Så gör du en riskbedömning på en eftermiddag
En praktisk steg-för-steg-guide för små och medelstora organisationer. Från blank sida till ett komplett, användbart riskregister på under fyra timmar.
De flesta riskbedömningsprojekt dör i förberedelsefasen. Någon bokar en workshop, googlar mallar, laddar ner en 40-sidig ISO-standard, och tre månader senare har ingenting hänt. Det är synd, för en riskbedömning som ger 80% av värdet tar inte tre månader. Den tar en eftermiddag.
Här är receptet.
Innan du sätter igång: tre förberedelser
Du behöver tre saker i botten innan du börjar:
- En lista över organisationens mål. Vad är det verksamheten försöker uppnå i år? Utan det har du inget att bedöma risk mot.
- En grupp på 3–5 personer. En riskbedömning av en person är en persons åsikt. I grupp får du nyans.
- En agenda på fyra timmar. Dela upp i två block à två timmar om det är lättare, en för identifiering, en för bedömning och åtgärder.
14:00–15:00, identifiera risker
Det här är det viktigaste steget. Missad risk är farligare än missbedömd risk.
Några tekniker som fungerar:
- Processgenomgång. Gå igenom era kritiska processer (fakturering, rekrytering, systemdrift, kundonboarding) steg för steg och fråga ”vad kan gå fel här?”
- Historisk genomgång. Vad har gått fel tidigare hos er? Hos konkurrenter? I branschen?
- AI-förslag. Verktyg som RiskNote föreslår 5 branschrelevanta risker per analys. Bra för att fånga saker ni inte tänkt på.
- Kolla standardlistor. ISO 27005 har kataloger över informationssäkerhetsrisker. Använd som checklista.
Målet: 15–25 risker i ett första utkast. Bättre för många än för få, du skär bort senare.
15:00–16:00, analysera och bedöm
För varje risk: sätt sannolikhet (1–5) och konsekvens (1–5). Multiplicera för poäng (1–25).
Kritiskt: definiera skalan i förväg. Vad betyder L=3? ”Har hänt tidigare eller kan förväntas inträffa, ungefär en gång per 2–3 år.” Skriv det på tavlan innan ni börjar.
Bedöm i grupp, inte individuellt. Om gruppen är oenig om L=2 eller L=3, det är det som ger värde. Diskussionen är viktigare än siffran.
16:00–17:00, prioritera och åtgärda
Nu har ni en lista med poäng. Dra en linje vid er risktolerans, poäng över vilken nivå kräver åtgärd?
En vanlig uppdelning:
- Låg (1–3): dokumentera, gå vidare.
- Medel (4–7): bevaka, överväg åtgärd.
- Hög (8–14): strukturerad åtgärdsplan.
- Kritisk (15–25): omedelbar åtgärd, eskalera till ledning.
För varje risk över tröskeln, besluta:
- Ägare, namngiven person. Utan ägare blir inget gjort.
- Åtgärd, acceptera, minska, överföra (försäkring), eller undvika.
- Deadline, ”Q3 2026” är bättre än ”snart”.
17:00, packa ihop
Efter fyra timmar har ni:
- 15–25 identifierade risker.
- En bedömning per risk.
- Åtgärdsplan för topp 5.
- Ett levande riskregister.
Det viktigaste ni inte har gjort: byggt ett perfekt register. Perfektion är fienden. Registret är en levande produkt, ni uppdaterar det nästa kvartal.
Vad som tar längre tid
Om ni ska certifieras enligt ISO 27001 tillkommer:
- Mappning till Annex A-kontroller per risk.
- Statement of Applicability (SoA).
- Formell granskning av ledningen.
Om ni är NIS2-omfattade tillkommer:
- Styrelseförankring av riskprocessen.
- Incidentrapporteringsprocess.
- Leverantörsriskbedömning.
Men grundstrukturen, de 15–25 riskerna, är samma.
Verktyget
Du kan göra allt ovan i Excel. Det fungerar tills registret växer över ~15 risker eller tills flera personer ska redigera. Då blir det en flaskhals.
RiskNote ger dig samma struktur i ett verktyg som sparar, spårar och kan dela kontrollerat. Prova 7 dagar gratis, eller börja med vår gratis Excel-mall.
Nästa inlägg: hur du ger riskregistret liv över tid, det vill säga hur du undviker att det blir en död PDF efter en månad.