En leverantörsbedömning är processen att utvärdera leverantörers förmåga att uppfylla krav inom säkerhet, kvalitet, ekonomi och hållbarhet. Målet är att minimera risker, säkerställa regelefterlevnad och utveckla långsiktiga affärsrelationer.
Hur säker är du på att dina leverantörer lever upp till dina krav? En leverantörsbedömning hjälper dig upptäcka risker innan de blir problem - från cyberhot till leveransstörningar.
I denna artikel visar vi hur du bygger säkrare leverantörsrelationer genom systematiska leverantörsbedömningar.
Vad är en leverantörsbedömning?
En leverantörsbedömning är processen att utvärdera sina leverantörers förmåga att uppfylla överenskomna krav och förväntningar. Det är ett viktigt verktyg för att minimera risker, säkerställa kvalitet och utveckla långsiktiga affärsrelationer.
En leverantörsbedömning kan liknas med en hälsokontroll. Genom en strukturerad utvärdering får du en tydlig bild av leverantörens styrkor, svagheter och risker.
En leverantörsbedömningen hjälper dig helt enkelt att:
- Förstå leverantörens styrkor och svagheter.
- Identifiera potentiella risker.
- Säkerställa att leverantören möter dina krav.
- Skapa underlag för förbättringsarbete.
Olika typer av leverantörsbedömningar
Det finns olika typer av leverantörsbedömningar, vars relevans till stor del beror på din bransch och behov.
Säkerhetsbedömningar fokuserar på leverantörens rutiner för informationssäkerhet, fysisk säkerhet och cybersäkerhet. För vissa verksamheter, exempelvis de som omfattas av NIS2-direktivet, är dessa bedömningar obligatoriska.
Kvalitetsbedömningar utvärderar leverantörens förmåga att leverera produkter som möter kvalitetskrav. En kvalitetsbedömning tittar på saker som kvalitetsledningssystem, processer och avvikelsehantering.
Miljö- och hållbarhetsbedömningar granskar leverantörens miljöpåverkan och hållbarhetsarbete, från energiförbrukning och avfallshantering till materialval och socialt ansvar. Här finns redan CSRD-direktivet som gör det obligatoriskt för större företag att granska sina leverantörers hållbarhetsarbete.
Finansiella bedömningar undersöker leverantörens ekonomiska stabilitet genom att titta på nyckeltal, kreditvärdighet och finansiell uthållighet.
Regelefterlevnadsbedömningar säkerställer att leverantören följer lagar och standarder. För informationssäkerhet är exempelvis ISO 27001 vanlig. Detta kompletterar ofta legala krav från NIS2-direktivet och säkerhetsskyddslagen.
Leverantörsbedömningar är alltså inte bara ett verktyg för verksamhetsstyrning utan också ett lagkrav för många verksamheter. Detta beror på att standarder som ISO 27001, direktiv som NIS 2 och CSRD ställer alla krav på leverantörsbedömningar.
Varför ska man utvärdera sina leverantörer?
Regelbundna bedömningar hjälper dig att tidigt upptäcka varningssignaler. Det kan vara leverantörer med försämrad ekonomi som riskerar konkurs, bristande säkerhetsrutiner som kan leda till dataintrång, eller kvalitetsproblem som hotar ditt varumärke.
För samhällsviktiga verksamheter är detta extra kritiskt eftersom leverantörsrisker kan påverka samhällets funktionalitet. Därför ställer både NIS2-direktivet och säkerhetsskyddslagen tydliga krav på leverantörsbedömningar.
Hur ska man arbeta med leverantörsbedömningar?
Arbetet kan delas in i två huvudfaser:
1. Initial bedömning (Onboarding)
Innan avtal tecknas måste leverantören granskas. Detta kallas ofta Due Diligence.
- Ekonomi: Är bolaget stabilt?
- Säkerhet: Har de rätt certifieringar (t.ex. ISO 27001)?
- Kapacitet: Klarar de av att leverera enligt våra krav?
2. Löpande uppföljning
En godkänd leverantör är inte godkänd för alltid. Risker förändras.
- Årlig kontroll: Skicka ut självskattningsformulär.
- Incidentuppföljning: Hur har de hanterat eventuella problem?
- Omvärldsbevakning: Har ägarbilden förändrats? Finns nya hot?
Med ett system för leverantörshantering som ChainSec automatiserar du utskick av frågor och påminnelser, vilket gör att du slipper jaga svar manuellt.
Vanliga frågor om leverantörsbedömning
Hur ofta ska man göra leverantörsbedömningar?
Det beror på leverantörens risk och kritikalitet. Högriskleverantörer och de som hanterar känslig data bör bedömas årligen. Medelriskleverantörer kan följas upp vart 2:e-3:e år. Lågriskleverantörer kan bedömas mer sällan, men alltid vid avtalsförnyelse eller vid förändringar i verksamheten. NIS2 och ISO 27001 ställer också krav på regelbunden uppföljning.
Vad ska ingå i en säkerhetsbedömning av IT-leverantörer?
En säkerhetsbedömning ska täcka informationssäkerhet (ISO 27001-certifiering, åtkomstkontroll, kryptering), incidenthantering och rapporteringsrutiner, säkerhetskopiering och disaster recovery, penetrationstester och sårbarhetsskanning, personalens säkerhetsutbildning samt GDPR-efterlevnad. Ställ också krav på regelbunden rapportering och rätt till säkerhetsrevision.
Kan små företag ställa krav på stora leverantörer?
Ja, även små företag måste ställa säkerhetskrav på sina leverantörer för att uppfylla GDPR, NIS2 och andra regelverk. Du är ansvarig för risker som dina leverantörer skapar, oavsett deras storlek. Använd standardiserade bedömningar och avtalsmallar (se tips från Upphandlingsmyndigheten). Större leverantörer har ofta färdiga compliance-dokument som SOC 2-rapporter eller ISO-certifikat du kan begära.
Vad är skillnaden mellan leverantörsbedömning och due diligence?
Due diligence är en grundlig genomgång som oftast görs innan man tecknar avtal med en ny leverantör. Det är en djupdykning i leverantörens ekonomi, säkerhet, juridik och kapacitet. Leverantörsbedömning är ett bredare begrepp som omfattar både initial due diligence och löpande uppföljning av befintliga leverantörer. Båda är viktiga delar av leverantörshanteringen.
Hur dokumenterar man leverantörsbedömningar för revision?
Dokumentera alla bedömningar centralt i ett system. Spara bedömningsformulär, svar från leverantörer, certifikat och bevis, identifierade risker och åtgärdsplaner samt uppföljning av vidtagna åtgärder. Chainsec ger automatisk dokumentation som uppfyller revisionskrav för NIS2, ISO 27001 och CSRD. Ha tydlig historik så du kan visa utveckling över tid vid revision.
