Hopp til innholdet
Hjem » Nøkkelpersonrisiko ved oppstart av AS

Nøkkelpersonrisiko ved oppstart av AS

    I oppstartsfasen er mye bygget rundt noen få personer – ofte én teknisk, én kommersiell og én som tar det praktiske ansvaret for stiftelse, bank og drift. Dette er effektivt, men sårbart. Når én person sitter på avgjørende kunnskap, tilganger og nettverk, øker sjansen for stopp i drift, forsinkede leveranser og dyre omveier. Det er denne sårbarheten vi må håndtere fra dag én.

    Hva er nøkkelpersonrisiko i et oppstartet AS?

    Nøkkelpersonrisiko er avhengigheten av enkeltpersoner som er kritiske for at selskapet i det hele tatt fungerer. For mange som søker etter nøkkelperson risiko oppstart, handler det om å sikre fortsatt drift hvis en grunnlegger slutter, blir syk, eller bare er utilgjengelig når noe haster. Risikoen er særlig høy i små team med få hender, ufullstendig dokumentasjon og konsentrert tilgangsstyring.

    Innhold i artikkelen vis

    Typiske områder der nøkkelpersonrisikoen bygger seg opp i et nytt AS:

    • Kundeanskaffelse og relasjoner som bare én person eier
    • Produktkompetanse (kildekode, design, datastrukturer, domener, skyløsninger)
    • Driftsprosedyrer (fakturering, regnskap, lønn, rapportering)
    • Myndighetsdialog (registreringer, signatur, fullmakter)
    • Tilganger og nøkler (passord, 2FA-enheter, lisensierte verktøy og sertifikater)

    Konsekvensene viser seg under press: en salgsdemo som ikke kan kjøres uten «riktig» person, en utgivelse som ikke kan deployes, eller en tidsfrist hos bank/myndigheter som glipper fordi bare én sitter med signaturrett og 2FA. Det er sjelden vond vilje – bare dårlig struktur. Heldigvis finnes det enkle, rimelige og trinnvise tiltak.

    Første 30–90 dager: tiltak som reduserer sårbarheten raskt

    Du trenger ikke perfeksjon i starten, men du trenger å flytte virksomhetskritisk kunnskap fra hoder til systemer – og sikre at minst to personer kan holde hjulet i gang. Følg en lettvektsplan:

    • Kartlegg nøkkelprosesser: salg, leveranse, faktura/regnskap, support, release/deploy, kreditorbetalinger, og signering mot bank/myndigheter.
    • Lag enkel kontinuitetslogg: én side per prosess med «slik gjør vi det», lenker til verktøy og hvem som har tilgang.
    • Etabler delte tilganger: bruk passordhvelv, delte epostaliaser (f.eks. finance@, support@) og felleskalender for frister.
    • Overlapp: la en nummer to kjøre prosessene annenhver gang eller i «skygge» for å bekrefte at dokumentasjonen fungerer.
    • Plan for fravær: hvem trer inn, hva stoppes, hva kan vente, og hvem varsles.
    Tips: Start med et «tilgangsregister» der dere lister alle systemer, eiere, nivå (admin/bruker), 2FA-metode og hvor gjenoppretting er dokumentert.

    Kostnadene her er primært tid og noen få lisenser (passordhvelv, dokumentasjonsverktøy). Det betaler seg raskt i spart tid ved sykdom, ferie eller avgang.

    Dokumentasjon og tilgangsstyring som minstekrav

    Skaler risikoen ned ved å gjøre det lett å finne «hvordan» og «hvem». Dette fungerer i både tekniske og ikke-tekniske team:

    Kritisk dokumentasjon

    • Systemkart: liste over alle verktøy (CRM, regnskap, sky, domeneregistrar, fakturasystem, kode/repo, CI/CD, betalingstjenester).
    • Prosesskort: 10–15 punkter for hvordan dere utfører faktura, lønn, release, kundesupport og klagehåndtering.
    • Konfigurasjon: hvor ligger sertifikater, DNS, API-nøkler, og hvem roterer dem.
    • Gjenoppretting: hvordan få tilgang hvis 2FA-enheten er borte, og hvem som kan godkjenne det.

    Tilganger og 2FA

    • Bruk passordhvelv med team-funksjon. Unngå deling på chat/epost.
    • Sett opp minst to administratorer per kritisk system.
    • Bruk organisasjonsdomene for alle kontoer, ikke personlige eposter.
    • Plan for «break glass»-tilgang ved nødsituasjoner, logg når den brukes.
    Viktig: Sørg for at signaturrett i Foretaksregisteret, bankfullmakter og eventuelle prokuraordninger ikke er konsentrert hos én person uten reservasjonsløsning.

    Når det gjelder roller og rettigheter i offentlige tjenester, er Altinn inngangen for mange oppgaver. Ha alltid en stedfortreder med nødvendige rettigheter.

    Eierskap, avtaler og insentiver som demper personavhengighet

    Struktur i eierskap og avtaler reduserer sjansen for brå avgang – og effekten om det skjer. Poenget er forutsigbarhet snarere enn «låste dører».

    Aksjonæravtale og vesting

    • Vesting: eierandeler opptjenes over tid. Det motiverer til å bli og gjør det enklere å fordele eierandeler ved avgang.
    • Leaver-klausuler: tydelig forskjell på frivillig avgang («good leaver») og uredelighet/illojalitet («bad leaver»), med forutsigbare vilkår.
    • IP-overdragelse: avklar at selskapet eier arbeidet, kode og design.

    Opsjoner og bonusordninger

    Opsjoner og målbasert bonus kan holde nøkkelpersoner lenger. Hold ordningene enkle å forstå, knyttet til verdiskaping, og vurder ekstern bistand for å sette dem opp korrekt. Kostnaden er som regel knyttet til rådgivning og eventuell arbeidsgiverbeskatning, men kan stå seg godt mot kostnaden ved turnover.

    Praktisk grep: Knytt opsjoner/bonus til milepæler som produktlansering, inntektsmål eller driftsstabilitet (SLA) – ikke bare kalenderdatoer.

    Forsikring og beredskap

    En nøkkelpersonforsikring kan dempe økonomisk sjokk ved uførhet eller bortgang for en sentral person. Be om tilbud tidlig; prisen avhenger blant annet av sum, rolle og alder. Uavhengig av forsikring bør dere ha en enkel beredskapsplan: hvem varsles, hva prioriteres, og hvordan sikres kundeleveranser kommende 2–4 uker.

    • Varslingsliste med telefon og alternative kanaler
    • Prioriteringsliste for leveranser og betalingsforpliktelser
    • Plan for midlertidig ledelse og ekstern støtte ved behov

    Legg særlig vekt på kundefront: definer hvilke tjenester som må holdes oppe uansett, og hvilke som kan settes på pause. Kommuniser tidlig og konkret med berørte kunder og partnere.

    Bruk frasen nøkkelperson risiko oppstart som en påminnelse: målet er færre enkeltpunkter som kan velte lasset, og kortere vei tilbake til normal drift hvis noe skjer.

    Teknisk kontinuitet for produkt og data

    I teknologitunge oppstarter er det ofte én utvikler eller arkitekt som «kan alt». Da er disse grepene særlig viktige:

    • Kildekode og eierskap: bruk selskapseide kontoer for repo (ikke privat), dokumenter bygg/deploy, og sørg for minst to admins.
    • CI/CD og hemmeligheter: lagrede nøkler (secrets) i pipeline må ha eierskap og rotasjonsplan. Test gjenvinning uten den opprinnelige eieren.
    • Skyleverandør: to uavhengige administratorer, separat «break glass»-konto, og tydelig tagging av ressurser.
    • Data og backup: automatiske, testede gjenopprettinger. Dokumentér RTO/RPO på et praktisk nivå, selv om det er grovt.
    • Domener og DNS: selskapseid registrar, 2FA, og dokumentert hvem som kan oppdatere poster.

    Vurder også «escrow» for kritiske komponenter eller tredjepartsleveranser, slik at kildekode eller dokumentasjon kan utleveres ved alvorlige hendelser hos leverandøren.

    Bank, signatur og myndigheter uten flaskehalser

    Flere reelle tilfeller av stopp skyldes at bare én person kan signere, betale eller godkjenne i bank og offentlige systemer. Løs det fra start:

    • Foretaksregisteret: ikke legg all signaturrett hos én person uten backup-ordning.
    • Bank: to personer med fullmakt og totrinnsgodkjenning for større utbetalinger.
    • Altinn og andre offentlige tjenester: stedfortreder med tilstrekkelige roller.

    Avklar internt når én signatur holder, når to kreves, og hvordan hastegodkjenninger håndteres. Skriv det ned i styreinstruks eller intern policy og gjør det tilgjengelig for dem det gjelder.

    Når du er alenegründer

    Er du én person som gjør «alt», øker risikoen – men du kan likevel redusere sårbarheten betydelig:

    • Dokumentér kjerneprosesser for at en vikar/innleie raskt kan hjelpe deg.
    • Gi revisor/regnskapsfører innsyn i økonomiverktøy og avtal en «kan steppe inn»-rolle ved fravær.
    • Sett én betrodd ekstern med-administrator i kritiske systemer (kan være styremedlem eller fagkonsulent), men med tydelige rammer.
    • Planlegg for 2–4 ukers fravær: hvilke leveranser må opprettholdes, hva settes på vent, og hvordan informeres kundene.

    En enkel «håndbok for meg selv» på 3–5 sider er ofte nok til å få både familie, styre eller innleid hjelp over kneika ved uventet fravær.

    Hylleselskap og praktisk oppstart

    Valg av selskapsoppsett påvirker ikke nøkkelpersonrisiko direkte, men praktikken rundt registrering, bank og tidsbruk kan i perioder være personavhengig. Hvis tiden er knapp og én person ikke kan ta hele stiftelsesløpet, kan et ferdig registrert selskap være et alternativ. Da får dere organisasjonsnummer raskt og kan fordele praktiske oppgaver jevnere. Vurder å sammenligne hylleselskaper hvis dere ser at dette er flaskehalsen, men husk at det ikke erstatter tiltakene for dokumentasjon, tilganger og overlapp.

    Kostnadene ved å kjøpe ferdig selskap varierer, så hold fokus på totalbildet: hvor mange dager sparer dere, og hvor mye reduseres personavhengigheten i den kritiske startfasen.

    Konkret scenario: to gründere, én blir utilgjengelig

    Anta at CTO plutselig blir borte noen uker. Hva avgjør om dere fortsetter å levere?

    • Tilganger: Finnes det to admin-brukere i repo, skyleverandør og deploy-rørledning? Hvis ja, kan dere levere «vedlikeholdsmodus» videre.
    • Dokumentasjon: Er release-sjekklisten oppdatert? Da kan PM eller en ekstern konsulent hjelpe å deploye.
    • Kundedialog: Har salgsteamet en mal for statusoppdateringer og hvilke løfter som kan gis uten teknisk avklaring? Det reduserer feilinformasjon.
    • Prioritering: Er det definert hva som kan fryses til personen er tilbake? Da unngår dere å starte arbeid som krever fraværende kompetanse for å fullføre.

    Har dere derimot én eier av alt, uten dokumenterte nøkler eller prosesser, stopper mye opp – og kostnaden blir ofte tapt omdømme og forsinket inntekt i tillegg til brannslukkingstimer.

    Minimumspakke: sjekkliste du kan gjøre denne uken

    • Lag et delt dokument kalt «Kontinuitetslogg» med lenker til kritiske verktøy og prosessbeskrivelser.
    • Opprett passordhvelv for teamet og legg inn minst fem viktigste systemer med 2FA-detaljer.
    • Utpek stedfortreder i bank og Altinn, og test at det fungerer.
    • Avtal én overlappingsøkt per kritisk prosess de neste 14 dagene.
    • Book møte for førsteutkast til aksjonæravtale/vesting og en enkel beredskapsplan.

    Dette er lav kost, høy effekt-tiltak som reduserer sannsynligheten for driftsstans og gjør dere mer attraktive for kunder, partnere og investorer.

    Måle og følge opp risiko uten byråkrati

    Lag en enkel risikoliste i regneark: én rad per risiko, kolonner for sannsynlighet, konsekvens og tiltak. Sett ansvarlig og frist. Revider månedlig i styre/ledermøte, og kryss av hva som er løst. Hold antallet få, men konkrete.

    • «Bare én har tilgang til bank og regnskap» → Tiltak: legge inn stedfortreder + test av betaling med to godkjennere.
    • «Deploy kan bare gjøres av utvikler X» → Tiltak: dokumenter og kjør en testrunde med utvikler Y/PM.
    • «Kritisk kunde eies av én selger» → Tiltak: felles kundemøte og delt CRM-notat med handlingsplan.

    Poenget er ikke å lage en tykk perm, men å styre innsatsen der det monner mest, og vise framdrift over tid.

    Vanlige feller – og hvordan dere unngår dem

    • «Vi tar det senere» – men senere kommer aldri. Sett en dato og ta første steg nå.
    • Hemmelige snarveier – passord og «triks» lagres i hodet. Bruk passordhvelv og delte maler.
    • Altfor komplisert – dere trenger ikke ISO-standarder for å komme i gang. Skriv kort og praktisk.
    • Ingen test – planer som aldri prøves, virker sjelden i praksis. Kjør en kort «tabletop»-øvelse i teamet.

    Når dere bygger inn redundans fra start, er dere mindre sårbare og mer investerbare. Gjør det lett for flere å lykkes i de viktigste oppgavene – og vanskelig for enkelthendelser å stoppe dere.