PERTAHANAN 3 LAPIS (THE 3 LINES OF DEFENCE) – KONTEKS ERM

PERUSAHAAN PUBLIK DI INDONESIA

Pendekatan “Three Lines of Defence” atau Pertahanan Tiga Lapis semakin banyak diadopsi oleh
berbagai organisasi dalam rangka membangun kapabilitas manajemen risiko di seluruh jajaran
dan proses bisnis organisasi yang sering dikenal sebagai Enterprise Risk Management (ERM).
Pendekatan ini sering disingkat sebagai model 3LD (Three lines of defence). Model 3LD
membedakan antara fungsi-fungsi bisnis sebagai fungsi-fungsi pemilik risiko (owning risks/risk
owner) terhadap fungsi-fungsi yang menangani risiko (managing risks), dan antara fungsi-
fungsi yang mengawasi risiko (overseeing risks) dengan fungsi-fungsi yang menyediakan
pemastian independen (independent assurance). Kesemua fungsi tersebut memainkan peran
penting dalam platform Enterprise Risk Management (ERM) baik untuk organisasi korporasi
perbankan atau sektor riil, maupun organisasi-organisasi pemerintahan. Untuk bahasan
selanjutnya, tulisan ini akan merujuk pada model 3LD di organisasi korporasi atau perusahaan
non-perbankan.

Model 3LD adalah model pertahanan internal organisasi perusahaan yang secara sederhana
dapat diringkas sebagai berikut:

1. Pertahanan lapis pertama:

Pertahanan lapis pertama dilaksanakan oleh unit atau komponen atau fungsi bisnis yang
melakukan aktivitas operasional perusahaan sehari-hari, terutama yang merupakan garis
depan atau ujung tombak organisasi. Dalam hal ini mereka diharapkan untuk:

 Memastikan adanya lingkungan pengendalian (control environment) yang kondusif di

unit bisnis mereka.
 Menerapkan kebijakan manajemen risiko yang telah ditetapkan sewaktu menjalankan
peran dan tanggung jawab mereka terutama dalam mengejar pertumbuhan perusahaan.
Mereka diharapkan secara penuh kesadaran mempertimbangkan faktor risiko dalam
keputusan-keputusan dan tindakan-tindakan yang dilakukannya.
 Mampu menunjukkan adanya pengendalian internal yang efektif di unit bisnis mereka,
dan juga adanya pemantauan dan transparansi terhadap efektifitas pengendalian
internal tersebut
2. Pertahanan lapis kedua

Pertahanan lapis kedua dilaksanakan oleh fungsi-fungsi manajemen risiko dan kepatuhan,
terutama fungsi-fungsi manajemen risiko dan kepatuhan yang sudah terstruktur misal:
departemen atau unit manajemen risiko dan kepatuhan. Dalam hal ini, mereka diharapkan
untuk:

 Bertanggung jawab dalam mengembangkan dan memantau implementasi manajemen

risiko perusahaan secara keseluruhan.
 Melakukan pengawasan terhadap bagaimana fungsi bisnis dilaksanakan dalam koridor
kebijakan manajemen risiko dan prosedur-prosedur standard operasionalnya yang
telah ditetapkan oleh perusahaan.
 Memantau dan melaporkan risiko-risiko perusahaan secara menyeluruh kepada organ
yang memiliki akuntabilitas tertinggi di perusahaan.

3. Pertahanan lapis ketiga

Pertahanan lapis ketiga dilaksanakan oleh auditor baik auditor internal maupun auditor
eksternal. Peran auditor internal jauh lebih intens dalam model 3LD ini karena mereka adalah
bagian internal perusahaan yang bersifat independen terhadap fungsi-fungsi lainnya. Dalam
hal ini, auditor internal diharapkan untuk:

 Melakukan reviu dan evaluasi terhadap rancang bangun dan implementasi manajemen
risiko secara keseluruhan, dan
 Memastikan bahwa pertahanan lapis pertama dan lapis kedua berjalan sesuai dengan
yang diharapkan.

Untuk perusahaan publik di Indonesia, konteks penerapan model 3LD harus dilihat dari
kacamata bentuk struktur governance di Indonesia yang menganut ‘two-board system’ yaitu
keberadaan direksi perusahaan yang memiliki akuntabilitas eksekutif (executive
accountability) dan dewan komisaris yang memiliki akuntabilitas pengawasan (oversight
accountability). Sejalan dengan peraturan Bapepam, direksi memiliki unit audit internal
sebagai bagian dari pengendalian perusahaan dan dewan komisaris memiliki komite audit
sebagai bagian dari mekanisme pelaksanaan akuntabilitas mereka. Dalam konteks tersebut, di
bawah ini adalah ilustrasi gambaran umum model Pertahanan Tiga Lapis untuk perusahaan
publik di Indonesia:

Gambar di atas menunjukkan bahwa ketiga lapis pertahanan berada di bawah akuntabilitas
dan koordinasi langsung direksi perusahaan (ditunjukkan dengan tanda panah solid),
sedangkan dewan komisaris – melalui komite audit mereka – memiliki akuntabilitas tidak
langsung (ditunjukkan dengan tanda panah terputus-putus) terhadap pertahanan lapis ketiga.
Walaupun dewan komisaris hanya memiliki koordinasi dengan auditor internal dan eksternal
untuk pertahanan lapis ketiga, mereka juga sebenarnya secara tidak langsung terlibat dalam
pemantauan efektifitas pertahanan lapis kedua melalui hasil reviu auditor internal tentang
efektifitas kebijakan dan implementasi manajemen risiko di perusahaan mereka secara
menyeluruh.

Walaupun tidak diharuskan oleh Bapepam, dewan komisaris di beberapa perusahaan publik
juga memiliki komite pemantau risiko di samping komite audit. Bagi perusahaan-perusahaan
tersebut, akuntabilitas pertahanan lapis kedua secara lebih eksplisit juga menjadi bagian dari
akuntabilitas tidak langsung dewan komisaris perusahaan, sebagaimana diilustrasikan dalam
gambar di bawah ini:
Gambar di atas memperlihatkan bahwa akuntabilitas langsung untuk ketiga lapis pertahanan
ada di direksi perusahaan (ditunjukkan dengan tanda panah solid), sementara akuntabilitas
dewan komisaris bersifat tidak langsung (ditunjukkan dengan tanda panah terputus-putus)
dan terkait hanya pada lapis kedua dan ketiga dari pertahanan tersebut.

Walaupun dewan komisaris – melalui komite audit dan komite pemantau risiko – hanya
memiliki koordinasi dengan auditor internal dan eksternal untuk pertahanan lapis ketiga, dan

koordinasi dengan departemen atau unit manajemen risiko untuk pertahanan lapis kedua,
mereka juga sebenarnya secara tidak langsung dapat terlibat dalam pemantauan efektifitas
pertahanan lapis pertama melalui laporan-laporan dari departemen atau unit manajemen
risiko tersebut kepada komite pemantau risiko.

Bagi beberapa orang, penerapan model 3LD ini diyakini akan membuat daya
tahan (resilience) perusahaan terhadap risiko-risiko yang dihadapi akan jauh lebih kuat –
terutama bagi perusahaan publik yang memiliki komite audit dan komite pemantau risiko –
dibanding perusahaan yang tidak menerapkannya. Oleh karena itu, sering dikatakan bahwa
kematangan dan efektifitas penerapan Enterprise Risk Management (ERM) di perusahaan akan
tercermin dari efektifitas penerapan model 3LD ini. Semakin matang model ini diterapkan,
semakin intens terciptanya suatu budaya manajemen risiko yang terpadu di seluruh proses
dan seluruh lini perusahaan, menuju suatu tingkat daya tahan organisasi (organizational
resilience) yang kokoh dan menyeluruh.