I de seneste år har europæiske organisationer skulle forholde sig til et voksende antal reguleringer, og samtidig er der et politisk ønske om højere beskyttelsesniveauer, større gennemsigtighed og ansvarlig virksomhedsdrift. I praksis betyder det, at mange organisationer oplever, at kompleksiteten på complianceområdet er steget markant – ikke kun i antallet af krav, men i den måde de skal håndteres på.
Problemet er ikke regulering i sig selv. Tværtimod er de fleste organisationer enige i formålet bag kravene, hvad enten det handler om informationssikkerhed, databeskyttelse, finansiel robusthed eller bæredygtighed. Udfordringen opstår i mødet mellem reguleringens omfang og den måde, compliancearbejdet traditionelt er organiseret på. Netop som overblikket over én regulering er ved at falde på plads, melder den næste sig.
Dokumentation, kontroller og processer hober sig op uden at blive gentænkt i sammenhæng, og compliancearbejdet bliver gradvist mere reaktivt og sværere at få overblik over. Resultatet er en følelse af konstant at være på bagkant – eller med andre ord: Det er her, compliance fatigue opstår.
Hvad er compliance fatigue?
Compliance fatigue er ikke et udtryk for modvilje mod regulering eller manglende ansvarsfølelse. Tværtimod opstår fænomenet ofte i organisationer, hvor viljen til at gøre det rigtige er stor. Problemet er strukturelt og opstår, når krav, processer og dokumentation vokser hurtigere end den organisatoriske sammenhæng, der skal bære dem.
Compliance fatigue er typisk en konsekvens af:
- manuelle processer og siloarbejde
- overlappende krav fra forskellige reguleringer
- parallelle og ukoordinerede complianceinitiativer
- forskellige ejerskaber, begreber og dokumentationsformer
Når beslægtede risici adresseres gennem forskellige regelsæt, øges kompleksiteten. Det samme kontrolområde dokumenteres flere steder med uklart ansvar, og compliancearbejdet udvikler sig til et sisyfosarbejde uden fremdrift.
LÆS OGSÅ: EU’s øgede fokus på cybersikkerhed
EU’s reguleringsbølge
Det er fristende at pege på enkelte reguleringer som årsagen til compliance fatigue, men udfordringen ligger ikke i den enkelte lovgivning. Den ligger i summen og samspillet mellem dem.
I de senere år er der kommet mange krav på områder som cybersikkerhed, operationel robusthed, databeskyttelse og bæredygtighed. Hver regulering har sit eget formål, sin egen historik og sin egen logik. Udfordringen opstår, når de implementeres isoleret og ejes af forskellige afdelinger uden fælles koordinering.
Fragmentering viser sig ofte som:
- parallelle processer for beslægtede risici
- manglende genbrug af kontroller og dokumentation
- uklart eller delt ejerskab på tværs af afdelinger
- forskellige vurderinger af de samme risici
- øget behov for manuel koordinering og afstemning
EU har i stigende grad fået øje på kompleksiteten, og omnibusinitiativer som Omnibus I (bæredygtighedsreguleringer) og Omnibus Digital Package kan ses som et udtryk for en erkendelse af, at fragmentering har konsekvenser for både kvalitet og styrbarhed.
Initiativerne skal dog ikke forstås som et opgør med regulering. Ambitionen er fortsat høj, og målet er ikke nødvendigvis færre krav, men derimod bedre sammenhæng, så compliancearbejdet lettere kan tilpasses den organisatoriske virkelighed, det skal fungere i.
Eksempler på reguleringsoverlap
NIS2 og DORA stiller begge krav til styrkelse af cyber- og driftsmæssig robusthed i kritiske sektorer. Begge reguleringer berører risikovurdering, hændelseshåndtering, kontinuitet, logning og ledelsesinvolvering, men med forskellig sektorafgrænsning og forskellige rapporteringsmekanismer.
AI Act introducerer governancekrav til udvalgte AI-systemer, herunder dokumentation, validering og monitorering. Kravene er beslægtede med styringen af operationel risiko under NIS2 og DORA, men implementeres typisk i andre fagfunktioner.
ESG-reguleringerne, herunder CSRD og ESRS, kræver risikokortlægning, kontrolmiljø og governancedokumentation i relation til bæredygtighedsforhold. Flere af kontrolpunkterne overlapper med intern kontrol, finansiel rapportering og databeskyttelse.
På papiret er der tydelige rationaler bag hver regulering, men i fraværet af en fælles styringsramme opbygges parallelle processer, kontrolbiblioteker og rapporteringsspor, som forstærker det strukturelle pres på organisationerne.
Ansvar fører til overbelastning
En overset dimension i compliance fatigue er den adfærd, som kompleksiteten skaber. Mange organisationer er i dag præget af en høj grad af forsigtighed. Frygten for ikke at leve op til kravene (og konsekvenserne heraf) betyder, at man ofte gør lidt ekstra.
Der etableres supplerende kontroller, yderligere dokumentation og manuelle sikkerhedsnet. Intentionen er god: det er bedre at gøre for meget end for lidt. Men i et fragmenteret setup forstærker adfærden kompleksiteten yderligere. Når ressourcerne presses, bliver det sværere at arbejde konsekvent. Nogle steder prioriteres det synlige og målbare, andre steder det akutte.
Over tid øges risikoen for, at man springer over, hvor gærdet er lavest som en konsekvens af overbelastning, og det er derfor, compliance fatigue bør forstås som et systemisk problem. Når strukturen ikke understøtter helhed og genbrug, vil selv den mest engagerede organisation opleve at compliancearbejdet bliver vanskeligere at styre over tid.
Når compliance ikke skalerer
Mange organisationer har i årevis håndteret compliance ved at tilføje lag. Nye krav er blevet mødt med nye processer, nye dokumenter og nye kontroller. I en periode kan denne tilgang fungere, men når kompleksiteten når et vist niveau, bliver det tydeligt, at compliance ikke kan håndteres som en række adskilte initiativer.
Den fragmenterede tilgang skaber mere arbejde, mere usikkerhed og større risiko – præcis det modsatte af det reguleringen har til hensigt.
Fra fragmenteret compliance til fælles styring
Når compliance ikke længere kan skaleres, er det sjældent nok at koordinere bedre eller samle flere aktiviteter. Udfordringen er styringsmæssig. Organisationen mangler en fælles ramme for, hvordan krav, risici og kontroller hænger sammen på tværs.
I et fragmenteret setup håndteres reguleringer typisk enkeltvis. Hver lovgivning adresseres for sig, ofte som et afgrænset projekt med eget scope, egne leverancer og eget ejerskab. Det skaber kortvarig fremdrift, men begrænset sammenhæng. Over tid bliver compliancearbejdet mere reaktivt, fordi organisationen primært responderer på nye krav frem for at arbejde ud fra en samlet forståelse af risici og styringsbehov.
Manglen på fælles styring betyder, at forbindelsen mellem governance, risikoforståelse og kontroller svækkes. Det bliver uklart, hvilke risici der er centrale, hvilke kontroller der dækker hvad og hvordan indsatser på tværs kan understøtte hinanden. Resultatet er, at der opbygges parallelle løsninger frem for varig struktur.
Integreret GRC kan være svaret
Integreret GRC handler ikke om at samle complianceaktiviteter i ét system eller etablere endnu et tværgående initiativ. Det handler om at ændre den måde, organisationen grundlæggende forstår og styrer compliance på.
Hvis nye krav udløser nye projekter, nye leverancer og nye ansvarsområder, forstærkes fragmenteringen, og sammenhængen mellem beslægtede risici, kontroller og beslutninger forbliver uforløst. En integreret GRC-tilgang tager udgangspunkt i det modsatte princip: at reguleringer ikke er styringsenheder i sig selv, men forskellige perspektiver på de samme underliggende risici. I stedet for at spørge, ”hvordan opfylder vi denne regulering?”, flyttes fokus til, ”hvilke risici forsøger vi at styre, og hvordan gør vi det mest konsistent på tværs af afdelinger?”.
I praksis betyder det, at organisationen arbejder med:
- fælles begreber og definitioner på tværs af reguleringer
- én samlet risikoforståelse, der kan anvendes flere steder
- systematisk genbrug af kontroller og dokumentation
- klart placeret ejerskab og ansvar på tværs af afdelinger
Integreret GRC kræver klare styringsmæssige valg. Når flere reguleringer adresserer de samme risici, skal ejerskab og beslutningsret være tydeligt placeret, og ledelsen skal aktivt prioritere, hvilke kontroller der er nødvendige – og hvornår nok er nok. Uden de prioriteringer vil medarbejderne fortsat kompensere med overimplementering, hvilket netop er drivkraften bag compliance fatigue.
Compliance fatigue er et ledelsesansvar
Compliance fatigue kan ikke løses ved at optimere eksisterende processer alene. Det kræver aktive prioriteringer på ledelsesniveau, fordi problemet i sin kerne handler om, hvordan organisationen styres.
For det første skal der træffes en tydelig beslutning om, at compliance ikke organiseres omkring reguleringer, men omkring risici. Det indebærer en accept af, at én og samme risikovurdering og kontrol kan (og bør) anvendes på tværs af flere regelsæt.
Dernæst kræver integreret GRC tydeligt ejerskab. Når flere reguleringer adresserer beslægtede risici, skal det være klart, hvem der har det endelige ansvar for risikoområdet, også når det går på tværs af afdelinger.
Endelig skal ledelsen sætte en retning for, hvornår “godt nok” faktisk er godt nok. Hvis disse valg ikke træffes på ledelsesniveau, bliver compliancearbejdet reaktivt og personafhængigt.
LÆS OGSÅ: Complianceprogrammer: Få ledelsens opbakning og forståelse
Fra reaktion til styringsdisciplin
Compliance fatigue er ikke et forbigående fænomen, men et symptom på en styringsmodel, der er kommet under pres. Efterhånden som reguleringen bliver mere omfattende og mere indbyrdes forbundet, bliver det vanskeligere at håndtere kravene gennem enkeltstående initiativer og lokale løsninger.
Fremadrettet vil forskellen mellem organisationer, der håndterer regulering effektivt, og dem der kæmper med compliance fatigue, i stigende grad ligge i styringen – ikke i ambitionsniveauet. Organisationer, der formår at arbejde med fælles risikobilleder, tydeligt ejerskab og systematisk genbrug, vil kunne absorbere nye krav uden tilsvarende stigning i kompleksitet.
Det peger mod et skifte, hvor compliance i højere grad bliver en integreret del af organisationens samlede styringsdisciplin. Ikke som et selvstændigt kontrolspor, men som en naturlig del af hvordan risici prioriteres, beslutninger træffes og ansvar placeres.
Compliance fatigue forsvinder ikke af sig selv. Men i takt med at reguleringen fortsætter med at vokse, bliver evnen til at skabe sammenhæng en strategisk forudsætning for robust og bæredygtig virksomhedsdrift.
