Leverantörskontroll är arbetet med att bedöma om en leverantör, dess företrädare eller dess bolagskopplingar innebär en risk innan eller under ett affärsförhållande. Det blir relevant vid onboarding av nya leverantörer, avtalsförlängningar och när nya riskfakta gör att en befintlig motpart måste granskas igen. Spara källa + tidpunkt + motivering + policyversion + ansvarig roll för varje väsentligt utfall.

Snabbt svar

• Leverantörskontroll används när en ny leverantör ska godkännas, när ett avtal ska förlängas eller när förändringar i status, ägarbild eller roller kräver ny bedömning.
• Spara leverantörens identitet, vilka kontroller som gjordes, hur riskbilden bedömdes och vem som tog beslutet så att ärendet går att följa upp senare.
• En vanlig fallgrop är att kontrollera sanktioner eller företrädare var för sig utan att knyta ihop dem till en samlad bedömning av leverantören.
• Tydlig leverantörskontroll gör det lättare att stoppa fel motparter i tid och att visa varför en leverantör godkändes, följdes upp eller eskalerades.

Underlag att spara (för spårbar kontroll)

• Leverantörsidentitet och registreringsuppgifter: Visar vilket bolag och vilka företrädare som faktiskt granskades — Spara som: Leverantörsprofil med tidsstämpel
• Kontrollerade källor och listor: Förklarar vilka register, listor eller datakällor som ingick i kontrollen — Spara som: Källrad med kontrollscope
• Roll- och koncernkopplingar: Visar hur företrädare, moderbolag eller andra bolag i gruppen påverkade bedömningen — Spara som: Nätverks- eller strukturanteckning
• Riskbedömning och motivering: Förklarar varför leverantören bedömdes som godtagbar, osäker eller högrisk — Spara som: Granskningsnotering med motiveringsfält
• Beslut, ansvarig roll och datum: Gör det tydligt vem som ägde utfallet och när det fattades — Spara som: Beslutsrad med ägare och datum

Vad leverantörskontroll betyder

Leverantörskontroll handlar om att förstå om en leverantör är lämplig att göra affärer med utifrån risk, representation och bolagskontext. Det räcker sällan att bara kontrollera att bolaget existerar. Teamet behöver också veta vilka personer som företräder leverantören, vilka externa riskmarkörer som finns och om bolaget ingår i en koncernstruktur som påverkar bedömningen.

Det gör ämnet bredare än en enskild check. Leverantörskontroll innehåller identifiering, screening, kartläggning av kopplingar och en slutlig bedömning där flera datapunkter vägs ihop. Om de stegen inte hålls samman blir det svårt att visa varför en viss leverantör godkändes eller varför ett ärende stoppades för manuell genomgång.

För procurement-, risk- och compliance-team blir det här särskilt viktigt när samma leverantör ska följas över tid. En ändring i sanktionsexponering, bolagsroll eller koncernkoppling kan göra att ett tidigare godkännande behöver ses över på nytt.

Varför det spelar roll

Leverantörskontroll påverkar vilka leverantörer ni tar in, vilka avtalsrelationer som behöver djupare granskning och när en befintlig motpart måste öppnas igen. Det gäller både innan ett avtal skrivs och under kontraktstiden, när nya fakta kan göra riskbilden annorlunda än den var från början.

Svagt underlag skapar snabbt merarbete. Om en senare granskare inte kan se vilka listor som kontrollerades, vilka företrädare som bedömdes eller hur koncernkopplingar påverkade slutsatsen blir organisationen beroende av minnesbilder i stället för spårbar dokumentation.

Det påverkar också jämförbarheten mellan leverantörer. Liknande motparter bör bedömas mot liknande logik om det inte finns en dokumenterad anledning att göra på ett annat sätt. Annars blir leverantörskontroll ett manuellt hantverk i stället för en repeterbar process.

Hur leverantörer ska granskas

Granskningen behöver börja med rätt bolag och rätt representanter. Bolagsuppgifter, företrädare och andra kända identitetsdata måste vara tillräckliga innan teamet kan avgöra vilka kontroller som faktiskt säger något om leverantören.

Nästa steg är att kontrollera externa risksignaler och bolagskopplingar. Sanktioner och andra tydliga riskmarkörer är en del, men också representantens bolagsengagemang och leverantörens plats i en större gruppstruktur kan påverka hur ärendet ska bedömas. Om flera leverantörer tillhör samma koncern eller om en representant har andra roller som skapar intressekonflikter behöver det synas i bedömningen.

Till sist måste riskbilden översättas till ett beslut. Teamet ska kunna visa om leverantören godkändes direkt, om den kräver fördjupad kontroll eller om relationen bör stoppas. Den motiveringen måste sparas tillsammans med själva kontrollunderlaget.

Vanliga fallgropar

• Sanktioner kontrolleras, men det framgår inte vilka företrädare eller bolagskopplingar som faktiskt ingick i kontrollen.
• Leverantörens bolag granskas, men representantens övriga bolagsroller eller intressekonflikter lämnas utanför.
• Koncernkopplingar upptäcks sent, vilket gör att flera leverantörer i samma grupp bedöms som separata risker.
• Beslut och motivering lagras i ett annat system än kontrollunderlaget, vilket gör utfallet svårt att återskapa.
• Uppföljning uteblir när leverantörens riskstatus förändras efter onboarding eller avtalsstart.

De här problemen är nästan alltid operativa. Frågan är sällan om teamet vet att leverantörskontroll behövs, utan om kontroller, motivering och uppföljning faktiskt hålls ihop i samma arbetsflöde.

En process för leverantörskontroll

1) Identifiera leverantören och dess företrädare

Samla in bolagsidentitet, relevanta representanter och andra uppgifter som behövs för att kontrollerna ska bli träffsäkra. Då minskar risken för att svag indata leder till fel bedömning.

2) Kontrollera sanktioner och relevanta riskkopplingar

Bestäm vilka listor och källor som alltid ska ingå när en leverantör eller dess företrädare granskas. Då går det att visa att samma grundlogik användes i varje materialt ärende.

3) Förstå gruppstruktur och externa roller

Kartlägg om leverantören ingår i en koncern eller om företrädare har andra bolagsengagemang som påverkar riskbilden. Då blir det lättare att se beroenden, intressekonflikter och dolda kopplingar.

4) Dokumentera beslut och följ upp förändringar

Spara motivering, ansvar och beslut i samma spår som kontrollunderlaget. När status, roller eller riskfakta ändras behöver samma leverantör kunna granskas igen utan att teamet börjar från noll.

Roaring field guide

• Definiera vilka leverantörsuppgifter som krävs innan en kontroll anses tillräckligt stark för att ge ett beslut.
• Spara bolagsidentitet, företrädare, källor, bedömning och beslutsmotivering så att utfallet går att spela tillbaka senare.
• Håll isär tekniska träffar, rollkopplingar och slutlig riskbedömning så att varje steg går att förklara.
• Skicka leverantörer med högriskutfall eller oklara kopplingar till rätt team eller process med tillräcklig kontext.
• Följ upp samma leverantör när sanktionsstatus, roller eller gruppstruktur förändras i stället för att lita på en engångskontroll.

Hur Roaring kan hjälpa

• Sanktionslisttjänsten kan kontrollera leverantörer och företrädare mot flera internationella listor så att högriskmotparter fångas tidigt i onboarding eller uppföljning.
• Company Engagement kan visa vilka andra bolagsroller en representant har, vilket gör det lättare att upptäcka externa kopplingar eller möjliga intressekonflikter.
• Company Group Structure kan visa om flera leverantörer tillhör samma koncern, så att beroenden och total exponering blir tydligare i bedömningen.
• API-plattformen, Lookup och monitoring/webhooks kan bära in kontroller och uppföljning i befintliga inköps- eller riskflöden utan att varje steg behöver hanteras manuellt.