11/14/2018 Menelusuri Sejarah Three Lines of Defense - klikharso

Menelusuri Sejarah Three Lines of Defense

Penulis: Suharso Diterbitkan: 9/25/2016

 TAGS CONTROL GRC RISK

B
elakangan ini saya sering terpapar oleh konsep baru bagi saya yang disebut three lines of defense, terutama
sejak IIA menerbitkan tulisan berjudul The three lines of defense in effective risk management and control. Model ini berkaitan
dengan pembagian peran dan tanggung jawab penerapan manajemen risiko dan pengendalian intern dalam organisasi. 

Secara sederhana, model three lines of defense atau tiga lini pertahanan membagi peran dan tanggung jawab manajemen risiko dan
pengendalian menjadi tiga lini atau lapisan di dalam suatu organisasi. Lini pertama adalah pihak yang menjadi inti dan penanggung
jawab utama operasi yang harus menjalankan tugasnya dengan memperhatikan risiko, pengendalian, regulasi, dan lingkungan. Lini

https://www.klikharso.com/2016/09/sejarah-three-lines-of-defense.html 1/5
11/14/2018 Menelusuri Sejarah Three Lines of Defense - klikharso

kedua adalah fungsi yang memantau dan menjaga kepatuhan serta memberi masukan kepada lini pertama. Dan lini ketiga adalah
fungsi audit intern yang mengecek dan menilai secara objektif lalu memberi umpan balik agar lini pertama dan kedua berfungsi
sebagaimana mestinya. Pola yang hendak dibangun adalah, ketika lini pertama gagal maka diharapkan akan dideteksi atau di-back up
oleh lini kedua, lalu jika lini kedua juga gagal maka akan dideteksi oleh lini ketiga.

Saya jadi tertarik menelusuri sejarah munculnya model three lines of defense ini. Apakah ia benar-benar model baru atau sesungguhnya
barang yang sudah lama? Pilihan kata “menelusuri” bukan tanpa alasan. Saya belum berhasil menemukan sejarah resmi model
tersebut, bahkan siapa orang yang benar-benar mencetuskan idenya pun belum bisa saya pastikan. Saya coba mencari-cari penggalan
informasi yang berserak lalu saya lihat sambungan-sambungannya sesuai urutan waktu. 

Yah, tidak mudah memang! Karena itu saya tidak menjamin bahwa yang saya ulas telah mengungkap semua cerita yang berperan
penting dalam memunculkan model  three lines of defense ini. Yang pasti, ini adalah hasil penelusuran maksimal saya. Anda boleh
mencari lagi pelengkapnya.

Ada yang menyebut bahwa cikal bakal model  three lines of defense berasal dari otoritas pengawas sektor keuangan di Inggris atau
Financial Services Authority (FSA). Dalam policy statement yang diterbitkan FSA tahun 2003–Building a framework for operational risk
management: the FSA’s observations–memang telah disinggung sedikit mengenai tiga lini pertahanan sebagai contoh bentuk
pemisahan tugas dalam kegiatan pengendalian. Beginilah bunyi kalimatnya:

 An important consideration for some rms in deciding the reporting line was the role and resourcing of this central OR function in
their governance structure (in particular to establish appropriate segregation of duties between control activities). For example, a
number of rms had adopted a ‘three lines of defence’ approach, where business line management provided the rst line, risk
functions the second line, and internal audit a third line (each of which reported into different executive management).

Selanjutnya model tiga lini pertahanan dibahas lebih banyak dalam guidance consultation  yang dikeluarkan FSA pada Oktober 2010
berjudul Enhancing frameworks in the standardised approach to operational risk. Pedoman ini menyebutkan bahwa penerapan model
tiga lini pertahanan di dalam tata kelola risiko operasional dan struktur manajemen risiko akan mendukung terciptanya budaya risiko
serta pemahaman, komunikasi, dan kesadaran risiko yang lebih baik. Adapun pendekatan umum yang dipakai adalah: unit bisnis

https://www.klikharso.com/2016/09/sejarah-three-lines-of-defense.html 2/5
11/14/2018 Menelusuri Sejarah Three Lines of Defense - klikharso

sebagai lini pertama, fungsi manajemen risiko sebagai lini kedua, dan fungsi audit sebagai lini ketiga. Bahasan tiga lini pertahanan tidak
mengalami perubahan pada versi nal pedoman ini yang terbit tahun 2011.

Model three lines of defense juga tidak lepas dari kisah penerapan manajemen risiko di sektor perbankan. Pada sektor ini, model three
lines of defense mulai dikenal dalam pedoman tentang prinsip pengelolaan risiko operasional perbankan yang diterbitkan oleh Komite
Basel. Pedoman tersebut berjudul Principles for the Sound Management of Operational Risk  yang diterbitkan pada Juni 2011 untuk
menggantikan pedoman sebelumnya yang terbit tahun 2003. Komite Basel sendiri adalah lembaga yang dibentuk oleh bank sentral
negara-negara G10 dan bertugas merumuskan standar dan pedoman pengawasan umum dan merekomendasikan praktik terbaik
dalam pengawasan perbankan. Dalam pedoman yang dibuat Komite Basel ini (BCBS, 2011), lini pertahanan untuk mengelola risiko
operasional bank terdiri dari tiga lapis yaitu: (1) business line management, (2) an independent corporate operational risk management
function dan (3) an independent review. Budaya risiko yang kuat dan komunikasi yang baik di antara tiga lapis pertahanan tersebut
menjadi ciri penting dari tata kelola risiko operasional yang baik.

Pada September 2010, dikenalkan pula model tiga lini pertahanan di benua Eropa oleh ECIIA/FERMA. Kedua organisasi tersebut
menerbitkan pedoman berjudul Guidance on the 8th EU Company Law Directive Article 41 Part 1. Lalu pada Desember 2011 disusul
dengan terbitnya Part 2 dari pedoman tersebut. Pedoman-pedoman ini diterbitkan untuk memberi petunjuk tata cara melaksanakan
pemantauan efektivitas manajemen risiko dan sistem pengendalian yang diamanatkan dalam undang-undang tentang perusahaan
yang beroperasi di wilayah Uni Eropa. Part 1 menjadi petunjuk bagi boards dan komite audit, sementara Part 2 ditujukan bagi para senior
management. Kedua pedoman tersebut menerangkan interaksi berbagai pihak dalam pemantauan manajemen risiko dan pengendalian
intern melalui mekanisme tiga lini pertahanan. Selanjutnya ECIIA/FERMA juga menganjurkan pemakaian model tiga lini pertahanan di
dalam pedoman tentang komite audit dan risiko yang mereka terbitkan pada tahun 2014. Dengan pedoman-pedomannya, ECIIA/FERMA
memperluas penggunaan model tiga lini pertahanan tidak semata pada sektor keuangan atau perbankan saja. Selain itu, pedoman
ECIIA/FERMA juga tidak secara khusus membatasi penggunaan model tiga lini pertahanan bagi tata kelola risiko operasional saja.

Langkah ECIIA/FERMA tersebut rupanya disambut baik oleh IIA. Pada Januari 2013, organisasi profesi auditor intern internasional ini
menerbitkan position paper berjudul The Three Lines of Defense in Effective Risk Management and Control. Secara terang position paper
tersebut menyatakan bahwa ia mengadaptasi model tiga lini pertahanan dari ECIIA/FERMA. Menurut IIA, governing bodies dan senior
management adalah pemangku kepentingan (stakeholder) utama model tiga lini pertahanan. Keduanya bertanggung jawab menetapkan

https://www.klikharso.com/2016/09/sejarah-three-lines-of-defense.html 3/5
11/14/2018 Menelusuri Sejarah Three Lines of Defense - klikharso

tujuan, menentukan strategi untuk mencapai tujuan tersebut, serta menetapkan struktur dan proses tata kelola terbaik dalam
mengelola risiko dalam pencapaian tujuan tersebut. Sementara itu, tiga lini pertahanan organisasi sendiri menurut IIA terdiri dari:

Lini pertama: fungsi yang memiliki dan mengelola risiko, yaitu manajer operasional.
Lini kedua: fungsi yang mengawasi risiko, yaitu seperti fungsi manajemen risiko, fungsi kepatuhan dan fungsi controllership.
Lini ketiga: fungsi yang memberi penilaian independen, yaitu fungsi audit intern.

IIA juga menyatakan bahwa seluruh lini tersebut harus ada di setiap organisasi, terlepas dari ukuran atau kompleksitasnya. Namun
demikian, dalam kondisi tertentu terutama bagi organisasi kecil, lini pertahanan tertentu dapat digabungkan.

Pada tahun 2015, COSO menganjurkan pemakaian model three lines of defense dalam rangka menerapkan kerangka kerja pengendalian
intern yang diterbitkannya pada tahun 2013. Anjuran tersebut terlihat dari publikasinya pada Juli 2015 berjudul Leveraging COSO Across
the Three Lines of Defense. Publikasi COSO ini sebenarnya merupakan hasil kolaborasi COSO dengan IIA sebagai salah satu organisasi
penopangnya. Dalam publikasi ini dijelaskan peran dari masing-masing lini pertahanan serta peran governing bodies dan senior
management terkait 17 prinsip pengendalian intern yang dikodi kasi dalam kerangka kerja COSO 2013.

Sejauh ini, terlihat bahwa model tiga lini pertahanan mulai berkembang dari sektor keuangan. Perbankan sebagai bagian dari sektor
tersebut menunjukkan perkembangan yang lebih intensif. Nampak pula bahwa perkembangan model tiga lini ini banyak dipengaruhi
oleh faktor regulatif. Selanjutnya model ini dibawa ke sektor yang lebih luas terutama oleh para profesional yang bergerak di bidang
manajemen risiko, pengendalian, dan audit intern.

Terlepas dari runtutan historis di atas, sebuah debat mengenai three lines of defense yang diunggah transkripnya pada tahun 2015 oleh
Risk Audit Professional Development mengungkap kisah yang lain. Menurut salah satu panelis, Richard Anderson, sebenarnya
model three lines of defense dibuat oleh seorang astro physicist bernama Angela Smith pada tahun 1999. Saat itu, Angela Smith masih
menjadi partner di KPMG yang menangani praktik konsultansi strategi dan risiko di sektor keuangan. Saya sendiri belum berhasil
menemukan dokumen pedoman yang dibuat Angela Smith sebagaimana dimaksud oleh Anderson. Namun menariknya, Anderson
mengungkapkan fakta tersebut untuk mengatakan bahwa model  three lines of defense  sebenarnya sudah usang dan merupakan
penyederhanaan konsep yang tidak relevan lagi dengan organisasi saat ini.

https://www.klikharso.com/2016/09/sejarah-three-lines-of-defense.html 4/5
11/14/2018 Menelusuri Sejarah Three Lines of Defense - klikharso

Selain Anderson, ternyata ada beberapa pihak yang juga kontra terhadap model three lines of defense ini, seperti Norman Marks, Tim
Leech, dan Lauren Hanlon.  Marks (2014) dalam blog pribadinya menyatakan, "Risk management is not about defense." Manajemen
risiko menurutnya adalah cara manajemen membuat keputusan berdasarkan informasi dan mengambil risiko yang tepat. Marks lebih
memilih kata "offense" daripada "defense". Dalam tulisan lainnya, ia secara tegas mengatakan, "The three lines of defense model is the
wrong model."  Tiga lini pertahanan adalah model yang salah.  Menurutnya model ini adalah konfrontatif dan tidak menunjukkan cara
kerja terbaik bagi manajer risiko.

Sementara itu Leech dan Hanlon (2016) langsung menawarkan model baru sebagai pengganti three lines of defense yang mereka sebut
ve lines of assurance. Perbedaannya mudah terlihat, yaitu dari penggunaan kata "assurance", bukan "defense". Dan tentu saja, pihak-
pihak yang diatur peran dan tanggung-jawabnya terkait manajemen risiko jadi lebih banyak. Lima lini! Saya tidak ingin memperpanjang
tulisan dengan penjelasan model baru ini, tapi hanya ingin meng-quote perkataan senior saya, “Begitulah selama konsep masih ciptaan
manusia!”

Referensi:
BCBS. (2011). Principles for the Sound Management of Operational Risk.
COSO. (2015). Leveraging COSO Across the Three Lines of Defense.
ECIIA/FERMA. (2010/2011). Guidance on the 8th EU Company Law Directive Article 41.
ECIIA/FERMA. (2014). Audit and Risk Committees News from EU Legislation and Best Practices.
FSA. (2003). Building a framework for operational risk management: the FSA’s observations.
FSA. (2010). Enhancing frameworks in the standardised approach to operational risk.
IIA. (2013). The Three Lines of Defense in Effective Risk Management and Control.
Leech, T. J. & Hanlon, L.C. (2016). Three Lines of Defense versus Five Lines of Assurance.
https://normanmarks.wordpress.com/

Suharso 
Penikmat kedamaian, kenyamanan, dan kemapanan. Juga pemerhati praktik governance, risk, control, audit, akuntansi, dan
manajemen sektor publik.

https://www.klikharso.com/2016/09/sejarah-three-lines-of-defense.html 5/5