Penerapan manajemen risiko seyogyanya menjadi tanggung jawab semua pihak yang terlibat dalam sebuah organisasi perusahaan. Manajemen Risiko hendaknya bukan hanya menjadi tanggung jawab dari unit manajemen risiko saja. Prinsip inilah yang menjadi dasar terlaksananya three lines of defence dalam manajemen risiko. Apakah yang dimaksud dengan three lines of defence?
Pada dasarnya three lines of defence adalah mekanisme pertahanan secara berlapis untuk mengelola risiko. Sesuai namanya, three lines of defence terdiri dari 3 lapisan. Lapisan yang pertama terletak pada setiap unit kerja sebagai risk owner, karena memang pada dasarnya setiap unit kerja memiliki risiko, apapun jenis dan lingkup pekerjaannya. Yang kedua, adalah pada unit manajemen risiko (managing risk/ risk controller), dan yang ketiga adalah pada unit audit internal.
Fungsi unit kerja sebagai unit yang turut menangani risiko memang terlihat seperti adanya penambahan beban kerja, namun pada dasarnya setiap unit kerja memang merupakan unit yang memiliki pengetahuan operasional secara langsung dan karenanya memiliki pengetahuan terhadap potensi-potensi risiko apa saja yang dapat muncul dan dihadapi. Selain itu, setiap unit kerja juga memiliki sekilas gambaran terhadap solusi-solusi apa saja yang dapat direkomendasikan. Karenanya setiap unit kerja harus melaksanakan tugas dan tanggung jawabnya dengan penuh kesadaran akan adanya potensi risiko yang dapat muncul.
Selanjutnya pada fungsi manajemen risiko, merupakan fungsi controlling dan monitoring risiko secara keseluruhan atau penerapan enterprise risk management. Fungsi controlling dan monitoring ini termasuk diantaranya adalah penetapan kebijakan manajemen risiko yang meliputi beberapa elemen mendasar seperti berapa tingkat risk tolerancenya, dan seperti apa risk appetite dari sebuah perusahaan. Selain itu fungsi controlling dan monitoring ini juga termasuk diantaranya adalah sebagai counterpart dari masing-masing unit kerja untuk berkonsultasi mengenai implementasi dari risiko yang dihadapi oleh masing-masing unit kerja. Tentu saja fungsi reporting termasuk didalam controlling dan monitoring.
Sebagai lapisan paling terakhir adalah audit internal yang bertujuan untuk melakukan audit terhadap pelaksanaan seluruh unit kerja. Dari hasil temuan audit, ditemukan permasalahan atau adanya indikasi terhadap penyimpangan dan pelanggaran dari ketentuan perusahaan ataupun peraturan yang berlaku. Pelanggaran-pelanggaran tersebut selain dicari upaya-upaya tindak lanjutnya, juga akan dibuatkan data database pelanggaran berikut dengan upaya-upaya solusi apa saja yang dapat dilakukan. Database tersebut akan menjadi referensi ataupun juga sebagai yurisprudensi jika terjadi pelanggaran serupa. Disitulah hakekat sejati dari penerapan post ante, karena memang seyogyanya seperti itulah fungsi audit internal dijalankan.
Penerapan three lines of defence ini harus berjalan beriringan dan tentu saja tidak boleh terjadi overlapping antara satu dengan sama lain, namun juga harus memudahkan terciptanya koordinasi. Kesadaran akan pentingnya risiko dan keterbukaan dari setiap unit menjadi kunci dari penerapan prinsip three lines of defence ini.
Colek Saya di @RojiHasan dan Fakhruroji Hasan
Perspektif 