De flesta riskanalyser stannar vid en lista. Man samlar teamet, radar upp risker, sätter en siffra på varje. Sen läggs listan i en pärm och glöms bort.
Konsekvensanalysen är steget som gör listan användbar. Istället för att bara fråga “vad kan hända?” frågar ni “vad betyder det för oss om det händer?” Det är skillnaden mellan en övning och ett verktyg.
Den här artikeln går igenom tre beprövade metoder för risk- och konsekvensanalys, vad ISO-standarderna faktiskt kräver, och hur ni kommer igång utan att drunkna i detaljer.
Vad är risk och konsekvensanalys?
En riskanalys identifierar hot. En konsekvensanalys bedömer vad hotet innebär - ekonomiskt, operativt, juridiskt eller för människors hälsa och säkerhet.
De hör ihop. Utan konsekvensanalys vet ni inte vilka risker som är allvarliga nog att agera på. Utan riskanalys har ni inget att bedöma konsekvenserna av.
Systematiskt riskarbete innebär:
- Identifiera risker - vad kan gå fel?
- Analysera konsekvenser - vad betyder det om det händer?
- Värdera sannolikhet - hur troligt är det?
- Prioritera - vilka kräver åtgärd först?
- Åtgärda och följ upp - vem gör vad, när, och blev det bättre?
Metod 1: 5x5-matrisen
En 5x5-matris är det vanligaste verktyget för risk- och konsekvensanalys. Den är enkel att förstå och fungerar för de flesta företag.
Så här fungerar den:
- Konsekvens bedöms på en skala 1-5: från försumbar (1) till katastrofal (5)
- Sannolikhet bedöms på en skala 1-5: från mycket osannolik (1) till nästan säker (5)
- Risktal = konsekvens x sannolikhet (1-25)
Ett risktal på 1-4 är grönt (acceptabelt), 5-12 är gult (kräver åtgärd), 15-25 är rött (omedelbar åtgärd).
Matrisen passar när ni behöver ett snabbt och enhetligt sätt att prioritera mellan olika typer av risker. Nackdelen är att den är relativt grovkornig - två risker kan få samma siffra av helt olika anledningar.
Metod 2: FMEA
Failure Mode and Effects Analysis (FMEA) är en mer detaljerad metod som kommer från tillverkningsindustrin. Den lämpar sig för processer där ni behöver hög förutsägbarhet.
I FMEA bedömer ni varje felmod efter tre parametrar:
- Allvarlighetsgrad (Severity) - hur allvarlig är effekten?
- Sannolikhet (Occurrence) - hur ofta uppstår felet?
- Upptäckbarhet (Detection) - hur lätt är det att märka felet innan det får konsekvenser?
Risktalet (RPN, Risk Priority Number) = S x O x D, där 1 är lägst risk och 1000 är högst.
FMEA ger en mer nyanserad bild än 5x5-matrisen, men kräver mer tid och noggrannhet. Använd den när 5x5 inte räcker till - exempelvis för kritiska processer, produktutveckling eller livsmedelssäkerhet.
Metod 3: Bow-tie-analys
Bow-tie-analys visualiserar riskscenarier från orsak till konsekvens, med förebyggande och begränsande barriärer.
Metoden är användbar för komplexa risker där en händelse kan ha flera orsaker och flera konsekvenser - till exempel en IT-incident, en arbetsplatsolycka eller ett produktionsstopp.
Bow-tie-modellen visar tydligt:
- Hot (vänster sida) - vad kan utlösa händelsen?
- Förebyggande barriärer - vad stoppar det från att hända?
- Händelse (mitten) - själva risken
- Begränsande barriärer - vad minskar skadan om det händer?
- Konsekvenser (höger sida) - vad blir resultatet?
Bow-tie är mer visuell och pedagogisk än de andra metoderna, vilket gör den bra för utbildning och kommunikation med ledningsgruppen. Nackdelen är att den blir otymplig om ni har många risker.
Vad ISO-standarderna kräver
Alla ledningssystemstandarder följer samma grundstruktur (Annex SL) och ställer krav på riskbaserat tänkande i klausul 6.1.
ISO 9001:2015, klausul 6.1 kräver att ni avgör vilka risker och möjligheter som behöver hanteras för att ledningssystemet ska nå sitt avsedda resultat. Åtgärderna ska vara proportionella mot riskens potentiella påverkan.
ISO 14001:2015, klausul 6.1 kräver att ni fastställer risker och möjligheter relaterade till era miljöaspekter och bindande krav. Här handlar det om miljöpåverkan - utsläpp, resursanvändning, avfall.
ISO 27001:2022, klausul 6.1 är mest detaljerad. Den kräver en definierad riskbedömningsprocess med kriterier, analys av konsekvenser och sannolikhet, riskägare och prioritering för åtgärd. Här handlar det om informationssäkerhet - sekretess, riktighet, tillgänglighet.
Notera att ingen av standarderna föreskriver en specifik metod. 5x5, FMEA och bow-tie är alla acceptabla så länge de är konsekventa, reproducerbara och dokumenterade.
Vanliga misstag
Börjar för brett. Att försöka täcka alla risker i organisationen på en gång blir ogörligt. Börja med en process, ett område eller en avdelning.
Glömmer uppföljning. En riskanalys utan återkoppling är bortkastad tid. Bestäm redan från start när och hur ni följer upp riskerna.
Väljer fel metod. 5x5 är ofta tillräckligt. FMEA är inte bättre för att den är mer komplex. Välj metod efter vad ni faktiskt behöver veta.
Blandar risktyper. Operativa risker, strategiska risker och efterlevnadsrisker kräver olika analyser. Att sätta allt i samma matris ger en oanvändbar bild.
Systematiskt riskarbete i AmpliFlow
AmpliFlows riskmodul är byggd för att hantera risk- och konsekvensanalys enligt alla tre standarderna. Här kan ni definiera era egna metoder, använda 5x5-matris eller FMEA, koppla risker till processer och åtgärder, och följa upp i ledningens genomgång.
Allt hänger ihop. En risk som identifieras kopplas direkt till en åtgärd med ansvarig och deadline. När ledningsgruppen går igenom riskbilden ser de realtidsdata, inte en gammal utskrift.
Behöver ni hjälp att komma igång med riskarbetet? Boka en demo så visar vi hur det fungerar i praktiken.
