Riskienhallinnan kolme puolustuslinjaa

Keskustellessa riskienhallinnasta olet saattanut törmätä harhaluuloon, että kun yritykseen on palkattu riskienhallintapäällikkö, niin hänellä on kaikki vastuu ja omistajuus kaikista organisaation riskeistä.

Suomessa ymmärretään yleisesti riskienhallinnan merkitystä ja arvoa vielä heikosti. Tällöin on helppo virheellisesti tuudittaudua ajatukseen, että riskienhallinta pyörii tehokkaasti yhden tai muutaman henkilön toimesta. Todellisuudessa riskienhallinta-ammattilaisella ei tulisi olla kontollaan yhtäkään riskiä, vaan riskit ovat niiden henkilöiden vastuulla, jotka omistavat tietyn tehtävän. Erikseen nimetty riskienhallintapäällikkö puolestaan huolehtii, että yrityksessä on ne menettelytavat ja työkalut, joita laadukas riskienhallinta vaatii. Hän auttaa välittämään tietoa organisaation sisällä ja jalkauttamaan erilaisia riskienhallinnan tehtäviä. 

Toinen kummallinen väärinkäsitys on, että riskienhallinta kuuluu vain suurille yrityksille. Kaikkien organisaatioiden toiminnassa ja ympäristössä on riskejä, jotka voivat olla tavoitteiden esteinä tai jopa niiden mahdollistajana. Kaikissa yrityksissä tulisi myös tehdä riskienhallintaa, vaikka esimerkiksi riskienhallintapäällikön tittelillä olevaa asiantuntijaa ei pystyttäisi palkkaamaan. Mistä riskienhallinnassa voidaan siis lähteä liikkeelle? Kenelle vastuu kuuluu, kenen kuuluu reagoida ja miten? Ja miten tämä kaikki liittyy kolmen puolustuslinjan konseptiin? Siitä lisää seuraavaksi.

Yksinkertaisen konseptin ymmärtäminen antaa mallin jokapäiväiselle riskienhallinnalle

Graniten tekemässä “State or Risk Management -Finland” -tutkimuksessa korostui vastauksissa yksi ongelma Suomalaisessa yrityskentässä — riskien ja niiden hallinnan kommunikointi organisaation sisällä on heikkoa. Riskienhallinnan kuvaa ei joko osata tai kyetä välittämään ylöspäin tai alaspäin organisaatiossa. Ongelma on yleinen ja kriittinen. Käytännössä se johtaa usein siihen, että riskienhallinnan kehitykselle ei anneta tarvittavia resursseja ja riskienhallinnan tulokset jäävät vähäisiksi.

Riskienhallinnan kolme puolustuslinjaa on oiva työkalu niin kokeneelle kuin aloittavalle riskienhallinnan tekijälle.

Idea on yksinkertainen: jokaisessa organisaatiossa on kolme puolustuslinjaa, joissa kaikissa on omat tekijänsä ja heille kuuluvat tehtävät ja vastuut.

  • Ensimmäinen puolustuslinja sisältää organisaation operatiiviset toiminnot, kuten liiketoimintayksiköt, ensimmäisen linjan työntekijät ja johdon. He ovat vastuussa riskien tunnistamisesta ja arvioinnista, valvontatoimien toteuttamisesta ja niiden tehokkuuden seurannasta.
  • Toinen puolustuslinja  koostuu riskienhallinnan ammattilaisista. He valvovat, ohjaavat ja tukevat ensimmäisistä puolustuslinjaa, varmistaen että riskienhallintaprosessit ovat tehokkaita ja johdonmukaisia koko organisaatiossa.
  • Kolmas puolustuslinja on sisäinen tarkastus, joka tarjoaa itsenäistä varmuutta ja arviointia ensimmäisen ja toisen puolustuslinjan tehokkuudesta. He ovat erillään organisaation varsinaisesta toiminnasta ja heitä käytetään tarvittaessa tarkastelemaan riskienhallintaa kriittisestä näkökulmasta.

Kaikissa organisaatioissa on kolme puolustuslinjaa

Riskienhallinnan rakentaminen kolmen puolustuslinjan periaatteiden mukaan mahdollistaa riskienhallinnan tuomisen osaksi arkea. Yhtenäisen riskienhallintamallin jalkauttamisen myötä mahdollistetaan riskienhallinta-ajattelun jäsentyminen ja yhteinen ymmärrys prosesseista. Kun riskienhallinta muotoutuu osaksi liiketoimintaa ohjaavia tavoitteita, myös käytännön riskienhallintatyö yhtenäistyy. Näin jo tehdystä työstä saadaan parempia tuloksia.

Kolmen puolustuslinjan malli hyödyttää yrityksen koosta ja toimialasta huolimatta. Pienimmissä organisaatioissa hierarkia on tasaisempi, mutta käsitteen avulla ymmärretään miten ihmisten vastuut, roolit ja toiminnot linkittyvät toisiinsa. Riskienhallintaa voi ryhtyä rakentamaan tämän malliajattelun kautta ja se auttaa myös taklaamaan riskienhallinnan kehityshaasteita.

Riskienhallinnassa tieto pitää saada alhaalta ylös ja takaisin

Riskienhallinnan kolme puolustuslinjaa on riskienhallinnan toimintamalli, joka pyrkii yhdenmukaistamaan ja kuvaamaan miten tieto liikkuu organisaatiossa ja miten riskienhallinnan roolit selkeytetään niin, että kaikille on selvää, mitä kukin roolissaan tekee.

On tärkeä, että kaikki esimerkiksi operatiivisessa toiminnassa ymmärtävät, että vaikka tittelinä ei konkreettisesti ole riskienhallinta, niin omalla vastuulla on huolehtia oman alueensa riskien minimoimisesta. Vastavuoroisesti operatiivisella tasolla tehdyt havainnot mahdollisista riskeistä ja niihin ehdotetut toimenpiteet tulee ottaa johdossa vakavasti, sillä päivittäisessä toiminnassa tehdään monissa yrityksissä huomioita, joita ei välttämättä johdossa tulla huomioineeksi. Riskienhallinnan kolmen puolustuslinjan malli auttaa hahmottamaan, miten kaikki roolit liittyvät toisiinsa ja miten yhteistyöllä voidaan varmistaa organisaation riskien pysyminen kestävällä tasolla.

Miten riskienhallinnan kolme puolustuslinjaa jalkautetaan koko organisaatioon?

Ensimmäisessä puolustuslinjassa riskienhallinnan vastuu ja roolit tulisi olla selkeästi määriteltyjä ja kommunikoitu koko organisaatioon. Tämä edellyttää koulutusta ja tietoisuuden lisäämistä riskienhallinnasta kaikille organisaation jäsenille.

Toisessa puolustuslinjassa riskienhallinnan vastuuhenkilöiden tulisi olla osa organisaation johtoa ja heidän tulee saada riittävä tuki ja resurssit riskienhallinnan toteuttamiseen. Vastuuhenkilöiden tulisi myös valvoa ensimmäistä puolustuslinjaa ja tarvittaessa antaa ohjeita riskienhallinnasta.

Kolmannessa puolustuslinjassa organisaation tulisi nimetä riippumattomat sisäiset tai ulkoiset tarkastajat, joiden tehtävänä on arvioida riskienhallinnan tehokkuutta ja antaa suosituksia parannuksista. Tarkastajien tulisi raportoida tuloksistaan organisaation johdolle ja tarvittaessa antaa suosituksia parannuksista.

Lue lisää riskienhallinnan jalkauttamisesta täältä.


Julkaistu 24.4.2023.