Mens stadig flere politikere i verden melder sig i kampen mod bureaukratisering, kan vi som ledere reducere byrderne på indersiden af virksomhederne. ESG og compliance er ikke religion men forretning, og kølig risikostyring er den ledelsesmæssige nøgle.
Af governance-ekspert og CEO Jon Tollerup, Decision Focus
Jeg kender en CFO i et C20-selskab som fortæller, at 40 pct af hans arbejdstid går med compliance i bredeste forstand. Regnskab, rapportering og processer skal følge mange regler og standarder, og det æder selvfølgelig tid fra andre og mere værdiskabende aktiviteter. Magasinet Economist fik mig for nylig til at tænke på ham.
”Revolten mod regulering” stod der på en ildrød forside svøbt i ”red tape”. Economist (1. februar 2025) fortæller med akademisk kildeangivelse bl.a. at amerikansk føderal lovgivning nu fylder 180.000 sider mod 20.000 sider i starten af 60’erne. Tysk lovgivning rummer 60 pct flere ord end i midten af 90’erne. Ledere i franske virksomheder bruger nu 20 pct af deres tid på at forholde sig til regulering, og bureaukratiet koster den franske økonomi fire pct af BNP hvert år.
Fra Argentina over USA og EU til Danmark gjalder de politiske kampråb mod regulering og unødigt bureaukrati, og mens vi venter på at se effekten ude i virksomhederne, kan vi benytte flere veje til faktisk at reducere den omkostningskrævende bagside af reguleringen. Virksomheder skal forholde sig til CSRD/DORA/NIS2/GDPR/AI Act, ISO, SOC2 i USA og ny britisk regulering. Jeg vil foreslå tre styrende principper for denne compliance: 1. Overholde – ikke overdrive. 2. Genbrug, genbrug, genbrug. 3. Fjern fedt i reguleringsarbejdet.
Overholde – ikke overdrive
Virksomheder kan med fordel betragte regulering og standarder (Governance, Risk og Compliance) som enhver anden proces i virksomheden. Selv om klima og alt muligt andet er nok så vigtigt, så er det ikke religion. Vi må køligt se på det som en forretningsmæssig investering. Vi skal overholde regulering og standarder, men vi skal også afveje konsekvensen ved kun delvis overholdelse.
Helt almindelige cost/benefit-betragtninger er legitime at bruge, og hele finanssektorens lange tradition for risikostyring bør komme i brug. Hvor får vi mest bang-for-the-buck i forhold til compliance, og hvor stor er sandsynligheden for skader på drift, omdømme og råderum? Bestyrelse og topledelse skal på højniveau vide, hvor vi er i rød, gul og grøn. Risikoen skal være synliggjort, og vi skal ikke overimplementere på grund af dårlig sigtbarhed.
Genbrug, genbrug, genbrug
Når mængden af regulering vokser, stiger potentialet ved at genbruge kontroller og data. Ledelsesindsatsen, fremgangsmåden og it-understøttelsen kan genbruges på hele GRC-området. Regulering og standarder skal styres som en samlet portefølje, hvor vi optimerer fra mindste kontrol af passwordsikkerhed til øverste strategiske risikostyring. Et nyt krav til compliance – eksempelvis DORA – bliver således blot en ny anvendelse af en (næsten) allerede eksisterende praksis.
Vi skal udfordre alle nye kontroller og dobbelttjekke, om vi ikke allerede har processer kørende, der med få eller mindre justeringer kan dække det nye krav. Vi skal genbruge det operationelle og digitale setup på tværs af dansk lov, EU-regler m.v. Samme tilgang kan vi bruge over for standarder. Her gælder jo også, at en overordnet politik og strategi skal nedbrydes i mål, midler, kontroller og rapportering. Den underliggende it-platform skal fungere til enhver nuværende og kommende regulering. Og den skal tillade ledelsen at definere virksomhedens set-up vejet mod risikoappetit.
Fjern fedtet
Economist peger på et voksende ønske om sikkerhed i den vestlige verden som årsag til den voldsomme stigning i regulering af samfund og erhvervsliv. Sikkerhedstænkning kan man også finde hos rådgivere fra de store revisionshuse, der også er sælgere af timer og helst vil råde til maksimal compliance og risikoafdækning. På samme måde kan virksomhedens interne afdelinger med fokus på en eller flere GRC-opgaver nogle gange have tendens til at overgøre ud fra en sikkerhedstænkning.
Ledelsen i virksomheden er alene om at kunne veje værdien af den ene indsats op mod den anden. Den kan med god ret forlange, at de ansvarlige i området kan svare på disse spørgsmål: Hvad har vi i forvejen, som dækker nogle af de nye behov? Hvilken cost-benefit-analyse ligger bag den øgede compliance-indsats? Hvad kan vi skære væk (af eksisterende kontroller/processer), når vi indfører de nye?
Ligesom politikerne prøver at fjerne en regel, når de indfører en ny, kan vi gøre det samme i virksomhederne. Et helsetjek vil mange steder afsløre, at kontroller og risiko-rammeværk har overlevet for længe og kan fjernes. Det koster konkurrencekraft ikke at fjerne fedtet.
Hverken som nation eller som virksomhed skal vi være ‘duksen’, der overimplementerer. Vi skal være lovlige og sikre, men vi skal ikke investere en øre mere, end hvad en profitabel forretning kræver.