Compliance fatigue oppstår ikke fordi regelverket er feil, men fordi governance er fragmentert. Integrert GRC kan være løsningen.
De siste årene har europeiske virksomheter måttet forholde seg til et stadig økende antall reguleringer. Samtidig er det et politisk ønske om høyere beskyttelsesnivåer, større transparens og mer ansvarlig virksomhetsstyring. I praksis betyr dette at mange opplever en markant økning i kompleksiteten innen compliance – ikke bare i antall krav, men i hvordan de skal håndteres.
Problemet er ikke regulering i seg selv. Tvert imot er de fleste virksomheter enige i hensikten bak kravene, enten det gjelder informasjonssikkerhet, personvern, finansiell robusthet eller bærekraft. Utfordringen oppstår i møtet mellom omfanget av regulering og hvordan compliance-arbeidet tradisjonelt er organisert. Akkurat idet man begynner å få oversikt over én regulering, kommer den neste.
Dokumentasjon, kontrolltiltak og prosesser bygger seg opp uten å bli sett i sammenheng. Compliance-arbeidet blir gradvis mer reaktivt og vanskeligere å styre. Resultatet er en følelse av konstant etterslep – det er her compliance fatigue oppstår.
Hva er compliance fatigue?
Compliance fatigue handler ikke om motvilje mot regulering eller manglende ansvarsfølelse. Tvert imot oppstår fenomenet ofte i virksomheter med høy vilje til å gjøre det riktige. Problemet er strukturelt og oppstår når krav, prosesser og dokumentasjon vokser raskere enn den organisatoriske sammenhengen som skal bære dem.
Compliance fatigue er typisk en konsekvens av:
-
manuelle prosesser og siloarbeid
-
overlappende krav fra ulike reguleringer
-
parallelle og ukoordinerte compliance-initiativer
-
ulike eierskap, begreper og dokumentasjonsformer
Når beslektede risikoer håndteres gjennom ulike regelverk, øker kompleksiteten. De samme kontrolltiltakene dokumenteres flere steder, ansvarsforhold blir uklare, og compliance-arbeidet utvikler seg til et kontinuerlig arbeid uten tydelig fremdrift.
LES OGSÅ: EUs økte fokus på cybersikkerhet
EUs reguleringsbølge
Det er nærliggende å peke på enkeltreguleringer som årsaken til compliance fatigue, men utfordringen ligger ikke i den enkelte lovgivning. Den ligger i summen og samspillet mellom dem.
De siste årene har det kommet en rekke krav innen cybersikkerhet, operasjonell robusthet, personvern og bærekraft. Hver regulering har sitt eget formål og sin egen logikk. Utfordringen oppstår når de implementeres isolert og forvaltes av ulike avdelinger uten felles koordinering.
Fragmentering viser seg ofte som:
-
parallelle prosesser for likeartede risikoer
-
manglende gjenbruk av kontrolltiltak og dokumentasjon
-
uklart eller delt eierskap på tvers av avdelinger
-
ulike vurderinger av de samme risikoene
-
økt behov for manuell koordinering
EU har i økende grad fått øynene opp for denne kompleksiteten. Initiativer som Omnibus I og Digital Omnibus Package peker på en erkjennelse av at fragmentering påvirker både kvalitet og styrbarhet.
Ambisjonen er likevel ikke færre krav, men bedre sammenheng. Målet er at compliance-arbeidet i større grad skal kunne tilpasses den organisatoriske virkeligheten det skal fungere i.
Eksempler på overlapp i regulering
NIS2 og DORA stiller begge krav til styrking av cyber- og operasjonell robusthet i kritiske sektorer. De dekker blant annet risikovurdering, hendelseshåndtering, kontinuitet, logging og ledelsesinvolvering, men med ulik sektoravgrensning og rapportering.
AI Act introduserer governance-krav til utvalgte AI-systemer, inkludert dokumentasjon, validering og overvåking. Disse kravene overlapper med styring av operasjonell risiko under NIS2 og DORA, men håndteres ofte i andre fagmiljøer.
ESG-reguleringer som CSRD og ESRS stiller krav til risikokartlegging, kontrollmiljø og governance-dokumentasjon knyttet til bærekraft. Flere av kontrollpunktene overlapper med internkontroll, finansiell rapportering og personvern.
På papiret er hver regulering logisk. Men uten en felles styringsramme bygges det opp parallelle prosesser, kontrollbiblioteker og rapporteringsløp som øker belastningen på virksomheten.
Ansvar fører til overbelastning
En ofte oversett faktor er hvordan kompleksiteten påvirker adferd. Mange virksomheter preges av stor forsiktighet. Frykten for ikke å etterleve kravene fører til at man gjør litt ekstra.
Det etableres flere kontrolltiltak, mer dokumentasjon og manuelle sikkerhetsnett. Intensjonen er god, det er bedre å gjøre for mye enn for lite. Men i et fragmentert oppsett øker dette kompleksiteten ytterligere. Når ressursene blir presset, blir det vanskeligere å jobbe konsekvent. Noen prioriterer det som er synlig og målbart, andre det som haster mest.
Over tid øker risikoen for at man velger enkleste løsning som følge av overbelastning. Derfor bør compliance fatigue forstås som et systemproblem. Når strukturen ikke understøtter helhet og gjenbruk, vil selv de mest engasjerte virksomhetene oppleve at compliance-arbeidet blir vanskeligere å styre over tid.
Når compliance ikke skalerer
Mange virksomheter har håndtert compliance ved å legge til nye lag. Nye krav har ført til nye prosesser, dokumenter og kontrolltiltak. Dette kan fungere en periode, men når kompleksiteten når et visst nivå, blir det tydelig at compliance ikke kan håndteres som separate initiativer.
Den fragmenterte tilnærmingen skaper mer arbeid, mer usikkerhet og høyere risiko – det motsatte av hva reguleringen skal oppnå.
Fra fragmentert compliance til felles governance
Når compliance ikke lenger kan skaleres, er det sjelden tilstrekkelig å koordinere bedre eller samle flere aktiviteter. Utfordringen er styringsmessig. Virksomheten mangler en felles ramme for hvordan krav, risikoer og kontrolltiltak henger sammen på tvers.
I et fragmentert oppsett håndteres reguleringer typisk enkeltvis. Hver regulering behandles separat, ofte som et avgrenset prosjekt med eget scope, egne leveranser og eget eierskap. Dette gir kortsiktig fremdrift, men begrenset sammenheng. Over tid blir compliance-arbeidet mer reaktivt, fordi virksomheten i hovedsak responderer på nye krav, fremfor å jobbe ut fra en samlet forståelse av risiko og styringsbehov.
Mangelen på felles styring innebærer at koblingen mellom governance, risikoforståelse og kontrolltiltak svekkes. Det blir uklart hvilke risikoer som er mest sentrale, hvilke kontrolltiltak som dekker hva, og hvordan tiltak på tvers kan støtte hverandre. Resultatet er at det bygges parallelle løsninger fremfor en varig og helhetlig struktur.
Integrert GRC kan være svaret
Integrert GRC handler ikke om å samle compliance-aktiviteter i ett system eller etablere enda et tverrgående initiativ. Det handler om å endre hvordan virksomheten grunnleggende forstår og styrer compliance.
Dersom nye krav fører til nye prosjekter, nye leveranser og nye ansvarsområder, forsterkes fragmenteringen, og sammenhengen mellom beslektede risikoer, kontrolltiltak og beslutninger forblir uforløst. En integrert GRC-tilnærming tar utgangspunkt i det motsatte prinsippet: at reguleringer ikke er styringsenheter i seg selv, men ulike perspektiver på de samme underliggende risikoene. I stedet for å spørre «hvordan oppfyller vi denne reguleringen?», flyttes fokuset til «hvilke risikoer forsøker vi å styre, og hvordan gjør vi det mest konsistent på tvers av avdelinger?».
I praksis innebærer det at virksomheten jobber med:
-
felles begreper og definisjoner på tvers av reguleringer
-
én samlet risikoforståelse som kan brukes flere steder
-
systematisk gjenbruk av kontrolltiltak og dokumentasjon
-
tydelig plassert eierskap og ansvar på tvers av avdelinger
Integrert GRC krever tydelige styringsvalg. Når flere reguleringer adresserer de samme risikoene, må eierskap og beslutningsmyndighet være klart definert, og ledelsen må aktivt prioritere hvilke kontrolltiltak som er nødvendige – og når det er tilstrekkelig. Uten slike prioriteringer vil medarbeidere fortsette å kompensere gjennom overimplementering, noe som nettopp er en sentral drivkraft bak compliance fatigue.
Compliance fatigue er et ledelsesansvar
Compliance fatigue kan ikke løses ved å optimalisere eksisterende prosesser alene. Det krever aktive prioriteringer på ledelsesnivå, fordi problemet i sin kjerne handler om hvordan virksomheten styres.
For det første må det tas en tydelig beslutning om at compliance ikke skal organiseres rundt reguleringer, men rundt risiko. Det innebærer en aksept for at én og samme risikovurdering og ett kontrolltiltak kan, og bør, brukes på tvers av flere regelverk.
Videre krever integrert GRC tydelig eierskap. Når flere reguleringer adresserer beslektede risikoer, må det være klart hvem som har det endelige ansvaret for risikoområdet, også når det går på tvers av avdelinger.
Til slutt må ledelsen sette en tydelig retning for når «godt nok» faktisk er godt nok. Hvis disse valgene ikke tas på ledelsesnivå, vil compliance-arbeidet bli reaktivt og personavhengig.
LES OGSÅ: Complianceprogrammer: Få ledelsens støtte og forståelse
Fra reaksjon til styringsdisiplin
Compliance fatigue er ikke et forbigående fenomen, men et symptom på en governance-modell som er under press. Etter hvert som reguleringen blir mer omfattende og mer gjensidig sammenkoblet, blir det vanskeligere å håndtere kravene gjennom enkeltstående initiativer og lokale løsninger.
Fremover vil forskjellen mellom virksomheter som håndterer regulering effektivt, og de som sliter med compliance fatigue, i økende grad ligge i governance – ikke i ambisjonsnivået. Virksomheter som evner å arbeide med felles risikobilder, tydelig eierskap og systematisk gjenbruk, vil kunne absorbere nye krav uten en tilsvarende økning i kompleksitet.
Dette peker mot et skifte der compliance i større grad blir en integrert del av virksomhetens samlede governance. Ikke som et eget kontrollspor, men som en naturlig del av hvordan risiko prioriteres, beslutninger tas og ansvar plasseres.
Compliance fatigue forsvinner ikke av seg selv. Men etter hvert som reguleringen fortsetter å vokse, blir evnen til å skape sammenheng en strategisk forutsetning for robust og bærekraftig virksomhetsdrift.
