SCM Panelet #9: Det er en virkelig god idé at gøre en dyd ud af risikostyring og compliance
Moderne forsyningskæder er i stigende grad smækfulde af sårbarheder – og det kan vise sig at være en god forretning at satse på stærk risikostyring og compliance i forsyningskædestrategien. Det giver simpelthen konkurrencefordele. Det er et af resultaterne af en SCM Panel mini-undersøgelse fra scm.dk og SDU.
”Det handler om at navigere i en virkelighed, hvor det uforudsigelige er blevet normalen. Virksomheder må udvikle værktøjer og beslutningsprocesser, der gør dem i stand til at reagere hurtigt og proaktivt, når risikoen materialiserer sig”, lyder det fra professor Jan Stentoft. Foto: 123rf.com.
En enkelt flaskehals i produktionen, et cyberangreb, en leverandør med for ringe dokumentation, en alvorlig oversvømmelse eller en ny regulering inden for bæredygtighed kan hurtig trække tæppet væk under forsyningskæden og skabe negative følgevirkninger for hele forsyningskæden. Forsyningskæden er i de seneste år blevet en åben og sårbar flanke for virksomheder – en flanke som kræver skærpet opmærksomhed.
Netop derfor er risikostyring i dag ikke længere et spørgsmål om at identificere sandsynlige hændelser. ”Det handler om at navigere i en virkelighed, hvor det uforudsigelige er blevet normalen. Virksomheder må udvikle værktøjer og beslutningsprocesser, der gør dem i stand til at reagere hurtigt og proaktivt, når risikoen materialiserer sig”, lyder en blandt mange konklusioner, som professor i SCM Jan Stentoft fra SDU drager fra SCM Panel mini-undersøgelsen ”Stort potentiale for automatisering af risikostyring og håndtering af compliancekrav” fra december 2025.
Læs også: Hackerangrebet der kostede 16,3 milliarder kroner
Undersøgelsen peger på mange læringer og iagttagelser af området ’risikostyring og compliance i forsyningskæden’ eller supply chain risk management (SCRM), der indtil for få år siden spillede en beskeden birolle i ledelse af forsyningskæden. Behovet er i dag vokset meget markant - men denne undersøgelse tyder på, at bevidsthed, værktøjer og processer halter efter behovet. Denne artikel sætter spot på syv af undersøgelsens læringer:
1.Den dybe del af forsyningskæden er en sort boks
Undersøgelsen afslører, at virksomhederne kradser i overfladen og fokuserer på 1. leds leverandører (tier 1); mens fokus falder betydeligt jo længere ned i forsyningskæden, vi bevæger os. Tier 1 leverandører scorer 4,14, på en Likerts skala, hvor 1 er den laveste og 5 den højeste score. Scoren for Tier 2 er 3,06 og for tier 3 er den 2,06. I tier 2 og 3 er gennemsigtighed og sporbarhed lav, datatilgængeligheden minimal og leverandørnetværket er ofte globalt, fragmenteret og måske lokaliseret et eller andet ukendt sted i Bangladesh, Kina eller Uganda, hvor kommunikation, standarder og transparens er begrænset. Supply chain kortlægning og overvågning i tier 2 og 3 er omfattende og kompliceret – dog kan moderne software være en stor hjælp på dette område.
2. SMV’er overser risikostyring i forsyningskæden
Andelen af små virksomheder, der ’sjældnere end én gang årligt’ gennemfører systematiske risikovurderinger af deres leverandører er 18 procent. Det samme tal er henholdsvis 10 og 6 for mellemstore og store virksomheder. Det viser en tydelig tendens til, at små virksomheder overser opgaven med at risikostyre i forsyningskæden. Det kan der være mange gode grunde til, nogle af dem er helt sikkert relateret til mangel på både kompetence og kapacitet til opgaven. Men det medfører højere risici for forretningen.
Læs også: CSCO’er overvurderer egen effektivitet
3. Næsten 1 ud af 2 har ingen struktur for risikostyring og compliance
De anvendte metoder til at vurdere og håndtere risici i forsyningskæden har stor betydning for både overblik og beslutningskraft. Den mest basale tilgang er ad hoc og manuel risikovurdering, som anvendes af 44 procent af de samlede respondenter, hvor virksomheden reagerer, når problemer opstår, eller når der efterspørges en vurdering. Denne metode kan være hurtig i akutte situationer; men den mangler konsistens, dokumentation og systematik, hvilket gør det svært at identificere mønstre og langsigtede risici.
Et skridt videre ligger den strukturerede, men hovedsageligt manuelle tilgang, ofte baseret på Excel-modeller. 41 procent af de samlede respondenter anvender denne metode, hvor risici vurderes via eksempelvis skabeloner, scoringsværktøjer og risiko-matricer. Dette giver en mere ensartet tilgang, men kan være tidskrævende, fejlbehæftet og udfordret af store datamængder.
Næste modenhedstrin er brugen af interne værktøjer som SharePoint, Access eller virksomhedsudviklede modeller, der gør det muligt at standardisere registreringer, dele information på tværs af virksomheden og etablere faste arbejdsgange. Denne løsning anvendes af 21 procent af de samlede respondenter, og det gælder primært de store virksomheder. Undersøgelsen viser et stort potentiale for, at software kan erstatte manuelt arbejde.
4. 2 ud af 3 overser digitale risici
Det er iøjnefaldende, at respondenterne i vidt omfang peger på compliance-krav til miljø og kemikalier, ESG og bæredygtighed, menneskerettigheder og arbejdsforhold samt økonomiske og kontraktuelle forhold – men at kun 33 procent peger på krav til it- og datasikkerhed.
Læs også: SCM Panelet #5: Behov for styrkede kompetencer indenfor cybersikkerhed, ESG og digital udvikling
Der kan være flere årsager til, at kun 33 procent af respondenterne ser it- og datasikkerhed som et relevant compliancekrav i forsyningskæderne. Mange virksomheder opfatter stadig cybersikkerhed som et internt it-anliggende og ikke som en integreret del af leverandørstyring, og flere undersøgelser viser, at modenheden i arbejdet med tredjeparts- og systemafhængigheder generelt er lav. Samtidig fremstår digitale risici ofte mere abstrakte end fysiske og sociale compliancekrav, som derfor kan få større opmærksomhed. Dertil kommer, at mange endnu ikke forbinder de nye reguleringer – som NIS2 og CSDDD – med krav til leverandørernes datasikkerhed, hvilket betyder, at de undervurderer det faktiske regulatoriske pres. Tilsammen skaber det et billede af et område, hvor relevansen er høj, men bevidstheden og ansvarsplaceringen halter.
5. Dataindsamling til SCRM er fuld af huller
To ud af tre (67 procent) bruger manuel indtastning/e-mailudveksling til at indsamle og kontrollere compliance-data til SCRM (supply chain risk management). 43 procent anvender Excel-ark eller lignende, cirka hver fjerde bruger tredjepartsplatforme, mens 9 procent bruger spørgeskemaer. De respondenter, der bruger Excel, svarer også på, hvordan de oplever det. 57 procent af dem svarer, at datakvalitet er en udfordring, 53 procent har udfordringer med opdateringer og 40 procent har udfordringer med sporbarhed.
6. Complianceprocesser mangler automatisering
Det et tydeligt, at SCRM og compliance er et område med meget lav automatisering. Den samlede score i undersøgelsen er 2,02. Respondenterne peger samtidig på, at de vurderer, at der er stort behov for ’færre manuelle processer’, hvilket indikerer, at digitalisering og software kan skabe store gevinster.
7. Lav grad af brug af kunstig intelligens-baseret software til SCRM
Respondenterne giver spørgsmål ’I hvilken grad anvender I AI-baseret software til A) risikostyring af leverandører og B) håndtering af compliance-krav?’ scorerne 1,55 for A) og 1,54 for B). Der er altså rum for forbedringer.
En stor årsag til den lave brug af kunstig intelligens er, at mange virksomheder stadig befinder sig på i en tidlig modenhedsfase, hvor data om leverandører, risici og compliance ikke er tilstrækkeligt strukturerede til at kunne udnyttes af AI-værktøjer. Der er også andre gode årsager, og samlet peger det på, at potentialet er stort; men at de praktiske forudsætninger og den organisatoriske parathed endnu ikke er på plads.
