Joko Yunianto*
M Taufik Daryono**
Sebagaimana kita ketahui bahwa The Three Musketers adalah sebuah judul film yang
sempat duduk di box office pada sekitar tahun 2011. Film tersebut mengisahkan 3
petarung ahli yaitu Athos, Porhtos dan Arams yang bahu membahu untuk mencapai tujuan
menyelematkan Kerajaan Prancis dari kehancuran. Kemudian apa hubungannnya dengan
The Three Lines of Defences. Konsep The Three lines of defence merupakan konsep
manajemen pengelolaan risiko sebuah organisasi. Mengelola risiko organisasi layaknya
menghadapi lawan dalam pertandingan sepak bola, formasi lini pertahanan tim dibagi
menjadi tiga, yaitu barisan depan sebagai penyerang, barisan tengah sebagai
penghubung, dan barisan belakang sebagai pemain bertahan. Masing- masing pemain
akan melakukan tugas sesuai posisinya dan bekerja sama dengan pemain lain untuk
mencapai tujuan yaitu memenangkan pertandingan. Demikian juga dalam sebuah
organisasi, untuk mencapai tujuan organisasi diperlukan sebuah struktur pengelolaan
risiko. Secara Sederhana , model three lines of defences atau tiga lini pertahanan
membagi peran dan tanggung jawab manajemen risiko dan pengendalian menjadi tiga lini.
Dalam tulisan berikut, akan diuraikan pihak erkait di masing- masing lini dan peran masing-
masing lini. Termasuk juga akan dikupas lebih lanjut berada dilini manakah Inspektorat
Jenderal selaku Aparat Pengawas Internal Pemerintah (APIP). Dan tak kalah penting juga
dibahas adalah yang akan diuraikan adalah tentang risiko, karena eksistensi tiga lini
pertahanan tidak terlepas dari pengelolaan risiko.
Pendahuluan
Seiring berjalannya waktu, dunia mengalami perubahan. Semua yang ada di dunia
ini berubah kecuali satu yaitu perubahan itu sendiri. Perubahan lingkungan baik
internal maupun ekstenal organisasi merupakan suatu keniscayaan yang akan
terjadi pada sektor publik. Perubahan itu dapat mempengaruhi pencapaian tujuan
dalam menciptakan nilai bagi para stakeholder suatu entitas. Perubahan, yang di
antaranya berupa peningkatan kapabilitas entitas, memunculkan ketidakpastian.
Ketidakpastian mengakibatkan risiko yang berpotensi dapat merugikan maupun
peluang yang berpotensi memberi keuntungan. Risiko sering dinyatakan dalam
bentuk kombinasi dampak dan kemungkinan terjadinya suatu peristiwa atau
perubahan situasi/lingkungan terhadap tujuan (ISO 31000 Principles and
Guidelines). Jadi risiko dapat diidentifikasi dari 3 aspeknya yaitu Risiko adalah
kejadian/peristiwa (event)., Risiko memiliki kemungkinan untuk terjadi (probability)
dan Risiko berpengaruh terhadap pencapaian tujuan (effect on objectives).
Model 3LD
Pendekatan The Three Lines of Defences selanjutnya dikenal dengan istilah 3LD
semakin banyak diadopsi oleh berbagai organisasi dalam rangka membangun
kapabilitas manajemen risiko dis eluruh jajaran dan proses bisnis organisasi yang
sering dikenal Enterprise Risk Mangement. Model 3LD membedakan antara fungsi
bisnis sebagai fungsi -fungsi pemilik risiko (risk owner) terhadap fungsi-fungsi yang
menangani risiko, dana antara fungsi-fungsi yang mengawasai risiko dengan
fungsi-fungsi yang menyediakan independent assurance. Kesemua fugsi tersebut
memainkan peran penting dalam platform ERM . Model tiga lapis pertahanan
(three lines of defense) membagi fungsi-fungsi di dalam organisasi yang terlibat di
dalam manajemen risiko menjadi tiga kelompok atau lapis. Ketiga lapis tersebut
adalah pemilik risiko (risk owner), pengawas risiko (risk overseer), dan penyedia
pemastian independen (independent assurance provider). Di samping itu,
organisasi dapat pula melibatkan pihak eksternal sebagai lapis tambahan.
First Layer
Lapisan pertahanan pertama (first line of defence) adalah manajer operasi yang
memiliki dan mengelola risiko. Mereka bertanggung jawab untuk menerapkan
pengendalian internal dan pengelolaan risiko dalam pekerjaan sehari-hari. Mereka
pun bertugas untuk melakukan tindakan korektif dalam mengatasi kelemahan pada
proses dan pengendalian. Lapisan pertahanan pertama (first line of defence)
terletak pada manajemen atau unit yang melaksanakan proses bisnis. Lapis
pertahanan pertama dilaksanakan oleh unit atau komponen atau fungsi bisnis yang
melakukan aktifitas operasional perusahaan sehari-hari, terutama yang merupakan
gais depan atau ujung tombak organisasi. Dalam hal ini mereka diharapkan untuk :
a. Memastikan adanya lingkungan pengendalian yang kondusif di unit bisnis
mereka
Second Layer
Third Layer
Sedangkan lapisan pertahanan ketiga (third line of defence) dilakukan melalui
fungsi audit internal. Dengan dilaksanakannya fungsi ini, diharapkan quality
assurance pengelolaan risiko di organisasi terus meningkat dan memberikan
manfaat yang optimal bagi organisasi dalam mencapai sasaran dalam
mewujudkan visi dan misinya. Lapis pertahanan ketiga adalah audit internal yang
memberikan pemastian (assurance) independen terhadap tata kelola, manajemen
risiko, dan pengendalian internal. Mereka bertugas juga untuk memastikan lapis
pertama dan kedua berhasil mencapai sasaran manajemen risiko dan
pengendalian yang telah ditetapkan. Lapis pertahanan ketiga dilaksnakan oleh
auditor internal.
All three lines should exist in some form at every organization, regardless of size or
complexity. Risk management normally is strongest when there are three separate
and clearly identified lines of defense. However, in exceptional situations that
develop, especially in small organizations, certain lines of defense may be
combined. For example, there are instances where internal audit has been
requested to establish and/or manage the organization’s risk management or
compliance activities. In these situations, internal audit should communicate clearly
to the governing body and senior management the impact of the combination. If
dual responsibilities are assigned to a sin- gle person or department, it would be
appropriate to consider separating the responsibility for these functions at a later
time to establish the three lines. Ketiga lapis pertahanan harus ada dalam bentuk
tertentu di dalam suatu organisasi. Idealnya, tiap lapis tersebut dilakukan oleh unit
yang terpisah dan terdefinisikan dengan jelas. Namun, misalnya dalam organisasi
yang kecil, beberapa lapis dapat digabungkan. Misalnya, fungsi audit internal dapat
merangkap melakukan fungsi manajemen risiko dan kepatuhan.
Fungsi dari first layer dijalankan oleh setiap unit pemilik peta strategi yang
merupakan risk owner, yang wajib mengelola seluruh risiko yang berpotensi
menghambat pencapaian strategi unit. Fungsi dari second layer dijalankan oleh
Satgas SPIP. Sekalipun apabila disandingkan dengan sector korporasi, mereka
memliki satu divisi khusus yaitu divisi Manjemen Risiko. Ataupun kalau kita
berkiblat padabest practices di Kementeriaan lain misalnya Kemenkeu dinamakan
sebagai Unit Kepatuhan Internal (UKI). Apabila kita kembali pada model 3LD untuk
lini pertahanan kedua di organisasi Kementerian LHK direpresentasikan dalam
bentuk ideal misalnya adanya sebuah komite audit. Selanjutnya untuk fungsi dari
third layer dijalankan oleh Inspektorat Jenderal, yag melakukan internal monitoring
dan penjaminan akuntabilitas organisasi. Dalam hal ini Itjen diharapkan untuk
melakukan reviu dan evaluasi terhadap rancang bangun dan implementasi
manajemen risiko secara keseluruhan serta memastikan bahwa lapis pertahanan
pertama dan lapis kedua berjalan sesuai dengan yang diharapkan. Dalam konteks
untuk memastikan lapis pertahanan pertama dan dan lapis pertahanan, paktik yang
sudah dilakukan oleh Itjen adalah dengan melakukan reviu desain
penyelenggaraan SPIP (tambahkan intisari dari perirjen reviu desain SPIP)
Penutup
Daftar Pustaka
Institute of Internal Auditors. (2013), The Three Lines of Defense in Effective Risk
Management and Control
………, Handout Materi Diklat QIA Tingkat Lanjutan dengan judul Manajemen
Risiko Organisasi