RiskNote

Så gör du en riskbedömning på en eftermiddag

En praktisk steg-för-steg-guide för små och medelstora organisationer. Från blank sida till ett komplett, användbart riskregister på under fyra timmar.

Kim Borg3 min läsning

De flesta riskbedömningsprojekt dör i förberedelsefasen. Någon bokar en workshop, googlar mallar, laddar ner en 40-sidig ISO-standard, och tre månader senare har ingenting hänt. Det är synd, för en riskbedömning som ger 80% av värdet tar inte tre månader. Den tar en eftermiddag.

Här är receptet.

Innan du sätter igång: tre förberedelser

Du behöver tre saker i botten innan du börjar:

  1. En lista över organisationens mål. Vad är det verksamheten försöker uppnå i år? Utan det har du inget att bedöma risk mot.
  2. En grupp på 3–5 personer. En riskbedömning av en person är en persons åsikt. I grupp får du nyans.
  3. En agenda på fyra timmar. Dela upp i två block à två timmar om det är lättare, en för identifiering, en för bedömning och åtgärder.

14:00–15:00, identifiera risker

Det här är det viktigaste steget. Missad risk är farligare än missbedömd risk.

Några tekniker som fungerar:

  • Processgenomgång. Gå igenom era kritiska processer (fakturering, rekrytering, systemdrift, kundonboarding) steg för steg och fråga ”vad kan gå fel här?”
  • Historisk genomgång. Vad har gått fel tidigare hos er? Hos konkurrenter? I branschen?
  • AI-förslag. Verktyg som RiskNote föreslår 5 branschrelevanta risker per analys. Bra för att fånga saker ni inte tänkt på.
  • Kolla standardlistor. ISO 27005 har kataloger över informationssäkerhetsrisker. Använd som checklista.

Målet: 15–25 risker i ett första utkast. Bättre för många än för få, du skär bort senare.

15:00–16:00, analysera och bedöm

För varje risk: sätt sannolikhet (1–5) och konsekvens (1–5). Multiplicera för poäng (1–25).

Kritiskt: definiera skalan i förväg. Vad betyder L=3? ”Har hänt tidigare eller kan förväntas inträffa, ungefär en gång per 2–3 år.” Skriv det på tavlan innan ni börjar.

Bedöm i grupp, inte individuellt. Om gruppen är oenig om L=2 eller L=3, det är det som ger värde. Diskussionen är viktigare än siffran.

16:00–17:00, prioritera och åtgärda

Nu har ni en lista med poäng. Dra en linje vid er risktolerans, poäng över vilken nivå kräver åtgärd?

En vanlig uppdelning:

  • Låg (1–3): dokumentera, gå vidare.
  • Medel (4–7): bevaka, överväg åtgärd.
  • Hög (8–14): strukturerad åtgärdsplan.
  • Kritisk (15–25): omedelbar åtgärd, eskalera till ledning.

För varje risk över tröskeln, besluta:

  1. Ägare, namngiven person. Utan ägare blir inget gjort.
  2. Åtgärd, acceptera, minska, överföra (försäkring), eller undvika.
  3. Deadline, ”Q3 2026” är bättre än ”snart”.

17:00, packa ihop

Efter fyra timmar har ni:

  • 15–25 identifierade risker.
  • En bedömning per risk.
  • Åtgärdsplan för topp 5.
  • Ett levande riskregister.

Det viktigaste ni inte har gjort: byggt ett perfekt register. Perfektion är fienden. Registret är en levande produkt, ni uppdaterar det nästa kvartal.

Vad som tar längre tid

Om ni ska certifieras enligt ISO 27001 tillkommer:

  • Mappning till Annex A-kontroller per risk.
  • Statement of Applicability (SoA).
  • Formell granskning av ledningen.

Om ni är NIS2-omfattade tillkommer:

  • Styrelseförankring av riskprocessen.
  • Incidentrapporteringsprocess.
  • Leverantörsriskbedömning.

Men grundstrukturen, de 15–25 riskerna, är samma.

Verktyget

Du kan göra allt ovan i Excel. Det fungerar tills registret växer över ~15 risker eller tills flera personer ska redigera. Då blir det en flaskhals.

RiskNote ger dig samma struktur i ett verktyg som sparar, spårar och kan dela kontrollerat. Prova 7 dagar gratis, eller börja med vår gratis Excel-mall.

Nästa inlägg: hur du ger riskregistret liv över tid, det vill säga hur du undviker att det blir en död PDF efter en månad.