Skydda information

Hur gör man en riskanalys

Swedish 10 min Free Updated 2022-05-06
Allvarlig händelse

Har du hört att ni måste göra riskanalyser för att få koll på vad som kan inträffa och vet du hur man gör? Det ställs fler och fler krav på organisationer att de ska utföra olika typer av riskanalyser, det kan vara gällande risker mot medarbetare eller att ni ska lansera en ny lösning.

Riskanalyser görs varje dag som en självklar del i vardagen för att identifiera och hantera de risker som finns i vår omvärld. Tanken med den metod som presenteras här är att riskanalyser ska kunna genomföras med samma enkelhet även inom övrig verksamhet. Att arbeta med riskanalyser ska vara en självklarhet och en del i vardagen!

Det finns stora fördelar med att arbeta med riskanalyser:

  • Vi lär oss hantera risker.
  • Vi får fram en realistisk bild av verkligheten.
  • Vi blir medvetna om hoten.
  • Vi gör en realistisk och trovärdig värdering av riskerna.
  • Vi tar fram beslutsunderlag för att kunna fatta rätt beslut.

Syftet med dokumentet

Den metod som beskrivs i dokumentet är en generell metod som är tänkt att användas till att göra riskanalyser inom verksamheten exempelvis:

  • Förändringar i fysiska miljöer i lokaler och byggnader t.ex. ombyggnad av en reception.
  • Införande av nya IT-system eller förändringar i befintliga. Inköp av utrustning.
  • Krav från arbetsmiljölagstiftning att genomföra regelbundna riskanalyser.

Metoden är baserad på standarder (ISO 31000) och har blivit testad på olika fall. De erfarenheter som de har fått är att det inte alltid är metodiken som är det svåra utan det administrativa runt en analys. En viktig del i analysen är förberedelserna samt vikten av att analysdeltagarna faktiskt avsätter tid för att genomföra en analys.

Vi vill ge er praktiska tips och råd vid förberedelser inför en analys samt tips och råd till metodens fem steg:

  1. Beskrivning av analysobjektet.
  2. Framtagning av hot.
  3. Sammanställning och gruppering av hot.
  4. Riskbedömning – konsekvens och sannolikhet.
  5. Framtagning av åtgärdsförslag.

Artikel beskriver även vad man bör tänka på när resultatet sammanställs, dokumenteras och rapporteras till en mottagare.

Målgrupp

Dokumentet vänder sig främst till säkerhetsföreträdare och analysledare.

Definitioner:

Hot En möjlig, oönskad händelse med negativa konsekvenser för verksamheten.

Hotbild En sammanställning av hot som bedöms föreligga mot en viss verksamhet.

Händelse Avgränsat, iakttagbart skeende som inte är möjligt att (helt) förutse eller kontrollera.

Konsekvens Resultat av en händelse med negativ inverkan.

Kvarstående risk Sårbarhet som återstår efter införande av skyddsåtgärder.

Risk Kombination av en händelses konsekvenser och dess sannolikhet.

Riskanalys Process som identifierar risker, bestämmer dess betydelse och identifierar skyddsåtgärder.

Sannolikhet Grad av trolighet att hotet realiseras.

Skydd, Skyddsåtgärd Handling, procedur eller tekniskt arrangemang som, genom att minska sårbarheten möter identifierat hot.

Definitionerna är hämtade från SIS HB 550, utgåva 2, ISBN 91-7162-576-3 samt från Norstedts Svensk ordbok, 3:e upplagan 1999, ISBN 91-7227-155-8.

Roller och ansvar

Varje chef i organisationen bör kunna utföra riskanalyser och sedan löpande hantera resultatet från en analys.

Ansvarsfördelning:

  • Myndighetschefen eller VD:n har det yttersta ansvaret.
  • De som har arbetsledaransvar har till uppgift att verka för och motivera till ett risk- och säkerhetsmedvetande hos sin personal.
  • Säkerhetsföreträdare har en stödjande funktion och särskilt ansvar att aktivt driva och utveckla informationssäkerhetsarbetet.
  • Medarbetarna ska kunna värdera risker i sin verksamhet.

Roller

I riskanalysarbetet finns det olika roller:

  • Medarbetaren är den som har kunskap om den verksamhet som analyseras.
  • Analysledarens roll ställer krav på kunskap om:
    • Hur verksamheten övergripande fungerar.
    • Hur metoden fungerar.
    • Hur en analysgrupp ska sättas samman.
    • Vilket underlag som behövs för analysen.
    • Vilket resultat som förväntas.
    • Att ha god förmåga att leda en analysgrupp

Experter av olika slag behövs beroende på vilket typ av analys om ska genomföras, exempelvis utredare, IT-tekniker, säkerhetssamordnare och jurister. Dokumentansvarig är den som håller i pennan eller IT-stödet och måste kunna metoden och de hjälpmedel som används vid analysen.

Initiativtagaren är den person som initierar en riskanalys och många gånger är den som är mottagaren av analysens resultat. I mindre analyser kan analysledaren själv vara initiativtagare.

Att förbereda en riskanalys

Detta avsnitt ger goda råd till analysledaren inför en riskanalys. Analysledarens huvuduppgift är att leda riskanalysen och därför är det en förutsättning att han eller hon har goda kunskaper om riskanalysmetoden.

Analysledarens uppgift, med stöd av initiativtagaren, är dessutom att förbereda riskanalysen genom att:

  • Se till att analysgruppen har rätt sammansättning.
  • Se till att nödvändiga dokument finns tillgängliga.
  • Boka ändamålsenliga lokaler.
  • Se till att administrativa och tekniska hjälpmedel finns tillgängliga.
  • Se till att information och material distribueras i god tid till analysgruppen.

Analysledaren har även till uppgift att göra en realistisk tidplan. Nedan följer en tänkbar arbets- och tidsåtgång:

  • Inledning med presentation av deltagarna 5-20 min.
  • Beskrivning av metoden 5-10 min.
  • Beskrivning av analysobjektet 10-40 min.
  • Vad kan hända – hotframtagning 30-90 min.
  • Sammanställning och gruppering av hot 30-60 min.
  • Riskbedömning – konsekvens och sannolikhet 20-60 min. Framtagning av åtgärdsförslag 60-240 min.
  • Sammanställning av rapport med rekommendationer 2-16 timmar.

Analysgruppens sammansättning

Storleken på analysgruppen inför en riskanalys varierar helt beroende på vilken typ av riskanalys som ska genomföras. Vid riskanalyser är det viktigt att rätt analysgrupp sätts samman och att analysledaren har rätt kompetens, att resurser finns tillgängliga och att eventuella administrativa stöd finns på plats.

Att tänka på:

  • Hur väljer man ut rätt kompetens?
  • Vad är en lagom stor grupp?
  • Behöver man förbereda med ersättare med likvärdig kompetens? Hur motiverar man deltagarna?
  • Hur får man berörda att ställa upp?
  • Hur får man deltagarna att prioritera riskanalysen före det dagliga arbetet?

Om analysgruppen har rätt sammansättning kommer riskanalysen med stor sannolikhet att lyckas inom satta tidsramar. Detta ställer krav på den som ska sätta samman gruppen. Han eller hon behöver kunskap om analysuppgiften och utifrån den se till att nödvändig kompetens finns.

Exempel på representation:

  • De personer som arbetar i berörd verksamhet ska finns representerade. Dessa personer är de viktigaste resurserna i analysen.
  • Om analysen berör teknik, ska tekniskt kunniga vara representerade.
  • Om analysobjektet berör fysisk byggnation, ska experter inom detta område finnas på plats.
  • Om analysen berör IT-system, ska experter på detta finnas på plats.
  • Om det finns lagliga aspekter att ta hänsyn till ska kunskap om detta finnas i gruppen
  • Analysledaren, med stöd av initiativtagaren, har även till uppgift att se till att:
  • Varje deltagare ska få tid tilldelad och ska känna att uppgiften är viktig och prioriterad.
  • Deltagarna ska också få tillräckligt med information för att förstå nyttan med deltagandet i gruppen.

Nödvändig information

Inför en riskanalys är det viktigt att ha tillgång till information som är nödvändig för att lösa uppgiften. Analysledarens uppgift är att se till att medlemmarna i analysgruppen har förberett för detta och har tagit med sig sådan information.

Tänk på att:

  • Det kan finnas författningskrav, föreskrifter och andra styrande dokument som direkt kan påverka riskanalysen.
  • Det kan finnas statistik som underlättar analysgruppens bedömning.
  • Det kan finnas liknande riskanalyser som kan vara av stort värde för arbetet.
  • Det kan finnas allmänna hotbilder som kan vara till stöd och hjälp vid framtagning av hot.
  • Det kan finnas säkerhetsmässiga begränsningar som påverkar resultatet av riskanalysen.
  • Det kan finnas ritningar som beskriver dagens lösningar, exempelvis avseende lokaler.

Lokal och utrustning

Riskanalysen ställer ofta stora krav på lokalen, eftersom resultatet ofta sammanställs i efterhand och framtagen information behöver vara synlig för deltagarna i analysgruppen.

Tänk på följande:

  • Se till att det finns whiteboard och blädderblock
  • Se till att det finns möjlighet att utnyttja övriga ytor i lokalen, exempelvis väggar.
  • Lokalen bör kunna låsas under pauser.
  • Om datorstöd ska användas se till att OH-duk, projektor och förlängningssladdar finns och testa att utrustningen fungerar.
  • Försök se till att lokalen ligger en bit från den normala arbetsmiljön för att undvika spring.
  • Vikten av bra ventilation i lokalen ska inte underskattas.
  • Tryck upp eller skriv upp begrepp och definitioner för att sätta upp synliga i lokalen.
  • Tryck upp eller rita matrisen i lämplig storlek. Se till att pennor, tejp och post-it lappar finns.

Beskrivning av metoden

Metoden är tänkt att vara enkel och ska kunna användas i många olika sammanhang. Grundidén är densamma både i stort och smått, men beroende på slutresultatet kan det krävas mer eller mindre tid, resurser och IT-stöd för att få fram ett resultat som är tillräckligt bra som beslutsunderlag för fortsatta åtgärder.

Metoden består av fem steg:

Steg 1 – Beskrivning analysobjektet.

Steg 2 – Framtagning av hot.

Steg 3 – Sammanställning och gruppering av hot.

Steg 4 – Riskbedömning – konsekvens och sannolikhet.

Steg 5 – Framtagning av åtgärdsförslag.

Att inleda en riskanalys

Det är bra för analysen och dess resultat om initiativtagaren till analysen kan delta under inledningen för att hälsa alla välkomna, berätta om syftet och svara på eventuella frågor. Analysledaren går igenom agendan och hur riskanalysen är tänkt att genomföras. Det är viktigt att beskrivningen anpassas till deltagarnas tidigare erfarenhet. I detta skede får även deltagarna presentera sig.

Frågor att besvara i gruppen:

  • Målet med mötet – vilka förväntningar har vi?
  • Vilka är här och vilken kompetens har vi?
  • Hur lång tid har vi till vårt förfogande?
  • Finns deltagarna tillgängliga under hela tiden?
  • Behöver vi gå igenom själva metoden?
  • Praktiska frågor; tider, måltider m.m.

Resultat

Deltagarna vet hur riskanalysen går till och vet vad som förväntas av dem.

Steg 1 – Beskrivning av analysobjektet

I detta steg beskrivs och dokumenteras analysobjektet. Det är viktigt att alla deltagare får möjlighet att yttra sig.

Aktiviteter

Definiera analysobjektet (arbetsuppgiften), avgränsa eller gör tillägg om så behövs. Alla i gruppen ska vara eniga och beskrivningen ska dokumenteras, sättas upp på tavlan och vara tillgänglig under hela riskanalysen. Viktigt är att kunna gå tillbaka till beskrivningen under analysen för att vara förvissad om att gruppen håller sig kvar ”på spåret”.

Gå igenom all befintlig dokumentation. Exempel på detta kan vara:

  • Författningskrav, föreskrifter och andra styrande dokument som direkt kan påverka riskanalysen.
  • Statistik som underlättar analysgruppens bedömning. Liknande riskanalyser som kan vara av stort värde för arbetet.
  • Allmänna hotbilder som kan vara till stöd och hjälp vid framtagning av hot.
  • Säkerhetsmässiga begränsningar som påverkar resultatet av riskanalysen.
  • Ritningar som beskriver dagens lösningar.

Om inte initiativtagaren är mottagaren är det viktigt att fastställa vem som är mottagaren av analysens slutresultat. Då slutresultatet kan vara ett beslutsunderlag är det viktigt att gruppen enas om en nivå på både riskanalys och dokumentation som är relevant för mottagaren.

Att diskutera i gruppen

Är gruppen överens om omfattningen av riskanalysen och vilka avgränsningar som finns?

Finns en mottagare till resultatet, är det densamma som initiativtagaren?

Finns tillräcklig kompetens och kunskap i gruppen eller behöver vi komplettera?

Finns styrande dokument att ta hänsyn till?

Goda råd till analysledaren

I längden tjänar man på att ta tid på sig i det inledande steget för att förvissa sig om att analysgruppen har rätt sammansättning och att arbetsuppgiften är avgränsad och förstådd av alla deltagare.

Deltagarna måste vara medvetna om värdet av deras deltagande. Försök uppmuntra dem till att våga vara aktiva.

Se till att styrande dokument såsom arbetsordning, författningar och lagstiftning finns tillgängliga.

Om förutsättningarna är otydliga kan man behöva gå tillbaka till initiativtagaren för ytterligare information.

Material såsom befintliga hotkataloger och liknande gjorda riskanalyser bör inte delas ut till analysdeltagarna eftersom det kan påverka möjligheten att diskutera nya hot och bedömning av risker.

Resultat

Analysobjektet (arbetsuppgiften) är dokumenterad. Avgränsningar och kompletteringar är gjorda. Alla i gruppen är överens om arbetsuppgiften.

Steg 2 – Framtagning av hot

Detta steg har till uppgift att ta fram hot rörande analysobjektet. Varje deltagare bör själv beskriva vad som kan hända eller har hänt och hur verksamheten påverkades av hotet.

Aktiviteter

Gruppen diskuterar och dokumenterar hoten tillsammans. För att ge alla deltagare en möjlighet att ta fram hot, bör gruppen använda sig av ”brainstorming”. Den tekniken låter varje deltagare att skriva ner hot som kan hända eller har hänt och hur detta kan påverka eller har påverkat deras vardag. Varje hot skrivs ner på en post-it-lapp. Alla hot samlas in och gås igenom.

Det är viktigt att analysdeltagarna verkligen försöker beskriva hoten så att alla förstår, exempelvis ”påverkad person hoppar över receptionsdisken och skadar receptionspersonal ”. Många gånger försöker man sammanfatta flera hot till ett problemområde, exempelvis ”öppen receptionsdisk”, men då är det svårt att verkligen förstå vad det är som är hotet. Det är även svårt att bedöma risken i kommande steg.

Viktigt i detta steg är att alla förstår och är överens om innebörden i hoten.

Att tänka på i gruppen:

  • Lyssna extra noga på de personer som arbetar aktivt med berörd verksamhet.
  • Vad kan hända? Vilka hot finns i vardagen och i värsta fall?
  • Vad har hänt som kan hända igen?
  • Fokusera på hoten. Undvik att tänka i lösningar!
  • Låt alla komma till tals.
  • Du som är expert, tänk på att tala så att alla förstår.
  • Goda råd till analysledaren

Den dokumenterade bilden av analysobjektet ska alltid finnas tillgänglig och det är viktigt att gruppen avstämmer mot den hela tiden för att undvika att man kommer från ämnet.

Ett bra sätt är att deltagarna använder sin kunskap och sin fantasi om vad som kan hända i de olika hotsituationerna. Till exempel kan varje deltagare beskriva ett antal (ex 3) relevanta hot. Se till att uppmuntra och inspirera deltagare som har svårt att komma igång.

Det kan vara av värde att ha tidigare framtagna analyser och hotkataloger ”i bakfickan” som du som analysledare kan använda som inspiration.

Gå igenom hoten med gruppen och sammanställ på whiteboard eller i dator. Beskriv varje hot tydligt och se till att alla i gruppen förstår.

Här är det också viktigt att man höjer blicken, sätter arbetsuppgiften i ett större sammanhang och fokuserar på ”här” och ”nu”. Varje gruppmedlem ska få chansen att dela med sig av sin kunskap och erfarenhet i ämnet.

Resultat

Tänkbara hot mot analysobjektet dokumenteras. Varje hot ska vara tydligt dokumenterat och satt i sitt sammanhang.

Steg 3 – Sammanställning och gruppering av hot

Detta steg har till uppgift att ta bort dubbletter, sortera hot efter grupp, ta bort hot som bedöms ligga utanför avgränsningen samt eventuellt förtydliga hoten.

Aktiviteter

Med hjälp av analysledaren försöker gruppen hitta ett strukturerat sätt att ta hand om hoten. Målet är att gruppera liknande hot, att ta bort dubbletter och att komplettera där så behövs.

Gruppera hoten så att de är lättare att handskas med. Slå samman t.ex. personalfrågor, lokalfrågor, informationsrelaterade frågor och utrustningsfrågor eller gör annan lämplig indelning.

Komplettera beskrivningarna av hoten för att det ska i ett senare sked vara lättare att göra en bedömning av sannolikhet och konsekvens. Ett sätt att gruppera hoten:

  • Hot mot information
  • Hot mot medarbetare
  • Hot mot lokaler
  • Hot mot utrusning
  • Ett hot kan tillhöra en eller flera grupper.

Att tänka på i gruppen:

Jämför med det ursprungliga analysobjektet. Håller vi oss inom de avgränsningar vi gjort. Behöver vi komplettera eller ta bort?

Goda råd till analysledaren

Här är det viktigt att analysledaren hittar ett sätt att gruppera hoten så att hoten blir hanterbara.

Fundera över om det kanske är lämpligt att analysledaren själv kan göra en gruppering eller om det är lämpligt att hela gruppen deltar.

Resultat

Resultatet av aktiviteten är att vi nu har en hanterbar mängd hot som är numrerade och tydligt beskrivna. Hoten finns också nedskrivna och tillgängliga för deltagarna t.ex. på whiteboard eller i ett datorframställt dokument.

Steg 4 – Riskbedömning – konsekvens och sannolikhet

Detta steg har till uppgift att bedöma vilka konsekvenserna är om hotet inträffar och vilken sannolikheten är att det inträffar.

Aktiviteter

Varje enskilt hot bedöms av gruppen och sätts in på sin plats i en konsekvens- och sannolikhetsmatris. Med matrisens hjälp kan analysgruppen bedöma risken (konsekvens och sannolikhet) för ett hot.

Det är viktigt att alla förstår matrisen och att gruppen är överens om hur konsekvens och sannolikhet bedöms. Matrisens resultat kommer därefter att ligga till grund för bl.a. prioritering.

Fälten i matrisen motsvarar ett riskvärde, dvs. kombinationen av konsekvensen och sannolikheten för ett hot. Ju högre riskvärde desto allvarligare är hotet för verksamheten.

Konsekvens

Exempel på konsekvens- och sannolikhetsmatris.

Sannolikhet

Här beskrivs skalan för hur man ska bedöma sannolikhet.

Skala Bedömning Beskrivning

1 Osannolikt Praktiskt taget obefintlig risk. Inträffar mer sällan än en gång på 30 år.

Det finns mycket få eller inga tecken på att risken är verklighet idag eller blir det inom några år.

2 Liten sannolikhet Inträffar sannolikt inte under normala omständigheter och var fall inte frekvent. Inträffar inom 5-29 år.

Det finns vissa tecken på att risken antingen är verklighet i mindre omfattning idag eller blir det inom några år.

3 Stor sannolikhet Kan mycket väl inträffa men troligtvis inte särskilt frekvent. Inträffar inom 1 till 5 år.

Det finns tydliga tecken på att risken är verklighet i vissa delar av verksamheten eller i omvärlden redan idag eller kan väntas bli det inom några år.

4 Mycket stor sannolikhet Sannolikheten är stor att detta ska inträffa. Inträffar inom det närmaste året.

Det är bekräftat att risken är verklighet i väsentliga delar av verksamheten redan idag eller att den väntas bli det inom några år.

Konsekvens

Här beskrivs skalan för hur man ska bedöma sannolikhet.

Skala Bedömning Beskrivning

1 Försumbar Händelse som innebär ingen eller obetydlig skada eller kränkning för verksamheten, annan verksamhet eller enskild fysisk eller juridisk person om den inträffar

2 Lindrig Händelse som innebär begränsad skada eller kränkning för verksamheten, annan verksamhet eller enskild fysisk eller juridisk person om den inträffar. Kan hanteras i det löpande arbetet

3 Allvarligt Händelse som innebär allvarlig skada eller kränkning för verksamheten, annan verksamhet eller enskild fysisk eller juridisk person om den inträffar

4 Mycket allvarligt Händelse som innebär mycket allvarlig skada eller kränkning för verksamheten, annan verksamhet eller enskild fysisk eller juridisk person om den inträffar

Definitionerna av konsekvens och sannolikhet är ett riktmärke och kan förändras. Det är viktigt att gruppen går igenom definitionerna och vid behov förändrar dem. Eventuella förändringar ska dokumenteras och tas med i slutrapporten.

Att tänka på i gruppen

Alla i gruppen ska förstå hur matrisen fungerar och vad konsekvens och sannolikhet innebär.

Om begreppen känns oklara eller inte riktigt passar in i analysen är det viktigt att gruppen tillsammans bestämmer sig för en tolkning.

Goda råd till analysledaren

Detta är den svåraste delen i analysen för deltagarna. Se till att ta paus när deltagarna blir trötta!

Se till att det finns godis, dricka, frukt, kaffebröd eller liknande att bjuda på för att få upp blodsockret.

Böja med att ta fram konsekvens och sedan sannolikhet.

Förutsättningen för att kunna använda matrisen på ett korrekt sätt är att alla begrepp i tabellen är enhetligt definierade och att alla deltagare förstår dess innebörd. Sätt gärna upp begreppen på tavlan så att alla kan läsa dem.

Om gruppen inte är överens är det viktigt att gruppen tillsammans bestämmer sig för en tolkning och att tolkningen dokumenteras.

Om för mycket tid går åt att bedöma konsekvens och sannolikhet bör analysledare bryta diskussionen och sätta bedömningen till det högre värdet.

Resultat

Resultatet av detta steg ger en överblick över vilka risker som finns, vilka konsekvenserna är om de inträffar och hur sannolikt det är att de inträffar.

Steg 5 – Framtagning av åtgärdsförslag

I detta steg tar gruppen fram förslag till skyddsåtgärder som minimerar eller i bästa fall tar bort konsekvensen och/eller sannolikheten av ett hot.

Aktiviteter

Den framtagna matrisen visar vilka hot som är allvarligast. Med den informationen som utgångsläge är det dags att diskutera eventuella åtgärdsförslag och prioritetsordning. Analysgruppen tar fram ett förslag på rekommendation.

Att tänka på i gruppen

Här ska gruppen försöka hitta förslag på åtgärder och förbättringar för att eliminera, reducera eller acceptera riskerna.

Hoten hanteras i ordning, efter konsekvens och sannolikhet. Böja med de allvarligaste hoten.

Diskutera behovet av sekretess – riskanalysen är troligtvis känslig

Goda råd till analysledaren

Även här är det viktigt att se till att det finns godis, dricka, frukt, kaffebröd eller liknande att bjuda på för att få upp blodsockret.

Gå tillbaka till ursprungsuppgiften och se över den en gång till. Har vi tagit med alla aspekter, kan vi ha glömt något och har alla fått sin stämma hörd?

Resultat

Resultatet av detta steg är förslag till åtgärder och rekommendation som mottagaren kan ta ställning till.

Sammanställning och rapport

Resultatet tas om hand av analysledaren för sammanställning av en slutgiltig rapport. Förutom själva resultatet av analysen är det viktigt att all tänkbar information, alla avsteg som gjorts och eventuellt nya definitioner sammanställs och inkluderas i slutresultatet. I rapporten kan också annan viktig information inkluderas t.ex. styrande dokument, produktbeskrivning eller ritning är av värde för resultatet.

Det är viktigt att satsa på att skriva en bra och kortfattad sammanfattning som på ett enkelt sätt beskriver de problem analysgruppen funnit. Att ta med matrisen är ett bra sätt att illustrera riskanalysens resultat.

Sammanställningen bör även innehålla förslaget till åtgärder och rekommendationen till den som ska fatta beslut.

Goda råd till analysledaren

Anpassa resultatet till den som är mottagare. Beskriv krav och rekommendationer tydligt.

Resultatet ska vara ett tydligt och konkret beslutsunderlag för föreslagna åtgärder.

Fundera över behovet av sekretess – riskanalysen är troligtvis känslig.

Det kan vara bra att samla gruppen igen efter några dagar och stämma av att resultatet är korrekt.

Vad händer sen?

När slutrapporten är färdig och ”remissad” hos deltagarna lämnas den till mottagaren för vidare åtgärd. Analysledaren eller annan person bör även föredra resultatet för mottagaren i samband med att mottagaren får slutrapporten

Mottagaren har nu till uppgift att bedöma hur resultatet ska hanteras, dvs. ansvarar för att en åtgärdsplan fram, resurser tillsätts och de hot som behöver åtgärdas verkligen blir åtgärdade.

Mall – E-post till analysdeltagare

Nedan följer ett förslag på e-post till deltagarna (kopiera och klistra in i ditt epost-meddelande).

Tänk på att:

Det kan vara nödvändigt att ha förberett med arbetsledare/chefer för att

vara förvissad om att tid och resurser finns.

  • Det kan vara nödvändigt att skicka ut e-post i god tid.

Hej!

Du är välkommen till en riskanalys av ...... ...

Var: När: Du är utvald därför att du har kunskap i ...... ...

Det är av yttersta vikt att du kan delta under hela riskanalysen. Har du problem med detta kan du försöka hitta en likvärdig ersättare eller kontakta analysledaren.

För att göra riskanalysen så effektiv som möjligtförsöker vi få tillgång till så mycket relevant information som möjligt. Tänk efter vad du kan bidra med inom ditt kunskapsområde: Exempel på detta kan vara:

Författningskrav, föreskrifter och andra styrande dokument som direkt kan påverka riskanalysen.

Statistik, som underlättar analysgruppens bedömning.

Liknande riskanalyser, som kan vara av stort värde för arbetet.

Allmänna hotbilder som kan vara till stöd och hjälp vidframtagning av hot.

Produktbeskrivningar och säkerhetsmässiga begränsningar som påverkar resultatet i riskanalysen.

Ritningar som beskriver dagens lösningar. Jag bifogar den metodvi ska tillämpa.