Magma topp logo Til forsiden Econa

Brita Bjørkelo er psykolog og stipendiat finansiert av Universitetet i Bergen (UiB) og jobber til daglig ved Det psykologiske fakultet med et forskningsprosjektet om varsling. Bjørkelo er medlem av forskningsgruppen FALK som jobber med tema som arbeidsmiljø, ledelse og konflikt (www.uib.no/fg/bbrg)

Birthe Taraldset er jurist, advokat og stipendiat ved Det juridiske fakultet ved UiB og er i gang med et forskningsprosjekt om eierstyring (corporate governance) i norsk rett, et prosjekt finansiert av Finansmarkedsfondet. Taraldset er medlem av en forskningsgruppe som jobber med selskaps-, børs- og verdipapirrett (www.uib.no/fg/selskap).

Varsling som intern sikkerhetsventil i større IKT-prosjekt

Sammendrag

Flere store IKT-prosjekter har fått mer eller mindre ønsket mediedekning som følge av forsinkelser, budsjettoverskridelser og feil ved systemenes funksjonalitet. En mulig grunn til at gjennomføringen av slike store prosjekter halter eller mislykkes, er at ledelsen ikke får tak i beslutningskritisk informasjon. Det kan skyldes at ansatte vegrer seg for å meddele informasjon som kan oppfattes som «dårlige nyheter». Denne artikkelen ser på hvordan interne, lovpålagte regelverk for varsling kan brukes for å utfylle andre systemer som skal sikre risikostyring av større prosjekter knyttet til informasjons- og kommunikasjonsteknologi (IKT). Ved utformingen av interne regelverk bør en virksomhet ta hensyn til den kunnskapen som eksisterer fra forskning på varsling som viser at ansatte kan holde tilbake kritisk informasjon. Mangel på tilgang til kritisk informasjon kan få uønskede konsekvenser med hensyn til både selve produktet, kostnadsoverskridelse og utsettelser. Korrekt informasjon og kunnskapsgrunnlag er vitalt for ledelsen for å kunne ta gode beslutninger ved gjennomføringen av slike prosjekter. Å tilrettelegge for et ytringsklima som oppfordrer til formidling av «dårlige nyheter», vil slik være en sikkerhetsgaranti i forbindelse med å lykkes med IKT-prosjekter.

 

Om organisasjonens rolle i håndtering av operasjonell risiko

Informasjons- og kommunikasjonsteknologi (IKT) representerer en stadig større operasjonell risiko for virksomheter. Det er knyttet risiko til alle stadier i et IKT-prosjekt, fra beslutninger om innføring av nye systemer til prosjektfase, implementering og bruk. Det er flere typer risikoer som det må tas hensyn til: økonomiske, kvalitetsmessige og fremdriftsmessige. Dersom slike risikoer realiseres, vil det igjen kunne medføre rettslige, operasjonelle og omdømmemessige konsekvenser. Varsling fra ansatte og andre «insidere» kan ses som en sikkerhetsventil for ledelsen da disse kan fremskaffe kritisk informasjon om slike risikoforhold. Søkelyset i norsk debatt om varsling har så langt i hovedsak vært satt på arbeidsmiljølovens regelverk som rettssikkerhetsgaranti for ansatte. Temaet for denne artikkelen er derimot hvordan det å internalisere et varslingsregelverk i en organisasjon er en måte å bedre flyten av kritisk informasjon på. Det å sette søkelyset på tilrettelegging for varsling kan øke sannsynligheten for å endre prosjektkurs, og det kan dessuten øke graden av gjennomføring og muliggjøre kostnadsbesparinger.

Store IT- og IKT-prosjekter, som for eksempel Program GOLF, nå LOS-programmet i Forsvaret, og Flexus, det nye elektroniske billettsystemet for kollektivtrafikken i Oslo, har fått mye oppmerksomhet i media på grunn av kostnadsoverskridelser, utsettelser og mangler i funksjonalitet. Ifølge en amerikansk rapport er ikke det uvanlig, da under tretti prosent av slike prosjekter ferdigstilles i tide, nesten tretti prosent av prosjektene stoppes før de er ferdige, og nesten femti prosent av slike prosjekter ferdigstilles for sent, med dårligere funksjonalitet enn avtalt og med kostnadsoverskridelser (Standish Group, 1999). Selv om disse tallene er ti år gamle og fra amerikanske forhold, synes erfaringer fra større norske prosjekter å underbygge de samme tendensene her i landet. Siden det kun er de største prosjektene som vekker oppmerksomhet i media, er det grunn til å tro at det også er store mørketall på området.

Utfordringer knyttet til gjennomføringen av IKT-prosjekter kan trolig føres tilbake til en rekke forhold av organisasjonspsykologisk og sosiologisk/organisatorisk art, men det er grunn til å tro at en av faktorene som kan spille inn, er en motvilje fra organisasjonenes medlemmer mot å rapportere til ledelsen det de oppfatter som «dårlige nyheter» om prosjektet (Smith & Keil, 2003). Selv om det altså foreligger informasjon om feil eller sviktende prosjektutvikling på lavere organisasjonsnivåer, er det ifølge Iacovou og Dexter en sjanse for at denne informasjonen ikke blir kommunisert oppover i organisasjonen (Smith & Keil, 2003). Manglende informasjon om kritiske deler av prosjektgjennomføringen innebærer en betydelig risiko for prosjektgjennomføringen.

Ved at det i økende grad stilles rettslige krav til IKT-systemer, spesielt om sikring av personvern og informasjonssikkerhet, øker den rettslige risikoen ved IKT-prosjekter. Det gjør det enda viktigere for ledelsen å sørge for en organisasjonskultur og et varslingssystem som legger til rette for og oppfordrer til varsling. I henhold til arbeidsmiljøloven paragraf 3-6, som er gjengitt i boks 1, har arbeidsgiver en generell plikt til å legge til rette for intern varsling.

Boks 1 Paragraf 3-6 i arbeidsmiljøloven.

Så langt har fokuset på denne rettslige plikten vært generelt, blant annet tilbys eksterne varslingstjenester som i hovedsak leverer generelle løsninger som i mindre grad er tilpasset den enkelte virksomhets spesielle risikoforhold. Ved å fokusere på virksomhetsspesifikke risikoforhold, som for eksempel de som er knyttet til IKT, synliggjøres behovet for å i større grad knytte plikten etter paragraf 3-6 opp mot den enkelte virksomhets spesielle risikoforhold. I tillegg må plikten til å tilrettelegge for varsling ses i sammenheng med andre lovbestemte krav.

Teoretisk modell for varsling i IKT-prosjekter

Professorene H. Jeff Smith og Mark Keil med medarbeidere har skrevet en rekke artikler om hvordan man kan jobbe med å forbedre informasjonsflyten i IKT-prosjekter, og hvordan dette påvirker virksomhetens markedsverdi (Bharadwaj, Keil & Mähring, 2009; Keil, Smith, Pawlowski & Jin, 2004; Smith, 2002). I en av disse artiklene tar de spesifikt opp hvordan man kan forstå rapportering av vital, men kritisk informasjon, og kommer med forslag til hvordan man kan sikre slik rapportering (Smith & Keil, 2003). De kobler temaet til varslingslitteraturen for å sette rapportering inn i et eksisterende teoretisk rammeverk før de bygger ut dette til spesifikt å omhandle IKT-prosjekter. De tar utgangspunkt i en modell av Dozier og Miceli (1985) som deler beslutningsprosessen som en potensiell varsler følger, i fire steg:

  • 2. Vurdering – Har man personlig ansvar for å rapportere?
  • 3. Vurdering – Alternativer:
  • a. Hva er kostnaden/nytten ved å varsle?
  • b. Er det fare for gjengjeldelse?
  • 4. Beslutning

Smith og Keil (2003) utvider denne modellen hovedsaklig på to måter. Først legger de til et premiss om at en arbeidstakers vurdering av hvorvidt det hun eller han har observert, ikke skjer i et vakuum. Vurderingen er sannsynligvis påvirket av prosjektdeltakerens oppfatning av status for prosjektet. I tillegg legger de vekt på at ulike ansatte kan ha ulike oppfatninger av status i samme prosjekt fordi de skiller seg fra hverandre som følge av en rekke faktorer:

  • • risikopersepsjon
  • • vurderinger av tidspress
  • • vurdering av kritikkverdige handlinger – handlinger som kan være «incorrect or undesirable, that is, techinically misguided and potentially harmful» (Miceli & Near, 1992, s. 15)

Når det gjelder vurderinger av hvorvidt det observerte bør rapporteres, hevder Smith og Keil (2003) at det er grunn til å anta at en arbeidstakers utdanningsnivå, religiøse overbevisning og grad av selvtillit kan påvirke hvorvidt en ansatt konkluderer med at status på prosjektet bør rapporteres. Når det gjelder hvorvidt en ansatt føler seg kalt til å rapportere et prosjekt på avveie, kan det ifølge Smith og Keil også påvirkes av det etiske klimaet på arbeidsplassen. Wimbush og Shepard (1994) gir eksempler på fem ulike typer etisk klima:

  • 2. Regler: Ansatte er strengt opptatt av å forholde seg til virksomhetens egne regelverk og retningslinjer.
  • 3. Lov og rett: Ansatte retter seg etter retningslinjer og regelverk som følger av deres profesjon eller av gjeldende lovgivning.
  • 4. Uavhengighet: Ansatte rettledes av egne, personlige etiske oppfatninger.
  • 5. Instrumentelt: Ansatte ser etter egne behov uten å ta hensyn til andre som kan bli påvirket av deres beslutninger.

Ifølge Smith og Keil (2003) betyr ikke dette at de fem typene gjensidig utelukker hverandre, men at en virksomhet kan ha grader av hver av dem, selv om en virksomhet ofte karakteriseres av de to av de fem dimensjonene som den scorer høyest på. For eksempel vil arbeidsgrupper og virksomheter kunne ha grader av både den instrumentelle og den uavhengige dimensjonen, men likevel score høyest på omsorg og det å etterleve lov og rett knyttet til profesjonen. Wimbush og Shepard (1994) mener at etisk atferd er mest sannsynlig i virksomheter med arbeidsgrupper som kjennetegnes ved høy grad av omsorg, uavhengighet og fokus på lov og rett og regler. En antakelse er da at ansatte i et IKT-prosjekt hvor arbeidsgruppen er beskrevet på denne måten, sannsynligvis i større grad vil oppleve det som et personlig ansvar å rapportere om «dårlige nyheter» enn ansatte i arbeidsgrupper som kan beskrives som mer instrumentelle (Smith & Keil, 2003).

En annen faktor som kan spille inn på hvorvidt et prosjektmedlem tar beslutningen om å si ifra om at status på prosjektet ikke er som forventet, er normene for rapportering. Hvis den ansatte arbeider i en organisasjonskultur med et klart og uttrykt ønske om at ansatte skal rapportere slike bekymringer, vil dette øke sannsynligheten for at rapportering skjer. I en organisasjon hvor ansatte har observert «hvor galt det kan gå» hvis de lufter sine bekymringer, ved for eksempel at man blir «svartelistet» fra interessante arbeidsoppgaver, vil imidlertid ledelsen i mindre grad oppnå det samme. Fra amerikansk forskning på varsling vet vi at de fleste ansatte avstår fra å varsle enten fordi de frykter represalier, eller fordi de ikke tror ledelsen vil gjøre noe med det (Ethics Resource Center, 2007; MSPB, 1993). Til sammenligning viste resultatene fra en varslingsundersøkelse gjennomført blant den norske befolkningen at de tre mest frekvente grunnene for ikke å varsle var at de ansatte opplevde at det ikke hadde noen hensikt (34%), at det ikke var alvorlig nok (31%), eller at de ikke ønsket å lage trøbbel (20%) (Matthiesen, Bjørkelo & Nielsen, 2008).

Det er uklart hvor langt disse tallene er direkte overførbare for ansatte i IKT-prosjekter, men de gir i hvert fall et innblikk i hvordan norske arbeidstakere generelt vurderer om de skal si ifra om noe de anser som uheldig eller uønsket på arbeidsplassen. Trygstad og Skivenes kaller det en organisasjons kommunikasjonsbetingelser «når det er snakk om strukturer som har avgjørende betydning for om man kan føre opplyste og kvalifiserte diskusjoner» (2008, s. 82). At gode kommunikasjonsbetingelser er viktig, underbygges av at de tre vanligste grunnene til at en arbeidstaker velger å gå videre, er at leder lar saken ligge, at leder er uenig i at det rapporterte er kritikkverdig, og at leder ikke har ressurser til å løse saken (Trygstad & Skivenes, 2007).

Rettslig ramme for håndtering av IKT-relaterte risikoer

Med utgangspunkt i den risikoen som kan være knyttet til et IKT-prosjekt, burde en virksomhet ha sterke insentiver til å prioritere og tilrettelegge for en organisasjonskultur og organisasjonsmessige tiltak som har de trekkene som ifølge Wimbush og Shepard (1994) fremmer den enkeltes opplevelse av det personlige ansvaret for å melde fra om alle forhold som kan ha betydning for pågående prosjekters mulighet til å lykkes. Disse insentivene styrkes ytterligere av den rettslige rammen som er relevant for ledelse av større IKT-prosjekter.

Styret har det alminnelige overordnede ansvaret for forvaltningen av et selskap. Utgangspunktet er at styret er ansvarlig for å sikre en «forsvarlig organisering av virksomheten», jf. aksje- og allmennaksjeloven paragraf 6-12 (1). 1 Jo mer omfattende og mer virksomhetskritisk et IKT-prosjekt er, desto mer relevant blir styrets ansvar. Styreansvaret omfatter dessuten en plikt til å sørge for en organisering som sikrer en etterlevelse av gjeldende rett (Aarbakke, 2004).

Det blir i økende grad gitt lovgivning som er relevant for virksomheters forhold til IKT. Det gjelder særlig personopplysningsloven 2 med personopplysningsforskriften 3 som setter krav til informasjonssikkerheten for å ivareta personvernet. I tillegg kommer bransjespesifikk lovgivning. For bank- og finansselskaper gjelder for eksempel IKT-forskriften 4 som setter krav til informasjonssikkerhet. Av både personopplysningsforskriften og IKT-forskriften følger det omfattende krav til overordnet risikostyring. Forskriftene setter store krav til etablering av ledelsesforankrede strategier og internkontroll. Ved implementering av denne typen regelverk i en organisasjon, gjelder det et forholdsmessighetskrav som innebærer at risikostyringen og internkontrollen må tilpasses organisasjonens art, omfang og kompleksitet. Det omfatter krav til å sikre rapporteringssystemer som sikrer at kritisk informasjon kommer frem til relevant ledelsesnivå.

Disse regelverkene krever at styret tar standpunkt til hva som er virksomhetens akseptable risikonivå, og utformer interne regelverk og andre tiltak nettopp for å sikre at virksomhetsrelevante normer gjøres til en integrert del av virksomhetsstyringen. Det krever en forankring i linjeledelsen og kontinuerlig oppfølgning av virksomhetens toppledelse og styre. Endringer i virksomhet eller risikosituasjon, for eksempel som følge av et større IKT-prosjekt, må hele tiden evalueres med tanke på å sikre et kontinuerlig og dynamisk fokus på virksomhetens krav til risikonivå og dermed også til styrets ansvar for å sikre en «forsvarlig organisering» av selskapet.

Arbeidsgivers ansvar for å legge til rette for intern varsling

Ansatte kan ha en rettslig plikt til å melde fra om kritiske forhold som kan følge av arbeidsavtale, arbeidsinstruks og interne regelverk som er en del av et internkontrollsystem som for eksempel er implementert i samsvar med tidligere nevnte regelverk. Ansattes varsling etter arbeidsmiljøloven paragraf 2-4 har en selvstendig betydning der en oppfordring eller plikt til å varsle ikke naturlig følger av øvrig regelverk. Når plikten eller oppfordringen til å varsle om prosjektet ikke fremstår som opplagt for den ansatte, synliggjøres viktigheten av at organisasjonen for øvrig har tilrettelagt for en organisasjonskultur som likevel sikrer at varsling fungerer som en organisasjonsmessig sikkerhetsventil som fanger opp de manglene som måtte utgjøre en risiko.

Som beskrevet i boks 2 har en arbeidstaker i henhold til paragraf 2-4 første ledd «rett til å varsle om kritikkverdige forhold i virksomheten».

Boks 2 Paragraf 2-4 i arbeidsmiljøloven.

2. Arbeidstakers framgangsmåte ved varslingen skal være forsvarlig. Arbeidstaker har uansett rett til å varsle i samsvar med varslingsplikt eller virksomhetens rutiner for varsling. Det samme gjelder varsling til tilsynsmyndigheter eller andre offentlige myndigheter.

3. Arbeidsgiver har bevisbyrden for at varsling har skjedd i strid med denne bestemmelsen.

Ordlyden i paragraf 2-4 begrenser ikke vilkåret «kritikkverdige forhold» til lovbrudd. Forarbeidene er klare på at begrepet «kritikkverdige forhold» ikke bare omfatter straffbare forhold eller mislighold av andre lovbestemte påbud eller forbud. Varslingsretten gjelder også ved brudd på rettslige krav som følger av for eksempel avtale eller offentligrettslige vedtak. Dessuten omfattes brudd på «virksomhetens etiske retningslinjer». Det er imidlertid et krav om at det er brudd på «rutiner som er tydelig uttalte og som er nedfelt i skriftlige dokumenter som er gjort kjent for ansatte og ledelse». 5

Brudd på rettslige og etiske normer i forbindelse med IKT-prosjekter omfattes således av varslingsretten. Interne regelverk som for eksempel er utarbeidet i forbindelse med etablering av internkontrollsystemer ved implementering av IKT-relevant lovgivning, vil også omfattes av varslingsretten. Å melde fra om kritisk informasjon knyttet til prosjekter er forhold som virksomheten har interesse av. Å melde fra om denne typen risikoer er å betrakte som å være innenfor en ansatts lojalitetsplikt. Det ligger så nær opptil ansattes arbeidsforpliktelse at det faller utenfor det nedslagsfeltet som paragraf 2-4 tar sikte på å regulere. Paragraf 2-4 representerer således ikke et nødvendig hjemmelsgrunnlag for at ansatte skal kunne si ifra om kritiske forhold knyttet til IKT-prosjekter som de arbeider med. Vern mot ulovlig gjengjeldelse (§2-4 og §2-5) vil likevel representere en rettssikkerhetsgaranti for den ansatte dersom vedkommende skulle bli utsatt for sanksjoner.

Arbeidsmiljøloven paragraf 2-4 regulerer følgelig det kontraktsrettslige og arbeidsrettslige forholdet mellom arbeidsgiver og arbeidstaker ved varsling og må ses i sammenheng med den offentligrettslige plikten for arbeidsgiver etter kravet om å utarbeide rutiner for intern varsling, i henhold til paragraf 3-6. Verken lovteksten eller forarbeidene gir noen konkret veiledning med hensyn til utformingen av tiltakene, men overlater i stor grad vurderingene og utformingen av tiltakene til virksomhetene selv. 6 Det sentrale er at konkrete tiltak må tilpasses behovet og situasjonen i den enkelte virksomhet. Dermed gjelder det samme her som etter for eksempel personopplysningsforskriften. Det må være samsvar mellom generelle og overordnede interne regelverk og virksomhetens konkrete risikoforhold.

Særlig viktig er det også å skape klarhet. Utformingen av tiltakene og retningslinjene skal skje i tilknytning til det systematiske helse-, miljø- og sikkerhetsarbeidet, jf. paragraf 3-6. Det innebærer en henvisning til arbeidsmiljøloven paragraf 3-1 som omhandlerkrav tilsystematisk helse-, miljø- og sikkerhetsarbeid, og som henviser videre til HMS-forskriftens krav om risikovurdering og etablering av internkontroll. Brudd på HMS-lovgivningen er kjerneområdet for arbeidsmiljøloven paragraf 3-6, men også risikoforhold utenfor HMS-området må vurderes. Det dreier seg for eksempel om brudd på regelverk knyttet til personvern, informasjonssikkerhet og operasjonell risiko knyttet til IKT-systemer og -prosjekter spesielt.

Arbeidsmiljøloven paragraf 3-6 er følgelig et eksempel på meta-regulering fordi den regulerer virksomhetenes selvregulering innenfor rammen av lovens formål. Formålet med paragraf 3-6 er å sikre et åpent ytringsklima og gode reelle muligheter til å si ifra om kritikkverdige forhold. Det anses som et vesentlig trekk ved et godt arbeidsmiljø og en sunn bedriftskultur. 7 Denne formen for lovgivningsteknikk stiller store krav til den enkelte virksomhets evne til å ivareta lovens formål. Det forutsetter at virksomheten har en tilnærming som også omfatter hensynet til etiske retningslinjer. Det samsvarer med amerikanske studier som viser at effektiv varsling, som vil si at det kritikkverdige forholdet stoppes helt eller delvis i rimelig tid etter varslingen (Miceli & Near, 2005), oftest er å se i organisasjoner som oppfordrer til og oppskatter intern varsling (Miceli & Near, 2002).

Organisasjonspsykologiske implikasjoner for utforming av effektive interne regelverk for varsling

I hovedsak er det opp til den enkelte virksomhet å utforme de interne regelverkene så lenge de reflekterer virksomhetens spesifikke risikoforhold. I forarbeidene i tilknytning til arbeidsmiljøloven paragraf 3-6 fremkommer det at det er arbeidsgivers ansvar å sørge for et godt ytringsklima i virksomheten. 8 Det er bakgrunnen for at arbeidsgiver pålegges en plikt til å vurdere behovet for og eventuelt utarbeide rutiner for varsling. Hensynene bak bestemmelsen har betydning for hvordan kravet etter paragraf 3-6 skal tolkes, og for at ledelsen (arbeidsgiver) skal forstå hensikten med bestemmelsen. 9

For det første er hensikten å øke bevisstheten bak ytringsfrihetsspørsmål. Etableringen av interne regelverk er dessuten i seg selv et bidrag til å sikre et godt ytringsklima. Slike regelverk er også påtenkt å skulle kunne forebygge en eventuell dysfunksjonell organisasjonskultur og ulovlig, urettmessig eller uetisk atferd. Samtidig med at terskelen for å varsle skal senkes, er intensjonen at varsling som virkemiddel for avdekking av kritikkverdige forhold skal styrkes. For å få til dette er det av stor betydning at implementeringen av de interne regelverkene skaper økt forutsigbarhet for både varsleren og ledelsen (arbeidsgiver). Eggen (2009) har kommet med et eksempel på hvordan slike interne rutiner kan sammenfattes:

  • • Rutinene gjøres tilgjengelige og kjent for de ansatte.
  • • Konkretisering til hvem eller hvilken posisjon det skal varsles.
  • • Angir hva det kan og eventuelt skal varsles om.
  • • Informerer om retten til å varsle, og begrensninger i dette.
  • • Informerer om virksomhetens etiske plattform.
  • • Informerer om behandling av anonyme varsler.
  • • Informerer om behandling av personopplysninger.

Å rapportere om feil ved IKT-prosjekter kan være problematisk av flere grunner. Selv om en ansatt tror at et IKT-prosjekt ligger bak skjema, kan det være vanskelig å være sikker på omfanget av problemet på grunn av denne typen prosjekters noe uhåndgripelige natur. For en ansatt som for eksempel arbeider på en begrenset del av prosjektet, vil det derfor være vanskelig å anslå hvor mye arbeid som er utført, og hvor mye arbeid som gjenstår. Det andre er at IKT-prosjekter sjelden har en statisk ramme. Det er derfor av stor betydning at et internt varslingsregelverk spesifiserer hva det kan og eventuelt skal varsles om, og at det tilpasses virksomhetens konkrete risikoforhold.

Vilkåret «kritikkverdige forhold» (§2-4) kan være problematisk for eksempel i forbindelse med manglende prosjektprogresjon. Dersom ulike kritikkverdige forhold er definert som risikoer av arbeidsgiver og det uttrykkes ønske om at det varsles om dette, anses det rapporterte forholdet som rettslig sett «kritikkverdig». Dersom risikoer knyttet til IKT generelt og IKT-prosjekter spesielt defineres som vesentlige risikoforhold («kritikkverdige forhold») som virksomheten oppfordrer ansatte til å melde fra om, vil det øke sannsynligheten for at ansatte vet hva ledelsen ønsker å motta varsel om, og det kan være med på å senke ansattes terskel for å varsle.

Effektivitetshensynet tilsier at de interne regelverkene utformes slik at de sikrer at det tas fatt i de forhold det varsles om. Det kan lettere oppnås dersom regelverkene definerer klare risikoer. I tillegg bør det interne varslingsregelverket beskrive hvordan varsling håndteres. Det er en svakhet ved loven at den ikke oppstiller konkrete krav til klagemottaker. I denne sammenheng bør det tas hensyn til klagemottakers formelle rolle og at de ansatte generelt sett synes at det kan være ubehagelig å ta opp kritikkverdige handlinger. Det interne regelverket bør videre evalueres. Det er viktig at organisasjonen praktiserer at brudd på retningslinjene får følger, og at de som varsler, belønnes mer enn straffes. På denne måten økes sannsynligheten for at varsling faktisk skjer og i praksis fungerer som den interne sikkerhetsventilen den er påtenkt å være (Hassink, de Vries & Bollen, 2007; Jubb, 1999).

IKT-prosjekter reiser i tillegg spesielle utfordringer som de interne retningslinjene også bør ta hensyn til. Det gjelder for eksempel ved outsourcing og ved innleie av konsulenter og annet eksternt personell. Varslingsreglene (§2-4 og §2-5) er begrenset til egne arbeidstakere. Disse bestemmelsene står dermed i et spenningsforhold til paragraf 3-6 som henviser til det generelle HMS-regelverket som omfatter en plikt for virksomheten til å inkludere mer enn egne ansatte.

Dersom ledelsen ønsker å sikre seg all virksomhetskritisk informasjon, bør altså de interne regelverkene omfatte andre enn bare egne ansatte. Her ligger det imidlertid noen begrensninger i personopplysningsloven ved at det oppstilles konsesjonsplikt ved behandling av sensitive personopplysninger fra tredjepart, jf. personopplysningslovens paragraf 33(1). Dette er imidlertid et tema som vurderes i forbindelse med revisjon av personopplysningsloven (Eggen, 2009). Temaet berøres også når egne ansatte som kan varsle til egen arbeidsgiver, gjør outsourcet arbeid hos andre selskaper. Derfor er dette problemstillinger som bør håndteres i konkrete kontraktsforhold. Som figur 1 illustrerer, vil det derfor i et IKT-prosjekt være overlapp mellom de spesielle risikofaktorene som prosjektet reiser som er relevante både etter arbeidsmiljøloven paragraf 3-6 og etter andre IKT-relevante regelverk som krever risikostyring, som for eksempel personopplysningsforskriften.

Figur 1 Overlapp mellom spesielle risikofaktorer som er av betydning ut fra både arbeidsmiljøloven og andre relevante regelverk i IKT-prosjekter.

Krav til internkontroll

Krav til internt regelverk / tiltak etter arbeidsmiljøloven paragraf 3-6

Realistiske forventninger

En rekke undersøkelser viser at varslere vanligvis utelukkende eller først henvender seg til nærmeste ledelse (Bakken, Dalby & Strønen, 2009; Miceli, Near & Dworkin, 2009; Skivenes & Trygstad, 2006). En rekke faktorer kan spille inn på en varslingseffektivitet (Miceli & Near, 2006), men en av de viktigste er klagemottakerens håndtering av denne første (Rothschild & Miethe, 1999), interne varslingen. Problemet løses best ved at varslingsrutinene klart identifiserer hvem som er potensielle mottakere av varsling, og at mottakerne kjenner til hvilke spesifikke risikoer virksomheten har definert, og trenes på å motta og å håndtere varsling. Det er imidlertid avgjørende at samhandlingen mellom en varsler og en klagemottaker forstås i sammenheng med karakteristikken av det kritikkverdige forholdet og de to aktørenes formelle roller. En vellykket håndtering av et varsel forutsetter nemlig at varsleren og mottakeren oppfatter det kritikkverdige forholdet noenlunde likt (Bjørkelo, Matthiesen & Einarsen, 2008).

Dette har vist seg å være en utfordring som lett undervurderes i arbeidet med utforming av interne retningslinjer. Problemstillingen berører nemlig den fortolkningsdynamikken som ofte finnes mellom varslere og mottaker(e) med hensyn til å oppfattelsen av det kritikkverdige forholdet. En varsler kan melde fra om et forhold han eller hun mener er et kritikkverdig forhold, for eksempel et brudd på personopplysningsloven. Da varslingsmottaker ofte har en formell rolle og dermed styringsrett, vil denne med rette kunne hevde at det forholdet varsleren sier ifra om, ikke anses som et kritikkverdig forhold, og vedkommende kan avslutte saken. Det representerer en spesiell risiko, spesielt i situasjoner hvor de samme aktørene selv er deltakere i eller har egne interesser i de kritikkverdige forholdene det varsles om, det som kalles organisasjonsmessige klanderverdige forhold som omfatter toppledelse eller store deler av virksomheten, noe som har vært en problemstilling i flere av de største norske varslersakene (Breirem, 2007; Monsen, 2008). Økt kunnskap om risikoer og ønsket håndtering fra topp til bunn i virksomheten øker sannsynligheten for å oppnå at det blir gjort noe med kritikkverdige forhold, noe som igjen øker sannsynligheten for at varsleren ikke går videre med saken, og at saken ender opp som en alvorlig konflikt. De interne regelverkene bør også utvikles med tanke på at varsler ofte går videre med saken hvis han eller hun opplever at det ikke har blitt gjort noe, eller hvis vedkommende blir straffet (Bjørkelo, Ryberg, Matthiesen & Einarsen, 2008; Rothschild & Miethe, 1999; Taraldset & Wik, 2003).

Konklusjon

Vel gjennomførte IT-prosjekter er av stor betydning for samfunnet. Det er derfor viktig å forstå hva det er som gjør at IT-prosjekter går over tiden, får budsjettsprekker og ikke alltid leveres med den funksjonaliteten som var påtenkt. Mange ansatte vegrer seg for å ta opp «dårlige nyheter» under stort tidspress. Å benytte et risikovurderingsperspektiv som bygger på tradisjonelle systemer for HMS og internkontroll kan være en måte for å bedre flyten av kritisk informasjon og dessuten øke kunnskapsgrunnlag til ledelsen. Kontinuerlig evaluering av interne varslingsregelverk og eksterne krav til virksomheten kan være en måte å fjerne eller redusere risikoer mot måloppnåelse i IKT-prosjekter på.

Takksigelser

Vi vil gjerne takke ledende partner Arne Hyllestad i Indigo Security AS for råd og innspill til arbeidet med denne artikkelen.

Noter

  • 1: Aksjeloven av 13.6.1997 nr.44 og allmennaksjeloven av 13.6.1997 nr.45.
  • 2: Lov av 14.4.2000 nr.31 om behandling av personopplysninger (personopplysningsloven).
  • 3: Forskrift av 15.12.2000 nr.1265 (personopplysningsforskriften). Forskriften er gitt med hjemmel i lov av 14.4.2000 nr.31 om behandling av personopplysninger (personopplysningsloven).
  • 4: Forskrift om bruk av informasjons- og kommunikasjonsteknologi av 21.5.2003 nr.630. Gitt med hjemmel i blant annet lov om tilsynet for kredittinstitusjoner, forsikringsselskaper og verdipapirhandel mv. (kredittilsynsloven) av 7.12.1956 §4.
  • 5: Ot.prp. nr.84 (2005–2006), side 51.
  • 6: Ot.prp. nr.84 (2005–2006), side 46–47.
  • 7: Se Ot.prp. nr.84 (2005–2006), side 46
  • 8: Innst.O.nr.6 (2006–2007).
  • 9: Ot.prp. nr.84 (2005–2006).

Litteratur

  • Bakken, T.N., M.S. Dalby og F.H. Strønen (2009). Varsling i privat og offentlig sektor i Norge. Magma, 2, 34–43.
  • Bharadwaj, A., M. Keil og M. Mähring (2009). Effects of information technology failures on the market value of firms. Journal of strategic information systems, 18(2), 66–79.
  • Bjørkelo, B., S.B. Matthiesen og S. Einarsen (2008). Varslingens mange ansikter: en oppsummering av forskning og litteratur om varsling i arbeidslivet. Søkelys på arbeidslivet, 25(1), 3–19.
  • Bjørkelo, B., W. Ryberg, S.B. Matthiesen og S. Einarsen (2008). «When you talk and talk and nobody listens»: A mixed method case study of whistleblowing and its consequences. International Journal of Organisational Behaviour, 13(2), 18–40.
  • Breirem, K. (2007). På BA-HR bakke. Oslo: Bazar.
  • Dozier, J.B. og M.P. Miceli (1985). Potential predictors of whistle-blowing: a prosocial behavior perspective. Academy of Management Review, 10(4), 823–836.
  • Eggen, M. (2009). Arbeidsgivers tilrettelegging for varsling. Arbeidsrett, 6(1), 1–45.
  • Ethics Resource Center (2007). Ethics Resource Center’s National Business Ethics Survey. An inside view of private sector ethics. Arlington, VA: Ethics Resource Center.
  • Hassink, H., M. de Vries og L. Bollen (2007). A content analysis of whistleblowing policies of leading European companies. Journal of Business Ethics, 75(1), 25–44.
  • Innst. O. nr.6 (2006–2007). Innstilling fra arbeids- og sosialkomiteen om lov om endringer i arbeidsmiljøloven (varsling).
  • Jubb, P.B. (1999). Whistleblowing: a restrictive definition and interpretation. Journal of Business Ethics, 21, 77–94.
  • Keil, M., H.J. Smith, S. Pawlowski og L. Jin (2004). «Why didn’t somebody tell me?»: Climate, information assymetry, and bad news about troubled projects. Data base, 35(2), 65–84.
  • Matthiesen, S.B., B. Bjørkelo og M.B. Nielsen (2008). Klanderverdig atferd og varsling i norsk arbeidsliv. Bergen: Universitetet i Bergen.
  • Miceli, M.P. og J.P. Near (1992). Blowing the whistle: the organizational and legal implications for companies and employees. New York: Lexington Books.
  • Miceli, M.P. og J.P. Near (2002). What makes whistle-blowers effective? Three field studies. Human Relations, 55(4), 455–479.
  • Miceli, M.P. og J.P. Near (2005). Standing up or standing by: what predicts blowing the whistle on organizational wrongdoing? I J.J. Martocchio (Red.), Research in personnel and human resources management (Vol.24, s.95–136). Oxford: Elsevier Ltd.
  • Miceli, M.P. og J.P. Near (2006). Understanding whistle-blower effectiveness: How can one person make a difference? I K.O. Hanson og M.J. Epstein (Red.), The accountable corporation. Business-government relations (Vol.4, s.201–221). Westport, CT: Praeger Publishers.
  • Miceli, M.P., J.P. Near og T.M. Dworkin (2009). A word to the wise: how managers and policy-makers can encourage employees to report wrongdoing. Journal of Business Ethics, 86(3), 379–396.
  • Monsen, P.-Y. (2008). Muldvarp i Siemens. Oslo: Spartacus.
  • MSPB. (1993). Whistleblowing in the federal government: an update: U.S. Merit Systems Protection Board.
  • Ot.prp. nr.84. (2005–2006). Om lov om endringer i arbeidsmiljøloven (varsling). Lastet ned fra http://www.regjeringen.no/Rpub/OTP/20052006/084/PDFS/OTP200520060084000DDDPDFS.jpg.
  • Rothschild, J. og T.D. Miethe (1999). Whistle-blower disclosures and management retaliation. The battle to control information about organization corruption. Work & Occupations, 26(1), 107–128.
  • Skivenes, M. og S.C. Trygstad (2006). Varslere: en bok om arbeidstakere som sier ifra! Oslo: Gyldendal akademisk.
  • Smith, H.J. (2002). Ethics and information systems: Resolving the quandaries. Data base, 33(3), 8–22.
  • Smith, H.J. og M. Keil (2003). The reluctance to report bad news on troubles software projects. A theoretical model. Information Systems Journal, 13, 69–95.
  • Standish Group (1999). CHAOS: a recipe for success. West Yarmouth, MA: Standish Group International. Lastet ned fra http://www4.informatik.tu-muenchen.de/lehre/vorlesungen/vse/WS2004/1999_Standish_Chaos.jpg.
  • Taraldset, B., & Wik, T. (2003). «Whistleblower»: et symptom på en organisasjonskultur? Bergen.
  • Trygstad, S.C. og M. Skivenes (2007). Kommunale lederes håndtering av alvorlige kritikkverdige forhold. Oslo: Fafo.
  • Trygstad, S.C. og M. Skivenes (2008). Kommunikasjonsbetingelser og varsling i en endret offentlig sektor. Tidsskriftet Politik, 11(1), 82–93.
  • Wimbush, J.C. og J.M. Shepard (1994). Toward an understanding of ethical climate – its relationship to ethical behavior and supervisory influence. Journal of Business Ethics, 13(8), 637–647.
  • Aarbakke, A. (2004). Aksjeloven og allmennaksjeloven, kommentarutgave. 2. utgave: Oslo.

© Econas Informasjonsservice AS, Rosenkrantz' gate 22 Postboks 1869 Vika N-0124 OSLO
E-post: post@econa.no.  Telefon: 22 82 80 00.  Org. nr 937 747 187. ISSN 1500-0788.

RSS