KPMGs Third-Party Risk Management Survey 2026

Regulatorisk etterlevelse og cyberrisiko former strategier for håndtering av tredjepartsrisiko

Årets undersøkelse tar særlig for seg compliance (etterlevelse av regelverk) og cyberrisiko i leverandørkjeden, helhetlig styring og organisering. Rapporten tar for seg hvordan teknologi og AI kan brukes, hva som fungerer, og hvordan du an bevege deg fra piloter til skalerte løsninger. Ikke minst får du konkrete anbefalinger til hvordan du praktisk kan gå frem for å lykkes.

På engelsk forkortes risikostyring av tredjepartsrisiko, «Third Party Risk Management», til TPRM, og helhetsstyrt risikostyring, «Enterprise Risk Management», til ERM. Derfor vil du se disse forkortelsene gå igjen i rapporten.

Achieving resilience in third-party risk management

2026 global third-party risk management survey

Last ned rapporten (PDF 3.3 MB)

Erik Arvnes

Partner | Forensic & Security

KPMG i Norge

mail
call

The 2026 KPMG Global Third-Party Risk Management Survey

Transform your risk management strategy for the future by integrating AI

The KPMG Third Party Risk Management Survey 2026 (KPMG Global)

Hovedfunn fra rapporten:

48 % svarer at compliance er den viktigste driveren, mens 37 % peker på cyberrisiko.

Samtidig tyder funnene på at geopolitikk og sikkerhet fortsatt ikke er godt nok ivaretatt i strategien eller operasjonalisert tilstrekkelig inn i systemer og prosesser.
Over 50 % rapporterer at de bruker AI i risikostyringen, men kun 22 % opplever det som svært effektivt.

Det er behov for tydeligere mål, bedre datagrunnlag og mer målrettet implementering.
Lederne investerer der risikoen materialiserer seg. Respondentene prioriterer slik:

Risikovurderinger og due diligence: 52 %

Tredjepartsrisikoverktøy: 51 %

Cybersikkerhet: 49 %

Tredjepartsrevisjoner: 45 %
Små og mellomstore virksomheter benytter primært cyber som førstelinjeforsvar.

Større virksomheter har bedre forutsetninger for en helhetlig tilnærming, men risikostyringen er fortsatt fragmentert hos mange.
En helhetlig tilnærming på tvers av forretningsområder er avgjørende for at systemer og prosesser skal fungere.

Sikkerhet må inn som eget risikoområde på linje med compliance og cyber, integrert i prosesser og styringssystemer.

Når forretningsområdene jobber sammen får ledelsen et helhetlig bilde av hvor risikoen er størst og hvor investeringene gir mest effekt.

Erik Arvnes

Partner

Forensic & Security

Våre anbefalinger

Bygg helhet.

Etabler systemer og prosesser for tredjepartsrisiko som kobler forretningsområdene tettere sammen. Ikke gap over for mye av gangen, bygg sten for sten, test og evaluer.
Integrer TPRM og ERM.

Skap én samlet risikoforståelse som understøtter virksomhetens strategi.
Gjør prioriteringer.

Beveg deg bort fra generell screening til risikobasert prioritering av kritiske leverandører med en risikoscoringsmodell som reflekterer risikobilde, appetitt og egen kapasitet til å håndtere røde flagg.
Behandle data som en strategisk ressurs.

Sikre standarder, datakvalitet og en felles kilde til sannhet på tvers.
Automatiser hele tredjepartsrisikoløpet.

Fra innhenting til vurdering, oppfølging og rapportering.
Skaler med managed services.

Bruk managed services der det gir tempo og skala, med tydelig styring, roller og ansvar.

Norske virksomheter stiller ofte gode krav i kontrakter, men mangler innsikt i hva som faktisk skjer hos leverandørene. Risiko er en del av hverdagen, og derfor må vi både gjennomføre risikobaserte stedlige kontroller og drive kontinuerlig oppfølging av kritiske tredjeparter.

Kristine Aasgård

Fagdirektør

Forensic & Security

Rapporten er særlig relevant for deg som jobber med:

Risikostyring og internkontroll.

Du får et realistisk bilde av modenhet, gap og prioriteringer for effektiv styring av tredjepartsrisiko.
Sikkerhet og teknologi.

Se hvilke tiltak som reduserer hendelser i leverandørkjeden og hvordan kunstig intelligens kan gi effekt.
Innkjøp og leverandøroppfølging.

Lær hvordan due diligence og monitorering kan forenkles og målrettes.
Compliance og juridisk.

Forstå hvordan du møter regulatoriske krav som NIS2 og DORA.

Få hjelp med styring av tredjepartsrisiko

KPMG har Norges største fagmiljø innen etterlevelse, sikkerhet og cyber. Ekspertene våre jobber tverrfaglig for å gi operasjonell, teknologisk og juridisk rådgivning, og hjelper til med å etablere effektive styringsprogrammer for tredjepartsrisiko. Vi er ISO-sertifisert etter standarden ISO 42001 for styring av AI-systemer.