Risikovurdering: Guide og skabelon til jeres interne risikoworkshop
Forebyggelse af driftstop og kriser handler i bund og grund om at forstå, hvor sårbar din virksomhed er – og hvordan du bedst reducerer de risici, der truer jeres daglige drift og medarbejdere. Derfor har vi hos Securitas udviklet en gratis skabelon og en trin-for-trin-guide, som hjælper jer med at danne et overblik over risici – uanset virksomhedens størrelse og branche.
Hvad er en risikovurdering - og hvorfor er den vigtig?
Risikovurdering er en struktureret metode til at identificere, analysere og prioritere risici – og et godt afsæt for at styrke robustheden, undgå driftstop og genoprette driften i nødstilfælde.
Uanset om din virksomhed er direkte omfattet af fx NIS2- eller CER-direktivet, leverer til kritisk infrastruktur eller blot ønsker at få et bedre overblik over sårbarheder, er en risikovurdering et nyttigt og nødvendigt værktøj.
Men selvom det måske lyder besværligt, behøver I ikke nødvendigvis at bruge konsulenttimer på at komme i gang. Med den rigtige hjælp, kan I nemlig nå rigtig langt selv. Derfor har vi forsøgt at gøre det så overskueligt som overhovedet muligt med denne trin-for-trin-guide, så I selv kan komme i gang.
Download skabelonRisikovurdering: Trin-for-trin guide
Husk at skalaen skal passe til jeres virkelighed
Ingen virksomheder er ens. Det, der er kritisk i én virksomhed, kan være mindre vigtigt i en anden. Hvis jeres omsætning fx primært afhænger af fysisk tilstedeværelse og åbningstider, vil en brand i butikken være en høj risiko.
Hvis jeres salg i stedet foregår via webshop, vil et nedbrud på siden have højere prioritet end for en virksomhed, hvor hjemmesiden blot bruges til information.
Før I går i gang med at vurdere konkrete trusler og sårbarheder, er det derfor en god idé at have defineret den skala, I bruger til at vurdere risikoniveauet. Det gør I ved at kombinere to dimensioner:
- Konsekvens: Hvor alvorligt vil det være, hvis hændelsen indtræffer?
- Sandsynlighed: Hvor sandsynligt er det, at hændelsen opstår?
Vi har gjort det lidt nemmere
Download vores gratis skabelon, som I frit kan bruge som inspiration, når I skal udarbejde jeres egen risikovurdering. Skabelonen giver jer et konkret udgangspunkt og hjælper med at strukturere arbejdet med at identificere, vurdere og håndtere potentielle risici.
Download skabelon-
Trin 1
Få inspiration til, hvordan I kan vurdere konsekvens og sandsynlighed som led i jeres risikovurdering.
Opret en skala for jeres risikomatrix
-
Hvor alvorligt vil det være, hvis hændelsen indtræffer?
Konsekvensen er udtrykket for, hvor stor skade en hændelse kan forårsage – både menneskeligt, økonomisk, driftsmæssigt og omdømmemæssigt. Er den fx af økonomisk karakter eller er der noget udstyr, som er særligt vigtigt for driften? Er der risiko for personskade eller tab af medarbejdere, der besidder vigtig viden?
- Ubetydelig risiko
Begrænset eller ingen påvirkning på drift, økonomi eller sikkerhed. Fx en printer, et mindre lager eller en informationsside på hjemmesiden. - Moderat risiko
Mærkbar forstyrrelse, fx forsinkelse i leverancer, nedbrud i ikke-kritiske systemer. Fx adgangsudstyr, telefoniløsning eller varelager. - Kritisk risiko
Alvorlig påvirkning af drift, økonomi, sikkerhed eller omdømme. Fx serverrum, hovedlager, webshop med direkte salg, produktionslinje, strømforsyning eller sikkerhedssystemer.
- Ubetydelig risiko
-
Hvor sandsynligt er det, at hændelsen opstår?
Sandsynligheden er et udtryk for, hvor ofte en hændelse forventes at ske. Det afhænger af både historiske hændelser, geografisk placering, sikkerhedsniveau og erfaringer fra lignende virksomheder.
- Lav: Usandsynlig – sker sjældent eller kun under særlige omstændigheder.
- Middel: Rimelig sandsynlig – kan ske en gang imellem eller hvert 2. år.
- Høj: Meget sandsynlig – fx en eller flere gange om året eller under visse betingelser.
- Lav: Usandsynlig – sker sjældent eller kun under særlige omstændigheder.
-
-
Trin 2
Vi har lavet en kort beskrivelse af alle kolonnerne i vores risikovurdering. Tryk på de termer, du ønsker uddybet til risikovurderingen.
List alle jeres aktiver og udfyld risikovurderingen
-
Aktiver
Når vi taler om aktiver i i en risikovurdering, mener vi alle de ressourcer og elementer, som din virksomhed er afhængig af for at kunne fungere – både fysiske, digitale og menneskelige.Det kan fx være:
- Fysiske aktiver: bygninger, lokaler, produktionsudstyr, køretøjer, serverrum, adgangssystemer og brandslukningsudstyr.
- Digitale aktiver: IT-systemer, kommunikationsværktøjer (som Microsoft Teams eller Slack), ERP-systemer, webshops eller hjemmesider.
- Menneskelige aktiver: medarbejdere, ledelse, vikarer og nøglepersoner med kritiske roller.
- Processer og services: fx produktionslinjer, kundesupport, forsyningskæder eller logistikløsninger.
Ved at inkludere både fysiske og digitale elementer i risikovurderingen, sikrer I et helhedsorienteret overblik over virksomhedens sårbarheder og afhængigheder.
- Fysiske aktiver: bygninger, lokaler, produktionsudstyr, køretøjer, serverrum, adgangssystemer og brandslukningsudstyr.
-
I denne kolonne beskriver du, hvad det konkrete aktiv dækker over. Nogle aktiver er selvforklarende (fx "hjemmeside” eller "produktionslinje 1"), mens andre kræver en kort forklaring.
Eksempelvis kan "medarbejdere" specificeres som "lagerpersonale, skiftehold", eller "it-support, deltidsansatte".
Hvis I har særlige samarbejdsrelationer eller eksterne ressourcer (fx konsulenter eller leverandører), kan det være også give mening at notere, om de er omfattet af jeres risikovurdering.
-
Det er vigtigt at angive, hvilken afdeling eller person der har ansvaret for det pågældende aktiv. Det skaber klarhed og gør det nemmere at tage ansvar og handle hurtigt, hvis der opstår en risiko.
Afhængigheder og ansvar kan ændre sig over tid – derfor anbefaler vi, at du holder dette på et overordnet niveau og fokuserer på at sikre, at der er en identificeret ansvarlig, frem for at bruge for lang tid på detaljer.
-
-
Trin 3
Efter at du har angivet jeres aktiver, er du nu kommet til at angive specifikke trusler og sårbarheder, så I til sidst kan vurdere sandsynligheden og konsekvensen ved jeres trusselsbillede.
Lav liste over trusler og sårbarheder
-
En trussel er en potentiel hændelse, der kan skade et aktiv og få negativ indvirkning på virksomhedens drift, sikkerhed eller omdømme. Når I udfylder kolonnen i risikovurderingen, bør I notere trusler, som virksomheden tidligere har oplevet – eller som realistisk set kan forekomme.
Eksempler på fysiske trusler kan være:
- Brand i virksomhedens bygninger, fx som følge af fejl i elinstallationer eller uheld i produktionen.
- Indbrud eller hærværk, hvor uvedkommende får adgang til lokaler og forårsager skade eller stjæler værdier.
- Strømsvigt, der lammer kritiske funktioner som produktion, serverrum eller alarmsystemer.
- Vand- eller stormskader, fx oversvømmelse af lager eller kontorområder.
- Fysiske overfald mod medarbejdere – fx i reception, butik eller vagttjeneste.
Når I noterer en trussel, kan det også være en god idé at overveje, i hvilke situationer truslen opstår, og hvilke aktiver eller personer den kan ramme. Det gør det nemmere at vurdere både sandsynlighed og konsekvens.
Eksempel:
Hvis virksomheden tidligere har haft ubudne gæster om natten, og I har værdifuldt udstyr stående udenfor eller i dårligt sikrede lokaler, kan “indbrud efter lukketid” være en relevant trussel at registrere. - Brand i virksomhedens bygninger, fx som følge af fejl i elinstallationer eller uheld i produktionen.
-
Sårbarheder er de forhold, mangler eller svagheder, der gør det muligt for en trussel at materialisere sig. Det kan være noget teknisk, organisatorisk eller menneskeligt, og det gælder både fysiske og digitale forhold.
Eksempler på fysiske sårbarheder:
- Manglende videoovervågning i udsatte områder
- Forældet brandslukningsudstyr
- Manglende adgangskontrol til kritiske rum
- Uklare procedurer ved indbrud eller uheld
- Sårbarhed over for stormskader pga. bygningens placering eller stand
Eksempler på digitale sårbarheder:
- Manglende opdateringer på software og systemer
- Svage adgangskoder eller manglende to-faktor autentifikation
- Manglende awareness blandt medarbejdere omkring phishing og social engineering
Formålet med dette afsnit er ikke at placere skyld, men at identificere realistiske scenarier og bagvedliggende årsager til, at en trussel kan opstå. På den måde kan I bedre vurdere, hvor alvorlig truslen er samt overveje, hvor sandsynligt det er, at den indtræffer. Til sidst kan I begynde at tænke over forebyggende tiltag.
-
I denne kolonne beskriver du, om I allerede har gjort noget for at imødegå den identificerede risiko. Det kan fx både være tekniske foranstaltninger eller adfærdsrelaterede indsatser.
Eksempler:
- Der er installeret adgangskontrolsystem med logning af personer i sikrede områder.
- Lagerområdet er blevet udstyret med røgalarmer og sprinkleranlæg.
- Der er indført rutiner for aflåsning uden for åbningstid.
- Backup og gendannelsesplan for kritiske systemer er testet og dokumenteret.
- Medarbejdere har gennemført awareness-træning i fysisk og digital sikkerhed.
Ved at notere de allerede gennemførte tiltag, får I både et overblik over, hvad der fungerer, og hvor der stadig er huller, der skal dækkes.
- Der er installeret adgangskontrolsystem med logning af personer i sikrede områder.
-
Acceptabel nedetid handler om, hvor længe driften kan være påvirket eller sat ud af spil, før det bliver til en reel krise.
Når I definerer, hvor lang tid forskellige forretningsområder kan tåle at være nede, får I et klart grundlag for at prioritere indsats og ressourcer, hvis noget går galt. Det gør det også nemmere at planlægge beredskab, genopretning og investeringer i forebyggelse, så de vigtigste funktioner hurtigt kan komme op at køre igen.
-
-
Trin 4
Når I har identificeret jeres aktiver, trusler og sårbarheder, er næste skridt at vurdere de risici, virksomheden står overfor. Det gøres ved at analysere både konsekvensen og sandsynligheden af, at en hændelse indtræffer.
Vurder risici
-
Konsekvensen er udtrykket for, hvor stor skade en hændelse kan forårsage – både menneskeligt, økonomisk, driftsmæssigt og omdømmemæssigt.
Konsekvensen af en hændelse afhænger ofte af konteksten:
- Et indbrud i et lager, hvor der opbevares dyrt udstyr, kan have høj økonomisk konsekvens, men begrænset betydning for IT.
- En brand i et serverrum kan være kritisk for drift og datatilgængelighed, men uden direkte menneskelig risiko, hvis området er ubemandet.
Det er en god idé at drøfte konsekvenserne med kolleger fra forskellige afdelinger, da perspektiverne ofte varierer. Marketing kan vurdere en trussel mod hjemmesiden som høj, mens teknisk drift måske ikke vurderer den som forretningskritisk. Det tværgående samarbejde giver det bedste beslutningsgrundlag.
- Et indbrud i et lager, hvor der opbevares dyrt udstyr, kan have høj økonomisk konsekvens, men begrænset betydning for IT.
-
Sandsynligheden er et udtryk for, hvor ofte en hændelse forventes at kunne indtræffe. Det afhænger af både historiske hændelser, geografisk placering, sikkerhedsniveau og erfaringer fra lignende virksomheder.
Eksempler:
- Risikoen for indbrud i en ubemandet lagerbygning uden adgangskontrol kan være højere end i en sikret kontorbygning.
- Risikoen for vandskade er større i en kælder end i en bygning på første sal.
- En IT-hændelse kan være sjælden, men have høj konsekvens, og dermed stadig være kritisk.
En realistisk vurdering af sandsynligheden hjælper jer med at prioritere risici og fokusere på dem, der kræver handling.
- Risikoen for indbrud i en ubemandet lagerbygning uden adgangskontrol kan være højere end i en sikret kontorbygning.
-
Når du har vurderet konsekvens og sandsynlighed, giver det god mening at foreslå relevante forebyggende tiltag. Det kan være:
- Etablering af branddøre og varslingssystemer
- Kameraovervågning eller adgangskontrol til følsomme områder
- Rutiner for fysisk rundering uden for åbningstid
- Regelmæssig backup og test af gendannelsesplan
- Træning i evakuering, kriseberedskab eller håndtering af fysiske trusler
Tiltagene bør prioriteres ud fra, hvor alvorlige og sandsynlige risiciene er – og med blik for, hvad der realistisk kan gennemføres ift. ressourcer og tid.
- Etablering af branddøre og varslingssystemer
-
Det kan også give god mening at tale om, hvor mange ressourcer – både tid, penge og personale – det vil kræve at håndtere hændelsen, hvis den skulle ske. Det hjælper jer nemlig med at vurdere, om jeres beredskab er passende i forhold til risikoniveauet.
-
Din risikovurdering er klar til brug
Når alle trin er gennemgået og dokumenteret, står I med et klart overblik over virksomhedens samlede risikobillede. Det giver jer et konkret værktøj til at træffe gode beslutninger om sikkerhed, beredskab og investeringer i forebyggelse. Men husk på at en risikovurdering ikke er noget, man laver én gang og så gemmer i skuffen. Trusler, processer og teknologier udvikler sig hele tiden. Derfor bør vurderingen opdateres jævnligt og være en naturlig del af arbejdet med robusthed og beredskab.
Få gode råd til din risikovurdering fra vores sikkerhedsrådgiver
Skal du i gang med en risikovurdering? Så har vores sikkerhedsrådgiver, Eddie Christoffersen, et par gode råd klar til dig. Med afsæt i mange års erfaring – hvor han har hjulpet nogle af Danmarks største virksomheder med deres sikkerhedssetup – har han samlet en række overvejelser, som både små og store virksomheder med fordel kan tage med i processen.
”Hvis man vil arbejde systematisk med risikohåndtering, starter det hele med en grundig risikovurdering,” fortæller han. ”Her ser man på alt fra naturkriser som stormflod til menneskeskabte hændelser som tyveri eller ulovlig indtrængen.”
En risikovurdering med tværgående indsats skaber overblik
Målet er at vurdere både sandsynlighed og konsekvenser, så indsatsen kan rettes mod de mest kritiske risici. For større virksomheder giver det ofte mening at samle nøglepersoner fra fx drift, IT, økonomi og HR til en risikoworkshop. Det sikrer et tværgående blik på virksomhedens sårbarheder.
Er man en mindre virksomhed, handler det i højere grad om at sikre, at man kommer hele vejen rundt – fx ved at inddrage afhængigheder til systemer og leverandører og se på, hvordan forretningen påvirkes, hvis noget går galt.
”I kortlægningen af risici kan man med fordel bruge en konsekvens-sandsynlighedsmatrix til at vurdere, hvor kritiske de enkelte trusler er, og hvordan de påvirker driften. Det er præcis den metode, vi også bruger, når vi rådgiver vores kunder,” siger Eddie Christoffersen.
Typiske faldgruber i en risikovurdering
En risikovurdering kræver ikke kun overblik – men også evnen til at se sammenhænge og tænke i helheder.
”Det er vigtigt at kortlægge sammenhænge og afledte effekter,” forklarer sikkerhedsrådgiver Eddie Christoffersen. ”Hvis én del af forsyningskæden svigter, kan konsekvenserne hurtigt være langt større end først antaget.”
En anden klassisk udfordring er balancen mellem dataindsamling og handling.
”Det er vigtigt at have nok oplysninger til at træffe informerede beslutninger – men uden at drukne i analyser, der forsinker indsatsen. En risikobaseret tilgang sikrer i bund og grund, at ressourcerne prioriteres dér, hvor de skaber størst værdi,” afslutter han.
-
Ofte stillede spørgsmål
-
Hos Securitas tilbyder vi altid en gratis risikovurdering.
Vi starter med at sætte os grundigt ind i din virksomheds særlige risici og sikkerhedsbehov. Vores erfarne sikkerhedsrådgivere arbejder tæt sammen med dig for at få et klart billede af, hvad der er vigtigt for netop jer.
Gennem en kombination af on-site besøg og dialog udarbejder vi en helhedsorienteret og veldokumenteret sikkerhedsstrategi – helt uden omkostninger for dig.
-
Som tommelfingerregel bør I gennemgå og opdatere jeres risikovurdering mindst en gang hvert 2. år.
Men risikovurderingen skal også ses som et levende dokument. Derfor bør den også justeres, når der sker større ændringer i virksomheden – fx hvis I implementerer nye systemer, ændrer jeres forsyningskæde, udvider jeres fysiske rammer eller oplever en sikkerhedshændelse.
På den måde sikrer I, at jeres risikobillede er opdateret – og at I altid træffer beslutninger på et solidt grundlag.
-
Man kan sige, at en klassisk risikovurdering består af fire trin.
Først kigger man på, hvilke trusler der kan ramme dig. Derefter vurderer man, hvor sårbare I er – altså hvor godt jeres virksomhed egentlig er beskyttet i dag. Når det er på plads, handler det om at vurdere, hvor sandsynligt det er, at truslerne sker, og hvad det vil koste, hvis de gør. Til sidst lægges en plan for, hvordan I bedst håndterer og minimerer de risici, I har fundet.
-
Få en gratis risikovurdering
Udfyld formularen, så kontakter vi dig. Sammen finder vi en dag, hvor vores sikkerhedsekperter kan komme og udføre en risikovurdering af din virksomhed.
* = obligatoriske felter
