5.3 Hur samverkar formella och informella styrmedel?
5.3.1 Samband mellan regler och kultur Regler påverkar kultur
Enligt Finansinspektionen (2020) är det styrelsen i ett företag som fastställer dess regler, varav det som företaget värderar förmedlas genom reglerna. För att reglerna ska förmedla rätt budskap och täcka rätt områden, menar vi att det krävs en förståelse av högt uppsatta personer. Huang och Pearlson (2019) styrker detta och menar att chefer kan påverka företagskulturen genom att kommunicera företagets regler inom cybersäkerhet till de anställda. När chefer visar att cybersäkerhet är något som prioriteras genom att göra det en del av företagets strategiska beslut, såsom regler, sänder det budskap om vikten av cybersäkerhet (ibid). Detta är något som bekräftats av respondenterna, som bland annat lyft hur viktigt det är att IT-chefer visar sig ute i organisationen och tar en konsultativ roll (Person A; Person B). Dessutom menar A att dess bank inte aktivt behöver arbeta med att integrera cybersäkerhet i företagskulturen, då det starka regelverket automatiskt redan gör säkerhetstänket till en självklar och naturlig del av de anställdas tankesätt.
Vidare är det cheferna som har till uppgift att se till att anställda i sin tur följer reglerna (Bank for International Settlements, 2015). Chefer måste förmedla till sina anställda att deras arbete har en påverkan på säkerhetsarbetet och är viktigt för företaget (Herath & Rao, 2009). Detta skulle kunna förklara varför B uttrycker att chefen har ett ansvar att förmedla varför bankens behörigheter är så viktiga. Schein (2004) menar vidare att företag genom Riktat
fokus kan forma kulturen, vilket innebär att det ledningen riktar fokus mot signalerar vad
man värderar. Detta kommer inte bara stärka regelefterlevnaden, utan precis som Herath och Rao (2009) antyder menar vi att det även formar säkerhetsklimatet och således kulturen. Pahnila et al. (2007) menar vidare att cheferna även har ett ansvar att göra säkerhetsregler till en naturlig del av anställdas vardag. Många respondenter uttrycker just att säkerhetsreglerna i företaget med fördel bör integreras i det dagliga arbetet (Person A; Person B; Person C; Person E), vilket vi menar innebär att en stark säkerhetskultur behövs.
73
En väsentlig del i företagskulturen är även att anställda får utrymme att ta eget ansvar (Person B; Person C; Person E; Person F) varpå det måste finnas tillit för anställda. Eftersom tillit är en viktig del av kulturen inom banker menar vi att regler behöver formuleras på ett begripligt sätt så att anställda har förståelse för hur de ska bete sig samt förstår reglernas innebörd, så att de litas på. Detta skulle kunna förklara varför majoriteten av respondenterna menar att det ska vara enkelt att göra rätt och att det därför är klokt att formulera regler som är enkla att följa och lätta att förstå (Person A; Person B; Person C; Person F), vilket även både Eisenhardt och Sull (2001) samt Gisladottir et al. (2017) uttrycker.
Vidare bygger den kulturella styrningen inte enbart på informella styrmedel utan snarare på en kombination av både formella och informella styrmedel (Merchant & Van der Stede, 2017). Detta eftersom formella styrmedel såsom regler och standarder är byggstenarna för de skrivna dokument som utformas för att vägleda anställda till att bete sig på ett visst sätt. Ett vanligt förekommande formellt dokument som kan forma kulturen är Code of Conduct (ibid). Merchant och Van der Stede (2017) menar dock att detta måste förstärkas genom träningsprogram och informella diskussioner. Samtidigt finns det en problematik i att Code of Conduct ofta inte tas seriöst av anställda (ibid). Detta skulle kunna förklara varför många respondenter inte har lyft Code of Conduct som ett särskilt viktigt kulturellt styrmedel. Vi menar ändock att detta inte ändrar faktumet att Code of Conduct kan forma kulturen.
Således har vi kunnat se att både teori och empiri visar på att bankens säkerhetsregler formar kulturen. Därför menar vi att det är av stor vikt att banker funderar över hur dess värderingar ska kommuniceras och definieras.
Kultur påverkar regler
Om man vänder resonemanget har vi kunnat se att påverkan är ömsesidig och att bankens kultur kan forma regelefterlevnaden. Merchant och Van der Stede (2017) menar att tydliga riktlinjer inte alltid räcker för att påverka anställdas beteenden, utan att det även behövs en kultur. Detta bekräftas av Pahnila et al. (2007) som menar att individers attityder, vanor och normer påverkar regelefterlevnaden. Detta håller F med om, då F menar att regelefterlevnad framför allt stärks genom företagskulturen. Även B uttrycker att en viktig del av en starkare cybersäkerhet är att göra anställda medvetna om säkerheten och vilka konsekvenser det får om säkerheten inte upprätthålls. Vidare menar Von Solms (1999) att säkerhetskulturen gör att policys och kontroller accepteras som sättet man utför arbetet på. Detta skulle kunna ligga till grund för att B förklarar att dess bank tidigt gör anställda medvetna om bankens mål och värderingar. Säkerhetsreglerna i ett företag menar Höne och Eloff (2002) ska anpassas efter företagskulturen och något vi har kunnat se i denna studie hos respondenterna är att deras regelverk tar stöd i standarder men att de sedan utformas så att de överensstämmer med företagets värderingar (Person D; Person E).
74
Lawton (1998) förklarar vidare att anställda har brutit mot regler för att de varit så motiverade att slutföra en uppgift. Detta skulle kunna förklara varför F till så stor del understryker vikten av att ha en lärande och tillåtande kultur. Vi menar att anställda måste känna att det är okej att be om hjälp och att det är viktigare att reglerna följs än att till varje pris slutföra en uppgift. Detta kan relateras till Aronsson et al. (2020) resonemang om att företag som bygger sin kultur på tillit måste förmedla för sina anställda att fel är tillåtna att göra och på detta sätt skapa en trygghet för de anställda. Genom att göra säkerhetstänket till en naturlig del av arbetet, och därmed kulturen, menar vi därför att kulturen kan stärka regelefterlevnaden. Detta knyter även an till Carillos (2010) resonemang om att anställda ständigt behöver bli påminda om hur de ska bete sig på ett säkert sätt och minska säkerhetsrisker, vilket vi menar att de blir om säkerhetstänket integreras i det dagliga arbetet genom kulturen. Med detta sagt kan det konstateras att företagets kultur formar säkerhetsreglerna och påverkar regelefterlevnaden.