Due diligence i leverantörskedjan

december 8, 2025
due diligence

Nya regelverk som bygger på befintliga ramverk

Det har nog inte undgått någon att EU har en tydlig agenda inom hållbarhetsområdet. Flertalet nya regelverk har kommit på plats under de senaste åren och fler är påväg. Men hur hänger dessa regelverk samman och vilka krav fångas redan av befintliga ramverk och riktlinjer?

Förenklat kan man säga att de nya regelverken formaliserar principer som redan funnits i frivilliga ramverk och riktlinjen under en längre tid – om än på ett mer omfattande sätt. För bolag och organisationer som redan arbetat enligt ramverk som GRI (Global Reporting Initiative) eller ISSB (International Sustainability Standards Board) så kommer de nya kraven i CSRD vara bekanta och för bolag som redan följer OECD:s riktlinjer för tillbörlig aktsamhet så kommer CSDDD vara i linje med de processer man redan har på plats.

Vi går från rapportering till handling

CSRD har redan börjat rullas ut och även om det för tillfället råder en viss osäkerhet om de exakta villkoren, som en följd av EU-kommissionens Omnibus-paket, så är det ett regelverk som kommer implementeras brett över tid. Nästa regelverk som också är beslutad men som ännu inte rullats ut är CSDDD. Där CSRD är ett direktiv som fokuserar på rapportering av hållbarhetsrisker så ställer CSDDD istället tydliga krav på faktiska aktiviteter för att identifiera och bemöta dessa risker – i hela värdekedjan.

I och med CSDDD går vi från krav på rapportering av hållbarhetsrisker till krav på handling

Vilka krav kommer ställas på bolag i och med utrullningen av CSDDD? Precis som med CSRD så påverkas detta av Omnibus-paketet där de exakta villkoren ännu inte beslutats. Så hur ska man då som organisation agera för att göra sig redo med den osäkerhet som råder? Ett bra sätt är att utgå från de riktlinjer som ligger till grund för regelverket.

Due diligence kräver att du kontrollerar dina leverantörer

På Betalkontroll har vi arbetat med leverantörskontroller sedan starten 2019 och vi har sett hur behovet av automatiserade kontroller har ökat över tid. Då utgångspunkten för OECD:s riktlinjer är en bred kartläggning av ”sektorsspecifika, geografiska, produktrelaterade och företagsspecifika riskfaktorer” så finns det ett tydligt behov av automatiska och tillförlitliga kontroller inom dessa områden – där organisationen sedan kan göra en djupare due diligence för leverantörer beroende på riskprofil.

OECD:s riktlinjer – med fokus på leverantörer

OECD:s riktlinjer för tillbörlig aktsamhet sammanfattas i 6 steg och ger vägledning för hur organisationer bör agera för att implementera tillbörlig aktsamhet i hela sin värdekedja. Nedan är en sammanfattning av de 6 stegen och olika processer som ni bör ha på plats kopplat till era leverantörer.

Steg 1 – Uppdatera policyer och ledningssystem

  • Implementera en uppförandekod för leverantörer.

Steg 2 – Identifiera negativ påverkan

  • Identifiera risker i er leverantörskedja med utgångspunkt i en bred kartläggning av era leverantörer och deras övergripande riskprofil.

Steg 3 – Agera på negativ påverkan

  • Stoppa, förebygg och mildra negativa effekter kopplat till er leverantörskedja. Fokusera era insatser på de leverantörer där den negativa inverkan är störst och där ni kan ha ett positivt inflytande.

Steg 4 – Följ upp genomförande och resultat

  • Bevaka era leverantörer löpande för att fånga upp eventuella förändringar hos leverantörerna som ökar risken för negativ påverkan.

Steg 5 – Informera om hur påverkan hanteras

  • Rapportera om era processer för tillbörlig aktsamhet i relation till leverantörer och resultatet från de aktiviteter ni genomför.

Steg 6 – Arbeta för gottgörelse vid behov

  • Erbjud gottgörelse till drabbade och åtgärda skador som uppstått i er leverantörkedja.

Sammanfattningsvis så kan man konstatera att det inte finns något direkt behov av att invänta de exakta villkoren som kommer gälla i CSDDD för att börja arbeta med tillbörlig aktsamhet. Redan idag finns etablerade riktlinjer på plats som kommer linjera väl med regelverket när det väl implementeras fullt ut. Kraven kommer gälla hela värdekedjan men för de flesta verksamheter kommer leverantörskedjan vara den största utmaningen. Här kan man redan idag börja arbetet med den screening som utgör grunden för verksamhetens leverantörskännedom och var det krävs en djupare due diligence. Ett exempel på det kan vara att sätta upp villkor och varningar i Betalkontroll som föranleder en mer djupgående analys av leverantören.

En grundläggande princip är att arbetet ska göras utifrån en risk-baserad prioritering

En annan viktig process för att följa OECD:s riktlinjer är att löpande bevaka sin leverantörskedja och de åtgärder som man vidtagit i olika led – ”Identifiera negativ påverkan eller risker som kan ha förbisetts vid tidigare tillbörlig aktsamhet-processer och inkludera dessa i framtiden”. Här kan Betalkontroll vara ett bra verktyg då det möjliggör för löpande bevakning av alla sina leverantörer. Med leverantörsbevakning i Betalkontroll genomförs alla automatiska kontroller löpande, detta istället för att göras vid respektive inköp. Detta möjliggör för ett proaktiv förhållningssätt till sin leveranskedja där man har möjlighet att agera på negativa förändringar innan det skadar bolaget eller andra intressenter.