Governance

Governance er den styringsstruktur, der definerer, hvordan din organisation træffer beslutninger, fordeler ansvar og sikrer kontrol. I en compliance-kontekst er governance det fundament, der gør det muligt at overholde lovgivning, styre risici og dokumentere, at du handler ansvarligt.

Tilbage til ordbog

Hvad er governance?

Governance handler om styring. Det er de strukturer, processer og regler, der bestemmer, hvordan din organisation ledes, hvem der træffer hvilke beslutninger, og hvordan du sikrer, at beslutningerne er forsvarlige.

I en compliance-sammenhæng er governance den ramme, der gør det muligt at arbejde systematisk med lovgivning, regulering og interne standarder. Uden governance risikerer du, at compliance-arbejdet bliver ad hoc, og at vigtige beslutninger træffes uden tilstrækkeligt grundlag.

God governance kræver tre ting: klare roller og ansvarsfordelinger, veldefinerede beslutningsprocesser og tilstrækkelig kontrol og overvågning. Det lyder enkelt, men i praksis er det en af de største udfordringer for mange organisationer.

Governance er tæt knyttet til din compliance-ramme. Rammen definerer, hvad du skal overholde, mens governance definerer, hvordan du organiserer jer for at gøre det.

Governance, Risk og Compliance (GRC)

GRC er en integreret tilgang, der samler governance, risikostyring og compliance i én sammenhængende struktur. Idéen er at undgå siloer, hvor hver afdeling arbejder isoleret med deres del af puslespillet.

Governance sætter retningen og definerer, hvem der har ansvar for hvad. Risikostyring identificerer og vurderer trusler, der kan forhindre organisationen i at nå sine mål. Compliance sikrer, at organisationen overholder de krav, den er underlagt.

Når de tre discipliner arbejder sammen, får du et mere komplet billede. En risikovurdering informerer governance-beslutninger, og governance-strukturen sikrer, at compliance-krav bliver taget alvorligt på ledelsesniveau.

Compliance management er det praktiske værktøj, der binder GRC sammen i den daglige drift.

Governance i lovgivningen

Flere reguleringer stiller direkte krav til governance:

GDPR kræver ansvarlighed (accountability). Du skal kunne demonstrere, at du overholder forordningen. Det forudsætter klare roller, dokumenterede processer og en DPO, hvis din organisation er forpligtet til at udpege en.

NIS2 stiller eksplicitte krav om, at ledelsen godkender og overvåger cybersikkerhedsforanstaltninger. Ledelsen kan holdes personligt ansvarlig, og direktivet kræver, at de deltager i relevant træning.

DORA kræver, at ledelsesorganet i finansielle virksomheder tager aktivt ansvar for IKT-risikostyring, herunder godkendelse af politikker og overvågning af implementering.

ISO 27001 kræver ledelsesengagement og en klar informationssikkerhedspolitik godkendt af topledelsen. Ledelsesgennemgang er et formelt krav i standarden.

Governance i praksis

Effektiv governance starter med at definere roller. Hvem ejer compliance-programmet? Hvem rapporterer til ledelsen? Hvem har beslutningskompetence til at acceptere risici?

Opret et compliance-udvalg eller governance-board med repræsentanter fra relevante funktioner: juridisk, IT, sikkerhed, HR og forretningen. Udvalget bør mødes regelmæssigt og have et klart mandat fra ledelsen.

Dokumentér dine politikker og procedurer og sørg for, at de godkendes af de rette personer. En politik, der ikke er godkendt af ledelsen, har ingen autoritet.

Brug intern revision til at verificere, at governance-strukturen fungerer. Revisionen bør være uafhængig af de funktioner, den vurderer, og rapportere direkte til ledelsen eller bestyrelsen.

Sørg for sikkerhedsbevidsthed i hele organisationen. Governance er ikke kun et ledelsesspørgsmål. Alle medarbejdere skal forstå deres rolle og ansvar.

Ofte stillede spørgsmål om governance

Hvad er forskellen på governance og compliance?

Governance er den overordnede styringsstruktur, der definerer, hvordan organisationen ledes og kontrolleres. Compliance er en del af governance og handler specifikt om at overholde lovgivning og regulering. God governance skaber rammerne for effektiv compliance.

Hvad betyder GRC?

GRC står for Governance, Risk og Compliance. Det er en integreret tilgang, hvor styringsstrukturer, risikostyring og compliance-arbejde samles i én sammenhængende ramme, så organisationen undgår siloer og dobbeltarbejde.

Hvem har ansvaret for governance?

Bestyrelsen og den øverste ledelse har det overordnede ansvar for governance. De definerer retningen, godkender politikker og sikrer, at der er tilstrækkelig kontrol og overvågning på plads.

Kræver GDPR en governance-struktur?

GDPR kræver ikke eksplicit en governance-struktur, men forordningens krav om ansvarlighed (accountability), dokumentation og organisatoriske foranstaltninger forudsætter i praksis, at du har klare styringsstrukturer for databeskyttelse.