Det är inte ett tecken på att compliance-arbetet är dåligt. Det är ett strukturellt problem. Och det beror på att tekniken för att samla compliance över alla försvarslinjer i ett och samma system knappt har existerat förrän nyligen.
Tre linjer, tre separata verkligheter
De flesta organisationer arbetar utifrån en trelinjersmodell för intern kontroll. Första linjen äger och utför kontrollerna. Andra linjen övervakar och säkerställer att kontrollerna fungerar. Tredje linjen — internrevision och styrelse — granskar och rapporterar.
I teorin hänger dessa ihop. I praktiken lever de i separata system, separata dokument och separata processer som sällan talar med varandra.
Det skapar tre konkreta problem:
Dubbelarbete. Samma krav dokumenteras och rapporteras av flera funktioner oberoende av varandra. Första linjen fyller i ett formulär. Compliance-funktionen gör en egen kartläggning. Internrevisionen begär in underlag som redan finns någon annanstans — men inte tillgängligt i rätt format.
Blinda fläckar. När systemen inte är sammankopplade finns det ingen som har en fullständig bild. En incident som hanteras i första linjen syns inte automatiskt i compliance-funktionens riskbild. En kontroll som slutat fungera flaggas inte upp i styrelserapporten förrän någon aktivt sammanställer informationen.
Retroaktiv rapportering. Styrelsen och ledningen får en bild av hur det såg ut förra kvartalet, inte hur det ser ut idag. Det är ett problem i sig — men det är ett akut problem när DORA kräver incidentrapportering inom fyra timmar och NIS2 ställer krav på löpande dokumentation av säkerhetsåtgärder.
Missuppfattningen om vad "compliance-system" betyder
Missuppfattning: Ett compliance-system är ett verktyg för compliance-funktionen.
Verklighet: Ett compliance-system som bara används av en funktion löser inte problemet. Det skapar ytterligare ett silo.
Det är här systemdesignen spelar roll. För att compliance-arbetet ska fungera över hela organisationen måste systemet vara byggt för alla tre linjerna samtidigt — med olika vyer, olika uppgifter och olika rapporteringsformat, men med en och samma underliggande datakälla.
Första linjen behöver konkreta uppgifter, inte abstrakta krav. Compliance- och riskfunktionen behöver ett konfigurerbart kontrollsystem med löpande statusuppdateringar. Styrelsen och ledningen behöver en realtidsbild av efterlevnadsstatus och ett fullständigt revisionsspår.
Om dessa tre vyer bygger på olika datakällor är problemet inte löst — det är bara digitaliserat.
Vad som krävs för att det ska hänga ihop
Ett samlat compliance-program kräver att tre saker är på plats:
En gemensam datakälla. Alla tre linjerna arbetar mot samma underliggande krav, kontroller och bevis. Inte kopior av varandra — samma källa.
Rollbaserade vyer. Vad en jurist i första linjen ser och gör skiljer sig från vad compliance-chefen behöver och från vad styrelsen rapporteras. Systemet måste hantera alla tre utan att kräva manuell översättning mellan dem.
Händelsestyrd uppdatering. När något förändras i verksamheten — ett nytt avtal, en incident, en systemförändring — ska det synas i alla relevanta vyer automatiskt. Inte efter nästa kvartalsmöte.
Det är skillnaden mellan compliance som en administrativ funktion och compliance som en operativ kontrollmekanism.
Vill du se hur compliance ser ut när alla tre linjerna arbetar i samma system?
Hy5 är byggt för att operationalisera compliance över hela organisationen — från konkreta uppgifter i första linjen till realtidsöversikt för styrelsen. Används av svenska organisationer inom finans och kritisk infrastruktur för att ersätta fragmenterade processer med ett samlat system.
Hy5 ökar dramatiskt hastigheten och tillförlitligheten i compliancearbetet. För hela företaget.
