RiskNote
Ramverk

ISO 31000: riskhantering i praktiken

ISO 31000 är världens mest använda riskhanteringsstandard. Den är inte en certifierbar checklista, den är en process: identifiera, analysera, utvärdera, behandla och övervaka. Här förklarar vi vad den faktiskt kräver av dig och hur du implementerar den utan att läsa 40 sidor standardtext.

Vad är ISO 31000?

ISO 31000:2018 är en internationell standard för riskhantering publicerad av ISO. Den beskriver en generisk riskhanteringsprocess som fungerar för alla organisationer, oberoende av storlek, sektor eller typ av risk.

Till skillnad från ISO 27001 eller ISO 9001 är ISO 31000 **inte certifierbar**. Det finns ingen auditor som ger dig ett certifikat. Standarden är en vägledning, en struktur du tillämpar för att få en konsekvent och genomtänkt riskhantering.

Svensk översättning finns som SS-ISO 31000:2018. RiskNote implementerar processen i sin helhet.

ISO 31000-processen (5 steg)

  • 1. Identifiera risker

    Lista alla risker som kan påverka organisationens mål. Var uttömmande, missade risker är farligast. RiskNotes AI föreslår 5 branschrelevanta risker per analys som startpunkt.

  • 2. Analysera risker

    Bedöm varje risks sannolikhet och konsekvens. ISO 31000 är agnostisk om skala, 5x5-matris är vanligast men 3x3 eller 7x7 fungerar också. RiskNote använder 5x5.

  • 3. Utvärdera risker

    Jämför mot organisationens risktolerans. Är risken acceptabel, bevaknings-värd eller kräver åtgärd? Prioritera.

  • 4. Behandla risker

    Acceptera, minska, överföra (försäkring/outsourcing) eller undvik. Dokumentera åtgärden. RiskNote V1.1 (juni 2026) lägger till strukturerad åtgärdsplanering.

  • 5. Övervaka och granska

    Risker rör sig. Återkom till registret regelbundet, kvartalsvis, per sprint eller vid större förändringar. Revisionsunderlag behövs.

ISO 31000-checklista för er första implementation

  • Förankring i ledningen

    Riskhantering utan ledningens stöd blir bara en spreadsheet ingen öppnar. Skriv en 1-siders policy som VD skriver på.

  • Definiera risktolerans

    Vad är ni beredda att acceptera? Vad kräver åtgärd? Skriv ner tre-fyra nivåer som alla kan referera till.

  • Etablera kontext

    Bransch, storlek, regulatoriska krav, intressenter. Dessa formar riskbilden. I RiskNote skriver du in detta en gång i organisationsprofilen.

  • Kör första riskidentifieringen

    Brainstorming med nyckelpersoner + AI-förslag som komplement. Sikta på 10–20 risker att börja med.

  • Bedöm sannolikhet och konsekvens

    Använd en konsekvent skala. Ha definitioner för varje nivå (1–5).

  • Dokumentera åtgärder per risk

    Vad ska göras? Vem ansvarar? När? Följ upp.

  • Sätt granskningscykel

    Kvartalsvis är standard. Vissa risker (cyber, leverantörer) kan behöva oftare.

  • Skapa revisionsunderlag

    PDF-export från RiskNote fungerar som dokumentation vid revision, styrelsemöte och försäkringsförnyelse.

Så stödjer RiskNote ISO 31000

RiskNote implementerar ISO 31000:2018-processen från identifiering till övervakning. AI-analysen hjälper dig med steg 1 (identifiera) genom att föreslå relevanta risker för din kontext. 5x5-matrisen täcker steg 2 och 3 (analys, utvärdering). Åtgärdsspårning (V1.1) täcker steg 4 (behandling). Statusuppdateringar och versionering täcker steg 5 (övervaka).

Det är ingen certifiering (någon sådan finns inte för ISO 31000), men det är en standardbaserad, spårbar och reproducerbar process som fungerar i både SME och större organisation.

Vanliga frågor om ISO 31000

Är ISO 31000 obligatoriskt?

Nej. ISO 31000 är en frivillig standard. Men den är ofta en förutsättning för compliance med andra ramverk: ISO 27001, ISO 9001, NIS2, DORA, GDPR-artiklar om riskbaserad säkerhet hänvisar alla till ISO 31000-kompatibla riskhanteringsprocesser.

Kan vi certifiera oss enligt ISO 31000?

Nej, ISO 31000 är inte certifierbar. Det är en vägledning, inte en kravlista. Om du vill certifiera er ledningssystem för riskhantering finns ISO 31010 som teknik för riskbedömning, och ISO 27001 för informationssäkerhet som innehåller riskhantering.

Hur skiljer sig ISO 31000 från ISO 27005?

ISO 31000 är den generiska standarden för riskhantering. ISO 27005 är den specifika tillämpningen på informationssäkerhetsrisk (och används tillsammans med ISO 27001). De är kompatibla, ISO 27005 implementerar ISO 31000 i informationssäkerhetskontext.

Vilken riskmatris rekommenderar ISO 31000?

ISO 31000 rekommenderar ingen specifik matrisstorlek. 5x5 är praxis i de flesta organisationer. 3x3 är för grov för de flesta syften; 7x7 eller högre blir sällan praktiskt. RiskNote använder 5x5.

Vad är skillnaden mellan ISO 31000 och COSO ERM?

ISO 31000 är internationell och mer processfokuserad. COSO ERM (Enterprise Risk Management) kommer från USA och har starkare koppling till intern kontroll och finansiell rapportering. Båda är kompatibla riskhanteringsramverk.

Kom igång med ISO 31000 idag

RiskNote implementerar ISO 31000:2018-processen från identifiering till övervakning. Starta en gratis provperiod, första riskanalysen klar innan lunch.