COBIT, COSO, dan ERM memberikan kerangka untuk pengendalian internal dan manajemen risiko TI yang membantu perusahaan mencapai tujuan bisnis dan mengelola risiko terkait TI."
3. dicakupdalamdomainini untukmemastikanbahwasiklushidupakanterusberlangsunguntuk
sistem-sistemini.
3.Deliveryandsupport
Domainini memberikanfokusutamapadaaspekpenyampaianataupengirimandari IT.Domainini
mencakuparea-areaseperti pengoperasianaplikasi-aplikasi dalamsistemITdanhasilnya,serta
prosesdukunganyangmemungkinkanpengoperasiansistemITtersebutdenganefektif danefisien.
Prosesdukunganini termasukmasalahkeamanandanjugapelatihan
4.Monitoring
Semuaproses IT perludinilaisecarateratursepanjangwaktuuntukmenjagakualitasdan
pemenuhanatassyaratpengendalian.Domainini menunjukpadaperlunyapengawasanmanajemen
atas prosespengendaliandalamorganisasi sertapenilaianindependedenyangdilakukanbaik
auditorinternal maupuneksternal.
2.COSO
Definisi COSO(The Committee of SponsoringOrganizationsof the TreadwayCommission’s)
COSOadalah suatuorganisasi yangdibentukolehSektorswastadi tahun1985. Komisi ini disponsori
oleh5 professional associationyaitu:AICPA,AAA,FEI,IIA,IMA.Tujuankomisi ini adalahmelakukan
risetmengenai frauddalampelaporankeuangan(fraudulentonfinancialreporting) danmembuat
rekomendasi2yangterkaitdengannyauntukperusahaanpublik,auditorindependen,SEC, dan
institusi pendidikan.Misi COSOadalahmemperbaiki/meningkatkankualitaslaporankeuangan
entitasmelaluietikabisnis,pengendalianinternal yangefektif,dancorporate governance.
PengendalianInternal menurutCOSOadalahsuatuprosesdidalamorganisasi yangdipengaruhi oleh
dewanpengawas(board),manajemen,danpersonal lainnyauntukmemberikankeyakinanmemadai
bagi pencapaiantujuanorganisasi.Tujuanyanghendakdicapai adalahEfektifitasdanefisiensi
operasional,realibilitasdanpelaporankeuangan,kepatuhanatashukumdanperaturanyang
berlaku.
Tujuanpada setiapkomponenCOSO:
1.Lingkunganpengendalianmenyediakanarahanbagi organisasi danmempengaruhi kesadaran
pengendaliandari pihak-pihakyangadadalamorganisasi tersebut
2.Dalam penaksiranresikountukmencapai tujuanyaitumembentuksuatudasaruntukmenentukan
bagaimanaresikoharusdikelola
3.Aktivitaspengendalianmenjaminbahwaarahanmanajemendilaksanakandanmembantu
memastikanbahwatindakanyangdiperlukanuntukmenanggulangi resikodalampencapaiantujuan
organisasi.
4. 4.Perlunyauntukmengaksesinformasi dari dalamdanluar,mengembangkanstrategi yangpotensial
dan sistemterintegrasi,sertaperlunyadatayangberkualitas.Sedangkankominikasiberfokuskepada
penyampaian permasalahanpengendalianinterndanmengumpulkaninformasi pesaing.
Pemantauanmenentukankualitaskinerjapengendalianinternsepanjangwaktu,metode yang
digunakanolehentitasuntukmengirimkan,mengolah,memelihara,danmengaksesinformasiserta
penerapanpersyaratanhukumdanperaturan.
3.ERM (Enterprise Risk Management)
Definisi (ERM) adalahsuatuprosesyangdipengaruhiolehboardof director,danpersonellaindari
suatuorganisasi,diterapkandalamsettingstrategi,danmencakuporganisasi secara keseluruhan,
didesainuntukmengidentifikasikejadianpotensial yangmempengaruhisuatuorganisasi,untuk
memberikanjaminanyangcukuppantasberkaitandenganpencapaiantujuanorganisasi (COSOERP,
2004).
Jadi definisiERMadalah kumpulanpandanganmengenai risikodari sudutpandangoperasional
maupunstrategisdanmerupakanprosesyangmendukungpenguranganketidakpastianserta
mempromosikaneksploitasi peluang.
Dua buah frameworkpengertianERMadalahCOSOdan RIMS. Keduanyamendeskripsikan
pendekatan untukmengidentifikasi,menganalisa,bertanggungjawab,danmemonitorrisiko
ataupunpeluangdi dalammaupundi luar lingkunganyangdihadapi perusahaan.
PengungkapanERMmerupakansalahsatuelemendari informasi nonfinansialperusahaanyang
disajikandalamlaporantahunannya.Pengungkapanmengenai ERMtermasukpadakategori
pengungkapanwajibyangharusdilaporkanperusahaan.Walaupunperaturanmengenai penerapan
dan pengungkapanERMbelumdiatursecarakhusus,namunperusahaantetapdapatmenerapkan
dan mengungkapkannyasebagai bentukpelaksanaanGCG(MeizarohdanLucyanda,2011).
PengungkapanERMmerupakangambarandari penerapanmanajemenrisikosuatuperusahaan.
BerdasarkanERM FrameworkyangdikeluarkanCOSO,terdapat108 itempengungkapanERMyang
mencakupdelapandimensi yaitu:lingkunganinternal,penetapantujuan,identifikasikejadian,
penilaianrisiko,responatasrisiko,kegiatanpengawasan,informasi dankomunikasi,dan
pemantauan.
Manfaat Implementasi ERMsecara konsistenadalah:
1.Meningkatkanefektifitasorganisasi
DenganadanyaERM, terciptakoordinasi yanglebihbaikantarabeberapafungsi pengelolaanrisiko
sertameningkatkanruanglingkuppengelolaanrisiko.Pengelolaanrisikosecaraterintegrasi akan
memperbesarpeluangpencapaiantujuanperusahaan,sehinggaakanmeningkatkanvalue.
2.Meningkatkanketahananorganisasi
5. PenerapanERMmenjadi suatulangkahantisipasi ataumitigasi risikoyangmungkindihadapi suatu
organisasi.
3.Meningkatkankualitastatakelolaorganisasiyangbaik(Good Corporate Governance).
4.Adanyasinergi antarastrategi perusahaandantingkatrisikoyangditerima(RiskAppetite)untuk
mencapai tujuan.
5.Alokasi biayadanmanfaatlebihseimbang.
6.Memberi kepastian
Maksudnya,mengurangi konsekuensi tidakpasti dari suatukeadaanyangmerugikandansudah
diperkirakansebelumnya.
7.Meningkatkankepercayaanparastakeholders
ERM sangat pentingkarena:
1.ERM membantuorganisasi mencapai tujuannyasambilmenghindari perangkapdankejutan-
kejutan
2.Nilai akanmenjadi maksimumbilamanajemenmenetapkanstrategi dantujuanuntukmencapai
keseimbanganyangoptimal antarapertumbuhan,hasildanresikoyangterkaitpenyebaransumber
daya secaraefektif danefisiendalampencapaintujuanperusahaan
3.ERM membantumemastikanpelaporanyangefektif sesuaidenganperaturanperundang-
undangandan membantumenghindari rusaknyareputasi dankonsekuensinya
4.Bank-bankdiwajibkanuntukmenerapkanresikosecaraefektif
5.Penerapanmanajemenresikoharus:
a.Supervise aktifdari dewandireksi dankomisaris
b.Kecukupankebijakan,prosedur,danpenetapanlimit
c.Kecukupanprosesidentifikasi,pengukuran,pemantauandanpengendalianresikodansistem
informasi manajemenresiko
d.Sistempengendalianinternyangmenyeluruh
e.Sesuai denganketentuan BankIndonesia.
f.KetentuanBankIndonesiatentangmanajemenresikoadalahstandarminimumyangharus
dipenuhi olehsistemperbankanIndonesia
Denganketentuan-ketentuantersebutBankdiharapkanmengintegrasikanseluruhkegiatannya
kedalammanajemenresikoyangakuratdanmenyeluruh.
6. Implementasi COBIT
1.PerencanaandanOrganisasi
Untuk PT X perencanaandanorganisasi,berikutkelemahan-kelemahanPTX:
a.RencanastrategikTI
Sudahada rancangan rencanastrategikTI nya tetapi belumdapatdiaplikasikan.
b.Arsitekturinformasi
Sisteminformasi yangsudahdikembangkanbelumterintegrasi.
c.Organisasi TIdan hubungan
Sudahada Tim IT yang menangani perusahaantersebut,tetapi belumbekerjasecaramaksimal
d.Investasi TI
Belumadanyarancangan anggaranTI yang menyeluruh.
Alokasi anggaranyangterbatas.
Komunikasi tujuandanarahmanajemen
e.ManagerSDM
PenempatanSDMyang tidaktepatdan pembagiantugasyangtidakjelas.
Pengelolaansumberdayayangbelumoptimal baikdi tingkatteknisoperasional maupunmanajerial.
Kurangnyakesiapandalamantisipasi baikterhadapperkembanganteknologiinformasi dan
komunikasi maupunterhadaptuntutanmasyarakat.
f.Penilaianresiko
Belumadanyamanajemenresikodanmanajemenkualitasyangbaku
g.Manajemenproyek
Manajemenproyektelahdilakukannamunbelumoptimal.
Desainsistemtidakdidukungdatayangakurat dan lemahnyakoordinasi
h.Manajemenkualitas
Kurangnyatenagaahli yangmampu mengawasi kualitasTIdanrendahnyapenghargaan
terhadapSDMTI terampil mempengaruhi kualitassistemdanpengembanganTI.
2.Akuisisi danImplementasi
8. d.Mengaturfasilitas
Perencanaanfasilitasdanpemeliharaansudahdilaksanakan,namunmasihbelumoptimalbegitu
jugapemanfaatandanpemeliharaanfasilitas.
e.Mengaturoperasional
Tidakdidukungdengansistemyangjelas.
Peraturanyangada masihbersifatumumdanmulti tafsir.
Metode cobitperluditerapkanpadaPTX denganharapan metode cobitdapatlebih baikdan
terorganisirsehinggavisi danmisi perusahaandapattercapai danjugadapatmemberikankontribusi
bagi manajemen.
Implementasi COSO
1.LingkunganPengendalian
Lingkunganpengendalianmerupakankomponenyangterpentingkarenamembentukbudayadan
perilakumanusiamenjadi sadarakanpentingnyapengendalian.PerusahaanXmasihmemiliki
beberapakelemahandalampengendalininternal,yaitu:
a.BelumadanyaSDMyang memadai untukmelakukanpekerjaan.
b.Strukturorganisasi yangbelumjelas.
2.Pengukuranresiko
Penilaianresikomerupakanidentifikasi danmenilai resiko-resikoyangdihadapi dalammencapai
tujuan.Perusahaansemakindituntutuntukdapatmengenalidanmengelolarisiko-risikokegiatan
yang dihadapinyahinggake tingkatyangdapatditerima.Untuk
pengukuranresikoperusahaansertaberkelanjutanmelakukananalisauntukmengidentifikasikan
resiko-resikoyangsedangdihadapi olehperusahaan.Dalamperusahaanpengukuranresikomanjadi
hal yang sangat pentingkarenahal ini akanmenentukantingkatgoingconcernperusahaan.
ImplementasinyapadaPT.X adalahmanajemenberusahauntukmelakukanprojekseefisiendan
efektivmungkinuntukmengurangi biayakegagalanuji cobadankehilanganwaktu.
3.AktivitasPengendalian
Aktivitaspengendalianadalahsegalakebijakandanproseduruntukmeyakinkanbahwatindakan
yang diperlukanuntukmengatasi resiko-resikobenar-benardilaksanakandalamrangkamencapai
tujuanorganisasi.Efektivitasaktivitaspengendalianakantergantungdari ketepatandalam
mengidentifikasi danmengukurresikoyangdilakukanperusahaan.Beberapakebijakanyangdiambil
perusahaandalammelakukanaktivitaspengendalianantaralain:
9. a. Dalam bidangpengadminstrasian,makadilakukanpencatatandanpenyimpanandokumen
denganbaik.Semuadokumendilakukanpengamanan,mulai dari keamanankomputer,lalu
pengarsipan.
b. Dalambidangakunting,makabiaya-biayayangdi keluarkanharusdi periksakembali karenadi
khawatirkanterjadi frauddalampencatatan.
4.Teknologi InformasidanKomunikasi
Perusahaanmenyadari bahwakomponenpengendalianinternal (lingkunganpengendalian,penilaian
resiko,aktivitaspengendalian,pemantauan)akanmudahdirealisasikanjikaterdapatsistem
informasi dankomunikasiyangbaikdanandal dalamperusahaanatau organisasi.Perusahaantelah
memilikikebijakansebagai pedomanteknologi informasi dankomunikasi.Sebagai contohpenerapan
teknologi informasi dankomunikasi,makaperusahaanmenggunakansistemprontountuk
memudahkanpencatatansistemnya.SelainituPTX jugamenggunakanemail untukmelakukan
komunikasi.
5.Pemantauan
Keseluruhanproseskegiatanperusahaanharusdi pantaudandibuatsedikitperubahanatau
modifikasi biladiperlukan.Makaakanterdapatpengendalianinternalyangdinamisyangberubah
sesuai dengankondisi yangada.Pemantauanadalahusahaberkelanjutanuntukmeyakinkanbahwa
setiapgerakperusahaansecarasinergissedangmengarahkepadausahapencapaiantujuan.Hal ini
dilakukandenganmenilaikembali kekuatanlingkunganpengendalian,usaha-usahapenilaian resiko
dan pemilihanaktivitaspengendalian.Menjadi unsurpentingdalampemantauanadalahpelaporan
terhadappenyimpangandankekurangan.Pemantauandi perlukanagarkinerjasetiapanggota
perusahaandapatdi ukur.Contohnyapemantauandalamtimengeenering,harusdipastikanbahwa
PT X dapat berproduksi sesuai denganwaktuyangsudahditetapkan.
Implementasi ERM
Konsepmanajemenrisikoyangditerapkanadalahberwawasandanberprinsippadamanajemen
risikokorporatterintegrasi.Manajemenrisikokorporatterintegrasiadalahsuatuprosespengelolaan
risikoyangdimulai dari prosesidentifikasi,pengukuran,pemetaan,mitigasi danevaluasi serta
monitoringyangmelibatkanmanajemenperusahaandalamprosespenentuanstrategi di seluruh
unitkerjasecara terintegrasi.Konsepmanajemenrisikodirancanguntukmengidentifikasikan
peristiwa-peristiwa(events) yangberpengaruhnegatif bagi perusahaandanmengelolarisikoagar
selaluberadadi dalambatastoleransi manajemenrisiko.Dengandemikianmanajemenselalu
memilikikeyakinanyangmemadaibahwasasaranperusahaanakandapatdicapai tanpa halangan
dan ancaman yangsignifikan.Manajemenperusahaanakanmeningkatkanseoptimal mungkinnilai
perusahaanmelalui:
Penetapanstrategi dansasaran-sasaranyangmenghasilkan keseimbanganoptimalantaratarget
pertumbuhan,keuntungandanrisiko-risikoinherennya.
Pemanfaatanseluruhsumberdayayangtersediasecaraefisiendanefektifuntukmencapai sasaran-
sasaran-sasaranperusahaan.
10. Untuk mencapai tujuanperusahaandi atas,manajemenmembangundanmengintegrasikan
manajemenrisikoke dalamtatanilai danprosesbisnisdenganberpedomankepadaprinsip-prinsip
dasar:
a.Penyelarasanantaratoleransirisikodenganstrategi manajemenakanselalumemperhitungkan
dan mempertimbangkan toleransirisikoperusahaandi dalammenetapkanberbagai alternatif
strategi bisnis,targetbisnis,danpengembanganmekanisme pengelolaanrisiko.
b.Secaraberkelanjutanmeningkatkankualitaskesadaranatassuaturisikodanmenciptakanbudaya
risiko.
c.Mereduksi ke tingkatserendahmungkinkejutan-kejutandankerugian-kerugianyangbisa
mempengaruhi keputusanoperasional perusahaan.
d.Secarakonsistenmengidentifikasidanmengelolamultirisikosertarisiko-risikoantarunitkerja.
Perusahaanakanmenghadapi berbagai bentukrisikoyangbanyak,yangsecaralangsungmaupun
tidaklangsungmempengaruhi berbagai kegiatanunitkerjadalammelakukankegiatanoperasional.
Olehkarenaitu,perusahaanmengaplikasikanmanajemenrisikoagarmampumemfasilitasi
penentuanresponyangefektifatasdampak-dampakyangsalingberkaitandanpenetapanrespon-
responyangterintegrasi atasmulti risiko
e.Menangkappeluangdenganmengetahui berbagai risikoyangpotensial,manajemenakanberada
dalamposisi mudah mengidentifikasikandansecaraproaktif menangkapkemungkinanterjadinya
risikodi perusahaan.
f.Meningkatkankualitasdanefektifitaspemanfaatansumberdayaperusahaandengantersedianya
beragaminformasi risikoyanglengkapdanakuratakanmembantumanajemensecaraefektif
mengukurkemungkinanrisikoyangterkaitdenganbisnisperusahaan.
Daftar Pustaka :
Ali,Hapzi.2018. Modul Model RerangkaPengendalian:COBIT,COSOdan ERM, Jakarta.
MuhammadArdiansyah.https://www.slideshare.net/MuhamadArdiansyah1/penjelasan-coso-cobit.
Suharso,2016.https://www.klikharso.com/2016/07/pengendalian-intern-coso-terbaru.html,
KritinasDamayanti,2017. https://medium.com/@khristdamay/kerangka-pengendalian-coso-
f4ecca22a10f
KristinaDamayanti,2017. https://medium.com/@khristdamay/control-objective-for-information-
and-related-technology-cobit-742e51efbade.