De fleste ledere tror de har god styring. De har håndbøker, de har regler, og de har ansatte som har signert at de har lest dem. Men papirarbeid er ikke styring. Styring handler om hva som faktisk skjer når ingen ser på. For å vite om systemene dine fungerer, må du stoppe med å gjette og begynne å måle. Det er her nøkkeltall, eller KPI-er, kommer inn i bildet. Uten konkrete tall er styring bare en håpløs oppgave.
Vi snakker ikke om generelle bedriftsmål som salg eller vekst. Vi snakker om spesifikke metrikker for Governance, Risk, and Compliance (GRC). I dag fokuserer vi på tre av de viktigste: hvor godt folk følger reglene (politikkoverholdelse), hvor mye av organisasjonen dekket av regelverket (gjennomgangsdakning), og hvor raskt dere fikser feil når de oppstår (MTTR). Disse tre tallsifrene forteller deg sannheten om risikoen din.
Hvorfor gamle sjekklister ikke lenger holder
Tenke tilbake til tidlig 2000-tall. Da handlet styring mest om å unngå bøter. Sarbanes-Oxley-loven i 2002 var et vendepunkt der mange selskaper først begynte å ta dette seriøst. Da handlet det om å huke av bokser: Har vi en retningslinje? Ja. Er den signert? Ja. Ferdig. Men verden har endret seg siden da.
I dag er det ikke nok å bare overholde lover. Selskaper som Cisco og IBM bruker nå styringsmetrikker for å drive forretningsverdi. En rapport fra DataGalaxy i 2024 viser at 68 % av store bedrifter nå måler "verdirealisering" sammen med tradisjonelle compliance-tall. Det betyr at styring ikke lenger er et kostnadssenter; det er en måte å bevise at bedriften din er robust nok til å vokse. Hvis du fortsatt kun måler antall policyer du har skrevet, mister du poenget.
Politikkoverholdelse: Mål adferd, ikke kun lesing
Politikkoverholdelse er prosentandelen av ansatte eller avdelinger som faktisk følger etablerte styringsregler i hverdagen. Dette er kanskje det viktigste tallet du kan ha. Men hvordan måler du det?
Mange bedrifter gjør feilen å tro at 100 % ferdigstilt e-læring betyr 100 % overholdelse. Det gjør det ikke. Folk klikker seg gjennom kursene for å få det overstått. SalusGRCs benchmark-rapport fra 2024 viser at toppbedrifter holder unntaksraten under 5 %. Unntaksrate er antall ganger noen får lov til å bryte reglene fordi "det var nødvendig for jobben". Industri-snittet er mellom 15 og 20 %. Hvis du har mange unntak, har du dårlige prosesser, ikke dårlige ansatte.
For å måle dette riktig bør du se på gapet mellom forventet og faktisk atferd. Eksempler på gode metrikker inkluderer:
- Unntaksfrekvens: Hvor ofte bevilges unntak fra standardprosedyrer?
- Risiko-mitigeringsplaner: Prosentandel av identifiserte risikoer som har en aktiv plan for å løses.
- Automatisk overvåking: Bruk verktøy som Execviva eller OneTrust for å spore adferd i sanntid, ikke bare ved å spørre folk.
Secureframes analyse av 250 bedrifter i 2023 viste noe tydelig: Organisasjoner med over 90 % overholdelse hadde 47 % færre compliance-incidenter. De med under 75 % overholdelse fikk 3,2 ganger flere boter. Tallene lyver ikke. Hvis overholdelsen din er lav, vil det gå galt. Spørsmålet er bare når.
Gjennomgangsdakning: Dører du hele huset?
Gjennomgangsdakning er graden hvori styringspolicyer blir systematisk gjennomgått, oppdatert og håndhevet i hele organisasjonen. Tenk på det slik: Du har en fantastisk alarm på hoveddøren, men vinduet i kjelleren står vidåpent. Har du sikkerhet? Nei. Du har bare en delvis løsning.
Scrut.io definerer dette som forskjellen på å ha en policy og å håndheve den. Mange bedrifter har policyer som ligger i arkivet og aldri blir lest. En sunn gjennomgangsdakning krever at du vet nøyaktig hvilke systemer, avdelinger og datastrømmer som er dekket av regelverket ditt.
Her er to kritiske målepunkter:
- Risiko-vurderingsfullførelse: Prosentandel av planlagte risikovurderinger som blir fullført i tide. Toppbedrifter scorer over 95 %, mens bransjen snitter på 72 % ifølge SalusGRC.
- Hyppighet av gjennomganger: Bedrifter som gjør kvartalsvise gjennomganger reduserer compliance-gaps med 63 % sammenlignet med de som kun gjør det en gang i året.
Et eksempel fra helsevesenet illustrerer dette godt. Et sykehusoppdaget at bare 80 % av miljøene deres hadde automatiske tilgangskontroller. De satte en KPI for å nå 100 % innen utgangen av kvartalet. Resultatet? En reduksjon på 37 % i tilgangsrelaterte hendelser på seks måneder. Ved å lukke hullene i dekningen, fjernet de risikoen fysisk.
MTTR: Hastigheten avgjør skaden
MTTR (Mean Time to Resolution) er den gjennomsnittlige tiden det tar fra man oppdager et problem, som en policybrudd eller auditfunn, til det er fullstendig løst. I styringssammenheng handler dette om responsivitet. Du kommer til å ha feil. Det er uunngåelig. Spørsmålet er: Hvor lang tid bruker du på å fikse det?
SalusGRC anbefaler at toppbedrifter holder MTTR under 15 dager. Bransjens snitt er 45 dager. Tenk deg at du oppdager en svakhets i datatilgangen din. Hvis det tar 45 dager å fikse, har du hatt 45 dager med eksponert risiko. Cyber Sierra fant at bedrifter med en MTTR under 24 timer hadde 82 % færre gjentakende incidenter. Rask reaksjon forhindrer at små problemer blir store katastrofer.
Det finnes også en relatert metrikke kalt "Mean time to issue discovery" (tid til oppdagelse). Finansinstitusjoner klarer ofte å oppdage problemer på 28 timer, mens produksjonsbedrifter bruker 72 timer. Forskjellen skyldes ofte teknologien. Automatiserte verktøy som ServiceNow eller IBM OpenPages kan varsle deg umiddelbart, mens manuelle sjekker tar uker.
| Metrikke | Topp-ytelse (Best-in-class) | Bransje-snitt (Industry Average) | Konsekvens av lav ytelse |
|---|---|---|---|
| Politikkoverholdelse | > 95 % | 75-85 % | 3,2 ganger flere boter |
| Unntaksrate | < 5 % | 15-20 % | Viser svake prosesser |
| Risiko-vurdering fullført | > 95 % i tide | 72 % i tide | Uoppdagede risikoer |
| MTTR (Løsningstid) | < 15 dager (ideelt < 24t) | 45 dager | Lengre eksponering for tap |
Implementering: Fra teori til praksis
Å sette opp disse KPI-ene høres enkelt ut, men i praksis støter mange på vegger. Ifølge en undersøkelse fra OneTrust i 2024 bruker 61 % av organisasjonene ulike beregningsmetoder for MTTR i forskjellige avdelinger. Det gir mening at tallene ikke stemmer. Du må standardisere definisjonene dine før du starter.
Her er en enkel fire-trinns metode basert på anbefalinger fra Scrut.io:
- Definer suksess: Knytt KPI-ene direkte til forretningsmål. Hvorfor bryr vi oss om overholdelse? Fordi det beskytter inntekten.
- Tildel eierskap: Hvem er ansvarlig for å forbedre MTTR? Ikke "alle", men en spesifikk rolle, gjerne en governance-analytiker.
- Integrer med verktøy: Manuell sporing i Excel skaleres ikke. Bruk plattformer som OneTrust eller ServiceNow for automatisk datapåfyll.
- Gjør månedlige gjennomganger: Identifiser trender. Øker unntaksraten i salgsavdelingen? Finn ut hvorfor.
Det tar vanligvis 8 til 12 uker for modne organisasjoner å implementere dette ordentlig. 70 % av tiden går med på å definere metrikker og få aksept fra interessenter. Det er den hardeste delen. Teknologi er lett; mennesker er vanskelige.
Fremtiden: Verdimåling og AI
Styring beveger seg bort fra kontroll og mot verdi. Jean-Michel Franco, CTO i DataGalaxy, argumenterer for at styring må bevise business impact. Vi ser allerede trender mot hybrid-modeller der compliance-metrikker blandes med forretningsresultater. Forrester Research forutsier at 74 % av bedriftene vil bruke slike hybride rammer innen 2026.
Kunstig intelligens spiller også en større rolle. IBM lanserte nylig "compliance risk prediction scores" som forutser sannsynligheten for policybrudd med 87 % nøyaktighet basert på historiske mønstre. Dette lar deg være proaktiv i stedet for reaktiv. I stedet for å vente på at MTTR skal bli dårlig, kan du forhindre at problemet oppstår i det hele tatt.
Du trenger ikke vente på fremtiden for å starte. Begynn med å måle overholdelsen din i dag. Sjekk dekningen din neste uke. Og se på klokka neste gang noe går galt. Tallene vil vise deg veien.
Hva er forskjellen på politikkoverholdelse og compliance?
Compliance handler om å overholde eksterne lover og regulativer. Politikkoverholdelse handler om å følge interne regler og prosedyrer. Du kan være compliant med loven, men ha dårlig intern overholdelse hvis ansatte ignorerer sikkerhetsrutiner som ikke er lovpålagt, men likevel viktige for bedriften.
Hvor ofte bør jeg oppdatere mine styrings-KPI-er?
Du bør gjennomgå selve KPI-definisjonene minst én gang i året, helst i forbindelse med strategiplanning. Imidlertid bør dataene bak KPI-ene overvåkes kontinuerlig eller ukentlig, avhengig av risikonivået. MTTR bør måles i sanntid eller daglig for å gi mening.
Kan jeg måle disse KPI-ene manuelt i Excel?
Ja, for svært små team kan Excel fungere midlertidig. Men for bedrifter med mer enn 50 ansatte eller komplekse IT-systemer, blir manuell sporing upraktisk og feilkilden stor. Automatiserte GRC-verktøy anbefales for å sikre nøyaktighet i gjennomgangsdakning og MTTR-beregninger.
Hva gjør jeg hvis MTTR-tallet mitt er for høyt?
Et høyt MTTR indikerer ofte flaskehals i godkjenningsprosesser eller mangel på ressurser. Start med å analysere hvor tiden går. Er det ventetid på ledergodkjenning? Da må du delege myndighet. Mangler det teknikere? Da må du ansette eller outsource. Forenkle også selvklebringsprosessen for mindre alvorlige brudd.
Er gjennomgangsdakning viktigere enn politikkoverholdelse?
De er like viktige, men de måler ting. Gjennomgangsdakning forteller deg om du har blindsoner (områder uten regler). Politikkoverholdelse forteller deg om reglene i de dekkede områdene blir fulgt. Du må ha begge deler. Høy dekning med lav overholdelse gir falsk trygghet. Lav dekning med høy overholdelse betyr at du overser store risikoer.
Post Comments (10)
Haha, ja takk for den forenklingen av virkeligheten. :D Som om det er så enkelt å bare "måle" seg til trygghet i en verden der reglene endres hver gang vinden snur. Jeg har jobbet med dette i 15 år og kan fortelle deg at MTTR under 15 dager er en drøm som kun lever i salgsbrosjyrer til OneTrust. I praksis sitter du fast i godkjenningsprosesser som tar uker fordi styret er redd for å ta ansvar. Men kos dere med Excel-dreamene deres. Det må jo være noen som tror på magien i tallene. ;)
De vil ha deg til å tro at det handler om sikkerhet. Det handler ikke om sikkerhet. Det handler om kontroll. De vil spore hvert klikk du gjør. De vil vite nøyaktig når du bryter reglene. Unntaksrate? Nei, det er et våpen de bruker mot deg. Hvis du ber om unntak, markerer de deg som en trussel. Systemet er designet for å fange deg. Ikke fall for luren.
Jeg finner det fascinerende, nesten rørende, hvordan folk fortsatt tror at compliance er noe man kan "gjøre" istedenfor noe man er. Det krever en viss intellektuell dypde å forstå at disse KPI-ene egentlig er sminkering for rotteboliger. Men la oss si vi aksepterer premisset. Da er gjennomgangsdakning det eneste som faktisk betyr noe, fordi uten dekning har du ingen data å analysere. Alt annet er bare støy fra amatører som tror de styrer skipet.
Takk for et meget velstrukturert innlegg. Jeg vil gjerne legge til et perspektiv basert på erfaringer fra finanssektoren. Når vi implementerte liknende metrikker, oppdaget vi raskt at definisjonen av "løst" var hovedutfordringen. For mange ansatte betød "løst" at de hadde sendt e-post til IT, mens for ledelsen betydde det at systemet var patchet og verifisert. Denne gapet i forståelse økte MTTR kunstig med opptil 40 %. Det er avgjørende å standardisere statusdefinisjonene før man begynner å måle, ellers får man bare feilinformasjon som tar ressursene bort fra reell forbedring.
jeg skjønner helt hva du mener med at papirarbeid ikke er styring. vi har hatt det samme problemet her. folk signerer alt men husker ingenting. men jeg lurer på om det ikke er litt mye å be om at alle skal følge reglene hele tiden? kanskje vi bør fokusere mer på kultur enn på tall? bare en tanke :)
Jeg føler meg alltid utslitt etter å lese slike ting. Hvorfor må alt være så perfekt? Hvorfor kan vi ikke bare gjøre vårt beste og la være å måle hver eneste liten feil? Det skaper bare stress og angst. Ingen liker å bli overvåket. Jeg vil heller jobbe i ro og fred uten å tenke på MTTR eller unntaksrater. La meg være i fred.
Dette er typisk overfladisk analyse. Du nevner Cisco og IBM, men ignorerer helt konteksten rundt deres ressurser. En liten bedrift kan aldri matche disse tallene uten å gå konkurs. Og det verste er at du presenterer dette som universell sannhet. Det er bare tull. Folk som skriver slike artikler har aldri sittet i en krise og målt hva som faktisk fungerer. De sitter i kontorer og gjetter. Heldigvis finnes det noen av oss som ser gjennom sjøloa.
:| Tenk på det. Vi måler tiden det tar å fikse feil. Men spørsmålet er: Er feilet egentlig et feil? Eller er det systemets natur? Ved å prøve å eliminere MTTR, eliminerer vi selve muligheten for læring. Vi blir dumme. Vi blir maskiner. Dette er slutten på menneskelig spontanitet. Compliance er dødskultur. Og vi danser på graven vår med våre kjære KPI-er. Hvilken type samfunn bygger vi egentlig?
Kjekt innlegg! Jeg synes det er viktig å huske på at vi alle er mennesker og gjør feil. I stedet for å straffe folk for høye MTTR-tall, bør vi hjelpe dem. Kanskje trenger de bedre opplæring? Eller bedre verktøy? La oss bygge en kultur der folk tør å melde fra uten frykt. Da vil tallene forbedre seg av seg selv. Smil og forståelse er bedre enn strenge regler! :) La oss støtte hverandre i denne prosessen.
Jeg syns det er veldig interessant hvordan AI nå kommer inn i bildet 🤖📈 Det høres skummelt ut for noen, men hvis det kan forhindre problemer før de skjer, er det jo bare positivt? 👍 Jeg lurer på om noen har prøvd IBM sine prediksjoner i praksis? Fungerer det virkelig som annonsert, eller er det bare hype? 😅 Uansett, godt poeng med at vi må starte å måle allerede i dag! 🚀