Penyesuaian Model The Three Lines of Defense di Perusahaan

Warta Ekonomi, Jakarta -

Pada bulan Oktober 2008 untuk pertama kalinya model The Three Lines of Defense (3LoD) diperkenalkan oleh Federation of European Risk Management Association (FERMA) dan European Confederation of Institut of Internal Auditing (ECIIA). Model ini dibuat dengan dilandasi pada kebutuhan akan perlunya panduan bagi board management dan audit commiittee dalam memonitor risiko dan untuk menjawab pertanyaan sederhana mengenai siapa yang akan memonitor risiko dan bagaimana memonitornya?

Karena organisasi kata dasarnya adalah organize maka seharusnya semua risiko baik yang ada di dalam organisasi maupun yang akan masuk ke dalam organisasi dan berpotensi untuk menganggu tercapainya tujuan utama organisasi harus di-organize/dikelola dengan baik. Desain model 3LoD ketika itu adalah sebagai berikut

Risk assurance yang dijalankan oleh internal auditor sebagai lini pertahanan terakhir dalam menjalankan tugasnya juga mendapat support dari pihak-pihak lain di luar lingkungan perusahaan seperti eksternal auditor, regulator yaitu IDX, OJK, kantor pajak, Bank Indonesia, dan lainnya.

Risiko yang timbul di perusahaan harus dapat dipastikan agar tersaring lebih dulu melalui ketiga lini pertahanan ini sehingga apabila 3LoD ini dijalankan dengan baik maka semua jenis risiko akan dapat dikelola dengan baik dan akhirnya tujuan perusahaan dapat tercapai. 

Sejak pertama kali dikenalkan ke publik, model 3LoD ini mulai banyak mendapat sambutan positif dan mulai banyak digunakan di perusahaan-perusahaan di dunia.

Baca Juga: Jokowi ke Anak Buah: Jangan Abaikan Hasil Audit BPK, Segera...

Dua tahun berselang, sejak model 3LoD ini dikenalkan. Terjadi insiden Deepwater Horizon peristiwa mengenai meledak dan terbakarnya mobile off-shore drilling unit di Mexican Gulf yang membawa dampak kerusakan dan kerugian yang luar biasa. Sebanyak 11 orang meninggal, 17 orang luka-luka, kerugian material tidak kurang dari US$17,2 miliar, belum lagi kerusakan lingkungan dan tentunya damage terhadap image perusahaan.

Kejadian ini seolah menampar dunia risk management ketika itu. Padahal ketika tahun 2007, saat Tony Harward baru saja ditunjuk menjadi CEO baru BP, dengan lantang ia mengikrarkan bahwa safety akan menjadi prioritas utama dalam menjalankan operasinya. Safety sebenarnya merupakan salah satu unsur penting juga dalam model 3LoD. Lalu, apa yang salah dengan model 3LoD ini?

Seolah ada Loophole dalam pelaksanaan 3LoD sehingga model pertahanan tiga lapis ini dapat ditembus oleh risiko. Bryan Hayes dalam Moore, Insights, menyebut loophole ini dengan istilah yang sangat menarik Swiss cheese.

Loophole dalam 3LoD yang bentuknya memang mirip Swiss cheese inilah yang akhirnya mengakibatkan pertahanan tiga lapis dapat ditembus oleh risiko dan akhirnya mengakibatkan dampak kerugian luar biasa bagi perusahaan dan tentunya bagi seluruh stakeholders juga. Seperti terlihat dalam ilustrasi di bawah ini:

Dalam praktiknya, wujud Swiss cheese yang ada di 3LoD bisa terjadi karena beberapa hal berikut:

1. Kurangnya pengetahuan dan motivasi dari risk owner (1st line of defenses). Minimnya pengetahuan dan pemahaman akan dampak risiko yang mungkin terjadi maka hal-hal yang sifatnya rutin hanya dilakukan sebatas compliance atau checklist belaka. Tidak dilakukan sepenuh hati dengan kesadaran penuh akan kemungkinan dampak buruk yang akan timbul dari setiap aktivitas yang dilakukan. Tingkat control self-awareness yang rendah;

2. Belum diaturnya role dan responsibility yang jelas antar 3LoD. Seharusnya dibuat RACI (responsible, accountable, consult, dan inform) yang jelas agar tidak menimbulkan kebingungan saat pelaksanaan di lapangan.

Dimulai dari top level kemudian di-cascading down sampai ke working level dalam satu lini dan antar-lini di 3LoD. Misalnya antara ERM, quality control, safety/HSE and corporate controller di 2nd line of defenses sebagai risk control dengan internal audit di pihak lain sebagai independent risk assurance; 

Redundancy of work yang sangat jelas bisa dilihat di industri fast moving consumer goods/FMCG di mana di bagian operation selalu ada department loss prevention yang bertugas sebagai risk control. Job description dari loss prevention kurang lebih sama dengan operation audit/store audit.

Tumpang tindih tugas dan tanggung jawab seperti ini bukan saja tidak efektif, tetapi juga bila dibiarkan terus maka akan membuat lubang Swiss Chesse semakin lebar;

3. Konflik kepentingan antara 1st line dan 2nd line of defenses. Risk owner ingin agar risiko yang dihadapi setinggi mungkin karena percaya pada adagium high risk-high gain sementara 2nd line of defenses sebagai risk control justru sebaliknya, ingin agar risiko dapat ditekan serendah mungkin.

Perbedaan kepentingan ini menjadi long lasting gap between risk owner and risk control, whether to protect enterprise value or to enhance enterprise value. Hal ini harus segera di-manage oleh management agar menghasilkan kinerja yang efektif dan produktif antar-lini pertahanan tersebut;

4. Komunikasi yang kurang efektif antara 3rd line of defenses di satu sisi dengan 2nd line dan 1st line of defenses di sisi lainnya. 3rd line of defenses, terkadang terbelenggu dengan slogan independency sehingga enggan untuk secara proaktif menjemput bola memberikan advisory services dan berperan sebagai business partner bagi 1st line dan 2nd line untuk mengantisipasi risiko menembus terlalu jauh sampai ke 3rd line of defenses tanpa perlu khawatir kehilangan independensi sebagai risk assurance.

Dalam keadaan yang sangat dinamis, ketika organisasi harus secara cepat menyesuaikan diri sebagai respons atas disruption dan turbulence yang terjadi maka perubahan pola kerja, perubahan proses bisnis, dan aktivitas yang terjadi di 1st line of defenses menjadi suatu keniscayaan. Hal tersebut bukan mustahil akan sedikit banyak mengubah konstelasi risiko dalam proses terkait.

Perubahan ini seharusnya dengan cepat direspons oleh 3rd line of defenses melalui penyesuaian atas audit plan dan audit program-nya sehingga pada akhirnya masing-masing lini pertahanan berjalan menurut arahnya masing-masing saja dan tidak sejalan dengan arah dan tujuan perusahaan.

The Institute of Internal Audit (the IIA) mencoba untuk membuat revisi atas model 3LoD yang lama. Pada bulan Juli 2020 the IIA memperkenalkan revised version tersebut. Dengan harapan bahwa melalui model 3LoD yang baru ini, loophole dalam Swiss chesse dapat ditutupi dan kinerja 3LoD dapat menjadi lebih efektif dalam mencapai tujuan utama perusahaan. 

Desain model 3LoD yang baru adalah seperti berikut ini  

Dari gambar di atas, tampak model yang baru ini menginginkan agar komunikasi, kolaborasi, dan koordinasi antar-ketiga lini pertahanan maupun dengan pembuat keputusan dapat menjadi semakin solid. Dengan demikian, diharapkan dapat menghilangkan/menutup kemungkinan timbulnya Swiss cheese di model 3LoD awal. Sebelum membahas lebih jauh mengenai model 3LoD yang baru ini, mari kita melihat secara umum dari mana saja risiko-risiko yang timbul di dalam perusahaan.

Kemudian baru kita bahas apakah model 3LoD yang baru ini dapat benar-benar menjadi kerangka untuk mengelola risiko-risiko tersebut, bahkan mengonversi risiko tersebut menjadi profit bagi perusahaan.

Mengacu ke tulisan Robert S Kaplan dan Annete Mikes dalam HBR edisi Juni 2012 Managing Risks a New Framework, risiko yang timbul di perusahaan secara sederhana dibagi menjadi tiga, berdasarkan asal muasalnya, yaitu

• Preventable risks, risiko yang berasal dari dalam perusahaan muncul dari operasional sehari-hari;

• Strategic risks, risiko yang timbul karena adanya keputusan strategis; dan 

• External risks, risiko yang muncul dari luar perusahaan, tidak dapat dipengaruhi karena tidak dapat dikontrol oleh perusahaan. Misalnya kurs, harga komoditas yang dipengaruhi supply & demand global, cuaca, alam, banjir, gempa bumi, dan lain-lain.

Lebih detail, dijelaskan dalam tabel berikut

Apabila kita coba sandingkan antara model 3LoD yang baru dengan tabel risiko dengan semangat bahwa 3LoD yang baru harus dapat menyaring semua risiko-risiko ini. Untuk mengubah inherent risks menjadi residual risks dengan pengelolaan risiko melalui mekanisme kontrol yang tepat, ada beberapa hal yang perlu menjadi perhatian kita.

Untuk preventable risks, karena risiko ini sifatnya muncul dari dalam perusahaan dari aktivitas operasional sehari-hari maka seharusnya internal control yang dibangun dalam kerangka 3LoD pasti dapat meng-absorb risiko ini.

Untuk strategic risks dan external risks, kedua jenis risiko ini hampir selalu timbul karena adanya keputusan-keputusan yang dibuat secara langsung oleh governing body. Risiko-risiko ini dibuat sebagai respons dari keadaan di luar perusahaan dan karena sifatnya strategis maka dampaknya juga signifikan terhadap perusahaan.

Karena keputusan seperti ini dibuat langsung oleh governing body (terkadang confidential) maka risiko-risiko yang muncul sebagai konsekuensi dari keputusan bisnis ini tidak mudah untuk secara langsung diserap dalam model 3LoD ini. Kenapa demikian? Hal ini terjadi karena baik 2nd line maupun 3rd line of defense tidak diikutsertakan dalam dalam pembahasan-pembahasan di awal untuk membuat keputusan tersebut.

Akibatnya, aktivitas kontrol yang dilakukan oleh 2nd line maupun 3rd line terhadap strategic risks maupun external risks tersebut sifatnya post-mortem/after event. Sifatnya sebatas respons atau malah mungkin reaksi atas keputusan-keputusan yang dibuat. Tidak dapat dilakukan secara proaktif. Hal ini dapat dilihat dari temuan-temuan dan rekomendasi dari 2nd line mapun 3rd line of defenses yang sifatnya hanya compliance/checklist dokumen semata.

Belum sampai pada tahap proaktif apalagi predictive findings/recommendation yang tentunya lebih memiliki nilai tambah bagi perusahaan.

Model 3LoD yang ideal seharusnya memberi ruang bagi 2nd line of defenses/risk control dan 3rd line of defenses/risks assurance untuk lebih proaktif menjadi business partner tidak saja bagi 1st line of defenses tetapi juga bagi governing body dalam mengelola risiko sehingga model 3LoD yang barupun sebaiknya dilakukan penyesuaian dalam penerapannya. Dengan demikian, bentuk kerja sama dalam model 3LoD dalam menyerap risiko yang muncul akan terlihat seperti gambar berikut ini

Terlihat bahwa seluruh risiko dapat diserap dan diubah menjadi residual risks, selain hal tersebut, dalam implementasinya ada beberapa poin yang harus diperhatikan terus-menerus karena akan menjadi kunci penting keberhasilan model 3LoD dalam mengelola risiko:

1. Adanya communication, collaboration, dan coordination antar-1st, 2nd, dan 3rd line of defenses dan governing body;

2. Penentuan tugas dan tanggung jawab antar-lini pertahanan yang jelas;

3. Peningkatan control self-awareness di 1st line of defenses sehingga akan mengurangi dampak di 2nd line dan 3rd line of defenses. Ada perbandingan terbalik antara meningkatnya control self-awareness di 1st line of defense dengan menurunnya tingkat risiko bahkan jumlah personel di 2nd line dan 3rd line of defenses;

4. Manajemen perlu lebih terbuka berdiskusi dengan 2nd line maupun 3rd line of defenses atas keputusan strategis yang dibuatnya termasuk antisipasi dan respons manajemen atas external risks yang timbul sehingga baik 2nd line maupun 3rd line of defenses dapat lebih proactive dalam mengelola risiko;

5. Baik 2nd line maupun 3rd line of defense harus memahami operasional perusahaan dan dinamika perusahaan lebih intens lagi tanpa perlu khawatir hal ini akan mengurangi independensi dalam memberikan pendapat;

6. Pola pikir yang berimbang antara protect enterprise value vs enhance enterprise value;

7. Baik 2nd line dan 3rd line of defenses harus senantiasa meningkatkan kompetensinya sebagai syarat mutlak menjadi business partner bagi manajemen;

8. Risk assurance bersama audit committee perlu secara rutin melakukan review atas model 3LoD ini, penyesuaian-penyesuaian perlu selalu dilakukan untuk menjawab kebutuhan organisasi.

Sebetulnya saat masa pandemi seperti ini adalah saat yang tepat untuk menguji efektivitas dari implementasi model 3LoD ini di perusahaan karena mau tidak mau, suka tidak suka dampak dari Covid-19 ini dialami oleh semua perusahaan.

Pengaruh Covid-19 terhadap model 3LoD dan kinerja perusahaan dapat menjadi alat uji yang independen dan terpercaya. Seperti disebutkan pada awal perkenalan kita dengan model 3LoD ini bahwa model ini bersifat panduan, artinya penyesuaian atas model ini sebagai jawaban terhadap perubahan situasi, kondisi, dan dinamika bisnis yang terjadi, dapat saja dilakukan.

Perusahaan yang lolos dari ujian ini akan melihat tumbuhnya militansi dari para pihak pelaku 3LoD, semakin solid, dan efektifnya model 3LoD yang dimiliki, sehingga dengan penyesuaian dan penerapan yang efektif maka tujuan jangka panjang perusahaan dapat tercapai.

Reference:

1. Harvard Business Review, "Managing Risks a New Framework", Juni 2012

2. Enterprise Risk Management, LAM, 2nd ed, 2013

3. Moore, Insights, May 2018

4. The 3 Lines of Defenses, the IIA, Juli 2020

5. Forbes, "The Common Problem of 3LoD Framework", Juli 2020,