RiskNote
Guide

Vad är ett riskregister?

Ett riskregister är ryggraden i riskhantering. Det är där risker lever, växer, hanteras och granskas. Här är en fullständig guide till vad som ska ingå, hur du bygger det, och hur du håller det levande över tid.

Vad är ett riskregister?

Ett riskregister är en strukturerad lista över alla identifierade risker i en organisation eller ett projekt, tillsammans med bedömning, ägarskap, åtgärder och status. Det är operativt, det ska läsas, uppdateras och granskas regelbundet.

Registret är inte en riskrapport. Rapporten är en ögonblicksbild (PDF till styrelse) som tas ur registret. Registret är den levande datan.

I ISO 27001 är riskregistret en obligatorisk del av ISMS (klausul 6.1.2 och 8.2). I ISO 31000 är det standardoutputen från processen. I NIS2 Art. 21 är det förutsättningen för riskbaserad cybersäkerhet.

Vilka fält ska ingå?

Ett komplett riskregister har typiskt dessa fält per risk:

  • ID

    Unikt nummer eller kod (R-001, R-002...). Gör det möjligt att referera till risken utan att skriva hela beskrivningen.

  • Beskrivning

    Vad är risken? Skriv 1–2 meningar. Undvik luddiga formuleringar (”risk för problem med IT”), var specifik (”nedtid i fakturasystemet över 4 timmar”).

  • Kategori/domän

    Operativ, finansiell, strategisk, compliance, cyber, projekt. Gör det lätt att filtrera och rapportera.

  • Sannolikhet (1–5)

    Hur troligt det är att risken inträffar. Använd definierad skala.

  • Konsekvens (1–5)

    Hur allvarligt det blir om risken inträffar. Kan bedömas separat för ekonomi, verksamhet, renommé, compliance.

  • Poäng / allvarlighetsgrad

    L × K = 1–25. Översätts till låg/medel/hög/kritisk.

  • Ägare

    Namngiven person ansvarig för risken. Utan ägare blir ingenting gjort.

  • Åtgärd

    Vad görs åt risken? Accepterar, minskar, överför eller undviker. Konkret åtgärdsplan om minskar.

  • Status

    Öppen, under behandling, åtgärdad, stängd. Ändras över tid.

  • Datum

    När identifierades risken? När senast granskad? När ska nästa granskning ske?

  • Restrisk (residual)

    Sannolikhet och konsekvens efter åtgärd. Visar om åtgärden är tillräcklig.

Hur många risker ska registret ha?

För en SME (15–50 personer): **10–30 risker** är typiskt. Färre och du missar troligen viktiga saker. Fler och registret blir svårt att hantera.

För en mellanstor organisation (100–500 personer): **30–80 risker** över olika domäner.

För stora organisationer: **100+ risker**, ofta uppdelade per affärsområde eller domän.

Ett projekt: **10–20 risker**, uppdateras varje sprint eller styrmöte.

Vanliga misstag med riskregister

  • Registret uppdateras aldrig

    Skapas vid ISO-certifiering, ligger sedan stilla. Värdet tappas inom 6 månader.

  • Ingen ägare per risk

    Utan ägare är risken teoretisk. Namngiven person med mandat.

  • Risker utan åtgärd

    Att dokumentera en risk utan plan är att dokumentera misslyckande. Varje risk ska ha ett valt svar (acceptera/minska/överför/undvik).

  • För abstrakta formuleringar

    ”Risk för IT-incidenter” är inte en risk. ”Ransomware-angrepp som gör fakturasystemet otillgängligt i över 4 timmar” är en risk.

  • Inget av ledningen läser

    Om ingen i ledningen aktivt använder registret så har inte processen förankrats. Lös det först, inte formatet.

Excel vs dedikerat verktyg

Excel går att använda för små register (under ~15 risker), men blir snabbt problematiskt: versionsdrift, trasiga formler, ingen spårbarhet, svårt att dela kontrollerat, ingen rollbaserad åtkomst.

Ett dedikerat verktyg som RiskNote ger dig versionshistorik per risk, delning via länk med roller, AI-förslag för riskidentifiering, och PDF-export direkt från data, istället för manuellt skapande av rapport.

Se också vår guide till [Excel-alternativ för riskregister](/sv/alternativ-till-excel-riskregister).

Vanliga frågor om riskregister

Är riskregister och riskbedömning samma sak?

Nej. Riskbedömningen är processen (identifiera, analysera, utvärdera). Riskregistret är outputen, listan över alla risker med bedömning. Registret underhålls; bedömningen är en återkommande aktivitet.

Hur ofta ska registret granskas?

Operativa risker: kvartalsvis. Strategiska: årligen. Projektrisker: per sprint eller styrmöte. Vid större händelser (regulatorisk förändring, stort kontrakt, systembyte): alltid.

Måste alla risker vara dokumenterade i registret?

Alla väsentliga risker, ja. Operativa rutiner för vardagliga småsaker (lös dem direkt) behöver inte vara med. Gränsen: om risken kan påverka era mål signifikant ska den dokumenteras.

Vem ska se registret?

Internt: ledningsgrupp, relevanta avdelningschefer, riskägare. Externt: revisorer, tillsynsmyndigheter vid granskning, försäkringsbolag vid förnyelse. Inte offentlig.

Hur exporterar jag registret för en styrelsepresentation?

I RiskNote: ett klick ger dig en PDF med matris, register och AI-disclosure. I Excel: manuell sammanställning av tabell och screenshot av matrisen.

Bygg ditt riskregister i RiskNote

Versionshistorik, AI-förslag, 5x5-matris och PDF-export inbyggt. Starta en 7-dagars gratis provperiod.