Vad är leverantörshantering? Varför är det viktigt?

Publicerad av Lucas Rosvall

den 13 februari 2025

När leverantörer får tillgång till system, kunddata och kritiska processer blir de en förlängning av den egna verksamheten. En fungerande leverantörshantering är därför avgörande för både säkerhet och verksamhetens resultat.

I denna artikel går vi igenom de centrala delarna av leverantörshantering, med särskilt fokus på regelefterlevnad och riskhantering. Vi tittar även närmare på hur man kan bygga processer för leverantörsstyrningen.

Komplexiteten i dagens leverantörshantering

Nuförtiden är leverantörer en del i allas företags tekniska infrastruktur. De utvecklar produkter, hanterar kunddata och driver kritiska processer. Detta öppnar för nya möjligheter men skapar också risker som kräver en aktiv leverantörshantering.

Vissa av dessa riskerna är mer konkreta, såsom de kopplade till säkerhet. När en leverantör får direkt tillgång till ett system öppnar det upp ett nytt attackhål. Ett säkerhetsproblem hos leverantören därmed också påverka din verksamhet.

Idag finns det också mängder med regler och krav som ökar komplexiteten. GDPR styr hur personuppgifter får hanteras - även när leverantörer är inblandade. NIS2 ställer nya säkerhetskrav för kritisk infrastruktur. Din leverantörs regelefterlevnad påverkar därför direkt din egen.

Detta ställer i sin tur nya krav på leverantörsstyrning. Du behöver utveckla metoder för att bedöma leverantörens finansiella stabilitet, säkerhetsnivå och regelefterlevnad. Du måste också ha tydliga processer för att hantera incidenter när de uppstår.

Kritiska fokusområden för leverantörsstyrning

Leverantörsstyrning handlar om att systematiskt identifiera och hantera risker innan de utvecklas till kostsamma problem. Här går vi igenom de tre av de viktigaste områdena:

Risk- och sårbarhetsanalys

Risk- och sårbarhetsanalysen utgör vanligtvis grunden för din leverantörsstyrning. Tyvärr görs dessa analyser ofta för ytligt, vilket leder till att kritiska risker missas. En effektiv analys kräver att du granskar både uppenbara och dolda risker som kan påverka din verksamhet.

Din analys bör täcka områden som:

• Ekonomisk stabilitet: Granska både dagens nyckeltal och trender. En leverantör med sjunkande marginaler eller ökande skulder kan snabbt bli ett problem. Titta särskilt på betalningshistorik mot underleverantörer.
• IT-säkerhet och dataskydd: Be om konkreta bevis på säkerhetsarbetet. Certifieringar är bra men viktigare är dokumenterade rutiner för incidenthantering, penetrationstester och säkerhetsuppdateringar.
• Geografiska risker: Var finns leverantörens personal och datacenter? Olika länder innebär olika risker för dataintrång och regelbrott. En leverantör med verksamhet i högriskländer kräver extra kontroller.
• Beroendeställning: Hur lätt kan du byta leverantör om något går fel? Leta särskilt efter dolda beroenden som specialanpassade system eller unik kompetens som gör byte svårt.
• Koncentrationsrisk: Använder flera av dina leverantörer samma underleverantörer? Ett problem hos en central aktör kan då skapa dominoeffekter genom hela leverantörskedjan.

Regelverkens krav

Förutom dessa risker finns det flera regelverk som påverkar din leverantörsstyrning. GDPR är fortfarande en av de viktigaste. Du måste ha kontroll på hur leverantörerna hanterar personuppgifter. Men det finns också andra regelverk som NIS 2, vilket ställer cybersäkerhetskrav för samhällsviktiga verksamheter.

För vissa specifika branscher, såsom finanssektorn, är läget extra komplext. Där finns exempelvis DORA som ställer krav på IT-säkerhet och driftkontinuitet hos dina leverantörer. Du måste bland annat kunna visa att de klarar stresstester och har rätt krishantering. Sen finns även penningtvättslagen som ställer krav på leverantörsgranskning, särskilt för högriskländer.

Även hållbarhet påverkar nu din leverantörsstyrning. CSRD kräver att du kan visa hur dina leverantörer arbetar med hållbarhet och hur du hanterar risker i leverantörskedjan.

Avtalshantering som skyddar verksamheten

Dina avtal är ditt viktigaste skydd i leverantörsrelationer. Samtidigt är det viktigt att du har kontroll på avtalen genom hela deras livscykel, från första utkast till att ni går skilda vägar. Många missar att avtalshantering är en löpande process där man behöver ha koll på versioner, giltighetstider och när det är dags för omförhandling.

Moderna SLA:er behöver täcka fyra områden. Först och främst behöver du tydliga skrivningar om säkerhet och incidenthantering. Ställ exempelvis krav på hur snabbt leverantören ska rapportera incidenter. Specificera vilka kontaktvägar som gäller och kräv regelbunden säkerhetsrapportering.

Sen kommer vi till exit och överlämning, vilket ofta är underskattat. Du behöver kunna byta leverantör även om relationen skulle försämras. Därför måste det exempelvis framgå hur en överlämning ska gå till och vilken hjälp leverantören måste ge.

Dessutom måste avtalet ge dig rätt att genomföra både planerade och akuta revisioner på leverantörer. Och om leverantören använder viktiga underleverantörer behöver du också kunna granska dem - ett säkerhetsproblem hos en underleverantör kan snabbt bli ditt problem.

När det gäller ansvar och påföljder handlar det om att hitta rätt nivå. Vitena ska vara kännbara men också rimliga. Var också tydlig med vem som bär ansvaret vid olika typer av incidenter.

Till sist kommer vi till den dagliga avtalshanteringen. Du behöver ha ett system där du enkelt hittar aktuella avtal och viktiga datum. Ha också rutiner för att regelbundet utvärdera om avtalen fortfarande ger det skydd din verksamhet behöver.

Strategisk leverantörsutveckling

Som du kanske redan har förstått så är leverantörshantering viktigt för att skydda din verksamhet från risker. Men faktum är att det inte bara behöver handla om att minimera risker och problem, utan det kan också att skapa affärsvärden genom starka leverantörsrelationer.

Många fastnar nämligen i en reaktiv leverantörshantering där fokuset ligger mycket på avtal och kontroller. Men om du verkligen vill dra nytta av dina leverantörer ska du istället försöka arbeta mer proaktivt med dem.

För att lyckas med detta behöver du vanligtvis:

1. Segmentera dina leverantörer baserat på risk och strategisk betydelse.
2. Etablera processer för utvecklingssamtal och avvikelsehantering.
3. Digitalisera din leverantörsdokumentation för överblick.
4. Implementera KPI:er som mäter både prestanda och utveckling.
5. Sätta upp rutiner för löpande uppföljning och förbättring.
6. Skapa ett forum för strategisk dialog med nyckelleverantörer.

Det som du framförallt vill åstadkomma med den strategiska leverantörsutvecklingen är att gå från leverantörer till partners. Istället för att bara fokusera på pris och leverans vill du bygga relationer där leverantören bidrar med sin kunskap för att också förbättra din verksamhet.

Ett exempel kan vara en IT-leverantör som går från att vara rena driftleverantörer till att fungera som rådgivare i ditt nästa digitaliseringsprojekt.

Men kom ihåg att detta bara fungerar med vissa leverantörer. För många räcker det med att genomföra grundläggande kontroller. Det viktiga är att du identifierar vilka leverantörer som kan bidra till din utveckling och lägger ner tid för att utveckla de relationerna.