Risikoeier er lederen med ansvar for å håndtere en spesifikk risiko, koordinere tiltak og rapportere status til ledelsen og styret.

Hjem › Internkontroll › Kartlegging av risiko

Kartlegging av risiko – Fra usikkerhet til vurdert og styrt risikoforhold

Q: Hva er forskjellen på risikoidentifikasjon og risikovurdering?

Identifikasjon finner mulige trusler. Risikovurderingen analyserer sannsynlighet og konsekvens for å fastslå den faktiske restrisikoen.

Q: Hvor ofte bør risikovurderinger gjennomføres?

Ved nye prosesser, ved vesentlige endringer, etter alvorlige avvik og som del av den årlige ledelsesgjennomgangen.

Q: Hva er et risikoregister?

En strukturert oversikt over identifiserte risikoer, vurderinger, tiltak og ansvarlige – det sentrale styringsverktøyet for risikobildet.

Det operative verktøyet som omsetter risikostyring til konkrete instrukser

Risikovurdering er det operative verktøyet som omsetter virksomhetens overordnede risikostyring til konkrete handlinger. Før man kan bestemme hvilke instrukser man trenger, må man vite hva som kan gå galt og hvor det kan skje. Risikovurderingen fungerer som et diagnostisk verktøy som identifiserer de viktigste farene og truslene.

Forfattere: Svein Roar Holt & Maria Zahlsen – Internkontroll AS | Sist oppdatert: april 2026 | Juridisk forankring: Internkontrollforskriften § 5, Aksjeloven § 6-12

Uten en risikovurdering risikerer man å kaste bort ressurser innenfor lite kritiske områder, samtidig som man overser kritiske sårbarheter. Risikovurderingen er selve fundamentet for hvilke instrukser som må etableres.

Den sykliske risikovurderingsprosessen

1. Risikoidentifikasjon

Det første og mest kritiske steget. Man identifiserer usikkerhetskildene, truslene og de mulige konsekvensene. Dette gjøres gjennom analyse av prosesser og aktiviteter, intervjuer med nøkkelpersonell, sjekklister og erfaring fra tidligere avvik. Man ser etter sårbarheter i systemer, prosesser og gjeldende instrukser.

2. Risikovurdering – analyse og evaluering

Her kvantifiserer eller kvalifiserer man de identifiserte risikoforholdene. Hver identifisert risiko analyseres med tanke på sannsynlighet for at hendelsen inntreffer og konsekvens hvis den inntreffer. Resultatet – selve risikonivået – sammenlignes deretter med virksomhetens risikoappetitt og akseptkriterier. Dette trinnet beregner den inherente risikoen – risikoen før nye tiltak er iverksatt – for hvert identifisert risikoaspekt.

3. Risikobehandling

Dersom risikonivået er høyere enn akseptabelt, må man iverksette tiltak. Behandlingen innebærer å velge en av følgende strategier:

Redusere: Implementere forebyggende instrukser som reduserer sannsynligheten eller konsekvensen.
Overføre: For eksempel gjennom forsikring eller kontraktsmessig overføring av risiko.
Unngå: Stoppe aktiviteten som skaper risikoen.
Akseptere: Godkjenne risikoen dersom den er lav, eller tiltakene er for kostbare i forhold til effekten. Beslutningen må dokumenteres i risikoregisteret.

4. Risikoreduserende tiltak som instrukser

Risikobehandlingen leder direkte til forebyggende tiltak som blir en del av det løpende internkontrollarbeidet. Dette kan være etablering av opplærings-, gjennomførings- og kvalitetssikringsinstrukser. Prosessen må overvåkes og gjennomgås jevnlig for å sikre at instruksene fungerer som tiltenkt og at risikobildet ikke har endret seg.

Evaluering mot akseptkriterier

Etter analysen må resultatet evalueres mot virksomhetens akseptkriterier. Dette er terskelen som avgjør om risikoen er akseptabel eller krever behandling:

Høy/Kritisk risiko: Må behandles umiddelbart. Nye instrukser skal implementeres raskt.
Middels risiko: Må behandles, men kan prioriteres etter de kritiske risikoene.
Lav risiko: Kan aksepteres, men bør overvåkes og dokumenteres i risikoregisteret.

Risikoen for det enkelte risikoforholdet fastsettes ved å multiplisere fastsatt sannsynlighet og konsekvens. Risikomatrisen er et sentralt visuelt verktøy for å prioritere risikoer.

Sjekkliste for en effektiv risikovurdering

Følgende punkter er sentrale elementer som må gjennomgås og dokumenteres:

1. Definering av mål og omfang: Er det klart definert hvilke mål, prosesser eller myndighetskrav risikovurderingen gjelder for?
2. Identifisering av aktiviteter og hendelser: Er alle vesentlige styringsparametre og aktiviteter i prosessen identifisert?
3. Vurdering av eksisterende instrukser: Er virksomhetens nåværende forebyggende instrukser beskrevet og vurdert med hensyn til effektivitet?
4. Analyse av inherent risiko: Er sannsynlighet og konsekvens vurdert før eksisterende instrukser tas i betraktning?
5. Analyse av restrisiko: Er sannsynlighet og konsekvens vurdert på nytt basert på effekten av eksisterende instrukser? Dette gir den reelle restrisikoen.
6. Sammenligning mot akseptkriterier: Er den gjenværende risikoen sammenlignet med virksomhetens definerte akseptkriterier?
7. Dokumentasjon av behandling: Er det utarbeidet en klar plan for nye risikoreduserende instrukser dersom risikoen er uakseptabel?
8. Ansvar og frist: Er det definert tydelig ansvar for hvem som skal eie og følge opp risikoen?
9. Oppfølging og rapportering: Er det etablert en plan for når risikovurderingen skal gjennomgås på nytt?

Risikovurdering og IS-Modellen™

I IS-Modellen™ er risikovurderingen det tredje segmentet i styringssystemarbeidet – prosess- og risikovurdering. Funnene fra risikovurderingen danner direkte grunnlaget for det fjerde segmentet: aktivitetsorganisering gjennom instrukser. Dette sikrer at instruksene ikke utarbeides vilkårlig, men er forankret i en dokumentert risikovurdering. Hjemlingen i lovverket og arbeidsavtalen gir instruksene sin bindende karakter.

Trenger du hjelp til å kartlegge din virksomhets kritiske risiko?

Vi bistår med metodikk og instrukser for å etablere en risikovurdering som gir reell innsikt og beslutningsstøtte.

KONTAKT INTERNKONTROLL AS

Om forfatterne

Svein Roar Holt – grunnlegger av Internkontroll AS og skaper av IS-modellen™

Svein Roar Holt Grunnlegger – Internkontroll AS & Internkontrollportalen.no

Skaper av IS-modellen™ og AvvikStandard™. Ekspert på strategisk virksomhetsstyring, governance og instruksbasert internkontroll. Har bygget Norges ledende digitale GRC-plattform for SMB og offentlig sektor.

Om Svein Roar → LinkedIn →

Maria Zahlsen – grunnlegger av Internkontroll AS, jurist med arbeidsrett og forretningsjuss

Maria Zahlsen Grunnlegger – Internkontroll AS & Internkontrollportalen.no

Jurist med spesialisering innen arbeidsrett, kontraktsrett og forretningsjuss. Ekspert på operativ etterlevelse, HR-juss og organisatorisk risikostyring – med særlig fokus på menneskelig faktor og praktisk implementering av styringsverktøy.

Om Maria → LinkedIn →

Kartlegging av risiko – systematisk risikovurdering i virksomheten | Internkontroll AS

Kartlegging av risiko – det operative fundamentet for internkontroll | Internkontroll AS

Hva dekker denne siden?

Den sykliske risikovurderingsprosessens 4 trinn
Evaluering mot akseptkriterier
9-punkts sjekkliste for effektiv risikovurdering
Inherent risiko og restrisiko forklart
Risikovurdering i IS-Modellen™

For: Internkontrollansvarlige, daglige ledere og HMS-ansvarlige

Våre kjernemodeller

IS-modellen™ – instruksbasert virksomhetsstyring | Internkontroll AS

IS-modellen™ Instruksbasert styring

AvvikStandard™ – helhetlig modell for avviksstyring | Internkontroll AS

AvvikStandard™ Helhetlig avviksstyring

Relaterte fagsider

Internkontroll Det overordnede internkontrollrammeverket Risikostyring Strategisk risikostyring – overordnet perspektiv Avviksbehandling Fra risikoidentifikasjon til avvikshåndtering IS-modellen™ Risikovurdering som del av IS-Modellens tredje segment Internkontrollansvarlig Rollen som eier risikokartleggingsprosessen → Risikovurdering™ PRO – verktøy Strukturert risikovurdering i Styringsportalen

Ofte stilte spørsmål

Hva er forskjellen på risikoidentifikasjon og risikovurdering?

Identifikasjon handler om å finne mulige usikkerhetsmomenter og trusler. Risikovurderingen tar det et steg videre ved å analysere sannsynlighet og konsekvens for å fastslå den faktiske restrisikoen.

Hva er inherent risiko?

Inherent risiko er risikoen vurdert før noen forebyggende instrukser eller tiltak er iverksatt. Det er utgangspunktet i risikoanalysen – den «rå» risikoen i virksomheten.

Hva er restrisiko og når aksepteres den?

Restrisiko er risikoen som gjenstår etter at alle forebyggende instrukser og tiltak er på plass. Den aksepteres når den er innenfor virksomhetens definerte akseptkriterier, men beslutningen må alltid dokumenteres.

Hvem er risikoeier og hva er ansvaret?

Risikoeier er den lederen som har ansvar for å håndtere en spesifikk risiko. Risikoeier koordinerer med internkontrollansvarlig og rapporterer status til ledelsen og styret.

Hvorfor er risikoakseptkriterier viktige?

Akseptkriterier definerer virksomhetens risikovilje. Uten disse tersklene er det umulig å avgjøre objektivt om en risiko må behandles med nye instrukser eller om den kan aksepteres som en del av den løpende driften.

Hvor ofte bør risikovurderinger gjennomføres?

Risikovurderingen bør gjennomgås ved etablering av nye prosesser, ved vesentlige endringer i virksomheten, etter alvorlige avvik og som del av den årlige ledelsesgjennomgangen.

Hva er et risikoregister?

Et risikoregister er en strukturert oversikt over identifiserte risikoer, vurderinger, tiltak og ansvarlige. Det er det sentrale styringsverktøyet for å følge opp risikobildet over tid.

Sentrale lovhenvisninger

Internkontrollforskriften § 5 – Lovdata Aksjeloven § 6-12 – Lovdata Arbeidsmiljøloven – Lovdata Begreper og definisjoner – GRC-ordliste

© 2026 Internkontroll AS | Org.nr: 933 241 475
Innholdet på denne siden, inkludert metodikk og faglige definisjoner, er beskyttet etter åndsverkloven. Uautorisert kopiering eller kommersiell utnyttelse er forbudt.

Personvernerklæring | Kontakt oss

Trenger du rådgivning?

Vi hjelper deg med virksomhetsstyring, internkontroll, HMS og GDPR.

Ta kontakt med oss →