Kejadian-kejadian risiko yang makin beragam dan kompleks membutuhkan manajemen risiko yang berlapis dan tertata dengan baik. Manajemen risiko tidak hanya menjadi tugas dari fungsi manajemen risiko dan kepatuhan, tetapi menjadi tanggung jawab bersama dari berbagai fungsi yang ada dalam organisasi. Hal ini kemudian dikemas menjadi Three Lines of DefenseModel (LOD), pertama kali diperkenalkan olehThe Basel Committee on Banking Supervision’sPrinciples for Sound Management of OperationalRisk (BCBS PSMOR) pada bulan Juni 2011.
Komite ini awalnya memperkenalkan Model LOD untuk menjelaskan tanggung jawab dalam manajemen risiko operasional perusahaan, tetapi kemudian menjadi komponen kunci dari tata kelola risiko organisasi menyeluruh. Model ini menjelaskan pembagian tanggung jawab, akuntabilitas, dan sejauh mana independensi masing-masing penanggung jawab manajemen risiko tersebut. Beberapa survey yang dilaksanakan oleh PSMOR maupun The FinancialStability Board (FSB) secara jelas menunjukkan indikasi bahwa para regulator terus mencari cara agar Model LOD wajib diadopsi oleh perbankan secara utuh.
Menurut BCBS PSMOR, tata kelola risiko operasional membutuhkan pertahanan tiga lapis, yakni (1) Manajemen Lini Bisnis (Business LineManagement); (2) Fungsi Manajemen Risiko Korporat yang independen (Independent CorporateOperational Risk Function; dan (3) Pengkaji Independen (Independent Review). Pertahanan lapis pertama, yakni manajemen lini bisnis, bertanggung jawab untuk mengidentifikasi dan mengelola risiko yang melekat kepada produk/jasa, aktivitas-aktivitas, proses-proses, dan sistem-sistem yang menjadi tanggung jawabnya. Pertahanan lapis pertama memberikan jaminan (assurance) kepada manajemen, dan memberi informasi kepada Komite Audit dengan mengidentifikasi risiko-risiko dan program perbaikan/peningkatan, menerapkan kontrol, dan menyampaikan laporan terkini. Lini bisnis bertanggung jawab untuk memastikan risiko dan control ditetapkan sebagai bagian dari operasional sehari-hari.
Pertahanan lapis kedua, biasanya dijalankan oleh fungsi manajemen risiko korporat yang independen, termasuk fungsi yang menjalankan proses pengukuran dan pelaporan risiko serta Komite Risiko.
Fungsi manajemen risiko korporat ini bertanggung jawab untuk membuat konsep dan implementasi kebijakan dan prosedur, menyiapkan panduan dan arahan dalam implementasi kebijakan, memonitor eksekusi, memperkenalkan praktik terbaik, menjamin kepatuhan, dan memberikan jaminan pengawasan bagi para anggota Direksi serta Komite Audit. Mereka harus terus mengkaji dan memastikan aktivitas manajemen risiko menyatu dalam sistem kontrol internal yang lebih luas sebagai bagian dari kerangka jaminan yang efisien, efektif, dan terpadu.
Pertahanan lapis ketiga bertugas untuk melakukan tinjauan dan mengkaji secara independen kontrol, proses, dan sistem manajemen risiko operasional. Review ini boleh jadi dilaksanakan oleh audit internal atau oleh staf independen maupun oleh pihak eksternal yang kompeten.
Audit internal bertanggung jawab untuk mengaudit kontrol-kontrol kunci, laporan formal tentang jaminan, mengaudit penyedia jaminan (assuranceprovider) maupun jaminan kontrol pada level unit bisnis secara independen. Dalam memberikan tantangan independen tersebut, jalur pelaporan bagi auditor internal (praktik terbaik langsung kepada Komite Audit) sangat penting bilamana mereka ingin bertindak secara independen dan obyektif sekaligus dapat melakukan asesmen secara efektif terhadap proses control internal, manajemen risiko, dan tata kelola. Pimpinan dari audit internal harus bertemu secara reguler dengan Komite Audit untuk mendiskusikan isu jaminan apapun.
Seperti telah diuraikan dalam Model LOD, seluruh lapis pertahanan tersebut memiliki tugas spesifik dalam kerangka kontrol internal perusahaan. Adalah tugas Komite Audit untuk memberikan pengawasan dan supervisi serta memonitor efektifitas kontrol internal dan proses-proses dari manajemen risiko maupun aktifitas dari audit internal.
Lalu, bagaimana implementasi Model LOD ini dalam perusahaan? Menurut Institute International Finance (IIF), terdapat perbedaan yang jelas dan independensi antara pertahanan lapis pertama yang bertanggung jawab terhadap pengelolaan risiko dengan pertahanan lapis kedua, yang fungsi utamanya untuk memberikan tantangan kepada lini bisnis dalam penggunaan kerangka kontrolnya terkait dengan upaya meningkatkan manajemen risiko perusahaan.
Pada praktiknya, terdapat variasi bagaimana bank mendapatkan independensi dari kedua lapisan tersebut. Sebagai contoh, sebuah perusahaan boleh jadi hanya punya tim manajemen risiko disatukan dengan pertahanan lapis 1 tapi terpisah dengan fungsi, sedangkan beberapa perusahaan mungkin menggabungkan keduanya tergantung dengan kompleksitas, ukuran perusahaan, dan kondisi alamiah dari bisnis atau variasi profil risiko di antara area bisnis. Artinya, setiap perusahaan kemudian bias mengembangkan Model LOD sesuai kebutuhannya.
