Riskienhallinnan haasteena on Suomessa se, että sen arvoa ei ymmärretä. Käsitteenä riskienhallinta on liian abstrakti. Se on asia, joka on liian helppo sysätä “jonkun toisen” harteille. Moni organisaatio kärsii illuusiosta, jossa yritykseen palkattu riskienhallintapäällikkö on ”hopealuoti”, jokaiseen riskienhallintaan liittyvään haasteeseen ja kehityskohteeseen: ajatellaan, että kun yritykseen on palkattu riskienhallintapäällikkö, niin hänellä on kaikki vastuu ja omistajuus kaikista organisaation riskeistä.
Yksinkertaistettuna totuus on kuitenkin se, että riskienhallinta-ammattilaisella ei ole kontollaan yhtäkään riskiä, vaan riskit ovat niiden henkilöiden vastuulla, jotka omistavat tietyn tehtävän. Riskienhallintapäällikön vastuulla on, että yrityksessä on ne menettelytavat ja työkalut joita laadukas riskienhallinta vaatii. Hän auttaa välittämään tietoa organisaation sisällä.
Toinen kummallinen väärinkäsitys on, että riskienhallinta kuuluu vain suurille yrityksille. Kaikkien organisaatioiden toiminnassa ja ympäristössä on riskejä, jotka voivat olla tavoitteiden esteinä tai jopa niiden mahdollistajana. Kaikissa yrityksissä tulisi myös tehdä riskienhallintaa, vaikka kyseisen tittelin omaavaa henkilöä ei pystytäkään palkkaamaan. Mistä riskienhallinnassa voidaan siis lähteä liikkeelle? Kenelle vastuu kuuluu, kenen kuuluu reagoida ja miten? Ja miten tämä kaikki liittyy Kolmen puolustuslinjan -konseptiin? Siitä lisää seuraavaksi.
Yksinkertaisen konseptin ymmärtäminen antaa mallin jokapäiväiselle riskienhallinnalle
Graniten tekemä “State or Risk Management -Finland” -tutkimus korosti erästä ongelmaa Suomalaisessa yrityskentässä — riskien ja niiden hallinnan kommunikointi organisaation sisällä on heikkoa; riskienhallinnan kuvaa ei joko osata tai kyetä välittämään ylöspäin tai alaspäin organisaatiossa. Ongelma on yleinen ja kriittinen. Käytännössä se johtaa usein siihen, että riskienhallinnan kehitykselle ei anneta tarvittavia resursseja ja riskienhallinnan merkitys jää vähäiseksi.
Riskienhallinnan kolme puolustuslinjaa on käsitteenä jo monelle tuttu ja oiva työkalu niin kokeneelle kuin aloittavalle riskienhallinnan tekijälle.
Idea on yksinkertainen: jokaisessa organisaatiossa on kolme puolustuslinjaa, joissa kaikissa on omat tekijänsä ja heille kuuluvat tehtävät ja vastuut.
- Ensimmäinen puolustuslinja: sisältää organisaation operatiiviset toiminnot, kuten liiketoimintayksiköt, ensimmäisen linjan työntekijät ja johto. He ovat vastuussa riskien tunnistamisesta ja arvioinnista, valvontatoimien toteuttamisesta ja niiden tehokkuuden seurannasta.
- Toinen puolustuslinja: koostuu riskienhallinnan ammattilaisista. He valvovat, ohjaavat ja tukevat ensimmäisistä puolustuslinjaa, varmistaen että riskienhallintaprosessit ovat tehokkaita ja johdonmukaisia koko organisaatiossa.
- Kolmas puolustuslinja: sisäinen tarkastus, joka tarjoaa itsenäistä varmuutta ja arviointia ensimmäisen ja toisen puolustuslinjan tehokkuudesta. He ovat erillään organisaation varsinaisesta toiminnasta ja heitä käytetään tarvittaessa tarkastelemaan riskienhallintaa kriittisestä näkökulmasta.
Kaikissa organisaatioissa on kolme puolustuslinjaa
Riskienhallinnan rakentaminen ”kolme puolustuslinjan” periaatteiden mukaan mahdollistaa riskienhallinnan tuomisen toiminnan arjen tasolle. Yhtenäisen riskienhallintamallin jalkauttamisen myötä mahdollistetaan riskienhallinta-ajattelun jäsentyminen ja yhteisen ymmärryksen luonti alkaa. Kun riskienhallinta muotoutuu osaksi liiketoimintaa ohjaavia tavoitteita, myös käytännön riskienhallinta työ yhtenäistyy. Näin kaikki hyötyvät ja samalla jo tehdystä työstä saadaan parempia tuloksia.
Kolmen puolustuslinjan -malli pitää kutinsa yrityksen koosta ja toimialasta huolimatta. Pienimmissä organisaatioissa hierarkia on tasaisempi, mutta käsitteen avulla ymmärretään miten ihmisten vastuut, roolit ja toiminnot linkittyvät toisiinsa. Riskienhallintaa voi ryhtyä rakentamaan tämän malliajattelun kautta ja se auttaa myös taklaamaan riskienhallinnan kehityshaasteita.
Riskienhallinnassa tieto pitää saada alhaalta ylös ja takaisin
Riskienhallinnan kolme puolustuslinjaa on riskienhallinnan toimintamalli, joka pyrkii yhdenmukaistamaan ja kuvaamaan miten tieto liikkuu organisaatiossa ja miten riskienhallinnan roolit selkeytetään niin, että kaikille on selvää, mitä kukin roolissaan tekee.
On tärkeä, että kaikki esimerkiksi operatiivisessa toiminnassa ymmärtävät, että vaikka tittelinä ei konkreettisesti ole riskienhallinta, niin omalla vastuulla on huolehtia oman alueensa riskien hoitamisesta. Riskienhallinnan kolme puolustuslinjan malli auttaa näkemään, miten kaikki roolit liittyvät toisiinsa ja miten yhteistyöllä voidaan varmistaa organisaation toiminnan riskittömyys.
Miten riskienhallinnan kolme puolustuslinjaa jalkautetaan koko organisaatioon?
Ensimmäisessä puolustuslinjassa riskienhallinnan vastuu ja roolit tulisi olla selkeästi määriteltyjä ja kommunikoitu koko organisaatioon. Tämä edellyttää koulutusta ja tietoisuuden lisäämistä riskienhallinnasta kaikille organisaation jäsenille.
Toisessa puolustuslinjassa riskienhallinnan vastuuhenkilöiden tulisi olla osa organisaation johtoa ja heidän tulee saada riittävä tuki ja resurssit riskienhallinnan toteuttamiseen. Vastuuhenkilöiden tulisi myös valvoa ensimmäistä puolustuslinjaa ja tarvittaessa antaa ohjeita riskienhallinnasta.
Kolmannessa puolustuslinjassa organisaation tulisi nimetä riippumattomat sisäiset tai ulkoiset tarkastajat, joiden tehtävänä on arvioida riskienhallinnan tehokkuutta ja antaa suosituksia parannuksista. Tarkastajien tulisi raportoida tuloksistaan organisaation johdolle ja tarvittaessa antaa suosituksia parannuksista.
Yhteenvetona voidaan todeta, että riskienhallinnan kolmen puolustuslinjan mallin jalkauttaminen koko organisaatioon edellyttää selkeiden vastuiden ja roolien määrittelyä, koulutusta ja tietoisuuden lisäämistä riskienhallinnasta koko organisaatiossa, riittävien resurssien varmistamista riskienhallinnan toteuttamiseen, riippumattomien tarkastajien nimeämistä arvioimaan riskienhallinnan tehokkuutta sekä säännöllistä raportointia riskienhallinnan tuloksista organisaation johdolle.
Lue lisää riskienhallinnan jalkauttamisesta täällä.