Sis\u00e4isen valvonnan, sis\u00e4isen tarkastuksen, compliancen ja riskienhallinnan parissa ty\u00f6skentelev\u00e4t ovat todenn\u00e4k\u00f6isesti tuttuja termin \u201dkolme puolustuslinjaa \u2013 three lines of defence\u201d kanssa. Kokemus on osoittanut, ett\u00e4 t\u00e4h\u00e4n(kin) malliin liittyy kaikenlaista mielenkiintoista riskienhallinnan kannalta. Se ansaitsee siis oman postauksensa joulua odotellessa.<\/p>\n
Kolmen puolustuslinjan ajattelu, eli liiketoiminnan, liiketoiminnan tuen ja valvonnan eriytt\u00e4minen eri tahoille, voi hyvin ja paksusti erityisesti finanssisektorilla.\u00a0 Mallia promoavat my\u00f6s erilaiset sis\u00e4isen valvonnan ja riskienhallinnan kansainv\u00e4liset j\u00e4rjest\u00f6t, jotka m\u00e4\u00e4rittelev\u00e4t kolme puolustuslinjaa tehokkaan sis\u00e4isen valvonnan toteutumisen perusedellytykseksi. My\u00f6s konsultit puhuvat power point -kalvoissaan usein ja mielell\u00e4\u00e4n puolustuslinjoista, eiv\u00e4tk\u00e4 ihan syytt\u00e4, sill\u00e4\u00a0 mallin tehokkuus eri toimintojen roolituksessa tuntuu kiist\u00e4m\u00e4tt\u00f6m\u00e4lt\u00e4.<\/p>\n
Toisaalta, jotkut alan ihmiset ovat my\u00f6s esitt\u00e4neet ajatuksia siit\u00e4, ett\u00e4 kolmen puolustuslinjan malli pit\u00e4isi heitt\u00e4\u00e4 roskakoriin ja korvata esim. RACI-ajattelulla, sill\u00e4 linjamalli voi luoda mielikuvan riskienhallinnasta pelkk\u00e4n\u00e4 hallinnollisena, s\u00e4\u00e4ntelyviranomaisen vaatimana ”rasti ruutuun” -harjoituksena (ks. t\u00e4st\u00e4<\/a>).<\/p>\n Kokemuksemme riskienhallinnan saralta on, ett\u00e4 suurin osa v\u00e4h\u00e4nk\u00e4\u00e4n suuremmista organisaatioista noudattaa kuitenkin p\u00e4\u00e4osin kolmen puolustuslinjan jaottelua. Toimialasta kyll\u00e4 riippuu, miten mallista puhutaan: finanssialalla mainitaan linjat jatkuvasti, toisaalta esim. valmistavassa teollisuudessa sit\u00e4 toteutetaan mutta toiminnan yhteydess\u00e4 ei erityisesti korosteta kolmen linjan ajattelua.<\/p>\n Kolmen puolustuslinjan mallin mukaan ylimm\u00e4n johdon valvonnan alla toimivat kolme linjaa ovat tarpeen takaamaan tehokkaan riskienhallinnan ja sis\u00e4isen valvonnan. Ylint\u00e4 johtoa ei sis\u00e4llytet\u00e4 mihink\u00e4\u00e4n puolustuslinjaan, mutta sill\u00e4 on \u00e4\u00e4rimm\u00e4isen t\u00e4rke\u00e4 rooli mallin toiminnan kannalta.\u00a0 Se on kaikkien linjojen merkitt\u00e4v\u00e4, jollei merkitt\u00e4vin, stakeholder ja sen vastuulla on valvoa, ett\u00e4 malli toteutuu kaikissa riski- ja kontrolliprosesseissa.<\/p>\n Ensimm\u00e4inen puolustuslinja<\/span> py\u00f6ritt\u00e4\u00e4 liiketoimintaa, \u201domistaa\u201d liiketoiminnan riskit ja on vastuussa siit\u00e4, ett\u00e4 riskienhallintaprosessia toteutetaan niin kuin on tarkoitettu.<\/p>\n Toinen puolustuslinja<\/span> on tukitoiminto.\u00a0 Tyypillisesti toisessa linjassa suuntaviitoitetaan koko organisaation riskienhallinnan periaatteet ja toimintaohjeet, m\u00e4\u00e4ritet\u00e4\u00e4n k\u00e4yt\u00e4nn\u00f6n tasolla riskienhallinnan tavoite, noudatettava viitekehys ja prosessi, sek\u00e4 tuetaan liiketoimintaa riskienhallinnan implementoinnissa ja py\u00f6ritt\u00e4misess\u00e4 mm. fasilitoimalla workshoppeja, koordinoimalla itsearviointeja ja ohjaamalla riskien dokumentointia. Toisen puolustuslinjan osaaminen, kiinnostus ja palveluasenne liiketoimintaa kohtaan on avainasemassa, kun riskienhallinta sidotaan strategiaan ja normaaliin liiketoiminnan py\u00f6ritt\u00e4miseen.<\/p>\n Monesti toisesta linjasta puhuttaessa mainitaan ainoastaan, ett\u00e4 se tukee liiketoimintaa.\u00a0 Mutta ent\u00e4 ylin johto \u2013 toimitusjohtaja ja hallitus? Mielest\u00e4mme t\u00e4t\u00e4 kannattaisi tuoda hieman enemm\u00e4n esiin, sill\u00e4 riskienhallinnasta on vaikea tehd\u00e4 organisaatiossaan aidosti strategista, jos ty\u00f6 suuntautuu ainoastaan ns. divisioonatasolle.<\/p>\n Kolmas puolustuslinja<\/span> on kaikista muista linjoista ja organisaation toiminnoista erill\u00e4\u00e4n ja sen teht\u00e4v\u00e4n\u00e4 on\u00a0 tuottaa riippumatonta tietoa ja varmennusta ylimm\u00e4lle johdolle. Se raportoi riskienhallinnan j\u00e4rjest\u00e4misen ja toteuttamisen tilasta ja riitt\u00e4vyydest\u00e4, sek\u00e4 siit\u00e4 ett\u00e4 ensimm\u00e4isen ja toisen puolustuslinjan tekemiset ovat tehokkaita ja linjassa ylimm\u00e4n johdon odotusten ja tavoitteiden kanssa. K\u00e4yt\u00e4nn\u00f6ss\u00e4 t\u00e4m\u00e4 taho on organisaation sis\u00e4inen tarkastaja \/ tarkastus. Kolmannen linjan tulisi puhtaimmillaan raportoida suoraan ylimm\u00e4lle operatiiviselle johdolle ja hallitukselle (yleens\u00e4 tarkastusvaliokunnalle, jos sellainen erikseen on). Oikeassa el\u00e4m\u00e4ss\u00e4 organisatorisesta sijoittumisesta on erilaisia k\u00e4yt\u00e4nn\u00f6n toteutuksia \u2013 esim. sis\u00e4inen tarkastus on sijoitettu talousjohtajan tai lakiasiainjohtajan alaisuuteen. L\u00e4ht\u00f6kohtaisesti t\u00e4ydellisen riippumattomuuden takaa kuitenkin vain suora suhde ylimp\u00e4\u00e4n johtoon.<\/p>\n Joissain organisaatioissa yll\u00e4 esitetty\u00e4 ty\u00f6njakoa on muokattu niin, ett\u00e4 toinen puolustuslinja vastaa sek\u00e4 liiketoiminnan tuesta, ett\u00e4 tarkastus- ja valvontaroolista. Riskienhallinnan osalta t\u00e4llaisen vastuunjaon ongelmaksi muodostuu mielest\u00e4mme se, ett\u00e4 toinen puolustuslinja joutuu liiaksi taiteilemaan neuvonta- ja valvontarooliensa v\u00e4lill\u00e4, kykenem\u00e4tt\u00e4 tarjoamaan liiketoiminnalle riitt\u00e4v\u00e4\u00e4 tukea ja konsultointia.\u00a0 Vaarana on, ett\u00e4 liiketoiminta n\u00e4kee t\u00e4ll\u00f6in toisen linjan l\u00e4hinn\u00e4 hallinnollisena rasitteena, jonka j\u00e4lkeen p\u00e4\u00e4st\u00e4\u00e4n taas keskittym\u00e4\u00e4n itse bisneksen tekemiseen. Toisaalta kolmas puolustuslinja j\u00e4\u00e4 yksin \u201dnorsunluutorniinsa\u201d l\u00e4hinn\u00e4 valvomaan toista puolustuslinjaa, jolloin sen oikeutusta ja j\u00e4rkevyytt\u00e4 tullaan organisaatiossa todenn\u00e4k\u00f6isesti ajan my\u00f6t\u00e4 kyseenalaistamaan.<\/p>\n Kuten sanottu, mallin tehokkuus eri toimintojen roolituksessa tuntuu kiist\u00e4m\u00e4tt\u00f6m\u00e4lt\u00e4. Mutta olemme havainneet, ett\u00e4 parennettavaa ja haasteitakin l\u00f6ytyy, erityisesti yhteisty\u00f6h\u00f6n liittyen ja riskienhallinnan roolin integroituneisuuden \/ irralllisuuden suhteen.<\/p>\n Kaikkien kolmen linjan tulisi pelata hyvin yhteen, jotta saavutetaan optimaalinen tuki sille, mink\u00e4 takia ne ovat olemassa: organisaation tavoitteiden saavuttamiselle. K\u00e4yt\u00e4nn\u00f6n kokemus on kuitenkin osoittanut meille, ett\u00e4 niiden v\u00e4lill\u00e4 on kohtuullisen paljonkin siiloutumista, jopa kinastelua ja kyr\u00e4ily\u00e4. \u00a0Vahvimmillaan siilot n\u00e4kyv\u00e4t usein suhteessa kolmanteen puolustuslinjaan.\u00a0Allekirjoittaneilla on toki my\u00f6s positiivisia kokemuksia erityisesti ensimm\u00e4isen ja toisen linjan yhteisty\u00f6st\u00e4, mutta t\u00e4m\u00e4 edellytt\u00e4\u00e4 sit\u00e4, ett\u00e4 kaikki kokevat ty\u00f6skentelev\u00e4ns\u00e4 saman tavoitteen eteen, eiv\u00e4tk\u00e4 vet\u00e4ydy liiaksi linjarooliensa taakse.\u00a0 Tavoitteena tulisi olla, ett\u00e4 yhteisty\u00f6 pelaa, on liiketoiminnan n\u00e4k\u00f6kulmasta yhten\u00e4ist\u00e4, eik\u00e4 mik\u00e4\u00e4n \u201cputoa tuolien v\u00e4liin\u201d.<\/p>\n Kokonaisvaltaisen riskienhallinnan n\u00e4k\u00f6kulmasta linja-ajattelun haasteena on, ett\u00e4 riskienhallinta eriytyy liiketoiminnasta omaksi\u00a0 irralliseksi harjoituksekseen. T\u00e4m\u00e4 onkin itse asiassa se kaikkein pahin skenaario, sill\u00e4 riskienhallinnan suurin hy\u00f6ty organisaatiolle ei synny vuosittaisten pakollisten p\u00e4ivitysharjoitusten toistamisesta vaan kyseenalaistavasta ja oikea-aikaisesta keskustelusta merkitt\u00e4vien suunnittelu ja p\u00e4\u00e4t\u00f6ksentekoprosessien yhteydess\u00e4.<\/p>\n L\u00e4hteet:<\/p>\n https:\/\/na.theiia.org\/standards-guidance\/Public%20Documents\/PP%20The%20Three%20Lines%20of%20Defense%20in%20Effective%20Risk%20Management%20and%20Control.pdf<\/a><\/p>\n https:\/\/www.isaca.org\/Journal\/archives\/2011\/Volume-5\/Pages\/The-Three-Lines-of-Defence-Related-to-Risk-Governance.aspx<\/a><\/p>\n https:\/\/www.coso.org\/Documents\/COSO-2015-3LOD.pdf<\/a><\/p>\nMit\u00e4 ne linjat tekev\u00e4t?<\/span><\/h3>\n
Mit\u00e4 ne voisivat tehd\u00e4 paremmin?<\/span><\/h3>\n
\n