3 Lini Pertahanan Risiko
“To love is to risk not being loved in return. To hope is to risk pain. To try is to risk failure, but risk must be taken because the greatest hazard in life is to risk nothing.”—Anonim
Tidak ada organisasi yang dapat mengklaim dirinya bebas dari segala risiko. Baik organisasi besar maupun kecil. Baik organisasi publik maupun privat, profit maupun non-profit, formal maupun non-formal pastilah memiliki risiko. Bahkan risiko bersifat inheren pada segala sesuatu. Dia bersanding side-by-side dengan value, layaknya dua sisi mata uang yang sama.
Yang membedakan diantaranya adalah seberapa besar tingkat paparan risikonya saja serta seberapa besar tingkat penerimaannya terhadap risiko tersebut. Namun demikian jangan sampai karena semua ada risikonya lalu menghalangi kita untuk meraih value yang ada bersamanya. Sehingga kemudian yang dipikirkan berikutnya adalah bagaimana mengelola risiko-risiko yang ada untuk menekan dampak negatif jika risiko tersebut benar-benar terjadi. Untuk membantu organisasi dalam merancang sistem pengelolaan risikonya maka dirancanglah berbagai framework manajemen risiko organisasi atau yang sering diistilahkan dengan Enterprise Risk Management (ERM). Kerangka kerja ERM ini dirancang untuk membantu keinginan manajemen dalam mengelola risiko secara efektif dan sistematis. Namun demikian –betapapun—implementasi ERM ini membutuhkan lingkungan dan struktur yang mendukung. Lingkungan inilah yang berlaku sebagai pertahanan terhadap risiko-risiko yang ada.
Beberapa waktu yang lalu, salah satu klien saya begitu bersemangat mendengung-dengungkan pada setiap kesempatan istilah “Pertahanan 3 lapis”. Sepertinya baru habis mendapatkan training mengenai itu yang sangat merasuk ke dalam relung kesadarannya. Sehingga pada setiap inisiatif yang direncanakan maka akan selalu dikaitkan dengan jargon “pertahanan 3 lapis” tersebut.
Sebenarnya apakah yang mereka maksud dengan “pertahanan 3 lapis” itu?
Istilah tersebut sebenarnya merupakan terjemahan dari “the three lines of defense” (3LD). Dan 3LD inilah saya maksud di atas dengan lingkungan pertahanan yang dibutuhkan untuk mengimplementasikan ERM dalam organisasi.
Pada setiap lini pertahanan tersebut dibutuhkan penanganan risiko yang tepat untuk mendukung penerapan framework ERM yang telah didesain. Apa saja lini-lini pertahanan yang dimaksud itu?
Lini pertahanan pertama adalah pada para karyawan dari departemen/bagian yang melakukan atau memproses transaksi, dialah pemilik risiko itu. Karena itu orang-orang ini mesti menjalalankan proses-proses pengelolaan risiko seperti identifikasi risiko, analisis risiko, evaluasi risiko hingga penanganan terhadap risiko-risiko yang ada. Untuk organisasi yang besar, bisa saja dibentuk semacam komite manajamen risiko sebagai lini pertahanan pertama ini.
Lini pertahanan kedua adalah fungsi manajemen kepatuhan pada tingkatan enterprise yang mengawasi aktifitas manajemen risiko pada lini pertahanan pertama. Lini ini tidak terlibat langsung dalam aktifitas transaksi sehari-hari dan pengelolaan risiko. Bentukya bisa merupakan manajemen senior, atau komite tersendiri bergantung pada framework ERM yang disepakati. Lini pertahanan kedua ini bertangung-jawab untuk membantu dalam penentuan kapasitas risiko, risk appetite, strategi, kebijakan dan struktur yang dibutuhkan untuk pengelolaan risiko. Selain itu lini ini juga bertanggung-jawab untuk melakukan pengawasan, monitor, review pelaporan risiko, serta memastikan kepatuhan (compliance) sesuai kebutuhan manajemen risiko organisasi.
Jika lini pertahanan pertama adalah pihak yang melakukan transaksi/proses bisnis, dan lini pertahanan kedua adalah pihak manajemen diatasnya yang memastikan lini pertahanan pertama mengelola risikonya dengan baik melalui mekanisme-mekanisme sesuai dengan yang diatur pada framework ERM, lalu lini pertahanan ketiga itu yang mana lagi?
Lini pertahanan ketiga dipegang oleh pihak auditor baik internal maupun eksternal. Auditor internal dan eksternal ini secara reguler melakukan review terhadap aktifitas dan hasil dari lini pertahanan pertama dan kedua dalam mengelola risiko dan kepatuhan sesuai framework ERM yang ditetapkan. Hasil review independen ini kemudian mesti dikomunikasikan ke manajemen eksekutif terkait dan juga direksi (BOD) untuk memastikan temuan dan rekomendasi perbaikan yang diperlukan ditindak-lanjuti dengan baik.
Mendesain dan men-setup struktur dan mekanisme tata kelola risiko ini sebenarnya bukanlah bagian tersulitnya. Tantangan sebenarnya adalah bagaimana dalam penerapannya semua lini tersebut bisa selaras ekspektasi dan persepsinya tentang pengelolaan risiko yang sedang terjadi di organisasinya. Ada sebuah perusahaan di Indonesia yang menerapkan manajemen risiko yang baik, bahkan memiliki sertifikasi pada tingkatan yang jarang dimiliki oleh perusahaan sejenis di Indonesia bahkan dunia. Tapi untuk bidang IT, mereka sempat lengah, mekanisme pertahanan antar lini ini tidak berjalan dengan baik. Penyebabnya antara lain –menurut saya-- adalah kesenjangan kompetensi IT yang cukup lebar antara lini pertama sebagai risk owner dengan lini-lini lainnya. Akibatnya informasi tidak mengalir sebagaimana seharusnya. Informasi yang mengalir dari lini pertama lebih banyak informasi yang baik-baik saja tanpa dapat diverifikasi lebih dalam lagi oleh lini lainnya. Akibatnya paparan risikonya pun menumpuk menjadi bom waktu yang semakin lama semakin mengerikan. Dan akhirnya pada titik tertentu akhirnya “bom” itu meledak juga tanpa dapat ditutup-tutupi lagi. Perusahaan dan beberapa pihak lainnya pun menjadi sangat dirugikan karenanya. Kenyataan tersebut mengingatkan saya pada sebuah quotes terkenal: risk varies inversely with knowledge. Risiko berbanding terbalik dengan pengetahuan. Betul..betul..betul.[manajemen-ti/picture:flickr flaimo]
