Hvad er et risikoregister?
Et risikoregister er rygraden i risikostyring. Det er her, risici opstår, udvikler sig, behandles og gennemgås. Her er en komplet guide til, hvad det skal indeholde, hvordan man opbygger det, og hvordan man holder det levende over tid.
By Kim Borg, Founder, RiskNote · Last updated
Hvad er et risikoregister?
Et risikoregister er en struktureret liste over alle identificerede risici i en organisation eller et projekt, sammen med vurdering, ejerskab, handlinger og status. Det er operationelt – det skal læses, opdateres og gennemgås regelmæssigt.
Registeret er ikke en risikorapport. Rapporten er et øjebliksbillede (PDF til bestyrelsen) udtrukket fra registeret. Registeret er de levende data.
I ISO 27001 er risikoregisteret en obligatorisk del af ISMS (klausul 6.1.2 og 8.2). I ISO 31000 er det standardoutputtet fra processen. I NIS2 art. 21 er det forudsætningen for risikobaseret cybersikkerhed.
Hvilke felter bør inkluderes?
Et komplet risikoregister har typisk disse felter pr. risiko:
ID
Unikt nummer eller kode (R-001, R-002...). Gør det muligt at referere til risikoen uden at skrive hele beskrivelsen.
Beskrivelse
Hvad er risikoen? Skriv 1–2 sætninger. Undgå vage formuleringer (»risiko for IT-problemer«), vær specifik (»nedetid i faktureringssystemet på over 4 timer«).
Kategori/domæne
Operationel, finansiel, strategisk, compliance, cyber, projekt. Gør filtrering og rapportering nemt.
Sandsynlighed (1–5)
Hvor sandsynligt det er, at risikoen indtræffer. Brug en defineret skala.
Konsekvens (1–5)
Hvor alvorligt det er, hvis risikoen indtræffer. Kan vurderes separat for finansielle, operationelle, omdømmemæssige og compliance-mæssige forhold.
Score / alvorlighed
S × K = 1–25. Oversættes til lav/mellem/høj/kritisk.
Ejer
Navngiven person med ansvar for risikoen. Uden en ejer sker der ingenting.
Handling
Hvad gøres der ved risikoen? Accepter, reducer, overfør eller undgå. Konkret handlingsplan ved reduktion.
Status
Åben, under behandling, behandlet, lukket. Ændrer sig over tid.
Datoer
Hvornår blev risikoen identificeret? Hvornår sidst gennemgået? Hvornår næste gang?
Restrisiko
Sandsynlighed og konsekvens efter behandling. Viser, om handlingen er tilstrækkelig.
Brutto-, netto- og restrisiko
Et modent risikoregister skelner mellem tre risikomål pr. række. Det er de begreber, ISO 27001-revisorer og bestyrelser forventer at se:
Bruttorisiko (inherent risk)
Risikoen uden nogen kontroller eller behandlinger. Hvor galt kan det gå i værste fald? Afgørende for at begrunde sikkerhedsinvesteringer.
Nettorisiko / restrisiko
Risikoen efter at eksisterende kontroller er indregnet. Det er denne værdi, der sammenlignes med din risikotolerance. Kaldes også restrisiko.
Målrisiko
Det risikoniveau, du sigter mod at nå efter planlagte behandlinger. Forskellen mellem nettorisiko og målrisiko viser, om de planlagte handlinger er tilstrækkelige.
Hvorfor er det vigtigt? En risiko med høj bruttorisiko men lav nettorisiko (takket være stærke kontroller) kræver kontrolvedligeholdelse, ikke nye behandlinger. Et element med lav bruttorisiko kræver sjældent dedikerede handlinger overhovedet. Uden denne skelnen bliver alt én stor bunke.
Hvor mange risici bør registeret indeholde?
For en SMV (15–50 medarbejdere): 10–30 risici er typisk. Færre, og du overser sandsynligvis vigtige ting. Flere, og registeret bliver svært at håndtere.
For en mellemstor organisation (100–500 medarbejdere): 30–80 risici på tværs af domæner.
For store organisationer: 100+ risici, ofte opdelt efter forretningsområde eller domæne.
For et projekt: 10–20 risici, opdateret pr. sprint eller styregrudemøde.
Typiske fejl med risikoregistre
Registeret opdateres aldrig
Oprettet til ISO-certificering og derefter sat til side. Værdien er tabt inden for 6 måneder.
Ingen ejer pr. risiko
Uden en ejer er risikoen teoretisk. Navngiven person med mandat.
Risici uden handling
At dokumentere en risiko uden en plan er at dokumentere et problem. Enhver risiko bør have et valgt svar (accepter/reducer/overfør/undgå).
Alt for abstrakte formuleringer
»Risiko for IT-hændelser« er ikke en risiko. »Ransomware-angreb der gør faktureringssystemet utilgængeligt i over 4 timer« er en risiko.
Ingen i ledelsen læser det
Hvis ingen i ledelsen aktivt bruger registeret, er processen ikke forankret. Løs det først – ikke formatet.
Excel vs. dedikeret værktøj
Excel fungerer til små registre (under ca. 15 risici), men bliver hurtigt problematisk: versionsdrift, ødelagte formler, ingen revisionssti, svært at dele med kontrol, ingen rollebaseret adgang.
Et dedikeret værktøj som RiskNote giver dig versionshistorik pr. risiko, deling via link med roller, AI-forslag til identificering og PDF-eksport direkte fra data – frem for manuel rapportsamling.
Se vores guide til Excel-alternativer til risikoregistre.
Ofte stillede spørgsmål om risikoregistre
Er risikoregisteret og risikovurderingen det samme?
Nej. Risikovurderingen er processen (identificer, analysér, evaluer). Risikoregisteret er outputtet – listen over alle risici med tilhørende vurdering. Registeret vedligeholdes; vurderingen er en tilbagevendende aktivitet.
Hvor ofte bør registeret gennemgås?
Operationelle risici: kvartalsvis. Strategiske: årligt. Projektrisici: pr. sprint eller styregrudemøde. Ved større hændelser (regulatorisk ændring, større kontrakt, systemskift): altid.
Skal enhver risiko dokumenteres i registeret?
Enhver væsentlig risiko, ja. Rutinemæssige dagligdagsproblemer (løses direkte) behøver ikke at indgå. Linjen: hvis risikoen materielt kan påvirke dine mål, skal den dokumenteres.
Hvem bør have adgang til registeret?
Internt: ledelsesteam, relevante afdelingsledere, risikoejere. Eksternt: revisorer, tilsynsmyndigheder ved gennemgang, forsikringsselskaber ved fornyelse. Ikke offentligt.
Hvordan eksporterer jeg registeret til en bestyrelsespræsentation?
I RiskNote: ét klik giver dig en PDF med matrix, register og AI-oplysning. I Excel: samling af tabel og skærmbillede af matrix manuelt.
More guides
Byg dit risikoregister i RiskNote
Versionshistorik, AI-forslag, 5×5-matrix og PDF-eksport er indbygget. Start en 7-dages gratis prøveperiode.