Slik gjennomfører du en risikovurdering

En risikovurdering er en strukturert prosess for å identifisere risikoer som kan påvirke målene dine, vurdere hvor alvorlige de er, og bestemme hva som skal gjøres med dem. Det er den samme kjerneprosessen enten du vurderer cybersikkerhet, arbeidsmiljø, prosjektrisiko eller forretningsrisiko.

Den globale standarden for risikostyring er ISO 31000:2018. Den beskriver en generisk prosess (identifiser, analyser, evaluer, behandle, overvåk) som fungerer for enhver organisasjon og enhver type risiko. Den er ikke sertifiserbar, men er referansen som andre standarder (ISO 27001, NIS2, DORA) bygger på.

I Sverige er systematisk arbeidsmiljøarbeid (SAM) regulert gjennom Arbeidstilsynets forskrifter AFS 2001:1. Arbeidsgiver er forpliktet til kontinuerlig å undersøke, vurdere, behandle og følge opp arbeidsmiljøet – ikke som et engangsprosjekt, men som en løpende syklus.

Risikovurderingen må være skriftlig (når virksomheten har mer enn ti ansatte), gjennomgås minst én gang i året og alltid før vesentlige endringer: nytt utstyr, ny organisasjon, nye arbeidsoppgaver, flytting eller innkjøp som påvirker arbeidet.

• Undersøk

  Kartlegg arbeidsforholdene. Vernerunder, medarbeiderundersøkelser, sykefraværsstatistikk og hendelsesrapportering er typiske kilder.

• Vurder

  Evaluer hver identifisert risiko etter sannsynlighet og alvorlighetsgrad. Fysiske, ergonomiske, kjemiske, biologiske, psykososiale og organisatoriske risikoer skal alle dekkes.

• Behandle

  Skriftlig handlingsplan med tiltak, ansvarlig, frist og oppfølging. Alt som ikke utbedres umiddelbart, tas inn i planen.

• Følg opp

  Kontroller at tiltak ble gjennomført og hadde ønsket effekt. Revider vurderingen ved endringer eller minst én gang i året.

Involvering av verneombud er obligatorisk. Dersom virksomheten har et verneombud, må det inkluderes i vurderingen (Arbeidsmiljøloven, kap. 6 § 4). Dokumentasjonen må være tilgjengelig for tilsyn av Arbeidstilsynet.

Arbeidsplassrisikoer og informasjonssikkerhetsrisikoer overlapper ofte (f.eks. stress under hendelser, GDPR-krav til overvåking på arbeidsplassen). En samlet vurdering sparer tid – men krever tverrfaglig kompetanse.

• Forankring i ledelsen

  En risikovurdering uten støtte fra ledelsen blir et dokument ingen leser. Sørg for at noen i ledelsen eier prosessen. En ensidig risikostyringspolicy signert av daglig leder er tilstrekkelig.

• Definer omfanget

  Hva skal vurderes? Hele virksomheten, et bestemt område, et prosjekt, en bestemt prosess (f.eks. behandling av personopplysninger)?

• Definer risikotoleranse

  Hvilke risikoer er du villig til å akseptere? Hvilke krever tiltak? Skriv tre eller fire nivåer (f.eks. score 1–3 = aksepter, 4–7 = overvåk, 8–14 = handlingsplan, 15–25 = umiddelbar handling).

• Samle de rette personene

  En risikovurdering utført av én person er én persons mening. Inviter 3–6 nøkkelpersoner med ulike perspektiver: drift, økonomi, IT og kundekontakt.

Dette er det viktigste trinnet. En oversett risiko er farligere enn en feilvurdert risiko.

Noen teknikker for risikoidentifikasjon:

• Strukturert idédugnad

  Samle gruppen og gå gjennom virksomhetsområde for virksomhetsområde. Spør: «Hva kan gå galt her?»

• AI-forslag som utgangspunkt

  Verktøy som RiskNote bruker kunstig intelligens til å foreslå 5 bransjerelevante risikoer per analyse. Nyttig for å fange opp risikoer du aldri har tenkt på.

• Gjennomgå tidligere hendelser

  Hva har gått galt tidligere? For dere, for konkurrenter, i bransjen?

• Sjekk standardlister

  ISO 27005 inneholder kataloger over typiske informasjonssikkerhetsrisikoer. Arbeidsmiljøforskrifter har eksempler på arbeidsplassrisikoer. Bruk dem som sjekklister.

• Prosessgjennomgang

  Gå gjennom en kritisk prosess (f.eks. fakturering, ansettelse, systemdrift) steg for steg og spør: «Hva kan gå galt her?»

For hver identifisert risiko vurderes sannsynlighet og konsekvens. Standard praksis er en 5×5-matrise (sannsynlighet 1–5 × konsekvens 1–5 = score 1–25).

Det viktigste er konsekvent bruk av skalaen. Definer hvert nivå på forhånd slik at alle som vurderer bruker samme forståelse.

• Sannsynlighet 1–5

  1 = sjelden (én gang per 10 år), 3 = mulig (én gang per 2–3 år), 5 = nesten sikkert (flere ganger per år).

• Konsekvens 1–5

  1 = ubetydelig (håndteres i normal drift), 3 = moderat (krever ledelsens inngripen), 5 = katastrofal (eksistensiell trussel).

• Vurder i gruppe

  Én persons vurdering er subjektiv. I en gruppe får du nyanser og konsensus.

• Dokumenter begrunnelsen

  Skriv én linje om hvorfor du valgte en gitt S og K. Hjelper ved senere gjennomgang.

Når hver risiko har fått en score, sammenlign med risikotoleransen. Kritiske risikoer (f.eks. score 15–25) krever umiddelbar handlingsplan. Høye risikoer (8–14) trenger en strukturert respons. Middels og lave kan overvåkes.

Vær oppmerksom på sorte svaner – risikoer med lav sannsynlighet men katastrofale konsekvenser (S=1, K=5 gir en score på 5, som ser lav ut, men kan være eksistensiell). Bruk kvalitativt skjønn, ikke bare score.

• Aksepter

  Risikoen er innenfor toleransen. Dokumenter og gå videre.

• Reduser (mitigere)

  Iverksett tiltak for å redusere sannsynlighet eller konsekvens. Det vanligste valget. Dokumenter tiltak, ansvarlig og frist.

• Overfør

  Forsikring, outsourcing eller kontraktsklausuler som overfører risikoen. Merk: noen risikoer (f.eks. omdømme) kan ikke overføres.

• Unngå

  Avslå aktiviteten som skaper risikoen. Noen ganger det eneste fornuftige valget.

Risikoer endrer seg. Nye dukker opp, gamle blir irrelevante, og tiltak endrer bildet. En risikovurdering er ferskvare.

Praksis: kvartalsvise gjennomganger for operasjonelle risikoer, årlig for strategiske. Prosjektrisikoer oppdateres per sprint eller styringsgruppemøte. Ved større endringer (ny leverandør, regulatorisk endring, systembytte) gjennomføres alltid en ny runde.