COBIT, COSO, dan ERM memberikan kerangka untuk pengendalian internal dan manajemen risiko TI yang membantu perusahaan mencapai tujuan bisnis dan mengelola risiko terkait TI."

1. Sistem Informasi dan Pengendalian Internal
"Model Kerangka Pengendalian : COBIT, COSO, ERM"
Disusun Oleh :
Angga Priyana
55518110048
COBIT, COSO dan ERM
1.COBIT
Definisi COBIT(Control ObjectivesforInformationandRelatedTechnology)
COBIT adalah suatuauditsisteminformasi dandasarpengendalianyangdibuatolehInformation
SystemsAuditandControl Association(ISACA) danITGovernance Institute (ITGI) padatahun1992.
COBIT pertamakali diterbitkanpadatahun1996, kemudianedisi keduadari COBITditerbitkanpada
tahun1998. Pada tahun2000 dirilisCOBIT3.0 dan COBIT 4.0 padatahun 2005. KemudianCOBIT4.1
dirilispadatahun2007 dansaat ini COBIT yangterakhirdirilisadalahCOBIT5.0 yang dirilispada
tahun2012.
COBIT merupakankombinasidari prinsip-prinsipyangtelahditanamkanyangdilengkapi dengan
balance scorecarddan dapat digunakansebagai acuanmodel (seperti COSO)dandisejajarkan
denganstandarindustri,seperti ITIL,CMM,BS779, ISO 9000.
Maksud dari COBIT :
1.Menyediakankebijakanyangjelasdanpraktik2yangbaikuntukIT governance dalamorganisasi
tingkatandunia.
2.Membantuseniormanagementmemahami danmemanage resiko2terkaitdenganTI.COBIT
melaksanakannyadenganmenyediakansatukerangkaITgovernance danpetunjukcontrol objective
rinci untukmanagemen,pemilikprosesbusiness,users,danauditors.
TujuanCOBIT
1.Diharapkandapat membantumenemukanberbagaikebutuhanmanajemenyangberkaitandengan
TI.
2.Agar dapat mengoptimalkaninvestasi TIMenyediakanukuranataukriteriaketikaterjadi
penyelewenganataupenyimpangan.

2. Adapunmanfaatjikatujuantersebuttercapai adalah:
1.Dapat membantumanajemendalampengambilankeputusan.
2.Dapat mendukungpencapiantujuanbisnis.
3.Dapat meminimalisasikanadanyatindakkecurangan/fraudyangmerugikanperusahaanyang
bersangkutan.
LandasanCOBIT
1.Menyediakaninformasi yangdibutuhkanuntukmencapai sasaran-sasaran,
2.Suatu organisasi harusmemanage sumberdayaTInyamelalui satukumpulanproses-prosesyang
dikelompokkansecaraalami.
3.Grup-grupprosesCOBIT disusunsecarasederhanadanberorientasi padahirarki bisnis
4.SetiapprosesmerujuksumberdayaTI,danpersyaratan2kualitas,fiduciary/kepercayaan,dan
keamanandari informasi.
COBIT dirancanguntukdigunakanoleh3penggunayangberbedayaitu
1.Manajemen: untukmembantumerekadalammenyeimbangkanantararesikodaninvenstasi
pengendaliandalamsebuahlingkunganITyangtidakdapat diprediksi.
2.User : Untuk memperolehkeyakinanataslayananinformasidanpengendalianIT yangdisediakan
olehpihakinternal ataupihakketiga
3.Auditor: Untukmendukungataumemperkuatopini yangdihasilkandanmemberikansaran
kepadamanajmenataspengendalianinternyangada.
Tujuanpada setiapkomponenCOBIT
1.Planningandorganization
Domainini mencakupstrategi dantaktik,danperhatianatasidentifikasibagaimanaITsecara
maksimal dapatberkontribusi dalampencapaiantujuanbisnis.Selainiturelisasidanvisi strategis
perludirencanakan,dikomunikasikandandikelolauntukberbagai perspekstif yangberbeda.
2.AcquisitionandImplementation
Untuk merealisasikanstrategi IT,solusi ITperludiidentifikasi,dikembangkan,dandiimplementasikan
dan terintegrasi dalamprosesbisnis.Selainituperubahansertapemeliharaansistemyangada harus

3. dicakupdalamdomainini untukmemastikanbahwasiklushidupakanterusberlangsunguntuk
sistem-sistemini.
3.Deliveryandsupport
Domainini memberikanfokusutamapadaaspekpenyampaianataupengirimandari IT.Domainini
mencakuparea-areaseperti pengoperasianaplikasi-aplikasi dalamsistemITdanhasilnya,serta
prosesdukunganyangmemungkinkanpengoperasiansistemITtersebutdenganefektif danefisien.
Prosesdukunganini termasukmasalahkeamanandanjugapelatihan
4.Monitoring
Semuaproses IT perludinilaisecarateratursepanjangwaktuuntukmenjagakualitasdan
pemenuhanatassyaratpengendalian.Domainini menunjukpadaperlunyapengawasanmanajemen
atas prosespengendaliandalamorganisasi sertapenilaianindependedenyangdilakukanbaik
auditorinternal maupuneksternal.
2.COSO
Definisi COSO(The Committee of SponsoringOrganizationsof the TreadwayCommission’s)
COSOadalah suatuorganisasi yangdibentukolehSektorswastadi tahun1985. Komisi ini disponsori
oleh5 professional associationyaitu:AICPA,AAA,FEI,IIA,IMA.Tujuankomisi ini adalahmelakukan
risetmengenai frauddalampelaporankeuangan(fraudulentonfinancialreporting) danmembuat
rekomendasi2yangterkaitdengannyauntukperusahaanpublik,auditorindependen,SEC, dan
institusi pendidikan.Misi COSOadalahmemperbaiki/meningkatkankualitaslaporankeuangan
entitasmelaluietikabisnis,pengendalianinternal yangefektif,dancorporate governance.
PengendalianInternal menurutCOSOadalahsuatuprosesdidalamorganisasi yangdipengaruhi oleh
dewanpengawas(board),manajemen,danpersonal lainnyauntukmemberikankeyakinanmemadai
bagi pencapaiantujuanorganisasi.Tujuanyanghendakdicapai adalahEfektifitasdanefisiensi
operasional,realibilitasdanpelaporankeuangan,kepatuhanatashukumdanperaturanyang
berlaku.
Tujuanpada setiapkomponenCOSO:
1.Lingkunganpengendalianmenyediakanarahanbagi organisasi danmempengaruhi kesadaran
pengendaliandari pihak-pihakyangadadalamorganisasi tersebut
2.Dalam penaksiranresikountukmencapai tujuanyaitumembentuksuatudasaruntukmenentukan
bagaimanaresikoharusdikelola
3.Aktivitaspengendalianmenjaminbahwaarahanmanajemendilaksanakandanmembantu
memastikanbahwatindakanyangdiperlukanuntukmenanggulangi resikodalampencapaiantujuan
organisasi.

4. 4.Perlunyauntukmengaksesinformasi dari dalamdanluar,mengembangkanstrategi yangpotensial
dan sistemterintegrasi,sertaperlunyadatayangberkualitas.Sedangkankominikasiberfokuskepada
penyampaian permasalahanpengendalianinterndanmengumpulkaninformasi pesaing.
Pemantauanmenentukankualitaskinerjapengendalianinternsepanjangwaktu,metode yang
digunakanolehentitasuntukmengirimkan,mengolah,memelihara,danmengaksesinformasiserta
penerapanpersyaratanhukumdanperaturan.
3.ERM (Enterprise Risk Management)
Definisi (ERM) adalahsuatuprosesyangdipengaruhiolehboardof director,danpersonellaindari
suatuorganisasi,diterapkandalamsettingstrategi,danmencakuporganisasi secara keseluruhan,
didesainuntukmengidentifikasikejadianpotensial yangmempengaruhisuatuorganisasi,untuk
memberikanjaminanyangcukuppantasberkaitandenganpencapaiantujuanorganisasi (COSOERP,
2004).
Jadi definisiERMadalah kumpulanpandanganmengenai risikodari sudutpandangoperasional
maupunstrategisdanmerupakanprosesyangmendukungpenguranganketidakpastianserta
mempromosikaneksploitasi peluang.
Dua buah frameworkpengertianERMadalahCOSOdan RIMS. Keduanyamendeskripsikan
pendekatan untukmengidentifikasi,menganalisa,bertanggungjawab,danmemonitorrisiko
ataupunpeluangdi dalammaupundi luar lingkunganyangdihadapi perusahaan.
PengungkapanERMmerupakansalahsatuelemendari informasi nonfinansialperusahaanyang
disajikandalamlaporantahunannya.Pengungkapanmengenai ERMtermasukpadakategori
pengungkapanwajibyangharusdilaporkanperusahaan.Walaupunperaturanmengenai penerapan
dan pengungkapanERMbelumdiatursecarakhusus,namunperusahaantetapdapatmenerapkan
dan mengungkapkannyasebagai bentukpelaksanaanGCG(MeizarohdanLucyanda,2011).
PengungkapanERMmerupakangambarandari penerapanmanajemenrisikosuatuperusahaan.
BerdasarkanERM FrameworkyangdikeluarkanCOSO,terdapat108 itempengungkapanERMyang
mencakupdelapandimensi yaitu:lingkunganinternal,penetapantujuan,identifikasikejadian,
penilaianrisiko,responatasrisiko,kegiatanpengawasan,informasi dankomunikasi,dan
pemantauan.
Manfaat Implementasi ERMsecara konsistenadalah:
1.Meningkatkanefektifitasorganisasi
DenganadanyaERM, terciptakoordinasi yanglebihbaikantarabeberapafungsi pengelolaanrisiko
sertameningkatkanruanglingkuppengelolaanrisiko.Pengelolaanrisikosecaraterintegrasi akan
memperbesarpeluangpencapaiantujuanperusahaan,sehinggaakanmeningkatkanvalue.
2.Meningkatkanketahananorganisasi

5. PenerapanERMmenjadi suatulangkahantisipasi ataumitigasi risikoyangmungkindihadapi suatu
organisasi.
3.Meningkatkankualitastatakelolaorganisasiyangbaik(Good Corporate Governance).
4.Adanyasinergi antarastrategi perusahaandantingkatrisikoyangditerima(RiskAppetite)untuk
mencapai tujuan.
5.Alokasi biayadanmanfaatlebihseimbang.
6.Memberi kepastian
Maksudnya,mengurangi konsekuensi tidakpasti dari suatukeadaanyangmerugikandansudah
diperkirakansebelumnya.
7.Meningkatkankepercayaanparastakeholders
ERM sangat pentingkarena:
1.ERM membantuorganisasi mencapai tujuannyasambilmenghindari perangkapdankejutan-
kejutan
2.Nilai akanmenjadi maksimumbilamanajemenmenetapkanstrategi dantujuanuntukmencapai
keseimbanganyangoptimal antarapertumbuhan,hasildanresikoyangterkaitpenyebaransumber
daya secaraefektif danefisiendalampencapaintujuanperusahaan
3.ERM membantumemastikanpelaporanyangefektif sesuaidenganperaturanperundang-
undangandan membantumenghindari rusaknyareputasi dankonsekuensinya
4.Bank-bankdiwajibkanuntukmenerapkanresikosecaraefektif
5.Penerapanmanajemenresikoharus:
a.Supervise aktifdari dewandireksi dankomisaris
b.Kecukupankebijakan,prosedur,danpenetapanlimit
c.Kecukupanprosesidentifikasi,pengukuran,pemantauandanpengendalianresikodansistem
informasi manajemenresiko
d.Sistempengendalianinternyangmenyeluruh
e.Sesuai denganketentuan BankIndonesia.
f.KetentuanBankIndonesiatentangmanajemenresikoadalahstandarminimumyangharus
dipenuhi olehsistemperbankanIndonesia
Denganketentuan-ketentuantersebutBankdiharapkanmengintegrasikanseluruhkegiatannya
kedalammanajemenresikoyangakuratdanmenyeluruh.

6. Implementasi COBIT
1.PerencanaandanOrganisasi
Untuk PT X perencanaandanorganisasi,berikutkelemahan-kelemahanPTX:
a.RencanastrategikTI
Sudahada rancangan rencanastrategikTI nya tetapi belumdapatdiaplikasikan.
b.Arsitekturinformasi
Sisteminformasi yangsudahdikembangkanbelumterintegrasi.
c.Organisasi TIdan hubungan
Sudahada Tim IT yang menangani perusahaantersebut,tetapi belumbekerjasecaramaksimal
d.Investasi TI
Belumadanyarancangan anggaranTI yang menyeluruh.
Alokasi anggaranyangterbatas.
Komunikasi tujuandanarahmanajemen
e.ManagerSDM
PenempatanSDMyang tidaktepatdan pembagiantugasyangtidakjelas.
Pengelolaansumberdayayangbelumoptimal baikdi tingkatteknisoperasional maupunmanajerial.
Kurangnyakesiapandalamantisipasi baikterhadapperkembanganteknologiinformasi dan
komunikasi maupunterhadaptuntutanmasyarakat.
f.Penilaianresiko
Belumadanyamanajemenresikodanmanajemenkualitasyangbaku
g.Manajemenproyek
Manajemenproyektelahdilakukannamunbelumoptimal.
Desainsistemtidakdidukungdatayangakurat dan lemahnyakoordinasi
h.Manajemenkualitas
Kurangnyatenagaahli yangmampu mengawasi kualitasTIdanrendahnyapenghargaan
terhadapSDMTI terampil mempengaruhi kualitassistemdanpengembanganTI.
2.Akuisisi danImplementasi

7. Ditinjaudari tahapanakuisisi danimplementasi makadapatdisimpulkanbahwasebenarnyatelah
terdapatbeberapaotomatisasi layanandanpengembangansisteminformasi.Namun
pengembangansistemtersebutmasihsporadisdanbelumterintegrasi.Beberapakelemahanyang
ditemukandiantaranya:
a.Pemeliharaanaplikasi perangkatlunak
Tidakterdapatalokasi anggaranyang memadai untukpemeliharaan.Yangseringterjadijustru
penggunaanperangkatlunak tidakoptimal
Pemeliharaaninfrastrukturteknologi
TidakdidukungSDMTI yanghandal dalam pemeliharaaninfrastruktur.
Alokasi anggaranpemeliharaanmasihterbatas.
Jangkawaktupemakaianyangtidakjelas.
b.Mengembangkandanmemeliharaprosedur
Aturanyang berubah-ubahmenjadikanprosedurturutberubahpula.
Tidakada korelasi dankoherensi antarsetiapperubahansehinggamenyulitkan
pengembangandanpemeliharaanprosedur.
c.Instalasi system
Instalasi sistemmasihdalamtahappengembanganke depandanmenyeluruh.
3.PelaksanaandanDukungan
PengembanganITpadaPTX dilihatdari pelaksanaandandukunganbagi keberlanjutannya,ternyata
masih
dapat ditemukanbeberapakelemahansebagai berikut:
a.Mengaturkinerjadankapasitas
Tidakterdapatstandarisasi antarakapasitasdan aktualitas,potensi danhasil kerja.
b.Memastikankeamanansystem
Belumadanyasistemyangmenjaminkeamanandatasertapengelolaandatayangbelum
optimal.Tanggungjawabterhadapkeamanandatadantransaksi yang tidakjelas,prosedur
dan mekanisme pengamanandatayangminimalisdansangatrentanterhadapserangan.
c.Edukasi danpelatihan
BelumadanyaSDMyang cukupuntukmenjalankannya.

8. d.Mengaturfasilitas
Perencanaanfasilitasdanpemeliharaansudahdilaksanakan,namunmasihbelumoptimalbegitu
jugapemanfaatandanpemeliharaanfasilitas.
e.Mengaturoperasional
Tidakdidukungdengansistemyangjelas.
Peraturanyangada masihbersifatumumdanmulti tafsir.
Metode cobitperluditerapkanpadaPTX denganharapan metode cobitdapatlebih baikdan
terorganisirsehinggavisi danmisi perusahaandapattercapai danjugadapatmemberikankontribusi
bagi manajemen.
Implementasi COSO
1.LingkunganPengendalian
Lingkunganpengendalianmerupakankomponenyangterpentingkarenamembentukbudayadan
perilakumanusiamenjadi sadarakanpentingnyapengendalian.PerusahaanXmasihmemiliki
beberapakelemahandalampengendalininternal,yaitu:
a.BelumadanyaSDMyang memadai untukmelakukanpekerjaan.
b.Strukturorganisasi yangbelumjelas.
2.Pengukuranresiko
Penilaianresikomerupakanidentifikasi danmenilai resiko-resikoyangdihadapi dalammencapai
tujuan.Perusahaansemakindituntutuntukdapatmengenalidanmengelolarisiko-risikokegiatan
yang dihadapinyahinggake tingkatyangdapatditerima.Untuk
pengukuranresikoperusahaansertaberkelanjutanmelakukananalisauntukmengidentifikasikan
resiko-resikoyangsedangdihadapi olehperusahaan.Dalamperusahaanpengukuranresikomanjadi
hal yang sangat pentingkarenahal ini akanmenentukantingkatgoingconcernperusahaan.
ImplementasinyapadaPT.X adalahmanajemenberusahauntukmelakukanprojekseefisiendan
efektivmungkinuntukmengurangi biayakegagalanuji cobadankehilanganwaktu.
3.AktivitasPengendalian
Aktivitaspengendalianadalahsegalakebijakandanproseduruntukmeyakinkanbahwatindakan
yang diperlukanuntukmengatasi resiko-resikobenar-benardilaksanakandalamrangkamencapai
tujuanorganisasi.Efektivitasaktivitaspengendalianakantergantungdari ketepatandalam
mengidentifikasi danmengukurresikoyangdilakukanperusahaan.Beberapakebijakanyangdiambil
perusahaandalammelakukanaktivitaspengendalianantaralain:

9. a. Dalam bidangpengadminstrasian,makadilakukanpencatatandanpenyimpanandokumen
denganbaik.Semuadokumendilakukanpengamanan,mulai dari keamanankomputer,lalu
pengarsipan.
b. Dalambidangakunting,makabiaya-biayayangdi keluarkanharusdi periksakembali karenadi
khawatirkanterjadi frauddalampencatatan.
4.Teknologi InformasidanKomunikasi
Perusahaanmenyadari bahwakomponenpengendalianinternal (lingkunganpengendalian,penilaian
resiko,aktivitaspengendalian,pemantauan)akanmudahdirealisasikanjikaterdapatsistem
informasi dankomunikasiyangbaikdanandal dalamperusahaanatau organisasi.Perusahaantelah
memilikikebijakansebagai pedomanteknologi informasi dankomunikasi.Sebagai contohpenerapan
teknologi informasi dankomunikasi,makaperusahaanmenggunakansistemprontountuk
memudahkanpencatatansistemnya.SelainituPTX jugamenggunakanemail untukmelakukan
komunikasi.
5.Pemantauan
Keseluruhanproseskegiatanperusahaanharusdi pantaudandibuatsedikitperubahanatau
modifikasi biladiperlukan.Makaakanterdapatpengendalianinternalyangdinamisyangberubah
sesuai dengankondisi yangada.Pemantauanadalahusahaberkelanjutanuntukmeyakinkanbahwa
setiapgerakperusahaansecarasinergissedangmengarahkepadausahapencapaiantujuan.Hal ini
dilakukandenganmenilaikembali kekuatanlingkunganpengendalian,usaha-usahapenilaian resiko
dan pemilihanaktivitaspengendalian.Menjadi unsurpentingdalampemantauanadalahpelaporan
terhadappenyimpangandankekurangan.Pemantauandi perlukanagarkinerjasetiapanggota
perusahaandapatdi ukur.Contohnyapemantauandalamtimengeenering,harusdipastikanbahwa
PT X dapat berproduksi sesuai denganwaktuyangsudahditetapkan.
Implementasi ERM
Konsepmanajemenrisikoyangditerapkanadalahberwawasandanberprinsippadamanajemen
risikokorporatterintegrasi.Manajemenrisikokorporatterintegrasiadalahsuatuprosespengelolaan
risikoyangdimulai dari prosesidentifikasi,pengukuran,pemetaan,mitigasi danevaluasi serta
monitoringyangmelibatkanmanajemenperusahaandalamprosespenentuanstrategi di seluruh
unitkerjasecara terintegrasi.Konsepmanajemenrisikodirancanguntukmengidentifikasikan
peristiwa-peristiwa(events) yangberpengaruhnegatif bagi perusahaandanmengelolarisikoagar
selaluberadadi dalambatastoleransi manajemenrisiko.Dengandemikianmanajemenselalu
memilikikeyakinanyangmemadaibahwasasaranperusahaanakandapatdicapai tanpa halangan
dan ancaman yangsignifikan.Manajemenperusahaanakanmeningkatkanseoptimal mungkinnilai
perusahaanmelalui:
Penetapanstrategi dansasaran-sasaranyangmenghasilkan keseimbanganoptimalantaratarget
pertumbuhan,keuntungandanrisiko-risikoinherennya.
Pemanfaatanseluruhsumberdayayangtersediasecaraefisiendanefektifuntukmencapai sasaran-
sasaran-sasaranperusahaan.

10. Untuk mencapai tujuanperusahaandi atas,manajemenmembangundanmengintegrasikan
manajemenrisikoke dalamtatanilai danprosesbisnisdenganberpedomankepadaprinsip-prinsip
dasar:
a.Penyelarasanantaratoleransirisikodenganstrategi manajemenakanselalumemperhitungkan
dan mempertimbangkan toleransirisikoperusahaandi dalammenetapkanberbagai alternatif
strategi bisnis,targetbisnis,danpengembanganmekanisme pengelolaanrisiko.
b.Secaraberkelanjutanmeningkatkankualitaskesadaranatassuaturisikodanmenciptakanbudaya
risiko.
c.Mereduksi ke tingkatserendahmungkinkejutan-kejutandankerugian-kerugianyangbisa
mempengaruhi keputusanoperasional perusahaan.
d.Secarakonsistenmengidentifikasidanmengelolamultirisikosertarisiko-risikoantarunitkerja.
Perusahaanakanmenghadapi berbagai bentukrisikoyangbanyak,yangsecaralangsungmaupun
tidaklangsungmempengaruhi berbagai kegiatanunitkerjadalammelakukankegiatanoperasional.
Olehkarenaitu,perusahaanmengaplikasikanmanajemenrisikoagarmampumemfasilitasi
penentuanresponyangefektifatasdampak-dampakyangsalingberkaitandanpenetapanrespon-
responyangterintegrasi atasmulti risiko
e.Menangkappeluangdenganmengetahui berbagai risikoyangpotensial,manajemenakanberada
dalamposisi mudah mengidentifikasikandansecaraproaktif menangkapkemungkinanterjadinya
risikodi perusahaan.
f.Meningkatkankualitasdanefektifitaspemanfaatansumberdayaperusahaandengantersedianya
beragaminformasi risikoyanglengkapdanakuratakanmembantumanajemensecaraefektif
mengukurkemungkinanrisikoyangterkaitdenganbisnisperusahaan.
Daftar Pustaka :
Ali,Hapzi.2018. Modul Model RerangkaPengendalian:COBIT,COSOdan ERM, Jakarta.
MuhammadArdiansyah.https://www.slideshare.net/MuhamadArdiansyah1/penjelasan-coso-cobit.
Suharso,2016.https://www.klikharso.com/2016/07/pengendalian-intern-coso-terbaru.html,
KritinasDamayanti,2017. https://medium.com/@khristdamay/kerangka-pengendalian-coso-
f4ecca22a10f
KristinaDamayanti,2017. https://medium.com/@khristdamay/control-objective-for-information-
and-related-technology-cobit-742e51efbade.