När organisationer möter ett växande compliancetryck brukar reaktionen vara densamma: anställ fler, skärp processerna, förbättra arbetsflödena. Det är en förståelig reflex. Det är också fel svar.
Problemet är inte att dina compliancefunktioner inte anstränger sig tillräckligt. Problemet är att modellen inte håller.
Siffrorna talar sitt tydliga språk
Bank Policy Institutes undersökning från oktober 2024 som kartlade 20 stora banker visar att antalet arbetstimmar dedikerade till compliance ökade med 61 procent mellan 2016 och 2023, medan den totala personalstyrkan bara växte med 20 procent. Samma rapport visar att ledningens tid som upptas av compliancefrågor stigit från 24 till 42 procent, och styrelsens tid från 27 till 43 procent. IT-budgetar för compliance ökade från 9,6 till 13,4 procent under samma period.
Dessa siffror gäller amerikanska banker, men mönstret är igenkännbart i europeisk kontext. Det vi ser är inte processineffektivitet. Det är ett system som börjar knaka i fogarna under strukturell belastning.
Regelverket har förändrat spelreglerna
En stor del av förklaringen stavas DORA och NIS2.
DORA (Digital Operational Resilience Act) trädde i kraft den 17 januari 2025 och täcker banker, försäkringsbolag, investeringsföretag och en bred krets av ICT-leverantörer. Enligt EIOPA finns ingen övergångstid. Kraven på operationell motståndskraft, incidentrapportering och tredjepartshantering gäller nu.
NIS2 befinner sig fortfarande i ett implementeringskaos. EU-kommissionen skickade i maj 2025 formella varningsbrev till 19 medlemsstater, inklusive Sverige, för att de inte fullt ut genomfört direktivet. Det innebär att svenska organisationer befinner sig i ett rättsligt gråzonslandskap: nationell lagstiftning är ofullständig, men direktivets krav kan inte ignoreras. Det kräver aktiv tolkning och löpande bevakning.
Det gemensamma i dessa regelverk är att de inte är cykliska. De är kontinuerliga. Och ett system byggt för cyklisk compliance, med periodiska revisioner, manuella insamlingar och spridd dokumentation, fungerar inte för det vi nu lever med.
Fler händer löser inte ett strukturellt problem
Det är här den verkliga utmaningen ligger. När compliance är manuell är den också fragmenterad. Ansvaret är oklart. Dokumentation existerar på tre olika ställen, eller inte alls. Kontroller bygger på att rätt person minns rätt sak vid rätt tidpunkt.
Det är ett system som är beroende av individuella hjälteinsatser för att hålla ihop, och det håller inte under kontinuerligt regulatoriskt tryck.
Att lägga till fler människor i det systemet fungerar inte i längden. Det sprider bara bördorna bredare utan att lösa grundproblemet: att compliance är inbyggd som ett lager utanpå verksamheten, snarare än i den.
Det strukturella skiftet
Organisationer som faktiskt klarar det här regulatoriska klimatet gör något annorlunda. De behandlar inte compliance som en separat funktion som aktiveras vid granskning. De bäddar in regulatoriska krav i den operativa modellen, i hur arbete planeras, hur beslut dokumenteras, hur system är konfigurerade.
Det innebär att krav kopplas till faktiska kontroller. Att bevis genereras löpande, inte samlas in i panik inför en revision. Att när regelverket uppdateras, vilket det kommer att göra, vet systemet var gapet uppstår.
Det är inte en processfråga. Det är en arkitekturfråga.
Vad det kräver i praktiken
Det som krävs är att sluta behandla compliance som ett projekt med ett slutdatum och börja behandla det som en förmåga med krav på infrastruktur.
Det kräver verktyg som inte bara stödjer complianceavdelningen utan som gör compliance synlig och hanterbar för hela organisationen.
Och det kräver ledarskap som förstår att kostnaden för att inte göra det här skiftet inte längre är abstrakt. Den syns i de 42 procenten av ledningens tid. Den syns i de 61 procenten fler arbetstimmar. Den syns i organisationer som inte kan svara på om de uppfyller DORA-kraven idag.
Rätt fråga är inte "hur gör vi vår complianceprocess mer effektiv?" utan "varför är vår compliance fortfarande manuell?"