Kort svar
God tredjepartsoppfølging handler ikke om å sjekke alt likt, men om å vite hvilke leverandører, partnere og kunder som fortjener mest oppmerksomhet først.
Før dere ruller ut nye policyer eller svarer tilsyn og interessenter, bør dere ha kontroll på hvilke tredjepartsforhold som gir størst eksponering, hvilke kontroller som faktisk gir beslutningsverdi og hvordan vurderingene holdes oppdatert over tid.
Når dette blir aktuelt
- når virksomheten har mange tredjepartsforhold og begrensede ressurser
- når due diligence oppleves tungt og lite målrettet
- når ledelsen vil prioritere mer risikobasert
Det bedriften bør avklare først
| Spørsmål | Hvorfor det betyr noe |
|---|---|
| Hvilke tredjepartsforhold som gir størst eksponering | avgjør hvor innsatsen bør startes |
| Hvilke kontroller som faktisk gir beslutningsverdi | er viktig for å unngå overbyråkrati |
| Hvordan vurderingene holdes oppdatert over tid | reduserer risikoen for at gamle kontroller blir stående urørt |
Slik bør dere gå fram
- Lag en grov inndeling av tredjeparter etter rolle, geografi, verdi og påvirkning.
- Velg noen få kontrollspørsmål som skiller høy risiko fra lav risiko tidlig.
- Øk dybden i kontrollene bare der signalene eller eksponeringen tilsier det.
- Bygg en enkel rytme for oppdatering av vurderingene når forhold endrer seg.
Dokumenter og spor som bør være på plass
Compliance fungerer best når ansvar, dokumentasjon og oppfølging er integrert i den daglige driften.
- tredjepartsoversikt med risikofaktorer
- sjekklister eller spørsmål brukt i vurderingen
- dokumentasjon på utdypede kontroller der det er nødvendig
- logg over endringer i risikoklasse og oppfølgingsbehov
Typiske feil
- alle tredjeparter vurderes likt og ressursene spres for bredt
- kontrollspørsmålene er så mange at ingen bruker dem
- gamle vurderinger blir stående selv om risikoen har endret seg
Når bør dere få konkret hjelp?
Når virksomheten vokser eller tredjepartsbildet blir mer komplekst, bør prioriteringsmodellen kvalitetssikres før kontrollarbeidet sklir ut.
Relaterte guider
- Compliance ved rask vekst: hva bør inn først?
- Kontroll med gaver, representasjon og sponsing: hvordan rigge praksis?
- Aktsomhetsvurderinger: hvordan komme i gang