For en moderne SaaS- og konsulentvirksomhet som Nobly er compliance ikke en isolert disiplin, men en integrert del av å levere tillit, kvalitet og stabil drift til kunder i regulerte bransjer.
Da Nobly skulle løfte compliancearbeidet sitt til neste nivå og for første gang oppnå en ISAE 3000 type II-erklæring, i kombinasjon med ISAE 3402, ble NorthGRC et sentralt omdreiningspunkt i arbeidet.
Emilie Løyche er compliance officer hos Nobly og rapporterer til Head of IT Operations. Hennes ansvar er å sikre at Nobly etterlever relevante lovkrav og interne retningslinjer – særlig innen personvern og informasjonssikkerhet.
– Mitt fokus er å omsette compliance-krav til praktiske og skalerbare løsninger som passer inn i en SaaS-virksomhet som vår, forklarer Emilie.
Nobly har også en DPO som håndterer databrudd og personvern, mens Emilie driver det daglige compliancearbeidet og sørger for at kravene operasjonaliseres i organisasjonen.
I desember oppnådde Nobly for første gang en ISAE 3000 type II-erklæring. Tidligere hadde selskapet en type I-erklæring, men flere kunder etterspurte dokumentasjon som viste effektiviteten av Noblys kontroller over tid – ikke bare et øyeblikksbilde.
– Type II-erklæringen var viktig for vår modenhet, sier Emilie. Den gir et bilde av hvordan kontrollene våre fungerer over tid – og ikke bare på et bestemt tidspunkt, slik type I gjør.
For Nobly betyr den nye erklæringen at selskapet kan gi kundene enda sterkere dokumentasjon på at IT-sikkerheten fungerer i praksis. Noblys erklæringsoppsett er en kombinasjon av ISAE 3000 og ISAE 3402, der ISO 27001 brukes som rammeverk – ikke som sertifiseringsstandard.
Arbeidet med erklæringene ble samlet på ett sted.
– Det mest imponerende er faktisk at vi ikke har brukt andre verktøy enn NorthGRC i compliancearbeidet vårt, forteller Emilie. All dokumentasjon ligger der. Vi har etablert et ISAE-bibliotek med kontroller, retningslinjer, stikkprøver og et årshjul med alle aktiviteter.
Nobly ga også revisorene sine audit-tilgang til NorthGRC, slik at all dokumentasjon kunne nås direkte i plattformen.
– Revisorene har vært veldig positive. Det har gjort arbeidet mye enklere at alt var samlet og lett å finne.
I det daglige bruker Emilie særlig årshjulet i NorthGRC til å planlegge og fordele oppgaver.
– Jeg bruker årshjulet veldig mye. Det gir en tydelig oversikt over hvem som skal gjøre hva – og når.
Hun kombinerer NorthGRCs maler med egne kontroller, tilpasset Noblys virksomhet.
– Jeg skal ikke overdrive, men jeg har ikke jobbet med noe før som har vært så transparent og oversiktlig. Det bare fungerer. Jeg så noen videoer – og så var jeg i gang.
NorthGRC spiller også en sentral rolle i dialogen med ledelsen. Plattformens bruker- og tilgangsstyring sikrer at ansatte har tilgang til relevante retningslinjer, mens ledelsen har tilgang til det overordnede compliance-overblikket.
– NorthGRC fungerer som et felles referansepunkt. Compliance skal ikke være en avkrysningsøvelse – det er en operativ disiplin der ledelsen må involveres, forklarer Emilie.
Hun deltar jevnlig i ledermøter og gir status på compliancearbeidet i form av rød, gul og grønn, noe som skaper en felles forståelse av risiko og fremdrift.
I tillegg til arbeidet med ISAE-erklæringer har Nobly også jobbet med DORA, er i gang med NIS2 og ser frem mot CIS Controls.
– Det er en stor fordel at de grunnleggende regelverkene allerede finnes i NorthGRC, og at vi selv kan supplere med kontroller som passer vår virksomhet.
NorthGRC gjør det mulig å jobbe med flere rammeverk parallelt uten å miste oversikten eller skape unødvendig kompleksitet.
For Nobly har NorthGRC bidratt til å endre opplevelsen av compliance.
– Compliance er ikke lenger en årlig hendelse der revisor kommer på besøk. Det er en løpende prosess, sier Emilie. Årshjulet gjør det tydelig for alle hva som skal skje når – og vi kan skalere compliancearbeidet i takt med at vi vokser.
Når Emilie beskriver verdien av NorthGRC, er hun ikke i tvil:
– Det gir ro i magen. Jeg kan se svart på hvitt hvor langt vi har kommet, og hva som gjenstår.
Hun trekker særlig frem at plattformen reduserer kompleksiteten i et område som ellers kan være tungt å jobbe med.
– Selv kolleger som kan minst om compliance, finner frem i NorthGRC. Det gir dem en bedre forståelse av hva compliance faktisk er.
Samtidig betyr den tette og personlige kontakten med NorthGRC-teamet mye.
– Vi kan alltid ta kontakt hvis det er behov. Den faste kontaktpersonen gir trygghet.
For Nobly er NorthGRC ikke bare et verktøy for erklæringer, men en plattform som gjør compliance håndterbar, forståelig og solid forankret i hele organisasjonen.
Book en demo og få innsikt i en strukturert, transparent og skalerbar tilnærming til løpende compliance.