RISK GOVERNANCE ATAU TATA KELOLA RISIKO
RISK GOVERNANCE ATAU TATA KELOLA RISIKO
A. Tujuan Pembelajaran
1. Risk governance atau tata kelola risiko
2. Pertahanan lapis pertama
3. Pertahanan lapis kedua
4. Pertahanan lapis ketiga
5. Kesimpulan
6. Review jurnal terkait “Three Lines of Defense dalam Penerapan
Manajemen Risiko pada Perusahaan Niaga Gas Bumi”
B. Pembahasan
1.
Risk governance atau tata kelola risiko
Risiko Tata Kelola yaitu risiko yang muncul karena adanya
potensi kegagalan dalam pelaksanaan tata kelola yang baik (good governance)
Perseroan, ketidaktepatan gaya manajemen, lingkungan pengendalian, dan perilaku
dari setiap pihak yang terlibat langsung atau tidak langsung dengan Perseroan.
Peningkatan kepedulian organisasi terhadap manajemen risiko
dan tuntutan pemangku kepentingan terhadap tata kelola mendorong pembentukan
beragam fungsi pengelola risiko di dalam organisasi. Fungsi-fungsi seperti
auditor internal, spesialis manajemen risiko, dan petugas kepatuhan (compliance
officer) dibentuk dengan tugas dan wewenang spesifik yang terkadang tumpang
tindih. Oleh sebab itu, diperlukan suatu model yang mengoordinasikan berbagai
fungsi tersebut untuk dapat mengelola risiko organisasi dengan efisien dan
efektif. Hal inilah yang mendorong Institute of Internal Auditor. Model tiga
lapis pertahanan (three lines of defense) membagi fungsi-fungsi di dalam
organisasi yang terlibat di dalam manajemen risiko menjadi tiga kelompok atau
lapis. Ketiga lapis tersebut adalah pemilik risiko (risk owner), pengawas
risiko (risk overseer), dan penyedia pemastian independen (independent
assurance provider). Di samping itu, organisasi dapat pula melibatkan pihak
eksternal sebagai lapis tambahan.
berbagai organisasi dalam rangka membangun kapabilitas manajemen risiko di seluruh jajaran dan proses bisnis organisasi yang sering dikenal sebagai Enterprise Risk Management (ERM). Pendekatan ini sering disingkat sebagai model 3LD (Three lines of defence). Model 3LD membedakan antara fungsi-fungsi bisnis sebagai fungsi-fungsi pemilik risiko (owning risks/risk owner) terhadap fungsi-fungsi yang menangani risiko (managing risks), dan antara fungsi-fungsi yang mengawasi risiko (overseeing risks) dengan fungsi-fungsi yang menyediakan pemastian independen (independent assurance). Kesemua fungsi tersebut memainkan peran penting dalam platform Enterprise Risk Management (ERM) baik untuk organisasi korporasi perbankan atau sektor riil, maupun organisasi-organisasi pemerintahan. Untuk bahasan selanjutnya, tulisan ini akan merujuk pada model 3LD di organisasi korporasi atau perusahaan non-perbankan.
2.
Pertahanan lapis pertama
Pertahana lapis pertama adalah manajer operasi yang memiliki
dan mengelola risiko. Mereka bertanggung jawab untuk menerapkan pengendalian
internal dan pengelolaan risiko dalam pekerjaan sehari-hari. Mereka pun
bertugas untuk melakukan tindakan korektif dalam mengatasi kelemahan pada
proses dan pengendalian.
Pertahanan lapis pertama dilaksanakan oleh unit atau komponen
atau fungsi bisnis yang melakukan aktivitas operasional perusahaan sehari-hari,
terutama yang merupakan garis depan atau ujung tombak organisasi. Dalam hal ini
mereka diharapkan untuk:
a) Memastikan adanya
lingkungan pengendalian (control environment) yang kondusif di unit bisnis
mereka.
b) Menerapkan kebijakan
manajemen risiko yang telah ditetapkan sewaktu menjalankan peran dan tanggung
jawab mereka terutama dalam mengejar pertumbuhan perusahaan. Mereka diharapkan
secara penuh kesadaran mempertimbangkan faktor risiko dalam keputusan-keputusan
dan tindakan-tindakan yang dilakukannya.
c) Mampu menunjukkan adanya pengendalian internal yang efektif di unit bisnis mereka, dan juga adanya pemantauan dan transparansi terhadap efektifitas pengendalian internal tersebut.
3.
Pertahanan lapis kedua
Pertahana lapis kedua adalah fungsi atau unit organisasi yang
membantu membangun dan memantau pengendalian lapis pertama. Meskipun tidak
sepenuhnya independen, fungsi-fungsi ini memastikan lapis pertama dirancang,
diterapkan, dan dioperasikan dengan memadai. Contoh fungsi ini antara lain
manajemen risiko, kepatuhan (compliance), dan penjaminan mutu (quality
assurance).
Pertahanan lapis kedua dilaksanakan oleh fungsi-fungsi
manajemen risiko dan kepatuhan, terutama fungsi-fungsi manajemen risiko dan
kepatuhan yang sudah terstruktur misal: departemen atau unit manajemen risiko
dan kepatuhan. Dalam hal ini, mereka diharapkan untuk:
a)
Bertanggung jawab dalam mengembangkan dan memantau
implementasi manajemen risiko perusahaan secara keseluruhan.
b)
Melakukan pengawasan terhadap bagaimana fungsi bisnis
dilaksanakan dalam koridor kebijakan manajemen risiko dan prosedur-prosedur
standard operasionalnya yang telah ditetapkan oleh perusahaan.
c) Memantau dan melaporkan risiko-risiko perusahaan secara menyeluruh kepada organ yang memiliki akuntabilitas tertinggi di perusahaan.
4.
Pertahanan lapis ketiga
Pertahanan lapis ketiga adalah audit internal yang memberikan
pemastian (assurance) independen terhadap tata kelola, manajemen risiko, dan
pengendalian internal. Mereka bertugas juga untuk memastikan lapis pertama dan
kedua berhasil mencapai sasaran manajemen risiko dan pengendalian yang telah
ditetapkan.
Lapis tambahan di luar struktur organisasi seperti auditor
eksternal dan regulator juga dapat memegang peranan di dalam keseluruhan tata
kelola organisasi. Pihak-pihak ini dapat. Memberikan pemastian tambahan
mengenai manajemen risiko organisasi kepada para pemangku kepentingan. Meskipun
demikian, lingkup pemastian yang diberikan umumnya lebih sempit dibandingkan
lapis pertahanan internal. Ketiga lapis pertahanan harus ada dalam bentuk
tertentu di dalam suatu organisasi. Idealnya, tiap lapis tersebut dilakukan
oleh unit yang terpisah dan terdefinisikan dengan jelas. Namun, misalnya dalam
organisasi yang kecil, beberapa lapis dapat digabungkan. Misalnya, fungsi audit
internal dapat merangkap melakukan fungsi manajemen risiko dan kepatuhan.
Pertahanan lapis ketiga dilaksanakan oleh auditor baik
auditor internal maupun auditor eksternal. Peran auditor internal jauh lebih
intens dalam model 3LD ini karena mereka adalah bagian internal perusahaan yang
bersifat independen terhadap fungsi-fungsi lainnya. Dalam hal ini, auditor
internal diharapkan untuk:
a)
Melakukan reviu dan evaluasi terhadap rancang bangun dan
implementasi manajemen risiko secara keseluruhan, dan
b)
Memastikan bahwa pertahanan lapis pertama dan lapis kedua
berjalan sesuai dengan yang diharapkan.
Untuk perusahaan publik di Indonesia, konteks penerapan model 3LD harus
dilihat dari kacamata bentuk struktur governance di Indonesia yang menganut
‘two-board system’ yaitu keberadaan direksi perusahaan yang memiliki
akuntabilitas eksekutif (executive accountability) dan dewan komisaris yang
memiliki akuntabilitas pengawasan (oversight accountability). Sejalan dengan
peraturan Bapepam, direksi memiliki unit audit internal sebagai bagian dari
pengendalian perusahaan dan dewan komisaris memiliki komite audit sebagai
bagian dari mekanisme pelaksanaan akuntabilitas mereka. Dalam konteks tersebut,
di bawah ini adalah ilustrasi gambaran umum model Pertahanan Tiga Lapis untuk
perusahaan publik di Indonesia:
Gambar di atas menunjukkan bahwa ketiga lapis pertahanan berada di bawah
akuntabilitas dan koordinasi langsung direksi perusahaan (ditunjukkan dengan
tanda panah solid), sedangkan dewan komisaris – melalui komite audit mereka –
memiliki akuntabilitas tidak langsung (ditunjukkan dengan tanda panah
terputus-putus) terhadap pertahanan lapis ketiga. Walaupun dewan komisaris
hanya memiliki koordinasi dengan auditor internal dan eksternal untuk
pertahanan lapis ketiga, mereka juga sebenarnya secara tidak langsung terlibat
dalam pemantauan efektifitas pertahanan lapis kedua melalui hasil reviu auditor
internal tentang efektifitas kebijakan dan implementasi manajemen risiko di
perusahaan mereka secara menyeluruh.
Walaupun tidak diharuskan oleh Bapepam, dewan komisaris di beberapa
perusahaan publik juga memiliki komite pemantau risiko di samping komite audit.
Bagi perusahaan-perusahaan tersebut, akuntabilitas pertahanan lapis kedua
secara lebih eksplisit juga menjadi bagian dari akuntabilitas tidak langsung
dewan komisaris perusahaan, sebagaimana diilustrasikan dalam gambar di bawah
ini:
Gambar di atas memperlihatkan bahwa akuntabilitas langsung untuk ketiga
lapis pertahanan ada di direksi perusahaan (ditunjukkan dengan tanda panah
solid), sementara akuntabilitas dewan komisaris bersifat tidak langsung
(ditunjukkan dengan tanda panah terputus-putus) dan terkait hanya pada lapis
kedua dan ketiga dari pertahanan tersebut.
Walaupun dewan komisaris – melalui komite audit dan komite pemantau
risiko – hanya memiliki koordinasi dengan auditor internal dan eksternal untuk
pertahanan lapis ketiga, dan koordinasi dengan departemen atau unit manajemen
risiko untuk pertahanan lapis kedua, mereka juga sebenarnya secara tidak
langsung dapat terlibat dalam pemantauan efektifitas pertahanan lapis pertama
melalui laporan-laporan dari departemen atau unit manajemen risiko tersebut
kepada komite pemantau risiko.
Bagi beberapa orang, penerapan model 3LD ini diyakini akan membuat daya tahan (resilience) perusahaan terhadap risiko-risiko yang dihadapi akan jauh lebih kuat – terutama bagi perusahaan publik yang memiliki komite audit dan komite pemantau risiko – dibanding perusahaan yang tidak menerapkannya. Oleh karena itu, sering dikatakan bahwa kematangan dan efektifitas penerapan Enterprise Risk Management (ERM) di perusahaan akan tercermin dari efektifitas penerapan model 3LD ini. Semakin matang model ini diterapkan, semakin intens terciptanya suatu budaya manajemen risiko yang terpadu di seluruh proses dan seluruh lini perusahaan, menuju suatu tingkat daya tahan organisasi (organizational resilience) yang kokoh dan menyeluruh.
5.
Kesimpulan
Tata kelola adalah serangkaian kebijakan, aturan, atau kerangka kerja yang digunakan perusahaan untuk mencapai tujuan bisnisnya. Tata kelola menentukan tanggung jawab pemangku kepentingan utama, seperti dewan direksi dan manajemen senior.
Daftar Pustaka
https://www.pelatihan-sdm.net/tiga-lapis-pertahanan-untuk-manajemen-risiko-yang
efektif/ Diunduh 16 November 2022
https://crmsindonesia.org/publications/pertahanan-3-lapis-the-3-lines-of-defence konteks- erm-perusahaan-publik-di-indonesia/ Diunduh 16 November 2022
Komentar
Posting Komentar