RiskNote
Guide

5x5-riskmatris: den praktiska guiden

5x5-riskmatrisen är det mest använda verktyget inom riskhantering, och det mest missförstådda. Här är en steg-för-steg-guide med exempel, och en interaktiv matris du kan använda direkt på sidan.

Vad är en 5x5-riskmatris?

En 5x5-riskmatris är ett visualiseringsverktyg där varje risk placeras i ett rutnät baserat på två dimensioner: **sannolikhet** (hur troligt det är att risken inträffar) och **konsekvens** (hur allvarligt det blir om den inträffar). Båda bedöms på en skala 1–5.

Produkten av de två (L × K) ger en **riskpoäng mellan 1 och 25**. Poängen översätts till en allvarlighetsgrad, låg, medel, hög eller kritisk, som ofta visualiseras med färger från grönt till rött.

Matrisen är en standardkomponent i ISO 31000-baserad riskhantering, ISO 27005 (informationssäkerhet), projektriskanalys enligt PMBOK, och många andra ramverk.

Prova matrisen direkt

Lägg till dina egna risker nedan. Inget sparas någonstans, det är bara för att du ska se hur matrisen fungerar i praktiken.

1
Obetydlig
2
Liten
3
Märkbar
4
Allvarlig
5
Katastrofal
5
Mycket trolig
5
10
15
20
25
4
Trolig
4
8
121
16
20
3
Möjlig
3
6
9
121
151
2
Låg
2
4
6
8
101
1
Osannolik
1
2
3
4
5
SannolikhetKonsekvens

Lägg till risk

15
Obehörig åtkomst till kunddata
Sannolikhet: 3 × Konsekvens: 5 · Kritisk
12
Nyckelperson slutar
Sannolikhet: 3 × Konsekvens: 4 · Hög
10
Ransomware-attack
Sannolikhet: 2 × Konsekvens: 5 · Hög
12
Försenad leverantör
Sannolikhet: 4 × Konsekvens: 3 · Hög

Sannolikhetsskalan (1–5)

  • 1. Osannolik

    Kan inträffa men inte troligt inom bedömningsperioden. T.ex. en gång per 10 år.

  • 2. Låg

    Kan inträffa men sällan. T.ex. en gång per 5 år.

  • 3. Möjlig

    Har hänt tidigare eller kan förväntas inträffa. T.ex. en gång per 2–3 år.

  • 4. Trolig

    Inträffar återkommande. T.ex. en gång per år.

  • 5. Mycket trolig

    Inträffar regelbundet eller är nära förestående. T.ex. flera gånger per år.

Konsekvensskalan (1–5)

  • 1. Obetydlig

    Marginell påverkan. Hanteras inom normal drift. Inga kostnader eller mycket små.

  • 2. Liten

    Märkbar men begränsad. Kräver åtgärd men inte ledningsingripande. Mindre kostnad.

  • 3. Märkbar

    Tydlig negativ påverkan. Kräver ledningsingripande. Betydande kostnad eller tidsförlust.

  • 4. Allvarlig

    Stor påverkan på verksamheten. Allmänhetens förtroende kan skadas. Stora kostnader.

  • 5. Katastrofal

    Existensielt hot. Regulatorisk påföljd, juridisk risk, omfattande ekonomisk skada.

Hur poängen tolkas

  • Låg (1–3): acceptabel

    Behöver bara dokumenteras och bevakas. Ingen omedelbar åtgärd krävs.

  • Medel (4–7): bevakningsvärd

    Överväg åtgärd. Kan bli ett problem om ingenting görs.

  • Hög (8–14): åtgärdskrav

    Strukturerad åtgärdsplan behövs. Följs upp regelbundet.

  • Kritisk (15–25): omedelbar åtgärd

    Kräver högsta prioritet. Ofta styrelseinformation eller eskalering till högsta ledning.

Så använder du matrisen i praktiken

  • 1. Identifiera riskerna

    Brainstorma med nyckelpersoner. Komplettera med AI-förslag från RiskNote eller liknande verktyg.

  • 2. Bedöm sannolikhet (1–5)

    Använd skalan konsekvent. Ha definitioner tillgängliga för alla som bedömer.

  • 3. Bedöm konsekvens (1–5)

    Tänk värsta-scenario utan överdrift. Konsekvenser kan vara ekonomiska, operativa, renommé eller regulatoriska.

  • 4. Placera i matrisen

    Automatiskt i verktyg som RiskNote. Manuellt i Excel, men då måste färgformatering hållas levande.

  • 5. Prioritera åtgärder

    Kritiska risker först. Dokumentera åtgärder per risk.

  • 6. Granska regelbundet

    Kvartalsvis är standard. Risker rör sig i matrisen när åtgärder implementeras.

Vanliga fallgropar med 5x5-matrisen

  • Alla risker hamnar i mitten

    Tecken på att skalan inte är väl definierad. Säkerställ att bedömare har tydliga kriterier för varje nivå.

  • Matrisen uppdateras aldrig

    Matriser som produceras en gång och sedan läggs i en låda är värdelösa. Sätt en granskningscykel.

  • Bara en person bedömer

    Risk är subjektivt. Bedöm i par eller grupp, annars får du en persons perspektiv, inte organisationens.

  • Ignorerar ”svarta svanar”

    Lågsannolika men katastrofala risker (L=1, K=5) ger poäng 5 och hamnar i grön-gul zon. Men de kan vara existensiella. Använd kvalitativ bedömning, inte bara poäng.

  • Matrisen som slutmål, inte som medel

    Matrisen är ett verktyg för kommunikation och prioritering. Själva riskhanteringen händer i åtgärdsplanerna, inte i matrisen.

Vanliga frågor om 5x5-matrisen

Varför 5x5 och inte 3x3?

3x3 är för grov. Du får bara 9 kombinationer och förlorar den nyans som krävs för att skilja ”viktigt” från ”mycket viktigt”. 5x5 är det mest använda valet.

Ska L och K multipliceras eller adderas?

Praxis är multiplikation. Det gör att en rent låg risk på en dimension ger låg totalrisk. Addition kan ge samma poäng (t.ex. L=5+K=1 = 6 = L=3+K=3) för kvalitativt olika risker, undvik.

Hur definierar vi risktolerans?

Risktolerans är organisationens uttalande om vilka risker som är acceptabla. Definiera poängtrösklar (t.ex. ”risker över 12 kräver styrelsebeslut”), och koppla till organisationens strategi och kapacitet att hantera risk.

Hur ofta ska matrisen uppdateras?

Minst årligen för strategiska risker. Kvartalsvis för operativa risker. Per sprint eller styrmöte för projektrisker. Vid stora förändringar (ny leverantör, systembyte, regulatorisk förändring) alltid.

Kan vi ha olika matriser för olika risktyper?

Ja. Många organisationer har separata matriser för strategiska, operativa, finansiella och compliance-risker. Men samma 5x5-ramverk kan tillämpas på alla.

Bygg ditt levande riskregister

5x5-matrisen är bara ett visualiseringslager. Själva riskhanteringen behöver ett riskregister som lever, uppdateras, delas, spåras. Testa RiskNote gratis.