RiskNote

5x5 eller 3x3? Så väljer du rätt riskmatris

3x3 är för grov, 7x7 för komplex. Men det är inte hela sanningen. Här är argumenten för när varje skala passar, och varför 5x5 är standard.

Kim Borg3 min läsning

En återkommande fråga i varje första workshop: ”Ska vi använda 3x3 eller 5x5?” Och då och då, från någon med mycket erfarenhet: ”Varför inte 7x7? Bättre nyans.”

Det korta svaret: 5x5 passar 95 % av fallen. Det långa svaret handlar om vad riskmatrisen faktiskt är till för.

Vad riskmatrisen gör

En riskmatris är ett kommunikationsverktyg. Den tjänar tre syften:

  1. Visualisera risker för en grupp människor som inte hinner läsa 40 sidor analys.
  2. Prioritera vad som ska åtgärdas först.
  3. Skapa konsensus om att risk A är viktigare än risk B.

Det är inte ett vetenskapligt instrument. Det är ett styrinstrument.

3x3, när funkar det?

3x3 ger tre nivåer per dimension: låg/medel/hög. Nio kombinationer totalt.

Fördelar:

  • Snabbt att bedöma. Människor är bättre på ”låg/medel/hög” än på 1–5.
  • Tydlig beslutsgrund. Kritisk risk är uppenbart.
  • Passar preliminära bedömningar (säkerhetsskyddsanalys fas 1, skoltidsprojekt).

Problem:

  • Förlust av nyans. Allt hamnar ofta i ”medel”.
  • Svårt att rangordna inom samma nivå, är denna medelrisk värre än den?
  • Otillräckligt för mognad riskhantering (ISO 27001, DORA, NIS2 förutsätter finare skala).

Använd 3x3 för: första-ordnings-triage, utbildningssyften, småprojekt med 5–10 risker.

5x5, varför det är standard

5x5 ger 25 kombinationer och poäng 1–25. Det räcker för att skilja ”trivial”, ”bevaka”, ”åtgärda”, ”akut” med plats för nyans.

Fördelar:

  • Granulär nog för meningsfull prioritering.
  • Människor kan hålla 5 nivåer i huvudet (7 är gräns).
  • Standard i ISO 31000-implementationer, ISO 27005, NIS2-tillämpningar.
  • Revisionsvänlig, finns gott om referensmaterial när någon frågar.

Problem:

  • Pseudoprecision. ”Poäng 10” ser mer objektiv ut än det är. Värsta fallgroppen: folk slutar diskutera L och K och nöjer sig med siffran.
  • Risker bunten i mitten. Om skalan inte är tydligt definierad hamnar allt i L=3, K=3.

Använd 5x5 för: ISO-arbete, NIS2-compliance, DORA, löpande riskhantering i SME till mellanstora organisationer, nästan allt.

7x7 eller högre, lönar det sig?

7x7 ger 49 kombinationer. Teoretiskt bättre upplösning.

Problem i praktiken:

  • Kognitiv överbelastning. Vad är skillnaden mellan L=4 och L=5 i en 7-gradig skala?
  • Falskt intryck av precision. Om grundbedömningen är ”det här känns som en 3 eller en 4” tjänar inte 7 steg något.
  • Revisionsrapportering blir krånglig. Standardmallar förutsätter 5x5.

Använd 7x7 för: specialiserade finansiella riskmodeller (VaR, kreditbetyg, Solvens II-analys), vetenskaplig riskanalys. Inte för vardagsriskhantering.

Kvalitativa vs kvantitativa skalor

Det finns ett tredje alternativ: beskrivande skalor istället för siffror.

Exempel:

  • Sannolikhet: ”Har aldrig hänt”, ”Har hänt en gång”, ”Händer sällan”, ”Händer regelbundet”, ”Händer nästan dagligen”.
  • Konsekvens: ”Marginell”, ”Liten”, ”Märkbar”, ”Allvarlig”, ”Katastrofal”.

Fördel: Tvingar precision i definitionerna. Ingen kan gömma sig bakom siffran 3.

Nackdel: Svårare att räkna med. ”Poäng” blir otydligt om skalan är kvalitativ.

Bästa kompromissen: 5-stegsskalor med tydliga kvalitativa beskrivningar för varje nivå. Det är vad RiskNote och de flesta etablerade verktyg använder.

Vanliga misstag med matrisen

1. Alla risker i mitten

Om gruppens första bedömning lägger allt på L=3, K=3 är skalan otillräckligt definierad. Skriv definitioner för varje nivå innan ni bedömer.

2. Ingen koppling till risktolerans

Poängen själv säger ingenting. Ni måste definiera vad som är acceptabelt (”poäng 1–7 accepteras, 8–14 kräver åtgärd, 15–25 kräver styrelsebeslut”).

3. Ignorera svarta svanar

Lågsannolika men katastrofala risker (L=1, K=5 → poäng 5) ser gröna ut. Men de kan vara existensiella. Använd kvalitativ bedömning parallellt med poängen, flagga katastrofala konsekvenser separat.

4. Matrisen som slutmål

Matrisen är kommunikation. Själva riskhanteringen händer i åtgärdsplanerna. Om ni har en fin matris men inga åtgärder har ni gjort hälften av jobbet.

Bottom line

Börja med 5x5. Det är standard, revisionsvänligt, och räcker för 95 % av all riskhantering som SME:er och mellanstora organisationer gör. Definiera skalan tydligt, bedöm i grupp, och komplettera med kvalitativ bedömning av ”svarta svanar”.

Vill du testa direkt? Vår gratis 5x5-matrisgenerator låter dig lägga in risker och se dem live. Eller läs hela guiden till 5x5-matrisen för djupare detaljer om skalor och fallgropar.