Archer er en enterprise GRC-platform (Governance, Risk, Compliance) der anvendes af danske banker, forsikringsselskaber, energiselskaber og store offentlige institutioner. Platformen håndterer risikoregistre, kontroller, audit-spor, regulatorisk rapportering og samspillet mellem dem. Archer var oprindeligt en del af RSA Security, blev købt af Symphony Technology Group i 2020 og hedder i dag bare Archer (Archer Integrated Risk Management er produkt-suiten).

Hvad er forskellen på Archer og en AI-chatbot?

De løser forskellige problemer. Archer er det system of record for risk og compliance: hvilke risici har vi, hvem ejer dem, hvilke kontroller er på plads, hvornår er de senest reviewet, hvilke fund er åbne. En AI-chatbot som ChatGPT eller Claude er et værktøj til at producere indhold og analyser på basis af tekstinput. Archer giver struktur og audit-spor, AI giver hastighed og analyse. De er komplementære, ikke konkurrenter.

Kan AI erstatte en GRC-platform som Archer?

Nej, ikke for organisationer der allerede har Archer eller en lignende platform. AI kan ikke erstatte et system of record. Det den kan er at accelerere arbejdet ovenpå: udkast af risk-beskrivelser, screening af regulatoriske ændringer, første sammenfatning af audit-fund, oversættelse af politik-tekst til kontrol-beskrivelser. For mindre organisationer uden eksisterende GRC-platform kan AI plus et regneark være tilstrækkeligt på lavt modenheds-niveau.

Hvilke AI use-cases er mest værdiskabende oven på Archer?

Fem use-cases skiller sig ud: 1) Regulatorisk horizon-scanning hvor AI læser nye direktiver og foreslår hvilke kontroller der bør opdateres. 2) Udkast af risk-beskrivelser baseret på interview-transcripts. 3) Mapping mellem rammeværker (ISO 27001, NIS2, DORA, EU AI Act) hvor AI foreslår krydshenvisninger. 4) Sammenfatning af audit-fund og management-rapporter. 5) Klient-spørgsmål om risk-postur som AI besvarer baseret på Archer-data.

Skal små virksomheder bruge Archer?

Nej. Archer er en enterprise-platform med enterprise-omkostninger (licens fra 1-2 mio kr/år plus implementering). Den giver mening for organisationer med omfattende compliance-byrde, flere rammeværker samtidig, mange kontroller og dedikerede risk- og compliance-teams. For vidensintensive SMVer er en kombineret tilgang med Google Sheets, AI-værktøjer og en udvalgt SaaS-løsning (fx OneTrust, ServiceNow GRC) typisk mere proportional.

Hvad er EnterpriseIQs vinkel når både Archer og AI er involveret?

Vi har en sjælden kombination: 11 års Archer-erfaring som Alliance Director Europe og Integrated Risk Management Lead Nordics kombineret med hands-on AI-implementering. Det betyder vi forstår både hvor Archer-data sidder, hvordan det struktureres, og hvordan AI kan accelerere arbejdet ovenpå uden at skabe nye risici. Andre AI-rådgivere kender platformen overfladisk, andre GRC-konsulenter mangler AI-implementeringserfaring. Vi bygger broer.

Hvordan dokumenteres AI-brug inde i en Archer-platform?

AI-systemer der bruges i organisationen tilføjes som assets i Archer med tilhørende risk-vurdering, kontroller og audit-spor. EU AI Act-klassifikation (forbudt, high-risk, limited, minimal) modelleres som metadata. Audit-trail fra AI-brug (model, prompt-reference, output-reference, human review) kan importeres til Archer via API eller logges separat og refereres. På den måde står AI-governance inde i samme platform som resten af virksomhedens risk-management.

Konkurrerer Archer med AI-platforme som Hugging Face eller AWS SageMaker?

Nej, de adresserer forskellige lag. Hugging Face og SageMaker er platforme til at bygge og hoste AI-modeller. Archer er en GRC-platform til at administrere risici og kontroller på tværs af virksomheden, inklusive AI-systemer. En organisation kan godt have alle tre: SageMaker til at hoste en kreditscoring-model, Hugging Face til at evaluere alternative modeller, og Archer til at dokumentere klassifikation, kontroller og audit-trail på den deployerede model.

Hvor lang tid tager det at implementere Archer?

En typisk førstegangs-implementering tager 6-18 måneder afhængigt af scope og hvor mange forretningsområder der dækkes. Bank-implementeringer går ofte over to-tre faser med risk management først, derefter regulatorisk compliance, derefter audit og IT-risk. EU AI Act-modulet kan tilføjes som en udvidelse til en eksisterende installation, hvilket typisk tager 2-4 måneder.

Pillar · Publiceret 2026-05-26 · 14 min læsetid

Archer og AI: hvor de mødes

Archer er den GRC-platform danske banker, forsikringsselskaber, energiselskaber og store offentlige institutioner bruger til at holde styr på risk og compliance. Generativ AI er det værktøj der ændrer hvordan arbejdet ovenpå udføres. Denne guide beskriver hvor de to mødes i praksis: hvad Archer giver der ChatGPT ikke gør, hvor AI accelererer GRC-arbejdet uden at skabe nye risici, og hvilke organisationer der reelt har brug for begge dele.

Skrevet af Jesper Sachmann, grundlægger af EnterpriseIQ. 11 års hands-on Archer-erfaring som Alliance Director Europe og Integrated Risk Management Lead Nordics, kombineret med 27 års IT-lederskab fra Oracle, Logica og Capgemini og hands-on AI-implementering siden 2023.

TL;DR

→Archer er system of record for risk og compliance. AI er produktivitetslag ovenpå. De konkurrerer ikke.
→Fem AI use-cases ovenpå Archer skiller sig ud: horizon-scanning, risk-udkast, rammeværk-mapping, audit-sammenfatning, klient-svar.
→EU AI Act-modulet i Archer dokumenterer AI-systemerne selv: klassifikation, kontroller, audit-trail.
→For vidensintensive SMVer er Archer typisk overkill. Google Sheet plus AI-værktøjer plus eventuel SaaS-løsning er mere proportionalt.
→Den sjældne kombination: 11 års Archer-baggrund plus hands-on AI. Det er denne bro EnterpriseIQ bygger.

Hvad Archer er, og hvad det ikke er

Archer Integrated Risk Management er en GRC-platform: Governance, Risk og Compliance i ét sammenhængende system. Den anvendes af danske banker, forsikringsselskaber, store energiselskaber, ministerier og koncerner med kompliceret compliance-byrde. Globalt er Archer en af de tre-fire dominerende platforme i sit segment, sammen med ServiceNow GRC, OneTrust og MetricStream.

Platformen blev oprindeligt udviklet hos Archer Technologies, som blev købt af EMC i 2010 og lagt ind under RSA Security. Efter Dells overtagelse af EMC og Symphony Technology Groups efterfølgende køb af RSA i 2020 blev Archer udskilt som selvstændig virksomhed igen. I dag hedder den bare Archer (Archer Integrated Risk Management er produkt-navnet på suiten). RSA-prefixet er historie.

Hvad Archer giver: et samlet sted at registrere risici, kontroller, regulatoriske krav, audit-fund, leverandører, politikker og deres indbyrdes relationer. Når Datatilsynet eller revisor spørger "hvilke kontroller har I på plads for risikoen X, og hvornår blev de senest testet", er svaret tilgængeligt på minutter, ikke uger.

Hvad Archer ikke giver: indhold, analyse, sammenfatning eller udkast. Det er bevidst. Archer er et system of record, ikke en tekstgenerator. Det er her den primære synergi med generativ AI opstår.

De fem mest værdiskabende AI use-cases ovenpå Archer

Generativ AI accelererer arbejdet ovenpå Archer-data uden at erstatte platformen. Fem use-cases står typisk frem efter implementering hos enterprise-kunder.

1. Regulatorisk horizon-scanning

Et stort regulatorisk landskab kræver løbende monitorering. NIS2, DORA, EU AI Act, opdateringer til ISO 27001, ESMA-retningslinjer, lokal lovgivning. AI læser nye direktiver og foreslår hvilke eksisterende kontroller i Archer der bør opdateres eller udvides. Det reducerer den fagspecialistens læse-tid fra timer til minutter, og giver konkrete pointers tilbage til platformen.

2. Udkast af risk-beskrivelser

Risk-workshops og interviews med forretningsledere producerer transcripts. AI tager transcripts og foreslår strukturerede risk-beskrivelser klar til oprettelse i Archer: titel, beskrivelse, foreslåede risikoejer, foreslåede kontroller, foreslåede metrics. Risk-managerens job bliver review og kvalitetssikring frem for skriveri fra bunden.

3. Mapping mellem rammeværker

En kontrol findes typisk i flere rammeværker samtidigt: ISO 27001, SOC 2, NIS2, DORA, EU AI Act, GDPR. AI foreslår krydshenvisninger så samme kontrol kun vedligeholdes ét sted, men kortlægges til alle relevante rammeværker. Det er en af de mest tidskrævende manuelle øvelser i et GRC-team og en oplagt AI-acceleration.

4. Sammenfatning af audit-fund og management-rapporter

Audit-fund og kvartalsrapporter genereres typisk på basis af strukturerede data i Archer. AI sammenfatter detaljerede fund i ledelses-egnet sprog, foreslår root cause-mønstre på tværs af fund, og udarbejder første udkast af tilhørende handlingsplaner. Risk-managerens timer bruges på vurdering og prioritering, ikke på formuleringer.

5. Klient-spørgsmål om risk-postur

Enterprise-kunder, særligt banker og leverandører til offentlig sektor, modtager tilbagevendende spørgsmål fra deres kunder om risk-postur. "Hvordan håndterer I tredjepartsrisici?", "Hvilken procentdel af jeres applikationer er penetrationstestet?", "Hvilke kontroller har I på plads for AI-systemer?". AI besvarer spørgsmålene baseret på struktureret data i Archer og foreslår dokumentations-referencer. Det forkorter besvarelsestid fra dage til timer.

Hvor AI ikke skal lukkes ind på Archer-data

Den naturlige modreaktion til ovenstående use-cases er "send alle Archer-data til Claude og spørg løs". Det er en dårlig idé af tre grunde.

For det første: Archer-data er typisk fortroligt på højeste niveau. Risk-registre, kontrol-fund, leverandør-vurderinger og audit-rapporter er ofte under NDA og kan ikke sendes til cloud-AI uden eksplicit aftale og DPA. EU-residency er minimum, self-hosted modeller er ofte påkrævet for de mest følsomme data.

For det andet: Archer-data kommer med struktur som AI ofte ikke har brug for. En LLM der får et helt risk-register som kontekst yder dårligere end en der får relevant subset plus klar instruktion. RAG-arkitektur ovenpå Archer-data er den korrekte tilgang, ikke at dumpe hele registret.

For det tredje: audit-trail på selve AI-brugen er compliance-krævet under EU AI Act. Hvis AI-brug påvirker risk-vurderinger eller kontroleffektivitet, skal det dokumenteres i Archer som anden ændring til kontroller. Det betyder integration mellem AI-output og Archer-platform skal designes med audit-trail i tankerne, ikke som efterfølgende overvejelse.

Archer som dokumentation af AI-systemer selv

Den anden retning af synergien er mindst lige så vigtig: at bruge Archer til at dokumentere virksomhedens egne AI-systemer mod EU AI Act-kravene. Archer har et dedikeret EU AI Act-modul der modellerer AI-systemer som klassificerbare assets med tilhørende risk-vurderinger, kontroller og audit-trail.

Det giver tre konkrete fordele for organisationer der i forvejen har platformen:

AI-systemer indgår i samme inventory som resten af virksomhedens applikationer, ikke i et særskilt regneark
Klassifikation (forbudt, high-risk, limited risk, minimal) modelleres som metadata med relationer til EU AI Act-artiklerne
Audit-trail fra AI-brug kan importeres via API eller refereres fra log-systemer, så compliance-rapportering trækker fra samme kilde som al anden GRC-rapportering

For organisationer uden Archer kan en lignende struktur opbygges i lettere SaaS-platforme eller i et omhyggeligt opbygget Google Sheet plus dokumenthåndtering. Princippet er det samme: AI-systemer er assets der skal styres med samme disciplin som applikationer og leverandører.

Hvem har brug for Archer plus AI sammen

Kombinationen Archer plus generativ AI giver mening for organisationer med komplekst compliance-landskab og betydelig modenhed i forvejen. Tre typiske profiler:

Bank og forsikring

Allerede tunge brugere af Archer. AI accelererer regulatorisk horizon-scanning (særligt DORA og kommende EU AI Act-implementering), reducerer dokumentations-overhead i operationel risk management, og forkorter svartid på kunde-spørgsmål. Self-hosted eller EU-residency-baseret AI er typisk krav fordi data-følsomheden er høj.

Energi og kritisk infrastruktur

NIS2 og sektorspecifik regulering driver tung brug af Archer. AI hjælper med at oversætte tekniske kontroller til ledelses-egnet rapportering, og med at vedligeholde mapping mellem NIS2, ISO 27001 og national lovgivning. EU AI Act bliver mere relevant efterhånden som AI-baserede prognoser og driftsoptimering rulles ud i sektoren.

Større offentlige institutioner

Ministerier, regioner og store kommuner med Archer-installation har typisk udfordringer med tværgående compliance-koordination. AI accelererer både den interne sammenfatning og dialogen med Rigsrevisionen og andre tilsynsmyndigheder. EU AI Act-modulet er særligt relevant da offentlige beslutninger om mennesker hyppigt klassificeres som high-risk.

For SMVer uden Archer: hvad er alternativet

For vidensintensive SMVer er Archer typisk overkill. Licens og implementering starter på 1-2 mio kr/år plus interne ressourcer, og platformens kompleksitet kræver et dedikeret GRC-team for at give værdi.

Alternativet for SMVer er en proportional kombination:

Inventory og klassifikation i Google Sheets eller Airtable, struktureret efter samme principper som Archer ville bruge
Politik-håndtering i et knowledge-management system som Outline eller Notion, med versionering og review-cyklus
Audit-trail i log-systemer (typisk allerede tilgængelige) krydsrefereret til inventory
AI som produktivitetslag på toppen, præcis som hos enterprise-kunder, men med simplere data-modeller
Eventuel SaaS-løsning (OneTrust, Vanta, Drata) hvis et specifikt rammeværk kræver dybere automation

Det er mere proportionalt og oftest tilstrækkeligt for SMVer med 1-2 rammeværker og en compliance-byrde der kan håndteres af 1-3 personer på deltid. Hvis byrden vokser ud over det, er det først der man overvejer en GRC-platform i Archer-klassen.

Hvorfor EnterpriseIQ taler om Archer

Det kan virke usædvanligt at en AI-rådgiver bruger plads på en GRC-platform de fleste SMVer ikke ejer. Begrundelsen er enkel: kombinationen Archer-baggrund plus hands-on AI-implementering findes der ikke mange af i Danmark, og det er en betydelig del af det fundament EnterpriseIQ er bygget på.

For enterprise-kunder, som Jesper tidligere har arbejdet med i Archer-rollen, betyder kombinationen at AI-implementering kan tale GRC-sprog uden oversættelse. Risk-managers og compliance-ansvarlige genkender deres egen verden i diskussionen, og diskussionen kan kvalificeret komme videre fra "AI er spændende" til "hvor passer AI ind i vores eksisterende kontroller".

For SMV-kunderne betyder det at de modtager rådgivning fra en der har set hvordan store organisationer faktisk håndterer risk og compliance. Det giver perspektiv på hvad der er proportionalt for en mindre virksomhed, og hvad der er enterprise-overkill. Den slags vurdering kan ikke læres på et kursus.

FAQ

Hvad er Archer i 2026?

Archer er en selvstændig virksomhed der leverer Archer Integrated Risk Management-platformen. Tidligere del af RSA Security, udskilt i 2020 efter Symphony Technology Groups overtagelse. RSA-prefixet bruges ikke længere.

Konkurrerer Archer med AI?

Nej. Archer er et system of record for risk og compliance, AI er produktivitetsværktøj ovenpå. De løser forskellige problemer og er komplementære.

Skal vi købe Archer hvis vi er en 50-mands virksomhed?

Nej. Archer er enterprise-platform med enterprise-pris. Google Sheets, AI-værktøjer og eventuelt en SaaS-løsning som Vanta eller Drata er typisk mere proportionalt.

Hvor sender vi Archer-data til AI?

Aldrig til cloud-AI uden DPA. Self-hosted modeller eller EU-residency med dokumenteret data-håndtering er minimum. RAG-arkitektur frem for at dumpe hele registret.

Hvad er EU AI Act-modulet i Archer?

Et tillægs-modul der modellerer AI-systemer som assets med EU AI Act-klassifikation, kontroller og audit-trail. Implementering tager typisk 2-4 måneder oven på en eksisterende installation.

Hvor finder vi mere om EnterpriseIQs Archer-vinkel?

Book en 30-minutters samtale. Det er hurtigere end at læse en webside, og I får et konkret bud på hvor Archer-perspektivet er relevant for jeres situation.

Næste skridt

Tre veje afhængigt af hvor I står:

Fra 15.000 kr

EU AI Act Quick Check

1 dags vurdering. Hvis I har Archer eller anden GRC-platform, dykker vi ind i hvordan AI-systemer modelleres der.

Fra 18.000 kr/md

GRC plus AI Retainer

Løbende sparring for enterprise-kunder der vil have AI-acceleration med Archer-bevidsthed.

Gratis

30 min samtale

Uforpligtende screening. Vi finder ud af hvor Archer-vinklen passer i jeres situation.

Om forfatteren

Jesper Sachmann er grundlægger af EnterpriseIQ. 11 års hands-on Archer-erfaring som Alliance Director Europe og Integrated Risk Management Lead Nordics, kombineret med 27 års IT-lederskab fra Oracle, Logica og Capgemini og hands-on AI-implementering siden 2023.

AI-attribution: Denne artikel er AI-assisteret produceret med Claude Opus 4.7, menneskelig review af Jesper Sachmann. Se vores AI-transparenspolitik for hvordan vi bruger AI i alle leverancer.

Citerer du denne artikel? "EnterpriseIQ: Archer og AI (2026-05-26)" eller link til enterpriseiq.dk/indsigt/archer-og-ai.