Teori – teori governansi, manajemen risiko dan pengendalian intern melahirkan beberapa model yang menghubungkan berbagai peran dan tanggung jawab dalam organisasi . Model – model tersebut antara lain adalah model pertahanan tiga lini, model tiga lini dan beberapa model sejenis lainnya seperti model 4,5, dan 7 lini.
Berbagai model tersebut menggambarkan sub sistem yang saling terkait dimana input, proses, dan output di masing-masing lini memengaruhi kinerja dan keberlangsungan organisasi.
Secara umum model tersebut dimaksudkan untuk memastikan akuntabilitas, transparansi, dan independensi fungsi pengawasan organisasi . Dari perspektif teori agensi, model lini tersebut bertujuan untuk mengurangi agency problem dengan menetapkan mekanisme pengendalian dan pengawasan yang berlapis.
Model tiga lini pertahanan (three lines of defense) dan model tiga lini
Model tiga lini ini merupakan perkembangan dari model tiga lini pertahanan (three lines of defense) yang terdiri dari tujuh bagian. Tujuh bagian tersebut adalah:
- Badan governansi
- Manejmen senior
- Peran manajemen lini pertama
- Peran ,anajemen lini kedua
- Audit internal sebagai lini ketiga
- Penyedia assurance eksternal
- regulator (IIA, 2013) (IIA,2020) (lihat Diagram 1 dan Diagram 2).
Model tiga lini pertahanan ini dipandang mengandung beberapa kelemahan, yaitu mendorong organisasi untuk menghindar dari risiko, sedangkan seharusnya adalah mengambil risiko pada tingkat yang tepat. Model ini melahirkan pandangan bahwa manajer risiko dan auditor internal hadir untuk menghentikan manajer lini mengambil risiko terlalu banyak.
Manajemen risiko seharusnya hadir untuk menilai apakah suatu risiko cukup bernilai untuk diambil dan dapat mendatangkan manfaat. Manajer risiko dan auditor internal membantu manajer operasional dengan informasi, alat, atau instrumen dan proses, sehingga manajer operasional dapat mengambil risiko tidak terlalu kecil dan tidak terlalu besar (Mark, 2015)
Badan governansi berperan memastikan terpasangnya berbagai struktur dan proses dalam organisasi untuk terwujudnya governansi yang efektif
Uraian singkat kompoenen model tigal ini sebagai berikut:
Badan governansi (governing body)
Badan governansi berperan memastikan terpasangnya berbagai struktur dan proses dalam organisasi untuk terwujudnya governansi yang efektif. Governing body ini juga berperan memastikan tujuan dan aktivitas organisasi telah selaras dengan kepentingan utama para pemangku kepentingan. Dalam melaksanakan perannya, governing body mendelegasikan tanggung jawab dan menyediakan sumber daya kepada manajemen, menentukan selera risiko organisasi dan menjalankan pengawasan manajemen risiko (termasuk pengendalian intern).
Governing body juga memastikan kepatuhan terhadap hukum, peraturan perundang-undangan, dan nilai-nilai etika, serta membentuk dan mengawasi fungsi audit internal yang independen, objektif, dan kompeten. Keseluruhan peran ini dilakukan dalam rangka memberikan kejelasan dan keyakinan terhadap pencapaian tujuan organisasi.
Manajemen lini pertama: penyedia produk/layanan bagi pelanggan dan mitra
Sebagai unit yang memproduksi produk dan layanan kepada pelanggan atau mitra organisasi, manajemen lini pertama merupakan pemilik risiko, yaitu individu atau entitas yang berakuntabilitas dan berwenang mengelola suatu risiko. Kewenangan pengelolaan ini menjadikan lini pertama juga sebagai pengelola risiko. Lini ini mencakup pula fungsi pendukung seperti SDM, administrasi, dan sarana prasarana.
Sebagai pemilik risiko, manajemen lini pertama mengembangkan dan memelihara pengendalian intern yang telah dibangun agar tetap efektif dalam melakukan kegiatan dan mengelola risiko. Pemilik risiko memimpin dan memberikan arahan (termasuk manajemen risiko) dalam penggunaan sumber daya untuk mencapai tujuan-tujuan organisasi, menjaga komunikasi berkelanjutan dengan governing body dan melaporkan rencana dan realisasi pencapaian tujuan organisasi dan risikonya.
Manajemen lini kedua
Terdapat dua alternatif peran lini kedua, yaitu fokus pada tujuan manajemen risiko spesifik atau mencakup keseluruhan manajemen risiko pada organisasi
Manajemen lini kedua berperan memberi dukungan secara berkelanjutan untuk meyakini pencapaian tujuan manajemen risiko. Dukungan diberikan dalam bentuk keahlian, pemantauan, dan challenge dalam proses mengelola risiko, serta pelaporan dan analisis kecukupan dan efektivitas manajemen risiko. Peran ini dilakukan dalam rangka pengembangan, penerapan, dan peningkatan praktik manajemen risiko dan pengendalian intern pada tiga tingkat: proses, sistem, dan entitas.
Manajemen lini pertama dan manajemen lini kedua dapat dibentuk menjadi satu atau terpisah. Beberapa peran lini kedua dapat ditugaskan kepada para spesialis yang akan memberikan keahlian pelengkap, dukungan, pemantauan, dan mempertanyakan kebijakan dan tindakan para pihak yang menjalankan peran lini pertama.
Terdapat dua alternatif peran lini kedua, yaitu fokus pada tujuan manajemen risiko yang spesifik, misalnya: kepatuhan terhadap hukum, peraturan, dan perilaku yang etis, keamanan teknologi dan informasi; keberlanjutan, atau mencakup tanggung jawab yang lebih luas, yaitu keseluruhan manajemen risiko pada organisasi.
Audit Internal sebagai Lini Ketiga
Lini ketiga adalah risk assurance. Lini ketiga diperankan oleh audit internal yang perannya mencakup mencakup inspeksi, investigasi, evaluasi, dan remediasi. Audit Internal memberikan keyakinan dan saran yang independen dan objektif mengenai kecukupan dan efektivitas governansi dan manajemen risiko. Lini ketiga ini kemudian melaporkan temuannya kepada manajemen dan organ governansi untuk mendorong dan memfasilitasi pengembangan berkelanjutan.
Penyedia Assurance Eksternal
Penyedia assurance eksternal memberikan keyakinan berdasarkan peraturan perundang-undangan dalam rangka melindungi kepentingan pemangku kepentingan. Penyedia assurance juga melakukan perannya atas permintaan manajemen dan unit yang meng-governansi untuk melengkapi assurance dari audit internal.
Model tiga lini pada instansi pemerintah menurut BSN
Model tiga ini pertahanan ini yang kemudian digunakan oleh BSN untuk mengembangkan model tiga lini pada instansi pemerintah (BSN, 2018) (lihat Diagram 3).
Model 4 lini untuk lembaga keuangan
Model tiga lini pertahanan dikembangkan dalam konteks lembaga keuangan dan menjadi empat lini (lihat Diagram 4). Pengembangan ini bertujuan menunjukkan pentingnya komunikasi antara audit internal dan pengawas lembaga keuangan. Model empat lini ini mendorong pengawas lembaga keuangan untuk melakukan pemantauan berkelanjutan dan penilaian atas elemen-elemen audit internal sebagai bagian dari eksaminasi atas lembaga keuangan.
Model empat lini juga menunjukkan bahwa meskipun pengawas lembaga keuangan (regulatory supervisors) dan audit eksternal berada di luar organisasi, kedua berperan penting dalam penguatan sistem governansi dan manajemen risiko, serta memberi keyakinan atas efektivitasnya.
Model 4 lini ICAEW
Selain itu, terdapat beberapa model lain yang serupa seperti model empat lini (ICAEW, 2018), model empat lini untuk lembaga keuangan (Arndorfer & Minto, 2015), model lima lini (Protiviti, 2013), dan model tujuh lini (CAANZ, 2020). Model empat lini terdiri atas:
- Lini1 Kebijakan Manajemen: kerangka kerja pengendalian dan proses reviu manajemen
- Lini 2 Mekanisme Penilaian Mandiri Pengendalian, yaitu proses reviu manajemen secara independen, antara lain dalam bentuk: reviu risiko, reviu kepatuhan, bagian hukum, bagian asuransi, dan proses reviu dewan direksi.
- Lini 3 Audit Anternal, dan
- Lini 4 audit eksternal dan assurance independen lainnya (ICAEW, 2018).
Model 5 lini
Model lima lini berupaya memandang struktur dan proses manajemen risiko dari perspektif pemegang saham dan pemangku kepentingan eksternal. Model lima lini terdiri atas (lihat Diagram 5)
- Lini 1: tone of the organization, yaitu dampak yang timbul secara kolektif dari penerapan tone at the top, tone in the middle, dan tone at the bottom pada manajemen risiko, kepatuhan, dan perilaku yang bertanggung jawab
- Lini 2: manajemen unit kerja dan pemilik proses sebagai pemilik risiko. Identifikasi pemilik risiko sangat penting terkait penetapan pihak yang bertanggung jawab, pihak yang menentukan kapabilitas yang diperlukan untuk mengelola risiko tertentu, pihak yang mendesain, pihak yang mengeksekusi, dan pihak yang memantaunya.
- Lini 3: manajemen risiko, kepatuhan, dan fungsi independen lain yang berfungsi menetapkan kebijakan manajemen risiko diimplementasikan oleh pemilik risiko secara efektif dan konsisten. Lini ini mencakup, misalnya pengendalian keuangan, fungsi lingkungan, kesehatan dan keselamatan, inspeksi, persetujuan hukum, serta penjaminan kualitas. Fungsi ini berkolaborasi dengan pemilik risiko untuk mengembangkan dan memantau pengendalian, serta menginformasikan isu–isu risiko yang baru timbul (emerging risk).
- Lini 4: audit internal melakukan reviu atas pengendalian dan prosesdur manajemen risiko, identifikasi risiko dan peluang perbaikan, serta menyampaikan rekomendasi. Lini 4 ini bercirikan (i) independensi dan obyektivitas, serta jalur pelaporan langsung pada pimpinan organisasi, (ii) kewenangan untuk mengevaluasi efektivitas desain dan implementasi governansi, proses manajemen risiko dan pengendalian secara keseluruhan.
- Lini 5: dewan pengawas risiko dan manajemen eksekutif yang melakukan penanganan ketika terdapat informasi risiko yang dieskalasi ke tingkat pimpinan. (Protiviti, 2013)
Protiviti (2013) berpendapat bahwa penyedia assurance eksternal dan regulator bukan bagian dari lini pertahanan. Masalah yang ditemukan kedua pihak tersebut dipandang sebagai kegagalan dan berdampak buruk bagi organisasi, pemegang saham, dan pemangku kepentingan dalam bentuk penurunan kapitalisasi pasar, denda, hilangnya pendapatan, dan menurunkan citra organisasi.
Penyedia assurance eksternal dan regulator bukan bagian dari lini pertahanan karena masalah yang ditemukan dipandang sebagai kegagalan
Model 7 lini
Model alternatif lainnnya adalah model tujuh lini yang dikemukakan oleh Chartered Accountants Australia and New Zealand. Model tersebut terdiri atas manajemen, kepatuhan dan risiko, fungsi audit internal, dewan, auditor eksternal regulator, dan lembaga investor (CAANZ, 2020).
Desain manajemen risiko korupsi tentunya menjadi bagian dari desain manajemen risiko secara umum. Berbagai model tersebut di atas dapat diadaptasi atau diadopsi untuk diterapkan pada organisasi dengan terlebih dahulu menyesuaikannya dengan hasil analisis organisasional.