Hei og velkommen til LØRN. 1500 læringshistorier fra de beste fremtidstenkerne og skaperne. På Lorn.tech kan du lytte, se eller lese alt innhold gratis, men registrer deg for å få tilgang til personaliserte læringsstier, sertifikater og mye mer.

Silvija Seres: Hei og velkommen til LØRNs serie med BI, om compliance. Vi i LØRN skal i samtale med Miloš Novović fra BI og mere gjester, i dette tilfellet vår kjære Frode Skaarnes fra LØRN, snakke om de viktigste driverne for compliance og GDPR, og sikkerhet i bedriftene. Velkommen til dere to også, Miloš. 

Miloš Novović: Takk. 

Frode Skaarnes: Takk.

Silvija: Da har dere introdusert dere fire-fem ganger allerede. Vil dere bare si tittelen og hvor dere jobber og hvorfor dette er et viktig tema for dere, og så går vi videre? Miloš?

Miloš: Miloš Novović, førsteamanuensis ved BI. Jeg synes at dette er et ekstremt spennende tema, ikke bare fordi alle snakker om sikkerhet og compliance, men også fordi jeg er en veldig tech-geek, og jeg er veldig interessert i teknologi og jus. Så det er på grunn av det at jeg her i dag.

Silvija: Gå du Frode!

Frode: Jeg er COO i LØRN, men det er vel ikke derfor jeg er her i dag. Jeg har bakgrunn fra forsvaret, etterretningstjenesten og Nasjonal sikkerhetsmyndighet, så jeg er også, som Miloš, veldig glad i tema, både praktisk, men også litt sånn akademisk og ikke minst i på en utforskende måte, fordi dette er noe av det som er vanskelig for alle, men kjempeviktig.

Silvija: Veldig bra. Og så håper jeg egentlig at de som har lyttet med oss i denne samtalen, eller i denne serien med samtaler, også har fått øyne for at compliance egentlig er et utrolig spennende tema, og i utgangspunktet er et sånt tema hvor du hvis noen begynner å prate om det på en fest ved siden av deg, så går du fort og henter deg noe drikke, ikke sant? Mens vi har funnet ut av det er faktisk et veldig både viktig tema og et veldig spennende tema. Viktig fordi det kommer masse ny lovgivning som gjør at det ikke lenger er noe som noen særinger med Greta Lundberg på T-skjorta, eller med noe hacke-greier på t-skjorta, bryr seg om – det har blitt en hygienefaktor for alle bedrifter, store og små, private og offentlige. Og det har blitt ledernes ansvar, ikke bare den ene personen som har den tittelen som har med compliance, bærekraft eller cybersecurity å gjøre, men faktisk hele ledelsen og hele bedriften. Så alle må ha en grunnleggende forståelse av tema, og alle må ha en pragmatisk, nesten opportunistisk holdning til dette her – dette er også en mulighet for utvikling. Og det er kanskje mitt viktigste poeng i denne siste samtalen. Vi skal snakke om kontrollsystemer, og da er det fort gjort å tenke internkontroll eller ekstern kontroll gjennom enn KPMG PVC eller man kan til og med tenke på NMS, datatilsynet eller forbruker tilsynet. Det er mange tilsyn som etter hvert forvalter disse nye forskriftene som krever rapportering på compliance, men de er egentlig utviklings hjelpere til bedrifter som anvender alt dette her med compliance for å bli langsiktig sunnere og sterkere. Dette her er ting som er bra for deg, dette er tran i strategisk forstand. Det gjør at du får et både bedre immunitetssystem, men også at du fungerer på en sunnere måte over lang tid. Så nå har jeg innledet kanskje litt vel lenge, men hvis jeg går til Miloš nå. Og Miloš, dette er vår både siste episode og episode om kontrollsystemer, så hvis vi sparer da de siste 5-10 minuttene på oppsummeringene, og så hva som var det liksom viktigste for deg i hele serien. Men før det, hva er det viktigste for deg med kontrollsystemer? Hva vil du at folk skal få med seg?

Miloš: Mhm. Det viktigste når det gjelder kontrollsystemer er å prøve og tenke litt systematisk. Først og fremst så må man vite hva jeg skal kontrollere, som allerede innebærer en risikovurdering. Og det høres litt åpenbart ut, men det er egentlig ikke det fordi man det er ganske mange som pleier å ha det at en gang i året så skal vi liksom få en ekstern vurdering og that’s it – nei. Man må ha en type kontroll på en veldig kontinuerlig måte. Man må fordele ansvar oss. Det som jeg synes er aller viktigst, er å ikke tenke på kontrolltiltak som at ja nå skal noen kontrollere, og hvis ting går galt så må noen sparkes, eller hva som helst. Det som er viktig er å tenke på det at man har kontrollmekanismer for å egentlig hjelpe. Og det er veldig mange mekanismer. Jeg pleier å bruke opplæring som et eksempel, fordi det er det som jeg driver med. Og det som jeg egentlig ser er kjempenyttig, fordi når man starter å snakke og presentere og rett og slett informere folk om at sikkerhet dreier seg om det og det, og GDPR handler om det, så ser man med en gang at ja, okay det er kanskje en del av GDPR som de ikke har fått med seg, eller som de blir litt sånn overrasket å høre om, og da er det veldig viktig å tilpasse det litt, finne en god målgruppe. Hvis jeg skal undervise om GDPR, hvis jeg skal prøve å løfte kompetansen, så må jeg ta det som er litt vennlig, ta en personlig tilnærming. Hvis jeg snakker med noen fra HR, så trenger jeg ikke å at behandlingsgrunnlag for markedsføring er artikkel seks MB, for eksempel. Så man må bruke dette som et verktøy. Og etter min mening, det å starte og kartlegge ting og finne ut hva slags kompetanse de ansatte har og prøve å oppklare dem på en vennlig måte og så implementere kontroll tiltak som tilsvarer den risikoen. Vi nevnte da vi snakket om tredjeparter. Det kan holde for eksempel med en Google search å finne ut om de har hatt sikkerhetsbrudd. Så start med den type kontrolltiltak og dokumenter alt.

Silvija: Huske å dokumentere, det er den kjedelige delen av jobben, men absolutt nødvendig. Veldig bra. Du Frode, noe som har gått opp for meg. Jo mer jeg jobber med compliance, om det er i en styreposisjon eller i en ledelses posisjon eller i en ansatt posisjon, så ser jeg at det er en kultur, og det er ikke sånn at det bare er en intern kontrollavdeling eller SISO som har ansvaret for dette her, men det er helhetlig ansvar, og det er en prosess, og det er et system, sånn som Miloš sier. Og så er det noen ressurser og noen verktøy som må assosieres med dette her. Hva tenker du? Du har sett bedrifter som er gode, for eksempel på dette med cybersecurity. Hvordan håndterer de kontrollsystemene?

Frode: Jeg tror at for det første så må du ha, og det starter styrerommet, så er det toppledergruppa, og så er det da lederne som sådan i virksomheten, de må ha kommunisert veldig tydelig hva det er de ønsker, og ikke minst da hva det er som gjelder av retningslinjer. Og vi har snakket om det tidligere. De kan være muntlig, de kan være skriftlig, de kan komme i ulike former, organisatoriske tiltak. Og så tror jeg at mye av dette her dreier seg om hvordan du får med alle som jobber på laget. Og da må du inn i en sånn «just culture» prosess hvor man på et vis da får folk til å rapportere det som er riktig å rapportere istedenfor å prøve å skule de tingene som har gått galt. Og så må du prøve å få dette her til å bli en naturlig del, sånn at man ikke er på jakt etter syndebukker, men på jakt etter noe som skaper, akkurat som du sier, at prosessene eller at reisen bare blir bedre og bedre fremover. Og jeg tror det liksom er den store nøkkelen her. For jeg tror at for veldig mange, så er dette med intern kontroll, tilsyn, internrevisjon og så videre.

Silvija: Det er bare penger ut av vinduet.

Frode: Ja, det er skummelt. Noen er på jakt etter å ta deg for noe som du egentlig ikke mente å gjøre galt, men som allikevel da kan være det, sånn at du får en eller annen pekefinger retta mot deg som er en ubehagelig greie. Så jeg tror veldig mange har mye å lære på hvordan de skal gjøre dette her i et kulturperspektiv. For du får folk med deg eller mot det. Og jeg skal avslutte bare veldig kort. Tilsyn, jeg hadde en veldig morsom samtale med statsforvalterne i Vestfold og Telemark, hvor deres inngang på tilsyn er veldig sånn lærende, ikke å finne feil og avvik for så å hamre det inn i det avsluttende møtet. Det gjør noe med den lærende kulturen. Og da er du mer på jakt etter å skape de prosessene som vekst fremover, snarere enn at du opplever at du er oppe til eksamen da, som mange tror jeg føler.

Silvija: Jeg synes det er så spennende egentlig, dette her. For det første dette gjelder alle i bedriften, og bedriften er egentlig bare så god på det som det svakeste leddet. Det er nok at en person ikke bryr seg og slipper ting inn som egentlig ikke skulle slippes inn. Og det andre er dette her med at du skal være proaktiv, og det er et utviklingsverktøy, og jeg vil bare gi dere et eksempel som jeg fikk høre fra Forbrukertilsynet, i forhold til denne nye åpenhetsloven, i forhold til leverandør kvalitet. Og det dreier seg om en alkohol produsent i Norge som da bestiller cane sugar alkohol fra Cuba kanskje, et eller annet sted i Sør-Amerika. Og når de har gjort sin due diligence på denne leverandøren, så viser det seg at det har en veldig stor andel sykefravær, særlig da hos kvinner. Altså enten så kan du si at vi slutter å jobbe med den leverandøren, eller du kan si at de må si opp den type arbeider eller noe, eller du kan prøve å forstå hvorfor og hva det er som skjer. Så viser det seg at disse arbeiderene jobbet veldig mye ute i sola uten tilgang til hydrering, altså uten tilgang til vann og derfor fikk veldig store problemer med både migrene og diverse andre ting. Så var det også sånn at det ikke var tilgang til gode fasiliteter, så de vegret seg for å drikke fordi de kunne ikke gå og tisse. Så når du løste et par konkrete ting, så ble helsesituasjon til medarbeiderne i leverandørbedriftene mye bedre. Og dette her ble rapportert av den norske bedriften. Så istedenfor å si at vi bare jobber ikke med leverandører som ikke er bra, så bruker dette compliance-kravet til å utvikle leverandøren sin, og de rapporterer dette. Og det er den type rapporter som kontrollmyndighetene våre digger. De vil mye, mye heller se rapporter hvor det er rapportert avvik og så forslag til hvordan man jobber med å fikse det, enn å få en rapport fra en institusjon som sier at vi aldri har hatt noe hvitvasking, vi har aldri hatt noe cybersecurity i problemer, vi har aldri hatt noe GDPR problemer – alt i alt på stell. Og det er ikke sånn man kan jobbe med bærekraft heller, ikke sant. Så det å være ærlig og aktiv på rapportering og på utvikling, det er den viktigste jobben, også den internkontrollen vi gjør. Og i de bedriftene hvor vi har sånne komiteer i styrer, og jeg har alltid tenkt at «uff nei, hvor som helst bare ikke dit», men hvor de er gode på dette, så er de utrolig gode på å finne risikoer og så jobbe med dem. Og de rapporterer på dem, og de viser at det er dette som er vårt forslag og organisasjonen har implementert det. Så det er utrolig spennende utviklingsverktøy. Og så vil jeg bare at dere kommenterer litte grann hvis dere orker. Alle som jobber med finansielle institusjoner får øynene til å gå i kryss med alle de nivåer av internkontroll, og det er lag en og lag to, og det er eksterne greier. Er det noe med å få sagt at det kan bli for mye også, eller må det struktureres på grunn av lovkrav? Eller skal vi bare si at hver organisasjon må finne nivåer som passer for dem? Hva tenker du, særlig Miloš kanskje?

Miloš: Hvis jeg forstår spørsmålet riktig, så handler det om hvordan man finner en god balanse der, ikke sant? Om det er for mye krav om å dokumentere ting og gjennomføre?

Silvija: Nivået på internkontroll.

Miloš: Det må man være veldig flink på. Da må en tenke risikomessig og prøve å finne et nivå som egentlig passer. Jeg vet at dette egentlig ikke er et svar, men det som jeg kan si, og jeg tar interne ting som et eksempel. Jeg vil veldig gjerne utfordre deg på det som du sa, at den siste delen om å dokumentere ting er den kjedelige delen. Jeg er helt uenig. Det kan være fordi jeg har juridisk bakgrunn, så for meg er det kjempespennende. Det finnes mange måter å gjøre det på. Og jeg har egentlig funnet ut at det kan være like spennende, nesten like spennende, som å faktisk gjennomføre en risikovurdering. Det henger så tett sammen. Det må avklares at jeg ikke jobber med personvern på BI, altså at jeg ikke har noe ansvar der, men når jeg jobber litt på siden, så ser jeg at det er egentlig så enkelt å gjøre det og å dokumentere. Så hvis jeg går inn i en organisasjon og snakker med noen, la oss ta HR som et eksempel, så sier jeg okay, jeg gir dere to dager, kan dere ikke komme med noen eksempler av worst case scenario, bare tenk på dine opplysninger og det som kan skje. Hva er det som kollegaen din kan gjøre? Hvis dere bruker et system og what could go wrong, så ser man plutselig at folk blir litt sånn inspirerte og tenker at da blir alt en risiko, og så ber man dem forslå noen løsninger. Og så, bruker man det på å kontrollere om man har tilstrekkelig sikkerhet. Og jeg vet at dette er noe som kanskje ikke høres ut som veldig lurt, fordi de sitter ikke med den tekniske ekspertisen, men det er de som kjenner systemene best. Det er i hvert fall det som jeg tenker er fornuftig, og det er der man finner det nivået som man skal bruke ved å snakke med mennesker som faktisk bruker disse systemene.

Silvija: Jeg tenker at det er veldig bra at du arrestere meg på dette her, for igjen, ikke sant, rapportering og internkontroll det kan være veldig gode verktøy hvis man bruker dem riktig, ikke sant. Det skal ikke gjøres bare for å gjøres, det skal gjøres fordi det er bra for deg og kanskje også fordi du gir din kunnskap og din erfaring i gave til alle dine kollegaer også, ikke sant. Så det må følge med en god spredningsmekanisme for det du har. Og så tror jeg det er lurt for oss alle sammen å tenke både litte grann som våre egne kunder, men også som våre egne regulatorer og kanskje også som en hacker. Altså hva ville en hacker gjort? Hadde de kunne ha tilgang til det mest verdifulle jeg sitter på i denne bedriften? For Hydro var det kanskje prosess og produksjonsdata. Frode, jeg vet ikke hvordan man gjør det i Forsvaret og så videre, men jeg vet at i bankene så har man to nivåer av internkontroll, og så har man ekstern kontroll. Og dette er lovpålagt av europeisk ny lovgivning. Så blir det for mye sånne krav? Eller er det egentlig bare hjelp til folk for å prøve å organisere seg på en fornuftig måte?

Frode: Jeg tror hensikten er det siste, nemlig at man skal ha logiske og gode funksjoner for å ivareta dette. Og så tror jeg det er måten det ble utøvd på, om det oppleves som for mye eller for lite. Fordi jeg tror hvis man har en kultur, litt som vi snakket om istad, som er en lærende kultur, så kan du gjøre den internkontrollen og dine internkontrollsystemer, med en intern revisor eller en internrevisjon, til en veldig sånn kontinuerlig læringsprosess. Og det er noe helt annet enn å bli sett i kortene, sånn med jevne mellomrom, men at man rapporterer, man tar inn alle dataene man må rapportere, man ser på det, man kategoriserer det, ser på hva det er vi skal ta med videre. Hvordan skal vi ta med videre? Vi tar det inn i om omboardings programmet vårt, vi tar det inn i utdannings og kompetanse seksjonen vår. Det er mere måten man gjør det på. For jeg tror at hvis man får veldig mye sånn syndebukkjakt, så vil man føle at det er veldig for mye hele tida, men hvis man opplever at det man rapporterer blir brukt, man kjenner det igjen i kompetanse, informasjon og så videre, som blir tilgjengeliggjort over tid, så tror jeg folk forstår at det er en del av det å så skape et bedre produkt, bedre kultur og så videre. Så tror jeg at det er kjempeviktig å ha eksterne som kikker inn på det, fordi du blir alltid litt sånn blind og alle har funnet sin måte å gjøre det på som virker veldig bra, men at noen kommer inn og kikker deg litt i korta, men egentlig med den samme agendaen. Hvordan kan vi bli bedre, snarere enn skal vi finne feil. Og jeg tror det er den mentaliteten som er forskjellen på de som opplever det som noe positivt, og de som opplever det som en sånn «uff, nei ikke nå igjen». For det er nok mange som er der også.

Silvija: Og så tror jeg det poenget som både du og Miloš hadde med at man må tenke eksempler. Man må tenke konkrete og egne eksempler, at det er veldig fint. Og så nevnte dere begge to tidligere noe rundt veiledere og beste praksis. Jeg tror det er veldig viktig å lese seg opp, sjekke hvem andre har gjort dette her. Kan jeg få noen tips om hvordan jeg strukturere meg. Jeg har også opplevd at akkurat dette området er det kanskje mulig å til og med samarbeide innenfor bransjen og med konkurrenter. For dette løfter alle båter på en måte. Og så tror jeg at dette med å ha målesystemer, altså hvor lang er en strikk, er fort det du får svar her sant. Men vi har klart etter hvert å måle antall innbrudd med cybersecurity. Vi har klart å måle hvor fornøyde våre egne ansatte er. Vi har klart å måle hvor vi tracker på denne brandindeksen i Norge. Man kan sette seg noen mål her, og så kan man sjekke bevegelsen mot det målet. Jeg tror det er viktig å ha noe målbart her også, eller så blir det fort sånne fine ord og veldig vanskelig å forstå dynamikk da.

Miloš: Ja, det er nettopp det. Så når man starter, så først og fremst må vi ikke komme inn og kontrollere og være bad cop, sjekke alt, så si nei, det er helt feil. Men man må prøve å bruke ganske enkelt språk, forklare hvorfor dette er noe som er viktig. Som du sa, bruker mange eksempler. Si at det er mange ting som man kanskje ikke forstår selv. Og så, når det gjelder veiledninger, prøve å skrive eller finne noen veiledninger som faktisk gjør det mulig å forstå hva sikkerhetsloven eller GDPR sier. Og når det gjelder den dokumentasjonen, så synes jeg det er veldig, veldig fint å dokumenterer på en veldig enkel måte. Som jeg sa for eksempel, så kan vi egentlig be de ansatte som jobber med sourcing og HR, at de skriver en veldig kort rapport etter at vi har implementert noen nye tiltak, så ser man etter hvert, etter to-tre år, hvor mye man har utviklet seg, hvor mye bedre det går, eller at man kanskje må tenke litt på nytt, og man kan være veldig stolt av det. Og det finnes en stor sammenheng, det er mye sammenheng med compliance og markedsverdi, og hvor konkurransedyktig man er. Og det finnes veldig mye forskning der. Jeg har skrevet egentlig for kanskje noen måneder siden, en artikkel som handlet om sånne privacy nutrition labels, det som Apple kaller dem, når man laster ned en app og laster den opp på appstore, så vet dere kanskje at man kan se hva slags opplysninger den bruker. Og da Apple innførte det, så tok det egentlig veldig kort tid før man merket at brukere foretrekker å laste ned applikasjoner som bruker mindre data, og med en gang var det noe man kunne se reflektere seg i aksjeverdi. Så det finnes faktisk målbare indikatorer her, så det er egentlig veldig, veldig fint å tenke på. Hvis vi har kontrollmekanismer, hvis vi kan vise sånne type ting, så blir vi både litt motiverte og stolte internt.

Silvija: Og litt mere verdt. 

Miloš: Ja, absolutt! 

Silvija: Ja, dere, vi har cirka 5 minutter igjen, og jeg har lyst til å gå mot konklusjon. Jeg skal komme med min. det første, som vi ikke har snakket så mye om egentlig nå, men det har blitt nevnt mange ganger, og det er at dette er alles ansvar. Det er ikke bare en CICO, det er ikke bare en sjef for internkontroll, det er ikke bare en person i Datatilsynet eller Forbrukertilsynet, eller i NSM, men det er hele bedriftens ansvar. Og så må du ha noen bad cops også, som passer på at det finnes systemer og at de følges, og som litt sånn nesten fanatisk driver med opplæring og motivasjon av folk, på dette med at compliance egentlig er et utviklingsverktøy. Det er en medisin for langsiktig helse av bedriften. Og det er kanskje min greie, at det er kulturelt. Og når vi begynner å elske compliance, så tror jeg også vi blir veldig gode på mange andre måter i bedriftene våre. Kanskje Frode skal si sine viktigste take-aways, så kan vi gå til Miloš som da stenger scenen vår.

Frode: Jeg må følge deg litt på det du sier, for jeg mener at dette med ansvar er kjempeviktig. Og det går fra styrerommet og ned til den enkelte medarbeider. Og så er det min andre kjepphest, og det er det å kunne gjøre gode risikovurderinger. Man må forstå hva man har av verdier, hvilke trusler som faktisk er der, som kan påvirke verdiene dine, og ikke minst da hvilke sårbarheter er du skal beskytte. Hvis du får til dette, og det er ikke sånn kjempekomplisert, og litt som Miloš har sagt flere ganger også, det viktigste er å gjøre vurderingene, for da får du et forhold til det, og så kan de modnes underveis. Så det tror jeg vil være de to viktigste ansvar og evne til å gjøre gode risikovurderinger.

Silvija: Og du Miloš, hva vil du at folk på en måte skal sitte igjen med printet på pannen sin etter serien?

Miloš: Det er vel vanskelig å legge noe til. For min del så ser jeg compliance som noe som hovedsakelig handler om ikke veldig kompliserte rettsregler som finnes, men den sentrale delen er egentlig hvordan skal man bruke opplysninger, eller hvordan skal man implementere sikkerhet eller bruke opphavsrettslig materiale eller personopplysninger eller hva som helst, på en rimelig måte. Hva er det som jeg kan gjøre? Hva er det som er helt grunnleggende ting var? Hvordan ville jeg ha ønsket at mine opplysninger eller informasjonsverdier blir brukt, og ha litt empati nesten. Dokumentere, som ikke trenger å være for komplisert, men bare vise at vi har tenkt på det, vi har gjort vårt beste, så det er en viktig del av det og. Og så vise at man egentlig brenner litt for compliance, at man syns at det er viktig, ikke bare fordi man syns det er viktig, men fordi det egentlig er veldig mange spennende ting som kan finnes der. Og så helt oppsummerings vis, compliance handler bare om kommunikasjon, internkommunikasjon mellom avdelinger, mellom ledelsen, SISO, PVO og alle disse menneskene hvor man avklarer roller, forklarer hvorfor noe er viktig, prøver å motivere og engasjere. Og også selvsagt litt ekstern kommunikasjon hvor man egentlig lærer noe om sine partnere, og det er en del av prosessen. Så snakk mye med folk, dokumenter alt som dere kan, trust but verify er også et prinsipp som kan brukes. Det var det jeg hadde å si. 

Silvija: Veldig bra. Compliance er et supert verktøy for bedriftsutvikling, og det er ikke bare jus, det er hvert fall ikke bare komplisert jus, men det er mye ny jus, så nye forskrifter og krav. Det er hygiene og det er et både læringsverktøy og utviklingsverktøy. Vi håper at de både på BI og utenfor BI, som har hørt på dette her, er inspirerte til å jobbe pragmatisk, praktisk og ambisiøst med compliance etter dette fine kurset til Miloš. Takk så langt. 

Miloš: Tusen takk.

Frode: Takk for at jeg fikk være med.

Takk for at du lærte med LØRN. Husk at du må registrere deg på lorn.tech for å få personaliserte læringsstier, sertifikater og mye mer.