En enkelt skrue til fem cent kan stoppe en produktion til fem milliarder. Ét uvarslet cyberangreb hos en mindre underleverandør kan lamme koncernens ERP-systemer. Og én pressemeddelelse om brud på menneskerettigheder i værdikæden kan koste dig både kunder og licence to operate.

I en tid med geopolitisk uro, hastigt voksende regulering (NIS2, DORA, CSRD) og stadig mere komplekse forsyningsnetværk er leverandørrisici blevet et strategisk anliggende for topledelsen. Alligevel viser undersøgelser, at kun få direktioner har et holistisk, databaseret overblik over deres mest kritiske afhængigheder – og endnu færre har en klar plan for, hvad de gør, når leverandørens røde lamper blinker.

Erhvervsfilosofi Online – Klar tænkning. Bedre forretning. zoomer vi i denne artikel ind på, hvordan direktionen kan skifte fra brandslukning til proaktivt risikodesign. Vi giver dig et kompas til at:

  • Sætte retning: Fastlægge risikoappetit og principper for ansvarlig leverandørstyring
  • Kortlægge afhængigheder: Identificere single points of failure og koncentrationsrisici
  • Sikre due diligence: Integrere finansielle, cyber- og ESG-kontroller fra onboarding til exit
  • Opbygge robusthed: Diversificere, udvikle og motivere nøgleleverandører
  • Overvåge i realtid: Bruge KPI/KRI, scenarier og teknologi til tidlige advarsler
  • Stå klar til krisen: Organisere beredskab, kommunikation og kontinuerlig forbedring

Er du klar til at omsætte leverandørrisici fra blind vinkel til konkurrencefordel? Så læs videre – og få det strategiske overblik, som gør din forretning mere modstandsdygtig, ansvarlig og profitabel.

Sæt retning: Risikoappetit og principper for leverandørstyring i direktionen

Direktionens første – og vigtigste – opgave er at sætte en klar ramme, som resten af organisationen kan navigere efter. Når det gælder leverandørrisici, handler det om at definere både appetitten på risici og de principper, der skal styre de daglige beslutninger på tværs af indkøb, drift, IT, jura og finans.

1. Risikotolerance og -appetit

Start med en entydig risk appetite statement, der omsætter koncernstrategien til konkrete tærskelværdier:

Risikotype Lav tolerance Middel tolerance Høj tolerance Eksempel på indikator
Forretningsafbrud 0-12 timer < 48 timer < 5 døgn Recovery Time Objective (RTO)
Finansiel < 1 mio. DKK < 10 mio. DKK < 50 mio. DKK Potentiel EBIT-påvirkning
Cyber/information Ingen kompromittering Mindre datalæk < 1000 records Ikke-personlige data Antal berørte datarecords
ESG/omdømme Intet Ingen lovbrud Kun lav negativ presse Medie- og myndigheds-score

Tabellen giver alle funktioner et fælles sprog og sikrer alignment med bestyrelsens forventninger.

2. Styringsprincipper

  1. Risikobaseret segmentering: Tilsyn og kontrol står i forhold til leverandørens kritikalitet.
  2. Førstelinjeansvar: Forretnings­ejeren ejer risikoen, Compliance & Risk rådgiver og reviderer.
  3. Standardisering: Koncernens policies, datakrav og kontraktmodeller gælder globalt – lokale afvigelser kræver eks-ante godkendelse.
  4. Proportionalitet: Beskyttelsesniveauet skal afspejle værdiskabelsen og den potentielle skade.
  5. Gennemsigtighed: Data, metrikker og beslutninger deles åbent med bestyrelse, revision og relevante myndigheder.

3. Klar rollefordeling

Funktion Nøgleansvar
Indkøb Segmentering, due diligence, kontrakter & kommercielle forhandlinger.
Drift/Operations Overvågning af performance, beredskab, business continuity.
IT/Cyber TPRM-screening, tekniske kontroller, løbende sikkerheds­audits.
Jura & Compliance Kontraktklausuler, regulatorisk overholdelse (NIS2, DORA, CSRD, GDPR).
Finans Kreditanalyse, økonomiske early warnings, kapitalbinding.

4. Fra risiko til værdiskabelse

  • Kritiske leverandører understøtter core value propositions – deres robusthed beskytter toplinjen.
  • En lavere total cost of risk (TCR) forbedrer margin og frigiver kapital til innovation.
  • Proaktiv risikostyring styrker forhandlingspositionen og muliggør joint value engineering med leverandører.

5. Beslutningskriterier, etik og ansvarlighed

  • Beslutningskriterier: Kritikalitet, substituerbarhed, compliance-krav, cost/benefit, ESG-score.
  • Etisk kompas: FN’s Global Compact, OECD’s retningslinjer og dansk lovgivning er minimums­standard.
  • Accountability: Alle væsentlige afvigelser rapporteres til direktionen inden for 24 timer. Dokumenterede beslutnings­notater arkiveres i centralt GRC-system.
  • Incitamenter: KPI’er for risikoreduktion indgår i bonus-modeller for C-level og funktionschefer.

Med en tydelig risikotolerance, fælles principper og skarpe roller kan direktionen sikre, at leverandørstyring ikke blot bliver et compliance-tjek, men et strategisk værktøj til bedre forretning og robust værdiskabelse.

Kortlægning: Kritikalitet, afhængigheder og koncentrationsrisici i værdikæden

Et robust leverandørlandskab starter med en struktureret kortlægning af, hvor forretningen er mest sårbar. Sådan gør direktionen kort proces med de store ukendte:

  1. Fastlæg klare vurderingsdimensioner
    Vurder hver leverandør på fire hovedakser:

    Risikotype Nøglespørgsmål Typiske datakilder
    Forretningskritikalitet Kan vi levere til kunder uden denne leverandør? Proces-BOM, salgsdata, SLA’er
    Finansiel risiko Hvor solid er leverandørens økonomi, og hvor stor er vores spend-andel? Kreditbureauer, årsrapporter, AP-historik
    Cyber & informationssikkerhed Får de adgang til systemer/data? Har de certificeringer? TPRM-questionnaires, Pen-tests, SOC-rapporter
    ESG / compliance Efterlever de NIS2, CSRD, sanktioner og Code of Conduct? Selvangivelser, tredjeparts-screening, presse
  2. Scor og rangér
    • Anvend en 1-5 scorer per akse og vægt efter strategisk betydning.
    • Klassificér derefter hver leverandør i Tier 1 (kritisk), Tier 2 (vigtig) eller Tier 3 (standard).
    • Brug reglen “80/20” – 20 % af leverandørerne rummer typisk 80 % af den samlede risiko.
  3. Identificér single points of failure (SPOF)
    • Match kritiske komponenter/servicemoduler mod antallet af kvalificerede leverandører.
    • Tjek kontrakternes exit-barrierer: lange opsigelsesvarsler, proprietær IP eller unikke værktøjer.
    • Prioritér SPOF-leverandører til øjeblikkelige afbødningsplaner.
  4. Kortlæg geografisk og geopolitisk eksponering
    • Plot leverandør­lokationer i et GIS-værktøj sammen med indikatorer som naturkatastrofer, politisk stabilitet og handelsrestriktioner.
    • Inddrag transport­korridorer (Suez, Panamakanalen) for at forudse chok i forsyningskæden.
    • Sæt geopolitiske “heat-scores” på både produktions- og råvarelande.
  5. Få styr på 4.-parts- og underleverandørkæderne
    • Krav om, at Tier-1 leverandører rapporterer deres væsentlige underleverandører og hosting-partnere.
    • Brug “bill of material for services” (SBOM) til software-relationer.
    • Overvåg ændringer – en uvarslet switch i underleverandør kan løfte risikoen dramatisk.
  6. Byg et solidt datagrundlag
    • Centraliser information i et Supplier Risk Register tilkoblet ERP/SRM.
    • Automatisér opdateringer via:
      Financial feeds
      News & sanctions scraping
      Security ratings (e.g. BitSight, SecurityScorecard)
      ESG-databaser
    • Sørg for datakvalitet: klare dataejere, validerings­regler og kvartalsvis audit.
  7. Visualisér og kommuniker
    • Trafiklys-dashboards til direktionen – lav, moderat, høj.
    • Heatmaps over kritikalitet vs. sandsynlighed for hændelser.
    • Fokuser på de Top 10 røde felter som input til næste bestyrelsesmøde.

Resultatet er en prioriteret, databåret oversigt, der gør det muligt for direktionen at koncentrere tid og kapital dér, hvor leverandørrisikoen kan true virksomhedens fortsatte værdiskabelse.

Due diligence og kontraktuelle værn: Fra onboarding til løbende compliance

Så snart en leverandør er klassificeret som kritisk, bevæger vi os fra den strategiske kortlægning til en dybdegående due diligence og kontraktuel forankring af kravene. Direktionens rolle er at sikre, at proces – fra onboarding til løbende compliance – er risikobaseret, dokumenteret og forankret på tværs af indkøb, IT, jura, finans og sustainability.

1. Risikobaseret due diligence: Fem kernediscipliner

  1. Finansiel sundhed
    • Analyser nøgletal, kontantstrømme og kreditrating.
    • Overvåg betalingsanmærkninger, ændringer i ejerstruktur og tegn på aggressiv skatteplanlægning.
  2. Informationssikkerhed & TPRM
    • Gennemfør spørgeskema (fx SIG), penetrations­tests og on-site audits.
    • Map leverandørens egne underleverandører (4th parties) og certificeringer (ISO 27001, SOC 2).
  3. Databeskyttelse
    • Vurder datakategorier, dataflow og krypteringsniveau.
    • Indgå databehandleraftale (GDPR art. 28) med klare under­behandler-krav og audit-rettigheder.
  4. Sanktioner & geopolitik
    • Screening mod EU/OFAC-lister og PEP-register.
    • Vurder påvirkning af eksportkontrol, handelsbarrierer og eventuelle stats­lige ejerskaber.
  5. Ansvarlige leverandørkæder (ESG)
    • Perform menneskerettigheds- og miljø-due diligence (fx OECD, UNGP).
    • Indhent dokumentation til CSRD/ESRS og Scope 3 CO₂-aftryk.

2. Kontraktuelle værn: Fra sla til exit

Værn Formål Direktionens beslutningsparameter
SLA & KPI/KRI Definer mål for leverings­præcision, oppetid, fejlrate, sikkerhedsincidents m.m. Tolerancer for forretnings­påvirkning og trigger for eskalation
Audit rights Ret til at foretage regelmæssige eller ad hoc-audits og penetrations­tests. Frekvens, varsling og omkostnings­deling
Rapportering & transparens Månedlige/kvartalsvise rapporter om SLA, cybersikkerhed, ESG-metrics. Format, deadline, beviskrav (tredjepartsattester)
Force majeure & MAC Beskyt virksomheden mod uforudsete hændelser og “Material Adverse Change”. Definition af begivenheder, varsel og ret til suspendering
Step-in & exit-klausuler Mulighed for at overtage drift eller opsige hurtigt ved væsentlig misligholdelse. Trigger-events, licenserings­rettigheder, overgangs­services

3. Regulativt landskab – Ikke-forhandlingsbart

  • NIS2 & DORA: Krav om dokumenteret leverandørrisiko­styring, hændelses­rapportering og forudgående anmeldelse af væsentlige forandringer.
  • CSRD/ESRS: Indhent datagrundlag til dobbelt væsentligheds­analyse og Scope 3-rapportering.
  • GDPR: Databehandleraftaler, overførsels­grundlag (SCC/BCR) og DPIA hvor relevant.
  • Andre sektorspecifikke krav: EBA-guidelines, FAA, PSD3, Medical Device Regulation osv.

4. Governance og løbende compliance

Direktionen bør etablere et Vendor Governance Board med følgende mandat:

  • Sanktionere risikoklassifikation og due diligence-planer for nye og eksisterende leverandører.
  • Overvåge KPI/KRI-afvigelser på kvartalsvise dashboards.
  • Godkende afhjælpende planer, CAPA’er og beslutninger om step-in eller exit.

Ved at kombinere stringent due diligence, hårde kontraktuelle værn og et levende governance-setup skaber direktionen et kontinuerligt forsvar mod leverandørrisici – fra første kontakt til endelig offboarding.

Robusthed i praksis: Diversificering, dual-sourcing og leverandørudvikling

Robusthed handler om at flytte sig fra lineære til netværksbaserede forsyningsstrukturer. Direktionen skal derfor skabe et bevidst mix af leverandørtyper, geografi og kontraktformer, der kan modstå både pludselige chok og langsomme markedsændringer.

  1. Multi- og dual-sourcing
    • Etabler mindst én uafhængig alternativ leverandør på alle forretningskritiske komponenter eller services.
    • Sørg for, at leverandørerne ikke er indbyrdes afhængige af den samme underleverandør (hidden fourth-party risk).
    • Definér en “trigger-matrix” for, hvornår volumen flyttes mellem A- og B-leverandør (fx finansiel ustabilitet, leveringspræcision < 95 %, alvorlige ESG-afvigelser).
  2. Alternative materialer og design for resiliens
    • Samarbejd med R&D om design-for-substitution; en reservedel i plast vs. aluminium kan fjerne 18 uger i lead-time ved geopolitisk chok.
    • Lav en materiale-BOM (bill of materials) med substituterbarhedsindeks på råvarer.
  3. Bufferlagre og strategiske sikkerhedsbeholdninger
    • Brug scenariebaserede service-level-lagre: 99 % for A-varer, 95 % for B-varer, 90 % for C-varer.
    • Indregn lagerforsikring, forældelse og kapitalbinding i en total cost of risk-beregning.
  4. Standardisering og modulær arkitektur
    • Reducer antallet af unikke komponenter; 10 % færre varenumre kan skære 25 % af risikoeksponeringen.
    • Indfør fælles grænseflader i IT-arkitekturen (API, dataformat), så leverandører kan udskiftes uden kodeændringer.
  5. Near-/reshoring & geopolitisk spredning
    • Kortlæg landeudsathed via en geopolitisk heat-map (handelssanktioner, energi-priser, stabilitet).
    • Beregn WACR pr. region – og modstil til total cost of ownership (TCO).
  6. Kapacitetsaftaler og “supplier reserved capacity”
    • Betal for stand-by-kapacitet ved højsæson eller under force majeure.
    • Indbyg optioner på hurtig skalering i kontrakten (volume flex ±30 %).

Leverandørudvikling og fælles risikostyring

At sprede risiko er dyrt, men udvikling kan skabe robusthed uden dobbelt omkostning. Direktionen bør:

  • Etablere joint risk assessments hvert kvartal: del stress-testresultater, cyber-trusselsbillede og ESG-scorecards.
  • Udrulle supplier capability programmes: lean, kvalitetssystemer, ISO-certificering, cybersikkerhedskrav (NIS2, DORA).
  • Designe incitamenter – bonus/malus på KRI’er og fælles besparelsesdeling (gain-sharing).

Økonomisk perspektiv: Total cost of risk vs. Tco

Beslutning Direkte TCO Indirekte kost (risiko) Nettoeffekt
Single-sourcing Lavest pris (-5 %) Høj risiko (potentielt +15 % ved afbrud) Nettotab ved hændelse
Dual-sourcing +3 % indkøbspris -10 % risikoeksponering Nettogevinst på ‑7 %
Nearshoring + bufferlager +6 % indkøbspris + 1 % lager -12 % risikoeksponering Nettogevinst på ‑5 %

Spørgsmål direktionen bør stille i næste bestyrelsesmøde

  • Hvilke Top-10 materialer eller services har ingen kvalificeret Plan B?
  • Hvornår sidst blev vores substituerbarhedsindeks opdateret?
  • Hvilke kontrakter indeholder step-in-rettigheder og reserved capacity?
  • Hvordan følger vi op på total cost of risk i kvartalsrapporteringen?

Ved at balancere strukturelle tiltag (diversificering) med relationelle tiltag (leverandørudvikling) kan direktionen reducere samlede risici uden at tabe konkurrencedygtighed – og dermed sikre, at forretningen er robust i praksis og ikke kun på papiret.

Overvågning og beslutningsstøtte: KPI/KRI, scenarier, stresstest og teknologi

Effektiv styring af leverandørrisici stopper ikke ved kontrakt-signaturen. Direktionen skal have et living picture af, hvordan risikolandskabet udvikler sig – time for time, kvartal for kvartal. Det kræver tre ting: gode data, klare tærskler og en disciplineret beslutningsproces.

Kpi/kri-ramme: Fra statiske nøgletal til dynamiske signaler

Risikodimension Eksempel på KRI Varselstærskel Direktionel handling
Finansiel Altman Z-score < 1,8 48 timer Aktivér kontant-pakke, forbered alternative leverandører
Operationel On-time-in-full < 95 % 14 dage Eskaler til S&OP-møde; øg bufferlager
Cyber/IT NIST-gap > 10 % 24 timer Step-in på patch-plan; informer CISO & DPO
ESG/Compliance CO2/unit > 20 % over mål 30 dage Kick-off leverandørudvikling; justér kapacitetsallokering

Indikatorerne kobles til rolling baselines, så systemet selv flager afvigelser gennem early warnings – fx ved:

  • Pludselige kreditnedgraderinger eller betalingsanmærkninger
  • Negative medie- og SoMe-mentions tolket via NLP
  • Ændringer i leveringsevne (lead time-spikes, fill rate-drop)
  • ESG controversies fra NGO-databaser eller sanktionlister

Direktionelle dashboards: Et fælles sprog for beslutninger

Visualisering er central. En veludnyttet executive cockpit kombinerer:

  1. Heatmaps på tværs af risikokategorier og geografier
  2. Tidsserier, der viser trend vs. tærskel
  3. Drill-down til kontrakter, fabrikker og 4.-parts-afhængigheder
  4. Integreret beslutningslog, så rationaler og ansvar er dokumenteret

Scenarier og stresstest: ”what if?” før det sker

Direktionen bør mindst årligt – og ved større signal-skift – køre strukturerede stresstest:

  • Leverandørsvigt: Top 10 kritiske leverandører sættes ud af drift i 30 dage.
  • Cyberangreb: Data-exfiltration i fælles ERP-miljø med delte credentials.
  • Geopolitik: Told på 25 % og eksportkontrol på kernekomponenter.

Outputtet fedtes ikke ned i et pdf-arkiv, men omsættes til beslutningsklare optioner: dual-sourcing-planer, ekstra likviditetsreserver eller alternative shipping-ruter.

Teknologisk ryggrad: Scrm, tprm og datastyring

Ét værktøj kan sjældent det hele, men en integreret stack skaber konsistens:

  • SCRM-platform (Supply Chain Risk Management) til realtids-monitorering og geospatiale risikomaps.
  • TPRM-løsning (Third-Party Risk Management) der håndterer enquêtes, attestations og compliance-workflows.
  • SRM-modul (Supplier Relationship Management) til performance-data og kontrakt-livscyklus.
  • Data Lake/MDM som ”single source of truth”, hvor leverandør-ID, kontrakter, hændelser og ESG-data matcher hinanden.
  • API-integrerede nyheds- og kreditfeeds – ikke manuelle excel-uploads.

Gearing organisationen: Fra indsigt til handling

Selv de bedste indikatorer er værdiløse uden en muskel, der handler. Sæt klare ansvars-SLA’er for, hvem der:

  1. Modtager alarmen (Supplier Risk Office)
  2. Foretager foreløbig analyse (Risk Analyst)
  3. Beslutter mod-træk (COO/CFO/CISO efter risikotype)
  4. Kommunikerer til kunder, myndigheder og bestyrelse (CMO/CEO)

På den måde bliver overvågning og beslutningsstøtte en nervetråd gennem organisationen – ikke blot endnu et dashboard på storskærmen.

Beredskab og læring: Krisehåndtering, kommunikation og kontinuerlig forbedring

Robust leverandørstyring afsluttes ikke med en kontrakt; den testes for alvor, når noget går galt. Direktionens opgave er at sikre, at beredskabet er designet, testet og ejet – ikke bare beskrevet.

  1. Scenarier: Definér de 5-7 mest sandsynlige/højimpact-scenarier (fx pludselig leverandørkonkurs, cyberangreb hos cloud-partner, brud på ESG-krav).
  2. Trigger-point: Beskriv klare tærskler for hvornår playbook’en aktiveres (KRI-overskridelse, force majeure-meddelelse, regulatorisk påbud).
  3. Response matrix: Angiv hvem gør hvad inden for de første 30 min., 2 timer, 24 timer.
  4. Beslutningsrettigheder: Eskalations-stige fra incident manager → kriseledelse → direktion → bestyrelse.
  5. Checklister & skabeloner: Udkast til pressemeddelelse, kundebrev, myndighedsrapport, social media-statement.

Kriseteam og ansvar

Rolle Primært ansvar Stedfortræder
Incident Manager (Head of BCM) Koordinerer indsats, leder war-room Senior Risk Officer
CFO Likviditet, betalingsstandsning, forsikringskrav Finance Director
CIO/CISO Genskabe it-drift, forsvare data IT-Operations Lead
CPO/Indkøbschef Alternativ sourcing, kontraktaktivering (step-in) Category Manager
Head of Comms Intern/ekstern kommunikation, presse PR-Specialist
General Counsel Juridiske vurderinger, myndighedsindberetning Legal Counsel

2. Kommunikation: Fra panik til klar retorik

Usikkerhed er gift for tillid; gennemsigtighed er modgift.

  • Kunder: Push-opdateringer på impact, forventet løsningstid og kompensation. Brug dedikeret hotline og FAQ-side.
  • Myndigheder: Forbered formater til NIS2- og DORA-indberetning; hav datadumps klar (logfiler mv.).
  • Bestyrelse & investorer: One-pager hver 12. time med status, risikovurdering og finansiel eksponering.
  • Medarbejdere: Slack/Teams-opdateringer med fælles narrativ; undgå informations-vacuum der skaber rygter.

3. Business continuity & recovery

  1. Prioritér kritiske processer: Bruger I BIA (Business Impact Analysis) som prisme, kan I genoprette mest værdiskabende funktioner først.
  2. Gensidig hjælp: Aktiver gensidige hjælp-aftaler med andre leverandører (mutual aid agreements).
  3. Step-in eller transition: Hvis kontrakten giver ret, overtages drift midlertidigt (step-in) eller permanent (exit).
  4. Test & øvelser: Minimum årlig bordøvelse + 24-timers simulate-and-restore-test for top 3 leverandører.

4. Post-mortem: Organiseret læring i stedet for skyldplacering

En effektiv post-mortem følger blame-free-princippet og skal være afsluttet max 30 dage efter hændelsen.

  • Root-cause: 5-Why eller Fishbone-analyse kombineret med leverandørens egen RCA.
  • Lessons learnt: Kategoriser i process, people, technology.
  • Action owner & deadline: Ingen learning uden named ansvarlig og dato.
  • Deling: Upload til central knowledge-bank; præsenter kort for hele organisationen (brown-bag session).

5. Køreplan for kontinuerlig forbedring

Direktionen bør godkende en 12-18 måneders leverandørrisikokøreplan med:

  1. Milepæle: fx “Alle top 20 leverandører stresstestet” (Q2), “NIS2-compliant incident response-flow” (Q3).
  2. Governance: Kvartalsvis status til risk-committee; årlig revision af playbooks.
  3. Metrics: KRI: gennemsnitlig MTTR (Mean Time To Restore) pr. leverandørhændelse. KPI: % playbooks testet sidste 12 mdr.

Bottom line: Jo bedre forberedt direktionen er på at reagere og lære, jo hurtigere vender organisationen tilbage til normal drift – og styrker samtidig sin konkurrencedygtighed gennem tillid og transparens.

By På ledelsesgangen