Penerapan Three Lines of Defense yang Lebih Efektif Bagi Perusahaan

    penerapan three lines

    Selama bertahun-tahun tim internal audit bertanggung jawab dalam pengelolaan kontrol bisnis telah menjelaskan tentang model pendekatan Three Lines of Defense kepada Board of Directors (BOD) atau stakeholder lainnya.

    Three Lines of Defense merupakan model pertahanan bagi bisnis perusahaan. Pertahanan pertama dan kedua dikelola oleh senior management yang bertanggung jawab terhadap Management Controls, security, risk compliance, dan quality, sedangkan pertahanan ketiga dikelola oleh audit committee, yang bertanggung jawab terhadap audit internal.

    Menurut Daniel A Clark, Internal Audit Director, Washington Trust Bank, “Saat ini bukanlah suatu keunggulan lagi untuk memiliki internal audit yang berdiri sendiri sebagai pemberhentian terakhir untuk manajemen risiko.”

    Hingga kini, ada banyak pihak yang menganggap model pendekatan seperti ini baik untuk bisnis. Namun, tidak ada salahnya bagi perusahaan untuk meninjau kembali model pendekatan Three Lines of Defense yang digunakan.

    Saat ini tim audit internal dapat memberikan nilai terbaik bagi perusahaan. Manajemen risiko perusahaan akan lebih baik jika audit internal dapat terintegrasi dengan dua lapisan pertahanan pertama. Integrasi ini bisa menjadi penghubung antara real-time application dengan visi Governance, Risk, and Compliance (GRC) dan ekspektasi Enterprise Risk Management (ERM) yang diusung perusahaan.

    Berikut adalah beberapa cara yang bisa perusahaan lakukan untuk meninjau pendekatan Three Lines of Defense dan memastikan audit internal tetap independen:

    Apa itu three lines of defences

    Meninjau kontrol bisnis: Lapisan pertama pertahanan

    Penilaian independen efektivitas kontrol merupakan praktik dasar audit internal. Tidak ada salahnya meminta tim auditor untuk meninjau kembali kontrol saat proses sedang ada pengubahan, pengembangan, dan tahap implementasi desain ulang.

    Hal ini dapat memberikan review secara langsung terhadap struktur kontrol yang diusulkan, dengan memungkinkan adanya pengubahan sebelum kontrol bahkan diimplementasikan.

    Lalu apakah manfaat peninjauan kontrol secara dini? Jawabannya adalah untuk menghindari kontrol yang berlebihan, atau mengonfirmasi bahwa kontrol yang diterapkan benar-benar efektif dalam mengurangi risiko bisnis.

    Meninjau fungsi kontrol: Lapisan kedua pertahanan

    Salah satu premis dari model pendekatan Three Lines of Defense adalah audit internal dapat mengandalkan berbagai fungsi kontrol internal yang diterapkan oleh manajemen perusahaan.

    Lalu mengapa internal audit tidak mendukung manajemen dengan menyarankan langkah apa saja yang perlu dilakukan perusahaan untuk mencapai tujuannya?

    Audit internal akan meninjau setiap fungsi kontrol (pengujian kepatuhan, kontrol kualitas, tinjauan risiko kredit, dan lain sebagainya) berdasarkan standar yang berlaku, hal ini untuk mendukung kepercayaan penuh terhadap lapisan kedua pada Three Lines of Defense.

    Audit internal harus melakukan peninjauan selama pembuatan fungsi kontrol ini, memastikan proses yang lebih kuat dan lebih berkelanjutan. Selain itu, peninjauan ini juga dapat menghemat anggaran perusahaan dan memperkuat fungsi lapisan kedua pertahanan.

    GRC yang terintegrasi: Pondasi ERM yang kuat

    Terakhir, GRC berperan sebagai gudang informasi bersama. Audit internal harus aktif berpartisipasi guna mendukung keberhasilan implementasi dan eksploitasi GRC yang berkaitan dengan ERM.

    Sebagai informasi, hasil dari serangkaian tes audit, seperti penilaian risiko audit, dan audit monitoring akan mengkonfirmasi efektivitas kontrol dan upaya ERM yang telah dilakukan perusahaan.

    Melalui internal audit yang melengkapi GRC tool perusahaan, manajemen akan memiliki pandangan terhadap risiko dan kontrol yang lebih jelas. Ke depannya, Audit internal dapat menjadi partner terhadap manajemen risiko, karena mampu mengkonfirmasi secara  independen bahwa kontrol yang diterapkan perusahaan sudah efektif.

    Bagi manajemen sendiri, peran audit internal dengan metode pendekatan ini, seperti “one stop shopping”. Sedangkan bagi audit internal, peran mereka sebagai penasehat terpercaya bagi perusahaan.

    Dari penjelasan di atas dapat disimpulkan bahwa pemisahan audit internal terhadap dua lapisan pertahanan lainnya harus diakhiri. Ada baiknya jika audit internal dan pihak manajemen lainnya melakukan kolaborasi untuk meminimalisir risiko bisnis bersama-sama. Terlebih lagi saat ini sudah ada ERM dan GRC tool yang dapat memudahkan upaya tersebut.

    Jika Anda sedang mencari GRC tool terbaik, AMT IT Solutions merekomendasikan HighBond Platform dari Galvanize. GRC tool HighBond diciptakan oleh para pakar industri yang menginginkan cara lebih baik untuk bekerja.

    Dengan HighBond, kolaborasi di seluruh perusahaan dipastikan akan lebih mudah dan terorganisir. Kolaborasi internal auditor dan HighBond yang menjadikan keduanya sebagai satu sumber terpercaya bagi seluruh perusahaan.

    AMT IT Solutions sebagai salah satu mitra resmi Galvanize di Indonesia, mengajak Anda untuk bergabung dengan ribuan profesional GRC di Komunitas Galvanize global. Tunggu apalagi, segera hubungi kami untuk info HighBond dan produk Galvanize selengkapnya.

    Related Post :