Three Lines Model bukan sekadar kerangka audit. Ia adalah peta peran yang membantu pimpinan K/L dan pemerintah daerah memastikan setiap orang tahu siapa mengelola risiko, siapa mengawasi, dan siapa memberi jaminan independen.

Manajemen risiko di sektor publik sering kali terjebak menjadi pekerjaan satu unit kecil di kementerian atau pemerintah daerah. Risiko dicatat, dinilai, dan dilaporkan — tetapi siapa yang benar-benar mengelolanya, dan siapa yang seharusnya memastikan pengelolaan itu berjalan, kerap tidak jelas. Three Lines Model dari Institute of Internal Auditors (IIA), yang diperbarui pada 2020, menawarkan jawaban sederhana untuk masalah ini.

Versi lama kerangka ini, dikenal sebagai Three Lines of Defense, menempatkan tiga fungsi sebagai “garis pertahanan” terhadap risiko: pelaksana operasional, fungsi pengelola risiko, dan auditor internal. Versi 2020 mengubah metafora “pertahanan” menjadi “peran” dan menambahkan dua aktor penting: badan pengelola (governing body) dan auditor eksternal. Bagi instansi pemerintah, perubahan ini relevan karena memperjelas peran pimpinan politik — Menteri, Gubernur, Bupati, atau Walikota — dalam tata kelola risiko.

Tiga lini dalam konteks pemerintahan

Lini pertama adalah pelaksana program. Di kementerian/lembaga, ini mencakup pejabat Eselon II dan III yang menjalankan kegiatan teknis. Di pemerintah daerah, ini adalah kepala dinas, kepala bidang, dan kepala bagian. Merekalah pemilik risiko sebenarnya — orang yang setiap hari mengambil keputusan operasional yang memengaruhi capaian program.

Lini kedua adalah fungsi yang membantu lini pertama mengelola risiko: unit manajemen risiko, bagian perencanaan, Satuan Pengawas Internal (SPI), atau unit kepatuhan. Mereka tidak menggantikan tanggung jawab lini pertama; mereka menyediakan metodologi, alat, dan ruang dialog agar pengelolaan risiko menjadi sistematis.

Lini ketiga adalah APIP — Inspektorat Jenderal di kementerian, Inspektorat Daerah di pemerintah daerah. Peran mereka adalah memberi jaminan independen kepada pimpinan bahwa kerangka manajemen risiko berjalan efektif. Independensi inilah yang membedakan lini ketiga dari lini kedua, dan yang membuat APIP harus melapor langsung kepada pimpinan tertinggi, bukan kepada unit yang mereka audit.

Peran badan pengelola

Versi 2020 menegaskan bahwa governing body — dalam konteks K/L adalah Menteri, di Pemda adalah Kepala Daerah — bukan pengamat pasif. Mereka menetapkan toleransi risiko, mengesahkan kebijakan manajemen risiko, dan memastikan APIP memiliki independensi dan sumber daya yang cukup untuk menjalankan fungsi jaminannya.

Tiga langkah praktis memulai

  1. Petakan peran yang ada. Sebelum membangun struktur baru, dokumentasikan siapa saat ini menjalankan tiga fungsi tersebut di instansi Anda. Tumpang tindih dan kekosongan akan langsung terlihat — dan biasanya itulah akar persoalan, bukan ketiadaan kerangka.
  2. Pisahkan lini kedua dan ketiga secara struktural. Jika unit manajemen risiko berada di bawah Inspektorat, atau sebaliknya, jaminan independen lini ketiga sulit dipertanggungjawabkan. Garis pelaporan harus mencerminkan independensi peran.
  3. Integrasikan dengan SPIP, jangan ditumpuk. Three Lines Model bukan pengganti Sistem Pengendalian Intern Pemerintah. Ia adalah peta peran yang menjelaskan siapa mengerjakan apa dalam unsur-unsur SPIP yang sudah berjalan — terutama unsur penilaian risiko dan kegiatan pengendalian.

Three Lines Model bekerja bukan karena kompleksitasnya, tetapi karena kesederhanaannya: setiap orang tahu peran masing-masing. Bagi instansi pemerintah yang ingin manajemen risikonya lebih dari sekadar dokumen formal, kerangka ini adalah titik mulai yang baik.