Belakangan ini saya sering terpapar oleh konsep baru bagi saya yang disebut three lines of defense, terutama sejak IIA menerbitkan tulisan berjudul The three lines of defense in effective risk management and control. Model ini berkaitan dengan pembagian peran dan tanggung jawab penerapan manajemen risiko dan pengendalian intern dalam organisasi.
Secara sederhana, model three lines of defense atau tiga lini pertahanan membagi peran dan tanggung jawab manajemen risiko dan pengendalian menjadi tiga lini atau lapisan di dalam suatu organisasi. Lini pertama adalah pihak yang menjadi inti dan penanggung jawab utama operasi yang harus menjalankan tugasnya dengan memperhatikan risiko, pengendalian, regulasi, dan lingkungan. Lini kedua adalah fungsi yang memantau dan menjaga kepatuhan serta memberi masukan kepada lini pertama. Dan lini ketiga adalah fungsi audit intern yang mengecek dan menilai secara objektif lalu memberi umpan balik agar lini pertama dan kedua berfungsi sebagaimana mestinya. Pola yang hendak dibangun adalah, ketika lini pertama gagal maka diharapkan akan dideteksi atau di-back up oleh lini kedua, lalu jika lini kedua juga gagal maka akan dideteksi oleh lini ketiga.
Saya jadi tertarik menelusuri sejarah munculnya model three lines of defense ini. Apakah ia benar-benar model baru atau sesungguhnya barang yang sudah lama? Pilihan kata “menelusuri” bukan tanpa alasan. Saya belum berhasil menemukan sejarah resmi model tersebut, bahkan siapa orang yang benar-benar mencetuskan idenya pun belum bisa saya pastikan. Saya coba mencari-cari penggalan informasi yang berserak lalu saya lihat sambungan-sambungannya sesuai urutan waktu.
Yah, tidak mudah memang! Karena itu saya tidak menjamin bahwa yang saya ulas telah mengungkap semua cerita yang berperan penting dalam memunculkan model three lines of defense ini. Yang pasti, ini adalah hasil penelusuran maksimal saya. Anda boleh mencari lagi pelengkapnya.
Ada yang menyebut bahwa cikal bakal model three lines of defense berasal dari otoritas pengawas sektor keuangan di Inggris atau Financial Services Authority (FSA). Dalam policy statement yang diterbitkan FSA tahun 2003–Building a framework for operational risk management: the FSA’s observations–memang telah disinggung sedikit mengenai tiga lini pertahanan sebagai contoh bentuk pemisahan tugas dalam kegiatan pengendalian. Beginilah bunyi kalimatnya:
An important consideration for some firms in deciding the reporting line was the role and resourcing of this central OR function in their governance structure (in particular to establish appropriate segregation of duties between control activities). For example, a number of firms had adopted a ‘three lines of defence’ approach, where business line management provided the first line, risk functions the second line, and internal audit a third line (each of which reported into different executive management).
Selanjutnya model tiga lini pertahanan dibahas lebih banyak dalam guidance consultation yang dikeluarkan FSA pada Oktober 2010 berjudul Enhancing frameworks in the standardised approach to operational risk. Pedoman ini menyebutkan bahwa penerapan model tiga lini pertahanan di dalam tata kelola risiko operasional dan struktur manajemen risiko akan mendukung terciptanya budaya risiko serta pemahaman, komunikasi, dan kesadaran risiko yang lebih baik. Adapun pendekatan umum yang dipakai adalah: unit bisnis sebagai lini pertama, fungsi manajemen risiko sebagai lini kedua, dan fungsi audit sebagai lini ketiga. Bahasan tiga lini pertahanan tidak mengalami perubahan pada versi final pedoman ini yang terbit tahun 2011.
Model three lines of defense juga tidak lepas dari kisah penerapan manajemen risiko di sektor perbankan. Pada sektor ini, model three lines of defense mulai dikenal dalam pedoman tentang prinsip pengelolaan risiko operasional perbankan yang diterbitkan oleh Komite Basel. Pedoman tersebut berjudul Principles for the Sound Management of Operational Risk yang diterbitkan pada Juni 2011 untuk menggantikan pedoman sebelumnya yang terbit tahun 2003. Komite Basel sendiri adalah lembaga yang dibentuk oleh bank sentral negara-negara G10 dan bertugas merumuskan standar dan pedoman pengawasan umum dan merekomendasikan praktik terbaik dalam pengawasan perbankan. Dalam pedoman yang dibuat Komite Basel ini (BCBS, 2011), lini pertahanan untuk mengelola risiko operasional bank terdiri dari tiga lapis yaitu: (1) business line management, (2) an independent corporate operational risk management function dan (3) an independent review. Budaya risiko yang kuat dan komunikasi yang baik di antara tiga lapis pertahanan tersebut menjadi ciri penting dari tata kelola risiko operasional yang baik.
Pada September 2010, dikenalkan pula model tiga lini pertahanan di benua Eropa oleh ECIIA/FERMA. Kedua organisasi tersebut menerbitkan pedoman berjudul Guidance on the 8th EU Company Law Directive Article 41 Part 1. Lalu pada Desember 2011 disusul dengan terbitnya Part 2 dari pedoman tersebut. Pedoman-pedoman ini diterbitkan untuk memberi petunjuk tata cara melaksanakan pemantauan efektivitas manajemen risiko dan sistem pengendalian yang diamanatkan dalam undang-undang tentang perusahaan yang beroperasi di wilayah Uni Eropa. Part 1 menjadi petunjuk bagi boards dan komite audit, sementara Part 2 ditujukan bagi para senior management. Kedua pedoman tersebut menerangkan interaksi berbagai pihak dalam pemantauan manajemen risiko dan pengendalian intern melalui mekanisme tiga lini pertahanan. Selanjutnya ECIIA/FERMA juga menganjurkan pemakaian model tiga lini pertahanan di dalam pedoman tentang komite audit dan risiko yang mereka terbitkan pada tahun 2014. Dengan pedoman-pedomannya, ECIIA/FERMA memperluas penggunaan model tiga lini pertahanan tidak semata pada sektor keuangan atau perbankan saja. Selain itu, pedoman ECIIA/FERMA juga tidak secara khusus membatasi penggunaan model tiga lini pertahanan bagi tata kelola risiko operasional saja.
Langkah ECIIA/FERMA tersebut rupanya disambut baik oleh IIA. Pada Januari 2013, organisasi profesi auditor intern internasional ini menerbitkan position paper berjudul The Three Lines of Defense in Effective Risk Management and Control. Secara terang position paper tersebut menyatakan bahwa ia mengadaptasi model tiga lini pertahanan dari ECIIA/FERMA. Menurut IIA, governing bodies dan senior management adalah pemangku kepentingan (stakeholder) utama model tiga lini pertahanan. Keduanya bertanggung jawab menetapkan tujuan, menentukan strategi untuk mencapai tujuan tersebut, serta menetapkan struktur dan proses tata kelola terbaik dalam mengelola risiko dalam pencapaian tujuan tersebut. Sementara itu, tiga lini pertahanan organisasi sendiri menurut IIA terdiri dari:
- Lini pertama: fungsi yang memiliki dan mengelola risiko, yaitu manajer operasional.
- Lini kedua: fungsi yang mengawasi risiko, yaitu seperti fungsi manajemen risiko, fungsi kepatuhan dan fungsi controllership.
- Lini ketiga: fungsi yang memberi penilaian independen, yaitu fungsi audit intern.
IIA juga menyatakan bahwa seluruh lini tersebut harus ada di setiap organisasi, terlepas dari ukuran atau kompleksitasnya. Namun demikian, dalam kondisi tertentu terutama bagi organisasi kecil, lini pertahanan tertentu dapat digabungkan.
Pada tahun 2015, COSO menganjurkan pemakaian model three lines of defense dalam rangka menerapkan kerangka kerja pengendalian intern yang diterbitkannya pada tahun 2013. Anjuran tersebut terlihat dari publikasinya pada Juli 2015 berjudul Leveraging COSO Across the Three Lines of Defense. Publikasi COSO ini sebenarnya merupakan hasil kolaborasi COSO dengan IIA sebagai salah satu organisasi penopangnya. Dalam publikasi ini dijelaskan peran dari masing-masing lini pertahanan serta peran governing bodies dan senior management terkait 17 prinsip pengendalian intern yang dikodifikasi dalam kerangka kerja COSO 2013.
Sejauh ini, terlihat bahwa model tiga lini pertahanan mulai berkembang dari sektor keuangan. Perbankan sebagai bagian dari sektor tersebut menunjukkan perkembangan yang lebih intensif. Nampak pula bahwa perkembangan model tiga lini ini banyak dipengaruhi oleh faktor regulatif. Selanjutnya model ini dibawa ke sektor yang lebih luas terutama oleh para profesional yang bergerak di bidang manajemen risiko, pengendalian, dan audit intern.
Terlepas dari runtutan historis di atas, sebuah debat mengenai three lines of defense yang diunggah transkripnya pada tahun 2015 oleh Risk Audit Professional Development mengungkap kisah yang lain. Menurut salah satu panelis, Richard Anderson, sebenarnya model three lines of defense dibuat oleh seorang astro physicist bernama Angela Smith pada tahun 1999. Saat itu, Angela Smith masih menjadi partner di KPMG yang menangani praktik konsultansi strategi dan risiko di sektor keuangan. Saya sendiri belum berhasil menemukan dokumen pedoman yang dibuat Angela Smith sebagaimana dimaksud oleh Anderson. Namun menariknya, Anderson mengungkapkan fakta tersebut untuk mengatakan bahwa model three lines of defense sebenarnya sudah usang dan merupakan penyederhanaan konsep yang tidak relevan lagi dengan organisasi saat ini.
Selain Anderson, ternyata ada beberapa pihak yang juga kontra terhadap model three lines of defense ini, seperti Norman Marks, Tim Leech, dan Lauren Hanlon. Marks (2014) dalam blog pribadinya menyatakan, "Risk management is not about defense." Manajemen risiko menurutnya adalah cara manajemen membuat keputusan berdasarkan informasi dan mengambil risiko yang tepat. Marks lebih memilih kata "offense" daripada "defense". Dalam tulisan lainnya, ia secara tegas mengatakan, "The three lines of defense model is the wrong model." Tiga lini pertahanan adalah model yang salah. Menurutnya model ini adalah konfrontatif dan tidak menunjukkan cara kerja terbaik bagi manajer risiko.
Sementara itu Leech dan Hanlon (2016) langsung menawarkan model baru sebagai pengganti three lines of defense yang mereka sebut five lines of assurance. Perbedaannya mudah terlihat, yaitu dari penggunaan kata "assurance", bukan "defense". Dan tentu saja, pihak-pihak yang diatur peran dan tanggung-jawabnya terkait manajemen risiko jadi lebih banyak. Lima lini! Saya tidak ingin memperpanjang tulisan dengan penjelasan model baru ini, tapi hanya ingin meng-quote perkataan senior saya, “Begitulah selama konsep masih ciptaan manusia!” (hrs)
Referensi:- BCBS. (2011). Principles for the Sound Management of Operational Risk.
- COSO. (2015). Leveraging COSO Across the Three Lines of Defense.
- ECIIA/FERMA. (2010/2011). Guidance on the 8th EU Company Law Directive Article 41.
- ECIIA/FERMA. (2014). Audit and Risk Committees News from EU Legislation and Best Practices.
- FSA. (2003). Building a framework for operational risk management: the FSA’s observations.
- FSA. (2010). Enhancing frameworks in the standardised approach to operational risk.
- IIA. (2013). The Three Lines of Defense in Effective Risk Management and Control.
- Leech, T. J. & Hanlon, L.C. (2016). Three Lines of Defense versus Five Lines of Assurance.
- https://normanmarks.wordpress.com/
Comments