Risklandskapet kräver fortsatt utveckling

En global undersökning¹ som presenterades i december 2025 visar att risklandskapet präglas av ökad komplexitet, snabb förändring och starkare ömsesidiga beroenden mellan olika riskområden. Undersökningen, där cirka 1 500 C‑Suite chefer och styrelseledamöter världen över deltog, genomfördes av det globala konsultföretaget Protiviti i samarbete med NC State University i USA.

Resultatet ger en tydlig bild av vilka risker som bedöms som mest affärskritiska på kort sikt, det vill säga inom de kommande två till tre åren. På strategisk nivå dominerar ekonomiska osäkerheter och regulatoriska förändringar, vilka påverkar långsiktig planering och förstärker de operativa utmaningarna. När det gäller de operativa riskerna globalt framträder följande ranking:

1. Cyberhot — Cyberhotlandskapet accelererar med sofistikerade AI-stödda attacker, ransomware och störningar i leverantörskedjor som riktas mot verksamhetskritiska system. Hotet rankas som den mest prioriterade operativa risken på grund av dess potential att orsaka omfattande avbrott, ekonomiska förluster och skador på förtroendet.

2. Tredjepartsrisker — Ökad exponering genom beroenden till leverantörer i flera led, där brister i säkerhet och resiliens samt geopolitiska restriktioner kan leda till kedjeeffekter i verksamheten. denna risk rankas högt på grund av ökande tredjepartsberoenden och koncentration till ett begränsat antal leverantörer, vilket hotar både kontinuitet och efterlevnad.

3. Kompetensbrist och legacy-system — Brist på specialister inom AI, cybersäkerhet och molnsäkerhet, tillsammans med äldre system som begränsar organisationens förmåga att effektivt förvalta system och hantera hotlandskapet. C-Suite rankar detta högt eftersom kombinationen av kompetensgap och legacy-utmaningar hindrar digital transformation och ökar sårbarheten mot både cyberhot och tredjepartsrisker.

4. AI:s dubbla roll. Artificiell intelligens (AI) rankas som den fjärde mest kritiska operativa risken, men framstår samtidigt som en dubbelsidig faktor. Å ena sidan möjliggör tekniken mer effektiv riskhantering genom automatiserad övervakning och snabb analys. Å andra sidan kan AI stärka angriparnas arsenal, exempelvis genom deepfakes och sofistikerade attacker, samtidigt som egna AI-verktyg riskerar att introducera bias i beslutsstöd och skapa nya attackytor.

Ett sammankopplat risklandskap. Undersökningen visar att de operativa riskerna som beskrivits ovan är starkt sammanlänkade och påverkar varandra, vilket försvårar både riskhanteringen och interna initiativ som digital utveckling och införande av nya system. Riskerna är inte bara tekniska utan också organisatoriska, med kopplingar till styrning, ansvar och beslutsprocesser.

Undersökningen visar att organisationer behöver lämna reaktiv och silobaserad riskhantering. I ett sammankopplat risklandskap räcker det inte med att enskilda expertfunktioner hanterar risker isolerat, helheten måste förstås och koordineras.

Tvärfunktionella team med gemensamma arbetssätt. Organisationer behöver samla kompetens för att skapa gemensamma riskscenarier och bygga en enhetlig lägesbild. Genom samordnad styrning över riskdomäner och integrerade informationsflöden kan beslut fattas snabbare och mer datadrivet. Teamen, med domänspecifik expertis inom säkerhetsriskhantering, tredjepartsriskhantering och andra områden som exempelvis datadriven analys, kan identifiera hot tidigt samtidigt som automatisering frigör resurser för strategiska bedömningar och kvalitativt beslutsstöd.

Organisationsgemensam riskhantering bör integreras djupare i kärnverksamheten, exempelvis genom etablerade ramverk som enterprise risk management (ERM), vilket stärker förmågan att hantera risker mer förebyggande. Riskaptiten är central för att definiera vilken mängd och typ av risk organisationen är villig att ta för att nå sina mål och möjliggör både prioritering av resurser, snabbare beslut och en bättre balans mellan risk och affärsmål även i en dynamisk miljö.

För att säkerställa konsekvent riskhantering, snabb eskalering av kritiska frågor och tydlig styrning bör de tre ansvarslinjerna användas. De klargör roller och ansvar mellan operativ verksamhet (första linjen), risk- och compliancefunktioner (andra linjen) och internrevision (tredje linjen), vilket gör att beslut kan fattas snabbare och med tydligare styrning på alla nivåer.

Resiliens som konkurrensfördel. Resiliens bör utvecklas från en huvudsakligen defensiv förmåga till en strategisk förmåga. Ledande organisationer använder resiliens för att inte bara motstå störningar, utan för att snabbt kunna fortsätta leverera värde och möjliggöra tillväxt även när förutsättningarna förändras. I ett risklandskap präglat av cyberhot, teknologiska skiften och osäkerhet i leverantörskedjor blir denna förmåga avgörande för både stabilitet och konkurrenskraft.

Oavsett din organisations mognad kan vi ta ett strategiskt helhetsgrepp och vidareutveckla arbetssätten inom riskhantering och resiliens för att skapa långsiktig stabilitet och nya möjligheter.

Relevanta tjänster: rådgivning och risk & resiliens