og sikrer deres beskyttelse. Dette princip bør ikke kun være en juridisk forpligtelse men integreres som en kerneværdi i virksomhedens kultur, fra ledelsen til hver enkelt medarbejder.
D-mærket er en frivillig mærkningsordning, der fremmer it-sikkerhed og ansvarlig dataanvendelse, baseret på anerkendte standarder og nyeste forskning. Skabt gennem et samarbejde mellem Industriens Fond, Dansk Industri, Dansk Erhverv, SMVdanmark, og Forbrugerrådet Tænk, tilbyder det virksomheder en måde at demonstrere og synliggøre deres digitale ansvarlighed over for forbrugere.
DORA, Digital Operational Resilience Act, er en EU-forordning, hvis intention er at styrke den digitale operationelle modstandsdygtighed inden for den finansielle sektor og udbydere af informations- og kommunikationsteknologi (IKT-tjenester).
Forordningen fokuserer på beskyttelse af finansielle sektors kritisk infrastruktur gennem krav om grundig leverandørstyring og regelmæssige trusselsbaserede evalueringer, som sikrer en forbedret beskyttelse af informationssystemerne.
Double materiality, eller dobbelt væsentlighed på dansk, er princippet om, at organisationer ikke kun påvirker miljøet og samfundet (Impact Materiality), men også at bæredygtighedsrisici kan økonomisk påvirke organisationen (financial materiality)
Corporate Sustainability Reporting Directive (CSRD) kræver, at virksomheder integrerer double materiality-princippet i deres rapportering for at give et gennemsigtigt og pålideligt indblik i, hvordan deres aktiviteter påvirker miljøet og samfundet, samt hvilke bæredygtighedsrisici de står over for
DPIA er kort for Data Protection Impact Assessment og et krav i forbindelse med EU’s persondataforordning. Det er en proces, der hjælper organisationer med at identificere og mitigere databeskyttelsesrisici, som kan påvirke et datasubjekts privatliv.
DPO er en forkortelse for det engelske Data Protection Officer, som vi på dansk kalder en databeskyttelsesrådgiver. Det er DPO’ens rolle at rådgive og før opsyn med at den dataansvarlige overholder reglerne i databeskyttelsesforordningen. Mens alle offentlige myndigheder er påkrævet at have en DPO, skal private virksomheder kun udpege en, hvis de opfylder specifikke betingelser relateret til behandlingen af persondata.
EBA – eller the European Banking Authority – er en EU-myndighed, der har til opgave at sikre ensartet regulering og tilsyn med banksektoren på tværs af EU’s medlemslande. Formålet er at fremme finansielt stabilitet og effektivitet.
EIOPA – eller 'the European Insurance and Occupational Pensions Authority' – er en EU-myndighed, hvis mission er at beskytte offentlighedens interesser ved at bidrage til den finansielle systems stabilitet og effektivitet for EU's økonomi, borgere og virksomheder. Dette gøres gennem reguleringer og tilsynspraksiser.
ESG, som står for Environmental (miljø), Social (samfund) og Governance (ledelse), repræsenterer en tilgang, hvor organisationer vurderer og forbedrer deres bæredygtighedsindsats på tværs af disse tre nøgleområder. Denne metode anvendes blandt andet i forbindelse med CSRD, og den gør det muligt for organisationer at kvantificere og kommunikere deres bæredygtige bidrag og påvirkning indenfor miljø, socialt ansvar og god virksomhedsledelse.
En ESG-rapport tilbyder en detaljeret og gennemsigtig oversigt over en organisations præstationer inden for miljømæssige, sociale og ledelsesmæssige aspekter. Den muliggør sammenligning og vurdering af bæredygtighedsinitiativer på tværs af virksomheder og sektorer. Gennem rapporten udstilles organisationens kerneværdier, kultur og strategi for bæredygtighed, hvilket giver interessenter indsigt i håndteringen af ESG-relaterede risici og muligheder.
ESRS, eller European Sustainability Reporting Standards, udviklet af EFRAG, sætter rammerne for, hvordan virksomheder skal rapportere om deres bæredygtighedsindsats. Disse omfatter 12 standarder inden for miljø, social ansvarlighed og god virksomhedsledelse, og inkluderer krav til at beskrive strategi, mål og værdikæder i forbindelse med de tværgående områder, samt definere væsentlighed.
Overordnet dækker de 12 ESRS’er over:
-
Generelle principper og overordnede oplysningskrav
-
Specifikke oplysningskrav med fokus på 10 ESG-emner
EU green deal er en række initiativer, der først skal muliggøre en reducering af den nuværende CO2-udledning med 55% frem mod 2030 (sammenlignet med 1990-niveauet) og senere klimaneutralitet. Formålet med den europæiske grønne pagt er at øge den effektive brug af ressourcer ved at gå over til en ren, cirkulær økonomi og stoppe klimaforandringerne, vende tabet af biodiversitet og reducere forureningen.
EU's taksonomi er en del af EU's klimastrategi med målet om at opnå klimaneutralitet senest i 2050. Det introducerer et ensartet klassifikationssystem, der definerer, hvilke økonomiske aktiviteter der betragtes som bæredygtige. Dette skaber en standardiseret tilgang til at definere bæredygtighed, hvilket gør det lettere for virksomheder at fremvise og kommunikere deres bæredygtighedsindsatser.
Financial Materiality refererer til de aspekter af organisationens aktiviteter, der har en betydelig indvirkning på de økonomiske resultater. Det kan omfatte en bred vifte af faktorer, fra operationelle og juridiske risici til miljømæssige og sociale konsekvenser
Finansielle kontroller er sikkerhedsinstanser, der er etableret for at sikre en effektiv, stærk og pålidelig finansiel rapportering, mens risikoen for væsentlige fejl mitigeres. De er relevante for både store og små virksomheder, og der er flere grunde til at have et effektivt kontrolmiljø og stærke arbejdsredskaber på området.
GDPR står for General Data Protection Regulation - og er den europæiske persondataforordning. GDPR styrker individers rettigheder over deres personoplysninger og pålægger organisationer ansvar for sikker databehandling og -beskyttelse. Organisationer er forpligtede til at opfylde specifikke databeskyttelseskrav og demonstrere compliance ved at dokumentere, at deres interne procedurer og politikker er i overensstemmelse med GDPR's krav.
Governance, eller corporate governance, refererer til de regler, strukturer, processer og retningslinjer, der er fundamentale for en virksomheds drift og ledelse. Det omfatter principper for etik, risikostyring, compliance og effektiv administration med målet om at sikre ansvarlig beslutningstagning, ansvarlighed og gennemsigtighed på tværs af organisationen.
GRC står for Governance, Risk og Compliance og repræsenterer en holistisk tilgang til at lede og koordinere governance, risikohåndtering og overholdelse af regler inden for en organisation. Det handler om at sætte mål, lægge strategi samt træffe beslutinger (governance), vurdere potentielle risici (risk) og sikre overensstemmelse med lovgivningen (compliance), alt sammen med det formål at sikre organisationens integritet og fremme optimal drift.
Impact Materiality er en del af den bredere ESG-tilgang, der tager højde for organisationens påvirkning på en række områder, herunder klimaforandringer, menneskerettigheder, arbejdstagerrettigheder, korruption og mange flere.
Incident management er en kritisk proces, der indebærer en struktureret tilgang til at identificere, rapportere, vurdere, håndtere og lære af hændelser inden for en organisation. Denne proces inkluderer fastlæggelse af klare retningslinjer og politikker, der sikrer en hurtig og effektiv reaktion på hændelser for at minimere skader, nedetid og styrke sikkerhedsforanstaltningerne.
En ISAE 3000-erklæring er en revisorerklæring, der dokumenterer, at en organisation har implementeret de nødvendige procedurer og kontroller for at overholde databeskyttelsesforordningen og dens krav til sikkerhedsforanstaltninger.
ISAE 3402 er en international standard, der anvendes i forbindelse med revision af it-forholdene hos en given organisation. Erklæringen fungerer som dokumentation for, at organisationen at lever op til alle gældende lovkrav inden for it-sikkerhed og generelt udviser god it-skik.
ISMS, eller Information Security Management System, er en struktureret tilgang til håndtering af informationssikkerhed, der integrerer processer, teknologi og personale for at beskytte organisationens informationer gennem effektiv risikostyring.
ISO 27001 kan med fordel anvendes som udgangspunkt for arbejdet med informationssikkerhed Selvom standarden ikke foreskriver specifikke sikkerhedsforanstaltninger, tilbyder den en ramme af bedste praksisser for at sikre data både internt og eksternt
ISO 27001 er en international standard, der udgør grundlaget for et effektivt ledelsessystem til informationssikkerhed. Standarden fokuserer på best practices og retningslinjer til håndtering af informationssikkerhed både internt og eksternt.
Formålet med ISO 27001 er at beskytte fortrolighed, integritet og tilgængelighed af organisationens information.
ISO 27701 – standarden for privatlivsbeskyttelse – er en udvidelse af ISO 27001 Ved at introducere specifikke arbejdsgange og foranstaltninger, der styrker privatlivsbeskyttelsen inden for en organisation. Med fokus på aspekter som dataklassificering, adgangskontrol, risikovurdering og incidenthåndtering, fungerer ISO 27701 som et praktisk værktøj til at fremme overholdelse af GDPR.
ISO-standarder er international standarder, som tilbyder organisationer en praktisk ramme inden for diverse områder, herunder økonomi, det sociale og miljøet. At implementere en ISO-standard i en organisation betyder at standardisere processer og procedurer, hvilket sikrer ensartethed og kvalitet i udførelsen af opgaver
Leverandørstyring handler om at evaluere, administrere og overvåge organisationens forhold til eksterne leverandører for at sikre, at deres ydelser og produkter overholder de fastsatte standarder for kvalitet og sikkerhed. Det omfatter alt fra indledende due diligence og udvælgelse af leverandører til løbende evaluering og risikostyring af forretningsrelationerne.
LIA står for Legitimate Interests Assessment. En LIA udføres for at dokumentere den afvejning, man som organisation er forpligtet til at foretage, når man ønsker at behandle persondata på baggrund af interesseafvejningsreglen.
NFRD er forkortelsen for Non-Financial Reporting Directive, og var et EU-direktiv, der krævede, at større EU-virksomheder med over 500 ansatte - inklusive børsnoterede virksomheder, forsikringsselskaber og banker - offentliggjorde ikke-finansiel og mangfoldighedsinformation relateret til ESG (miljø, social ansvarlighed og god virksomhedsledelse).
NFRD er sidenhen blevet erstattet af CSRD (Corporate Sustainability Reporting Directive), som ændrer og skærper de nuværende krav til virksomheders bæredygtighedsrapportering.
NIS2 er en opdateret version af det oprindelige NIS-direktiv (også kaldet Net- og Informationssikkerhedsdirektivet). Med fokus på at forbedre cybersikkerheden og beskytte vitale infrastrukturer og tjenester, udvider NIS2 anvendelsesområdet til at inkludere et bredere spektrum af sektorer og virksomheder.
NIS2 pålægger både offentlige myndigheder og private virksomheder at implementere tekniske, operationelle og organisatoriske sikkerhedsforanstaltninger for at sikre en effektiv håndtering af de risici, der truer deres informationssystemer og netværk.
NSIS står for National Standard for Identiteters Sikringsniveauer. NSIS er den danske implementering af den europæiske eIDAS-forordning, der er designet til at sikre, at borgere i EU kan tilgå offentlige systemer på tværs af landene. NSIS spiller en væsentlig rolle for identitetsløsninger som MitID, MitID Erhverv og NemLog-in samt for en række decentrale løsninger.
QMS, eller Quality Management System, er et struktureret system af procedurer og processer, der er designet til at forbedre effektiviteten og kvaliteten af en organisations produkter, tjenester og drift.
En risikovurdering en proces, hvor organisationer kan identificere, analysere og vurdere risici forbundet med deres virke eller en given aktivitet. Formålet ved at kigge på risici forbundet med en organisations aktivitet er at evaluere risikoen for at uønskede hændelser sker og identificere, hvad konsekvenserne vil være i tilfælde af, at organisationen ikke kan undgå den.
Risk management handler om at opdage risici, evaluere deres potentiale og bestemme, hvordan de bedst håndteres af organisationen. Dette udstyrer organisationen med strategier for at afveje risikotagning mod risikoreduktion, med det overordnede mål at forebygge eller minimere potentielle hændelser, der kunne mindske indtægter, føre til konkurs, eller skade organisationens omdømme.
SFDR står for Sustainable Finance Disclosure Regulation og er en EU-forordningen, som indeholder konkrete anvisninger vedrørende finansielle markedsdeltageres og finansielle rådgiveres oplysningsforpligtelser i forbindelse med integrering af miljømæssige, sociale og ledelsesmæssige forhold (ESG).
Oplysningskravene skal hjælpe investorer med at gennemskue, hvordan finansielle institutioner arbejder med bæredygtighed for at sikre et stærkere beslutningsgrundlag forud for investering.
EU's Sustainable Finance Package (SFP) er en pakke af foranstaltninge rettet mod understøtte bæredygtig finansiering og investeringer i Europa. SFP er en integreret del af EU's strategi for at opnå sine klimamål, og skal ses som skridt i retning af omdannelse af den finansielle sektor til en central drivkraft for vækst i bæredygtig økonomi i EU.
En slettepolitik er et sæt af retningslinjer og procedurer, der skal følges, hver gang personoplysninger indhentes. Allerede når personoplysningerne bliver gjort tilgængelige, bør organisationen have en plan for, hvornår de skal slettes igen, samt hvordan det bliver gjort og bekræftet i systemet.
SoA betyder "Statement of Applicability" og er en integreret og afgørende del af ISO 27001-standarden for informationssikkerhed. SoA-dokumentet udgør en obligatorisk liste over kontrolforanstaltninger, der er specificeret i standarden. SoA fungerer som en forbindelse risikovurderingen med risikohåndteringen ved at dokumentere organisationens aktive informationssikkerhedsniveau samt til- og fravalg den har taget i processen.
TIA står for Transfer Impact Assessment. I praksis er det en vurdering, der skal foretages af parterne til en overførsel af persondata fra et land indenfor EU/EØS til et land udenfor EU/EØS. Parterne kaldes dataimportør og dataeksportør.
Third Party Risk Management (TPRM) er en integreret del af organisationens overordnede risikostyringsstrategi og bidrager til forsyningskædesikkerhed. Denne proces fokuserer på at identificere, vurdere og styre de risici, der er forbundet med at indgå i forretningsrelationer med tredjeparter såsom leverandører, distributører, underleverandører, serviceudbydere og partnere.
Åbenhedsloven eller Åpenhetsloven er lov i Norge giver forbrugerne ret til at anmode om dokumentation for, at menneskerettighederne og arbejdsvilkårene for alle lønmodtagere i produktionskæden er respekteret og opretholdt. Denne norske lov forpligter virksomheder til redegøre for de forhold, der ligger til grund for produktionen af de varer, som forbrugerne køber.
En GRC-platform der bringer hele organisationen sammen
Styrk organisationen ved at forbinde teams, politikker, processer og rapportering i en integreret GRC-platform.
Uanset om du implementerer én, to eller flere af GRC-platformens løsninger, er platformen garant for øget samarbejde, større gennemsigtighed og tidsbesparelser, som skaber stor værdi.
STRØMLINEDE KONTROLLER
Automatiser, dokumentér og rapportér ubesværet alle kontroller – inklusiv vurdering, mitigering og overvågning i én platform.
ORGANISERET RISIKOSTYRING
Definer, analysér, vurder og mitiger din organisations risici, og brug din indsigt til at opnå strategiske fordele.
EFFEKTIVISERET ESG
Sæt klare mål og dokumenter din fremdrift for at sikre, at strategien for bæredygtighed bliver omsat til handling.