Memberdayakan SPI sebagai “Second Line of Defence”


Konsep Three Lines of Defence atau Tiga Lapis Pertahanan dalam pengendalian intern diperkenalkan pertama kali oleh Institut of Internal Audit (IIA) pada tahun 2013. Meskipun telah diperkenalkan sejak lama, penerapan pendekatan tersebut di Indonesia lebih banyak diadopsi oleh perusahaan-perusahaan swasta (Private Sector). Pada organisasi sektor publik baru sebagian kecil yang telah menerapkan seperti di Otoritas Jasa Keuangan (OJK), bank-bank pemerintah, dan sebagian BUMN. Pada level Kementerian, dan lembaga satu-satunya yang telah menerapkan pendekatan “Tiga Lapis Pertahanan” dalam pengendalian intern adalah Kementerian Keuangan.

Minimnya penerapan pendekatan “Tiga Lapis Pertahanan” pada organisasi kementerian, dan lembaga merupakan kondisi yang relatif wajar, mengingat penerapan Sistem Pengendalian Intern Pemerintah (SPIP) di lingkungan kementerian, dan lembaga masih belum berjalan sesuai harapan. Berdasarkan hasil evaluasi terhadap penyelenggaraan SPIP di kementerian, dan lembaga, aspek yang dinilai masih lemah adalah pada unsur yang kedua yaitu penilaian risiko (risk assestment).

Pendekatan “Tiga Lapis Pertahanan” sendiri lahir sebagai salah satu strategi dalam menunjang keberhasilan organisasi dalam mengelola risiko dalam platform Enterprise Risk Management (ERM) yang digagas oleh IIA, baik untuk organisasi korporasi perbankan atau sektor riil, maupun organisasi-organisasi pemerintahan.

Konsepsi, dan Model Pendekatan Three lines of defence.

Pendekatan ini sering disingkat sebagai model 3LD (three lines of defence). Model 3LD membedakan antara fungsi-fungsi bisnis sebagai fungsi-fungsi pemilik risiko (owning risks/risk owner) terhadap fungsi-fungsi yang menangani risiko (managing risks), dan antara fungsi-fungsi yang mengawasi risiko (overseeing risks) dengan fungsi-fungsi yang menyediakan pemastian independen (independent assurance). Kesemua fungsi tersebut memainkan peran penting dalam platform Enterprise Risk Management (ERM) baik untuk organisasi korporasi perbankan atau sektor riil, maupun organisasi-organisasi pemerintahan, sebagaimana gambar berikut:

Model tiga lapis pertahanan (three lines of defense) membagi fungsi-fungsi di dalam organisasi yang terlibat di dalam manajemen risiko menjadi tiga kelompok atau lapis. Ketiga lapis tersebut adalah pemilik risiko (risk owner), pengawas risiko (risk overseer), dan penyedia pemastian independen (independent assurance provider). Di samping itu, organisasi dapat pula melibatkan pihak eksternal sebagai lapis tambahan.

Lapis pertama adalah manajer operasi yang memiliki, dan mengelola risiko. Mereka bertanggung jawab untuk menerapkan pengendalian internal, dan pengelolaan risiko dalam pekerjaan sehari-hari. Mereka pun bertugas untuk melakukan tindakan korektif dalam mengatasi kelemahan pada proses, dan pengendalian.

Lapis kedua adalah fungsi atau unit organisasi yang membantu membangun, dan memantau pe­ngendalian lapis pertama. Meskipun tidak sepenuh­nya independen, fungsi-fungsi ini memastikan lapis pertama dirancang, diterapkan, dan dioperasikan dengan memadai. Contoh fungsi ini antara lain manajemen risiko, kepatuhan (compliance), dan penjaminan mutu (quality assurance).

Lapis ketiga adalah audit internal yang memberikan pemastian (assurance) independen terhadap tata kelola, manajemen risiko, dan pengendalian internal. Mereka bertugas juga untuk memastikan lapis pertama, dan kedua berhasil mencapai sasaran manajemen risiko, dan pengendalian yang telah ditetapkan.

Lapis tambahan di luar struktur organisasi seperti auditor eksternal, dan regulator juga dapat memegang peranan di dalam keseluruhan tata kelola organisasi. Pihak-pihak ini dapat memberikan pemastian tambahan mengenai manajemen risiko organisasi kepada para pemangku kepentingan. Meskipun demikian, lingkup pemastian yang diberikan umumnya lebih sempit dibandingkan lapis pertahanan internal.

Ketiga lapis pertahanan harus ada dalam bentuk tertentu di dalam suatu organisasi. Idealnya, tiap lapis tersebut dilakukan oleh unit yang terpisah, dan terdefinisikan dengan jelas. Namun, misalnya dalam organisasi yang kecil, beberapa lapis dapat digabungkan. Misalnya, fungsi audit internal dapat merangkap melakukan fungsi manajemen risiko, dan kepatuhan.

Alternatif Penerapan Model 3LD di Lingkungan Kemendikbud

Kementerian Pendidikan, dan Kebudayaan sesuai amanat Peraturan Pemerintah Nomor 60 Tahun 2008 Tentang Sistem Pegendalian Intern Pemerintah (SPIP), telah menyelenggarakan SPIP pada setiap satker sejak tahun 2009. Kemudian pada tahun yang sama juga telah dibentuk Satuan Pengawas Intern (SPI) pada setiap satker di lingkungan Kemendikbud.  Dalam rangka mendukung penerapan manajemen risiko di setiap satker telah diterbitkan Peraturan Menteri Pendidikan, dan Kebudayaan Republik Indonesia nomor 66 tahun 2015 tentang Manajemen Risiko di lingkungan Kementerian Pendidikan, dan Kebudayaan.

Mempertimbangkan kondisi tersebut di atas, penerapan Model 3LD sebagai model pertahanan internal di lingkungan Kemendikbud yang kiranya secara sederhana dapat dijelaskan sebagai berikut:

Pertahanan lapis pertama (First Line of Defence):

Pertahanan lapis pertama dilaksanakan oleh manajemen mulai dari level atas sampai bawah yang melakukan aktivitas operasional organisasi sehari-hari, terutama yang merupakan garis depan atau ujung tombak organisasi. Dalam hal ini mereka diharapkan untuk, (a) Memastikan terwujudnya unsur pertama, dan fundamental dalam SPIP yaitu adanya lingkungan pengendalian (control environment) yang kondusif di unit kerja mereka. (b)  Menerapkan kebijakan manajemen risiko yang telah ditetapkan dalam Permendikbud No. 66 Tahun 2015 sewaktu menjalankan peran, dan tanggung jawab mereka  dalam mencapai tujuan, program, dan kegiatan organisasi. Mereka diharapkan secara penuh kesadaran mempertimbangkan faktor risiko dalam keputusan-keputusan, dan tindakan-tindakan yang dilakukannya. (c) Mampu menunjukkan adanya pengendalian internal yang efektif, dan terukur di unit kerja mereka, dan juga adanya pemantauan, dan transparansi terhadap efektifitas pengendalian internal tersebut

Memberdayakan SPI sebagai Pertahanan lapis kedua (Second Line of Defence)

Dalam tataran konsep, pertahanan lapis kedua dalam Model 3LD adalah fungsi atau unit organisasi yang membantu membangun, dan memantau ­pengendalian lapis pertama. Meskipun tidak sepenuhnya independen, fungsi-fungsi ini memastikan lapis pertama dirancang, diterapkan, dan diope­rasikan dengan memadai. Contoh fungsi ini antara lain manajemen risiko, kepatuhan (compliance), dan penjaminan mutu (quality assurance).

Dalam tataran implementasi pada organisasi kementerian, dan lembaga, unit yang diharapkan dapat menjalankan peran khusus sabagai perta­hanan lapis kedua pada umumnya masih belum terbentuk. Pada Kementerian Keuangan sebagai satu-satunya kementerian yang telah menerapkan pendekatan 3LD, peran tersebut dijalankan oleh unit kepatuhan internal yang ada pada tiap-tiap Satuan Kerja mulai dari Satker Eselon 1 sampai dengan satker eselon 3.

Kementerian Pendidikan, dan Kebudayaan satu dari sedikit Kementerian yang telah membentuk Satuan Pengawasan Intern (SPI) berdasarkan Peraturan Menteri Pendidikan Nasional Nomor 47 tahun 2011. SPI  adalah satuan pengawasan yang dibentuk untuk membantu terselenggaranya pengawasan terhadap pelaksanaan tugas unit kerja di ling­kungan Kementerian Pendidikan, dan Kebudayaan. SPI antara lain menyelenggarakan fungsi,  pengawasan kebijakan, dan program, pengawasan pengelolaan kepegawaian, keuangan, dan barang milik Negara, pemantauan, dan pengkoordinasian tindak lanjut ­hasil pemeriksaan internal dan eksternal, pendam­pingan, dan reviu laporan keuangan, pemberian saran, dan rekomendasi.

Mempertimbangkan keberadaan SPI ­sebagai unit yang tidak sepenuhnya independen sesuai karakteristik pertahanan lapis kedua, maka SPI ­seyogyanya dapat diberdayakan untuk melaksana­kan peran sebagai Lapis Kedua dalam penerapan Model 3 LD di lingkungan Kementerian Pendidikan, dan Kebudayaan.

Dalam melaksanakan peran sebagai lapis kedua dalam model 3LD, mereka diharapkan untuk:

  • Bertanggung jawab dalam mengembangkan, dan memantau implementasi manajemen risiko  secara keseluruhan.
  • Melakukan pengawasan terhadap bagaimana fungsi program, dan kegiatan dilaksanakan dalam koridor kebijakan manajemen risiko, dan prosedur-prosedur standard operasionalnya yang telah ditetapkan oleh lembaga.
  • Memantau, dan melaporkan risiko-risiko ­organisasi secara menyeluruh kepada organ yang memiliki akuntabilitas tertinggi di organisasi (Menteri/Pejabat Eselon 1)
  • Sebagai Penjamin Mutu (Quality Assurance)
  • ·Melakukan pemantauan, dan reviu secara berkala terhadap pelaksanaan manajemen risiko.
  • Memastikan kepatuhan terhadap ketentuan yang berlaku.

Penilaian atas mutu kinerja pengendalian intern dengan ruang lingkup, dan frekuensi tertentu berdasarkan pada penilaian risiko, dan efektivitas prosedur pemantauan berkelanjutan adalah tugas-tugas SPI sebagai pertahanan lapis kedua. Seluruh tugas yang dilaksanakan dalam rangka kontrol terhadap first line dan second line adalah sebuah kegiatan monitoring (pemantauan Pengendalian Intern), bukanlah tugas AUDIT yang berpotensi menimbulkan penolakan.

Dengan demikian, jika SPI dapat melaksanakan perannya sebagai lapis kedua, pada dasarnya SPI merupakan sahabat bagi manajemen, dan seluruh pegawai. Ia berfungsi sebagai pengingat manakala ditemukan kelemahan dalam sistem pengendalian intern di dalam organisasi. Ini sangat bermanfaat untuk menghindarkan organisasi dari hal-hal yang dapat mengakibatkan tidak tercapainya tujuan. Diharapkan peringatan awal ini menjadi langkah prefentif untuk menyelamatkan organisasi dari kemungkinan melakukan kesalahan yang lebih besar.

Pertahanan lapis ketiga (Third Line of Defence)

Pertahanan lapis ketiga dilaksanakan oleh auditor internal (APIP) Inspektorat Jenderal Kemen­terian. Peran auditor internal jauh lebih intens ­dalam model 3LD ini karena mereka adalah bagian internal organisasi yang bersifat independen terhadap fungsi-fungsi lainnya. Dalam hal ini, auditor internal diharapkan untuk Melakukan reviu, dan evaluasi ter­hadap rancang bangun, dan implementasi manajemen risiko secara keseluruhan. Disamping itu juga memastikan bahwa pertahanan lapis pertama, dan lapis kedua berjalan sesuai dengan yang diharapkan.

Mengingat peran, dan fungsi SPI di lingkungan Kemendikbud, sudah seyogyanya SPI diberdayakan sebagai lapis kedua pertahanan pengendalian internal pada tiap-tiap unit kerja.

Untuk mendukung peran tersebut diperlukan penyempurnaan terhadap Peraturan Menteri Pendidikan Nasional Nomor 47 tahun 2011 Tentang Satuan Pengawasan Intern agar tugas SPI yang merupakan bagian dari manajemen organisasi yang tidak sepenuhnya independen, tidak sama persis (copy paste) dengan tugas, dan fungsi Inspektorat Jenderal Kemendikbud yang sepenuhnya independen dalam menjalankan peran pengawasan. 

Penulis oleh: Masrul Latif, S.Ip., M.Si. QIA, CFra. (Inspektorat Investigasi)

Tags

Tiga Lapis Pertahanan