Aktsomhetsvurdering av leverandørkjeden: OECDs 6 steg i praksis

Av /

Aktsomhetsvurdering av leverandørkjeden: OECDs 6 steg i praksis

En aktsomhetsvurdering (due diligence) er den strukturerte metoden virksomheter bruker for å finne, vurdere og håndtere risiko for skade på mennesker, samfunn og miljø i egen drift og i leverandørkjeden. Den er ikke en frivillig øvelse: det er metoden både åpenhetsloven og EUs aktsomhetsdirektiv (CSDDD) bygger på, og den følger seks steg fra OECD. Denne artikkelen går gjennom hvert steg konkret – slik at du kan gjennomføre en aktsomhetsvurdering av leverandørkjeden i praksis, ikke bare forstå den i teorien.

Aktsomhetsvurdering kort fortalt

  • Det er en metode, ikke et dokument. En aktsomhetsvurdering er en løpende prosess for å håndtere risiko for skade i leverandørkjeden.
  • Den følger OECDs 6 steg. Fra forankring til gjenoppretting – en kontinuerlig syklus.
  • Den er risikobasert. Innsatsen rettes mot der risikoen for alvorlig skade er størst, ikke likt på alle leverandører.
  • Den er lovpålagt for større virksomheter etter åpenhetsloven – og fundamentet for kommende CSDDD.
  • Den dekker mennesker og miljø: menneskerettigheter og anstendige arbeidsforhold (åpenhetsloven), og i tillegg miljø under CSDDD.

Kort fortalt

En aktsomhetsvurdering av leverandørkjeden handler om å kartlegge hvor virksomheten din kan være knyttet til skade på mennesker eller miljø gjennom leverandørene, prioritere de alvorligste risikoene, og gjøre noe med dem – for så å følge opp og kommunisere hva du har gjort. Metoden er hentet fra OECD og består av seks steg som gjentas. Den er kjernen i åpenhetsloven og i moderne leverandøroppfølging, og den samme jobben gir grunnlag for både risikostyring og bærekraftsrapportering.

Hva er en aktsomhetsvurdering?

En aktsomhetsvurdering er en systematisk måte å håndtere risikoen for at virksomheten forårsaker, bidrar til eller er knyttet til negativ påvirkning på mennesker, samfunn og miljø – særlig gjennom leverandørkjeden. Det engelske begrepet er due diligence. Forskjellen fra en vanlig risikovurdering er perspektivet: en aktsomhetsvurdering ser på risikoen for andre (arbeidere, lokalsamfunn, miljø), ikke bare risikoen for virksomheten selv.

Metoden er utviklet av OECD og er internasjonalt anerkjent. Det er grunnen til at den går igjen i lovverk: den norske åpenhetsloven krever aktsomhetsvurderinger, og EUs kommende aktsomhetsdirektiv (CSDDD) bygger på samme metode. Behersker du OECDs seks steg, har du fundamentet på plass uansett hvilket regelverk som treffer virksomheten.

Kort sagt: En risikovurdering beskytter virksomheten. En aktsomhetsvurdering beskytter andre mot virksomheten.

Hvorfor leverandørkjeden er i sentrum

For de fleste virksomheter ligger den alvorligste risikoen for skade ikke i egen drift, men nedover i leverandørkjeden – i råvareutvinning, produksjon eller tjenester levert av andre. Det er der menneskerettighetsbrudd, dårlige arbeidsforhold og miljøskade oftest oppstår. Derfor er leverandørkjeden kjernen i en aktsomhetsvurdering.

Samtidig er det her oversikten er svakest. Du kjenner kanskje dine direkte leverandører godt, men hva med deres underleverandører? En god aktsomhetsvurdering tvinger fram nettopp denne kartleggingen, og er en sentral del av leverandøroppfølgingen som helhet.

OECDs 6 steg for aktsomhetsvurdering

Aktsomhetsvurderingen er en kontinuerlig syklus, ikke en lineær engangsoppgave. De seks stegene er:

De seks stegene

  1. Forankre ansvarlighet i virksomhetens styring, retningslinjer og rutiner.
  2. Kartlegg og vurder faktisk og potensiell negativ påvirkning i egen virksomhet og i leverandørkjeden.
  3. Stans, forebygg eller reduser påvirkningen, prioritert etter alvorlighet og sannsynlighet.
  4. Overvåk gjennomføringen og resultatene av tiltakene.
  5. Kommuniser hvordan påvirkningen håndteres – internt og utad.
  6. Sørg for gjenoppretting der virksomheten har forårsaket eller bidratt til skade.

Steg 1: Forankre ansvarlighet i virksomheten

Aktsomhetsarbeid som ikke er forankret i ledelsen og i virksomhetens rutiner, blir tilfeldig og kortlivet. Første steg er derfor å vedta retningslinjer for ansvarlig næringsliv, plassere ansvaret tydelig, og bygge forventningene inn i hvordan virksomheten faktisk jobber – inkludert i krav til leverandører. For virksomheter med styre hører den overordnede forankringen hjemme på styrenivå, som en del av tilsynet med internkontrollen.

Steg 2: Kartlegg og vurder risikoen

Dette er det mest arbeidskrevende steget, og det som ofte avgjør kvaliteten på hele vurderingen. Du skal skaffe oversikt over leverandørkjeden og identifisere hvor risikoen for skade er størst. I praksis betyr det å kartlegge leverandører, vurdere risiko ut fra bransje, geografi og type vare eller tjeneste, og prioritere de mest alvorlige forholdene først.

Prinsippet er forholdsmessighet: du forventes ikke å kartlegge hvert ledd like grundig, men å prioritere der risikoen for alvorlig skade er størst. En leverandør i en høyrisikobransje eller et høyrisikoland fortjener mer oppmerksomhet enn en lavrisiko-leverandør i nabolaget.

Steg 3: Stans, forebygg eller reduser

Når risikoen er kartlagt, må du gjøre noe med den. Tiltakene avhenger av om virksomheten har forårsaket skaden selv, bidratt til den, eller bare er knyttet til den gjennom en leverandør. Typiske tiltak er å stille krav i avtaler, følge opp leverandører, kreve forbedringsplaner, og i ytterste konsekvens avslutte et leverandørforhold. Å bruke innflytelsen sin – heller enn å trekke seg ut ved første tegn til problem – er ofte mer ansvarlig, fordi det faktisk kan bedre forholdene.

Steg 4: Overvåk gjennomføring og resultater

Tiltak uten oppfølging er ønsketenkning. Fjerde steg handler om å kontrollere at tiltakene faktisk gjennomføres og virker – gjennom rapportering, revisjoner, stikkprøver eller dialog. Dette knytter aktsomhetsvurderingen tett til den løpende leverandøroppfølgingen: det er her de to prosessene møtes i praksis.

Steg 5: Kommuniser hvordan det håndteres

Du skal kunne vise fram hvordan virksomheten arbeider med aktsomhet. For virksomheter omfattet av åpenhetsloven er dette konkret: en redegjørelse skal publiseres offentlig, og virksomheten skal svare på informasjonskrav fra allmennheten. Men også for andre er åpenhet om arbeidet et tillitsskapende tiltak overfor kunder, ansatte og samarbeidspartnere.

Steg 6: Sørg for gjenoppretting

Der virksomheten har forårsaket eller bidratt til skade, skal den bidra til gjenoppretting – for eksempel kompensasjon, retting eller en unnskyldning, avhengig av forholdet. Dette steget glemmes ofte, men er en sentral del av et reelt aktsomhetsarbeid: det handler om å rette opp, ikke bare å oppdage.

Aktsomhetsvurdering, åpenhetsloven og CSDDD

Åpenhetsloven gjør aktsomhetsvurdering til et lovkrav for «større virksomheter» og dekker menneskerettigheter og anstendige arbeidsforhold. EUs aktsomhetsdirektiv (CSDDD) bygger på samme OECD-metode, men favner bredere – også miljø og klima – og har høyere terskel. Gjennomføringen av CSDDD er utsatt, men retningen er klar: aktsomhetsvurdering blir en varig del av det å drive virksomhet. Hvem som omfattes og hvilke konkrete krav som stilles, går vi gjennom i artikkelen om krav til leverandører etter åpenhetsloven.

Slik kommer du i gang

Du trenger ikke å løse alt på én gang. Begynn med å kartlegge leverandørene og plukke ut de mest kritiske, gjennomfør en første risikovurdering av disse, og bygg ut derfra. En strukturert tilnærming slår en perfekt, men aldri påbegynt, plan.

Første runde – en enkel start
  • Lag en oversikt over leverandørene dine
  • Marker hvilke som er i høyrisikobransjer eller høyrisikoland
  • Vurder de mest kritiske først
  • Still krav i avtalene og be om dokumentasjon
  • Sett en fast dato for neste gjennomgang

For å gjøre vurderingen strukturert og få en fagrapport med oppfølgingspunkter, kan du bruke aktsomhets- og åpenhetslov-verktøyet vårt. Det er beslutningsstøtte som tar deg gjennom stegene – ikke en erstatning for virksomhetens eget arbeid.

Ofte stilte spørsmål

Hva er en aktsomhetsvurdering av leverandørkjeden?

Det er en systematisk metode for å finne, vurdere og håndtere risiko for skade på mennesker, samfunn og miljø gjennom leverandørene – etter OECDs seks steg. Den er fundamentet både åpenhetsloven og EUs aktsomhetsdirektiv bygger på.

Hva er OECDs 6 steg?

Forankre ansvarlighet, kartlegg og vurder påvirkning, stans/forebygg/reduser, overvåk, kommuniser, og sørg for gjenoppretting. Stegene er en kontinuerlig syklus, ikke en engangsoppgave.

Hvem må gjøre en aktsomhetsvurdering?

«Større virksomheter» etter åpenhetsloven er lovpålagt å gjøre det. Andre virksomheter er det god praksis for – og det kreves ofte av større kunder som selv er bundet av loven.

Hva er forskjellen på aktsomhetsvurdering og risikovurdering?

En risikovurdering ser på risikoen for virksomheten selv. En aktsomhetsvurdering ser på risikoen virksomheten utgjør for andre – mennesker, samfunn og miljø – særlig i leverandørkjeden.

Hvor langt ned i leverandørkjeden må jeg vurdere?

Prinsippet er forholdsmessighet: du prioriterer der risikoen for alvorlig skade er størst, ut fra din størrelse og påvirkningsmulighet. Du forventes ikke å kartlegge hvert ledd like grundig, men å gjøre det systematisk.

Hvor ofte må aktsomhetsvurderingen gjennomføres?

Den er en løpende prosess som oppdateres når leverandørkjeden eller risikobildet endrer seg. Virksomheter omfattet av åpenhetsloven skal publisere en oppdatert redegjørelse innen 30. juni hvert år.

Hva må jeg gjøre hvis jeg finner et alvorlig forhold?

Iverksett tiltak for å stanse, forebygge eller redusere skaden, bruk innflytelsen din overfor leverandøren, og bidra til gjenoppretting der virksomheten har forårsaket eller bidratt til skaden. Å avslutte forholdet er en siste utvei.

Henger aktsomhetsvurdering sammen med bærekraftsrapportering?

Ja. Den samme kartleggingen av leverandørkjeden gir grunnlag for både åpenhetslov-redegjørelse, risikostyring og bærekraftsrapportering. Bygg det som ett system, ikke tre parallelle øvelser.

Om forfatterne

Svein Roar Holt – grunnlegger av Internkontroll AS og skaper av IS-modellen™
Svein Roar Holt Grunnlegger – Internkontroll AS & Internkontrollportalen.no

Skaper av IS-modellen™ og AvvikStandard™. Ekspert på strategisk virksomhetsstyring, governance og instruksbasert internkontroll. Har bygget Norges ledende digitale GRC-plattform for SMB og offentlig sektor.

Om Svein Roar → LinkedIn →
Maria Zahlsen – grunnlegger av Internkontroll AS, jurist med arbeidsrett og forretningsjuss
Maria Zahlsen Grunnlegger – Internkontroll AS & Internkontrollportalen.no

Jurist med spesialisering innen arbeidsrett, kontraktsrett og forretningsjuss. Ekspert på operativ etterlevelse, HR-juss og organisatorisk risikostyring – med særlig fokus på menneskelig faktor og praktisk implementering av styringsverktøy.

Om Maria → LinkedIn →
Kartlegging av leverandørkjeden – aktsomhetsvurdering steg for steg
Aktsomhetsvurdering: kartlegg, prioriter og håndter risiko i leverandørkjeden – etter OECDs 6 steg.

Innhold

  1. Hva er en aktsomhetsvurdering?
  2. Hvorfor leverandørkjeden
  3. OECDs 6 steg
  4. Steg 1: Forankring
  5. Steg 2: Kartlegg
  6. Steg 3: Tiltak
  7. Steg 4: Overvåk
  8. Steg 5: Kommuniser
  9. Steg 6: Gjenoppretting
  10. Åpenhetsloven og CSDDD
  11. Slik kommer du i gang

Raske svar

Relatert

Gjennomfør aktsomhetsvurderingen

Få en strukturert gjennomgang av leverandørkjeden etter OECD-metoden – med fagrapport og oppfølgingspunkter.

Start vurderingen →

Lovhenvisninger

  • Åpenhetsloven § 4 – plikt til aktsomhetsvurderinger
  • Åpenhetsloven § 5 – redegjørelsesplikt
  • OECDs retningslinjer for flernasjonale selskaper
  • OECDs veileder for aktsomhetsvurderinger
  • EUs aktsomhetsdirektiv (CSDDD) – kommende

Trenger du rådgivning?

Vi hjelper deg med virksomhetsstyring, internkontroll, HMS og GDPR.

Ta kontakt med oss →
Skroll til toppen