IKHTISAR PAPER THE INSTITUTE OF INTERNAL AUDITOR :

TIGA LINI PERTAHANAN DALAM MANAJEMEN DAN PENGENDALIAN

RESIKO YANG EFEKTIF

Pendahuluan
Auditor internal,
pengawas mutu, dan pihak lain yang terlibat dalam
pengelolaan resiko dalam suatu organisasi memiliki perspektif dan keahlian yang
unik sehingga peran dan tanggungjawab masing-masing pihak harus jelas serta
dikoordinasikan secara efektif dan efisien untuk memastikan proses
pengendalian resiko berjalan sebagaimana mestinya.
Tanpa adanya suatu pendekatan yang terpadu, sumber daya pengendalian yang
terbatas dapat digunakan secara tidak efisien dan resiko signifikan tidak dapat
diidentifikasi dan dikelola secara tepat. Kerangka kerja manajemen resiko yang
digunakan perusahaan modern dapat mengidentifikasi jenis resiko yang harus
dikendalikan tetapi tidak mampu merancang dan mengkoordinasikan penugasan
yang spesifik di dalam organisasi.
Untuk mengatasi kendala tersebut, terdapat model Tiga Lini Pertahanan yang
secara ringkas dan efektif mampu meningkatkan komunikasi dalam manajemen
dan pengendalian resiko dengan memperjelas tugas dan peranan yang penting.
Model ini bertujuan memastikan keberhasilan manajemen resiko pada setiap
organisasi terlepas dari ukuran, kompleksitas maupun ada tidaknya kerangka
kerja manajemen resiko yang formal. Model ini juga mampu meningkatkan
kejelasan terkait resiko dan pengendalian serta membantu meningkatkan
efektifitas sistem manajemen resiko.
Sebelum Tiga Lini Pertahanan : Pemantauan Manajemen Resiko dan
Pengaturan Strategi
Dalam model Tiga Lini Pertahanan, pengendalian manajemen adalah lini
pertama, berbagai pengendalian resiko dan fungsi pengawasan kesesuaian oleh
manajemen adalah lini kedua, dan jaminan yang independen adalah yang ketiga.
Ketiga lini tersebut memiliki peran yang berbeda dalam kerangka kerja tata
kelola organisasi.

Badan pimpinan dan manajemen puncak sebagai stakeholder utama memberi

dukungan penuh dan pedoman untuk memastikan bahwa model Tiga Lini
Pertahanan tercermin dalam proses manajemen dan pengendalian resiko. Badan
pimpinan dan manajemen puncak bertanggungjawab menyusun tujuan
perusahaan, merumuskan strategi untuk mencapai tujuan dan menetapkan
struktur dan proses pengelolaan resiko terbaik untuk mencapai tujuan tersebut.
Lini Pertama Pertahanan : Manajemen operasional
Model Tiga Lini Pertahanan terdiri dari tiga kelompok :

Fungsi yang memiliki dan mengelola resiko

Fungsi yang mengawasi resiko
Fungsi yang menyediakan jaminan yang independen

Sebagai lini pertama pertahanan, manajer operasional bertanggungjawab :

-

melaksankan tindakan korektif untuk mengatasi kekurangan pada proses

pengendalian
mempertahankan pengendalian internal serta melaksanakan prosedur
pengendalian resiko secara rutin
mengidentifikasi, menguji, mengendalikan dan memitigasi resiko,
mengarahkan pengembangan dan implementasi kebijakan dan prosedur
serta memastikan aktivitas konsisten dengan tujuan
merancang dan menerapkan prosedur pengendalian dan mengawasi
pelaksanaan prosedur tersebut oleh para pegawai.

Harus ada pengendalian manjerial dan pengawasan yang memadai untuk

memastikan kesesuaiaan dan menyoroti kegagalan pengendalian, proses
yang tidak wajar atau kejadian tak terduga.
Lini Kedua Pertahanan : Manajemen Resiko dan Fungsi Kepatuhan
Manajemen menetapkan manajemen resiko dan fungsi kepatuhan yang
beragam untuk membangun dan mengawasi pengendalian lini pertama.
Secara umum fungsi lini kedua pertahanan antara lain :
-

memfasilitasi dan mengawasi efektifitas pelaksanaan manajemen

resiko oleh manajar operasional dan membantu pemilik resiko dalam
menentukan target pengungkapan resiko dan melaporkan informasi
yang memadai terkait resiko di dalam organisasi
fungsi
kepatuhan
untuk mengawasi
resiko spesifik seperti
ketidakpatuhan terhadap hukum dan peraturan.
fungsi pengendalian yang mengawasi resiko keuangan dan isu terkait
pelaporan keuangan.

Tanggungjawab fungsi-fungsi diatas dapat berupa :

-

mendukung
kebijakan
manajemen,
menentukan
peran
dan
tanggungjawab serta menyusun tujuan penerapan
menyediakan kerangka kerja manajemen resiko
mengidentifikasi pengetahuan dan isu yang muncul
mengidentifikasi perubahan selera resiko implisit organisasi
membantu manajemen mengembangkan proses dan pengendalian untuk
mengelola resiko dan isu
menyediakan petunjuk dan pelatihan dalam proses manajemen resiko

memfasilitasi dan mengawasi efektifitas implementasi praktik manajemen

resiko oleh manajer operasional
memperingatkan manajer operasional terhadap isu yang muncul dan
perubahan peraturan dan skenario resiko
mengawasi kelayakan dan efektifitas pengendalian internal, akurasi dan
kelengkapan pelaporan, kepatuhan terhadap hukum dan peraturan, dan
remediasi yang tepat waktu atas kekurangan.

Lini Ketiga Pertahanan : Audit Internal

Auditor internal memberikan jaminan menyeluruh mengenai efektivitas
pemerintahan, manajemen resiko dan pengendalian internal kepada badan
pimpinan dan manajemen puncak berdasarkan tingkat tertinggi independensi
dan objektivitas dalam organisasi, yang tidak terdapat pada lini kedua
pertahanan. Ruang lingkup jaminan ini meliputi :
-

cakupan tujuan yang luas, termasuk efisiensi dan efektifitas operasi,

pengamanan aset, keandalan dan integritas proses pelaporan dan
kepatuhan terhadap hukum, peraturan, kebijakan, prosedur dan kontrak
semua elemen manajemen resiko dan kerangka kerja pengendalian
internal, termasuk lingkungan pengendalian internal, informasi dan
komunikasi, serta pengawasan
keseluruhan entitas, divisi, anak perusahaan, unit operasi dan fungsi,
termasuk proses bisnis seperti penjualan, produksi, marketing, keamanan,
fungsi pelanggan dan operasi, serta fungsi pendukung seperti SDM,
pembelian dll.

Adanya audit internal yang professional merupakan persyaratan tata kelola yang
penting untuk semua organisasi terlepas dari besarnya ukuran maupun
kompleksitas lingkungan. Struktur perusahaan yang kuat memastikan efektivitas
proses manajemen resiko. Best practicenya adalah untuk menetapkan dan
menjaga fungsi audit internal yang independen, memadai, dengan staf yang
kompeten, termasuk :
-

bertindak sesuai dengan standar internasional yang diakui untuk audit

internal
melapor kepada level tinggi di organisasi agar mampu menjalankan tugas
dengan independen
memiliki alur pelaporan yang aktif dan efektif ke badan pimpinan

Auditor Eksternal, Pembuat Aturan dan Lembaga Eksternal lainnya

Auditor Eksternal, Pembuat Aturan dan Lembaga Eksternal lainnya berada di luar
struktur perusahaan tetapi dapat memiliki peran penting dalam keseluruhan tata
kelola dan struktur pengendalian. Jika pihak-pihak luar tersebut dapat
berkoordinasi secara efektif, mereka dapat diangggap sebagai lini pertahanan
tambahan yang menyediakan jaminan kepada shareholder dan stakeholder
perusahaan. Akan tetapi, informasi mengenai resiko yang dikumpulkan biasanya
lebih sempit daripada jangkauan ketiga lini pertahanan organisasi.
Mengkoordinasikan Ketiga Lini Pertahanan
Setiap organisasi itu unik dan situasi yang dihadapi berbeda sehingga tidak ada
suatu cara yang pas untuk mengkoordinasikan ketiga lini pertahanan. Akan

tetapi dapat ditekankan beberapa peran setiap lini dalam proses manajemen
resiko sebagai berikut

Ketiga lini harus ada di setiap organisasi terlepas dari ukuran dan
kompleksitasnya. Manajemen resiko yang terkuat adalah ketika terdapat tiga lini
pertahanan yang terpisah dan teridentifikasi dengan jelas. Pengecualian untuk
situasi tertentu khusunya pada organisasi kecil, dimana beberapa lini pertahanan
dapat dikombinasikan. Menurut International Standards for the Professional
Practice of Internal Auditing, pimpinan eksekutif audit diharuskan untuk berbagi
informasi dan mengkoordinasikan aktivitas dengan penyedia jaminan dan jasa
konsultan baik internal maupun eksternal untuk memastikan cakupan yang tepat
dan meminimalkan duplikasi usaha.
Praktik yang Direkomendasikan :
-

resiko dan proses pengendalian harus disusun sesuai dengan model Tiga
Lini Pertahanan
setiap lini pertahanan harus didukung definisi peran dan kebijakan yang
tepat
harus ada koordinasi yang baik diantara lini pertahanan untuk
meningkatkan efisiensi dan efektivitas
resiko dan fungsi pengendalian yang dijalankan setiap lini yang berbeda
harus berbagi pengetahuan dan informasi untuk membantu setiap fungsi
agar dapat menjalankan perannya secara efisien
lini pertahanan tidak boleh dikombinasikan dengan cara yang dapat
mengurangi efektivitasnya
dalam situasi dimana fungsi dari ketiga lini dikombinasikan, badan
pimpinan harus diberi saran mengenai struktur dan dampaknya. Untuk
organisasi
yang
tidak
menerapkan
aktivitas
audit
internal,
manajemen/badan pimpinan harus menjelaskan dan mengungkapkan
kepada stakeholder bahwa meraka telah mempertimbangkan bagaimana
memperoleh jaminan yang memadai atas efektivitas tata kelola,
manajemen resiko dan struktur pengendalian.