RiskNote
Guide

Hur man gör en riskbedömning

En riskbedömning behöver inte vara komplicerad. Här är en steg-för-steg-guide för att bygga din första riskbedömning på en eftermiddag, oavsett om du är VD i ett 15-personers företag eller konsult som levererar till kund.

Vad är en riskbedömning?

En riskbedömning är en strukturerad process för att identifiera risker som kan påverka dina mål, bedöma hur allvarliga de är, och bestämma vad som ska göras åt dem. Det är samma grundprocess oavsett om du bedömer cybersäkerhet, arbetsmiljö, projektrisk eller verksamhetsrisk.

Den globala standarden för riskhantering är **ISO 31000:2018**. Den beskriver en generell process (identifiera, analysera, utvärdera, behandla och övervaka) som fungerar för alla organisationer och alla typer av risk. Den är inte certifierbar, men den är referensen som andra standarder (ISO 27001, NIS2, DORA) bygger på.

Steg 1. Förberedelser

  • Förankring i ledningen

    En riskbedömning utan ledningens stöd blir ett dokument som aldrig läses. Se till att någon i ledningen äger processen. En 1-siders riskhanteringspolicy som VD skriver på räcker.

  • Definiera omfattning

    Vad ska bedömas? Hela verksamheten, ett specifikt affärsområde, ett projekt, en specifik process (t.ex. hanteringen av personuppgifter)?

  • Definiera risktolerans

    Vilka risker är ni beredda att acceptera? Vilka kräver åtgärd? Skriv ner tre-fyra nivåer (t.ex. poäng 1–3 = acceptera, 4–7 = bevaka, 8–14 = åtgärdsplan, 15–25 = omedelbar åtgärd).

  • Samla rätt personer

    En riskbedömning gjord av en person är en persons åsikt. Bjud in 3–6 nyckelpersoner med olika perspektiv, operativ, finans, IT, kundansvar.

Steg 2. Identifiera risker

Detta är det viktigaste steget. En missad risk är farligare än en felbedömd risk.

Några tekniker för riskidentifiering:

  • Strukturerad brainstorming

    Samla gruppen och gå igenom affärsområde för affärsområde. Tänk ”vad kan gå fel här?”

  • AI-förslag som startpunkt

    Verktyg som RiskNote använder AI för att föreslå 5 branschrelevanta risker per analys. Bra för att fånga risker du aldrig sett.

  • Genomgång av tidigare incidenter

    Vad har gått fel tidigare? Hos er, hos konkurrenter, i branschen?

  • Kolla standardlistor

    ISO 27005 har kataloger över typiska informationssäkerhetsrisker. AFS 2001:1 har exempel på arbetsmiljörisker. Används som checklistor.

  • Processgenomgång

    Gå igenom en kritisk process (t.ex. fakturering, rekrytering, systemdrift) steg för steg och fråga ”vad kan gå fel här?”

Steg 3. Analysera risker

För varje identifierad risk, bedöm sannolikhet och konsekvens. Standardpraxis är en 5x5-matris (sannolikhet 1–5 × konsekvens 1–5 = poäng 1–25).

Nyckeln är **konsekvent tillämpning av skalan**. Definiera varje nivå i förväg, så att alla som bedömer använder samma förståelse.

  • Sannolikhet 1–5

    1 = osannolik (en gång per 10 år), 3 = möjlig (en gång per 2–3 år), 5 = mycket trolig (flera gånger per år).

  • Konsekvens 1–5

    1 = obetydlig (hanteras inom normal drift), 3 = märkbar (kräver ledningsingripande), 5 = katastrofal (existensielt hot).

  • Bedöm i grupp

    En persons bedömning är subjektiv. I grupp får ni nyans och konsensus.

  • Dokumentera motivering

    Skriv en rad om varför ni valde en viss L och K. Hjälper vid senare granskning.

Steg 4. Utvärdera och prioritera

När varje risk har en poäng, jämför mot er risktolerans. Kritiska risker (t.ex. poäng 15–25) kräver omedelbar åtgärdsplan. Höga risker (8–14) kräver strukturerad åtgärd. Medel och låga kan bevakas.

Var försiktig med **svarta svanar**, risker med låg sannolikhet men katastrofala konsekvenser (L=1, K=5 ger poäng 5, som ser lågt ut men kan vara existensiellt). Använd kvalitativ bedömning, inte bara poäng.

Steg 5. Behandla risker

  • Acceptera

    Risken är inom toleransen. Dokumentera bara och gå vidare.

  • Minska (mitigera)

    Vidta åtgärder som minskar sannolikhet eller konsekvens. Vanligaste valet. Dokumentera åtgärden, ansvarig person och deadline.

  • Överföra

    Försäkring, outsourcing eller kontraktsklausuler som flyttar risken. Obs: viss risk (t.ex. ryktesrisk) kan inte överföras.

  • Undvika

    Avstå från aktiviteten som skapar risken. Ibland enda rimliga valet.

Steg 6. Övervaka och granska

Risker rör sig. Nya dyker upp, gamla blir irrelevanta, åtgärder förändrar bilden. En riskbedömning är färskvara.

Praxis: kvartalsvis granskning för operativa risker, årsvis för strategiska. Projektrisker uppdateras per sprint eller styrmöte. Vid stora förändringar (ny leverantör, regulatorisk förändring, systembyte) alltid en ny runda.

Vanliga frågor om riskbedömning

Hur lång tid tar en första riskbedömning?

För en SME: 2–4 timmar för första rundan av identifiering och bedömning. Plus 1–2 timmar för åtgärdsplanering. Totalt en halv arbetsdag för en kompetent person som känner verksamheten.

Behöver vi en certifierad riskkonsult?

Inte för en intern bedömning. För certifieringar (ISO 27001, ISO 9001) eller för särskilt komplexa domäner (DORA för finans, GDPR DPIA för högriskbehandling) kan extern expertis vara värdefull.

Är 5x5-matrisen obligatorisk?

Nej. ISO 31000 är agnostisk om matrisstorlek. 5x5 är praxis. 3x3 är för grov för de flesta syften. Vissa organisationer använder 7x7 eller kvalitativa kategorier istället för numerisk skala.

Vad är skillnaden mellan risk och problem?

En **risk** är något som kan hända i framtiden. Ett **problem** är något som redan har hänt. Risker hanteras genom riskbedömning. Problem hanteras genom incidenthantering. Båda processerna behövs.

Ska vi bedöma risker före eller efter mitigering?

Båda. **Bruttorisk** (före mitigering) visar hur illa det skulle kunna vara utan åtgärder, viktigt för att motivera investeringar. **Nettorisk** eller **residualrisk** (efter mitigering) visar hur det faktiskt ser ut. ISO 27001-certifierade organisationer förväntas ha båda.

Hoppa över Excel-fasen

RiskNote gör stegen 1–6 till en strukturerad process. Första bedömningen klar på en eftermiddag. Starta en gratis provperiod idag.