Leverandøroppfølging: slik får virksomheten kontroll på leverandørkjeden

Leverandøroppfølging: slik får virksomheten kontroll på leverandørkjeden

Leverandøroppfølging handler ikke om å forhandle ned en pris eller velge den billigste tilbyderen. Det handler om å styre og kontrollere leverandørkjeden som en del av virksomhetens internkontroll – og om at styret faktisk vet hva som skjer i leddene under selskapet. Når en leverandør svikter på kvalitet, sikkerhet, arbeidsforhold eller miljø, er det din virksomhet som står igjen med risikoen, regningen og omdømmetapet. Denne siden er skrevet for deg som leder eller styremedlem som vil ha grep om leverandørkjeden – ikke som en innkjøpsmanual, men som styring, kontroll, risiko og ansvar.

Leverandøroppfølging kort fortalt

  • Det er din risiko. Svikt hos en leverandør – kvalitet, sikkerhet, arbeidsforhold, miljø – rammer din virksomhets verdi og omdømme, ikke bare leverandørens.
  • Det er en del av internkontrollen. Systematisk oppfølging av leverandører er styring og kontroll, ikke innkjøp – og en del av virksomhetens internkontroll.
  • Det er styrets ansvar å se det. Tilsyn med vesentlig risiko i verdikjeden er en del av styrets forvaltnings- og tilsynsansvar (aksjeloven §§ 6-12 og 6-13).
  • For større virksomheter er det lovpålagt. Åpenhetsloven krever aktsomhetsvurderinger i leverandørkjeden – og EUs aktsomhetsdirektiv (CSDDD) ventes å utvide dette ytterligere.
  • Kjernen er risikobasert oppfølging: still krav, vurder risiko, følg opp der det betyr mest – ikke lik innsats på alle leverandører.

Kort fortalt for ledere

God leverandørstyring betyr at virksomheten stiller tydelige krav før den velger leverandør, vurderer hvilke leverandører som utgjør størst risiko, og følger dem opp systematisk gjennom hele avtaleforholdet – ikke bare ved kontraktsinngåelse. Det viktigste grepet er å gjøre oppfølgingen risikobasert: en kritisk leverandør med tilgang til persondata eller en kompleks underleverandørkjede krever tettere oppfølging enn en ufarlig engangsleverandør. For større virksomheter er aktsomhetsvurdering av leverandørkjeden et lovkrav etter åpenhetsloven; for alle andre er det god internkontroll og verdibevaring. Styret bør få leverandørrisiko på bordet på linje med andre vesentlige risikoer.

Hva er leverandøroppfølging?

Leverandøroppfølging er den systematiske jobben en virksomhet gjør for å sikre at leverandørene leverer det de skal – i tråd med avtalte krav til kvalitet, pris, tid, sikkerhet, arbeidsforhold og miljø – og for å fange opp og håndtere det når de ikke gjør det. Bredere kalles dette ofte leverandørstyring eller verdikjedekontroll (begrepene brukes her om hverandre): styring og kontroll av leverandørkjeden som en integrert del av virksomhetens internkontroll, ikke som en isolert innkjøpsoppgave.

Det er nyttig å skille to nivåer. Det operative nivået handler om bestillinger, leveranser, fakturakontroll og daglig dialog. Det styrende nivået – som denne siden handler om – handler om å ha oversikt over hvilke leverandører virksomheten er avhengig av, hvilken risiko de representerer, og om kontrollen med dem faktisk virker. Det er på det styrende nivået leverandøroppfølging blir et spørsmål om virksomhetsstyring og styreansvar, ikke bare innkjøp.

Hvorfor er dette viktig? Fordi en stadig større del av virksomhetens verdiskaping – og risiko – ligger utenfor egne vegger. Du kan ha orden i eget hus og likevel bli rammet hardt av en underleverandør som bryter arbeidsmiljøregler, en IT-leverandør som mister kontroll på persondata, eller en råvareleverandør med menneskerettighetsbrudd i kjeden. Slik oppfølging er måten du flytter kontrollen ut i kjeden – så langt ansvaret ditt rekker.

Leverandøroppfølging som del av internkontrollen

Det som skiller vår tilnærming fra en ren innkjøps- eller kvalitetsmanual, er at leverandøroppfølging her forstås som internkontroll anvendt på leverandørkjeden. Selve internkontroll-prinsippet – at virksomheten skal arbeide systematisk for å etterleve kravene som gjelder den – er forankret flere steder: i aksjelovens krav om at styret skal påse en betryggende internkontroll (§ 6-12), og i sektorregler som internkontrollforskriften for det systematiske HMS-arbeidet. Når vesentlige deler av driften er satt ut til leverandører, kan ikke den systematikken stoppe ved egen dørterskel.

Dette er først og fremst virksomhetsstyring og internkontroll, ikke et HMS-spørsmål alene – men den samme systematikken går igjen på tvers av regelverkene.

I praksis betyr det at oppfølgingen skal følge den samme PDCA-logikken som resten av internkontrollen: planlegg (still krav og vurder risiko), gjennomfør (inngå avtaler med riktige vilkår), kontroller (følg opp, revider, mål), og korriger (håndter avvik og forbedre). En leverandør som svikter, skal håndteres i avvikssystemet på linje med interne avvik – ikke glemmes i en e-posttråd. Slik lukkes sirkelen fra krav til kontroll til korrigering.

Denne forankringen i internkontroll er også det som gjør temaet til et styreanliggende. Styret skal påse at virksomheten har en betryggende internkontroll (aksjeloven § 6-12) og føre tilsyn med at den virker (§ 6-13). Når leverandørkjeden er en vesentlig kilde til risiko, må leverandøroppfølging være en del av det styret faktisk fører tilsyn med. Dette er ikke en konsulentøvelse man kjøper inn ved behov – det er en løpende del av internkontrollen, forankret i virksomhetens egne rutiner.

Tredjepartsrisiko: hva kan gå galt i leverandørkjeden?

Tredjepartsrisiko er risikoen virksomheten utsettes for gjennom sine leverandører, samarbeidspartnere og deres underleverandører. Den er ofte usynlig helt til den materialiserer seg – og da er den vanskelig å stoppe. Å forstå hvilke typer tredjepartsrisiko som finnes, er første steg mot å følge opp de riktige leverandørene tettest.

De vanligste formene for tredjepartsrisiko er:

  • Kvalitets- og leveranserisiko: leverandøren leverer dårlig, for sent, eller ikke i det hele tatt – med konsekvenser for din egen leveranse til kunde.
  • Økonomisk risiko og konsentrasjonsrisiko: avhengighet av én kritisk leverandør som kan gå konkurs, øke prisene eller forsvinne. Dette kobler direkte til risikostyring.
  • Sikkerhets- og personvernrisiko: leverandører med tilgang til systemer eller persondata kan bli en inngang for både datainnbrudd og brudd på personvernregler.
  • Etterlevelses- og omdømmerisiko: brudd på arbeidsmiljø, menneskerettigheter, miljøkrav eller korrupsjonslovgivning hos en leverandør smitter over på din virksomhets omdømme og ansvar.
  • Bærekraftsrisiko: klima- og miljøpåvirkning i leverandørkjeden, som i økende grad er regulert og etterspurt av kunder og investorer.

Poenget med å kartlegge tredjepartsrisiko er ikke å eliminere all risiko – det er umulig – men å differensiere. En liten, ukritisk leverandør trenger lite oppfølging. En kritisk leverandør med tilgang til persondata, eller en kompleks kjede i et høyrisikoland, krever tett oppfølging. Risikobasert tilnærming er selve nøkkelen, og det er her mange virksomheter feiler ved å behandle alle leverandører likt. Vi går dypere inn i temaet i artikkelen om tredjepartsrisiko.

Når må du følge opp tett?

Skjerp oppfølgingen når én eller flere av disse gjelder for en leverandør:

  • leverandøren er kritisk for din leveranse eller drift
  • leverandøren har tilgang til persondata eller sensitive systemer
  • leverandøren opererer i et høyrisikoland eller en høyrisikobransje
  • leverandøren har en kompleks underleverandørkjede du ikke har oversikt over
  • du er låst til leverandøren uten reelt alternativ

Rutiner for leverandøroppfølging steg for steg

En god rutine for oppfølging av leverandører følger leverandøren gjennom hele livsløpet – fra før den velges til etter at samarbeidet eventuelt avsluttes. De typiske stegene er:

  1. Still krav før valg. Definer hvilke krav leverandøren må oppfylle – kvalitet, leveringsevne, etikk, sikkerhet, miljø, personvern – før utvelgelse, ikke etterpå.
  2. Vurder risiko. Kategoriser leverandøren etter hvor kritisk og risikofylt den er. Dette styrer hvor tett oppfølgingen skal være.
  3. Formaliser i avtale. Legg kravene inn i kontrakten med konkrete vilkår, rapporteringsplikt og konsekvenser ved brudd. Inkluder databehandleravtale der det er relevant.
  4. Følg opp løpende. Kontroller faktisk etterlevelse gjennom dokumentasjon, revisjoner, vareprøver eller stikkprøver – tilpasset risikonivået.
  5. Håndter avvik. Når en leverandør svikter, registrer det som avvik, krev korrigering, og verifiser at tiltaket virker.
  6. Evaluer og forbedre. Vurder leverandøren jevnlig, lær av mønstre, og juster krav og oppfølging. Ha en plan for å bytte en kritisk leverandør hvis det trengs.

Den vanligste feilen er å legge all energi i steg 1 og 3 – utvelgelse og kontrakt – og glemme steg 4 til 6. En kontrakt som aldri følges opp, er ikke kontroll; den er et papir i en skuff.

Krav til leverandører: hva bør en leverandøravtale inneholde?

Leverandøravtalen er der kravene blir forpliktende. En avtale som bare regulerer pris og leveringstid, gir deg ingen styringsrett når noe annet svikter. For leverandører som representerer reell risiko, bør avtalen som et minimum dekke:

  • Kvalitets- og leveringskrav med målbare kriterier og konsekvenser ved avvik.
  • Etiske krav og adferdsnorm (Code of Conduct) – arbeidsforhold, menneskerettigheter, antikorrupsjon – med rett til oppfølging og revisjon.
  • Krav til underleverandører, slik at kravene følger med nedover i kjeden og ikke stopper hos din direkte leverandør.
  • Databehandleravtale der leverandøren behandler personopplysninger på dine vegne – et selvstendig krav etter personvernreglene (GDPR).
  • Sikkerhetsvilkår der leverandøren får tilgang til lokaler, systemer eller sensitiv informasjon.
  • Rapporterings- og innsynsrett, så du faktisk kan verifisere etterlevelse – ikke bare stole på den.

Et nyttig prinsipp: kravene i avtalen bør stå i forhold til risikoen. En standardavtale holder for ukritiske leverandører, mens kritiske leverandører bør ha skreddersydde vilkår med tydelige kontroll- og exit-mekanismer. Vi går gjennom hva en god avtale bør inneholde, punkt for punkt, i artikkelen om leverandøravtale.

Aktsomhetsvurdering av leverandørkjeden (OECDs 6 steg)

For risikoen knyttet til menneskerettigheter, arbeidsforhold og miljø finnes det en etablert, internasjonal metode: aktsomhetsvurdering (due diligence) etter OECDs retningslinjer. Dette er ikke en frivillig «fin å ha»-øvelse – det er metoden både åpenhetsloven og EUs aktsomhetsdirektiv bygger på. Å beherske den er kjernen i moderne leverandøroppfølging.

Aktsomhetsvurdering i leverandørkjeden – OECDs 6 steg

  1. Forankre ansvarlighet i virksomhetens styring, retningslinjer og rutiner.
  2. Kartlegg og vurder faktisk og potensiell negativ påvirkning i egen virksomhet og i leverandørkjeden.
  3. Stans, forebygg eller reduser den negative påvirkningen, basert på alvorlighet og sannsynlighet.
  4. Overvåk gjennomføringen og resultatene av tiltakene.
  5. Kommuniser hvordan påvirkningen håndteres – internt og utad (redegjørelsen).
  6. Sørg for gjenoppretting der virksomheten har forårsaket eller bidratt til skade.

De seks stegene er en kontinuerlig syklus, ikke en engangsøvelse. Vi forklarer hvert steg i praksis i artikkelen om aktsomhetsvurdering av leverandørkjeden. For å gjøre vurderingen strukturert har vi laget et eget verktøy som hjelper deg å gjennomføre aktsomhetsvurderingen og kontrollere kravene etter åpenhetsloven – med en fagrapport og konkrete oppfølgingspunkter. Det er beslutningsstøtte, ikke en erstatning for virksomhetens eget arbeid.

Rask egensjekk: har dere kontroll på leverandørkjeden?
  • Har dere en samlet oversikt over alle leverandørene deres?
  • Er leverandørene risikovurdert og kategorisert etter hvor kritiske de er?
  • Stiller avtalene konkrete krav til kvalitet, etikk, sikkerhet og personvern?
  • Følges de kritiske leverandørene faktisk opp – ikke bare ved kontraktsinngåelse?
  • Får styret leverandørrisiko på bordet på linje med andre vesentlige risikoer?

Svarte du nei på ett eller flere? Da er leverandørkontrollen sannsynligvis svakere enn antatt. Gjør en strukturert vurdering med verktøyet vårt →

Åpenhetsloven og leverandørkjeden

Åpenhetsloven er det mest konkrete lovkravet norske virksomheter møter på dette området i dag. Loven pålegger «større virksomheter» å gjennomføre aktsomhetsvurderinger knyttet til grunnleggende menneskerettigheter og anstendige arbeidsforhold – i egen virksomhet og i leverandørkjeden – og å redegjøre for dette offentlig.

Hva sier loven?

Åpenhetsloven gjelder «større virksomheter» (jf. § 3). En virksomhet regnes som større dersom den omfattes av regnskapslovens definisjon, eller oppfyller minst to av tre vilkår: over 70 mill. kr i salgsinntekter, over 35 mill. kr i balansesum, eller flere enn 50 årsverk i gjennomsnitt. Omfattede virksomheter skal utføre aktsomhetsvurderinger (§ 4), redegjøre for dem offentlig (§ 5, med frist innen 30. juni hvert år), og svare på informasjonskrav fra allmennheten (§ 6).

Krav i praksis

Først: avklar om virksomheten i det hele tatt er omfattet – mange små og mellomstore virksomheter er det ikke. Er den omfattet, må aktsomhetsvurderingen (OECDs 6 steg) gjennomføres og en signert redegjørelse publiseres på nettsiden innen 30. juni. Er den ikke omfattet, er aktsomhetsvurdering likevel god internkontroll – og kan bli et krav fra større kunder som selv er bundet av loven.

Et viktig poeng: selv om din virksomhet ikke er omfattet direkte, kan kravene nå deg indirekte. En større kunde som er bundet av loven, vil stille de samme kravene til deg som leverandør – og dermed forplanter aktsomhetskravene seg nedover i kjeden uavhengig av din egen størrelse. Vi går grundigere gjennom dette i artikkelen om krav til leverandører etter åpenhetsloven.

Hvor langt strekker ansvaret seg i leverandørkjeden?

Et av de vanskeligste spørsmålene i praksis er hvor langt virksomhetens ansvar rekker. Må du kontrollere underleverandørens underleverandør? Svaret styres av et grunnprinsipp: forholdsmessighet. Du forventes ikke å ha full kontroll på hvert ledd i en global kjede, men å prioritere innsatsen der risikoen for alvorlig skade er størst – og å gjøre det systematisk.

Det er nyttig å skille mellom direkte leverandører (de du har avtale med) og indirekte leverandører (underleverandører lenger ned i kjeden). Ansvaret er tettest for de direkte, men stopper ikke der: der du har innflytelse, og der risikoen er alvorlig, strekker forventningen seg nedover. «Tilstrekkelig kontroll» er ikke å sjekke alt likt, men å kunne vise at du har kartlagt risikoen, prioritert de mest alvorlige forholdene, og iverksatt rimelige tiltak ut fra din størrelse og påvirkningsmulighet.

Hvorfor dette betyr noe, blir tydelig når oppfølgingen svikter:

  • IT-leverandør → datainnbrudd: en underleverandør med svak sikkerhet blir inngangen til et brudd som rammer dine kunders persondata – og ansvaret og bøtene lander hos deg som behandlingsansvarlig.
  • Underleverandør → omdømmetap: brudd på arbeidsforhold eller menneskerettigheter langt nede i kjeden blir din sak i mediene, uavhengig av hvor mange ledd unna det skjedde.
  • Enkeltleverandør-avhengighet → driftsstans: en kritisk leverandør som faller bort uten at du har et alternativ, kan stoppe din egen leveranse over natten.

Fellesnevneren: risikoen materialiserer seg hos deg, selv når årsaken ligger hos noen andre. Det er derfor forholdsmessig, risikobasert oppfølging – ikke full kontroll på alt – er den realistiske og forsvarlige ambisjonen.

Minimumsnivå og beste praksis

En vanlig usikkerhet er «må vi gjøre alt dette?». Det korte svaret er nei – det finnes et minimumsnivå som dekker lovkravene, og et høyere nivå som er beste praksis. Skillet hjelper deg å prioritere:

OmrådeMinimum (etterlevelse)Beste praksis
OversiktListe over leverandørerRisikokategorisert leverandørregister, jevnlig oppdatert
AktsomhetAktsomhetsvurdering der loven krever detLøpende aktsomhetsvurdering av alle kritiske leverandører
AvtaleKrav om etterlevelse i kontraktEtiske krav, revisjonsrett og krav til underleverandører
OppfølgingReaktiv – håndtere avvik når de oppstårPlanlagt oppfølging og revisjon, risikobasert
ForankringRedegjørelse publisert (hvis omfattet)Styrebehandling og rapportering på leverandørrisiko

For en mindre virksomhet uten lovplikt er minimumskolonnen ofte et fornuftig startpunkt, mens kritiske leverandører løftes mot beste praksis. For omfattede virksomheter er minimum et gulv, ikke et mål.

Hvem har ansvar for leverandøroppfølging internt?

Leverandøroppfølging faller ofte mellom to stoler fordi ingen eier den tydelig. En velfungerende organisering fordeler ansvaret på tre nivåer:

  • Operativt nivå (innkjøp/fag): daglig kontakt, leveransekontroll, dokumentasjon og første linje i avvikshåndtering.
  • Ledelsen: eier rutinen, sørger for at risikovurdering og oppfølging faktisk skjer, og rapporterer status oppover.
  • Styret: fører tilsyn med at virksomheten har kontroll på vesentlig leverandørrisiko, og at internkontrollen på området virker (aksjeloven §§ 6-12 og 6-13).

Poenget er ikke hvilken avdeling som «har» leverandøroppfølging, men at ansvaret er tydelig plassert på alle tre nivåer – og at informasjon om vesentlig risiko faktisk når opp til styret. Når ansvaret bare ligger operativt, ser ikke ledelsen og styret risikoen før den har materialisert seg.

Status 2026: CSDDD, evaluering av åpenhetsloven og hva som kommer

Dette er et regelverk i bevegelse, og det er nettopp her mange ressurser på nettet er utdaterte. Per 2026 er bildet slik (verifiser mot offisielle kilder, da dette endres):

  • EUs aktsomhetsdirektiv (CSDDD) ble vedtatt, men gjennomføringen er utsatt gjennom et såkalt «stop-the-clock»-direktiv. De første selskapene omfattes nå rundt 26. juli 2028, og aktsomhetsvurderinger skal etter forenklingene gjøres med lengre intervall enn årlig. CSDDD favner bredere enn åpenhetsloven – den omfatter også miljø og krav om klimaomstillingsplan – men har høyere terskel, så færre norske virksomheter treffes direkte.
  • Åpenhetsloven er under evaluering. Barne- og familiedepartementet ferdigstilte en evaluering sommeren 2025 og vurderer blant annet om terskelverdiene bør justeres, om mindre virksomheter skal omfattes, og om miljø skal inn i lovens virkeområde. Ingen endringer er vedtatt ennå – departementet avventer den endelige CSDDD-teksten.
  • Tilsynet skjerpes. Forbrukertilsynet har etterlyst bedre aktsomhetsvurderinger og mer presise redegjørelser – et signal om at «compliance på papiret» ikke holder.

Den praktiske konsekvensen for virksomheter: bygg leverandørstyringen på OECD-metoden nå. Den er felles fundament for både åpenhetsloven og CSDDD, så et solid system i dag er framtidssikret uansett hvordan regelverket lander.

Leverandøroppfølging og bærekraft (ESG og CSRD)

Leverandørkjeden er der en stor del av virksomhetens samlede miljø- og klimaavtrykk faktisk ligger. Derfor henger leverandøroppfølging tett sammen med ESG og bærekraftsrapportering. For virksomheter som omfattes av bærekraftsrapportering (CSRD), er data fra leverandørkjeden en forutsetning for å kunne rapportere troverdig – og CSDDD trekker miljøaktsomhet inn som et selvstendig krav.

I praksis betyr dette at leverandørstyring og bærekraftsarbeid er to sider av samme sak: den samme kartleggingen av leverandører som brukes til risikostyring og åpenhetslov-redegjørelse, leverer også grunnlaget for bærekraftsrapporteringen. Å bygge dem som ett system, ikke tre parallelle øvelser, sparer både ressurser og gir mer pålitelige data.

Vanlige feil i leverandøroppfølging

Erfaring viser at de samme feilene går igjen. Her er de vanligste – kjenner du igjen flere enn ett eller to, er leverandørkontrollen sannsynligvis svakere enn antatt:

  • Papirbasert «avkryssing» uten reell oppfølging – leverandøren signerer en adferdsnorm som aldri kontrolleres.
  • Ingen risikodifferensiering – alle leverandører behandles likt, så kritiske leverandører får for lite og ufarlige for mye oppmerksomhet.
  • Uklare eller manglende kontraktskrav – avtalen regulerer pris og tid, men ikke etikk, sikkerhet eller miljø.
  • Ingen oppfølging etter valg – all energi går til utvelgelse, ingenting til løpende kontroll.
  • Aktsomhetsvurdering som engangsøvelse – gjort én gang, aldri gjentatt, selv om kjeden endrer seg.
  • Ingen oversikt over underleverandører – kontrollen stopper ved direkte leverandør, mens risikoen ofte ligger lenger ned.
  • Manglende databehandleravtale der leverandøren behandler persondata.
  • Antar at åpenhetsloven ikke gjelder uten å sjekke terskelen – eller motsatt: flagger seg unødig som omfattet.
  • Leverandøravvik havner ikke i avvikssystemet – de håndteres ad hoc og forsvinner.
  • Styret ser aldri leverandørrisiko – den rapporteres aldri opp, så tilsynet med kjeden mangler.
  • Ingen exit-plan for kritiske leverandører – virksomheten er låst til én leverandør uten alternativ.

Dette henger sammen med …

Leverandøroppfølging er ikke et isolert tema – det er navet som binder sammen flere deler av virksomhetsstyringen. Slik henger det sammen:

  • Risikostyring: leverandørkjeden er en av de største kildene til tredjeparts- og konsentrasjonsrisiko. Samme metodikk, anvendt utenfor egen virksomhet.
  • ESG og bærekraft: CSDDD trekker miljø og klima inn i leverandøransvaret. Bærekraftsarbeidet og leverandørstyringen er to sider av samme sak.
  • Personvern og GDPR: enhver leverandør som behandler personopplysninger, krever databehandleravtale. Personvern er en konkret leverandørkrav-dimensjon.
  • Avvikshåndtering: når en leverandør svikter, håndteres det i avvikssystemet – det lukker sirkelen fra kontroll til korrigering.
  • Styret og ledelsen: tilsyn med verdikjeden er en del av styrets forvaltnings- og tilsynsansvar (aksjeloven §§ 6-12 og 6-13).

Avsluttende vurdering

Leverandøroppfølging har gått fra å være en innkjøpsoppgave til å bli en kjernedel av virksomhetsstyring og styreansvar. Drivkreftene er tydelige: en større del av verdiskapingen ligger utenfor egne vegger, og regelverket – åpenhetsloven i dag, CSDDD i årene som kommer – flytter stadig mer ansvar for leverandørkjeden inn på virksomheten og styret.

Den virksomheten som bygger leverandørstyringen på en risikobasert tilnærming og OECDs aktsomhetsmetode, og som forankrer den i internkontrollen og i styrets tilsyn, er rustet uansett hvordan regelverket utvikler seg. Den som nøyer seg med papirkrav uten oppfølging, oppdager svakheten først når en leverandør svikter – og da er det din virksomhet som står igjen med regningen. Start med å kartlegge de mest kritiske leverandørene dine, og bygg kontrollen utover derfra.

Ofte stilte spørsmål om leverandøroppfølging

Hva er leverandøroppfølging?

Leverandøroppfølging er den systematiske jobben med å sikre at leverandørene leverer i tråd med avtalte krav til kvalitet, sikkerhet, arbeidsforhold og miljø – og å fange opp og håndtere avvik når de ikke gjør det. Forstått som del av internkontrollen er det styring og kontroll av leverandørkjeden, ikke en ren innkjøpsoppgave.

Er leverandøroppfølging lovpålagt?

For «større virksomheter» er aktsomhetsvurdering av leverandørkjeden lovpålagt etter åpenhetsloven. For andre virksomheter er det ikke et selvstendig lovkrav, men det følger av virksomhetens generelle internkontroll- og styringsansvar (bl.a. aksjeloven §§ 6-12 og 6-13) – og kreves ofte av større kunder som selv er bundet av loven.

Hvem omfattes av åpenhetsloven?

Åpenhetsloven gjelder «større virksomheter» (§ 3): de som omfattes av regnskapslovens definisjon, eller oppfyller minst to av tre vilkår – over 70 mill. kr i salgsinntekter, over 35 mill. kr i balansesum, eller flere enn 50 årsverk. Mindre virksomheter er som hovedregel ikke omfattet direkte.

Hva er en aktsomhetsvurdering av leverandørkjeden?

En aktsomhetsvurdering er en strukturert metode (OECDs 6 steg) for å kartlegge, vurdere og håndtere negativ påvirkning på menneskerettigheter, arbeidsforhold og miljø i egen virksomhet og i leverandørkjeden. Den er fundamentet både åpenhetsloven og EUs aktsomhetsdirektiv (CSDDD) bygger på.

Hva er tredjepartsrisiko?

Tredjepartsrisiko er risikoen virksomheten utsettes for gjennom sine leverandører, samarbeidspartnere og deres underleverandører – for eksempel kvalitets-, sikkerhets-, personvern-, etterlevelses- og bærekraftsrisiko. Den håndteres ved å differensiere oppfølgingen etter hvor kritisk og risikofylt hver leverandør er.

Hva bør en leverandøravtale inneholde?

For leverandører med reell risiko bør avtalen dekke kvalitets- og leveringskrav, etiske krav (adferdsnorm), krav til underleverandører, databehandleravtale der persondata behandles, sikkerhetsvilkår, og rapporterings- og innsynsrett – med konsekvenser ved brudd. Omfanget bør stå i forhold til risikoen.

Hva er forskjellen på åpenhetsloven og CSDDD?

Begge bygger på OECDs aktsomhetsmetode. Åpenhetsloven gjelder i dag og dekker menneskerettigheter og arbeidsforhold. EUs aktsomhetsdirektiv (CSDDD) favner bredere – også miljø og klimaomstillingsplan – men har høyere terskel, så færre norske virksomheter omfattes direkte. Gjennomføringen av CSDDD er utsatt.

Hvor ofte må aktsomhetsvurderingen gjennomføres?

Aktsomhetsvurdering er en kontinuerlig prosess, ikke en engangsøvelse – den skal oppdateres når leverandørkjeden eller risikobildet endrer seg. Omfattede virksomheter etter åpenhetsloven skal publisere en oppdatert redegjørelse innen 30. juni hvert år.

Er leverandøroppfølging et styreansvar?

Når leverandørkjeden er en vesentlig kilde til risiko, ja. Styret skal påse at virksomheten har betryggende internkontroll (aksjeloven § 6-12) og føre tilsyn med at den virker (§ 6-13). Leverandørrisiko bør derfor rapporteres opp til styret på linje med andre vesentlige risikoer.

Hvordan følger vi opp leverandører vi ikke har ressurser til å kontrollere alle?

Ved å gjøre oppfølgingen risikobasert. Kartlegg hvilke leverandører som er mest kritiske og mest risikofylte, og konsentrer oppfølgingen der. Ufarlige engangsleverandører trenger lite; kritiske leverandører med tilgang til persondata eller komplekse kjeder krever tett oppfølging.

Om forfatterne

Svein Roar Holt – grunnlegger av Internkontroll AS og skaper av IS-modellen™
Svein Roar Holt Grunnlegger – Internkontroll AS & Internkontrollportalen.no

Skaper av IS-modellen™ og AvvikStandard™. Ekspert på strategisk virksomhetsstyring, governance og instruksbasert internkontroll. Har bygget Norges ledende digitale GRC-plattform for SMB og offentlig sektor.

Om Svein Roar → LinkedIn →
Maria Zahlsen – grunnlegger av Internkontroll AS, jurist med arbeidsrett og forretningsjuss
Maria Zahlsen Grunnlegger – Internkontroll AS & Internkontrollportalen.no

Jurist med spesialisering innen arbeidsrett, kontraktsrett og forretningsjuss. Ekspert på operativ etterlevelse, HR-juss og organisatorisk risikostyring – med særlig fokus på menneskelig faktor og praktisk implementering av styringsverktøy.

Om Maria → LinkedIn →
Leder som følger opp leverandørkjeden – leverandøroppfølging og kontroll i praksis
Leverandøroppfølging: virksomheten styrer og kontrollerer leverandørkjeden som del av internkontrollen.

Innhold

  1. Hva er leverandøroppfølging?
  2. Del av internkontrollen
  3. Tredjepartsrisiko
  4. Rutiner steg for steg
  5. Krav til leverandører
  6. Aktsomhetsvurdering (OECD)
  7. Åpenhetsloven
  8. Hvor langt rekker ansvaret?
  9. Minimum og beste praksis
  10. Hvem har ansvar internt?
  11. Status 2026: CSDDD
  12. Bærekraft (ESG/CSRD)
  13. Vanlige feil
  14. Dette henger sammen med
  15. Avsluttende vurdering

Raske svar

Relatert

Har dere kontroll på leverandørkjeden?

Gjennomfør en strukturert aktsomhetsvurdering av leverandørkjeden – og få en fagrapport med konkrete oppfølgingspunkter og status mot åpenhetsloven.

Vurder leverandørkjeden →

Lovhenvisninger

  • Åpenhetsloven § 3 – hvem som omfattes
  • Åpenhetsloven § 4 – plikt til aktsomhetsvurderinger
  • Åpenhetsloven § 5 – redegjørelsesplikt (frist 30. juni)
  • Åpenhetsloven § 6 – rett til informasjon
  • Aksjeloven § 6-12 – styrets forvaltningsansvar (internkontroll)
  • Aksjeloven § 6-13 – styrets tilsynsansvar
  • Internkontrollforskriften § 5 – systematisk HMS-arbeid (sektoreksempel)
  • GDPR art. 28 – databehandleravtale
  • OECDs retningslinjer for flernasjonale selskaper – aktsomhetsmetoden
  • EUs aktsomhetsdirektiv (CSDDD) – kommende, EØS-relevant

Trenger du rådgivning?

Vi hjelper deg med virksomhetsstyring, internkontroll, HMS og GDPR.

Ta kontakt med oss →
Skroll til toppen