Bagi-bagi tugas pertahanan
Model ‘Tiga Lini Pertahanan’ (three lines of defense) telah diterapkan luas sebagai model yang sangat membantu memperjelas peran dan tanggungjawab dalam menjalankan pengendalian dan pengelolaan risiko organisasi. Sesuai namanya, model ini membagi tiga lini dalam pengelolaan risiko dan pengendalian, yakni manajemen operasional (1st line), fungsi-fungsi pemantauan risiko (2nd line), dan fungsi audit internal (3rd line).
Manajemen operasional, sebagai lini pertama, adalah pemilik dan pengelola risiko dan pengendalian. Manajemen operasional mencakup manajemen pada fungsi-fungsi inti, misalnya fungsi logistik, produksi, pemasaran, penjualan, dan pelayanan; maupun fungsi-fungsi pendukung, misalnya fungsi human capital, accounting, dan umum (general affairs).
Manajemen operasional bertanggungjawab untuk menjalankan kegiatan dan mencapai tujuan organisasi. Mereka adalah pemilik dari semua risiko dari kegiatan tersebut dan berkewajiban untuk mengelolanya (own and manage risks).
Manajemen operasional memiliki dan mengelola berbagai jenis risiko yang terkait, bisa berupa risiko kesehatan dan keselamatan kerja, risiko produksi, risiko kualitas, risiko keuangan, risiko kecurangan (fraud), risiko kepatuhan (compliance), dan sebagainya.
Lini kedua, fungsi-fungsi pemantauan atau asurans, melakukan pemantauan, penelahaan, dan koordinasi terhadap pengelolaan risiko sesuai dengan spesialisasi masing-masing. Lini kedua ini misalnya adalah fungsi-fungsi kepatuhan, manajemen risiko, pengendalian anggaran, manajemen kualitas, kesehatan dan keselamatan kerja, anti-fraud, dan IT security.
Lini kedua merupakan bagian dari manajemen, tetapi memiliki independensi terhadap manajemen operasional (limited independent). Oleh karenanya, lini kedua juga memberikan challenge terhadap pengelolaan risiko dan pengendalian oleh lini pertama. Lini kedua pada umumnya juga memberikan pedoman, sistem, pelatihan, dan internaliasi pada manajemen operasional.
Lini ketiga, fungsi audit internal, memberikan asurans yang independen atas keseluruhan pengelolaan risiko dan pengendalian dalam organisasi. Lini pertama dan lini kedua bertanggungjawab hanya kepada senior management (jajaran direksi dan pimpinan organisasi lainnya). Audit internal melapor dan bertanggungjawab kepada senior management dan governing body (komisaris, dewan pengawas, atau komite audit). Figure-1 menjelaskan model three lines of defense.
Agar tak lekang dimakan waktu
Model three lines of defense (3LoD) mulai diterapkan sekitar 20 tahun yang lalu pada sektor jasa keuangan di Inggris. Pada tahun 2010, model ini diperkenalkan dalam Guidance on the 8th EU Company Law Directive – article 41 yang diterbitkan oleh ECIIA (European Confederation of Institute of Internal Auditors) dan FERMA (Federation of European Risk Management Associations) – dua konfederasi dari asosiasi audit internal dan manajemen risiko di Eropah.
Pada tahun 2013, the Institute of Internal Auditors mengadopsi model tersebut secara formal dalam sebuah position paper.
Sampai saat ini, model 3LoD telah mendapat penerimaan yang cukup baik oleh berbagai kalangan. Di Indonesia, banyak organisasi sedang semangat-semangatnya untuk mulai menerapkan model tiga lini pertahanan dalam manajemen mereka.
Namun ternyata lingkungan bisnis bekembang dinamis. Dalam dua dasa warsa setelah 3LoD, perubahan terjadi semakin sering dan cepat. Disrupsi terjadi dari berbagai sumber: regulasi, geopolitik, ekonomi, stategi, model bisnis, lingkungan, sosial dan teknologi.
The IIA merasa perlu dan mempelopori review terhadap model tiga lini pertahanan tersebut.The IIA memulai prakarsa review 3LoD pada Agustus 2018. Rencana review ini juga dibahas dalam forum Global Council (pertemuan tahunan pimpinan IIA dari seluruh dunia) di Tokyo bulan Maret 2019.Setelah melalui berbagai studi dan elaborasi, working group yang dibentuk IIA mengeluarkan exposure draft pada bulan Juni 2019, untuk mendapatkan masukan dan tanggapan dari berbagai kalangan di seluruh dunia, selama empat bulan dari Juni sampai September 2019.
Model final yang sudah direvisi akan diterbitkan dalam bulan Juli 2020. Sambil menunggu model baru tersebut, mari kita lihat alasan, tujuan dan kerangka konsepsi dari rencana revisi tersebut.