Penyesuaian Model The Three Lines of Defense di Perusahaan

Dalam keadaan yang sangat dinamis, ketika organisasi harus secara cepat menyesuaikan diri sebagai respons atas disruption dan turbulence yang terjadi maka perubahan pola kerja, perubahan proses bisnis, dan aktivitas yang terjadi di 1st line of defenses menjadi suatu keniscayaan. Hal tersebut bukan mustahil akan sedikit banyak mengubah konstelasi risiko dalam proses terkait.

Perubahan ini seharusnya dengan cepat direspons oleh 3rd line of defenses melalui penyesuaian atas audit plan dan audit program-nya sehingga pada akhirnya masing-masing lini pertahanan berjalan menurut arahnya masing-masing saja dan tidak sejalan dengan arah dan tujuan perusahaan.

The Institute of Internal Audit (the IIA) mencoba untuk membuat revisi atas model 3LoD yang lama. Pada bulan Juli 2020 the IIA memperkenalkan revised version tersebut. Dengan harapan bahwa melalui model 3LoD yang baru ini, loophole dalam Swiss chesse dapat ditutupi dan kinerja 3LoD dapat menjadi lebih efektif dalam mencapai tujuan utama perusahaan. 

Desain model 3LoD yang baru adalah seperti berikut ini  

Dari gambar di atas, tampak model yang baru ini menginginkan agar komunikasi, kolaborasi, dan koordinasi antar-ketiga lini pertahanan maupun dengan pembuat keputusan dapat menjadi semakin solid. Dengan demikian, diharapkan dapat menghilangkan/menutup kemungkinan timbulnya Swiss cheese di model 3LoD awal. Sebelum membahas lebih jauh mengenai model 3LoD yang baru ini, mari kita melihat secara umum dari mana saja risiko-risiko yang timbul di dalam perusahaan.

Kemudian baru kita bahas apakah model 3LoD yang baru ini dapat benar-benar menjadi kerangka untuk mengelola risiko-risiko tersebut, bahkan mengonversi risiko tersebut menjadi profit bagi perusahaan.

Mengacu ke tulisan Robert S Kaplan dan Annete Mikes dalam HBR edisi Juni 2012 Managing Risks a New Framework, risiko yang timbul di perusahaan secara sederhana dibagi menjadi tiga, berdasarkan asal muasalnya, yaitu

• Preventable risks, risiko yang berasal dari dalam perusahaan muncul dari operasional sehari-hari;

• Strategic risks, risiko yang timbul karena adanya keputusan strategis; dan 

• External risks, risiko yang muncul dari luar perusahaan, tidak dapat dipengaruhi karena tidak dapat dikontrol oleh perusahaan. Misalnya kurs, harga komoditas yang dipengaruhi supply & demand global, cuaca, alam, banjir, gempa bumi, dan lain-lain.

Lebih detail, dijelaskan dalam tabel berikut

Apabila kita coba sandingkan antara model 3LoD yang baru dengan tabel risiko dengan semangat bahwa 3LoD yang baru harus dapat menyaring semua risiko-risiko ini. Untuk mengubah inherent risks menjadi residual risks dengan pengelolaan risiko melalui mekanisme kontrol yang tepat, ada beberapa hal yang perlu menjadi perhatian kita.

Untuk preventable risks, karena risiko ini sifatnya muncul dari dalam perusahaan dari aktivitas operasional sehari-hari maka seharusnya internal control yang dibangun dalam kerangka 3LoD pasti dapat meng-absorb risiko ini.

Untuk strategic risks dan external risks, kedua jenis risiko ini hampir selalu timbul karena adanya keputusan-keputusan yang dibuat secara langsung oleh governing body. Risiko-risiko ini dibuat sebagai respons dari keadaan di luar perusahaan dan karena sifatnya strategis maka dampaknya juga signifikan terhadap perusahaan.

Karena keputusan seperti ini dibuat langsung oleh governing body (terkadang confidential) maka risiko-risiko yang muncul sebagai konsekuensi dari keputusan bisnis ini tidak mudah untuk secara langsung diserap dalam model 3LoD ini. Kenapa demikian? Hal ini terjadi karena baik 2nd line maupun 3rd line of defense tidak diikutsertakan dalam dalam pembahasan-pembahasan di awal untuk membuat keputusan tersebut.

Akibatnya, aktivitas kontrol yang dilakukan oleh 2nd line maupun 3rd line terhadap strategic risks maupun external risks tersebut sifatnya post-mortem/after event. Sifatnya sebatas respons atau malah mungkin reaksi atas keputusan-keputusan yang dibuat. Tidak dapat dilakukan secara proaktif. Hal ini dapat dilihat dari temuan-temuan dan rekomendasi dari 2nd line mapun 3rd line of defenses yang sifatnya hanya compliance/checklist dokumen semata.

Belum sampai pada tahap proaktif apalagi predictive findings/recommendation yang tentunya lebih memiliki nilai tambah bagi perusahaan.