Telah dimuat di wartaekonomi.co.id tgl 31 Mei 2020
Bagi-bagi tugas pertahanan
Model ‘Tiga Lini Pertahanan’ (three lines of defense) telah diterapkan luas sebagai model yang sangat membantu memperjelas peran dan tanggungjawab dalam menjalankan pengendalian dan pengelolaan risiko organisasi. Sesuai namanya, model ini membagi tiga lini dalam pengelolaan risiko dan pengendalian, yakni manajemen operasional (1st line), fungsi-fungsi pemantauan risiko (2nd line), dan fungsi audit internal (3rd line).
Manajemen operasional, sebagai lini pertama, adalah pemilik dan pengelola risiko dan pengendalian. Manajemen operasional mencakup manajemen pada fungsi-fungsi inti, misalnya fungsi logistik, produksi, pemasaran, penjualan, dan pelayanan; maupun fungsi-fungsi pendukung, misalnya fungsi human capital, accounting, dan umum (general affairs).
Manajemen operasional bertanggungjawab untuk menjalankan kegiatan dan mencapai tujuan organisasi. Mereka adalah pemilik dari semua risiko dari kegiatan tersebut dan berkewajiban untuk mengelolanya (own and manage risks).
Manajemen operasional memiliki dan mengelola berbagai jenis risiko yang terkait, bisa berupa risiko kesehatan dan keselamatan kerja, risiko produksi, risiko kualitas, risiko keuangan, risiko kecurangan (fraud), risiko kepatuhan (compliance), dan sebagainya.
Lini kedua, fungsi-fungsi pemantauan atau asurans, melakukan pemantauan, penelahaan, dan koordinasi terhadap pengelolaan risiko sesuai dengan spesialisasi masing-masing. Lini kedua ini misalnya adalah fungsi-fungsi kepatuhan, manajemen risiko, pengendalian anggaran, manajemen kualitas, kesehatan dan keselamatan kerja, anti-fraud, dan IT security.
Lini kedua merupakan bagian dari manajemen, tetapi memiliki independensi terhadap manajemen operasional (limited independent). Oleh karenanya, lini kedua juga memberikan challenge terhadap pengelolaan risiko dan pengendalian oleh lini pertama. Lini kedua pada umumnya juga memberikan pedoman, sistem, pelatihan, dan internaliasi pada manajemen operasional.
Lini ketiga, fungsi audit internal, memberikan asurans yang independen atas keseluruhan pengelolaan risiko dan pengendalian dalam organisasi. Lini pertama dan lini kedua bertanggungjawab hanya kepada senior management (jajaran direksi dan pimpinan organisasi lainnya). Audit internal melapor dan bertanggungjawab kepada senior management dan governing body (komisaris, dewan pengawas, atau komite audit). Figure-1 menjelaskan model three lines of defense.
Agar tak lekang dimakan waktu
Model three lines of defense (3LoD) mulai diterapkan sekitar 20 tahun yang lalu pada sektor jasa keuangan di Inggris. Pada tahun 2010, model ini diperkenalkan dalam Guidance on the 8th EU Company Law Directive – article 41 yang diterbitkan oleh ECIIA (European Confederation of Institute of Internal Auditors) dan FERMA (Federation of European Risk Management Associations) – dua konfederasi dari asosiasi audit internal dan manajemen risiko di Eropah.
Pada tahun 2013, the Institute of Internal Auditors mengadopsi model tersebut secara formal dalam sebuah position paper.
Sampai saat ini, model 3LoD telah mendapat penerimaan yang cukup baik oleh berbagai kalangan. Di Indonesia, banyak organisasi sedang semangat-semangatnya untuk mulai menerapkan model tiga lini pertahanan dalam manajemen mereka.
Namun ternyata lingkungan bisnis bekembang dinamis. Dalam dua dasa warsa setelah 3LoD, perubahan terjadi semakin sering dan cepat. Disrupsi terjadi dari berbagai sumber: regulasi, geopolitik, ekonomi, stategi, model bisnis, lingkungan, sosial dan teknologi.
The IIA merasa perlu dan mempelopori review terhadap model tiga lini pertahanan tersebut.The IIA memulai prakarsa review 3LoD pada Agustus 2018. Rencana review ini juga dibahas dalam forum Global Council (pertemuan tahunan pimpinan IIA dari seluruh dunia) di Tokyo bulan Maret 2019.Setelah melalui berbagai studi dan elaborasi, working group yang dibentuk IIA mengeluarkan exposure draft pada bulan Juni 2019, untuk mendapatkan masukan dan tanggapan dari berbagai kalangan di seluruh dunia, selama empat bulan dari Juni sampai September 2019.
Model final yang sudah direvisi akan diterbitkan dalam bulan Juli 2020. Sambil menunggu model baru tersebut, mari kita lihat alasan, tujuan dan kerangka konsepsi dari rencana revisi tersebut.
Kenapa harus direview
Fokus pada defense. Salah alasan kenapa perlu direview adalah karena model tersebut terlalu fokus pada defense. Sedangkan organisasi pada saat ini dihadapkan pada ketidakpastian yang dapat menimbulkan risiko, namun juga dapat menciptakan peluang. Model yang menekankan pada defense, dipandang tidak proaktif, dan mengabaikan penciptaan nilai (value creation) dalam organisasi.
Dengan menekankan posisi defensif, model tersebut juga dipandang dapat menguatkan kembali gagasan ‘konyol’ masa lalu, bahwa auditor internal (dan manajer risiko) adalah fungsi ‘rem’ atau fungsi ‘jangan’, yang tugasnya hanya untuk ‘menyetop’ para manajer operasional dalam melakukan pengambilan risiko.
Model yang fokus pada defense juga mendorong sikap untuk hanya menjaga supaya ‘tidak jatuh’. Padahal organisasi perlu terus melakukan berbagai langkah dan risiko, dalam beberapa hal harus jatuh berkali-kali, untuk mencapai keberhasilan.
Seperti halnya dalam mengawal bayi atau anak kecil yang sedang tumbuh. Kalau kita hanya menjaga supaya ‘tidak jatuh’, maka kita akan cenderung banyak memasang pengamanan. Sehingga si anak akan lambat atau tidak bisa meningkatkan kapabilitasnya, karena tidak banyak melangkah dan mengambil pelajaran.
Operational Silo. Struktur model yang rigid dan tersekat-sekat telah membuat terjadinya silo, masing-masing hanya fokus pada risiko dan pengendalian pada unitnya, mengabaikan pengaruh dan keterkaitan dengan fungsi lain. Tanggung-jawab dan akuntabilitas lintas ketiga lini tersebut sering kali tidak jelas.
Integrasi, koordinasi dan komunikasi yang terbatas, menyebabkan adanya duplikasi (overlap) pengendalian dan inefisiensi. Pada sisi lain, hal ini bisa juga menyisakan adanya gap, area dimana tidak ada yang melakukan pengendalian.
Penyekatan dalam lini-lini juga telah mengabaikan kenyataan adanya blurring of the line, garis lini yang tidak jelas. Pada praktiknya, satu fungsi bisa saja menyebrang dari satu lini ke lini lainnya.
Perusahaan kecil mungkin tidak mampu mengadakan fungsi kepatuhan tersendiri sebagai lini kedua, sehingga fungsi ini dirangkap oleh manajemen operasional (lini 1). Pada beberapa kasus lain, fungsi manajemen risiko (2nd line) juga sering harus dirangkap oleh audit internal (3rd line), karena kondisi praktisnya memang demikian.
Tidak sesuai dengan realitas saat ini. Terkait dengan dua alasan tersebut, model ini juga dianggap sudah tidak sesuai dengan realitas kondisi organisasi saat ini, dalam lingkungan bisnis yang dinamis. Model yang ada tidak dapat merespon dengan tuntutan lingkungan yang dinamis, tidak flexible, dan tidak scalable, tidak memperhatikan skala (ukuran) organisasi.
Membatasi peran auditor internal. Model yang ada dirasakan membatasi peran dari fungsi audit internal. Audit internal selama ini sudah bermetamorfosa menjadi menjadi strategic partner dan trusted advisor yang membantu manajemen menavigasi organisasi mengarungi lingkungan bisnis yang dinamis. Model yang ada hanya memberi ruang yang terbatas bagi auditor untuk menjalankan peran baru tersebut.
Enablers kesuksesan organisasi dan penciptaan nilai
Stakeholders, termasuk pemegang saham, mempercayakan dana, asset, dan wewenang kepada komisaris (governing body) dan direksi. Sebagai imbalannya, stakeholders ini mengharapkan organisasi untuk mencapai tujuannya secara efektif, efisien, sustainable, dan bertindak secara etis. Dengan mandat ini, komisaris, direksi, dan seluruh staf mengambil keputusan, melakukan tindakan, menjalankan perilaku, dan menghasilkan outcome.
Dalam menjalankan organisasi, manajemen dipengaruhi oleh faktor ekonomi, sosial, politik, ekonomi, lingkungan, alam, dan teknologi. Organisasi menghadapi ketidakpastian, keterbatasan sumberdaya dan kapasitas, keterbatasan kapabilitas, perubahan, kompleksitas, subjektivitas, bias, dan self-interest.
Faktor-faktor tersebut di atas bisa menjadi sumber ancaman maupun peluang. Figure-2 menggambarkan sumber ancaman dan peluang bagi keputusan, tindakan dan perilaku manajemen dalam menghasilkan outcome.
Untuk menghadapi ancaman dan peluang dari berbagai faktor tersebut di atas, komisaris, direksi, dan staf, melakukan berbagai langkah-langkah governance (governance measures) yang merupakan enablers (faktor pendukung) dari keberhasilan organisasi dan penciptaan nilai. Governance measures adalah langkah-langkah untuk mengarahkan, mengelola, dan memantau kegiatan organisasi.
Langkah governance ini adalah diluar (melengkapi) kegiatan operasional pokok organisasi, yakni mengkonversi input menjadi output dan memberikan pelayanan pada pelanggan. Governance measures membantu mengelola ketidak-pastian, meningkatkan efektivitas pengambilan keputusan dan tindakan, membantu perilaku yang etis, dan mengurangi variabilitas kinerja.
Figure-3 menunjukan berbagai governance measures – yang merupakan enablers keberhasilan organisasi dan penciptaan nilai.
Membagi peran atas governance measures
Langkah-langkah governance dapat dikelompokan dalam empat kelompok peran dan kegiatan, sebagai berikut:
- Leadership and oversight (Kepemimpinan dan pengawasan).
- Strategy execution (Eksekusi strategi)
- Support, guidance, and control (Dukungan, pedoman, dan pengendalian)
- Objective assurance and advice (Asurans dan advis yang objektif)
Leadership and oversight diperankan oleh governing body, dalam hal ini komisaris dan direksi. Peran strategy execution tentu saja dijalankan oleh direksi dan manajemen operasional.
Peran support, guidance, and control dijalankan oleh fungsi yang selama ini dikenal sebagai 2nd line of defense, antara lain, manajemen risiko, kepatuhan, manajemen qualitas, keselamatan dan kesehatan kerja, dan lingkungan hidup. Objective assurance and advice sudah pasti diperoleh dari audit internal.
Tabel-1 menunjukkan kelompok peran, organ yang menjalankan peran, dan contoh langkah-langkah governance yang dijalankan.
Proyeksi perbaikan
Sambil menunggu model three lines yang sudah di-update, berikut ini beberapa perbaikan yang dapat kita antisipasi berdasarkan elaborasi dari working group.
1. Fokus pada enablers dari keberhasilan organisasi dan penciptaan nilai
Model three lines yang baru masih berisi tentang pengaturan siapa saja yang berperan menjalankan governance, manajemen risiko, dan pengendalian. Fokusnya diperkaya dari sekedar defense, menjadi langkah-langkah governance, yang merupakan enablers dari keberhasilan organisasi dan penciptaan nilai. Langkah-langkah governance dapat dikelompokan dalam empat kelompok kegiatan dan peran, sebagaimana tertera pada Figure-4:
2. Koordinasi dan komunikasi
Koordinasi dan komunikasi akan menjadi feature penting dari model yang diupdate. Koordinasi dan komunikasi akan menghilangkan operational silo, sehingga organisasi, yang menerapkan model three lines, akan memperoleh satu gambar yang menyeluruh atas efektivitas dan kecukupan governance, manajemen risiko dan pengendalian.
Koordinasi juga akan mengurangi ‘kelelahan audit dan pelaporan’ (reporting and assurance fatigue), memastikan goals selaras dengan strategi, memastikan adanya bahasa yang sama (common vocabulary), dan rating pengukuran yang sama. Hal ini dapat menghindari adanya gap dan overlap.
Koordinasi dan komunikasi juga memungkinkan berbagai fungsi untuk sharing sumberdaya dan ekspertis, serta dapat mengoptimalkan (leverage) pemanfaatan data dan teknologi.
3. Scalability
Model yang baru dapat diterapkan pada berbagai organisasi segala ukuran (scala). Pada saat suatu perusahaan masih kecil dan sederhana, mungkin belum praktis dan belum mampu untuk membentuk second line tersendiri. Fungsi kepatuhan atau manajemen risiko bisa disatukan dengan manajemen operasional (1st line) atau dirangkap oleh audit internal (3rd line). Sejalan dengan pertumbuhan perusahaan, manajemen mungkin mulai membutuhkan spesialis tertentu untuk menjalankan support dan pemantauan pada bidang yang memerlukan (2nd line).
4. Principle base, governance, dan manajemen
Model yang baru akan menggunakan basis principles, menjelaskan prinsip-prinsip dari setiap komponen dari model. Peran governance dan governing body, sebagai bagian dari ‘line’ juga akan lebih menonjol. Mengingat kenyataan adanya blurring of the line dan untuk menjaga scalability dari model yang baru, first dan second line, kemungkinan ditekankan sebagai satu kelompok ‘manajemen’.
Mari kita tunggu terbitnya Three Lines Model yang baru. Model yang diharapkan akan relevan untuk lingkungan bisnis masa depan. Model ini tentunya akan membantu organisasi, profesi, dan standard setters. Model ini akan bermanfaat bagi Lembaga Pemerintah maupun Otoritas dalam menyusun regulasi dan peraturan yang terkait dengan efektif governance. Manajemen risiko dan pengendalian.
Model yang baru diharapkan akan di-launching bulan Juli 2020. Kabar gembira bagi profesional di Indonesia, pada saat yang bersamaan, IIA juga akan menerbitkan versi Bahasa Indonesia.
© Hari Setianto – 2020