Riskhantering kan handla om allt från informationssäkerhet till fysisk säkerhet. En uppdaterad version av standarden ISO 31000 är ute på remiss under våren. Standarden ger vägledning för effektivt arbete med risker och samverkar med ISO 9001 och ISO 14001 som har nya krav på riskhantering. – En grundläggande fråga är vad olika störningar kan och får kosta, säger Fredrik Pettersson, ordförande i SIS arbetsgrupp för krisförberedelser och kontinuitetshantering.

Globalt är ISO 31000 en bästsäljande standard. Men i Sverige har genomslaget inte blivit lika stort hittills.

– En förklaring är kanske att Sverige befinner sig i en lugn del av världen, medan det globalt sett ser annorlunda ut när det gäller till exempel risker på grund av klimatet, säger Fredrik Pettersson, SIS utbildningsledare för riskhantering (ISO 31000) och seniorkonsult på informationssäkerhetsföretaget Basalt AB.

Han förutser ett ökat intresse för ISO 31000 i takt med att allt fler går över till de nya versionerna av ISO 14001 och ISO 9001 där riskhantering ingår som ett tydligare krav. Omvärldsförändringar är ett annat skäl till att Fredrik Pettersson förutser ett större intresse för standarden för riskhantering. Han hänvisar till det som ibland kallas den fjärde industriella revolutionen där internet och digitalisering blivit integrerade inom industrin.

– Här finns påtagliga risker när det gäller cyberhot. Ett annat exempel på fenomen som behöver hanteras är behovet av källkritik, information fabriceras/förstärks och sprids i en allt större skala säger Fredrik Pettersson.

En förutsättning för arbetet med risker är att arbeta med relevanta frågeställningar.

– En grundläggande fråga är att ta reda på vad störningar kostar i verksamheten. Då har man något att utgå ifrån. En risk är osäkerheter som gör att man inte kan uppnå sitt resultat eller mål, säger Fredrik Pettersson.

Den nya versionen av ISO 31000 som är ute på remiss under våren innebär inga totala omvälvningar för dem som redan jobbar med standarden, enligt Fredrik Pettersson.

– Den är lite mer konkret och lite mer på rakt sak. Allt allmänt tyckande är bortkopplat, principerna är förtydligade. Men det tekniska innehållet är densamma så de som redan använder standarden kommer att känna igen sig, säger han.

Åsa Brümmer har lång erfarenhet av att arbeta med riskhantering som miljö- och kvalitetschef på Tamro AB, en av Sveriges största distributörer av läkemedel till apotek och sjukhus.

– I läkemedelsbranschen har vi haft krav på att arbeta med riskhantering och kontinuitetsfrågor under en längre tid. Standarden för riskhantering fungerade som en bekräftelse för oss att vi har arbetat på rätt sätt, säger hon.

Tamro är certifierade enligt ISO 9001 och ISO 14001 och ska i år gå över till de nya versionerna där alltså kraven på riskhantering har blivit tydligare.

– Vi har redan rutiner för riskhantering på plats men har passat på att se över nya delar, till exempel genom en riskanalys av ledningsprocessen. Det har lett till många nya diskussioner om vad som är en betydande risk och på vilken nivå vi ska lägga våra analyser, säger Åsa Brümmer.

– Det som är bra med hela ISO-världen är att det ger ett stöd för processer men på ett sätt som kan anpassas till företagets egen verksamhet, säger hon.

Råd från Åsa Brümmer för att arbeta med riskhantering

– Se till att det finns en förståelse hos högsta ledningen för att riskhantering är viktigt. Visa på nyttan, med hjälp av exempel från er egen verksamhet eller från andra verksamheter. Det ska kännas i magen att det är bra att tänka efter före.

– Ställ frågan: Vad är det värsta som kan hända? Riskhantering behöver ibland inte vara svårare än så. Samtidigt är det möjligt att göra det betydligt mer komplext med hjälp av olika parametrar. Anpassa arbetet med riskhantering efter era behov.

– Kom ihåg att en del av poängen med arbetet med riskhantering är de nya diskussioner som uppstår.

Text: Susanne Rydell