Sådan laver du en risikovurdering

En risikovurdering er en struktureret proces til at identificere risici, der kan påvirke dine mål, vurdere hvor alvorlige de er, og beslutte, hvad der skal gøres ved dem. Det er den samme kerneproces, uanset om du vurderer cybersikkerhed, arbejdsmiljø, projektrisici eller forretningsrisici.

Den globale standard for risikostyring er ISO 31000:2018. Den beskriver en generisk proces (identificer, analysér, evaluer, behandl, overvåg), der fungerer for enhver organisation og enhver type risiko. Den er ikke certificerbar, men den er den reference, som andre standarder (ISO 27001, NIS2, DORA) bygger på.

I Sverige reguleres systematisk arbejdsmiljøledelse (SAM) gennem Arbejdsmiljøstyrelsens regler AFS 2001:1. Arbejdsgiveren er forpligtet til løbende at undersøge, vurdere, behandle og følge op på arbejdsmiljøet – ikke som et engangsprojekt, men som en kontinuerlig cyklus.

Risikovurderingen skal være skriftlig (når virksomheden har mere end ti ansatte), gennemgås mindst én gang årligt og altid inden væsentlige ændringer: nyt udstyr, ny organisation, nye opgaver, flytning eller indkøb, der påvirker arbejdet.

• Undersøg

  Kortlæg arbejdsforholdene. Sikkerhedsrunder, medarbejderundersøgelser, sygefraværsstatistik og hændelsesrapportering er typiske kilder.

• Vurdér

  Evaluer hver identificeret risiko efter sandsynlighed og alvorlighed. Fysiske, ergonomiske, kemiske, biologiske, psykosociale og organisatoriske risici skal alle dækkes.

• Behandl

  Skriftlig handlingsplan med tiltag, ansvarlig, deadline og opfølgning. Alt, der ikke løses straks, indgår i planen.

• Følg op

  Kontrollér, at tiltagene er gennemført, og at de har haft den tilsigtede effekt. Revidér vurderingen ved ændringer eller mindst én gang årligt.

Inddragelse af sikkerhedsrepræsentanten er obligatorisk. Hvis virksomheden har en sikkerhedsrepræsentant, skal vedkommende inddrages i vurderingen (Arbejdsmiljøloven, kap. 6 § 4). Dokumentationen skal være tilgængelig for Arbejdsmiljøstyrelsens tilsyn.

Arbejdspladssrisici og informationssikkerhedsrisici overlapper ofte (f.eks. stress under hændelser, GDPR-krav til overvågning på arbejdspladsen). En samlet vurdering sparer tid – men kræver tværfaglig ekspertise.

• Ledelsesmæssig opbakning

  En risikovurdering uden ledelsens opbakning bliver et dokument, ingen læser. Sørg for, at nogen i ledelsen ejer processen. Et enkeltsidet risikostyringspolitik underskrevet af direktøren er tilstrækkeligt.

• Definer omfanget

  Hvad skal vurderes? Hele virksomheden, et specifikt område, et projekt eller en bestemt proces (f.eks. behandling af personoplysninger)?

• Definer risikotolerancen

  Hvilke risici er du villig til at acceptere? Hvilke kræver handling? Skriv tre eller fire niveauer (f.eks. score 1–3 = acceptér, 4–7 = overvåg, 8–14 = handlingsplan, 15–25 = øjeblikkelig handling).

• Saml de rette personer

  En risikovurdering udført af én person er én persons mening. Invitér 3–6 nøglepersoner med forskellige perspektiver: drift, økonomi, IT og kundekendskab.

Dette er det vigtigste trin. En overset risiko er farligere end en fejlvurderet.

Nogle teknikker til risikoidentifikation:

• Struktureret brainstorming

  Saml gruppen, og gå forretningsområde for forretningsområde igennem. Spørg: 'Hvad kan gå galt her?'

• AI-forslag som udgangspunkt

  Værktøjer som RiskNote bruger AI til at foreslå 5 brancherelevante risici pr. analyse. Nyttigt til at fange risici, du aldrig har overvejet.

• Gennemgå tidligere hændelser

  Hvad er gået galt før? For jer, for konkurrenter, i branchen?

• Tjek standardlister

  ISO 27005 indeholder kataloger over typiske informationssikkerhedsrisici. Arbejdsmiljøregler har eksempler på arbejdspladssrisici. Brug dem som tjeklister.

• Procesgennemgang

  Gå en kritisk proces igennem trin for trin (f.eks. fakturering, ansættelse, systemdrift), og spørg: 'Hvad kan gå galt her?'

For hver identificeret risiko vurderes sandsynlighed og konsekvens. Standardpraksis er en 5x5-matrix (sandsynlighed 1–5 × konsekvens 1–5 = score 1–25).

Det afgørende er konsekvent anvendelse af skalaen. Definér hvert niveau på forhånd, så alle, der foretager vurderingen, bruger den samme forståelse.

• Sandsynlighed 1–5

  1 = sjælden (én gang pr. 10 år), 3 = mulig (én gang pr. 2–3 år), 5 = næsten sikker (flere gange pr. år).

• Konsekvens 1–5

  1 = ubetydelig (håndteres i den normale drift), 3 = moderat (kræver ledelsesmæssig indgriben), 5 = katastrofal (eksistentiel trussel).

• Vurdér i gruppe

  Én persons vurdering er subjektiv. I en gruppe får du nuancer og konsensus.

• Dokumentér begrundelsen

  Skriv en enkelt linje om, hvorfor du valgte en given sandsynlighed og konsekvens. Det hjælper ved senere gennemgang.

Når alle risici har en score, sammenlignes de med din risikotolerance. Kritiske risici (f.eks. score 15–25) kræver en øjeblikkelig handlingsplan. Høje risici (8–14) kræver et struktureret svar. Mellem og lave risici kan overvåges.

Vær opmærksom på sorte svaner – risici med lav sandsynlighed, men katastrofale konsekvenser (S=1, K=5 giver en score på 5, som ser lav ud, men kan være eksistentiel). Brug kvalitativ vurdering og ikke kun score.

• Acceptér

  Risikoen er inden for tolerancen. Dokumentér og gå videre.

• Reducér (afbød)

  Tag skridt til at reducere sandsynlighed eller konsekvens. Det mest almindelige valg. Dokumentér tiltag, ansvarlig og deadline.

• Overfør

  Forsikring, outsourcing eller kontraktuelle klausuler, der flytter risikoen. Bemærk: visse risici (f.eks. omdømme) kan ikke overføres.

• Undgå

  Afvis den aktivitet, der skaber risikoen. Nogle gange det eneste fornuftige valg.

Risici bevæger sig. Nye opstår, gamle bliver irrelevante, og tiltag ændrer billedet. En risikovurdering har en begrænset holdbarhed.

Praksis: kvartalsvise gennemgange for operationelle risici, årlige for strategiske. Projektrisici opdateres pr. sprint eller styregrudemøde. Ved større ændringer (ny leverandør, regulatoriske ændringer, systemskift) foretages altid en ny runde.