IA POSITION PAPER:..

THE THREE LINES OF DEFENSE DALAM MANAJEMEN RISIKO YANG EFEKTIF DAN
CONTROL
PENDAHULUAN
Dalam bisnis abad XXI, tidak jarang untuk menemukan beragam tim auditor internal, spesialis
manajemen risiko perusahaan, petugas kepatuhan, spesialis pengendalian internal, Inspektur
kualitas, fraud investigator, dan profesional risiko dan kontrol lainnya, bekerja bersama untuk
membantu
organisasi mengelola risiko mereka. Setiap spesialisasi ini memiliki perspektif yang unik dan
keterampilan khusus yang sangat berharga untuk organisasi mereka dalam melayani, tetapi
karena tugas-tugas yang berkaitan dengan manajemen risiko dan pengendalian semakin dibagi
menjadi lintas beberapa Departemen dan divisi, tugas harus dikoordinasikan dengan hati-hati
untuk memastikan bahwa proses risiko dan kontrol beroperasi sebagaimana dimaksud.
Itu tidak cukup bahwa berbagai fungsi risiko dan kontrol ada — tantangannya adalah untuk
menetapkan peran tertentu dan untuk mengkoordinasikan secara efektif dan efisien antara
kelompok ini jadi tidak ada “gap” di kontrol atau cakupan duplikasi yang tidak perlu. Jelas
tanggung jawab harus diidefinisikan sehingga setiap kelompok risiko dan kontrol profesional
memahami batas-batas tanggung jawab mereka dan bagaimana mereka memposisikan sesuai
ke risiko organisasi keseluruhan dan kontrol struktur.

Kepemilikan adalah tinggi. Tanpa kohesif, pendekatan terkoordinasi, terbatas nya control dan
risiko atas sumber daya mungkin tidak digunakan secara efektif, dan risiko yang signifikan
mungkin tidak teriidentifikasi atau berhasil tepat. Dalam kasus terburuk, Komunikasi antara
berbagai risiko dan kontrol kelompok mungkin berpindah untuk sedikit lebih terus-menerus
perdebatan tentang yang pekerjaan mana untuk menyelesaikan tugas spesifik tugas.

Masalah dapat ada di setiap organisasi manapun, terlepas dari apakah kerangka manajemen
risiko perusahaan resmi digunakan. Meskipun kerangka manajemen risiko dapat secara efektif
mengidentifikasi jenis dari risiko yang modern bisnis harus kontrol, kerangka ini sebagian besar
terdiam tentang bagaimana tugas tertentu harus menjadi ditugaskan dan dikoordinasikan dalam
organisasi.
Untungnya, praktik terbaik yang muncul yang dapat membantu organisasi mendelegasikan dan
mengkoordinasi tugas manajemen risiko penting dengan pendekatan yang sistematis. Model tiga
garis pertahanan menyediakan cara yang sederhana dan efektif untuk meningkatkan komunikasi
pada manajemen risiko dan pengendalian dengan mengklarifikasi peran penting dan tugas.
Menyediakan tampilan segar pada operasi, membantu untuk menjamin kesuksesan dari inisiatif
manajemen risiko, dan itu adalah cocok untuk setiap organisasi-terlepas dari ukuran besar dan
kompleksitas. Bahkan di di organisisi dimana kerangka manajemen risiko formal atau sistem
tidak ada, model tiga garis pertahanan dapat meningkatkan kejelasan mengenai risiko dan
kontrol dan membantu meningkatkan efektivitas sistem manajemen risiko.

SEBELUM TIGA BARIS: PANDANGAN MANAJEMEN RISIKO DAN PENGATURAN STRATEGI

Di tiga garis dari pertahanan model, kontrol manajemen adalah garis risiko pertahanan dalam
manajemen risiko, berbagai risiko kontrol dan fungsi-fungsi kepatuhan yang ditetapkan oleh
manajemen adalah garis pertahanan kedua, dan jaminan adalah yang ketiga. Masing-masing
dari ketiga “baris” memainkan peran berbeda dalam organisasi dalam kerangka pemerintahan
lebih luas.

Meskipun badan pemerintahan atau senior manajemen adalah tidak dianggap diantara tiga
“baris” dalam model ini, tidak ada diskusi tentang sistem manajemen risiko yang bisa lengkap
tanpa pertama mempertimbangkan peran penting dari kedua badan-badan pemerintahan (yaitu,
Jajaran Direksi atau yang lembaga yang setara) dan manajemen senior. Badan Pemerintah dan
manajemen senior adalah stakeholder utama yang dilayani oleh “baris”, dan mereka adalah
pihak terbaik yang diposisikan untuk membantu memastikan tiga garis pertahanan model yang
mencerminkan di organisasi manajemen risiko dan proses kontrol.
Manajemen senior dan badan-badan pemerintahan secara kolektif memiliki tanggung jawab dan
akuntabilitas untuk menetapkan tujuan organisasi, menentukan strategi untuk mencapai tujuan
mereka, dan memproses manajemen terbaik mengelola risiko dalam mencapai tujuan tersebut.
Model tiga garis pertahanan terbaik diimplementasikan dengan dukungan aktif dan bimbingan
dari organisasi badan pemerintahan dan senior manajemen.

LINE PERTAMA DARI PERTAHANAN: OPERASIONAL MANAJEMEN

Tiga garis dari pertahanan model membedakan antara tiga kelompok (atau baris) yang terlibat
dalam efektivitas manajemen risiko:

 Fungsi yang memiliki dan mengelola risiko.

 Fungsi yang mengawasi risiko.
 Fungsi yang memberikan assurance independen.

Sebagai pertama garis dari pertahanan, operasional manajer sendiri dan mengelola risiko.
Mereka juga bertanggung jawab untuk menerapkan tindakan korektif untuk menangani
kekurangan proses dan kontrol.

Manajemen operasional bertanggung jawab untuk menjaga kontrol internal yang efektif dan
untuk mengeksekusi prosedur risiko dan kontrol di berdasar kan kegiatan sehari-hari.
Manajemen operasional mengidentifikasi, menilai, mengontrol, dan memitigasi risiko,
membimbing pengembangan dan pelaksanaan kebijakan internal dan prosedures dan
memastikan bahwa kegiatan sesuai dengan tujuan dan sasaran. Melalui struktur tanggung jawab
yang bertingkat, tingkat menengah manajer merancang dan mengimplementasikan secara rinci
prosedur yang melayani kontrol dan mengawasi pelaksanaan prosedur mereka oleh karyawan
mereka.

Operasional manajemen secara alami sebagai garis dari pertahanan pertama karena kontrol
dirancang ke sistem dan proses di bawah bimbingan dari operational manajemen. Harus
manajerial yang memadai dan pengawasan kontrol harus ada untuk memastikan kepatuhan dan
untuk mengawasi penjelasan lebih lanjut kontrol, proses tidak memadai, dan kejadian tak
terduga
GARIS PERTAHANAN KEDUA: MANAJEMEN RISIKO DAN FUNGSI KEPATUHAN
Dalam dunia yang sempurna, mungkin hanya satu garis pertahanan akan diperlukan untuk
memastikan efektivitas manajemen risiko. Di dunia nyata, bagaimanapun, satu baris pertahanan
sering tidak memadai. Manajemen menetapkan berbagai risiko fungsi manajemen dan
kepatuhan untuk membantu membangun dan/atau memantau garis pertahanan pertama. Fungsi
tertentu akan bervariasi oleh organisasi dan industri, tapi fungsi yang khas dalam garis
pertahanan kedua ini meliputi:

• Fungsi Manajemen Risiko (dan/atau Komite) yang memfasilitasi dan monitor implementasi dari
efektivitas praktik manajemen risiko oleh manajemen operasional dan membantu pemilik risiko
dalam mendefinisikan target risiko dan pelaporan memadai
risiko yang berhubungan dengan informasi seluruh organisasi.
• Fungsi kepatuhan untuk memantau berbagai risiko tertentu seperti ketidakpatuhan terhadap
undang-undang dan peraturan. Dalam hal ini, fungsi terpisah laporan langsung untuk
manajemen senior, dan di beberapa sektor bisnis, langsung ke badan pemerintahan. Beberapa
fungsi kepatuhan sering ada dalam satu organisasi, dengan tanggung jawab khusus atas jenis
kepatuhan pemantauan, seperti kesehatan dan keselamatan, jaringan pasokan, lingkungan, atau
kualitas pemantauan.
• Fungsi controllership yang memonitor risiko keuangan dan pelaporan keuangan.

Manajemen menetapkan fungsi ini untuk memastikan garis pertama dari pertahanan dengan
benar dirancang, ada, dan beroperasi sebagaimana dimaksud. Masing-masing fungsi ini memiliki
derajat independensi dari baris pertama pertahanan, tetapi mereka sebagai sifat fungsi-fungsi
manajemen. Sebagai fungsi-fungsi manajemen, mereka mungkin ikut campur secara langsung
dalam memodifikasi dan mengembangkan kontrol internal dan sistem risiko. Karena itu, garis
pertahanan kedua menyajikan pentingnya tujuan tetapi tidak dapat menawarkan analisis benar-
benar yang independen untuk mengatur badan pemerintah mengenai manajemen risiko dan
internal kontrol.

Tanggung jawab dari fungsi-fungsi ini bervariasi pada sifatnya tertentu, tetapi dapat mencakup:

 Pendukung kebijakan manajemen, mendefinisikan peran dan tanggung jawab, dan pengaturan
tujuan untuk implementasi.
 Memberikan kerangka manajemen risiko.
 Mengidentifikasi isu dikenal dan muncul.
 Mengidentifikasi perrgeseran di organisasi implisit atas arah risiko.
 Membantu manajemen dalam mengembangkan proses dan kontrol untuk mengelola risiko dan
isu.

 Memberikan bimbingan dan pelatihan proses manajemen risiko.

 Memfasilitasi dan memantau implementasi dari efektivitas praktek manajemen risiko oleh
manajemen operasional.
 Memberi tanda manajemen operasional apabila muncul masalah dan mengubah peraturan
dan sekenario risiko.
 Pemantauan kecukupan dan efektivitas dari internal kontrol, akurasi dan kelengkapan dari
pelaporan, kepatuhan dengan hukum dan peraturan, dan perbaikan tepat waktu atas
kekurangan.

LINE KETIGA DARI PERTAHANAN: INTERNAL AUDIT

Auditor Internal menyediakan Badan Pemerintah dan senior manajemen jaminan komprehensif
berdasarkan independensi tingkat tertinggi dan objektivitas dalam organisasi. Tingginya tingkat
independensi ini tidak tersedia dalam garis pertahanan kedua. Internal audit menyediakan
jaminan efektivitas pada pemerintahan, manajemen risiko, dan internal kontrol, termasuk cara
bagaimana garis pertama dan kedua dari pertahanan mencapai manajemen risiko dan
mengontrol tujuan. Lingkup dari ini jaminanini , yang dilaporkan untuk senior manajemen dan
untuk badan pemerintahan, biasanya meliputi:

• Berbagai tujuan, termasuk efisiensi dan efektivitas operasi; pengamanan aset; kehandalan dan
integritas dari proses pelaporan; dan kepatuhan dengan undang-undang, peraturan, kebijakan,
prosedur, dan kontrak.
• Semua elemen dari manajemen risiko dan kerangka kontrol internal, yang termasuk:
lingkungan internal kontrol;
Semua elemen dari kerangka manajemen risiko organisasi (yaitu, identifikasi risiko, penilaian
risiko dan respon); informasi dan komunikasi; dan pemantauan.
• Keseluruhan entitas, divisi, anak perusahaan, unit operasi, dan fungsi — termasuk proses
bisnis, seperti penjualan, produksi, pemasaran, keselamatan, fungsi pelanggan, dan operasi —
sebagai mana fungsi penunjang (misalnya, pendapatan dan
pengeluaran akuntansi, sumber daya manusia, pembelian, penggajian, penganggaran,
infrastruktur dan manajemen aset, persediaan, dan teknologi informasi).

Membangun kegiatan audit internal yang profesional harus merupakan persyaratan untuk semua
organisasi. Ini tidak hanya penting untuk organisasi yang lebih besar dan menengah tetapi juga
mungkin sama pentingnya untuk entitas yang lebih kecil, mungkin yang dihadapi sama
lingkungan kompleks dengan pendekatan kurang formal, kekuatan struktur organisasi untuk
memastikan efektivitas pemerintahan dan risiko proses manajemen.

Internal audit juga berkontribusi secara aktif untuk mengefektifkan Organisasi pemerintahan
yang menyediakan kondisi tertentu-pembinaan yang independen dan profesional. Praktek
terbaik untuk membangun dan memelihara independensi, memadai, dan kompeten staf fungsi
internal audit, yang meliputi:

 Bertindak sesuai dengan standar yang diakui internasional untuk praktek dari internal audit.
 Pelaporan untuk kecukupan tinggi tingkat di organisasi yang dapat melaksanakan tugasnya
secaraindependen.
 Memiliki lini pelaporan yang aktif dan efektif bagi badan pemerintahan.

AUDITOR EKSTERNAL, REGULATOR, DAN BADAN EKSTERNAL LAINNYA

Auditor eksternal, regulator, dan badan-badan eksternal lainnya berada di luar struktur
organisasi, , tetapi mereka dapat berperan penting di keseluruhan struktur pemerintahan dan
kontrol. Hal ini terutama terjadi di industri yang diatur, seperti jasa keuangan atau asuransi.
Regulator kadang-kadang mengatur persyaratan yang dimaksudkan untuk memperkuat kontrol
di organisasi dan pada lain kesempatan melakukan secara independen dan obyektif fungsi
menilai seluruh atau beberapa bagian dari pertama, kedua, atau ketiga garis dari pertahanan
berkaitan dengan persyaratan tersebut. Ketika dikoordinasikan secara efektif, auditor eksternal,
regulator, dan kelompok lain di luar organisasi dapat diterbitkan sesuatu sebagai tambahan garis
pertahanan, memberikan jaminan kepada organisasi pemegang saham, termasuk badan
pemerintahan dan senior manajemen.
Mengingat ruang lingkup dan tujuan dari misi mereka, bagaimanapun, risiko informasi yang
terkumpul adalah umumnya kurang luas daripada lingkup yan dituju oleh organisasi internal tiga
garis dari pertahanan.

MENGKOORDINASIKAN TIGA GARIS DARI PERTAHANAN

Karena setiap organisasi unik dan berbeda-beda situasi, tidak ada “yang benar” cara untuk
mengkoordinasikan tiga garis pertahanan. Ketika menetapkan tugas-tugas tertentu dan
koordinasi antara fungsi manajemen risiko, namun, hal ini dapat membantu untuk menjaga dasar
peran masing-masing kelompok dalam proses manajemen risiko.

GARIS PERTAMA PERTAHANAN GARIS PERTAHANAN KEDUA KETIGA GARIS

PERTAHANAN
Pemilik Risiko /manajer Pengendali risiko dan kepatuhan Penjamin risiko
• – manajemen operasi • – independensi terbatas
• -laporan terutama untuk manajemen
• -internal audit
• -lebih independen
•-laporan untuk badan pemerintah

Semua tiga garis harus ada dalam beberapa bentuk di setiap organisasi, terlepas dari dari
ukuran atau kompleksitas. Manajemen Risiko biasanya terkuat ketika ada tiga terpisah dan jelas
diidentifikasi garis dari pertahanannya masing masing.. Namun, di situasi yang luar biasa yang
berkembang, terutama dalam organisasi kecil, baris-baris tertentu pertahanan dapat
dikombinasikan. Sebagai contoh, ada contoh yang mana internal audit telah diminta untuk
membangun dan/atau mengelola risiko organisasi aktivitas manajemen atau kepatuhan. Dalam
situasi ini, internal audit harus berkomunikasi dengan jelas kepada badan pemerintahan dan
senior manajemen atas dampak dari kombinasi. Jika dual tanggung jawab yang ditugaskan
untuk seseorang atau Departemen, harus sesuai untuk mempertimbangkan memisahkan
tanggung jawab untuk fungsi ini di kemudian waktu untuk menjadikan tiga baris.

Terlepas dari bagaimana model tiga garis pertahanan diimplementasikan, senior manajemen
dan badan pemerintahan harus jelas berkomunikasi
Mengenai harapan dimana informasi dibagi dan kegiatan terkoordinasi antara masing-masing
kelompok yang bertanggung jawab untuk mengelola risiko organisasi dan kontrol. Di bawah
Standar internasional untuk praktek profesional dari Internal Audit, eksekutif kepala audit khusus
diminta untuk “berbagi informasi dan mengkoordinasikan kegiatan dengan penyedia lain dari
internal dan eksternal yang memberikan keyakinan dan jasa konsultasi untuk memastikan
cakupan yang tepat dan meminimalkan duplikasi kegiatan.”

PRAKTEK-PRAKTEK YANG DISARANKAN:

• Risiko dan proses pengendalian proses harus terstruktur di sesuaikan dengan model tiga garis
dari pertahanan.
• Setiap garis dari pertahanan harus didukung oleh definisi kebijakan dan peran yang sesuai.
• Ada koordinasi yang tepat antara baris pertahanan yang terpisah untuk mendorong efisiensi
dan efektivitas.
• Fungsi Risiko dan kontrol yang beroperasi pada baris yang berbeda harus tepat berbagi
pengetahuan dan informasi untuk membantu semua fungsi agar lebih baik dalam mencapai
tujuan mereka dalam cara yang efisien.
• Jalur dari pertahanan harus tidak dikombinasikan atau terkoordinasi dengan cara kompromi
atas efektivitasnya.
• Dalam situasi dimana fungsi pada baris yang berbeda digabungkan, badan harus dianjurkan
bagaimana struktur dan dampaknya. Untuk organisasi yang tidak mendirikan aktivitas internal
audit, manajemen dan/atau badan pemerintahan harus diminta untuk menjelaskan dan
mengungkapkan kepada stakeholder mereka bahwa mereka telah mempertimbangkan
bagaimana jaminan memadai atas efektivitas organisasi pemerintahan, manajemen risiko, dan
struktur pengendalian akan diperoleh.