SaaS er kommet for at blive – men det behøver ikke at komme bag på topledelsen. I mange virksomheder vokser abonnementerne i samme tempo som ambitionsniveauet: Marketing har sin egen stack, Salg skaffer endnu et CRM-plugin, og HR har forelsket sig i en ny læringsplatform. Resultatet? En usynlig tsunami af scenarier, hvor data flyder ud af organisationen, budgetter løber løbsk, og security-teamet kæmper mod skygge-IT.

Hvis det lyder bekendt, er du ikke alene. Heldigvis kan udviklingen vendes fra spredt forbrug til en strategisk SaaS-portefølje, der skaber kontrol, compliance og konkurrencekraft på én gang. Artiklen her viser, hvordan topledelsen kan sætte retning – ikke ved at detailstyre hver eneste licens, men ved at etablere en sammenhængende styringsmodel, der gør det let at træffe de rigtige teknologivalg.

I fire konkrete trin gennemgår vi:

  1. Formål, principper og mandat – hvorfor bruger vi SaaS, og hvilke værdier skal styre vores valg?
  2. Det fulde overblik – sådan kortlægger du alle systemer, også dem ingen tør nævne højt.
  3. Styringsmodellen i praksis – roller, processer og standarder, der holder sammen på helheden.
  4. Mål, rytmer og forbedring – KPI’er og incitamenter, der fastholder værdien og dæmper risikoen.

Uanset om din organisation allerede er dybt afhængig af SaaS, eller først nu er ved at sætte for alvor strøm til abonnementsmotoren, vil denne artikel give dig de strategiske greb, der sikrer, at hver eneste licens arbejder for forretningen – og ikke omvendt.

Velkommen til ledelsesgangen, hvor klar tænkning bliver til bedre forretning.

Fra spredt forbrug til strategisk portefølje: Formål, principper og mandat

Virksomheder vælger i stigende grad Software-as-a-Service, fordi det fremskynder innovation, reducerer time-to-value og gør omkostninger mere variable. Men uden et fælles udgangspunkt bliver løsninger indkøbt ad hoc, og gevinsterne forsvinder i overlap, compliance-brud og uforudsete integrationsomkostninger.

Topledelsen må derfor svare på tre spørgsmål, før der træffes én eneste SaaS-beslutning:

  1. Hvilken strategisk fordel forventer vi at opnå (hurtigere markedsadgang, lavere TCO, adgang til avancerede funktioner, etc.)?
  2. Hvilken forretningsværdi skal hver applikation levere, målt i konkrete KPI’er?
  3. Hvilken risiko er vi villige til at bære – og hvordan sætter vi loft over den?

2. Værdier og beslutningsprincipper

Princip Hvad betyder det i praksis? Hvorfor er det vigtigt?
Forretningsværdi først Hver app skal have en producere-eller-pensionere-case, som beskriver forventet gevinst og exit-kriterium. Minimerer “tech-pets” og sikrer ROI.
Dataejerskab Virksomheden bevarer juridisk og praktisk kontrol over egne data, inkl. export i åbne formater. Afværger vendor lock-in og letter compliance (GDPR, Schrems II).
Åbenhed & standarder API-first, SCIM, SAML/OIDC og auditerbar sikkerhed. Gør integration og automatisering mulig, reducerer projektomkostninger.
Minimalt kompleksitets-fodaftryk Buy the platform, rent the feature”: Helst færre, brede platforme frem for mange special-apps. Forenkler governance, træning og support.
Exit-barrierer måles Inden kontrakt: kvantificér omkostning og tid til exit. Giver reel forhandlingskraft ved renewal.
Indbygget bæredygtighed Leverandører skal dokumentere CO2-aftryk og energiforbrug pr. bruger. Understøtter ESG-mål og reducerer energiomkostninger.

3. Mandatet fra topledelsen

En executive sponsor – typisk CFO eller COO – udsteder et SaaS Governance Charter. Charteret:

  • Udpeger en SaaS-ejer (Head of SaaS Portfolio Management) med mandat til at godkende, afvise eller afvikle applikationer.
  • Etablerer et tværfunktionelt porteføljeboard (IT, indkøb, sikkerhed, juridisk, forretning) med beslutningsansvar.
  • Definerer grænseværdier for risikotolerance (fx RPO/RTO, dataklassifikation, multi-tenancy krav).
  • Fastlægger budget-rammer, herunder FinOps-principper og enhetsøkonomiske mål.

Mandatet skal kommunikeres klart: ”Ingen SaaS udenom registret, governance-gates eller økonomisk påvirkning.” Det udgør licens til at stoppe skygge-IT og til at forhandle leverandører ned i pris, fordi portefølje­ejeren taler på vegne af topledelsen.

4. Risikoprofil og kontrolpunkter

SaaS-porteføljen opdeles i fire risikoniveauer (eksempel):

  1. Mission Critical – påvirker kerneforretning & regulatoriske krav.
  2. Business Essential – påvirker produktivitet & kundeservice.
  3. Nice-to-Have – begrænset forretningspåvirkning.
  4. Eksperimentel – POC’er og tidsbegrænsede forsøg.

For hvert niveau defineres et minimums-setup af kontroller:

  • Kryptering, SSO, MFA
  • SLA > 99,9 % oppetid for niveau 1-2
  • Årlig penetration test og SOC 2-rapport for niveau 1
  • DPA med standardkontrakt­bestemmelser (SCC) for persondata

5. Forankring i strategi og governance

Principperne indlejres i eksisterende styringsprocesser, så porteføljeledelsen ikke bliver et parallelt univers:

  • Strategi-review (årligt): SaaS-roadmap præsenteres sammen med it-strategien.
  • Capex/Opex-budget: SaaS-omkostninger synliggøres i samme ramme som klassisk it.
  • Enterprise-arkitektur-board: SaaS-lifecycle indgår i reference­arkitektur og standarder.
  • Risiko-komité: SaaS-risiko rapporteres på linje med andre operationelle risici.
  • Audit & compliance: SaaS-register integreres med GRC-værktøjer og ISAE/ISO-revisioner.

6. Næste skridt

Når formål, principper og mandat er forankret, kan organisationen gå videre til kortlægning, klassifikation og datalinjer, som beskrevet i næste afsnit. Dermed transformeres spredt SaaS-forbrug til en målbar, styrbar og værdiskabende portefølje.

Få det fulde overblik: Kortlægning, klassifikation og datalinjer

Første skridt i en moden SaaS-styring er at kende sin bestand helt ned på fakturaniveau. Uden et fælles og autoritativt billede af porteføljen taler økonomi, sikkerhed, compliance og forretning let forbi hinanden. Nedenfor et forslag til en fremgangsmåde, der både afdækker skygge-IT og giver det datagrundlag, der skal til for at træffe strategiske valg.

1. Systematisk optælling – Sådan finder du alt

  1. Finans-afstemning: Eksportér de sidste 12-24 måneders kreditorlinjer og firmakort-transaktioner. Filtrér på “subscription, SaaS, cloud, licence” m.m. og berig manuelt.
  2. Netværks- og SSO-logs: Brug CASB, Secure Web Gateway eller IdP-rapporter til at spotte domæner, som ikke er kendt af IT.
  3. Spørgerunder: Korte spørgeskemaer til afdelingsledere: Hvilke værktøjer bruger teamet? Hvem ejer dem? Hvornår fornyes kontrakten?
  4. Kick-off workshop: Saml repræsentanter fra IT, Legal, Indkøb, DPO og forretningen. Gennemgå foreløbig liste, validér dublikat­er og kandidat­systemer.

2. Klassificér – Ét simpelt schema, der styrer prioriteringen

Næste skridt er at give hvert system en risikovægt og en værdiprofil. Hold klassifikationen let at forstå:

Dimension Spørgsmål Mulige værdier
Forretningskritikalitet Står centrale processer stille hvis app’en er nede? Høj / Medium / Lav
Datatype Bærer løsningen persondata, IP, finansielle data? Personfølsom / Fortrolig / Offentlig
Regulatorisk påvirkning Er systemet omfattet af GDPR, NIS2, PCI-DSS m.m.? Ja / Nej + reference
Integrations­afhængighed Hvor mange data­strømme løber ind/ud? >10 / 5-10 / <5 / Stand-alone
Ejer & kontrakt Hvem er procesejer, systemejer og kommerciel ejer? Navn & afdeling + kontakt

Tip: En simpel ABC-matrice (A = Kritisk, B = Vigtig, C = Lav) giver topledelsen et øjebliksbillede af hvor compliance-indsatsen starter.

3. Dokumentér datalinjer – Fra kilde til rapport

For de A- og B-klassificerede systemer er datalinjer (data lineage) obligatoriske:

  • Hvilke datatyper trækkes ind, fra hvilke kilder?
  • Hvordan transformeres og lagres de (kryptering, retention, backup)?
  • Hvilke brugere eller downstream-systemer forbruger outputtet?

Map datalinjer visuelt, fx i et EA-værktøj eller et freeware-diagram, så både compliance- og udviklingsteams kan se konsekvenserne af ændringer eller udfald.

4. Skab et autoritativt register – “én kilde til sandheden”

Etabler et SaaS-register, der kombinerer alle ovenstående datapunkter. Tabellen her viser minimumsfelter:

App-navn Ejer Kritikalitet Datatype Årlig spend Næste fornyelse DPA/SLA status SSO / SCIM Exit-plan?
EksempelApp Finance Høj Persondata 1,2 mio. kr. 31-03-2025 OK Ja Under udarb.

Gør registret til en levende artefakt:

  1. Integrér det med økonomisystemet og IdP’en, så nye køb eller aktiverede applikationer skaber en flag-to-approve opgave.
  2. Sæt automatiske mails 90 og 30 dage før fornyelse, så ejere kan genforhandle eller afvikle.
  3. Publicér et filtreret view til hele organisationen – gennemsigtighed driver oprydning.

5. Anvend porteføljeindsigterne med det samme

  • Kostreduktion: Identificér dobbelt-funktionalitet og frakobl overflødige apps.
  • Sikkerhed: Tving SSO og MFA ind på alle A- og B-systemer; migrér C-systemer trinvist.
  • Compliance: Hold øje med systemer uden databehandler­aftale – de ryger øverst på action-listen.

Når kortlægning, klassifikation og datalinjer er på plads, har ledelsen et faktabaseret udgangspunkt for at balancere værdi og risiko i den samlede SaaS-portefølje – og resten af styringsmodellen kan bygges på et solidt fundament.

Styringsmodellen i praksis: Roller, beslutningsrettigheder og fælles standarder

Den bedste model er den, organisationen faktisk bruger. Sigt efter én enkel struktur, hvor alle SaaS-initiativer passer ind:

  1. Porteføljeboard – tværfunktionelt forum (CIO/CTO, CFO, CISO, forretningsledere) med mandat til at godkende, prioritere og afvikle applikationer.
  2. Product Owners – forretningsnære ejere af hver enkelt app, ansvarlige for værdi, budget og compliance.
  3. SaaS CoE (Center of Excellence) – lille specialistgruppe (arkitektur, sikkerhed, indkøb, FinOps) der driver standarder, templates og automatisering.
  4. IT Service Desk – førstelinje, der sikrer adgangsstyring og brugersupport via fælles værktøjer.

2. Roller & beslutningsrettigheder – Fra idé til nedlukning

Fase Forretningsenhed SaaS CoE Porteføljeboard Indkøb/Legal
Idé & behov Initierer Rådgiver
Due diligence Deltager Ansvarlig Reviewer
Business case Ansvarlig Bidrager Godkender & prioriterer
Kontrakt Ansvarlig
Drift & optimering Ansvarlig Monitorerer
Nedlukning/exit Initierer Faciliterer Godkender Kontraktluk

3. Arkitektur- & sikkerhedsgates

Indfør faste gates i beslutningsprocessen:

  • Architecture Fit – API-standarder, event-integration, data­modellens kompatibilitet.
  • Security & Compliance – ISO 27001/SOC2, penetrationstest, DPA.
  • Data Residency – hvor lagres data, kryptering «at rest» & «in transit», backup-retention.
  • Portabilitet – eksportformater, opsigelsesvarsel, dokumenteret exit-runbook.

4. Tekniske minimumskrav (fælles standarder)

  1. Identitet: SSO via SAML/OIDC og automatiseret SCIM for de-/provisionering.
  2. Observability: Streaming af audit-logs til SIEM inden for 24 timer.
  3. Integration: REST eller event-baseret webhook, dokumenteret schema.
  4. Test & Sandbox: Adskilt miljø uden ekstra licens­omkostning.
  5. Exit: Kundedata leveres i åbent format (CSV/JSON) vederlagsfrit inden for 30 dage.

5. Finops koblet til governance

Indarbejd økonomistyring (FinOps) som en del af hverdagen:

  • Total Cost of Ownership (TCO) – abonnementspris, integrations­omkostninger, interne ressourcer.
  • Enhedsøkonomi – cost pr. aktiv bruger, pr. forretnings­transaktion.
  • Licensoptimering – automatiseret rettighedsstyring, opsig ubrugte sæder hver måned.
  • Showback/Chargeback – fordél faktiske udgifter til de afdelinger, der bruger servicen.
  • Renewal-pipeline – 90/60/30-dages alerts før fornyelse; forhandling baseret på brug & værdi.

6. Kontrakten som styringsværktøj

Kontrakten skal afspejle både governance og FinOps-prin­cipper:

  1. SLA’er: Tydelige målinger (oppetid, reaktionstid) & kreditter.
  2. DPA/ISO: Leverandøren forpligter sig til aktuelle standarder og årlig re-certificering.
  3. Exit-plan: SLA for dataudlevering, destruktions­attest og support til migrering.
  4. Benchmark-klausul: Mulighed for genforhandling ved markant prisfald i markedet.

7. Automatisér kontroller – Gør det let at gøre det rigtige

  • Policy-as-code i CI/CD for integrationer og sikkerhed.
  • Self-service katalog med kun godkendte apps & pre-godkendte kontraktskabeloner.
  • Automatisk offboarding af brugere ved fratrædelse via SCIM.
  • Dashboards – live rapportering af omkostninger, adoption og risikoscore.

Resultatet er en konsekvent men letvægtig styringsmodel, hvor forretningen kan eksperimentere og skalere sikkert, mens topledelsen bevarer overblik over risiko, værdi og omkostninger.

Mål, rytmer og forbedring: Drift, rapportering og adfærdsdesign

Sæt de rigtige kpi’er – Og mål dem konsekvent

En moden SaaS-portefølje styres med få, men meningsfulde nøgletal, som taler både til forretningen, finans og risikoledelsen. Brug en simpel taksonomi med tre linser:

Linse Eksempel-KPI Hvorfor giver den mening?
Værdi Adoptionsgrad pr. afdeling
(aktive brugere / licenser)		 Fremhæver ubrugt funktionalitet og ghost-licenser; kobles til forretningsmål.
Omkostning Total Cost of Ownership pr. bruger/app
(inkl. integrations- og supporttimer)		 Gør “billig licens, dyr drift” synlig og understøtter FinOps-optimering.
Risiko Aggregeret risikoscore
(sikkerhed, compliance, leverandørsoliditet)		 Prioriterer indsatser og kommunikerer appetit vs. eksponering til bestyrelsen.

Benchmark minimum kvartalsvist og vis trendpilen – er vi bedre, uændrede eller værre siden sidst?

Styringsrytmer der skaber momentum

  1. Månedligt porteføljeboard
    45 minutter, fast agenda: nye ansøgninger, røde risici, afvigelser på cost eller adoption.
  2. Kvartalsvis rationalisering
    Kombinér usage-data med kontraktkalenderen. Luk eller saml overlappende apps før renewals.
  3. Renewal-pipeline
    Rullende 12-måneders liste med fornyelsesdato, commit-loft og exit-alternativ. Deles med indkøb og økonomi.
  4. Leverandørreviews
    Én gang om året for kritiske leverandører: roadmap, support-SLA, pris-indeks, ESG-performance.

Gennemsigtighed via live-dashboards

Koblingen mellem register, licens-telemetri og finanssystemer muliggør real-time indsigt:

  • Ledelses-cockpit: KPI-trend, top-10 risikable apps, top-10 non-utiliserede licenser.
  • App-ejer-view: egne brugertal, cost pr. funktion, compliance-checkliste.
  • FinOps-view: forecasts, currency-effekt, showback/chargeback pr. BU.

Brug SSO-logon som datakilde til adoption og SCIM til at deaktivere brugere automatisk.

Adfærdsdesign: Gør god governance friktionsfri

  • Nudge: standardiser godkendelsesflowet i serviceportalen – færre felter end den hurtige firmakort-løsning.
  • Læring: 15-min micro-e-learning om “SaaS-principper” for alle bestillere; systemet frigiver først P-kortet, når testen er bestået.
  • Incitament: BU’er der reducerer shelfware >15 % får 50 % af besparelsen tilbage til eget innovationsbudget.
  • Automation:
    • Orphaned accounts auto-lukkes efter 90 dages inaktivitet.
    • Kontrakter uden DPA flagges som “rød” og ryger på næste board.

Med klare mål, faste rytmer og et gennemtænkt adfærdsdesign skifter SaaS fra at være diffuse abonnements­strømme til en strategisk ressource, der løbende forbedres – til gavn for både bundlinje og risikoprofil.

By På ledelsesgangen