Prosessorientering i praksis: Slik bygger du en smartere virksomhet

Prosessorientering i praksis: Slik bygger du en smartere virksomhet

Prosessorientering i praksis

Mange virksomheter kjenner seg igjen i de samme utfordringene. Viktig kunnskap sitter ofte hos enkeltpersoner, ansvar kan vÊre uklart, arbeidsmetoder varierer, og ledelsen mangler full oversikt. Dette er ofte tegn pÄ at virksomheten mangler en tydelig prosessorientering.

Prosessorientering handler ikke om Ă„ produsere mer dokumentasjon. Det handler om Ă„ skape bedre flyt i arbeidet, tydeliggjĂžre ansvar og legge til rette for kontinuerlig forbedring.

NÄr virksomheter jobber mer prosessorientert, blir de ofte mindre sÄrbare, mer effektive og bedre rustet for vekst og langsiktig virksomhetsutvikling.

Hva er prosessorientering?

Prosessorientering handler om Ă„ se virksomheten som en helhet av arbeidsprosesser som skaper verdi for kunden. Arbeidet styres etter hvordan oppgavene flyter gjennom organisasjonen, ikke bare etter avdelinger, roller eller systemer.

NÄr en virksomhet jobber prosessorientert, fÞlger ansvar prosessen fra start til slutt. ArbeidsmÄter blir standardiserte, prosesser holdes levende og utvikles kontinuerlig, og forbedring blir en naturlig del av kulturen.

Dette er en viktig forskjell. Mange tror prosessorientering er et prosjekt man gjennomfÞrer én gang, mens det i realiteten handler om langsiktig prosessledelse. I praksis er det en styringsmodell og en arbeidsmÄte som mÄ leve over tid.

Hva koster det Ä ikke ha kontroll pÄ prosessene?

Manglende prosessorientering kan fÄ store konsekvenser, bÄde operativt og strategisk. Det finnes flere typiske situasjoner som ofte oppstÄr nÄr prosessene ikke er tydelige.

NĂžkkelpersonen slutter

NÄr viktig kunnskap kun finnes i hodet til én person, blir virksomheten sÄrbar. NÄr personen slutter, forsvinner ogsÄ mye av forstÄelsen for hvordan arbeidet faktisk utfÞres. Konsekvensen er ofte betydelig tidstap, ineffektiv onboarding og hÞy risiko for feil.

Ingen vet hvem som eier hva

NÄr ansvar er uklart, blir oppgaver liggende. Kunder venter, interne avklaringer tar tid og oppfÞlging uteblir. Dette kan skape frustrasjon bÄde internt og eksternt. I verste tilfelle kan en miste kunder.

Alle gjÞr ting pÄ sin egen mÄte

Ulike arbeidsmetoder gir ulik kvalitet. Det kan fungere pÄ kort sikt, men gjÞr virksomheten uforutsigbar og vanskelig Ä forbedre. Standardisering er avgjÞrende for Ä sikre kvalitet.

Ledelsen mangler oversikt

Uten synlige prosesser blir det vanskelig Ä forstÄ hvordan arbeidet faktisk foregÄr. Beslutninger tas pÄ magefÞlelse fremfor fakta. Det gjÞr virksomheten mindre robust.

Prosessorientering i praksis

Eksempel: NÄr prosessfeil fÄr alvorlige konsekvenser

Et tydelig eksempel pÄ hvor kritiske gode prosesser er, finner vi i helsevesenet.

I perioden 2016–2017 ble det rapportert 3557 legemiddelfeil i norske sykehus, og 62 prosent av disse fĂžrte til skade pĂ„ pasienter. Noen av tilfellene hadde alvorlige konsekvenser, inkludert dĂždsfall.

Årsaken knyttes til uklare, inkonsistente eller mangelfulle prosesser. Poenget her er viktig. Feil skjer ikke nĂždvendigvis fordi mennesker er uforsiktige. Ofte skjer de pĂ„ grunn av manglende prosessorientering.

Dette gjelder ikke bare helsevesenet. I alle bransjer kan dĂ„rlige prosesser koste penger, kvalitet, tillit og i verste tilfelle – liv.

Eksempel: NÄr prosessorientering fungerer i praksis

Et av de mest kjente eksemplene pÄ vellykket prosessorientering er Toyota.

Da Toyota tok over en tidligere fabrikk fra General Motors pÄ 1980-tallet, brukte de mange av de samme ansatte, i de samme lokalene, men med en helt annen arbeidsmetodikk.

Resultatet var dramatisk. FravĂŠret falt fra rundt 20 prosent til 2 prosent. Kvaliteten Ăžkte betydelig, og leveringstiden ble kraftig redusert.

Forskjellen lÄ ikke i ny teknologi eller flere ansatte. Den lÄ i standardiserte prosesser, tydelig ansvar og en kultur for kontinuerlig forbedring.

Dette er kjernen i prosessorientering.

Dokumenter er ikke det samme som prosesser

Mange virksomheter har omfattende dokumentasjon, men mangler likevel gode prosesser.

Dokumenter og prosesser har ulike roller. Dokumenter er statiske. De mÄ leses, tolkes og forstÄs. Prosesser er visuelle og gir raskere oversikt over hvem som gjÞr hva, nÄr og hvordan.

Dette er sĂŠrlig viktig i onboarding, opplĂŠring og tverrfaglig samarbeid, hvor tydelighet og tilgjengelighet er avgjĂžrende.

Dokumenter har fortsatt en viktig rolle, spesielt innen kvalitetsstyring, men de bĂžr stĂžtte prosessene, ikke erstatte dem.

Kort sagt handler det om Ă„ la prosessen komme fĂžrst, mens dokumentene fungerer som stĂžtte der det er nĂždvendig.

Gevinstene ved Ă„ jobbe prosessorientert

Virksomheter som lykkes med prosessorientering, opplever ofte flere konkrete gevinster.

De blir mindre sÄrbare for fravÊr og utskiftninger. De reduserer feil og avvik. De skaper mer forutsigbar kvalitet. De fÄr bedre grunnlag for prosessforbedring og kan jobbe mer systematisk med Ä optimalisere arbeidsflyten. Og de blir mer skalerbare nÄr virksomheten vokser.

For ledelsen betyr det bedre beslutningsgrunnlag og mindre tid brukt pÄ avvik og brannslukking.

For medarbeiderne betyr det mindre usikkerhet, tydeligere ansvar og en enklere arbeidshverdag.

For kundene betyr det bedre kvalitet og mer forutsigbar levering.

Hva kreves for Ă„ lykkes med prosessorientering?

Prosessorientering krever mer enn Ă„ tegne opp et prosesskart.

For Ä lykkes er det fire grunnleggende byggesteiner som mÄ vÊre pÄ plass: forankring i ledelsen, tydelig prosesseierskap, god prosesskartlegging som gir synlige prosesser og kontinuerlig forbedring.

Disse fire elementene mÄ fungere sammen.

Kanskje viktigst av alt er kulturen. For Ä lykkes mÄ prosessene brukes aktivt, eies av organisasjonen og forbedres over tid.

Dette er ikke et engangsprosjekt. Det er en langsiktig endringsreise som ofte tar flere Är.

Prosessorientering i praksis

Hvor starter man med prosessorientering?

Det viktigste er Ă„ begynne.

Et godt fÞrste steg er Ä identifisere én kritisk prosess i virksomheten og stille noen enkle spÞrsmÄl. Er ansvaret tydelig? Er arbeidsflyten synlig? Jobber alle pÄ samme mÄte? Vet vi hvor flaskehalsene er?

Svarene gir ofte et ĂŠrlig bilde av hvor moden virksomheten er, og hvor det finnes stĂžrst potensial for forbedring.

Prosessorientering handler ikke om Ä endre alt pÄ én gang. Det handler om Ä skape tydelighet, bygge gode arbeidsvaner og legge grunnlaget for kontinuerlig forbedring.

Jo tidligere man starter, desto raskere kan virksomheten redusere sÄrbarhet, styrke kvaliteten og bygge en mer robust og effektiv drift.

Audhild Smith-Bergtun

Audhild Smith-Bergtun

Businesss Consultant

Audhild Smith-Bergtun er Business Consultant i Netpower og arbeider med implementering og videreutvikling av kvalitets- og HMS-arbeid i Certain QMS. Med erfaring fra flere QHSE-roller i olje- og gassindustrien bistÄr hun virksomheter med rÄdgivning innen etterlevelse, prosesser og systemstÞtte.

Ledelsens gjennomgang: Fra ISO-krav til strategisk styringsverktĂžy

Ledelsens gjennomgang: Fra ISO-krav til strategisk styringsverktĂžy

Ledelsens gjennomgang

Mange virksomheter forbinder ledelsens gjennomgang fÞrst og fremst med et krav i ISO-standardene. Men virksomheter som fÄr stÞrst verdi av prosessen, ser pÄ den som noe langt mer enn en obligatorisk aktivitet fÞr revisjon. NÄr ledelsens gjennomgang brukes riktig, blir den et strategisk verktÞy som hjelper ledelsen med Ä evaluere organisasjonens retning, identifisere risikoer og sikre kontinuerlig forbedring.

Her ser vi nÊrmere pÄ hva ledelsens gjennomgang er, hvorfor den er viktig, og hvordan virksomheter kan gjennomfÞre prosessen effektivt ved hjelp av et digitalt styringssystem som Certain QMS.

Se opptak av webinaret

Artikkelen oppsummerer webinaret vi holdt i vÄr. Du kan lese hÞydepunktene her eller se opptaket i sin helhet.

Hva er ledelsens gjennomgang?

Ledelsens gjennomgang (ogsÄ kalt ledelsens gjennomgÄelse) er en strukturert og planlagt aktivitet der virksomhetens Þverste ledelse vurderer om styringssystemet fortsatt er egnet, tilstrekkelig og effektivt.

Dette er et sentralt krav i ISO-standarder som ISO 9001, ISO 14001, ISO 45001 og ISO 27001. Hensikten er Ä sikre at styringssystemet stÞtter virksomhetens strategi og bidrar til at organisasjonen nÄr sine mÄl.

NĂ„r standardene omtaler egnethet, handler det om hvorvidt mĂ„ten virksomheten opererer pĂ„ fortsatt er i samsvar med strategien og organisasjonens behov. Tilstrekkelighet handler om hvorvidt virksomheten har de ressursene, strukturene og kompetansen som kreves for Ă„ lykkes. Effektivitet handler om resultatene – om tiltak, beslutninger og prosesser faktisk gir Ăžnsket effekt.

Mange virksomheter gjennomfÞrer ledelsens gjennomgang én gang i Äret, men en kan ogsÄ dele prosessen opp i kvartalsvise eller halvÄrlige gjennomganger. Det viktigste er at prosessen gjennomfÞres regelmessig og at den brukes aktivt av ledelsen.

Ledelsens gjennomgang er ikke et vanlig driftsmĂžte

En vanlig misforstÄelse er at ledelsens gjennomgang bare er et utvidet statusmÞte.

I virkeligheten skal gjennomgangen lÞfte blikket fra den daglige driften og gi et helhetlig bilde av organisasjonen. FormÄlet er ikke Ä diskutere enkelthendelser eller isolerte utfordringer, men Ä vurdere hvordan virksomheten fungerer som helhet.

Ledelsen skal kunne svare pÄ spÞrsmÄl som:

  • Beveger vi oss i riktig retning?
  • StĂžtter styringssystemet strategien vĂ„r?
  • Har vi risikoer som ikke er akseptable?
  • Er det behov for Ă„ justere kursen?
  • FĂ„r vi Ăžnsket effekt av tiltakene vi gjennomfĂžrer?

Gjennomgangen skal derfor vĂŠre et strategisk kontrollpunkt hvor ledelsen vurderer virksomhetens samlede utvikling.

Ledelsens gjennomgang

Hva er det egentlig som gjennomgÄs?

NÄr ISO-standardene krever at virksomheten skal gjennomgÄ styringssystemet, handler det om langt mer enn dokumentasjon og prosedyrer.

Et styringssystem bestÄr riktignok av prosesser, roller, ansvar og digitale verktÞy. Men det handler ogsÄ om hvordan organisasjonen faktisk fungerer i praksis.

Hvordan tas beslutninger? Hvordan hÄndteres risiko? Hvordan fÞlges avvik opp? Hvordan skjer lÊring og forbedring? Og hvordan oppfÞrer organisasjonen seg nÄr den blir satt under press?

Gjennom dataene som samles i styringssystemet, fÄr ledelsen et bilde av organisasjonens faktiske adferd over tid. Derfor blir ledelsens gjennomgang ogsÄ en vurdering av virksomhetskulturen.

Det handler ikke bare om hva virksomheten sier at den gjĂžr, men om hva den faktisk gjĂžr.

Hvorfor er ledelsens gjennomgang sÄ viktig?

Mange kjenner uttrykket «culture eats strategy for breakfast».

Selv den beste strategien vil fÄ begrenset effekt dersom organisasjonens kultur trekker virksomheten i en annen retning. Derfor er ledelsens gjennomgang en viktig arena for Ä undersÞke om kultur, adferd og beslutninger stÞtter den retningen virksomheten Þnsker Ä gÄ.

Hvis ansatte daglig tar beslutninger som gradvis beveger organisasjonen bort fra strategien, vil kulturen over tid fÄ stÞrre innflytelse enn ledelsens planer.

Selv om ISO-standardene sjelden bruker ordet «kultur», ligger det tydelige forventninger om dette i vurderingen av styringssystemets egnethet og effektivitet. Ledelsens gjennomgang gir derfor ledelsen en unik mulighet til Ä avdekke gap mellom strategi og faktisk praksis.

NÄr prosessen brukes riktig, blir den et viktig lederverktÞy for Ä styre utviklingen av virksomheten.

Hvilke data bÞr inngÄ i ledelsens gjennomgang?

ISO-standardene stiller krav til hvilke inndata som skal vurderes i ledelsens gjennomgang. Samtidig er det viktig Ä huske at mÄlet ikke er Ä samle mest mulig data.

Verdien ligger i analysen av dataene.

Ledelsen bÞr fokusere pÄ mÞnstre, trender og signaler som sier noe om hvordan virksomheten utvikler seg.

Typiske omrÄder som vurderes er:

  • Status pĂ„ tiltak fra tidligere ledelsens gjennomganger
  • Resultater fra revisjoner
  • Avvik og korrigerende tiltak
  • Risikoer og muligheter
  • Endringer i interne og eksterne forhold
  • MĂ„loppnĂ„else og prestasjoner
  • Ressurser og kompetanse
  • Kunde- og interessenttilbakemeldinger
  • Etterlevelse av lovkrav og andre krav

For virksomheter som er sertifisert etter flere standarder, vil enkelte krav vÊre spesifikke for den aktuelle standarden. Eksempelvis vil ISO 9001 legge stÞrre vekt pÄ kundetilfredshet, mens ISO 14001 fokuserer pÄ miljÞprestasjoner og ISO 27001 pÄ informasjonssikkerhet.

Ledelsens gjennomgang

Fra data til beslutninger

Selve verdien av ledelsens gjennomgang oppstÄr ikke nÄr data presenteres, men nÄr ledelsen diskuterer hva dataene betyr.

Hvis gjennomgangen kun bestÄr av rapportering uten refleksjon og beslutninger, gÄr virksomheten glipp av den viktigste delen av prosessen.

Ledelsen mÄ stille spÞrsmÄl som:

  • Hvorfor nĂ„r vi ikke mĂ„lene vĂ„re?
  • Hvilke utfordringer gĂ„r igjen?
  • Hvilke risikoer bĂžr prioriteres?
  • Hva forteller trendene oss om fremtiden?
  • Hvilke tiltak mĂ„ vi sette i gang?

Et Ăžkende antall avvik er for eksempel ikke nĂždvendigvis problemet i seg selv. Det interessante er hva utviklingen forteller om organisasjonen. Mangler virksomheten kompetanse? Er kapasiteten for lav? Har prioriteringene vĂŠrt feil?

Svarene pÄ disse spÞrsmÄlene danner grunnlaget for beslutninger som kan pÄvirke virksomhetens videre utvikling.

Dokumentasjon og oppfĂžlging er avgjĂžrende

En god diskusjon har liten verdi dersom den ikke resulterer i konkrete handlinger.

Beslutningene fra ledelsens gjennomgang mÄ derfor dokumenteres og fÞlges opp systematisk. Dette kan vÊre:

  • Korrigerende tiltak knyttet til avvik
  • Forbedringsforslag
  • Nye mĂ„l eller prioriteringer
  • Ressursbeslutninger
  • Endringer i prosesser eller arbeidsmetoder

Alle tiltak bĂžr ha tydelige ansvarlige personer, forventede resultater og planlagte frister.

OppfÞlgingen er avgjÞrende for Ä sikre at tiltakene faktisk gir Þnsket effekt. Hvis et tiltak ikke fungerer som planlagt, mÄ virksomheten evaluere hvorfor og eventuelt justere kursen.

Kontinuerlig forbedring skjer ikke fordi man registrerer et problem. Den skjer fordi man fĂžlger opp til problemet er lĂžst.

Hvordan kan Certain QMS stĂžtte ledelsens gjennomgang?

I mange virksomheter ligger informasjonen som trengs for ledelsens gjennomgang spredt i ulike systemer, dokumenter og regneark. Det gjÞr prosessen bÄde tidkrevende og sÄrbar.

I Certain QMS kan ledelsens gjennomgang struktureres gjennom bruk av Ärshjul, oppgaver, risiko, avvik, revisjoner, dokumentstyring og rapportering.

Et Ärshjul gjÞr det mulig Ä planlegge aktiviteter, fordele ansvar og sikre at gjennomgangen gjennomfÞres pÄ faste intervaller. Samtidig kan virksomheten hente innsikt fra relevante moduler som:

  • Avvik og forbedringer
  • Risikovurderinger
  • Revisjoner
  • Sjekklister og kontroller
  • Dokumentstyring
  • Register for lovkrav og samsvarsvurderinger
  • Dashboards og rapporter

Ved Ä samle informasjonen pÄ ett sted fÄr ledelsen et bedre grunnlag for Ä identifisere trender, fÞlge opp beslutninger og dokumentere at kravene i ISO-standardene er oppfylt.

Ledelsens gjennomgang som en del av virksomhetsstyringen

De mest modne organisasjonene ser ikke pÄ ledelsens gjennomgang som en Ärlig ISO-Þvelse. De bruker den som et aktivt styringsverktÞy for Ä sikre at strategi, kultur og drift trekker i samme retning.

NĂ„r prosessen planlegges godt, bygger pĂ„ relevante data og fĂžrer til konkrete beslutninger, blir ledelsens gjennomgang en viktig del av virksomhetens ledelse og kontinuerlige forbedringsarbeid. Da handler den ikke lenger om Ă„ tilfredsstille et krav i en standard – men om Ă„ skape bedre resultater.

Audhild Smith-Bergtun

Audhild Smith-Bergtun

Businesss Consultant

Audhild Smith-Bergtun er Business Consultant i Netpower og arbeider med implementering og videreutvikling av kvalitets- og HMS-arbeid i Certain QMS. Med erfaring fra flere QHSE-roller i olje- og gassindustrien bistÄr hun virksomheter med rÄdgivning innen etterlevelse, prosesser og systemstÞtte.

Styringssystem for informasjonssikkerhet

Styringssystem for informasjonssikkerhet

Informasjonssikkerhet

Certain QMS er et fullverdig kvalitetsstyringssystem med funksjonalitet for styringsprosesser, dokumentasjon, risikovurdering, revisjon med mer. Systemet dekker ogsÄ kravene til et virksomhetsomfattende styringssystem for informasjonssikkerhet (ISMS).

Det betyr at virksomheter kan bruke Certain QMS til Ä etablere, fÞlge opp og dokumentere informasjonssikkerhet pÄ en strukturert og oversiktlig mÄte, uten ekstra programvare eller separate ISMS-verktÞy.

Denne artikkelen forklarer hvordan du kan bruke Certain QMS til Ă„ etablere og forvalte et komplett ISMS. Vi gĂ„r gjennom relevante funksjoner i systemet, og beskriver hva som fĂžlger med av ferdige maler, hjelpedokumentasjon og verktĂžy i ISMS‑pakken vĂ„r.

Certain QMS: Et helhetlig ISMS-verktĂžy

Certain QMS stÞtter hele livssyklusen for informasjonssikkerhetsarbeid, fra etablering til kontinuerlig forbedring, og passer bÄde for virksomheter som Þnsker Ä sertifiseres etter ISO 27001 og for de som Þnsker et strukturert ISMS uten formell sertifisering.

Systemet gir deg verktĂžyene du trenger for Ă„:

  • Etablere ISMS: FĂ„ tilgang til ferdige prosedyrer, policyer og prosessmodeller som kan tilpasses din virksomhet.
  • Planlegge og fĂžlge opp: Bruk Ă„rshjul-funksjonalitet til Ă„ planlegge aktiviteter og oppgaver, tildele ansvar og sikre at oppgaver gjennomfĂžres og dokumenteres.
  • Vurdere risiko: Risikomodulen gir oversikt og kontroll, og gjĂžr det enkelt Ă„ fĂžlge opp tiltak.
  • HĂ„ndtere personvern: DPIA-prosessen stĂžtter vurdering av behandlinger med hĂžy risiko, og kobles til risikovurdering og tiltak.
  • Sikre samsvar: Samsvarsmodulen hjelper deg Ă„ dokumentere at krav fra lov, standarder og kunder overholdes.
  • Dokumentere behandling: Behandlingsprotokollen gir oversikt over virksomhetens behandlinger av personopplysninger, og fungerer som en integrert del av ISMS.

Hva er et ISMS?

Et styringssystem for informasjonssikkerhet (ISMS) er et rammeverk som hjelper virksomheter Ă„ beskytte informasjon systematisk. Det gir struktur for hvordan man identifiserer risikoer, setter inn tiltak, dokumenterer sikkerhetstiltak og fĂžlger opp over tid.

HovedmÄl med ISMS:

  • Informasjon skal alltid vĂŠre konfidensiell, korrekt og tilgjengelig for de som trenger den
  • Overholdelse av lovkrav, standarder og interne retningslinjer

PÄ samme mÄte som et kvalitetsstyringssystem (QMS), kombinerer et ISMS prosesser, rutiner, retningslinjer og dokumentasjon for Ä gi virksomheten et tydelig rammeverk.

Et ISMS gjĂžr det mulig Ă„:

  • Vurdere og hĂ„ndtere risikoer knyttet til informasjon
  • Sikre at tiltak fĂžlges opp og dokumenteres
  • TydeliggjĂžre roller og ansvar for sikkerhet
  • Dokumentere samsvar med standarder og lovkrav
  • Kontinuerlig forbedre informasjonssikkerheten

Ved Ă„ bruke Certain QMS som ISMS fĂ„r virksomheten alle nĂždvendige verktĂžy samlet pĂ„ ett sted – fra dokumentkontroll og risikovurdering til sjekklister, prosesser og revisjon – slik at implementering og oppfĂžlging blir oversiktlig og helhetlig.

Hvorfor er et ISMS viktig for virksomheten?

Et ISMS gir ledelsen et systematisk rammeverk for Ä dokumentere og fÞlge opp at virksomheten overholder lovkrav, forskrifter og bÄde interne og eksterne krav knyttet til informasjonssikkerhet og personvern.

HovedÄrsaker til Ä ha et ISMS:

  • Lov- og regelverk: Et ISMS gjĂžr det mulig Ă„ dokumentere at virksomheten fĂžlger gjeldende lover og forskrifter, som personopplysningsloven / GDPR og NIS2-direktivet for kritisk infrastruktur, eller sektor-spesifikke krav.
  • Standarder og sertifiseringer: ISO 27001 og andre internasjonale standarder setter krav til styring av informasjonssikkerhet, og et ISMS gir et dokumentert grunnlag for etterlevelse og eventuelle sertifiseringer.
  • Forventninger fra kunder: Flere kunder krever at leverandĂžrer har systematisk styring av informasjonssikkerhet, og et ISMS gir dokumentasjon pĂ„ dette.
  • Risiko- og sĂ„rbarhetshĂ„ndtering: Systemet gjĂžr det mulig Ă„ identifisere og hĂ„ndtere risikoer knyttet til informasjon, samtidig som oppfĂžlging og kontroll dokumenteres.
  • Kontinuerlig forbedring: Ved Ă„ etablere et systematisk rammeverk kan virksomheten fĂžlge opp tiltak, dokumentere resultat og stadig forbedre sikkerhetsnivĂ„et.

Med et ISMS kan man dokumentere at virksomheten tar informasjonssikkerhet pÄ alvor, bÄde overfor myndigheter og kunder.

En prosessorientert tilnĂŠrming til ISMS

Certain QMS stĂžtter en prosessorientert tilnĂŠrming til styring, noe som betyr at informasjonssikkerhetsarbeidet organiseres rundt prosesser fremfor funksjoner eller avdelinger.

Informasjonssikkerhetsarbeidet etableres som et eget prosessomrÄde hvor bÄde hovedprosesser og underprosesser er modellert. Dette gjÞr det lettere Ä se helheten i arbeidet og hvor ansvaret ligger.

Dokumentasjon kobles til prosessene

All dokumentasjon (prosedyrer, veiledere, instrukser, maler med mer) kobles til relevante aktiviteter i prosessen, og ligger ogsÄ logisk organisert i et eget mappeomrÄde for informasjonssikkerhet. Brukerne kan navigere via prosessene eller mappestrukturen.

Alle dokumenter har full versjonskontroll, og bÄde dokumenter og prosesser kan styres med rollebasert tilgang, slik at kun autoriserte brukere ser relevant innhold.

Årshjul for informasjonssikkerhetsarbeidet

Certain QMS stĂžtter en prosessorientert tilnĂŠrming til styring, noe som betyr at informasjonssikkerhetsarbeidet organiseres rundt prosesser fremfor funksjoner eller avdelinger.

Informasjonssikkerhetsarbeidet etableres som et eget prosessomrÄde hvor bÄde hovedprosesser og underprosesser er modellert. Dette gjÞr det lettere Ä se helheten i arbeidet og hvor ansvaret ligger.

Årshjul for etablering av ISMS

Årshjulet for etablering av ISMS hjelper deg med Ă„ gjennomfĂžre oppstartsarbeidet pĂ„ en strukturert mĂ„te, slik at ISMS etableres korrekt fra starten.

Innhold:

  • 12-mĂ„neders strukturert plan
  • Aktiviteter med tydelige hjelpetekster og oppgaver
  • GrĂžnn status vises nĂ„r oppgaver er gjennomfĂžrt

Eksempler pÄ aktiviteter gjennom Äret:

  • Januar: Kartlegge eksisterende sikkerhetsarbeid
  • Mai: GjennomfĂžre risikovurdering
  • Juli: Etablere kontrolltiltak og sikkerhetsrutiner
  • Desember: FullfĂžre og publisere ISMS
Årshjul etablering av ISMS Certain QMS

Årshjul for etablering av ISMS.

Årshjul for kontinuerlig forbedring

Etter at ISMS er etablert skal systemet holdes levende. Dette Ärshjulet gir en mal for Ärlig vedlikehold, oppfÞlging og forbedring.

Aktiviteter inkluderer:

  • Revisjon av tidligere risikovurderinger
  • Internrevisjon og ledelsens gjennomgang
  • OpplĂŠring og bevisstgjĂžring
  • Kontroll av behandlingsprotokoll og DPIA-behov

Ferdige dokumentmaler for ISMS

Certain QMS kan leveres med et komplett malsett for ISMS som gir virksomheten et solid utgangspunkt for Ă„ dokumentere og fĂžlge opp informasjonssikkerhet.

Malene er laget for Ä kunne tilpasses den enkelte virksomhet, samtidig som de sikrer at alle nÞdvendige elementer er pÄ plass.

Malsettet dekker:

  • ISMS-policy
  • Alle nĂždvendige prosedyrer, som hendelseshĂ„ndtering, tilgangsstyring og drift
  • DPIA-prosedyre og maler
  • Revisjonsplan og revisjonsrapport
  • Ledelsens gjennomgang

Dokumentmalene har:

  • Feltlister med hjelpetekst som veileder brukeren
  • Etablerte innholdsmaler som kan hentes inn i dokumentene der det er relevant

DPIA-stĂžtte i Certain QMS

En DPIA (Data Protection Impact Assessment) er en konsekvensvurdering av hvordan en behandling av personopplysninger kan pÄvirke enkeltpersoners rettigheter og friheter. GjennomfÞring av DPIA er pÄkrevd nÄr behandlingen kan medfÞre hÞy risiko for de registrerte.

Certain QMS stĂžtter hele DPIA-prosessen ved Ă„ kombinere sjekklister, dokumentmaler og risikovurdering.

Slik stĂžtter systemet DPIA-arbeidet:

  • Sjekkliste for vurdering av DPIA-behov
  • Veileder for vurdering i trĂ„d med Datatilsynet
  • Risikoanalysemal for gjennomfĂžring av DPIA
  • Bestillingsfunksjon for
  • Hendelsesregister for personvernrisiko
  • Egne konsekvensomrĂ„der for personvernrettigheter, konfidensialitet, tilgjengelighet, integritet, omdĂžmme, lovkrav og forskrifter

Bestilling av risikoanalyse

I Certain QMS kan brukere sende en bestilling om risikoanalyse direkte i systemet. Dette gjÞr det mulig for personvernansvarlig, informasjonssikkerhetsansvarlig eller andre relevante roller Ä fÄ varsel om at en analyse av et system eller en prosess mÄ gjennomfÞres.

Funksjonen sikrer tydelig ansvar og effektiv oppfĂžlging, uten at alle som jobber med DPIA eller prosesser trenger Ă„ gjennomfĂžre selve analysen.

DPIA-dokumentmal

NÄr en DPIA er gjennomfÞrt, kan resultatene dokumenteres i en egen DPIA-mal i Certain QMS. Malen hjelper deg Ä systematisk oppsummere formÄl, behandlingsaktivitet, vurdert risiko, tiltak og konklusjon. Innebygde hjelpetekster og en tydelig struktur sikrer at alle relevante elementer dekkes, ogsÄ for brukere uten spesialkompetanse innen personvern.

Dokumentet kan kobles direkte til behandlingsprotokollen, og fungerer som virksomhetens dokumenterte bevis pÄ at vurderingen er gjennomfÞrt i trÄd med GDPR artikkel 35. DPIA-dokumentasjonen kan benyttes i ledelsens gjennomgang, interne kontroller eller eksterne revisjoner, og sikrer bÄde sporbarhet og etterlevelse.

Dokumentmal oppsummering gjennomfĂžrt DPIA Certain QMS

Dokumentmal for oppsummering av gjennomfĂžrt DPIA.

Systematisk risikoarbeid for informasjonssikkerhet

Certain QMS tilbyr et verktĂžy som dekker hele risikoarbeidet, fra planlegging til oppfĂžlging:

  • Planlegging
  • Risikoanalyse
  • Risikoevaluering
  • Risikostyring

I lÞsningen legges informasjonssikkerhet inn som et eget risikoomrÄde. Analysen leveres med en ferdig konfigurert mal som inkluderer relevante konsekvensomrÄder, akseptansenivÄer og forhÄndsdefinerte hendelser som skal vurderes. Det forhÄndsdefinerte hendelsesregisteret effektiviserer arbeidet for analysegruppen, slik at de kan fokusere pÄ vurdering og prioritering av risiko fremfor Ä starte fra blanke ark nÄr mulige trusler skal identifiseres.

Alle steg og felter i analysen har rikelig med hjelpetekster som guider brukeren gjennom prosessen. Hjelpetekstene kan ogsÄ tilpasses virksomheten, og konsekvensnivÄene er beskrevet med forklarende tekster for Ä stÞtte vurderingene.

Malen for risikoanalysen stĂžtter:

  • ForhĂ„ndsdefinerte hendelser, Ă„rsaker og tiltak
  • Flere konsekvensomrĂ„der, inkludert KIT + personvernrettigheter
Analysemal for DPIA Certain QMS

Analysemal for DPIA.

Visuell og dynamisk oversikt over risikobildet

Certain QMS gir en visuell fremstilling av risikobildet gjennom bÄde risikomatriser og tabellvisninger. Dette gjÞr det enkelt Ä forstÄ og kommunisere hvilke trusler som er vurdert som mest kritiske, og hvilke tiltak som er iverksatt.

I tillegg tilbyr lÞsningen en dynamisk risikorapport hvor man kan filtrere pÄ risikoomrÄder, ansvarlige, avdelinger og andre parametere. Dette gir virksomheten et nÄtidsspeil av det faktiske risikobildet, basert pÄ hvilke analyser som er gjennomfÞrt og vurdert.

 

Rapporten gjĂžr det mulig Ă„:

  • Se samlet risiko innenfor omrĂ„der som informasjonssikkerhet, personvern eller IKT-drift
  • Identifisere risikoer som mangler tiltak eller har hĂžy restusikkerhet
  • Gi ledelsen en oppdatert og dokumentert oversikt over virksomhetens risikoprofil

Dette stÞtter systematisk oppfÞlging, gjÞr revisjoner enklere og sikrer at risikoarbeidet er forankret og synliggjort pÄ tvers av organisasjonen.

Risikostyring med tiltak og handlingsplan

NÄr risikoanalysen er gjennomfÞrt, utarbeides en tiltaksplan for Ä redusere risikoen knyttet til informasjonssikkerhet. Tiltaksplanen danner grunnlaget for risikostyringen, hvor risikoeier tar ansvar for oppfÞlgingen.

I Certain QMS kan alt dette hÄndteres direkte i lÞsningen, og oppgaver som skal utfÞres kan tildeles fra verktÞyet.

I styringsfasen kan risikoeier:

  • Prioritere tiltak for iverksetting
  • Akseptere restrisiko
  • Delegere ansvar for gjennomfĂžring av tiltak
  • Sette frister for tiltak og oppfĂžlging
  • Registrere kostnader knyttet til implementering
  • FĂžlge status og fremdrift for hvert tiltak

Risikostyringen avsluttes nÄr risikoeier har vurdert effekten av iverksatte tiltak, kvittert ut restrisiko og formulert en endelig konklusjon for arbeidet.

Samsvarsregister

Et samsvarsregister er en oversikt over krav fra lovverk, standarder og interne retningslinjer, koblet til relevant dokumentasjon i styringssystemet. I Certain QMS er samsvarsregisteret en av mange tilgjengelige funksjoner som hjelper virksomheten med Ă„ holde oversikt og sikre etterlevelse.

For ISO 27001 Annex A er alle 93 kontroller ferdig registrert i systemet. Hver kontroll har en forklaring pÄ hva den innebÊrer, og statusfelt som viser om kravet er oppfylt eller ikke. Dette gjÞr det enkelt Ä bruke registeret i revisjoner, gap-analyser og forbedringsarbeid.

Et ferdig malsett for GDPR-artikkelregister kan ogsÄ utarbeides som en del av leveransen.

Samsvarsregistermannex A ISO 27001

Samsvarsregistermannex A ISO 27001.

Behandlingsprotokoll og GDPR

Certain QMS tilbyr en tabellbasert dokumentmal for behandlingsprotokoll som fÞlger kravene i GDPR artikkel 30 og norsk personopplysningslov. Malen inkluderer felter for behandlingsgrunnlag, typer personopplysninger, lagring, sikkerhetstiltak og andre relevante opplysninger.

Dokumentasjonen kan ogsÄ lenkes til tilknyttede DPIA-er og samsvarsvurderinger, slik at virksomheten enkelt fÄr oversikt over alle koblinger mellom behandlinger, risiko og lovkrav.

OppfĂžlging og versjonskontroll

Som en del av arbeidet med behandlingsprotokollen stÞtter Certain QMS ogsÄ kontroll av protokollen gjennom Ärshjulet for kontinuerlig forbedring. Versjonsstyring og tilgjengelighet av behandlingsprotokoll hÄndteres direkte i dokumentmodulen, slik at alle endringer og oppdateringer enkelt kan fÞlges opp.

TilgjengeliggjĂžring og deling av dokumentasjon

Certain QMS stÞtter publisering av utvalgte dokumenter pÄ interne eller Äpne portaler. Dette gjÞr at ansatte, kunder og samarbeidspartnere kan fÄ tilgang til relevant informasjon uten Ä mÄtte navigere i hele systemet.

Dette bidrar til samsvar ved at alle relevante parter alltid har tilgang til korrekt og oppdatert dokumentasjon. PÄ denne mÄten stÞttes krav til etterlevelse, opplÊring og internkontroll, samtidig som viktige prosesser og rutiner blir transparente for alle som trenger dem.

Leder som fĂžlger opp informasjonssikkerhet ISMS

ISMS-pakke for Certain QMS

Ferdig installert og klart til bruk

VĂ„r ISMS-pakke leveres ferdig konfigurert og installert pĂ„ kundens egen Certain QMS-installasjon. Hver pakke gir virksomheten alt som trengs for Ă„ etablere, dokumentere og fĂžlge opp et informasjonssikkerhetsstyringssystem i trĂ„d med ISO 27001 og GDPR:

  • ISMS-dokumentasjon: prosedyrer, policyer og prosessmodeller
  • Årshjul for etablering
  • Årshjul for kontinuerlig forbedring
  • Risikoanalysemaler for informasjonssikkerhet
  • DPIA-stĂžtte med sjekklister, veiledere og risikomaler
  • Samsvarsregister for ISO 27001 og mulighet for GDPR-artikkelregister
  • Dokumentmal for behandlingsprotokoll
  • Full versjonskontroll og rollebasert tilgang for all dokumentasjon

Pakkene er klare til bruk fra dag én, men kan tilpasses virksomhetens behov og eksisterende prosesser.

Kontakt oss for demonstrasjon og pris.

SharePoint som arbeidsflate for kvalitetssystem

SharePoint som arbeidsflate for kvalitetssystem

Certain QMS SharePoint

En forutsetning for Ă„ lykkes med kvalitetsstyring og forbedring er at alle ansatte har rask og enkel tilgang til intern dokumentasjon og interne rapporteringssystemer.

Derfor har vi valgt Ă„ gjĂžre funksjonene som alle ansatte skal bruke, tilgjengelige i SharePoint.

SharePoint er kjent og brukervennlig

Å ta i bruk «enda et IT-system» kan vĂŠre krevende for ansatte som ikke har et direkte ansvar for utviklingen virksomhetens HMSK-prosesser. Samtidig skal hele virksomheten dra nytte av HMSK-arbeidet som gjĂžres i kvalitetssystemet.

Med SharePoint som arbeidsflate kan ansatte sÞke opp interne prosedyrer og prosesser, samt melde inn avvik uten Ä forlate intranettet. Notifikasjoner i SharePoint og snarveier til leselister sikrer at informasjon nÄr ut til alle ansatte.

Rask og enkel tilgang til oppdatert og relevant informasjon er nþkkelen til forbedring – og det kan vi tilby med SharePoint som arbeidsflate.

Hva kan man gjĂžre i SharePoint?

I SharePoint har vi samlet de viktigste funksjonene for virksomhetens ansatte, samt gode varslinger for oppgaver som krever behandling direkte i Certain QMS.

Avvik

Alle typer avvik, forbedringsforslag eller varslinger om kritikkverdige forhold kan registreres av ansatte direkte i SharePoint.

Saksbehandlere av avvik og andre typer saker fÄr notifikasjoner i SharePoint som viser status pÄ fÞlgende:

  • Antall nye saker som mĂ„ tildeles en saksbehandler
  • Antall egne saker under behandling
  • Antall oppgaver og tiltak som ikke er lukket
  • Antall saker som har overskredet intern tidsfrist

Prosesser

  • SĂžk opp prosesser
  • Naviger i prosesslandskap
  • Lese og klikke pĂ„ aktiviteter i prosesser

Ansatte som produserer eller har ansvar for virksomhetens prosesser fÄr egne notifikasjoner som viser hvor mange prosesser som ikke er godkjent eller som har passert revisjonsfristen.

Dokumenter

  • SĂžk opp dokumenter
  • Lese dokumenter
  • Avgi lesebekreftelse

Ansatte som produserer eller har ansvar for virksomhetens dokumentasjon fÄr egne notifikasjoner som viser hvor mange dokumenter som er til godkjenning eller hÞring, eller som har passert revisjonsfristen.

Leselister

  • Visning av tilpasset leseliste som gjelder for den ansattes rolle/stilling
  • Notifikasjon som viser antall uleste dokumenter i leselisten

Risiko

Ansatte som utfÞrer risikovurderinger i Certain QMS fÄr notifikasjoner som viser antall egne risikoanalyser under arbeid, og antall risikoreduserende tiltak som ikke er lukket.

Nyttig for flere typer brukere

Certain QMS er en digital lÞsning som skal brukes pÄ ulike mÄter og til ulike oppgaver, avhengig av hvilken rolle man har i virksomheten. For alle med leder- eller HMSK-ansvar vil Certain QMS vÊre et viktig fag- og styringssystem.

For ansatte som jobber direkte i fagsystemet, med for eksempel utarbeidelse av dokumentasjon, risikoanalyser eller saksbehandling av avvik, vil SharePoint ogsÄ vÊre nyttig for varslinger og statusmeldinger.

Den delen av SharePoint som er personlig tilpasset viser nye saker, uleste dokumenter eller frister for revisjon og saksbehandling. Dette gir de ansvarlige en kjapp oversikt over oppgaver som venter og en praktisk snarvei rett til arbeidsflaten i Certain QMS.

Brukerkontoen i SharePoint er koblet til brukerkontoen i Certain QMS, derfor vil alltid informasjon og tilganger vÊre tilpasset hver enkelt ansatt og deres rolle.

Marte Sunde

Marte Sunde

Business Consultant

Marte Sunde er Business Consultant for Certain QMS, med spesialisering innen kvalitetsledelse og HMS-systemer. Hun arbeider i skjĂŠringspunktet mellom operativ praksis og digitale lĂžsninger, og hjelper organisasjoner med Ă„ implementere og forbedre styringssystemer som sikrer etterlevelse, struktur og kontinuerlig forbedring.

ISO 42001: Standarden for AI-styringssystemer

ISO 42001: Standarden for AI-styringssystemer

ISO 42001 rådgivning

ISO 42001 er verdens fÞrste internasjonale standard for AI-styringssystemer. Standarden gir virksomheter et rammeverk for Ä styre risiko, ansvar, transparens og kontinuerlig forbedring knyttet til bruk av kunstig intelligens (KI). 

Etter hvert som kunstig intelligens blir en stadig viktigere del av virksomheters arbeidsprosesser, Þker ogsÄ kravene til kontroll, dokumentasjon og ansvarlig bruk. Samtidig innfÞrer EU nye reguleringer gjennom AI Act. Dette gjÞr at stadig flere virksomheter Þnsker Ä etablere et AI-styringssystem basert pÄ ISO 42001. 

I denne artikkelen forklarer vi hva ISO 42001 er, hvem standarden er relevant for, hvilke krav den stiller, hvordan den henger sammen med AI Act og hvordan virksomheter kan arbeide mot sertifisering. 

Hva er ISO 42001?

ISO/IEC 42001:2023 er verdens fÞrste internasjonale standard for styringssystemer for kunstig intelligens. Standarden er utviklet av ISO (International Organization for Standardization) og IEC (International Electrotechnical Commission) og beskriver kravene til et Artificial Intelligence Management System (AIMS), ofte omtalt som et AI-styringssystem. 

PÄ samme mÄte som ISO 9001 gir et rammeverk for kvalitetsstyring og ISO 27001 gir et rammeverk for informasjonssikkerhet, gir ISO 42001 et rammeverk for styring av kunstig intelligens. 

MÄlet er Ä hjelpe virksomheter med Ä bruke AI pÄ en ansvarlig, dokumentert og kontrollert mÄte. Standarden dekker bÄde utvikling, anskaffelse, implementering og bruk av AI-systemer. 

ISO 42001 kan brukes av virksomheter i alle bransjer og stÞrrelser, enten de utvikler egne AI-lÞsninger eller benytter AI-teknologi levert av andre. 

Hvorfor ble ISO 42001 utviklet?

AI skaper store muligheter for effektivisering, innovasjon og bedre beslutningsstÞtte. Samtidig introduserer teknologien nye typer risiko som tradisjonelle styringssystemer ikke fullt ut adresserer. 

Virksomheter mÄ blant annet hÄndtere spÞrsmÄl som: 

  • Hvordan sikrer vi at AI-modeller gir pĂ„litelige resultater?  
  • Hvordan oppdager vi skjevheter eller diskriminering i AI-systemer?  
  • Hvordan dokumenterer vi beslutninger som er pĂ„virket av AI?  
  • Hvordan ivaretar vi personvern og informasjonssikkerhet?  
  • Hvem har ansvar dersom AI gir feil anbefalinger eller beslutningsgrunnlag?  
  • Hvordan overvĂ„ker vi AI-systemer som utvikler seg over tid?  

ISO 42001 ble utviklet for Ä gi virksomheter en strukturert metode for Ä hÄndtere disse utfordringene gjennom etablerte styringsprinsipper, risikostyring og kontinuerlig forbedring. 

Certain QMS rådgivning

Hvem er ISO 42001 relevant for?

Mange antar at ISO 42001 kun er relevant for teknologiselskaper som utvikler egne AI-modeller. I praksis er mÄlgruppen langt bredere. Standarden er relevant for alle virksomheter som utvikler, leverer eller bruker AI i sine produkter, tjenester eller arbeidsprosesser.

    Vanlige virksomheter

    Bedrifter som bruker verktÞy som Microsoft Copilot, ChatGPT eller andre AI-funksjoner i sine daglige arbeidsprosesser. 

    Helse og offentlig sektor

    Organisasjoner som bruker AI til analyse, beslutningsstÞtte eller automatisering av arbeidsprosesser. 

    Industri og produksjon

    Selskaper som bruker AI til prediktivt vedlikehold, kvalitetskontroll eller produksjonsoptimalisering. 

    Finans og forsikring

    Virksomheter som benytter AI til risikovurderinger, svindeldeteksjon eller automatiserte beslutningsprosesser. 

    Programvareselskaper

    Virksomheter som utvikler AI-baserte produkter eller bygger AI-funksjonalitet inn i eksisterende lÞsninger. 

    Konsulent- og rÄdgivningsselskaper

    Virksomheter som bistÄr kunder med AI-rÄdgivning, implementering eller utvikling. 

    Bruker du allerede AI i virksomheten?

    Mange virksomheter tenker pÄ AI som avanserte sprÄkmodeller eller spesialutviklede lÞsninger. Realiteten er at mange organisasjoner allerede bruker AI i dag uten Ä ha et bevisst forhold til det. 

    AI er i ferd med Ä bli en integrert del av: 

    • Microsoft 365  
    • CRM-systemer  
    • ERP-lĂžsninger  
    • Analyse- og rapporteringsverktĂžy  
    • MarkedsfĂžringsplattformer  
    • Kundeservicesystemer  
    • RekrutteringsverktĂžy  

    Dette betyr at behovet for AI governance ikke bare gjelder virksomheter som utvikler AI. Det gjelder ogsÄ virksomheter som bruker AI som en del av sine arbeidsprosesser. 

    Hva er et AI-styringssystem?

    Et AI-styringssystem, ogsÄ kalt et styringssystem for kunstig intelligens, er summen av prosesser, roller, retningslinjer, kontroller og dokumentasjon som sikrer ansvarlig bruk av AI i virksomheten. 

    MÄlet er ikke Ä kontrollere teknologien alene. MÄlet er Ä kontrollere hvordan virksomheten bruker teknologien. 

    Et AI-styringssystem bidrar blant annet til: 

    • Klare roller og ansvar  
    • Systematisk risikostyring  
    • Kontroll pĂ„ data og modeller  
    • Dokumentasjon av beslutninger  
    • OvervĂ„kning av AI-systemer  
    • HĂ„ndtering av avvik  
    • Kontinuerlig forbedring  

    PÄ samme mÄte som andre ISO-baserte styringssystemer skal AI-styringssystemet vÊre en integrert del av virksomhetens ledelse og drift. 

    Hvordan er ISO 42001 bygget opp?

    ISO 42001 fÞlger den samme harmoniserte strukturen som brukes i moderne ISO-standarder. Dette gjÞr det enklere Ä integrere standarden med eksisterende styringssystemer som ISO 9001 og ISO 27001. 

    Kravene er organisert i fĂžlgende hovedkapitler.

    Kapittel 4 – Organisasjonens kontekst

    Virksomheten mÄ forstÄ hvordan AI pÄvirker interessenter, forretningsmÄl og omgivelser. 

    Kapittel 5 – Lederskap

    Ledelsen mÄ etablere politikk, ansvar og mÄl for AI-styringssystemet. 

    Kapittel 6 – Planlegging

    Virksomheten mÄ identifisere risikoer, muligheter og nÞdvendige tiltak. 

    Kapittel 7 – Stþtte

    Krav til kompetanse, ressurser, kommunikasjon og dokumentasjon. 

    Kapittel 8 – Drift

    Styring av AI-relaterte aktiviteter og prosesser. 

    Kapittel 9 – Evaluering av ytelse

    OvervÄkning, mÄling, intern revisjon og ledelsens gjennomgang. 

    Kapittel 10 – Forbedring

    HÄndtering av avvik og kontinuerlig forbedring av styringssystemet. 

    Certain QMS rådgivning

    Hvilke krav stiller ISO 42001?

    Selv om standarden inneholder mange detaljerte krav, er det noen sentrale temaer som gÄr igjen. 

    AI governance

    Virksomheten mÄ etablere tydelige styringsmekanismer for bruk av kunstig intelligens. Dette innebÊrer blant annet roller, ansvar, beslutningsprosesser og rapportering. 

    Risikostyring

    AI-relaterte risikoer mÄ identifiseres, vurderes og hÄndteres systematisk. Risikoene kan vÊre tekniske, juridiske, etiske eller forretningsmessige. 

    Konsekvensvurderinger

    Standarden legger stor vekt pÄ Ä forstÄ hvilke konsekvenser AI-systemer kan fÄ for mennesker, organisasjonen og samfunnet. 

    Livssyklusstyring

    AI-systemer skal styres gjennom hele livssyklusen: 

    • Planlegging
    • Utvikling
    • Testing
    • Implementering
    • Drift
    • OvervĂ„kning
    • Avvikling

    Datastyring

    Virksomheten mÄ ha kontroll pÄ kvaliteten, opprinnelsen og bruken av data som benyttes i AI-systemer. 

    Transparens

    Interessenter mÄ fÄ nÞdvendig informasjon om hvordan AI brukes og hvilke konsekvenser bruken kan ha. 

    Kontinuerlig forbedring

    AI-styringssystemet skal evalueres og forbedres over tid pÄ samme mÄte som andre ledelsessystemer.

    Vi kan bistÄ med ISO 42001

    Ta kontakt for Ă„ hĂžre hvordan vi kan hjelpe din virksomhet!

    Hvilke virksomheter bĂžr etablere et AI-styringssystem?

    Det finnes ingen fasit, men enkelte virksomheter vil ha stÞrre behov enn andre. 

    Et AI-styringssystem er spesielt relevant dersom virksomheten: 

    • Utvikler egne AI-lĂžsninger  
    • Leverer AI-baserte tjenester til kunder  
    • Bruker AI i beslutningsprosesser  
    • Behandler personopplysninger gjennom AI  
    • Opererer i regulerte bransjer  
    • Forventer krav fra kunder eller myndigheter knyttet til AI  

    Mange virksomheter opplever allerede at kunder stiller spÞrsmÄl om hvordan AI brukes, hvilke data som benyttes og hvilke kontroller som er etablert. 

    Certain QMS rådgivning

    Hvordan skiller ISO 42001 seg fra ISO 9001?

    ISO 9001 handler om kvalitetsstyring. 

    ISO 42001 handler om styring av kunstig intelligens. 

    Begge standardene bygger pÄ risikobasert tenkning, ledelsesforankring og kontinuerlig forbedring. ISO 42001 introduserer imidlertid krav som er spesifikke for AI. 

    Dette inkluderer blant annet: 

    • AI-risikovurderinger  
    • Datastyring  
    • Transparens  
    • Menneskelig kontroll  
    • Konsekvensvurderinger  
    • AI-spesifikk governance  

    For virksomheter som allerede er sertifisert etter ISO 9001 vil mye av strukturen vÊre kjent. 

    Hvordan skiller ISO 42001 seg fra ISO 27001?

    ISO 27001 fokuserer pÄ informasjonssikkerhet. 

    ISO 42001 fokuserer pÄ styring av kunstig intelligens. 

    Det finnes betydelig overlapp mellom standardene, spesielt innen: 

    • Risikostyring  
    • LeverandĂžrstyring  
    • Dokumentasjon  
    • Intern revisjon  
    • Ledelsens gjennomgang  
    • Kontinuerlig forbedring  

    Mange virksomheter vil derfor kunne integrere ISO 42001 med eksisterende styringssystemer basert pÄ ISO 27001. 

    Hva er forskjellen mellom ISO 42001 og AI governance?

    AI governance beskriver disiplinen eller fagomrÄdet som handler om styring av kunstig intelligens. 

    ISO 42001 er en konkret standard som beskriver hvordan virksomheter kan etablere et styringssystem for AI governance. 

    Man kan derfor si at: 

    • AI governance er mĂ„let.  
    • ISO 42001 er rammeverket.  

      PÄ samme mÄte som informasjonssikkerhet er fagomrÄdet, mens ISO 27001 er standarden som beskriver hvordan arbeidet kan organiseres. 

      Hvordan henger ISO 42001 sammen med EU AI Act?

      AI Act er EUs regelverk for kunstig intelligens. 

      ISO 42001 er en internasjonal standard for AI-styringssystemer. 

      Dette er to forskjellige ting, men de har mange felles temaer. 

      AI Act stiller juridiske krav til bestemte typer AI-systemer. ISO 42001 gir et styringsrammeverk som kan hjelpe virksomheter med Ä etablere prosesser, ansvar og dokumentasjon som stÞtter etterlevelse av disse kravene. 

      Begge fokuserer blant annet pÄ: 

      • Risikostyring  
      • Dokumentasjon  
      • Transparens  
      • Ansvarlighet  
      • OvervĂ„kning  
      • Menneskelig kontroll 

      Kan ISO 42001 hjelpe virksomheten med AI Act?

      Ja. ISO 42001 er en internasjonal standard og kan sertifiseres gjennom akkrediterte sertifiseringsorganer pÄ samme mÄte som ISO 9001 og ISO 27001. 

      Interessen for ISO 42001 er fortsatt i en tidlig fase i Norge, men mange forventer at etterspÞrselen vil Þke betydelig etter hvert som AI Act fÄr stÞrre betydning og AI tas i bruk i stadig flere virksomheter. 

      Hvordan blir man sertifisert etter ISO 42001?

      Veien til sertifisering vil variere mellom virksomheter, men bestÄr ofte av fÞlgende steg: 

      1. Kartlegg dagens bruk av AI

      Identifiser hvilke AI-systemer som brukes i virksomheten. 

      2. GjennomfĂžr en gap-analyse

      Sammenlign dagens praksis med kravene i ISO 42001. 

      3. Etabler et AI-styringssystem

      Definer roller, ansvar, prosesser og nÞdvendig dokumentasjon. 

      4. Implementer nĂždvendige kontroller

      GjennomfÞr tiltak knyttet til risikostyring, datastyring og governance. 

      5. GjennomfĂžr intern revisjon

      Kontroller at styringssystemet fungerer som planlagt. 

      6. GjennomfĂžr ledelsens gjennomgang

      Ledelsen mÄ evaluere systemets effektivitet og modenhet. 

      7. Sertifiseringsrevisjon

      Et akkreditert sertifiseringsorgan gjennomfÞrer revisjon og vurderer om kravene er oppfylt. 

      Hvordan komme i gang med ISO 42001?

      For mange virksomheter er det viktigste fÞrste steget Ä skaffe oversikt. 

      Start med Ä kartlegge: 

      • Hvilke AI-verktĂžy som brukes i virksomheten  
      • Hvem som bruker dem  
      • Hvilke data som behandles  
      • Hvilke risikoer som finnes  
      • Hvilke krav kunder eller myndigheter stiller  

      Deretter kan virksomheten etablere et styringssystem som bygger videre pÄ eksisterende prosesser for kvalitet, informasjonssikkerhet, personvern og risikostyring. 

      Certain QMS rådgivning

      RÄdgivning og stÞtte pÄ veien mot sertifisering

      ISO 42001 er verdens fÞrste internasjonale standard for AI-styringssystemer. Standarden gir virksomheter et strukturert rammeverk for Ä styre risiko, ansvar, transparens og kontinuerlig forbedring knyttet til bruk av kunstig intelligens. 

      Etter hvert som AI blir en stadig viktigere del av hvordan virksomheter arbeider, tar beslutninger og leverer tjenester, vil behovet for AI governance og dokumentert styring Þke. 

      For virksomheter som Þnsker Ä etablere et AI-styringssystem, forberede seg pÄ AI Act eller dokumentere modenhet innen ansvarlig bruk av kunstig intelligens, vil ISO 42001 sannsynligvis bli en av de viktigste standardene i Ärene som kommer. 

      Oppsummering

      ISO 42001 er verdens fÞrste internasjonale standard for AI-styringssystemer. Standarden gir virksomheter et strukturert rammeverk for Ä styre risiko, ansvar, transparens og kontinuerlig forbedring knyttet til bruk av kunstig intelligens. 

      Etter hvert som AI blir en stadig viktigere del av hvordan virksomheter arbeider, tar beslutninger og leverer tjenester, vil behovet for AI governance og dokumentert styring Þke. 

      For virksomheter som Þnsker Ä etablere et AI-styringssystem, forberede seg pÄ AI Act eller dokumentere modenhet innen ansvarlig bruk av kunstig intelligens, vil ISO 42001 sannsynligvis bli en av de viktigste standardene i Ärene som kommer. 

      Snakk med oss om styringssystemer for AI

      Vi hjelper virksomheter med rÄdgivning, etablering og videreutvikling av styringssystemer for AI. Ta kontakt for Ä hÞre hvordan vi kan hjelpe deg!

      Mirjam Meling

      Mirjam Meling

      Marketing & Communication Manager

      Produserer innhold for Certain QMS om ledelsessystemer, kvalitetsstyring, informasjonssikkerhet og AI governance. Hun samarbeider med fagspesialister for Ä formidle komplekse temaer pÄ en tydelig og praktisk mÄte.