Ditulis oleh: Heru Supriyanto, Kepala Seksi Verifikasi, Akuntansi, dan Kepatuhan Internal KPPN Tarakan
Semenjak berkencimpung di dunia per-UKI-an, saya tertarik dengan istilah The Three Lines of Defence (3LD), yang merupakan sistem pertahanan berlapis (tiga lini pertahanan) dari sisi manajerial maupun pengendalian internal sebagai implementasi manajemen risiko di Kementerian Keuangan melalui penerapan Enterprise Risk Management (ERM). Yang saya pahami, secara sederhana, 3LD membagi peran dan tanggung jawab manajemen risiko menjadi tiga lini.
Lini pertama (first line of defence) terdapat pada manajemen atau unit operasional, dari pimpinan sampai dengan pelaksana, yang melaksanakan proses bisnis sebagai risk owner. Lapisan kedua (second line of defence) dilakukan oleh pengelola risiko dan atau Unit Kepatuhan Internal (UKI) di setiap unit yang menjalankan fungsi kontroling dan monitoring, dan lini ketiga (third line of defence) dijalankan oleh Inspektorat Jenderal sebagai auditor internal Kementerian Keuangan. Strategi yang dibangun adalah jika lini pertama gagal, maka akan dideteksi oleh lini kedua, kemudian jika lini kedua juga gagal, maka akan dideteksi oleh lini ketiga. Begitulah kira-kira konsep 3LD di lingkungan Kementerian Keuangan yang saya pahami, silahkan kalau Saudara berpendapat lain.
Cikal bakal Three Lines of Defense
Penelusuran saya terkait 3LD kesasar sampai Inggris di tahun 2003, yakni pada policy statement yang diterbitkan otoritas pengawas sektor keuangan Inggris, Financial Services Authority (FSA), tahun 2003 dengan judul “Building a framework for operational risk management: the FSA’s observations” yang kalimatnya adalah “… where business line management provided the first line, risk functions the second line, and internal audit a third line (each of which reported into different executive management)”. Iya, menurut FSA, manajemen menjadi lini pertama, pengelola risiko sebagai lini kedua, dan audit internal sebagai lini ketiga.
Penelusuran berikutnya, membawa saya pada tahun 2010, tetap pada perkembangan 3LD oleh FSA. FSA mengeluarkan guidance consultation pada Oktober 2010 dengan judul Enhancing frameworks in the standardised approach to operational risk. FSA berpendapat bahwa penerapan model tiga lini pertahanan akan mendukung terciptanya budaya sadar risiko yang lebih baik, dengan pendekatan unit bisnis sebagai lini pertama, fungsi manajemen risiko sebagai lini kedua, dan fungsi audit sebagai lini ketiga. Pada tahun 2010 ini juga, saya terseret ke Belgia, tertambat pada Federation of European Risk Management Associations (FERMA) dan European Confederation of Institutes of Internal Auditing (ECIIA). FERMA dan ECIIA menerbitkan pedoman bagi auditor Uni Eropa yang berjudul Guidance on the 8th EU Company Law Directive Article 41, sebuah pedoman tata cara pemantauan efektivitas manajemen risiko dan sistem pengendalian bagi perusahaan yang beroperasi di wilayah Uni Eropa, yaitu pemantauan manajemen risiko dan pengendalian intern melalui mekanisme tiga lini pertahanan yang tidak terbatas pada sektor keuangan atau perbankan saja.
Selanjutnya, saya berlabuh di Swiss pada tahun 2011 pada Komite Bassel. FYI, Komite Basel adalah lembaga yang dibentuk oleh negara-negara G10 yang bertugas merumuskan standar pengawasan umum perbankan yang berkantor di Basel, Swiss. Komite Basel mengeluarkan pedoman pengelolaan risiko perbankan dengan judul “Principles for the Sound Management of Operational Risk. Menurut pedoman tersebut, lini pertahanan untuk mengelola risiko operasional bank terdiri dari tiga lapis yaitu business line management sebagai lini pertama, an independent corporate operational risk management function sebagai lini kedua, dan an independent review sebagai lini ketiga.
Tahun 2013, saya terlempar ke Florida, Amerika Serikat, dimana organisasi profesi internal auditor internasional (Institute of Internal Auditors, IIA) bermarkas. IIA menerbitkan position paper berjudul The Three Lines of Defense in Effective Risk Management and Control yang merupakan adaptasi dari model tiga lini pertahanan yang dicetuskan oleh FERMA dan ECIIA. Menurut IIA, lini pertama adalah fungsi yang memiliki dan mengelola risiko, yaitu manajer operasional. Lini kedua adalah fungsi yang mengawasi risiko, yaitu seperti fungsi manajemen risiko, fungsi kepatuhan dan fungsi controllership. Lini ketiga adalah fungsi yang memberi penilaian independen, yaitu fungsi audit intern.
Masih di Amerika Serikat, pada bulan Juli 2015 saya mencoba ke COSO (The Committee of Sponsoring Organizations of the Treadway Commission) yang bermarkas di New York. Berkolaborasi dengan IIA, COSO menerbitkan publikasi yang berjudul Leveraging COSO Across the Three Lines of Defense. Dalam publikasi ini dijelaskan peran dari masing-masing lini pertahanan terkait prinsip pengendalian intern yang divisualisasikan dalam bentuk kubus seperti dibawah ini:
Gambar kubus COSO tersebut menggambarkan keterkaitan erat antara tujuan, komponen, dan struktur organisasi tempat diterapkannya pengendalian intern, sisi atas mencerminkan tujuan, sisi muka mencerminkan komponen, dan sisi samping mencerminkan ruang lingkup penerapan pengendalian intern.
Kontra terhadap 3LD
Masih penasaran, kok hanya yang pro terhadap konsep 3LD, sebagai pembanding, yang kontra mana ?. akhirnya saya balik ke Juli 2020. Kali ini saya menggunakan om gogel, dari pada menggunakan OBE. OBE ?... yang penasaran silahkan gogling di yahu dengan keyword OBE, INCEPTION, LUCID DREAM. Many, many minutes later, akhirnya saya berhasil mendapat artikel yang kelihatannya matching dengan tujuan saya, klik https://normanmarks.wordpress.com/. Dari sekian banyak argumentasi dari Marks, yang saya garisbawahi adalah pernyataan “Risk management is no longer only about “defense,” protecting rather than creating value. It’s about achieving objectives and that requires both creation and protection of value”. Ada juga yang menawarkan model baru pengganti 3LD, yaitu five lines of assurance yang dicetuskan oleh Tim Leech dan Lauren Hanlon dalam bukunya “Three Lines of Defense versus Five Lines of Assurance”. Pendapat Marks, Leech, dan Hanlon tersebut masuk juga ke alam bawah sadar saya. Akhirnya, sebagai jalan tengah, saya harus menemui Guru(Bapak(Rekan)) saya di Kantor Pusat DJPb. Melalui OBE, saya menemui Pakde Cipto yang lagi ngopi di Kantin Perbendaharaan. Dan saya pun bertanya, “Pakde, kok konsep 3LD berbeda-beda ya, bahkan ada juga yang kontra, pripun menurut njenengan ?”. Dijawab Pakde “ Mas, selama itu konsep buatan manusia, tidak ada yang absolut, semua nisbi”. Dan saya pun langsung menimpali “Leres Pakde !”.
Usulan
Konsep pengelolaan risiko, terutama The Three Lines of Defence, memang selalu menarik untuk dibahas, karena selalu berkembang sesuai perubahan organisasi. Terkait hal ini, saya tertarik pada perubahan definisi risiko pada KMK Nomor 577/KMK.01/2019, dimana risiko didefinisikan menjadi lebih luas, dengan mencakup risiko yang bermakna positif. Risiko positif (upside risk) dapat disebut sebagai peluang (opportunity). Peluang merupakan hal-hal yang dapat mendukung atau mengakselerasi pencapaian tujuan organisasi. Sebelumnya pada KMK Nomor 845/KMK.01/2016, risiko didefinisikan hanya pada sesuatu hal yang negatif. Berdasarkan perluasan definisi risiko sesuai KMK Nomor 577/KMK.01/2019, dan argumentasi bahwa manajemen risiko tidak hanya sekedar “defence” melainkan harus bisa “creating value”, bagaimana jika konsep lini pertahanan kita diperluas menjadi Three Lines of Offence ?. Bukankah bertahan yang baik adalah menyerang ?.
~e.o.f~
Referensi:
BCBS. (2011). Principles for the Sound Management of Operational Risk.
ECIIA/FERMA. (2010/2011). Guidance on the 8th EU Company Law Directive Article 41.
FSA. (2003). Building a framework for operational risk management: the FSA’s observations.
FSA. (2010). Enhancing frameworks in the standardised approach to operational risk.
https://normanmarks.wordpress.com/
https://www.klikharso.com/2016/09/sejarah-three-lines-of-defense.html
IIA. (2013). The Three Lines of Defense in Effective Risk Management and Control.
Leech, T. J. & Hanlon, L.C. (2016). Three Lines of Defense versus Five Lines of Assurance.
