Risikovurderinger ufarliggjort

Publisert Sist publisert den 9. April 2026

A man sits at a desk covered with reports and risikovurderinger ufarliggjort, looking stressed while holding his head and staring at a laptop. Large windows behind him reveal a rainy cityscape and water outside.

Har du fått ansvaret for å gjennomføre en risikovurdering, men er usikker på hvordan du faktisk skal gjøre det. Hvilken metode bør du velge? Hvilke steg må til? Hva som er «riktig» fremgangsmåte?
I denne artikkelen gir Mathias Johnsen fra Viljr deg oppskriften for å lykkes.

Av: Mathias Johnsen, leder for fag og metode i Viljr

Det er liten tvil om at vi lever i en tid full av usikkerhet og utrygghet. Norge er på mange måter en trygg oase i denne virkeligheten, men som samfunn har vi de siste tiårene blitt stadig mer klar over at vi ikke kan sette vår lit til at alt går bra av seg selv. 2026 er totalforsvarsåret i Norge. Det kan ikke understrekes tydeligere at alle, privatpersoner som bedrifter, har et ansvar for sikkerhet. Men hva vil det egentlig si? Hvilken sikkerhet? Hvem sin? I hvor stor grad? Det er lett å bli overveldet, men heldigvis finnes det en redning: risikovurderinger!

Risikovurderinger er det verktøyet som kan hjelpe oss alle med å bedre forstå vår plass i det nasjonale sikkerhetsbildet, og truslenes plass i vårt. I denne artikkelen skal jeg forsøke å overtale deg om at det stemmer.

Det viktigste først: Hva er en risikovurdering?

«Risikovurdering», «ROS», «risikoanalyse», «sikringsrisikoanalyse», kjært barn, etc. Om du ønsker å lære noe som helst fra dette skriveriet kan du ta med deg følgende: En risikoanalyse er en del av en risikovurdering.

Risikoanalysen analyserer hva risikoen er.

Risikoevaluering vurderer om risikoen er akseptabel.

Risikovurderingen er disse to tingene lagt sammen.

Nå kan du allerede ha god samvittighet for at du begynte å lese denne artikkelen, og briljere med semantisk flisespikkeri på fest! All kunnskap er god kunnskap.

«Ok,» sier du kanskje. «Fint det, men hva er en risikovurdering, da?» Helt enkelt handler en risikovurdering om å svare på to spørsmål:

  • Er vi sikre nok?
  • Hvis ikke, hvordan blir vi sikre nok?

Så enkelt. Og så vanskelig. Over de neste avsnittene skal jeg gi deg en liten huskeliste du kan ta med deg med de viktigste punktene du må huke av i en risikovurdering. Alt som følger etterlever Norsk Standard 5814:2021 Krav til risikovurderinger (som jeg kan fortelle dere 5832-purister at er fremtiden!), kravene i sikkerhetsloven, sivilbeskyttelsesloven, digitalsikkerhetsloven, og egentlig alle norske lovverk som krever en risikovurdering. Du har med andre ord ditt på det rene om du tar med deg dette.

Hvordan «gjøre» en risikovurdering.

Jeg hopper raskt bukk over alt det praktiske med å starte et risikovurderingsarbeid; mandat, ressurser, tidsrammer etc. Tenk på det som et prosjekt. Det kan være bitte lite eller enormt. Ferdig.

Når du først har kommet i gang er det først du må kunne svare på følgende:

Hvorfor gjennomfører vi risikovurderingen?

Risikovurderinger er beslutningsstøtte. De gjør ingen ting på egenhånd. De må brukes til noe, men hva er dette noe? Ideelt sett skal du ha fått en bestilling fra en beslutningstaker som gir deg den informasjonen, men hvis ikke lønner det seg å grave litt for å finne det ut.

Når du har årsaken for vurderingen på plass, kan du begynne å dykke ned i risiko. Da er det første du må få kartlagt hva du faktisk skal beskytte: dine verdier.

Verdier

Hva er det som er verdifullt i din virksomhet? Hvorfor er det verdifullt? Hvilken verdi har det? Verdivurderingssteget i en risikovurdering kan fort føles overveldende og banal på samme tid, men for å vite hvordan du skal beskytte deg må du nødvendigvis vite hva du skal beskytte. Ikke få panikk. Still deg heller disse spørsmålene:

  • Hvorfor finnes virksomheten vår; hva er vårt eksistensgrunnlag? Dette vil gi deg dine overordnede verdier.
  • Hva gjør vi for å ivareta vårt eksistensgrunnlag? Dette vil vise deg hvilke funksjoner som må opprettholdes for at de overordnede verdiene skal beskyttes.
  • Hvor gjør vi det vi gjør? De byggene, plassene, og systemene der funksjoner faktisk utføres; det som må beskyttes i det fysiske og digitale rom.
  • Hva er vi avhengig av for å gjøre det vi gjør der vi gjør det? Alle deres avhengigheter: strøm, vann, kompetanse, komponenter, og så videre.
Sikkerhetsmål

«Sikkerhet» behandles gjerne som noe absolutt. Vi skal være sikre, punktum. Dette gjør det veldig vanskelig å jobbe med å trygge og sikre våre verdier, for hva er da sikkert nok? Etter at vi har definert våre verdier er den neste øvelsen å definere hva våre målsettinger er for sikkerheten til disse verdiene. Lettere sagt enn gjort, men livbøyen jeg pleier å kaste til de som sliter med dette er å tenke på sikkerhetsmålsettinger på akkurat samme måte som målsettinger i virksomhetsstyringen for øvrig. De fleste virksomheter er gode på å sette mål. Bruk den kompetansen i sikkerhetsarbeidet også!

Objekt- og systemkartlegging

Mye av arbeidet med en risikovurderinger baserer seg på hva som skjer med et fysisk objekt eller et digitalt system. Alle uønskede hendelser skjer et sted (snakk om revolusjonerende utsagn!), og for at vi skal kunne vurdere risiko på en treffsikker måte må vi forstå stedet risikoen finnes. Ta på deg vernesko og gul vest og gå på byggeplassen der du skal vurdere HMS-risiko. Eller åpne en boks Monster og fordyp deg i systemene du skal vurdere risiko for digitale angrep i. Om du ikke har riktig kompetanse eller innsikt, få med deg de som har det, eller bruk eksisterende dokumentasjon.

Trussel- og farevurdering og trusselscenario

Vi har så langt kartlagt hva vi skal beskytte. Og som du kanskje merker har vi ikke brukt et ord på å snakke om hva som kan skje enda. Dette er helt riktig, og helt bevisst. Våre verdier er våre verdier uansett trussel, men som mennesker har vi lett for å se oss blinde på det vi tror er relevante trusler: Terrorisme, hvite varebiler, Russiske kryssermissiler, ekstremvær, pandemier, for å nevne noe.

Det er svært mye som kan skje. Trussel- og farevurderingen skal kartlegge hvilke farer (utilsiktede hendelser) og trusler (tilsiktede handlinger) som er realistisk og relevant for våre verdier. Her kommer vi tilbake til noen enkle spørreord:

  • Hva tror vi kan true vår sikkerhet?

Og så det vanskelige:

  • Hvorfor?

Dersom vi påstår at «terrorister», eller flom, er en relevant trussel mot våre verdier, da må vi kunne vise til noe informasjon om hvorfor det er realistisk. Hvorfor tror vi at politiske voldelige ekstremister vil ønske å skade våre verdier? Hvorfor tror vi at en flom kan oppstå i nærheten? Noen ganger er spørsmålet svare enkelte («sykehjemmet er bygget i en flomsone…»), andre ganger må vi forsøke å sette oss inn i tankesettet til de som ikke vil oss vel.

Når vi har denne vurderingen på plass skal vi gi enda litt ytterligere hjelp til selvhjelp: Vi skal forsøke å definere hvordan uønskede hendelser kan tenkes å forløpe. Risikovurderinger er gjerne scenariobasert, det vil si at vi tar utgangspunkt i noen tenkte, realistiske hendelsesforløp for å kunne gjøre oss opp en formening om risiko. Er flom identifisert som en relevant fare, ja da skal vi forsøke å beskrive hvordan et flomforløp kan tenkes å skje. Er det terrorisme vi må vurdere må vi faktisk forsøke å tenke som denne aktøren.

Desto mer detaljert vi klarer å gjøre slike scenarioer, desto lettere blir vurderingens neste steg: risikoanalyse.

Risikoanalyse

Nå kommer det nok en viktig huskeregel: Du gjennomfører en analyse per scenario. Har du avdekket ti uønskede hendelser som er relevant å se nærmere på skal du i utgangspunktet gjennomføre ti analyser. Heldigvis kan en slik analyse gjøres så enkelte eller omfattende som du har tid til og behov for.

Når du analyserer ett scenario beskriver du hva risikoen knyttet til scenarioet er. Her kunne jeg brukt mange lange sider på å snakke om metodikk og fremgangsmåter, men vi gjør det enkelt og sier at det holder med kulepunkter. For hvert enkelt scenario skal du vurdere:

  • Sårbarhet: Finnes det faktorer som gjør scenarioet mer eller mindre trolig, eller som kan gjøre konsekvensene mer eller mindre alvorlige?
  • Konsekvens: Sårbarhetene tatt i betraktning, hva tror vi konsekvensene av dette scenarioet ville blitt for våre verdier?
  • Sannsynlighet: Sårbarhetene tatt i betraktning, hvor stor grunn har du til å tro at scenarioet kommer til å inntreffe?
  • Usikkerhet: Hvor god informasjon og kunnskap har du for hånden? Siden du i praksis spår i fremtiden har det mye å si for en beslutningstaker om du har god, pålitelig informasjon å basere vurderingene dine på eller bare magefølelse og gjetning.

Når du har disse fire punktene har du omrisset av risikoen for scenarioet. Det å legge de fire sammen til ett risikomål (lav risiko, høy risiko, etc.) er mer en kunst enn en vitenskap, men så lenge du kan beskrive risikoen i prosatekst har du ditt på det rene.

Og så tror du kanskje vi er ferdige? Feil! Analysen forteller oss bare hva risikoen er. Den svarer ikke ut hvorvidt risikoen er akseptabel. For å få svar på det må vi ta ett steg til, som allerede ble nevnt tidligere:

Risikoevaluering

Det er her ringen blir sluttet: Nå som du har et bilde av risikoen dine verdier er utsatt for kan du sammenligne dette med sikkerhetsmålene du beskrev tidlig i prosessen. Gitt risikoen slik du har analysert den, er det trolig at virksomheten når sine sikkerhetsmål? Hvis nei, hvorfor ikke? Det er dette som gir grunnlag for beslutninger. Risikoanalysen er bare data. Risikoevalueringen er beslutningsstøtte.

Hvis du vil være ordentlig grei med dine beslutningstakere kan du nå også utarbeide en liste med forslag på hva som bør gjøres for å dekke gapet mellom risiko og sikkerhetsmål.

Ring en venn

Verdi, mål, trussel, scenario, sårbarhet, sannsynlighet, konsekvens, usikkerhet, evaluering, tiltak. Koker vi dette godt sammen får vi altså en risikovurdering. Det er ikke så katastrofalt vanskelig som det kan virke, men mange virksomheter starter på ganske bar bakke når de skal gjøre sin første grundige vurdering. Om du står i en slik situasjon kan jeg ikke understreke nok: Ring en venn! Og nei, KI holder ikke. KI er et utmerket verktøy i dette arbeidet for å systematisere og sammenstille informasjon, men for å få gode tips og råd om hvordan man kan gjøre en risikovurdering for akkurat din virksomhet er det ingen ting som slår å snakke med noen som har gjort et lignende arbeid før deg.

Heldigvis begynner det å bli ganske mange der ute som har måttet bale med dette temaet. Snakk med dem! Be om hjelp. Rammeverket har du, arbeidet klarer du!

Vil du vite mer om risikovurdering og ROS-analyse:

A man with short gray hair, a beard, and glasses is smiling slightly. Dressed for the Webinar: Innføring i effektiv kriseledelse, he wears a white collared shirt and blue blazer, standing against a plain light-colored background.

Mathias Johnsen

Mathias Johnsen er statsviter med mastergrad i terrorismestudier fra University of St Andrews. Han har bred erfaring innen risikovurderinger, krisehåndtering og beredskap – både som kursinstruktør og analytiker.

Han har tidligere jobbet i Direktoratet for samfunnssikkerhet og beredskap (DSB) som instruktør ved Nasjonalt utdanningssenter for samfunnssikkerhet og beredskap, samt som risikoanalytiker i Forsvarsbygg og rådgiver i Advansia. I dag er han leder for fag og metode i konsulentselskapet Viljr.

Mathias har undervist i terrorforebygging og beredskap ved Universitetet i Tromsø og i risikovurderinger og samfunnssikkerhet ved Universitetet i Innlandet. Han er kjent for å gjøre komplekse fagtemaer forståelige og relevante.

Vi er her for deg!

Har du noen spørsmål om F24?
Fyll ut kontaktskjema under, så kommer vi snarlig tilbake til deg.

Vi er her for deg!

Har du noen spørsmål om F24?
Fyll ut kontaktskjema under, så kommer vi snarlig tilbake til deg.

Vi holder deg oppdatert.

Vil du motta aktuelle pressemeldinger rett fra oss?
Meld deg på e-postlisten for nyhetsbrev fra F24.