Penyesuaian Model The Three Lines of Defense di Perusahaan

Warta Ekonomi, Jakarta -

Pada bulan Oktober 2008 untuk pertama kalinya model The Three Lines of Defense (3LoD) diperkenalkan oleh Federation of European Risk Management Association (FERMA) dan European Confederation of Institut of Internal Auditing (ECIIA). Model ini dibuat dengan dilandasi pada kebutuhan akan perlunya panduan bagi board management dan audit commiittee dalam memonitor risiko dan untuk menjawab pertanyaan sederhana mengenai siapa yang akan memonitor risiko dan bagaimana memonitornya?

Karena organisasi kata dasarnya adalah organize maka seharusnya semua risiko baik yang ada di dalam organisasi maupun yang akan masuk ke dalam organisasi dan berpotensi untuk menganggu tercapainya tujuan utama organisasi harus di-organize/dikelola dengan baik. Desain model 3LoD ketika itu adalah sebagai berikut

Risk assurance yang dijalankan oleh internal auditor sebagai lini pertahanan terakhir dalam menjalankan tugasnya juga mendapat support dari pihak-pihak lain di luar lingkungan perusahaan seperti eksternal auditor, regulator yaitu IDX, OJK, kantor pajak, Bank Indonesia, dan lainnya.

Risiko yang timbul di perusahaan harus dapat dipastikan agar tersaring lebih dulu melalui ketiga lini pertahanan ini sehingga apabila 3LoD ini dijalankan dengan baik maka semua jenis risiko akan dapat dikelola dengan baik dan akhirnya tujuan perusahaan dapat tercapai. 

Sejak pertama kali dikenalkan ke publik, model 3LoD ini mulai banyak mendapat sambutan positif dan mulai banyak digunakan di perusahaan-perusahaan di dunia.

Baca Juga: Jokowi ke Anak Buah: Jangan Abaikan Hasil Audit BPK, Segera...

Dua tahun berselang, sejak model 3LoD ini dikenalkan. Terjadi insiden Deepwater Horizon peristiwa mengenai meledak dan terbakarnya mobile off-shore drilling unit di Mexican Gulf yang membawa dampak kerusakan dan kerugian yang luar biasa. Sebanyak 11 orang meninggal, 17 orang luka-luka, kerugian material tidak kurang dari US$17,2 miliar, belum lagi kerusakan lingkungan dan tentunya damage terhadap image perusahaan.

Kejadian ini seolah menampar dunia risk management ketika itu. Padahal ketika tahun 2007, saat Tony Harward baru saja ditunjuk menjadi CEO baru BP, dengan lantang ia mengikrarkan bahwa safety akan menjadi prioritas utama dalam menjalankan operasinya. Safety sebenarnya merupakan salah satu unsur penting juga dalam model 3LoD. Lalu, apa yang salah dengan model 3LoD ini?

Seolah ada Loophole dalam pelaksanaan 3LoD sehingga model pertahanan tiga lapis ini dapat ditembus oleh risiko. Bryan Hayes dalam Moore, Insights, menyebut loophole ini dengan istilah yang sangat menarik Swiss cheese.

Loophole dalam 3LoD yang bentuknya memang mirip Swiss cheese inilah yang akhirnya mengakibatkan pertahanan tiga lapis dapat ditembus oleh risiko dan akhirnya mengakibatkan dampak kerugian luar biasa bagi perusahaan dan tentunya bagi seluruh stakeholders juga. Seperti terlihat dalam ilustrasi di bawah ini:

Dalam praktiknya, wujud Swiss cheese yang ada di 3LoD bisa terjadi karena beberapa hal berikut:

1. Kurangnya pengetahuan dan motivasi dari risk owner (1st line of defenses). Minimnya pengetahuan dan pemahaman akan dampak risiko yang mungkin terjadi maka hal-hal yang sifatnya rutin hanya dilakukan sebatas compliance atau checklist belaka. Tidak dilakukan sepenuh hati dengan kesadaran penuh akan kemungkinan dampak buruk yang akan timbul dari setiap aktivitas yang dilakukan. Tingkat control self-awareness yang rendah;

2. Belum diaturnya role dan responsibility yang jelas antar 3LoD. Seharusnya dibuat RACI (responsible, accountable, consult, dan inform) yang jelas agar tidak menimbulkan kebingungan saat pelaksanaan di lapangan.

Dimulai dari top level kemudian di-cascading down sampai ke working level dalam satu lini dan antar-lini di 3LoD. Misalnya antara ERM, quality control, safety/HSE and corporate controller di 2nd line of defenses sebagai risk control dengan internal audit di pihak lain sebagai independent risk assurance; 

Redundancy of work yang sangat jelas bisa dilihat di industri fast moving consumer goods/FMCG di mana di bagian operation selalu ada department loss prevention yang bertugas sebagai risk control. Job description dari loss prevention kurang lebih sama dengan operation audit/store audit.

Tumpang tindih tugas dan tanggung jawab seperti ini bukan saja tidak efektif, tetapi juga bila dibiarkan terus maka akan membuat lubang Swiss Chesse semakin lebar;

3. Konflik kepentingan antara 1st line dan 2nd line of defenses. Risk owner ingin agar risiko yang dihadapi setinggi mungkin karena percaya pada adagium high risk-high gain sementara 2nd line of defenses sebagai risk control justru sebaliknya, ingin agar risiko dapat ditekan serendah mungkin.

Perbedaan kepentingan ini menjadi long lasting gap between risk owner and risk control, whether to protect enterprise value or to enhance enterprise value. Hal ini harus segera di-manage oleh management agar menghasilkan kinerja yang efektif dan produktif antar-lini pertahanan tersebut;

4. Komunikasi yang kurang efektif antara 3rd line of defenses di satu sisi dengan 2nd line dan 1st line of defenses di sisi lainnya. 3rd line of defenses, terkadang terbelenggu dengan slogan independency sehingga enggan untuk secara proaktif menjemput bola memberikan advisory services dan berperan sebagai business partner bagi 1st line dan 2nd line untuk mengantisipasi risiko menembus terlalu jauh sampai ke 3rd line of defenses tanpa perlu khawatir kehilangan independensi sebagai risk assurance.