Leverantörshantering: Process för att styra leverantörer

Leverantörshantering: Process för att styra leverantörer

Lucas Rosvall

Lucas Rosvall

·

Leverantörshantering (Supplier Management) innebär att styra, utvärdera och utveckla samarbetet med externa parter. Syftet är att minimera risker och säkra värdet i varje relation.

När leverantörer får tillgång till era system blir de en del av er attackyta. Bristande kontroll får direkta konsekvenser för verksamheten – både säkerhetsmässigt och finansiellt.

Regelverk som GDPR, NIS2 och DORA ställer nu tydliga krav på kontroll över leverantörskedjan. Att bara lita på att allt fungerar räcker inte; ni måste kunna bevisa det.

Centrala områden i leverantörshantering

Leverantörshantering vilar på tre fundament: systematisk riskanalys, strikt efterlevnad av lagkrav och proaktiv avtalshantering. Genom att styra dessa områden kan organisationer identifiera hot innan de blir kostsamma problem.

1. Risk- och sårbarhetsanalys

Effektiv styrning kräver kännedom om era samarbetspartners. Genomför en leverantörsbedömning både inför nya avtal och löpande under samarbetet.

Analysen bör täcka följande områden:

  • Ekonomisk stabilitet: Analysera nyckeltal och trender. Sjunkande marginaler eller ökande skulder indikerar risk för leveransavbrott. Kontrollera även betalningsförmåga mot underleverantörer.
  • IT-säkerhet och dataskydd: Kräv konkreta bevis på säkerhetsnivån. Certifieringar ger en indikation, men granska även faktiska rutiner för incidenthantering, penetrationstester och mjukvaruuppdateringar.
  • Geografiska risker: Identifiera var personal och datacenter finns. Verksamhet i högriskländer ökar exponeringen för dataintrång och rättsliga komplikationer.
  • Beroendeställning och inlåsning: Utvärdera svårigheten att byta leverantör. Identifiera dolda beroenden som specialanpassade system eller unik kompetens.
  • Koncentrationsrisk: Kartlägg om flera av era leverantörer använder samma underleverantörer. Fel hos en gemensam länk kan skapa omfattande dominoeffekter.
risk- och sårbarhetsanalys

2. Lagkrav och Compliance

Dagens regelverk kräver aktiv kontroll över externa parter:

  • GDPR: Krav på att säkerställa korrekt personuppgiftshantering via biträdesavtal (PUB) och regelbunden uppföljning.
  • NIS2: Skärpta krav på säkerhetsåtgärder i leverantörskedjan för samhällsviktiga verksamheter.
  • DORA: Detaljerade regler för finanssektorns hantering av ICT-tredjepartsrisker.
  • CSRD: Skyldighet att rapportera hållbarhetsdata och risker genom hela värdekedjan.

3. Avtalshantering och uppföljning

Ett avtal ger skydd endast om det efterlevs och uppdateras kontinuerligt.

Kritiska klausuler i moderna leverantörsavtal:

  • Säkerhetsbilagor: Specifika krav på informationssäkerhet och omedelbar incidentrapportering.
  • Revisionsrätt: Avtalsfäst rätt för kunden att granska leverantörens miljö (audit rights).
  • SLA (Service Level Agreement): Mätbara krav på tillgänglighet, svarstider och prestanda.
  • Exit-strategi: Fastställda rutiner för hur data och tjänster flyttas tillbaka eller vidare vid avslutat samarbete.

Gå från passiv lagring till proaktiv uppföljning. Etablera rutiner för att regelbundet kontrollera att leverantören faktiskt efterlever avtalets krav.

avtalshantering

Vem ansvarar för leverantörshanteringen?

Ansvaret för leverantörshantering delas vanligtvis mellan inköp, IT-säkerhet, juridik och verksamhetsägaren för att säkerställa både kommersiell och teknisk kontroll. Det krävs ett nära samarbete där inköp hanterar de affärsmässiga ramarna medan IT-säkerhet fokuserar på att minimera tekniska sårbarheter.

Samtidigt spelar juridik en avgörande roll i att säkerställa att avtalen innehåller rätt klausuler för exempelvis revisionsrätt och incidentrapportering enligt gällande lagkrav.

Slutligen är det verksamhetsägaren – den som använder tjänsten i vardagen – som bäst kan följa upp att leveransen faktiskt motsvarar verksamhetens behov. Genom att integrera dessa roller i en gemensam process i ett centralt system undviker ni att kritiska kontroller faller mellan stolarna.

Från reaktiv kontroll till affärsnytta

En effektiv leverantörshantering handlar inte bara om att tillfredsställa revisorer – det handlar om att säkra verksamhetens drift.

Genom att gå från manuell administration till en strukturerad process kan ni korta ledtider vid nya samarbeten och säkerställa att incidenter hos tredje part inte blir ett stopp för er egen leverans.

Fyra sätt att skapa konkret värde:

  1. Automatisera insamling: Ersätt manuella Excel-ark med digitala flöden. Det frigör tid från administration till faktiskt analysarbete och riskhantering.
  2. Prioritera rätt: Alla leverantörer kräver inte samma fokus. Genom att segmentera efter kritikalitet kan ni lägga 80 % av resurserna där risken är som störst.
  3. Stärk leverantörskedjans resiliens: Genom att ställa krav och följa upp höjer ni lägstanivån hos era leverantörer, vilket direkt minskar sannolikheten för kostsamma avbrott.
  4. Data som beslutsunderlag: Med ett samlat register över leverantörernas prestanda och riskprofil får ni ett betydligt starkare förhandlingsläge vid nästa avtalsförnyelse.

Istället för att se leverantörshantering som en administrativ börda bör det ses som en kvalitetsstämpel. En verksamhet som har full kontroll på sin leverantörskedja är inte bara säkrare – den är också en mer attraktiv partner för sina egna kunder.

Med vårt system för leverantörshantering byter ni ut osäkra pappersprodukter och utspridda mejl mot en digital plattform som skapar ordning, reda och mätbar säkerhet i hela leverantörskedjan.

Vanliga frågor om leverantörshantering

Vad skiljer leverantörshantering från upphandling?

Upphandling är fasen där ni väljer och kontrakterar en leverantör. Leverantörshantering omfattar hela livscykeln: från riskanalys och urval till löpande uppföljning, incidenthantering och avveckling. Upphandling är därmed en delmängd av den totala leverantörshanteringen.

Hur ofta bör leverantörer utvärderas?

Frekvensen styrs av leverantörens riskprofil och verksamhetskritikalitet. Kritiska högriskleverantörer bör granskas årligen eller kvartalsvis. För leverantörer med medelhög risk räcker ofta en utvärdering var 12–24 månad. Lågriskleverantörer kan följas upp vid avtalsförnyelse eller vid rapporterade avvikelser.

Vilka leverantörer bör vi prioritera?

Prioritera leverantörer som är affärskritiska eller hanterar känslig data. Genom att mappa leverantörer i en matris baserad på verksamhetspåverkan och risk kan ni allokera resurser effektivt. Högriskleverantörer kräver djupgående gransknining, medan lågriskleverantörer kan hanteras med standardiserade kontroller.

Måste även små företag arbeta med leverantörshantering?

Ja, men omfattningen bör anpassas efter verksamhetens storlek. En bra start är att identifiera de 5–10 viktigaste leverantörerna, fastställa grundläggande säkerhetskrav i avtalen och genomföra en årlig uppföljning.

Vilka är riskerna med bristande leverantörshantering?

Utöver direkta kostnader för driftstopp och kvalitetsproblem tillkommer legala risker. Underlåtenhet att kontrollera sin leverantörskedja kan leda till omfattande sanktionsavgifter enligt NIS2 och GDPR, förutom de stora kostnaderna vid ett eventuellt dataintrång via en tredje part.

Identifiera och hantera leverantörsrisker proaktivt.

Få full överblick över er leverantörskedja och smarta verktyg för riskbedömning. ChainSec hjälper er att upptäcka hot innan de påverkar verksamheten.

App screenshot