Hva er et risikoregister?
Et risikoregister er ryggraden i risikostyring. Det er her risikoer lever, vokser, behandles og gjennomgås. Her er en komplett guide til hva det bør inneholde, hvordan du bygger det, og hvordan du holder det levende over tid.
By Kim Borg, Founder, RiskNote · Last updated
Hva er et risikoregister?
Et risikoregister er en strukturert liste over alle identifiserte risikoer i en organisasjon eller et prosjekt, sammen med vurdering, eierskap, tiltak og status. Det er operasjonelt – det skal leses, oppdateres og gjennomgås regelmessig.
Registeret er ikke en risikorapport. Rapporten er et øyeblikksbilde (PDF til styret) hentet fra registeret. Registeret er de levende dataene.
I ISO 27001 er risikoregisteret en obligatorisk del av ISMS (punkt 6.1.2 og 8.2). I ISO 31000 er det standardresultatet av prosessen. I NIS2 art. 21 er det en forutsetning for risikobasert cybersikkerhet.
Hvilke felter bør inkluderes?
Et komplett risikoregister har typisk disse feltene per risiko:
ID
Unikt nummer eller kode (R-001, R-002...). Gjør det mulig å referere til risikoen uten å skrive hele beskrivelsen.
Beskrivelse
Hva er risikoen? Skriv 1–2 setninger. Unngå vage formuleringer («risiko for IT-problemer»), vær spesifikk («nedetid i faktureringssystemet over 4 timer»).
Kategori/domene
Operasjonell, finansiell, strategisk, compliance, cyber, prosjekt. Gjør filtrering og rapportering enkelt.
Sannsynlighet (1–5)
Hvor sannsynlig det er at risikoen inntreffer. Bruk en definert skala.
Konsekvens (1–5)
Hvor alvorlig det er dersom risikoen inntreffer. Kan vurderes separat for finansiell, operasjonell, omdømmemessig og compliance.
Score / alvorlighetsgrad
S × K = 1–25. Oversettes til lav/middels/høy/kritisk.
Eier
Navngitt person som er ansvarlig for risikoen. Uten en eier skjer ingenting.
Tiltak
Hva gjøres med risikoen? Akseptere, redusere, overføre eller unngå. Konkret handlingsplan ved reduksjon.
Status
Åpen, under behandling, behandlet, lukket. Endres over tid.
Datoer
Når ble risikoen identifisert? Når ble den sist gjennomgått? Når er neste gjennomgang?
Restrisiko
Sannsynlighet og konsekvens etter behandling. Viser om tiltaket er tilstrekkelig.
Brutto-, netto- og restrisiko
Et modent risikoregister skiller mellom tre risikomål per rad. Dette er begrepene ISO 27001-revisorer og styrer forventer å se:
Bruttorisiko (iboende risiko)
Risikoen uten noen kontroller eller tiltak. Hvor ille kan det bli i verste fall? Avgjørende for å begrunne sikkerhetsinvesteringer.
Nettorisiko / restrisiko
Risikoen etter at eksisterende kontroller er tatt med i beregningen. Dette er verdien som sammenlignes med din risikoappetitt. Kalles også restrisiko.
Målrisiko
Det risikonivået du ønsker å nå etter planlagte tiltak. Gapet mellom nettorisiko og målrisiko viser om planlagte tiltak er tilstrekkelige.
Hvorfor er dette viktig? En risiko med høy bruttorisiko men lav nettorisiko (takket være sterke kontroller) trenger vedlikehold av kontroller, ikke nye tiltak. Et element med lav bruttorisiko trenger sjelden dedikerte tiltak i det hele tatt. Uten dette skillet blir alt én usorterbar haug.
Hvor mange risikoer bør registeret ha?
For en SMB (15–50 ansatte): 10–30 risikoer er typisk. Færre, og du går sannsynligvis glipp av viktige ting. Flere, og registeret blir vanskelig å håndtere.
For en mellomstor organisasjon (100–500 ansatte): 30–80 risikoer på tvers av domener.
For store organisasjoner: 100+ risikoer, ofte delt opp etter forretningsområde eller domene.
For et prosjekt: 10–20 risikoer, oppdatert per sprint eller styringsmøte.
Vanlige feil med risikoregistre
Registeret oppdateres aldri
Opprettet for ISO-sertifisering, deretter lagt til side. Verdien forsvinner innen 6 måneder.
Ingen eier per risiko
Uten en eier er risikoen teoretisk. Navngitt person med mandat.
Risikoer uten tiltak
Å dokumentere en risiko uten plan er å dokumentere svikt. Alle risikoer bør ha et valgt svar (akseptere/redusere/overføre/unngå).
For abstrakt formulering
«Risiko for IT-hendelser» er ikke en risiko. «Ransomware-angrep som gjør faktureringssystemet utilgjengelig i over 4 timer» er en risiko.
Ingen i ledelsen leser det
Hvis ingen i ledelsen aktivt bruker registeret, er ikke prosessen forankret. Løs det først, ikke formatet.
Excel vs. dedikert verktøy
Excel fungerer for små registre (under ca. 15 risikoer), men blir raskt problematisk: versjonsdrift, ødelagte formler, ingen revisjonsspor, vanskelig å dele med kontroll, ingen rollebasert tilgang.
Et dedikert verktøy som RiskNote gir deg versjonshistorikk per risiko, deling via lenke med roller, AI-forslag til identifisering og PDF-eksport direkte fra data – ikke manuell rapportsammenstilling.
Se vår guide til Excel-alternativer for risikoregistre.
Ofte stilte spørsmål om risikoregistre
Er risikoregisteret og risikovurderingen det samme?
Nei. Risikovurderingen er prosessen (identifisere, analysere, evaluere). Risikoregisteret er resultatet – listen over alle risikoer med tilhørende vurdering. Registeret vedlikeholdes; risikovurderingen er en tilbakevendende aktivitet.
Hvor ofte bør registeret gjennomgås?
Operasjonelle risikoer: kvartalsvis. Strategiske: årlig. Prosjektrisikoer: per sprint eller styringsmøte. Ved større hendelser (regelverksendring, stor kontrakt, systembytte): alltid.
Må alle risikoer dokumenteres i registeret?
Alle vesentlige risikoer, ja. Dagligdagse rutineforhold (løs dem direkte) trenger ikke å stå der. Grensen: hvis risikoen vesentlig kan påvirke målene dine, dokumenter den.
Hvem bør ha tilgang til registeret?
Internt: ledergruppen, relevante avdelingsledere, risikoeiere. Eksternt: revisorer, tilsynsmyndigheter ved gjennomgang, forsikringsselskaper ved fornyelse. Ikke offentlig.
Hvordan eksporterer jeg registeret til en styrepresentasjon?
I RiskNote: ett klikk gir deg en PDF med matrise, register og AI-avsløring. I Excel: sett manuelt sammen tabell og skjermbilde av matrisen.
More guides
Bygg ditt risikoregister i RiskNote
Versjonshistorikk, AI-forslag, 5×5-matrise og PDF-eksport innebygd. Start en 7-dagers gratis prøveperiode.