Koblingen mellom governance og compliance er viktig for moderne virksomhetsstyring. Mens governance handler om å definere den strategiske retningen og skape et rammeverk for ansvarlig ledelse, sørger compliance for at organisasjonens handlinger er i tråd med lovgivning, interne retningslinjer og eksterne krav. Det er i balansen mellom de to disiplinene at organisasjonen kan oppnå effektiv risikostyring, bygge tillit og sikre bærekraftig forretningsdrift.
Kjernen i governance og compliance
Hva betyr governance?
Eierstyring og selskapsledelse omfatter de prinsippene, mekanismene, prosessene og strukturene som brukes for å styre og kontrollere organisasjonen og samtidig sikre ansvarlighet overfor interessentene og en langsiktig bærekraftig retning.
Det handler om å skape et ansvarlig og transparent lederskap som sikrer at organisasjonen når sine mål på en bærekraftig og etisk måte. Governance handler også om å ivareta interessentenes ulike interesser - fra aksjonærer og ansatte til kunder og samfunnet for øvrig - ved å skape et tydelig rammeverk for beslutningstaking og risikostyring.
Formålet med virksomhetsstyring er å styrke tilliten til organisasjonen og sikre at alle handlinger er i tråd med både verdier og lovgivning.
Hva betyr compliance?
Compliance er de systemene og prosedyrene organisasjonen implementerer for å sikre at de overholder gjeldende lover, interne retningslinjer og kontraktsforpliktelser. Det handler ikke bare om å unngå juridiske sanksjoner, men også om å bygge tillit.
Compliance omfatter alt fra dokumentasjon og overvåking av interne prosesser til opplæring av ansatte i korrekt atferd og sikring av at organisasjonens handlinger er i tråd med både juridiske krav og etiske standarder. Ved å prioritere compliance reduserer organisasjoner risikoen for juridiske konflikter, samtidig som de skaper en kultur der integritet og ansvarlighet er grunnlaget for beslutningstaking og daglig drift.
Viktige forskjeller mellom governance og compliance
Governance og compliance springer ut av ulike behov og har sine egne fokusområder. Compliance er en taktisk disiplin som handler om å sørge for at alle nødvendige avkrysningsbokser er krysset av. Governance, derimot, er mer strategisk og helhetlig. Det handler om å skape en langsiktig retning for organisasjonen og definere hvordan den som helhet posisjonerer seg etisk og ansvarsfullt overfor interessenter og samfunnet.
Dette er imidlertid en forenklet måte å se på de to områdene på, for i praksis overlapper de hverandre - og når governance og compliance kombineres, oppstår det en sterk synergi.
Hvordan spiller governance og compliance sammen i GRC?
I en effektiv GRC-strategi fungerer virksomhetsstyring, compliance og risikostyring som tre komplementære mekanismer som sammen styrker organisasjonens evne til å skape verdier, opprettholde troverdighet og håndtere utfordringer.
Governance setter tonen fra toppen av organisasjonen og ved å fastsette den strategiske retningen. Det skaper et fundament der verdier og mål danner rammeverket for risikostyring, prioritering av initiativer og beslutningstaking. Styringen sikrer også at compliance av lover og regler opprettholdes gjennom systematisk overvåking og rapportering, blant annet:
- Tydelige strukturer for overvåking, f.eks. interne revisjoner, KPI-er og regelmessige rapporter.
- Tidlig identifisering av avvik, slik at korrigerende tiltak kan iverksettes raskt.
- Åpenhet og ansvarlighet gjennom data og innsikt til ledelsen og relevante interessenter.
Compliance omsetter styringsprinsippene til konkrete handlinger ved å sikre at organisasjonen overholder nødvendige lov- og forskriftskrav. Det fungerer som et operativt verktøy som sikrer at de strategiske retningslinjene blir implementert i praksis.
Risikostyringen fungerer som et bindeledd for å sikre at målene for virksomhetsstyringen ikke undergraves av uforutsette risikoer, og at kravene til compliance prioriteres i tråd med organisasjonens strategiske retning.
Eksempler på samspillet mellom governance og compliance kan ses i datasikkerhet og bærekraft. Når det gjelder datasikkerhet, kan ledelsen fastsette en policy om nulltoleranse for brudd på datasikkerheten, mens compliance omsetter policyen i praksis gjennom kryptering, løpende revisjoner og standarder som ISO 27001. På samme måte kan ledelsen definere et strategisk mål om karbonnøytralitet innen 2030, mens compliance sikrer oppfyllelse gjennom rapporteringskrav og interne prosesser for måling og dokumentasjon av karbonfotavtrykk.
Samarbeidet mellom de to disiplinene gjør organisasjonen smidig. Governance identifiserer strategiske behov for tilpasning, mens compliance omsetter disse behovene til konkrete handlinger og sørger for at nye krav etterleves.
LES OGSÅ: Høy eller lav GRC-modenhet, hvor befinner organisasjonen din seg?
Kultur og atferd som grunnlag for en sterk compliance-kultur
En sterk compliance-kultur er avgjørende for å sikre at styring og compliance fungerer i praksis.
Governance bidrar til å skape og opprettholde en kultur ved å integrere compliance i den daglige driften, slik at det ikke blir en engangsoppgave, men en naturlig del av organisasjonens virksomhet. Samtidig bidrar kontinuerlig opplæring og utdanning av de ansatte til å forankre forståelsen av compliance i hele organisasjonen, samtidig som tydelig og regelmessig kommunikasjon om compliance fremmer ansvarlighet og en felles forståelse av organisasjonens verdier og mål.
Å bygge en kultur rundt compliance styrker samholdet i organisasjonen og skaper et miljø der ansvarlighet og integritet står i fokus.
Hvorfor er det viktig å jobbe helhetlig med begge områdene?
Governance og compliance er to sider av samme sak. Hvis man arbeider med fagområdene isolert, svekkes den samlede effekten av dem, og det skaper en rekke utfordringer som kan påvirke organisasjonens stabilitet og troverdighet - nemlig:
Fragmentert risikostyring
Uten en integrert tilnærming blir risikostyringen usammenhengende. Governance kan overskygge compliance ved å fokusere på vekst og strategiske mål uten å ta hensyn til regulatoriske begrensninger, mens compliance kan drukne i detaljer uten å se på organisasjonen som helhet. Resultatet er en blind flekk der betydelige risikoer blir oversett eller det reageres for sent.
Inkonsekvente beslutninger og konflikter
Siloarbeid fører ofte til motstridende prioriteringer. Governance kan initiere strategier som ikke er operasjonelt gjennomførbare innenfor gjeldende regelverk, noe som skaper interne konflikter og forsinkelser. Samtidig risikerer compliance å implementere prosesser som ikke støtter organisasjonens langsiktige mål.
Ineffektiv bruk av ressurser
Når governance og compliance ikke er samordnet, oppstår det dobbeltarbeid med oppgaver som risikovurderinger og internrevisjoner. Dette koster tid og ressurser, og kan skape forvirring blant de ansatte som må navigere i overlappende krav og mål.
Svak organisatorisk integrasjon
Siloarbeid undergraver det organisatoriske samholdet. Medarbeidere og ledelse får uklare signaler om prioriteringer, noe som reduserer engasjementet og skaper en kultur der ansvarsområder og mål ikke er klart definert.
Fordelene ved en helhetlig tilnærming
En helhetlig tilnærming til governance og compliance som en samlet strategi eliminerer ulempene og skaper en sterkere organisasjon. Governance danner rammeverket for verdier og mål, mens compliance sikrer at de blir realisert gjennom konkrete og operasjonelle handlinger. Dette gjør at organisasjonen kan reagere raskt og effektivt på skiftende krav og utfordringer uten å miste fokus på de strategiske målene.
Det styrker også både interne og eksterne relasjoner. Internt skaper det klare retningslinjer og økt ansvarlighet på tvers av organisasjonen. Eksternt sender det et sterkt signal om profesjonalitet og ansvarlighet.