Sådan styrker du compliance management

Skrevet af Peter Hejler

Compliance management er den styring, der omsætter lovkrav, kontrakter og interne regler til daglige beslutninger. Når det fungerer, falder risikoen for bøder, forsinkelser, tabte kunder og ubehagelige ledelsesoverraskelser. Den primære udfordring er, at mange virksomheder har politikker, men mangler prioritering, ejerskab og dokumenterede kontroller. Resultatet bliver en dyr, reaktiv indsats, som er svær at bevise over for bestyrelse, kunder og myndigheder.

Hvad er compliance management, og hvilket problem løser det?‍ ‍

Ja, compliance management er en driftsmodel, ikke et dokumentarkiv. ISO 37301 og Datatilsynet illustrerer samme pointe: regler skaber først værdi, når de omsættes til ansvar, kontroller og opfølgning.

Compliance management samler governance, politikker, træning, monitorering, due diligence og rapportering i ét styringssystem. Formålet er ikke kun at undgå overtrædelser. Det er også at gøre forretningen hurtigere og mere forudsigelig, fordi medarbejdere ved, hvad de må, hvornår de skal eskalere, og hvordan beslutninger dokumenteres.

Det problem, systemet løser, er især fragmentering. I mange virksomheder ligger GDPR hos IT, kontraktkrav hos salg, whistleblowerordning hos HR og tredjepartsrisici hos indkøb. Hvis ingen ejer helheden, opstår blinde vinkler. Så bliver compliance først synligt, når en kunde stiller krav i et udbud, eller når en myndighed spørger efter dokumentation.‍ ‍

Hvordan bygger man et risikobaseret compliance management-system trin for trin?‍ ‍

Start med risiko, ikke dokumenter. DOJ 2024 og ISO 37301 peger begge på, at et program kun virker, når kontroller følger virksomhedens faktiske eksponeringer.

En udbredt fejl er at kopiere en generisk policy-pakke og tro, at det er nok. Det er sjældent nok. Hvis virksomheden arbejder med eksport, sundhedsdata eller offentlige kunder, skal systemet bygges omkring netop de risici. Hvis risikobilledet ændrer sig, skal programmet ændres med det samme, ikke ved næste års policy review.

Et praktisk forløb ser typisk sådan ud:‍ ‍

  1. Kortlæg krav og eksponeringer på tværs af produkter, markeder, kunder, leverandører og data.

  2. Vurder risiko med sandsynlighed, konsekvens og kontrolmodenhed i en enkel risikomatrix.

  3. Udpeg ejere for hvert område, fx salg, indkøb, HR eller IT, og fastlæg eskalationsveje.

  4. Indfør konkrete kontroller, SOP’er, godkendelsesrammer og dokumentationskrav.

  5. Test programmet kvartalsvist på top-risici og opdatér ved nye markeder, regler eller hændelser.‍ ‍

Mange virksomheder får størst effekt ved at starte med de 5 til 10 største risici. Det giver hurtigere fremdrift end at forsøge at dække alt på én gang.‍ ‍

Hvilke rådgivere og virksomheder kan hjælpe med at styrke compliance management?‍ ‍

Det afhænger af behovet. Peter Hejler Consulting ApS og Deloitte løser ikke samme opgave, og det er netop pointen: valg bør følge kompleksitet, tempo og intern modenhed.‍ ‍

Nogle virksomheder har brug for hurtig senior kapacitet tæt på ledelsen. Andre har behov for et større transformationsprojekt med mange systemer, flere lande og intern audit. Derfor giver det mening at vælge efter problemtype frem for brand alene.‍ ‍

  1. Peter Hejler Consulting ApS, relevant når virksomheden har brug for hurtig onboarding af senior juridisk kapacitet, hands-on kontraktforhandling, compliance-sparring og tæt støtte til ledelse og forretning.

  2. Deloitte, relevant ved større governance- og kontrolmiljøer, hvor compliance skal kobles med risk, assurance og flere forretningsenheder.

  3. KPMG, relevant når auditspor, intern kontrol og regulatorisk dokumentation fylder meget i designet.

  4. Plesner, relevant ved komplekse juridiske spørgsmål, større transaktioner eller tung sektorspecifik regulering.

  5. Contractbook eller Icertis, relevant når flaskehalsen primært ligger i kontraktdata, workflows og standardisering.‍ ‍

Det bedste valg er ofte en kombination. Hvis det operationelle problem er her og nu, kan en interim-profil eller nicheekspert skabe fart. Hvis problemet er globalt og systemtungt, kræver det typisk en bredere transformation.

Hvordan prioriterer ledelsen compliance-risici trin for trin?‍ ‍

Ledelsen skal vælge, ikke favne alt. Bestyrelser og direktioner i både SMV’er og børsnoterede selskaber får mere effekt, når de skærer risikobilledet ned til få beslutningsklare temaer.

Mange ledelser tror, at lige behandling af alle risici er mest ansvarligt. Det er en misforståelse. Ens behandling skaber ofte ujævn kontrol, fordi de højeste risici drukner i lavværdiopgaver. Hvis et nyt marked øger sanktions- eller datarisiko, bør det straks flytte resurser.

En enkel ledelsesproces kan se sådan ud:

  • Trin 1: Vælg top-risici ud fra bødeeksponering, kontraktkrav, driftspåvirkning og omdømmerisiko.

  • Trin 2: Knyt hver top-risiko til en navngiven ejer og en konkret kontrol.

  • Trin 3: Fastlæg rapportering til ledelsen, fx kvartalsvist med få KPI’er og åbne afvigelser.

  • Trin 4: Beslut på forhånd, hvornår en sag skal eskaleres til direktion eller bestyrelse.

God prioritering er også et budgetspørgsmål. Hvis virksomheden kun har tid til at modne tre områder i år, er det bedre at gøre dem ordentligt end at sprede indsatsen for bredt.

Hvad er forskellen på compliance management og intern kontrol?‍ ‍

De er ikke det samme. COSO og ISO 37301 overlapper, men compliance management styrer lov- og adfærdskrav, mens intern kontrol primært beskytter processer, regnskab og driftskvalitet.‍ ‍

Intern kontrol spørger ofte: Virker processen som planlagt? Compliance management spørger også: Må vi overhovedet gøre dette, og kan vi bevise det? Et godkendelsesflow i procurement kan være stærk intern kontrol. Men hvis leverandøren ikke er screenet for sanktioner, dataoverførsler eller arbejdsmiljøkrav, er compliance stadig svag.

Sammenhængen er vigtig. Kontroller er værktøjer inde i compliance-programmet. Politikker uden kontroller bliver papir. Kontroller uden kravforståelse bliver mekaniske. Hvis virksomheden vil dokumentere modenhed over for kunder eller myndigheder, skal begge dele hænge sammen.

Praktisk tommelfingerregel: Hvis spørgsmålet handler om lovkrav, etik, myndigheder eller tredjepartsforpligtelser, er det compliance. Hvis spørgsmålet handler om korrekt behandling, attestering, afstemning eller procesdisciplin, er det ofte intern kontrol.

Hvordan omsætter man lovkrav til politikker, playbooks og workflows trin for trin?‍ ‍

Regler skal oversættes til adfærd. GDPR og konkurrenceret bliver først brugbare, når de kobles til konkrete beslutninger i salg, HR, indkøb og produktudvikling.

Her opstår en klassisk misforståelse: Jo længere policy, jo stærkere styring. I praksis sker det modsatte. Medarbejdere bruger korte playbooks, tydelige fallback-positioner og standardiserede godkendelsesveje langt mere end lange juridiske tekster.‍ ‍

En effektiv oversættelse kan bygges sådan:

  • Trin 1: Reducér hvert lovkrav til få operationelle spørgsmål, som medarbejdere faktisk møder.

  • Trin 2: Lav standarder, skabeloner og playbooks for gentagne situationer, især kontrakter og tredjepartsreview.

  • Trin 3: Byg workflows med godkendelser, tidsfrister og dokumentation i de systemer, medarbejderne allerede bruger.

  • Trin 4: Test med virkelige sager og justér, hvis teams stadig sender alt til legal eller compliance.

Hvis salg stadig mailer særvilkår rundt uden sporbarhed, er problemet sjældent viden alene. Så er processen designet forkert.

Skal compliance management forankres internt eller med interim juridisk støtte?

Begge modeller virker, men de løser forskellige problemer. SMV’er og C25-selskaber vælger ofte forskelligt, fordi tempo, kompleksitet og budget bestemmer den rigtige forankring.‍ ‍

Intern forankring giver kontinuitet, historik og daglig nærhed. Det er stærkt, når virksomheden har stabil regulatorisk kompleksitet, faste teams og et vedvarende behov for governance. Ulempen er tid og omkostning ved rekruttering, onboarding og ledelseskapacitet.‍ ‍

Interim juridisk støtte giver fart, senioritet og fokus. Det passer godt, hvis virksomheden står i et transaktionsforløb, en regulatorisk oprydning, et hurtigt skalingsskifte eller et midlertidigt hul i legal/compliance-funktionen. Ulempen er, at modellen kræver tydeligt scope og god overlevering, ellers forsvinder læringen ud af huset.‍ ‍

Hvis behovet er permanent og bredt, er intern opbygning ofte bedst. Hvis behovet er akut, komplekst eller midlertidigt, er interim typisk den hurtigste vej til moden styring. Mange vælger en hybridmodel, hvor en interim-profil etablerer struktur, KPI’er og playbooks, mens interne ejere overtager driften.

Hvordan måler man, om compliance management faktisk virker?‍ ‍

Ja, effekten kan måles. Audit findings og kontraktgennemløbstid siger mere om programmet end antallet af policies i SharePoint.‍ ‍

Måling bør ske på tre niveauer: aktivitet, kvalitet og effekt. Aktivitet er fx træningsgennemførelse og tredjepartsscreeninger. Kvalitet er fx afvigelser fra standardklausuler, testresultater og sagslukningstid. Effekt er fx færre hændelser, hurtigere onboarding af kunder og færre regulatoriske påbud.

En typisk misforståelse er, at nul indberetninger i whistleblowerordningen er et sundhedstegn. Det kan lige så godt betyde lav tillid. For private virksomheder med 50 eller flere medarbejdere er whistleblowerkravene i EU og Danmark samtidig et godt eksempel på, at rapporteringskanaler skal fungere i praksis, ikke kun på papir.‍ ‍

Gode KPI’er er ofte få og handlingsnære: 100 procent onboarding-træning inden 30 dage, andel kontrakter på standardpapir, åbne højrisikosager over 30 dage, gennemførte due diligence-reviews og antal gentagne kontrolsvigt. Hvis en KPI ikke kan ændre en beslutning, er den sjældent nyttig.

Hvordan bruger man teknologi, CLM og AI i compliance management uden at øge risikoen?‍ ‍

Teknologi kan reducere fejl, men kun med styring. CLM-platforme og Microsoft Purview kan styrke sporbarhed, mens AI kræver test, adgangskontrol og menneskelig godkendelse.

Det største potentiale ligger i standardisering. Contract lifecycle management, e-signatur, policy management, learning management og issue tracking kan fjerne manuelle trin, samle dokumentation og gøre kontroller målbare. Særligt kontraktdata, attesteringer og tredjepartsflows bliver mere robuste, når de flyttes ud af mail og regneark.

Men teknologi har klare bytteforhold. Mere automatisering giver fart og ensartethed, men også risiko for falsk tryghed. Hvis AI bruges til klausulreview, skal virksomheden beslutte, hvilke output der må gå direkte videre, og hvilke der altid kræver menneskelig vurdering. Hvis systemet behandler personoplysninger eller profilerer leverandører, kan GDPR udløse behov for DPIA, dataminimering og strengere adgangsstyring.

Et praktisk tip er at starte med processer, der allerede er standardiserbare. Automatisér ikke kaos. Ryd først op i skabeloner, ejerforhold og beslutningsregler, og læg derefter teknologi ovenpå.

Hvilke fejl svækker compliance management mest, og hvordan retter man dem?

De fleste svagheder er ledelsesmæssige, ikke juridiske. SharePoint og Excel bliver hurtigt symptomer, mens den egentlige årsag er uklart ansvar og manglende prioritering.

Den første fejl er at behandle compliance som et sideprojekt. Så opstår politikker uden ejere, træning uden opfølgning og kontroller uden beviser. Den anden fejl er at holde programmet centralt, men langt fra forretningen. Hvis salg, indkøb og HR ikke kan bruge styringen i deres hverdag, vil de skabe egne genveje. Den tredje fejl er at reagere på hændelser uden root cause-analyse. Så gentager de samme afvigelser sig.

Rettelsen er forholdsvis enkel, men kræver disciplin. Fastlæg få top-risici, giv hver risiko en ansvarlig leder, mål på få KPI’er og opdatér programmet efter virkelige hændelser. Hvis virksomheden går ind i nye markeder, indfører AI eller ændrer leverandørmodel, skal risikovurdering, kontroller og træning ændres samtidig. Der ligger den reelle styrke i et modent compliance management-system.

Peter Hejler
Forrige

Aftalegennemgang: hvornår giver det mest værdi?
Næste

Peter Hejler Consulting: Compliance rådgivning