Alla guider

Guide för operationell riskhantering i AmpliFlow

Patrik Björklund
Uppdaterad
Oct 20, 2025

Välkommen till vår guide för att genomföra operationell riskhantering med AmpliFlow som en del av ert certifieringsarbete.

Denna guide syftar till att hjälpa er att komma igång med användningen av vår modul för operationell riskanalys och att säkerställa att processen genomförs smidigt och effektivt.

Operationell riskhantering finns för att förstå hur er verksamhet påverkas av olika händelser och vilka åtgärder som krävs för att hantera dem. Det är ett centralt krav i alla ledningssystemstandarder (ISO 9001, 14001, 27001, 45001) och ett bra verktyg att använda som utgångspunkt för exempelvis informationsklassificering, leverantörsbedömningar och krishantering.

Riskhantering är ett systematiskt sätt att identifiera, prioritera och vidta åtgärder för att hantera förekommande eller potentiella händelser som skulle kunna påverka era medarbetare, resurser och affärsmöjligheter negativt.

Varför är riskhantering viktigt?

"Riskhantering är som bromsarna på din bil. Deras funktion är att sakta ner din bils hastighet men deras syfte är att göra det möjligt för dig att köra fort på ett säkert sätt."— Joakim Stenström, Senior Consultant AmpliFlow

Rätt tillämpat kan riskhantering även skapa nya möjligheter och affärsutveckling. När ni identifierar och hanterar risker som era konkurrenter inte tänkt på kan det bli en konkurrensfördel i relation till era kunder.

Grundförståelse

Börja med att skapa dig en förståelse för området, läs dessa artiklarna:

Obs: AmpliFlow använder termen “påverkansgradsmatris”, men artikeln ovan förklarar samma koncept under namnet “allvarlighetsgradsmatris”. Påverkansgrad kan användas för både något positivt och något negativt medans allvarligetsgrad ofta tolkas som enbart negativt.

Förutsättningar

Innan ni börjar med operationell riskhantering rekommenderar vi att ni har gjort:

  • Processkartläggning - ni behöver ha koll på era processer för att kunna identifiera risker i dem
  • Påverkansmatris - ni behöver ha definierat era påverkansområden och vad olika nivåer innebär

Hur ska det göras?

Redan nu är en rejäl del av arbetet färdigt, tack vare att vi försett er med en färdig mall för operationell riskanalys och en enkel matematisk modell för riskberäkning.

AmpliFlows modell för riskhantering består av 4 moment:

  1. Riskidentifiering - Identifiera förekommande och potentiella händelser via "Vad ifall att...?"-analys
  2. Riskanalys - Analysera risker via påverkansgradering och sannolikhetsbedömning
  3. Riskhantering - Hantera risker via sannolikhetsreducerande åtgärder
  4. Riskövervakning - Övervaka risker via omvärldsanalys och regelbundna genomgångar

Det ni behöver göra nu är att:

  1. Tilldela behörigheter till de som ska jobba med operationell riskanalys.
  2. Kontrollera att er påverkansmatris är komplett med de påverkansområden (ekonomi, miljö, säkerhet, rykte etc.) som är relevanta för er verksamhet.
  3. Genomför riskidentifiering genom att gå igenom era processkartor processteg för processteg. För varje processteg, använd "Vad ifall att...?"-metoden och ställ frågor som: "Vad ifall att vi ej registrerar och hanterar avvikelser och förbättringsåtgärder?". Beskriv sedan potentiella konsekvenser, t.ex: "Vi gör samma fel flera gånger, onödig tid och kostnad. Missnöje hos medarbetare och kunder, försämrad laganda". Registrera både nya risker och risker ni redan identifierat med etablerade förebyggande rutiner. Varför då? Jo t.ex. nyanställda behöver få kunskap om relevanta risker och hur ni arbetar förebyggande för att minska sannolikheten eller konsekvensen av en risk.
  4. För varje risk ni identifierat beakta om denna risk även innebär en möjlighet. Registrera då ett förbättringsförslag om hur ni kan dra nytta av hur ni hanterat denna risk. Varför? Jo om ni hanterat en risk som t.ex. skulle kunna drabba era kunder men era konkurrenter inte ens tänkt på den risken så kan det vara möjligt att stärka er relation med era befintliga kunder eller t.om. få fler kunder genom att upplysa de om risken och berätta hur ni har tagit hand om den eller minimerat den.
  5. För varje identifierad risk kontrollera att den är reell och att ni angivit rätt processteg. Slå ihop dubbletter men behåll all unik text om potentiella konsekvenser.
  6. Genomför riskanalys för varje reell risk genom att bedöma påverkan och sannolikhet. Ange vilka påverkansområden (Kvalitet, Miljö, Arbetsmiljö, Informationssäkerhet, Ekonomi etc.) som berörs. Använd era definierade påverkansnivåer från påverkansmatrisen. Den totala påverkan blir det högsta värdet bland era graderingar. Bedöm sedan sannolikhet baserat på hur ofta händelsen förekommit eller potentiellt kan ske.
  7. Identifiera åtgärder för att hantera riskerna. Fokusera särskilt på rödmarkerade risker (ej acceptabla) där ni måste etablera förändringar för att reducera sannolikheten. För gulmarkerade risker (acceptabla med åtgärder) identifiera lämpliga sannolikhetsreducerande åtgärder. Grönmarkerade risker (acceptabla) kräver normalt inga ytterligare åtgärder.
  8. Dokumentera nuvarande kontroller och identifiera förebyggande åtgärder för varje risk som kräver hantering.
  9. Tilldela ansvariga och sätt deadlines för åtgärderna.
  10. Etablera rutiner för riskövervakning. Minst 1 gång per år (sätt upp detta i er årskalender): identifiera händelser och trender i er omvärld som utgör hot eller möjligheter, genomför trendanalys över kundsynpunkter, avvikelser och förbättringsförslag, genomför ny "Vad ifall att...?"-analys för att identifiera nya risker, se över era gulmarkerade risker och deras sannolikhet, samt vidta åtgärder för eventuella nya rödmarkerade risker.
  11. Uppdatera informationssidan i Operationell riskanalys där ni beskriver hur ni jobbar med riskhantering samt vilka som är ansvariga och delaktiga.
  12. Gå igenom och bocka för kontrollpunkterna (sista steget) i checklistan.
  13. Om ni jobbar med en konsult från AmpliFlow, notifiera denne att arbetet är redo för genomgång.

Tips för framgångsrikt genomförande

  • Se till att alla som jobbar med riskhantering förstår vad det är och varför jobbet görs. Använd gärna analogin: "Riskhantering är som bromsarna på din bil - deras funktion är att sakta ner bilen, men deras syfte är att göra det möjligt för dig att köra fort på ett säkert sätt."
  • Genomför riskidentifiering i grupparbeten där olika perspektiv och erfarenheter kan belysa risker från olika håll. Involvera medarbetare från olika delar av verksamheten.
  • Ta fram en förbättringsförslagsmall som heter "Risk observation" för att underlätta för er personal att registrera en risk när de upptäcker den i det dagliga arbetet.
  • Använd "Vad ifall att...?"-metoden systematiskt genom era processkartor. Ställ frågor för varje processteg och dokumentera både händelser och konsekvenser.
  • Tänk på att beskriva riskscenarier konkret - "Leverantör X levererar defekt råmaterial som stoppar produktion" istället för "Problem med leverantör".
  • Om arbetet delas upp, var tydlig med ansvarsfördelningen. Varje risk ska ha en ägare.
  • Sätt en tydlig tidplan och boka in eventuella avstämningsmöten redan nu.
  • Förmedla resultatet till interna intressenter - riskmatrisen (beta) ger en visuell överblick.
  • Koppla riskregistret till era avvikelser och förbättringsförslag - när något går fel, kontrollera om risken fanns identifierad.
  • Använd verkliga data från tidigare incidenter när ni bedömer sannolikhet och förekomst.
  • Var realistiska med sannolikhetsreducering - få åtgärder eliminerar risk helt.
  • Etablera en årskalender för riskövervakning. Minst 1 gång per år: granska omvärldstrender, analysera avvikelser och förbättringsförslag, genomför ny "Vad ifall att...?"-analys, och uppdatera sannolikhetsbedömningar för befintliga risker.
  • Boka in kvartalsvisa genomgångar för att hålla riskregistret aktuellt och fånga nya risker tidigt.

"Vad ifall att...?"-metoden för riskidentifiering

"Vad ifall att...?"-analys är en effektiv metod för att identifiera risker genom att ställa hypotetiska frågor om vad som skulle kunna gå fel. Metoden fungerar bra i grupparbeten där olika perspektiv kan belysa risker som annars kan missas.

Så här genomför ni analysen:

  1. Förbered: Identifiera vilka som ska genomföras riskanalysen. Lämpligt att de som är processägare för respektive lednings-, huvud- och stödprocesser antingen genomför eller om flera ska vara involverade leder riskanalysen av sina processer. Ha era processkartor i AmpliFlow tillgängliga.
  2. Brainstorma: För varje processteg, formulera frågor direkt i AmpliFlow i själva processteget eller skriv ner på t.ex. post-it lappar om ni arbetar i grupp enligt mönstret "Vad ifall att...?" följt av en potentiell händelse. Exempel:
    • "Vad ifall att vi ej registrerar och hanterar avvikelser och förbättringsåtgärder?"
    • "Vad ifall att vår huvudleverantör går i konkurs?"
    • "Vad ifall att vår IT-plattform blir hackad?"
    • "Vad ifall att nyckelpersoner blir sjuka samtidigt?"
  3. Beskriv konsekvenser: För varje identifierad händelse, beskriv de potentiella konsekvenserna så konkret som möjligt. Exempel: "Vi gör samma fel flera gånger, vilket leder till onödig tid och kostnad. Detta skapar missnöje hos medarbetare och kunder samt försämrar lagandan."
  4. Dokumentera: Registrera alla identifierade risker och konsekvenser i riskregistret. Var inte för kritisk i detta skede - det är bättre att fånga för många risker än att missa viktiga.
  5. Rensa och konsolidera: Efter brainstorming-sessionen, gå igenom och slå ihop dubbletter. Behåll all unik information om konsekvenser även när ni slår ihop risker.
  6. Validera: Ta ställning till om varje risk är reell för er verksamhet och om ni kopplat den till rätt processteg.

Denna metod hjälper er att systematiskt identifiera både uppenbara och dolda risker i era processer. Genom att involvera olika perspektiv får ni en mer komplett riskbild.

Så fungerar riskberäkningen

AmpliFlow använder en enkel matematisk modell:

Risktal = Total påverkan × MAX(Sannolikhet, Förekomst)

Systemet använder det högsta värdet av sannolikhet och förekomst (inte multiplikation av båda). Det ger en konservativ bedömning där den värsta faktorn avgör.

Total påverkan bestäms av det högsta värdet bland era påverkansgraderingar. Om ni graderar en risk som ekonomisk påverkan 3, miljöpåverkan 5 och säkerhetspåverkan 2, blir total påverkan 5.

Uppdaterad risktal beräknas automatiskt när ni anger förebyggande åtgärder:

Uppdaterad risktal = Risktal × (100 - Sannolikhetsreducering%) / 100

Färgkodning av risker:

AmpliFlow använder färgkodning för att visualisera risknivåer och hjälpa er prioritera:

  • Rödmarkerade risker (högt risktal): Ej acceptabla risker där ni måste etablera förändringar för att reducera sannolikheten eller påverkan. Dessa risker kräver åtminstone åtgärder och/eller övervakning som reducerar dessa risker till gult.
  • Gulmarkerade risker (medelhögt risktal): Risker som kan accepteras om ni infört sannolikhets- eller påverkansreducerande åtgärder eller motsvarande kontroller.
  • Grönmarkerade risker (lågt risktal): Acceptabla risker som vi ej behöver göra något mer med.

OBS! Ni kan inte ha några rödmarkerade risker dvs "Ej acceptabla risker" vid certifieringsrevisionen steg 2 så säkerställ att ni åtminstone har infört åtgärder som gör att ni bedömer att ni reducerat sannolikheten eller påverkan såpass mycket att risken gulmarkerats.

Exempel:

  • Risk: “IT-system slutar fungera vid strömavbrott”
  • Sannolikhet: 3, Förekomst: 2, Total påverkan: 4
  • Riskscore = 4 × MAX(3,2) = 4 × 3 = 12
  • Åtgärd: Installera UPS (sannolikhetsreducering 80%)
  • Uppdaterad riskscore = 12 × (100-80)/100 = 12 × 0,2 = 2,4

Riskmatrisen (beta)

AmpliFlow visar era risker i ett interaktivt diagram där:

  • X-axeln visar uppdaterad riskscore (högre värde = större risk)
  • Y-axeln visar uppdaterad sannolikhet
  • Varje bubbla representerar en risk
  • Färgen indikerar risknivå (grön-gul-röd gradient)
  • Hovra över bubbla för att se detaljer
  • Klicka på bubbla för att öppna och redigera

Grafen är i beta och utvecklas kontinuerligt.

Förklaring av respektive kolumn

  • Risknummer: Genereras automatiskt av systemet för varje ny risk. Används för att referera till specifika risker i diskussioner och uppföljning.
  • Påverkade processteg: Koppla risken till specifika steg i era processkartor. Detta gör det möjligt att visa risker direkt i processkartorna och hjälper ägare att förstå vilka risker som finns i deras del av verksamheten. Ni kan välja flera processteg om risken påverkar flera delar av processen. Detta fält är endast tillgängligt om ni har processkartläggning aktiverad.
  • Riskscenario: Beskriv konkret vad som kan hända. Undvik vaga formuleringar - “Leverantör X levererar defekt råmaterial som stoppar produktion i 3 dagar” istället för “Leverantörsproblem”.
  • Potentiella konsekvenser: Vad händer om risken inträffar? Exempel: “Produktionsstopp i 3 dagar”, “Förlust av certifiering”, “Kundreklamation”. Detta hjälper er att prioritera rätt och förstå riskens betydelse.
  • Realistisk: Markera om riskscenariot är realistiskt för er verksamhet (Ja/Nej). Detta används för att filtrera bort teoretiska risker som inte är relevanta i praktiken.
  • Påverkan/Påverkansgraderingar: Bedöm hur stor skada risken kan orsaka om den inträffar (1-5). Beroende på er konfiguration använder ni antingen ett enskilt påverkansvärde eller separata graderingar för olika områden (ekonomi, miljö, säkerhet, rykte etc.) som ni definierar i er påverkansmatris.
    • Om ni använder påverkansgraderingar (flera områden): Systemet beräknar automatiskt den totala påverkan som det högsta värdet bland era graderingar. Exempel: Ekonomisk påverkan 3, Miljöpåverkan 5, Säkerhetspåverkan 2 ger total påverkan 5. I tabellvyn visas detta som “Total påverkansgradering”.
    • Om ni använder enkel påverkan (ett värde): Ni anger direkt ett påverkansvärde 1-5. I tabellvyn visas detta som “Påverkan”.
  • Kommentarer (påverkan): Förklara varför ni bedömt påverkan som ni gjort. Exempel: “Miljöpåverkan 5 eftersom spill kan nå grundvatten och kräver sanering enligt miljöbalken”. Detta skapar förståelse för bedömningen.
  • Förekomst: Hur ofta har liknande händelser inträffat historiskt (1-5)? Använd verkliga data från avvikelser och tidigare incidenter om möjligt.
  • Sannolikhet: Bedöm hur troligt det är att risken inträffar (1-5). 1 = mycket osannolikt (mer sällan än vart 10:e år), 3 = möjligt (vart 2:a-5:e år), 5 = mycket troligt (flera gånger per år).
  • Kommentarer (sannolikhet): Förklara varför ni bedömt sannolikheten som ni gjort. Exempel: “Sannolikhet 4 eftersom leverantören haft kvalitetsproblem 3 gånger senaste året”. Detta motiverar bedömningen.
  • Risktal: Beräknas automatiskt enligt formeln: Total påverkan × MAX(Sannolikhet, Förekomst). Visar hur allvarlig risken är. Detta är ett beräknat fält som ni inte fyller i manuellt.
  • Riskreducering: Konkreta förebyggande åtgärder för att minska risken. Var specifik: “Installera UPS Modell X senast 2025-03-31” istället för “Förbättra strömförsörjning”. Åtgärder kan syfta till att minska sannolikhet eller begränsa påverkan.
  • Ansvarig: Tilldela en ansvarig person som har insyn i området och mandat att genomföra åtgärderna. Ansvarig håller bedömningen aktuell och säkerställer att åtgärder implementeras.
  • Datum: När ska åtgärden vara genomförd? Sätt realistiska datum baserat på åtgärdens komplexitet och riskens allvarlighetsgrad. Högre risk = snabbare åtgärd.
  • Estimerad sannolikhetsreducering (%): Hur mycket minskar sannolikheten när åtgärden är genomförd? Var realistisk - backup-system kan ge 80% reducering, extra leverantör kanske 60%. Dokumentera antaganden i kommentarsfälten.
  • Uppdaterad risktal: Beräknas automatiskt baserat på sannolikhetsreducering enligt formeln: Risktal × (100 - Sannolikhetsreducering%) / 100. Visar hur risken förändras efter era åtgärder. Detta är ett beräknat fält som ni inte fyller i manuellt.
  • Status: Markera framsteg för åtgärden (planerad, pågående, genomförd, uppskjuten). Uppskjutna åtgärder kräver motivering i kommentarsfälten.
  • Framhävd risk: Om ni har processkartläggning aktiverad kan ni välja att framhäva risken i processkartorna. Detta gör risken mer synlig för processteamen och markerar att den är särskilt viktig att ha koll på i den specifika processen.

Så kopplar ni riskhantering till andra processer

Avvikelser: När en avvikelse inträffar, kontrollera om risken fanns identifierad. Om inte, lägg till den i riskregistret.

Leverantörsbedömningar: Identifierade leverantörsrisker ska finnas i riskanalysen med konkreta åtgärder.

Intressentanalys: Risker kopplade till era intressenter (kunder, myndigheter, samhället) ska dokumenteras.

Kundkrav: Risker för att inte uppfylla kundkrav ska identifieras och hanteras.

Målstyrning: Sätt mål för riskreducering som ni följer upp i ledningsgruppen. Exempel: "Minska antal risker med score över 15 från 8 till 0 innan certifiering".

Informationsklassificering (ISO 27001): Använd era påverkansgraderingar för att avgöra vilken klassificering olika informationstyper ska ha. Om en risk har hög påverkan på säkerhet eller affärskritisk information behöver den skyddas särskilt.

Krishantering: Högriskscenarier kan ligga till grund för er krishanteringsplan.

Ledningsöversyn: Ha riskmatrisen som stående punkt på ledningsgruppsmöten. Den visuella överblicken gör det enkelt att diskutera riskläget.

Genom att följa denna guide hoppas vi att ni får en smidig och effektiv upplevelse med operationell riskhantering i AmpliFlow. Om ni har några frågor eller behöver ytterligare stöd, tveka inte att kontakta vår support.

Kontakt:

Alla guider
Behöver du hjälp?
Hör av dig, vi finns här för att hjälpa dig.
Tack! Nu får du snart ett e-post från oss!
Oj! 

Något gick fel.

Hör av dig till support@ampliflow.com.
Genom att klicka på “Acceptera” godkänner du lagring av cookies på din enhet för att förbättra navigering på webbplatsen, analysera användningen av webbplatsen och hjälpa till med våra marknadsföringsinsatser. Se vår personuppgiftspolicy för mer information.
InställningarNeka allaOK