Kolmen puolustuslinjan malli

Jokaisella organisaatiolla on tavoitteita, joiden saavuttamiseksi se pyrkii hyödyntämään mahdollisuudet ja välttämään uhat ottamalla harkittua riskiä sekä hallitsemaan riskinsä tarkoituksenmukaisilla keinoilla. Väärät riskivalinnat tai epäonnistuminen hyväksyttyjen riskien hallinnassa ja valvonnassa vaikuttavat tavoitteiden saavuttamiseen. Aina tulee olemaan tiettyä jännitystä organisaation arvoa kasvattavien ja arvoa säilyttävien toimenpiteiden välillä.

Riippumatta organisaatiorakenteesta ja organisaation perustehtävästä, kolmen puolustuslinjan mallissa on

  1. Ensimmäisestä puolustuslinjasta vastaa liiketoiminnasta ja prosesseista vastuullinen johto ja esimiehet. Heidän päätöksillään ja toimenpiteillään aiheutuu mutta myös hallitaan riskejä, jotka saattavat vaikuttaa organisaation erilaisten tavoitteiden saavuttamiseen.
  2. Toisen puolustuslinjan muodostavat erilaiset johtoa tukevat toiminnot (yksiköt) oman alansa asiantuntemuksellaan ja osaltaan seuraavat ensimmäisen linjan rinnalla, että riskienhallinta ja valvontatoimenpiteet ovat tehokkaita ja vaikuttavia. Tällaiset tukitoiminnot ovat erillään ensimmäisestä puolustuslinjasta ja ovat ylemmän johdon valvonnassa. Näille tukitoiminnoille saattaa kuulua valvonnallisen roolin lisäksi myös johtamiseen liittyviä tehtäviä. Toinen linja on pääasiassa johtamis- ja/tai valvontaroolissa, jolle kuuluu useita riskienhallinnan osa-alueita.
  3. Kolmas puolustuslinja tuottaa ylimmälle johdolle (ylin operatiivinen johto ja hallitus tai vastaava) varmistusta, että sekä ensimmäisen että toisen puolustuslinjan toimenpiteet ja ponnistelut ovat yhdenmukaisia ylimmän johdon odotusten ja tavoitteiden kanssa. Kolmas linja ei osallistu ohjaus- ja johtamistoimintoihin, jotta se säilyttää riippumattomuuden ja organisatoorisen itsenäisyytensä. Kolmas linja raportoi ensi sijassa hallitukselle (tai vastaavalle). Kolmannen linjan erottuu toisesta linjasta siinä, että se on puhtaasti varmistusta tuottava toiminto.

Toimintakehikko muodostaa rakenteet, joiden puitteissa voidaan varmistua siitä, että riskit ja niiden hallintatoimenpiteet ovat riittävällä tasolla. Kolmen puolustuslinjan malli toimii toteutusohjeena siihen, millainen on tarkoituksenmukainen organisatorinen rakenne, jossa eri osapuolille määritellään vastuut ja velvollisuudet parantamaan tehokkaan riskien hallinnan onnistumista.