Compliance under pres: Flere ressourcer er ikke altid den mest effektive løsning
Trods milliardinvesteringer og voksende compliance-afdelinger er mange finansvirksomheder og deres ansatte udfordret af de mange reguleringer. Ifølge en ekspert bør arbejdet med regulering gentænkes og moderniseres.
Compliance-puklen vokser
Tue Jagtfelt ved, hvad han taler om. Han arbejder i dag som selvstændig konsulent, hvor han rådgiver inden for informationssikkerhed, governance, risik og compliance (GRC).
Han har arbejdet som rådgiver og konsulent med både strategisk og operationel cybersikkerhed i komplekse it- og OT-miljøer og har haft ledende roller i organisationer som Deloitte, Velliv og ISS World Services.
Han har fra tætteste hold observeret flere af de store bankers arbejde med compliance over årene, og han har set hvor svært det er at ændre praksis i især de større og komplekse organisationer, hvor den eksterne regulatoriske og kontraktuelle virkelighed ændre sig i hurtigt tempo.
”Det tager tid og er svært at dreje en supertanker, men gør man ikke noget, risikerer man også at skubbe byrden foran sig og herved skabe yderligere potentielle risici," siger han og fortsætter:
"Man siger: ’næste år bliver det bedre,’ men næste år, er der ofte ikke sket noget, eller tiltag har ikke altid været tilstrækkelige. Samtidig vokser byrden hele tiden med nye krav og lovgivning, brug af ny teknologi og nye kundekontrakter med flere krav."
Det eksterne regulatoriske landskab og trusselsmiljø har ændret sig hurtigere, end mange organisationers interne compliance-processer har kunnet følge med til, fortsætter han.
”Med risiko for at opbygge compliance-pukkel kan det pludseligt blive rigtig svært at følge med.”
Så meget fylder compliance hos bankerne
Siden finanskrisen har bankerne brugt flere og flere ressourcer på at sikre compliance og leve op til de stigende krav, der har ramt sektoren.
- Compliance-omkostninger udgør i gennemsnit 19 procent af virksomhedernes årlige omsætning. (Fintech Global)
- Fra 2016 og frem har der været en stigning på 61 procent i medarbejdertimer brugt på regulatoriske aktiviteter og krav fra tilsynsmyndigheder (Global Fintech).
- De store finansvirksomheder (SIFI-virksomheder) brugte i 2017 og 2018, hvad der i gennemsnit svarede til 104 og 22 fuldtidsansatte pr. 1.000 ansatte til kontrolfunktioner i første forsvarslinje og anden forsvarslinje. (Finanstilsynet).
- Over de seneste 10 år har compliance været den hurtigst voksende jobfunktion i finanssektoren med en vækst på 164 procent (Hanne Shapiro Futures og HBS Economics).
Regulering og digitalisering ændrer kravene
Selvom der bliver brugt stadigt flere ressourcer på compliance, er det Tue Jagtfelts vurdering, at der mange steder er behov for, at de grundlæggende Enterprise Risk Management (ERM) strukturer og processer tilpasses den nye virkelighed.
Det er ikke kun som følge af nye reguleringer, men også på grund af den høje grad af digitalisering, der også flytter rundt på ansvar, processer og funktioner, som også påvirker compliance-ansatte (GRC).
”Vi ser en signifikant udvidelse af de regulatoriske krav til finanssektoren, der allerede er under en enorm arbejdsbyrde. Samtidig ser vi et stort behov for digitalisering og brug af ny teknologi, såsom Automatisering, Business Intelligence, cloud, AI og øget brug af outsourcing, og it-leverandører samt samarbejde med mindre fintech-partnere.”
Det skaber ifølge Tue Jagtfelt et spændingsfelt, hvor man skal håndtere komplekse reguleringer og samtidig transformere sin forretning. Men det kan være svært effektivt at navigere i, hvis man ikke også opdaterer sin compliance-funktion.
”Førhen havde man forskellige lovgivninger – for fx PSD2, ledelsesbekendtgørelser, betalingssystemer samt trading-systemer mv. – og man byggede siloer op i organisationen, der ofte tog sig af hver søjle,” siger Tue Jagtfelt og fortsætter:
”Nu kommer større regulatoriske rammeværk som DORA, som samler mange af de tidligere krav for IKT-styring og informationssikkerhed under ét regelsæt. Det betyder, at den struktur og organisering, man havde, måske ikke længere er optimal.”
”Personale og processer passer måske ikke nødvendigvis til de nye krav. En skalering af det eksisterende er derfor ikke altid en effektiv løsning.”
Strukturerne bliver derfor nødt til at blive reviewet og, hvis nødvendigt, opdateret, mener Tue Jagtfelt, der har set nok af eksempler på, hvad der kan ske, hvis man ikke følger med.
Netværk sætter fokus på compliance-udfordringer
I et nyt compliance-netværk hos Finansforbundet vil Tue Jagtfelt sætte fokus på nogle af de udfordringer, han ser, sektoren stå over for.
Fokus bliver bl.a. på, hvordan compliance-funktionen skal navigere i et landskab præget af konstant forandring, samtidig med at den forventes at være stringent og konsistent.
Begreber som compliance-by-design og compliance som bidragende faktor til øget konkurrenceevne vil også være gennemgående.
Netværket er et fortroligt forum, hvor medlemmer kan dele erfaringer, diskutere nye reguleringer og få konkrete løsninger på praktiske problemstillinger.
Netværket mødes fem gange i 2026 og har til formål at styrke medlemmernes faglige indsigt og skabe et rum for videndeling og kollegial sparring i en kompleks og reguleret branche.
Legacy compliance
Tue Jagtfelt har set flere udfordringer i forhold til håndtering af eksempelvis tilsyn i bankerne. Som større finansvirksomhed bliver man auditeret af flere aktører (nationale tilsyn, EU-tilsyn, revisionshuse og måske også i flere lande).
Det kan føre til flere tilsynsrapporter med gentagne anmærkninger om det samme.
”Hvis de bliver håndteret i hver sin isolerede lomme i organisationen, kan det blive meget tidskrævende og svært at få rettet dem,” forklarer Tue Jagtfelt.
I sådan en situation kan selv mindre opgaver blive unødvendigt tidskrævende og trække på allerede utilstrækkelige og omkostningstunge compliance-ressourcer.
”Det kan hurtigt blive komplekst blot at patche et system, fordi man har en model, hvor it er hostet et sted, driftet af en anden leverandør, og udviklet af en tredje. Hertil kan compliance for anden forsvarslinje være udført af forskellige funktioner, mens ens it-afdeling sidder i et andet land. Hvis det samtidig er uklart, hvem der har risikoansvaret, kan det blive rigtig bøvlet.”
”De strukturer, man troede var gode, er ikke nødvendigvis længere de rigtige. Man har legacy-risk management, gamle politikker med gamle afdelingsnavne, og når der kommer nye regler, er det ikke sikkert, at man er compliant, selvom man forsøger at skalere det eksisterende,” følger Tue Jagtfelt op.
Tue Jagtfelts hovedargument er, at finansvirksomheder står overfor at skulle overveje, om de har grebet arbejdet med compliance rigtig an.
"Den primære udfordring er at få reflekteret over, om man har indrettet sig i henhold til den nye regulatoriske virkelighed og om ens GRC-processer og strukturer imødekommer en efficient og effektiv risikostyring. Det næste er kompetenceløftet.”
Behov for nye kompetencer
I kølvandet på den megen regulering og de nye krav og teknologier bliver der behov for nye yderligere kompetencer, lyder det fra Tue Jagtfelt.
”På det operationelle niveau skal man kende til de enkelte lovgivninger, men der ligger meget potentiale i standardisering på tværs af organisationerne,” siger han og fortsætter:
”Der er stadig krav om funktionsadskillelse, men hvis man ser på en produktlinje, er der ofte en række enslydende krav og fællesnævnere på tværs af det nye reguleringsmiljø: informationssikkerhed, cybersikkerhed, GDPR, AI og it-compliance. Der er også lidt sammenfald med hvidvask området. Der er derfor også muligheder for standardiseringer og herved rationaliseringer af en del GRC-arbejdet.”
Vi står over for en fremtid hvor der kan forventes flere audits og øget krav om at demonstrere compliance, og derfor bliver brugen af risk- og compliance-ressourcer ikke mindre vigtige, tværtimod.
”Det har overrasket mig, at selv store virksomheder med mange dygtige folk stadig mangler kompetencer. Undersøgelser viser, at der ikke er nok folk derude, som ved nok om compliance og risikostyring til at imødekomme de nye behov i markedet.”