Leverantörshantering: Process för att styra leverantörer

Leverantörshantering: Process för att styra leverantörer

Lucas Rosvall

Lucas Rosvall

Leverantörshantering (Supplier Management) handlar om att styra, utvärdera och utveckla samarbetet med externa parter. Målet är att minimera risker och maximera värdet av varje relation.

När leverantörer får tillgång till era system och data blir de en del av er säkerhetsyta. En bristande kontroll kan därför få direkta konsekvenser för er egen verksamhet, både säkerhetsmässigt och finansiellt.

Kraven ökar också från lagstiftare. Regelverk som GDPR, NIS2 och DORA ställer explicita krav på att ni har kontroll över er leverantörskedja. Det räcker inte längre att lita på att "allt fungerar" – ni måste kunna bevisa det.

3 viktiga områden i modern leverantörshantering

Leverantörsstyrning handlar om att systematiskt identifiera och hantera risker innan de utvecklas till kostsamma problem. Här går vi igenom de tre av de viktigaste områdena:

1. Risk- och sårbarhetsanalys

Grunden för all styrning är att veta vem man gör affärer med. En leverantörsbedömning bör göras innan avtal skrivs, men också löpande under samarbetet.

En effektiv analys granskar:

Din analys bör täcka områden som:

  • Ekonomisk stabilitet: Granska både dagens nyckeltal och trender. En leverantör med sjunkande marginaler eller ökande skulder kan snabbt bli ett problem. Titta särskilt på betalningshistorik mot underleverantörer.
  • IT-säkerhet och dataskydd: Be om konkreta bevis på säkerhetsarbetet. Certifieringar är bra men viktigare är dokumenterade rutiner för incidenthantering, penetrationstester och säkerhetsuppdateringar.
  • Geografiska risker: Var finns leverantörens personal och datacenter? Olika länder innebär olika risker för dataintrång och regelbrott. En leverantör med verksamhet i högriskländer kräver extra kontroller.
  • Beroendeställning: Hur lätt kan du byta leverantör om något går fel? Leta särskilt efter dolda beroenden som specialanpassade system eller unik kompetens som gör byte svårt.
  • Koncentrationsrisk: Använder flera av dina leverantörer samma underleverantörer? Ett problem hos en central aktör kan då skapa dominoeffekter genom hela leverantörskedjan.
risk- och sårbarhetsanalys

2. Lagkrav och Compliance (GDPR, NIS2, DORA)

Regelverken ställer tydliga krav på leverantörskontroll:

  • GDPR: Ni måste säkerställa att leverantörer hanterar personuppgifter korrekt (Personuppgiftsbiträdesavtal).
  • NIS2: Krav på säkerhet i leverantörskedjan för samhällsviktig verksamhet.
  • DORA: Specifika krav för finanssektorn på hantering av tredjepartsrisker (ICT-risker).
  • CSRD: Krav på hållbarhetsrapportering genom hela värdekedjan.

3. Avtalshantering och uppföljning

Avtalet är ert viktigaste skydd, men det måste vara levande.

Viktiga delar i ett modernt leverantörsavtal:

  • Säkerhetskrav: Tydliga krav på informationssäkerhet och incidentrapportering.
  • Revision: Rätt att granska leverantören (audit rights).
  • SLA: Mätbara nivåer för tillgänglighet och prestanda.
  • Exit-klausul: Hur avslutar vi samarbetet säkert?

Glöm inte den löpande uppföljningen. Ett avtal i en pärm gör ingen nytta. Sätt rutiner för att regelbundet stämma av leveransen mot kraven.

avtalshantering

Så utvecklar du leverantörsrelationer för långsiktigt affärsvärde

Som du kanske redan har förstått så är leverantörshantering viktigt för att skydda din verksamhet från risker. Men faktum är att det inte bara behöver handla om att minimera risker och problem, utan det kan också att skapa affärsvärden genom starka leverantörsrelationer.

Många fastnar nämligen i en reaktiv leverantörshantering där fokuset ligger mycket på avtal och kontroller. Men om du verkligen vill dra nytta av dina leverantörer ska du istället försöka arbeta mer proaktivt med dem.

För att lyckas med detta behöver du vanligtvis:

  1. Segmentera dina leverantörer baserat på risk och strategisk betydelse.
  2. Etablera processer för utvecklingssamtal och avvikelsehantering.
  3. Digitalisera din leverantörsdokumentation för överblick.
  4. Implementera KPI:er som mäter både prestanda och utveckling.
  5. Sätta upp rutiner för löpande uppföljning och förbättring.
  6. Skapa ett forum för strategisk dialog med nyckelleverantörer.

Det som du framförallt vill åstadkomma med den strategiska leverantörsutvecklingen är att gå från leverantörer till partners. Istället för att bara fokusera på pris och leverans vill du bygga relationer där leverantören bidrar med sin kunskap för att också förbättra din verksamhet.

Ett exempel kan vara en IT-leverantör som går från att vara rena driftleverantörer till att fungera som rådgivare i ditt nästa digitaliseringsprojekt.

Men kom ihåg att detta bara fungerar med vissa leverantörer. För många räcker det med att genomföra grundläggande kontroller. Det viktiga är att du identifierar vilka leverantörer som kan bidra till din utveckling och lägger ner tid för att utveckla de relationerna.

ChainSecs system för leverantörshantering hjälper dig digitalisera och automatisera hela processen - från riskanalys och avtalshantering till kontinuerlig uppföljning av dina leverantörer. Med centraliserad överblick och automatiska påminnelser sparar du tid och minskar risker.

Vanliga frågor om leverantörshantering

Vad är skillnaden mellan leverantörshantering och upphandling?

Upphandling fokuserar på att välja och avtala med leverantörer. Leverantörshantering är bredare och omfattar hela livscykeln - från urval och riskanalys till löpande uppföljning, avvikelsehantering och leverantörsutveckling. Upphandling är alltså en del av leverantörshanteringen.

Hur ofta ska man utvärdera sina leverantörer?

Det beror på leverantörens kritikalitet och risk. Strategiska och högriskleverantörer bör utvärderas minst årligen. Leverantörer med medelhög risk vart 2:e år. Lågriskleverantörer kan följas upp mer sporadiskt, men åtminstone vid avtalsförnyelse eller vid indikationer på problem.

Vilka leverantörer ska man prioritera i sin leverantörshantering?

Fokusera på leverantörer som är kritiska för verksamheten eller som hanterar känslig information. Använd en matris där du väger verksamhetspåverkan mot risk. Leverantörer med hög påverkan och hög risk kräver mest resurser, medan leverantörer med låg påverkan och låg risk kan hanteras mer standardiserat.

Behöver små företag arbeta med leverantörshantering?

Ja, men nivån kan anpassas. Även små företag är beroende av leverantörer och påverkas av leverantörsrisker. Börja enkelt: identifiera era 5-10 viktigaste leverantörer, ställ grundläggande säkerhetskrav i avtal, och följ upp minst en gång per år. Bygg sedan ut processen när verksamheten växer.

Vad kostar det att inte ha leverantörshantering?

Kostnaden kan vara betydande. Ett dataintrång via en leverantör kostar i genomsnitt över 4 miljoner kronor enligt IBM. Leveransstörningar, kvalitetsproblem och regelbrott tillkommer. Dessutom riskerar företag böter enligt NIS2 och GDPR om de inte kan visa att de hanterar leverantörsrisker systematiskt.

Stärk er riskhantering med ett modernt GRC-system.

Ta kontroll över leverantörskedjan och minimera hoten. ChainSec ger er verktygen för att automatisera riskhantering och compliance – allt i en och samma plattform.

App screenshot