Missar du ett enda steg i din leverantörsbedömning kan konsekvenserna bli allvarliga. Ekonomiska förluster, driftstopp, böter för bristande efterlevnad eller ett skadat varumärke är alla reella risker när leverantörskedjan inte granskas ordentligt. En strukturerad checklista ger dig kontroll från första kontakten med en ny leverantör till den löpande uppföljningen. I den här artikeln går vi igenom fyra konkreta steg: riskanalys, leverantörsbedömning, revision och löpande uppföljning. Du får praktiska checklistpunkter, frågeexempel och verktyg som gör processen hanterbar och effektiv.
Innehållsförteckning
- Steg 1: Riskanalys och klassificering av leverantörer
- Steg 2: Leverantörsbedömning – granska ekonomi, kvalitet och compliance
- Steg 3: Praktisk revision och självutvärdering
- Steg 4: Löpande uppföljning, KPI:er och åtgärdsplaner
- Ett praktiskt perspektiv på leverantörsbedömningar – när verkligheten utmanar checklistan
- Så tar ni nästa steg – från checklista till aktiv compliance
- Vanliga frågor om leverantörsbedömningar
Viktiga Insikter
| Punkt | Detaljer |
|---|---|
| Systematisk riskanalys | En tydlig klassificering av risk och betydelse säkerställer resurseffektiv uppföljning. |
| Helhetssyn på leverantörer | Ekonomi, kvalitet och compliance måste vägas ihop för en balanserad bedömning. |
| Löpande revision och dialog | Fortsatt dialog och mätbar uppföljning gör era leverantörsval säkrare på lång sikt. |
| Åtgärdsplan vid avvikelse | Vid upptäckt av risk krävs omedelbar åtgärdsplan och tydlig dokumentation. |
Steg 1: Riskanalys och klassificering av leverantörer
Innan du börjar bedöma enskilda leverantörer behöver du en klar bild av vilka risker som faktiskt finns. Riskanalys är grunden som allt annat vilar på. Utan den riskerar du att lägga resurser på fel ställe och missa de leverantörer där faran är störst.
Nyckelelement i processen inkluderar riskanalys inom hållbarhet, leveranssäkerhet och geopolitik, leverantörsbedömning av ekonomi och kvalitetssystem samt revision eller självutvärdering via frågeformulär. Det ger dig en tydlig ram att arbeta inom.
Kartlägg riskaspekterna systematiskt
Det finns fyra huvudkategorier av risker att beakta:
- Hållbarhetsrisker handlar om leverantörens miljöpåverkan, arbetsvillkor och socialt ansvar. Lever leverantören upp till krav i exempelvis FN:s globala mål eller branschspecifika standarder?
- Leveranssäkerhetsrisker rör förmågan att hålla avtalade volymer, kvalitetsnivåer och leveranstider. Är leverantören geografiskt koncentrerad till ett område med hög politisk eller naturkatastrofrisk?
- Ekonomiska risker handlar om leverantörens finansiella stabilitet. En leverantör som är nära konkurs kan skapa akuta driftstopp.
- Geopolitiska risker är särskilt viktiga när leverantörer finns i länder med instabila regimer, handelsrestriktioner eller sanktioner från EU eller USA.
Klassificera leverantörerna efter risknivå
Prioritera riskbaserad approach när du klassificerar leverantörer efter risknivå och strategisk betydelse, för att fokusera resurser effektivt. I praktiken brukar man dela in leverantörer i tre klasser:
- Hög risk/strategisk leverantör kräver djupgående bedömning, regelbunden revision och tät dialog.
- Medelhög risk kräver periodisk granskning och riktade frågeformulär.
- Låg risk/standardleverantör hanteras med enklare kontroller och lägre frekvens.
Den här klassificeringen säkerställer att din organisation inte slösar tid på att djupgranska leverantörer av kontorsmaterial på samma sätt som kritiska IT-underleverantörer.
Koppla riskklassen till affärspåverkan
En leverantör kan vara tekniskt lågriskleverantör men ändå ha hög affärspåverkan. Det är viktigt att kombinera riskbedömning med en analys av hur stor konsekvensen blir om leverantören fallerar. En leverantör som levererar en nischkomponent som bara finns hos en källa kan vara en svag länk i hela din affär, trots att riskprofilen i övrigt ser hanterbar ut.
Precis som en konsekvensbedömning enligt GDPR kräver att du identifierar sannolikhet och konsekvens, kräver leverantörsklassificeringen att du väger ihop båda dimensionerna.
Proffstips: Skapa en enkel matris med axlarna “risknivå” och “strategisk betydelse”. Placera varje leverantör i matrisen. Leverantörerna i det övre högra hörnet får den strängaste granskningen.
Steg 2: Leverantörsbedömning – granska ekonomi, kvalitet och compliance
När leverantörerna är klassificerade, är nästa steg att gå på djupet med själva leverantörsbedömningen. Här handlar det om att samla in och analysera faktaunderlag inom tre huvudområden: ekonomi, kvalitet och compliance.
Leverantörsbedömning följer en strukturerad process med riskanalys, initial bedömning, godkännande och löpande utvärdering. Strukturen är inte frivillig. Den är en förutsättning för att bedömningen ska hålla när den granskas av revisorer, tillsynsmyndigheter eller avtalspartners.
Ekonomisk stabilitet och kreditvärdighet
Börja med att kontrollera leverantörens ekonomiska hälsa. En leverantör med svag likviditet eller hög skuldsättning är en potentiell störningskälla i din leveranskedja. Viktiga kontrollpunkter är:
- Kreditupplysning och betalningsanmärkningar
- Senaste tre årens bokslut
- Ägarstruktur och eventuell koncerntillhörighet
- Pågående rättsprocesser eller tvister
Kvalitetssystem och certifieringar
Kontrollera vilka kvalitetsstandarder leverantören arbetar efter. ISO 9001 för kvalitet, ISO 14001 för miljö och ISO 45001 för arbetsmiljö är vanliga referenspunkter. En leverantör med certifieringar har en tydligare intern struktur och minskar risken för oväntade avvikelser.
Granska även:
- Dokumenterade rutiner för avvikelsehantering
- Historik av reklamationer och hur de hanterades
- Rutiner för spårbarhet i produktions eller leveranskedjan
Compliance med svenska och internationella krav
Det räcker inte att leverantören uppfyller era interna krav. Ni behöver också säkerställa att leverantören lever upp till relevant lagstiftning. Det kan handla om dataskyddslagstiftning, arbetsrätt, miljölagstiftning eller branschspecifika krav.
Bristande GDPR-efterlevnad och leverantörsbedömningar har lett till sanktioner på hundratusentals euro. GDPR-böter och bristande efterlevnad visar att konsekvenserna av att missa ett personuppgiftsbiträdesavtal kan bli mycket kännbara.
En viktig del av compliance-kontrollen är att granska hur leverantören hanterar due diligence och avtal. Har de dokumenterade rutiner för tillbörlig aktsamhet? Finns det avtal som reglerar ansvar vid avvikelser?
Proffstips: Begär alltid in leverantörens egna policy-dokument. Titta inte bara på om de finns. Kontrollera om de är daterade, underskrivna och faktiskt implementerade i verksamheten. En policy som skapades för fem år sedan och aldrig reviderats ger ett svagare skydd än ingen policy alls.
Steg 3: Praktisk revision och självutvärdering
När grunden är lagd med klassificering och bedömning, är det dags att genomföra själva granskningen. Revisionen är steget där ni faktiskt verifierar att det leverantören påstår stämmer med verkligheten.
Använd blandade metoder som frågeformulär, revisioner, KPI-uppföljning och systemstöd för datadriven bedömning, kombinerat med leverantörsdialog för nyanser.
Tre metoder för praktisk granskning
- Frågeformulär (självutvärdering) passar bra för leverantörer med medelhög risknivå. Du skickar ett standardiserat formulär och analyserar svaren. Det är tidseffektivt men kräver att ni vet vilka frågor som faktiskt avslöjar riskerna.
- Revision på plats är det starkaste instrumentet för högrisksleverantörer. Ni besöker anläggningen, granskar dokumentation och intervjuar nyckelpersoner. En platsrevision avslöjar saker som aldrig syns i ett formulärsvar.
- Systemstödd kartläggning innebär att ni kopplar leverantörens data direkt till era egna system för att få löpande signaler om avvikelser.
Exempel på frågor i en leverantörsrevision
Vilka frågor ger faktiskt information om risk? Fokusera på beteende och system, inte bara påståenden.
Konkreta frågor att ställa vid revision:
- Hur ser er process ut för att rapportera säkerhetsincidenter eller produktionsavvikelser?
- Vilka certifieringar har ni och när skedde senaste omcertifieringen?
- Hur utbildar ni personal i etik och antikorruption?
- Vilka underleverantörer använder ni och hur bedömer ni dem?
- Hur hanterar ni ett scenario där ni inte kan leverera avtalade volymer?
- Har ni upplevt några allvarliga incidenter det senaste året och i så fall hur hanterades de?
Fråga sex är ofta den mest avslöjande. En leverantör som hanterat incidenter professionellt är ofta mer tillförlitlig än en leverantör som påstår att de aldrig haft några problem alls.
Dokumentation av revisionsresultat
En revision som inte dokumenteras är i praktiken värdelös. Ni behöver kunna visa processen och resultaten när ni granskas av tillsynsmyndigheter, interna revisorer eller vid avtalsrättsliga tvister. Dokumentationen bör inkludera:
- Datum och deltagare
- Granskade områden och underlag
- Identifierade brister och avvikelser
- Leverantörens kommentarer och förklaringar
- Beslut om godkännande, villkorligt godkännande eller avvisning
Koppla gärna revisionsresultaten till er konsekvensbedömning av leverantörer för att hålla ihop riskbilden.
Steg 4: Löpande uppföljning, KPI:er och åtgärdsplaner
När leverantören klarat revisionen gäller det att säkra kvaliteten löpande genom systematisk uppföljning. Det är ett misstag att tro att en godkänd leverantör förblir godkänd för alltid utan fortsatt kontroll.
Löpande utvärdering baseras på riskklass, KPI:er som leveransprecision, kvalitet och hållbarhetsindex. Metoder inkluderar kontakter, revisioner och ny riskbedömning.
Välj rätt KPI:er för uppföljningen
Nyckeltal ska spegla vad som faktiskt är viktigt för er verksamhet. Generiska KPI:er ger generisk insikt. Välj mätpunkter som direkt signalerar när en leverantör håller på att bli en risk. Vanliga och effektiva KPI:er är:
| KPI | Vad det mäter | Tröskelvärde (exempel) |
|---|---|---|
| Leveransprecision | Andel leveranser i tid | Under 95% utlöser åtgärd |
| Reklamationsfrekvens | Antal reklamationer per 100 order | Över 2% utlöser dialog |
| Hållbarhetsindex | Poäng från självutvärdering | Under 70/100 kräver åtgärdsplan |
| Incidentrapportering | Antal rapporterade avvikelser | Ökning på 30% triggar revision |
| Certifieringsstatus | Aktiva och giltiga certifikat | Utgångna certifikat = omedelbar kontakt |
Utlösande händelser som kräver ny riskbedömning
Det räcker inte att följa upp enligt schema. Vissa händelser kräver omedelbar ny riskanalys oavsett när den senaste gjordes. Dessa inkluderar:
- Ägarbyte eller fusion hos leverantören
- Expansion till nytt land med annan rättslig miljö
- Nya geopolitiska sanktioner som berör leverantörens verksamhetsland
- Incident eller allvarlig avvikelse som rapporterats internt eller i media
- Ny lagstiftning som förändrar compliance-kraven
Tillämpning av tillbörlig aktsamhet kräver processer för identifiering, bedömning, åtgärdsplaner för risker i leveranskedjan och rapportering av allvarliga avvikelser. Det är en skyldighet, inte bara god praxis.
Skapa och följ upp konkreta åtgärdsplaner
När brister identifieras behöver ni en tydlig åtgärdsplan för compliance som dokumenterar vad som ska åtgärdas, vem som ansvarar och när det ska vara klart. En åtgärdsplan utan deadline och ansvarig person är ett tomt löfte.
Åtgärdsplanen bör innehålla:
- Tydlig beskrivning av avvikelsen
- Roten till problemet om möjligt
- Konkreta åtgärder med specificerade deadlines
- Ansvarig person hos leverantören och hos er
- Uppföljningsdatum och verifieringsmetod
Proffstips: Inför ett “80-dagarsregel”: om en åtgärd inte är avslutad inom 80 dagar efter identifierad brist, eskaleras ärendet automatiskt till en mer senior beslutsnivå. Det skapar rörelse utan att ni behöver jaga manuellt.
Leverantörer med upprepade oavslutade åtgärdsplaner bör klassificeras upp i risknivå och kan i slutändan ersättas. Dokumentation av hela förloppet är avgörande om ni behöver visa att ni agerat med tillräcklig aktsamhet.
Ett praktiskt perspektiv på leverantörsbedömningar – när verkligheten utmanar checklistan
Checklistor är nödvändiga, men de har en begränsning som sällan nämns i guider och manualer: de beskriver världen som den borde vara, inte alltid som den faktiskt är.
Den verkliga utmaningen uppstår när en välgodkänd leverantör genomgår ett ägarbyte och ny ledning väljer bort de policyer som ni granskade vid onboardingen. Eller när ett nytt handelsavtal förändrar förutsättningarna för en leverantör i ett visst land. En checklista fångar inte dessa förändringar om den bara används vid uppstart.
Lärdomen är att kombinera den strukturerade processen med aktiv leverantörsdialog. Regelbundna samtal, inte bara formella revisioner, ger dig signaler om kommande problem innan de syns i KPI:erna. Det handlar om att förstå risker i hela leverantörskedjan och inte enbart förlita sig på att en godkänd leverantör alltid förblir godkänd.
Flexibilitet och kontinuitet är lika viktiga som struktur. Processen sätter ramarna. Relationen och dialogen fyller dem med faktisk insikt.
Så tar ni nästa steg – från checklista till aktiv compliance
Checklistan ger er strukturen. Men att hantera leverantörsbedömningar manuellt i kalkylblad och e-posttrådar är riskfyllt och tidskrävande. Trustview erbjuder en digital plattform där ni samlar hela processen, från riskklassificering och frågeformulär till åtgärdsplaner och löpande KPI-uppföljning.
Med Trustview kan du koppla din åtgärdsplan för compliance direkt till leverantörsbedömningarna och automatisera påminnelser vid deadlines eller utgångna certifieringar. Plattformen ger dig full spårbarhet och gör det enkelt att visa tillsynsmyndigheter att ni arbetar systematiskt. Vill du veta mer om hur ni bygger en hållbar compliance-process? Besök varför välja Trustview eller utforska hela erbjudandet för digital efterlevnad och IT-säkerhet.
Vanliga frågor om leverantörsbedömningar
Vad är syftet med leverantörsbedömning?
Syftet är att identifiera risker, säkerställa efterlevnad och förbättra affärssäkerheten. Strukturerad bedömning inkluderar riskanalys, initial bedömning, godkännande och löpande utvärdering.
Vilka frågor bör alltid ställas i en leverantörsrevision?
Frågor om ekonomi, kvalitetssystem, arbetsvillkor, miljö, informationssäkerhet och incidenthantering är centrala. Nyckelelementen inkluderar alltid hållbarhet, leveranssäkerhet och geopolitik.
Hur ofta ska leverantörer följas upp?
Uppföljning bör anpassas efter riskklass men alltid ske vid större förändringar eller incidenter. Löpande utvärdering baseras på KPI:er som leveransprecision, kvalitet och hållbarhetsindex.
Vad innebär tillbörlig aktsamhet (due diligence) i leverantörsbedömning?
Det innebär att identifiera, bedöma och hantera risker samt rapportera allvarliga avvikelser i leverantörskedjan. Tillbörlig aktsamhet kräver dokumenterade processer och konkreta åtgärdsplaner.
Måste leverantörer bedömas vid varje ägarbyte?
Ja, ägarbyte är ett typiskt tillfälle då ny riskanalys och åtgärdsplan krävs. Högrisk vid ägarbyte och geopolitiska förändringar hanteras alltid med en uppdaterad bedömning.
