Hur man gör en riskbedömning

En riskbedömning är en strukturerad process för att identifiera risker som kan påverka dina mål, bedöma hur allvarliga de är, och bestämma vad som ska göras åt dem. Det är samma grundprocess oavsett om du bedömer cybersäkerhet, arbetsmiljö, projektrisk eller verksamhetsrisk.

Den globala standarden för riskhantering är ISO 31000:2018. Den beskriver en generell process (identifiera, analysera, utvärdera, behandla och övervaka) som fungerar för alla organisationer och alla typer av risk. Den är inte certifierbar, men den är referensen som andra standarder (ISO 27001, NIS2, DORA) bygger på.

I Sverige är systematiskt arbetsmiljöarbete (SAM) reglerat genom Arbetsmiljöverkets föreskrifter AFS 2001:1. Arbetsgivaren är skyldig att kontinuerligt undersöka, riskbedöma, åtgärda och följa upp arbetsmiljön — inte som ett engångsprojekt, utan som en pågående cykel.

Riskbedömningen ska vara skriftlig (så fort verksamheten har fler än tio anställda), omprövas minst årligen, och alltid inför väsentliga förändringar: ny utrustning, ny organisation, nya arbetsuppgifter, omlokalisering eller inköp som påverkar arbetet.

• Undersök

  Kartlägg arbetsförhållandena. Skyddsronder, medarbetarenkäter, sjukfrånvarostatistik och tillbudsrapportering är typiska källor.

• Riskbedöm

  Bedöm varje identifierad risk i termer av sannolikhet och allvarlighetsgrad. Fysiska, ergonomiska, kemiska, biologiska, psykosociala och organisatoriska risker ska alla täckas.

• Åtgärda

  Skriftlig handlingsplan med åtgärd, ansvarig, tidpunkt och uppföljning. Det som inte åtgärdas direkt ska in i planen.

• Följ upp

  Kontrollera att åtgärderna genomförts och haft effekt. Revidera bedömningen vid förändringar eller minst årligen.

Skyddsombudsmedverkan är obligatorisk. Om verksamheten har skyddsombud ska de involveras i riskbedömningen (AML 6 kap. 4 §). Dokumentationen ska finnas tillgänglig för Arbetsmiljöverket vid inspektion.

Arbetsmiljörisker och informationssäkerhetsrisker samverkar ofta (t.ex. stress vid incidenter, GDPR-krav på arbetsplatsövervakning). En sammanhållen riskbedömning spar tid — men kräver tvärfunktionell kompetens.

• Förankring i ledningen

  En riskbedömning utan ledningens stöd blir ett dokument som aldrig läses. Se till att någon i ledningen äger processen. En 1-siders riskhanteringspolicy som VD skriver på räcker.

• Definiera omfattning

  Vad ska bedömas? Hela verksamheten, ett specifikt affärsområde, ett projekt, en specifik process (t.ex. hanteringen av personuppgifter)?

• Definiera risktolerans

  Vilka risker är ni beredda att acceptera? Vilka kräver åtgärd? Skriv ner tre-fyra nivåer (t.ex. poäng 1–3 = acceptera, 4–7 = bevaka, 8–14 = åtgärdsplan, 15–25 = omedelbar åtgärd).

• Samla rätt personer

  En riskbedömning gjord av en person är en persons åsikt. Bjud in 3–6 nyckelpersoner med olika perspektiv, operativ, finans, IT, kundansvar.

Detta är det viktigaste steget. En missad risk är farligare än en felbedömd risk.

Några tekniker för riskidentifiering:

• Strukturerad brainstorming

  Samla gruppen och gå igenom affärsområde för affärsområde. Tänk ”vad kan gå fel här?”

• AI-förslag som startpunkt

  Verktyg som RiskNote använder AI för att föreslå 5 branschrelevanta risker per analys. Bra för att fånga risker du aldrig sett.

• Genomgång av tidigare incidenter

  Vad har gått fel tidigare? Hos er, hos konkurrenter, i branschen?

• Kolla standardlistor

  ISO 27005 har kataloger över typiska informationssäkerhetsrisker. AFS 2001:1 har exempel på arbetsmiljörisker. Används som checklistor.

• Processgenomgång

  Gå igenom en kritisk process (t.ex. fakturering, rekrytering, systemdrift) steg för steg och fråga ”vad kan gå fel här?”

För varje identifierad risk, bedöm sannolikhet och konsekvens. Standardpraxis är en 5x5-matris (sannolikhet 1–5 × konsekvens 1–5 = poäng 1–25).

Nyckeln är konsekvent tillämpning av skalan. Definiera varje nivå i förväg, så att alla som bedömer använder samma förståelse.

• Sannolikhet 1–5

  1 = osannolik (en gång per 10 år), 3 = möjlig (en gång per 2–3 år), 5 = mycket trolig (flera gånger per år).

• Konsekvens 1–5

  1 = obetydlig (hanteras inom normal drift), 3 = märkbar (kräver ledningsingripande), 5 = katastrofal (existensielt hot).

• Bedöm i grupp

  En persons bedömning är subjektiv. I grupp får ni nyans och konsensus.

• Dokumentera motivering

  Skriv en rad om varför ni valde en viss L och K. Hjälper vid senare granskning.

När varje risk har en poäng, jämför mot er risktolerans. Kritiska risker (t.ex. poäng 15–25) kräver omedelbar åtgärdsplan. Höga risker (8–14) kräver strukturerad åtgärd. Medel och låga kan bevakas.

Var försiktig med svarta svanar, risker med låg sannolikhet men katastrofala konsekvenser (L=1, K=5 ger poäng 5, som ser lågt ut men kan vara existensiellt). Använd kvalitativ bedömning, inte bara poäng.

• Acceptera

  Risken är inom toleransen. Dokumentera bara och gå vidare.

• Minska (mitigera)

  Vidta åtgärder som minskar sannolikhet eller konsekvens. Vanligaste valet. Dokumentera åtgärden, ansvarig person och deadline.

• Överföra

  Försäkring, outsourcing eller kontraktsklausuler som flyttar risken. Obs: viss risk (t.ex. ryktesrisk) kan inte överföras.

• Undvika

  Avstå från aktiviteten som skapar risken. Ibland enda rimliga valet.

Risker rör sig. Nya dyker upp, gamla blir irrelevanta, åtgärder förändrar bilden. En riskbedömning är färskvara.

Praxis: kvartalsvis granskning för operativa risker, årsvis för strategiska. Projektrisker uppdateras per sprint eller styrmöte. Vid stora förändringar (ny leverantör, regulatorisk förändring, systembyte) alltid en ny runda.