Leverantörsonboarding börjar ofta ”enkelt” och blir sedan en röra av mejl, halvifyllda formulär och saknade certifikat som du upptäcker först precis innan en revision. Någon får jaga detaljer, formatera om anteckningar och försöka minnas varför Leverantör A var ”okej” förra kvartalet men ”oroande” det här kvartalet.
Den här automatiseringen för vendor risk tiering slår hårdast mot complianceansvariga, helt ärligt. Men inköpsansvariga och säkerhetsägare känner också av det, eftersom det är de som förväntas kunna bevisa att besluten varit konsekventa. Utfallet är enkelt: en standardiserad risknivå, en strukturerad logg i Google Sheets och omedelbara Gmail-varningar när något är högrisk eller saknar certifikat.
Nedan ser du hur arbetsflödet körs, vad det åtgärdar och vad du behöver för att få det i drift utan att göra det till ett stort IT-projekt.
Så fungerar den här automatiseringen
Se hur detta löser problemet:
n8n Workflow Template: Google Sheets + Gmail för riskklassning av leverantörer
flowchart LR
subgraph sg0["AI – Risk Tier Estim Flow"]
direction LR
n0["<div style='background:#f5f5f5;padding:10px;border-radius:8px;display:inline-block;border:1px solid #e0e0e0'><img src='https://flowpast.com/wp-content/uploads/n8n-workflow-icons/webhook.dark.svg' width='40' height='40' /></div><br/>New Vendor Intake"]
n1@{ icon: "mdi:robot", form: "rounded", label: "AI – Risk Tier Estimator", pos: "b", h: 48 }
n2@{ icon: "mdi:swap-horizontal", form: "rounded", label: "Cert Checker – Expiry & Type", pos: "b", h: 48 }
n3@{ icon: "mdi:swap-vertical", form: "rounded", label: "Format – Vendor Scorecard", pos: "b", h: 48 }
n4@{ icon: "mdi:database", form: "rounded", label: "Log – Google Sheet", pos: "b", h: 48 }
n5@{ icon: "mdi:message-outline", form: "rounded", label: "Alert – GRC Owner Email", pos: "b", h: 48 }
n0 --> n1
n1 --> n2
n3 --> n4
n3 --> n5
n2 --> n3
end
%% Styling
classDef trigger fill:#e8f5e9,stroke:#388e3c,stroke-width:2px
classDef ai fill:#e3f2fd,stroke:#1976d2,stroke-width:2px
classDef aiModel fill:#e8eaf6,stroke:#3f51b5,stroke-width:2px
classDef decision fill:#fff8e1,stroke:#f9a825,stroke-width:2px
classDef database fill:#fce4ec,stroke:#c2185b,stroke-width:2px
classDef api fill:#fff3e0,stroke:#e65100,stroke-width:2px
classDef code fill:#f3e5f5,stroke:#7b1fa2,stroke-width:2px
classDef disabled stroke-dasharray: 5 5,opacity: 0.5
class n1 ai
class n2 decision
class n4 database
class n0 api
classDef customIcon fill:none,stroke:none
class n0 customIcon
Utmaningen: konsekventa, revisionsredo leverantörsriskbeslut
De flesta leverantörsgranskningar fallerar på samma punkt: konsekvens. En person fokuserar på datakänslighet, en annan hakar upp sig på certifieringar, och någon annan försöker bara få avtalet signerat. Veckor senare, när ledningen frågar ”hur många kritiska leverantörer har vi?”, sitter du fast i att återskapa besluten från inkorgstrådar och kalkylbladsanteckningar som inte stämmer överens. Det värsta är den mentala belastningen. Du granskar inte bara leverantörer, du övervakar också processen och jagar saknade underlag som SOC 2-rapporter och ISO 27001-certifikat.
Det växer snabbt. Här är var det faller isär i den dagliga onboardingen.
- Uppgifter vid leverantörsintag kommer i olika format, så varje granskning börjar med manuell upprensning.
- Risknivåindelningen blir subjektiv, vilket gör att din ”standard” kan se ut som någon annans ”kritisk”.
- Certifieringsluckor upptäcks sent, oftast när en intressent ber om bevis.
- Revisionsförberedelser blir en skattjakt eftersom tidsstämplar och motiveringar är utspridda.
Lösningen: risknivåindela leverantörer automatiskt, logga underlag och avisera ägare
Det här arbetsflödet automatiserar intag, klassificering och dokumentation av tredjepartsleverantörer så att din due diligence blir repeterbar. Det startar när en leverantörsinsändning träffar en webhook (från ett intagsformulär, en portal eller till och med ett lättviktigt internt verktyg). En AI-modell granskar kontexten du anger och tilldelar sedan en risknivå (Låg, Standard eller Kritisk) baserat på till exempel leverantörens funktion, åtkomsttyp (läs/skriv/API), nivån på dataåtkomst och certifieringsstatus. Därefter flaggar en certifieringskontroll saknade bevis för vanliga standarder som ISO 27001, SOC 2, IRAP eller PCI DSS. Till sist formaterar arbetsflödet en scorecard-post, skriver den till Google Sheets med en tidsstämpel och mejlar GRC-ägaren via Gmail när leverantören är högrisk eller saknar certifiering.
Arbetsflödet börjar med intag. Sedan standardiserar det beslutsfattandet med AI-logik för risknivåindelning och enkla regler för certifikatskontroller. Google Sheets blir din revisionsredo evidenslogg, medan Gmail sköter snabb eskalering så att inget passerar obemärkt.
Vad som förändras: före vs. efter
| Det här elimineras | Effekt du kommer att se |
|---|---|
|
|
Effekt i verkligheten
Säg att du onboardar 10 leverantörer på en månad. Manuellt är det vanligt att lägga cirka 20 minuter per leverantör på att samla in uppgifter, ytterligare 15 minuter på att skriva en sammanfattning och 10 minuter på att logga och mejla. Det är ungefär 7–8 timmar per månad, plus allt kontextbyte. Med det här arbetsflödet tar själva inskickandet vid intaget cirka 5 minuter, AI-nivåindelningen och kontrollerna kör i bakgrunden och logg + Gmail-notis sker automatiskt. Du granskar fortfarande utfallet, men du bygger det inte från grunden varje gång.
Krav
- n8n-instans (prova n8n Cloud gratis)
- Alternativ för self-hosting om du föredrar det (Hostinger fungerar bra)
- Google Sheets för revisionsredo leverantörsloggning.
- Gmail för att notifiera GRC-ägaren automatiskt.
- OpenAI API-nyckel (hämta den i kontrollpanelen för ditt OpenAI-konto).
Kompetensnivå: Mellan. Du kopplar konton, klistrar in en API-nyckel och justerar en prompt och några fältmappningar.
Behöver du hjälp att implementera detta? Prata med en automationsexpert (gratis 15-minuters konsultation).
Flödet i arbetsflödet
En leverantörsinsändning träffar din webhook. Det kan komma från ett enkelt intagsformulär, en portal eller en lättviktig intern beställningsprocess. Nyckeln är att den skickar obligatoriska fält (leverantörsnamn, funktion, dataåtkomst, åtkomsttyp, certifiering och ägare).
AI klassificerar risknivå utifrån kontexten. OpenAI Chat Model analyserar vad leverantören gör och vad de kan komma åt och returnerar sedan en nivå som Låg, Standard eller Kritisk. Det ger dig en konsekvent första klassificering i stället för att vara beroende av vem som råkar vara ansvarig den dagen.
Certifieringsregler flaggar luckor. En ”If”-kontroll letar efter saknade eller tomma certifieringsfält och flaggar vanliga bevisunderlag (ISO 27001, SOC 2, IRAP, PCI DSS). Om du vill ha striktare krav är det här delen du justerar.
Scorecard-formatering, loggning och aviseringar sker automatiskt. Arbetsflödet sätter den slutliga leverantörsposten (nivå, flaggor för saknade certifikat och tidsstämpel), skriver den till Google Sheets och skickar sedan en Gmail-notifiering till GRC-ägaren för leverantörer med högrisk eller utan certifiering.
Du kan enkelt ändra certifieringskontrollerna så att de matchar din policy och justera aviseringar så att bara kritiska leverantörer triggar mejl utifrån dina behov. Se den fullständiga implementationsguiden nedan för anpassningsalternativ.
Steg-för-steg-guide för implementering
Steg 1: Konfigurera webhook-triggern
Ställ in den inkommande förfrågan som startar arbetsflödet för leverantörsbedömning.
- Lägg till eller öppna noden Incoming Vendor Request.
- Kopiera Test URL och Production URL från Incoming Vendor Request till er källa för leverantörsintag.
- Skicka en exempel-payload för att verifiera att webhooken tar emot leverantörsdata.
Steg 2: Anslut Google Sheets
Konfigurera loggningsdestinationen för leverantörernas scorecards.
- Öppna noden Update Sheets Log.
- Credential Required: Anslut era Google Sheets-uppgifter.
- Välj målarket och fliken där leverantörsposter ska läggas till.
Steg 3: Sätt upp bearbetnings-/AI-nod
Använd AI-noden för att förutsäga leverantörens risknivå utifrån webhook-payloaden.
- Öppna AI Risk Tier Prediction och konfigurera prompt/inputs så att den använder leverantörsdata från Incoming Vendor Request.
- Credential Required: Anslut era OpenAI-uppgifter.
- Säkerställ att utdatafälten är tillgängliga för efterföljande noder, som Certificate Validity Check.
Steg 4: Konfigurera utdata-/åtgärdsnoder
Validera certifikatdata, bygg scorecardet och dirigera utdata till loggning och e-postnotiser.
- Öppna Certificate Validity Check och definiera logiken för certifikatets giltighet baserat på AI-utdata eller webhook-fält.
- Öppna Prepare Vendor Scorecard och mappa de fält ni vill skriva till Sheets och skicka via e-post.
- Bekräfta att Prepare Vendor Scorecard skickar utdata till både Update Sheets Log och Notify GRC Owner parallellt.
- Öppna Notify GRC Owner och konfigurera e-postens ämne, mottagare och innehåll med scorecard-fälten.
- Credential Required: Anslut era Gmail-uppgifter.
Steg 5: Testa och aktivera ert arbetsflöde
Verifiera funktion end-to-end och slå sedan på arbetsflödet för live-inskick från leverantörer.
- Klicka på Execute Workflow och skicka en test-payload till Incoming Vendor Request.
- Bekräfta att AI Risk Tier Prediction och Certificate Validity Check körs utan fel.
- Verifiera att Update Sheets Log lägger till en ny rad och att Notify GRC Owner skickar ett e-postmeddelande.
- Växla arbetsflödet till Active för produktion.
Saker att se upp med
- OAuth-uppgifter för Google Sheets kan löpa ut eller sakna behörigheter. Om rader slutar skrivas, kontrollera först status för autentiseringsuppgifterna i Google Sheets-noden i n8n.
- Om du lägger till Wait-noder eller externa uppslag (t.ex. en HTTP Request mot ett leverantörsregister) varierar processtiderna. Öka väntetiden om nedströmsnoder fallerar på tomma svar.
- Standardprompter för AI är generiska. Lägg in er interna riskaptit och tydliga regler för ”kritisk” tidigt, annars kommer du att ifrågasätta resultaten och skriva om sammanfattningar.
Vanliga frågor
Vanligtvis på ungefär en timme när dina konton är anslutna.
Ja, men någon behöver vara bekväm med att koppla ihop verktyg och testa några exempelinskick. Ingen kodning krävs, och det mesta av arbetet är att mappa fält och bekräfta mejlroutingen.
Ja. n8n har ett gratis self-hosted-alternativ och en gratis provperiod på n8n Cloud. Cloud-planer börjar på 20 USD/månad för högre volymer. Du behöver också räkna in kostnader för OpenAI API-användning, som normalt är små för korta klassificeringsprompter.
Två alternativ: n8n Cloud (hanterad, enklast att komma igång) eller self-hosting på en VPS. För self-hosting är Hostinger VPS prisvärd och hanterar n8n bra. Self-hosting ger dig obegränsade körningar men kräver grundläggande serveradministration.
Du kan justera prompten för AI Risk Tier Prediction så att den matchar era interna definitioner för Låg, Standard och Kritisk. Många team bygger också ut Certificate Validity Check för att inkludera fler ramverk (ISO 27701, FedRAMP) och justerar Notify GRC Owner så att endast leverantörer på Kritisk nivå triggar ett mejl.
Oftast beror det på utgången OAuth-åtkomst eller att det anslutna Google-kontot har tappat behörighet till målarket. Återanslut Google Sheets-autentiseringsuppgiften i n8n, bekräfta att kalkylarket finns (och inte har bytt namn) och säkerställ att noden skriver till rätt flik. Om du lägger till många leverantörer samtidigt kan du också slå i Google API:s hastighetsbegränsningar, så att glesa ut körningarna kan hjälpa.
Den skalar bra för de flesta små team, eftersom varje leverantörsinsändning är en separat körning.
Ofta, ja, särskilt om du vill ha förgrenad logik (risknivåer, certifikatflaggor, olika aviseringar) utan att betala extra för varje väg. n8n ger dig också ett self-hosting-alternativ, vilket är användbart när leverantörsdata är känslig. Zapier eller Make kan fortfarande passa bra för ett enkelt tvåstegsflöde från intag till mejl. Den stora skillnaden är kontroll: i n8n kan du anpassa prompter, fält och villkor på ett ställe och hålla evidensloggningen konsekvent. Om du vill ha en second opinion, prata med en automationsexpert så hjälper vi dig att välja.
När detta väl är igång slutar leverantörsgranskningar att vara ett återkommande kaos och börjar se ut som ett system. Arbetsflödet hanterar det repetitiva evidensspåret så att du kan fokusera på de faktiska riskbesluten.
Kontakta oss
Hör av dig, så diskuterar vi hur just din verksamhet kan dra nytta av alla fantastiska möjligheter som AI skapar.