Labs Support
SV EN

Leveranskedjerisk i ISO 9001:2026 - Tydligare Struktur för Riskbaserat Tänkande

ISO 9001:2026 förtydligar klausul 6 om riskbaserat tänkande i leveranskedjan. Praktisk guide med fem steg för kvalitets- och inköpschefer.

Patrik Björklund
Medgrundare, AmpliFlow
ISO 9001 Leveranskedja Riskhantering ISO 2026 Leverantörsbedömning
Leveranskedjerisk i ISO 9001:2026 - Tydligare Struktur för Riskbaserat Tänkande

Leveranskedjerisk i ISO 9001:2026 - Tydligare Struktur för Riskbaserat Tänkande

Pandemin stoppade fabriker. Suezkanalen blockerades. Halvledarbrist lamslog bilindustrin. De senaste årens störningar har visat vad många kvalitetschefer redan anade: en enda bruten länk i leveranskedjan kan stoppa hela verksamheten.

Riskbaserat tänkande har funnits i ISO 9001 sedan 2015-versionen. Det som ISO 9001:2026 tillför är tydligare struktur: klausul 6.1 delas upp i underklausuler (6.1.1–6.1.3) med tydligare åtskillnad mellan risk- och möjlighetshantering, och utökad vägledning för hur ni omsätter det i praktiken.

Denna guide visar hur ni anpassar er leveranskedjeriskhantering till bästa praxis - oavsett om ni förbereder er för 2026-versionen eller vill stärka ert nuvarande arbetssätt.

AmpliFlow-Kunder: Vi Guidar Er Genom Leverantörsriskarbetet

Som AmpliFlow-kund slipper ni själva tolka vad den tydligare strukturen för riskbaserat tänkande innebär i praktiken. Vi hanterar övergången åt er:

Vi sätter upp strukturen tillsammans med er. Leverantörer kan följas upp i AmpliFlow, kopplas till arbetsflöden, och bedömningar kan byggas upp efter er process och riskbild.

Stöd där arbetet sker. Utvalda arbetsflöden och formulär har vägledande texter i systemet, och vi hjälper er översätta ISO-kraven till ett praktiskt upplägg för era leverantörer.

Allt kan samlas i samma system. Leverantörsinformation, uppföljning, riskarbete och åtgärder kan hållas ihop, så ni slipper jaga information i separata filer.

Leverantörsriskarbetet blir strukturerat för AmpliFlow-kunder. Följ guiderna i systemet - vi sköter ramverket.

Vad ISO 9001:2026 Förtydligar om Riskhantering

Riskbaserat tänkande var redan ett centralt krav i ISO 9001:2015. Det som 2026-versionen tillför är inte nya skyldigheter utan tydligare vägledning: klausul 6.1 får nu en mer strukturerad uppdelning (6.1.1–6.1.3) som gör det lättare att förstå hur risk- och möjlighetshantering ska genomföras.

För leveranskedjan innebär detta att sambandet mellan riskbedömning (klausul 6.1) och extern leverantörsstyrning (klausul 8.4) blir tydligare. Ni förväntas redan idag integrera leveranskedjerisker i er övergripande riskplanering - men nu får ni bättre vägledning för hur det görs.

Den praktiska frågan är densamma: Utöver “Kan leverantören leverera produkter med rätt kvalitet?” bör ni också fråga: “Är vi sårbara om de slutar leverera?” Detta är bästa praxis enligt både ISO 9001:2015 och 2026.

Steg 1: Identifiera Kritiska Leverantörer och Single Points of Failure

Börja med att kartlägga vilka leverantörer som verkligen är kritiska för er verksamhet. Inte alla leverantörer är lika viktiga - en komponent som stoppar produktionen om den saknas kräver annan hantering än kontorsmaterial.

Bedöm Affärspåverkan

Frågan att ställa: Vad händer om denna leverantör slutar leverera imorgon?

En leverantör med hög kritikalitet stoppar er produktion omedelbart. Kundleveranser kan inte uppfyllas och det finns ingen alternativ källa på kort sikt. Vid medel kritikalitet kan ni fortsätta 1-3 månader på befintligt lager medan ni kvalificerar alternativ. Låg kritikalitet innebär att produktionen fortsätter opåverkad - leverantören är lätt att ersätta.

Hitta Single Points of Failure

De farligaste leverantörerna är de där ni saknar alternativ. Leta efter situationer där:

  • Endast en källa finns (monopol, patent, eller specialiserad tillverkning)
  • Regulatoriska krav begränsar er till en godkänd leverantör
  • Ni bara kvalificerat en leverantör trots att alternativ finns
  • Leverantören är beroende av en specifik geografisk region

Steg 2: Riskbedöm Leverantörer i 5 Dimensioner

För varje kritisk och medelkritisk leverantör behöver ni bedöma risken systematiskt. En leverantör kan leverera utmärkt kvalitet men vara finansiellt instabil, eller ha perfekt leveransprecision men sitta i en geopolitiskt osäker region.

1. Kvalitetsrisk

Granska leverantörens historik: avvikelserate, kundreklamationer, certifieringar (ISO 9001 och branschspecifika) och resultat från era leverantörsrevisioner. En leverantör som levererat problemfritt i fem år är mindre riskabel än en nyetablerad.

2. Leveranssäkerhetsrisk

Titta på on-time delivery senaste 12 månaderna och jämför genomsnittlig leveranstid mot utlovad. Bedöm också om leverantörens kapacitet matchar er efterfrågan - en leverantör som kör på maxkapacitet har små marginaler vid störningar.

3. Ekonomisk Stabilitetsrisk

En konkurs hos en kritisk leverantör kan vara förödande. Bedöm finansiell hälsa, ägarstruktur och om leverantören är farligt beroende av ett fåtal kunder. Kreditupplysningar och årsredovisningar ger en bild.

4. Geopolitisk Risk

Finns leverantören i en region med politisk instabilitet? Är de exponerade för handelskonflikter eller sanktioner? Hur ser logistikrutter ut - passerar godset flaskhalsar som Suezkanalen eller instabila regioner?

5. Klimat- och Hållbarhetsrisk

Bedöm om leverantören är beroende av klimatkänsliga råvaror eller energikällor. Ligger deras faciliteter i riskzoner för översvämningar eller extremväder? Finns regulatoriska risker kopplade till hållbarhet som kan påverka deras verksamhet?

Sammanväg Riskbedömningen

Två metoder fungerar: viktad summa (exempelvis kvalitet 30%, leveranssäkerhet 30%, ekonomi 20%, geopolitik 10%, klimat 10%) eller worst case-regeln där en hög risk i någon dimension klassificerar hela leverantören som högrisk. Worst case-regeln är enklare och ofta mer realistisk - en konkurs drabbar er oavsett hur bra kvaliteten varit.

Steg 3: Prioritera Högrisk-Leverantörer

Nu kombinerar ni kritikalitet och risk för att avgöra var ni ska lägga resurserna. En högkritisk leverantör med hög risk kräver omedelbar handling. En lågkritisk leverantör med låg risk behöver bara övervakas.

Prioriteringslogiken

Prioritet 0 (AKUT): Hög kritikalitet + Hög risk. Dessa leverantörer kan stoppa er verksamhet och risken att det händer är påtaglig. Starta resiliensplanering omedelbart.

Prioritet 1: Antingen hög kritikalitet med medel risk, eller medel kritikalitet med hög risk. Skapa resiliensplan inom 6 månader.

Prioritet 2-5: Lägre kombinationer av kritikalitet och risk. Övervaka regelbundet, men akuta åtgärder behövs inte.

Det viktiga är inte exakt vilken siffra ni sätter - det viktiga är att ni systematiskt identifierar de leverantörer som kombinerar hög kritikalitet med hög risk. Det är där nästa störning kommer slå hårdast.

Steg 4: Skapa Handlingsplaner för Ökad Resiliens

För varje Prioritet 0-1 leverantör behöver ni en konkret plan. Vilken strategi ni väljer beror på vad som är möjligt och ekonomiskt försvarbart.

Fem Resiliensstrategier

Diversifiering är förstahandsvalet om alternativa leverantörer finns. Kvalificera 2-3 alternativ och fördela ordervolym mellan dem. Det tar tid - räkna med 6-12 månader för komplexa komponenter - men eliminerar single points of failure.

Säkerhetslager fungerar när diversifiering inte är möjlig på kort sikt. Beräkna hur många månaders produktion ni behöver täcka och bygg upp lagret. Kostnadskrävande, men köper tid.

Dubbla transportvägar adresserar geopolitisk och logistisk risk. Om er leverantör sitter i Taiwan och allt gods passerar Sydkinesiska sjön, identifiera alternativa rutter. Sjöfrakt plus flyg-backup, eller rutter via andra hamnar.

Make-or-buy omprövning blir relevant för kritiska komponenter som ni teoretiskt skulle kunna tillverka internt. Utvärdera kostnaden för intern tillverkning mot riskkostnaden för leveransberoende.

Leverantörsutveckling fungerar när leverantören har problem men alternativ saknas. Investera i gemensamma förbättringsprojekt. Ibland är det billigare att hjälpa en leverantör bli bättre än att hitta en ny.

Dokumentera Planen

För varje Prioritet 0-1 leverantör, dokumentera: vilken leverantör, identifierad risk, vald strategi, konkreta åtgärder, vem som ansvarar, deadline, budget och hur ni följer upp. Utan dokumentation rinner resiliensarbetet ut i sanden.

Steg 5: Kontinuerlig Prestationsövervakning

Riskbedömning är inte en engångsövning. Leverantörers situation förändras - finansiell hälsa försämras, geopolitiska spänningar ökar, nya klimatrisker uppstår. Ni behöver kontinuerlig övervakning för att fånga förändringarna innan de blir problem.

Tre Typer av Mätetal

Leverantörsprestanda visar hur det går just nu: on-time delivery, kvalitetsrate, faktisk ledtid jämfört med utlovad, och antal avvikelser. Försämrad prestanda är ofta ett tidigt varningstecken.

Resiliensindikatorer mäter hur väl ni byggt motståndskraft: antal single point of failure-leverantörer (målet är noll), andel order från alternativa leverantörer, och säkerhetslagertäckning i månader.

Riskutveckling fångar trender: vilka leverantörer har ökad risk, vilka har eskalerat till Prioritet 0-1, och hur många resiliensplaner är implementerade jämfört med planerade.

Gör Det till en Fast Punkt i Ledningens Genomgång

Leveranskedjeresiliens förtjänar en fast punkt i ledningens genomgång. Gå igenom prestanda (on-time delivery, kvalitet), nya risker (eskalerade leverantörer), status på resiliensåtgärder, eventuella incidenter sedan senaste mötet, och beslut om resurser för nya planer. Utan ledningens uppmärksamhet prioriteras resiliensarbetet bort.

Praktiska Exempel

Exempel 1: Elektroniktillverkare (Single Point of Failure)

Situation: Mikrochip från enda leverantör (Taiwan). Hög kritikalitet + Hög geopolitisk risk = Prioritet 0

Resiliensplan:

  1. Diversifiering: Kvalificera sydkoreansk alternativ (6 månader)
  2. Säkerhetslager: 6 månaders produktion under kvalificering
  3. Dubbla rutter: Sjöfrakt + flyg-backup

Resultat efter 12 månader: Alternativ kvalificerad, single point of failure eliminerad

Exempel 2: Livsmedelstillverkare (Klimatrisk)

Situation: Olivolja från Spanien/Grekland. Torka påverkar skördar. Medel kritikalitet + Hög klimatrisk = Prioritet 1

Resiliensplan:

  1. Diversifiering: Lägg till Tunisien/Turkiet
  2. Långtidskontrakt: Säkra volym 12 månader framåt
  3. Produktanpassning: Recept med alternativa oljor

Resultat: Prisspikar absorberas, produktionskontinuitet säkrad

Vanliga Frågor

F: Hur många leverantörer ska riskbedömas?
S: Prioritera kritiska och medelkritiska. Börja med top 20 leverantörer.

F: Hur ofta ska riskbedömning uppdateras?
S: Kvartalsvis för Prioritet 0-1. Årligen för övriga. Omedelbart vid incidenter.

F: Vad kostar resiliensåtgärder?
S: Varierar. Balansera resiliens-kostnad vs kostnad för leveranskedjebrott.

F: Kan vi kräva att leverantörer har resiliensplaner?
S: Ja. Inkludera i kontrakt för kritiska leverantörer.

Nästa Steg

ISO 9001:2026 förtydligar vad riskbaserat tänkande innebär i praktiken. De fem stegen - identifiera, riskbedöm, prioritera, bygg resiliens och övervaka - ger dig en struktur som fungerar både för den kommande versionen och som bästa praxis redan idag.

Det som skiljer organisationer som klarar nästa störning från de som inte gör det är hur väl riskbedömningar, handlingsplaner och övervakning hänger ihop. När en leverantörs finansiella situation försämras ska det automatiskt trigga en omprövning av resiliensplanen. När on-time delivery sjunker ska det synas i ledningens genomgång.

Kom Igång med Leverantörsriskhantering

Som AmpliFlow-kund blir leverantörsriskhanteringen enklare. Vi hjälper er sätta upp arbetssättet i AmpliFlow, och visar hur leverantörsuppföljning, riskbedömningar och åtgärder kan hållas ihop i samma struktur.

Är ni inte AmpliFlow-kunder än? Läs mer om riskhantering och leverantörshantering, eller boka ett möte för att se hur vi tar hand om leverantörsriskarbetet åt er.

Relaterade artiklar

Ju räddare folk är för AI, desto mer använder de det

Ju räddare folk är för AI, desto mer använder de det

 AI-agenter och ledningssystem: hype, verklighet och vad vi faktiskt byggt

AI-agenter och ledningssystem: hype, verklighet och vad vi faktiskt byggt

 AI ger inte folk mer tid - det ger dem mer att göra

AI ger inte folk mer tid - det ger dem mer att göra