Sisäisen valvonnan, sisäisen tarkastuksen, compliancen ja riskienhallinnan parissa työskentelevät ovat todennäköisesti tuttuja termin ”kolme puolustuslinjaa – three lines of defence” kanssa. Kokemus on osoittanut, että tähän(kin) malliin liittyy kaikenlaista mielenkiintoista riskienhallinnan kannalta. Se ansaitsee siis oman postauksensa joulua odotellessa.
Kolmen puolustuslinjan ajattelu, eli liiketoiminnan, liiketoiminnan tuen ja valvonnan eriyttäminen eri tahoille, voi hyvin ja paksusti erityisesti finanssisektorilla. Mallia promoavat myös erilaiset sisäisen valvonnan ja riskienhallinnan kansainväliset järjestöt, jotka määrittelevät kolme puolustuslinjaa tehokkaan sisäisen valvonnan toteutumisen perusedellytykseksi. Myös konsultit puhuvat power point -kalvoissaan usein ja mielellään puolustuslinjoista, eivätkä ihan syyttä, sillä mallin tehokkuus eri toimintojen roolituksessa tuntuu kiistämättömältä.
Toisaalta, jotkut alan ihmiset ovat myös esittäneet ajatuksia siitä, että kolmen puolustuslinjan malli pitäisi heittää roskakoriin ja korvata esim. RACI-ajattelulla, sillä linjamalli voi luoda mielikuvan riskienhallinnasta pelkkänä hallinnollisena, sääntelyviranomaisen vaatimana ”rasti ruutuun” -harjoituksena (ks. tästä).
Kokemuksemme riskienhallinnan saralta on, että suurin osa vähänkään suuremmista organisaatioista noudattaa kuitenkin pääosin kolmen puolustuslinjan jaottelua. Toimialasta kyllä riippuu, miten mallista puhutaan: finanssialalla mainitaan linjat jatkuvasti, toisaalta esim. valmistavassa teollisuudessa sitä toteutetaan mutta toiminnan yhteydessä ei erityisesti korosteta kolmen linjan ajattelua.
Mitä ne linjat tekevät?
Kolmen puolustuslinjan mallin mukaan ylimmän johdon valvonnan alla toimivat kolme linjaa ovat tarpeen takaamaan tehokkaan riskienhallinnan ja sisäisen valvonnan. Ylintä johtoa ei sisällytetä mihinkään puolustuslinjaan, mutta sillä on äärimmäisen tärkeä rooli mallin toiminnan kannalta. Se on kaikkien linjojen merkittävä, jollei merkittävin, stakeholder ja sen vastuulla on valvoa, että malli toteutuu kaikissa riski- ja kontrolliprosesseissa.
Ensimmäinen puolustuslinja pyörittää liiketoimintaa, ”omistaa” liiketoiminnan riskit ja on vastuussa siitä, että riskienhallintaprosessia toteutetaan niin kuin on tarkoitettu.
Toinen puolustuslinja on tukitoiminto. Tyypillisesti toisessa linjassa suuntaviitoitetaan koko organisaation riskienhallinnan periaatteet ja toimintaohjeet, määritetään käytännön tasolla riskienhallinnan tavoite, noudatettava viitekehys ja prosessi, sekä tuetaan liiketoimintaa riskienhallinnan implementoinnissa ja pyörittämisessä mm. fasilitoimalla workshoppeja, koordinoimalla itsearviointeja ja ohjaamalla riskien dokumentointia. Toisen puolustuslinjan osaaminen, kiinnostus ja palveluasenne liiketoimintaa kohtaan on avainasemassa, kun riskienhallinta sidotaan strategiaan ja normaaliin liiketoiminnan pyörittämiseen.
Monesti toisesta linjasta puhuttaessa mainitaan ainoastaan, että se tukee liiketoimintaa. Mutta entä ylin johto – toimitusjohtaja ja hallitus? Mielestämme tätä kannattaisi tuoda hieman enemmän esiin, sillä riskienhallinnasta on vaikea tehdä organisaatiossaan aidosti strategista, jos työ suuntautuu ainoastaan ns. divisioonatasolle.
Kolmas puolustuslinja on kaikista muista linjoista ja organisaation toiminnoista erillään ja sen tehtävänä on tuottaa riippumatonta tietoa ja varmennusta ylimmälle johdolle. Se raportoi riskienhallinnan järjestämisen ja toteuttamisen tilasta ja riittävyydestä, sekä siitä että ensimmäisen ja toisen puolustuslinjan tekemiset ovat tehokkaita ja linjassa ylimmän johdon odotusten ja tavoitteiden kanssa. Käytännössä tämä taho on organisaation sisäinen tarkastaja / tarkastus. Kolmannen linjan tulisi puhtaimmillaan raportoida suoraan ylimmälle operatiiviselle johdolle ja hallitukselle (yleensä tarkastusvaliokunnalle, jos sellainen erikseen on). Oikeassa elämässä organisatorisesta sijoittumisesta on erilaisia käytännön toteutuksia – esim. sisäinen tarkastus on sijoitettu talousjohtajan tai lakiasiainjohtajan alaisuuteen. Lähtökohtaisesti täydellisen riippumattomuuden takaa kuitenkin vain suora suhde ylimpään johtoon.
Joissain organisaatioissa yllä esitettyä työnjakoa on muokattu niin, että toinen puolustuslinja vastaa sekä liiketoiminnan tuesta, että tarkastus- ja valvontaroolista. Riskienhallinnan osalta tällaisen vastuunjaon ongelmaksi muodostuu mielestämme se, että toinen puolustuslinja joutuu liiaksi taiteilemaan neuvonta- ja valvontarooliensa välillä, kykenemättä tarjoamaan liiketoiminnalle riittävää tukea ja konsultointia. Vaarana on, että liiketoiminta näkee tällöin toisen linjan lähinnä hallinnollisena rasitteena, jonka jälkeen päästään taas keskittymään itse bisneksen tekemiseen. Toisaalta kolmas puolustuslinja jää yksin ”norsunluutorniinsa” lähinnä valvomaan toista puolustuslinjaa, jolloin sen oikeutusta ja järkevyyttä tullaan organisaatiossa todennäköisesti ajan myötä kyseenalaistamaan.
Mitä ne voisivat tehdä paremmin?
Kuten sanottu, mallin tehokkuus eri toimintojen roolituksessa tuntuu kiistämättömältä. Mutta olemme havainneet, että parennettavaa ja haasteitakin löytyy, erityisesti yhteistyöhön liittyen ja riskienhallinnan roolin integroituneisuuden / irralllisuuden suhteen.
Kaikkien kolmen linjan tulisi pelata hyvin yhteen, jotta saavutetaan optimaalinen tuki sille, minkä takia ne ovat olemassa: organisaation tavoitteiden saavuttamiselle. Käytännön kokemus on kuitenkin osoittanut meille, että niiden välillä on kohtuullisen paljonkin siiloutumista, jopa kinastelua ja kyräilyä. Vahvimmillaan siilot näkyvät usein suhteessa kolmanteen puolustuslinjaan. Allekirjoittaneilla on toki myös positiivisia kokemuksia erityisesti ensimmäisen ja toisen linjan yhteistyöstä, mutta tämä edellyttää sitä, että kaikki kokevat työskentelevänsä saman tavoitteen eteen, eivätkä vetäydy liiaksi linjarooliensa taakse. Tavoitteena tulisi olla, että yhteistyö pelaa, on liiketoiminnan näkökulmasta yhtenäistä, eikä mikään “putoa tuolien väliin”.
Kokonaisvaltaisen riskienhallinnan näkökulmasta linja-ajattelun haasteena on, että riskienhallinta eriytyy liiketoiminnasta omaksi irralliseksi harjoituksekseen. Tämä onkin itse asiassa se kaikkein pahin skenaario, sillä riskienhallinnan suurin hyöty organisaatiolle ei synny vuosittaisten pakollisten päivitysharjoitusten toistamisesta vaan kyseenalaistavasta ja oikea-aikaisesta keskustelusta merkittävien suunnittelu ja päätöksentekoprosessien yhteydessä.
Lähteet:
https://www.coso.org/Documents/COSO-2015-3LOD.pdf
https://riskikompassi.fi/johtaminen-riskienhallinta/kolme-puolustuslinjaa
