MODEL RERANGKA PENGENDALIAN: COBIT, COSO DAN ERM

1. SISTEM INFORMASI DAN PENGENDALIAN INTERNAL
MODEL RERANGKA PENGENDALIAN:
COBIT, COSO DAN ERM
NAMA : M.FADHLY
NIM : 55518110022
DOSEN PENGAMPU: Prof. Dr. Ir. Hapzi Ali, MM, CMA
PROGRAM MEGISTER AKUNTANSI
UNIVERSITAS MERCUBUANA
JAKARTA 2018

2. A. DEFINISI COBIT, KRITERIA DAN MANFAAT COBIT
1. COBIT
Control Objectives for Information and Related Technology (COBIT) merupakan
audit sistem informasi dan dasar pengendalian yang dibuat oleh Information Systems
Audit and Control Association (ISACA) dan IT Governance Institute (ITGI) pada
tahun 1992.
COBIT Framework merupakan standar kontrol yang umum terhadap teknologi
informasi, dengan memberikan kerangka kerja dan kontrol terhadap teknologi
informasi yang dapat diterima dan diterapkan secara internasional.
COBIT sendiri bermanfaat bagi manajemen untuk membantu menyeimbangkan antara
resiko dan investasi pengendalian dalam sebuah lingkungan IT yang sering tidak
dapat diprediksi. Bagi user, ini menjadi sangat berguna untuk memperoleh keyakinan
atas layanan keamanan dan pengendalian pada IT yang disediakan oleh pihak internal
atau pihak ketiga. Sedangkan bagi Auditor untuk mendukung atau memperkuat opini
yang dihasilkan dan memberikan saran kepada manajemen atas pengendalian internal
yang sudah ada.
2. KRITERIA INFORMASI BERDASARKAN COBIT
Untuk memenuhi tujuan bisnis, informasi perlu memenuhi kriteria tertentu, adapun 7
kriteria informasi yang menjadi perhatian COBIT, yaitu sebagai berikut:
a. Effectiveness (Efektivitas). Informasi yang diperoleh harus besifat relevan dan
berkaitan dengan proses bisnis, konsisten dapat dipercaya, dan tepat waktu.
b. Effeciency (Efisiensi). Informasi yang disediakan melalui penggunaan sumber
daya (yang paling produktif dan ekonomis) yang optimal.
c. Confidentially (Kerahasiaan). Berhubungan dengan proteksi pada informasi
yang bersifat penting dari pihak-pihak yang tidak memiliki hak otorisasi/tidak
berwenang.
d. Intergrity (Integritas). Berhubungan dengan tingkat keakuratan dan kelengkapan
data atau informasi dan tingkat validitas yang sesuai dengan ekspetasi dan nilai
bisnis.
e. Availability (Ketersediaan). Fokus terhadap ketersediaan data atau informasi
ketika diperlukan dalam proses bisnis, baik dimasa sekarang ataupun yang akan
datang. Ini juga terkait dengan pengamanan atas sumber daya yang diperlukan.

3. f. Compliance (Kepatuhan). Pemenuhan data atau informasi yang sesuai dengan
ketentuan hukum, peraturan, dan rencana perjanjian atau kontrak untuk proses
bisnis.
g. Reliability (Handal). Menitik beratkan pada pemberian informasi yang tepat bagi
manajemen untuk mengoperasikan perusahaan dan pemenuhan kewajiban mereka
untuk membuat laporan keuangan perusahaan
3. Manfaat-manfaat yang dapat diperoleh dalam penggunaan COBIT pada
pengendalian internal TI suatu perusahaan antara lain :
1. Dapat membantu auditor, manajemen dan pengguna (user), yaitu dengan membantu
menutup kesenjangan antara kebutuhan bisnis, risiko, kontrol, keamanan, melalui
adanya peningkatan pengamanan dan adanya kontrol terhadap seluruh proses TI.
2. COBIT dapat memberikan arahan (guidelines) yang berorientasi pada bisnis, dan
oleh karena itu business process owners dan manajer, termasuk juga auditor dan user,
diharapkan dapat memanfaatkan guideline ini dengan sebaik-baiknya.
a. Audit Guidelines
Berisi sebanyak 318 tujuan-tujuan pengendalian yang bersifat rinci (detailed
control objectives) untuk membantu para auditor dalam memberikan management
assurance atau saran perbaikan terhadap perusahaan.
b. Management Guidelines
Berisi arahan, baik secara umum ataupun secara spesifik, mengenai apa saja yang
harus dilakukan. Auditor dapat menggunakan Audit Guidelines sebagai tambahan
materi untuk merancang prosedur pada audit. COBIT khususnya guidelines dapat
dimodifikasi dengan mudah, sesuai dengan industri, kondisi TI di Perusahaan
atau organisasi, atau objek khusus di lingkungan TI.
3. COBIT memberikan user kontrol dimana dapat mengukur proses yang terkandung
dalam ISO 17799 dan ITIL (Information Technology Infrastructure Library) dan
yang dapat dimanfaatkan untuk perbaikan proses di dalam perusahaan.
B. DEFINISI, KOMPONEN DAN MANFAAT COSO
1. COSO
COSO (Committee of Sponsoring Organizations of the Treadway Commission) adalah
suatu inisiatif dari sektor swasta yang dibentuk pada tahun 1985. Tujuan utamanya
adalah untuk mengidentifikasi faktor-faktor yang menyebabkan penggelapan laporan
keuangan dan membuat rekomendasi untuk mengurangi hal tersebut. COSO telah
menyusun suatu definisi umum untuk pengendalian, standar, dan kriteria internal yang

4. dapat digunakan perusahaan untuk menilai sistem pengendalian internal perusahaan
mereka.
COSO sendiri disponsori dan didanai oleh 5 asosiasi dan lembaga profesional;
American Institute of Certified Public Accountans (AICPA), American Accounting
Association (AAA), Financial Excecutives of Management Accountants (FEI), The
Institue of Internal Auditors (IIA) dan The Institute of Management Accountants
(IMA). Koalisi ini didirikan untuk menyatukan pandangan dalam komunitas bisnis
berkaitan dengan isu-isu pelaporan keuangan yang sering mengandung fraud.
Pada tahun 1992, COSO menyusun dan menerbitkan internal control integrated
framework yang berisi tentang rumusan definisi pengendalian intern, pedoman
penilaian, serta perbaikan terhadap sistem pengendalian intern, yang penggunaannya
mencakup penentuan tujuan pengendalian pelaporan keuangan dan proses kontrol
operasional dalam konteks organisasional, sehingga perbaikan dan kontrol dapat
dilakukan secara menyeluruh. Struktur pengendalian intern menurut COSO mencakup
aktivitas pengendalian terkait pengendalian dengan pemrosesan informasi yaitu
pengendalian umum dan pengendalian terhadap aplikasi.
2. Komponen pengendalian menurut COSO
Komponen pengendalian menurut antara lain :
a. Lingkungan Pengendalian (Control Environment)
Lingkungan pengendalian menetapkan suasana dari suatu organisasi yang
memengaruhi kesadaran akan pengendalian dari sumber daya manusianya (SDM).
b. Penilaian risiko (Risk Assesment)
Penilaian risiko untuk tujuan pelaporan keuangan adalah identifikasi analisis, dan
pengendalian risiko suatu entitas yang relevan dengan penyusunan laporan
keuangan yang disajikan secara wajar sesuai dengan prinsip-prinsip akuntasi yang
berlaku secara umum.
c. Informasi dan komunikasi (Information and Communication)
Sistem informasi dan komunikasi (Information and Communication System)
yang relevan dengan tujuan pelaporan keuangan yang memasukan sistem
akuntansi (accounting system), terdiri dari metode-metode dan catatan-catatan
yang diciptakan untuk mengidentifikasi, mengumpulkan, menganalisis, mencatat
serta melaporkan transaksi-transaksi entitas ( dan juga kejadian-kejadian serta
kondisi-kondisi ) dan untuk memelihara akuntabilitas dari asset dan kewajiban
yang berhubungan.

5. d. Pengawasan (Monitoring)
Pemantauan adalah suatu proses yang menilai kualitas kinerja pengendalian intern
pada suatu waktu, Pemantauan melibatkan penilaian rancangan dan pengoperasian
pengendalian dengan dasar waktu dan mengambil tindakan yang diperlukan.
e. Aktivitas Pengendalian (Control Activitis)
Aktivitas pengendalian merupakan kebijakan dan prosedur yang membantu
memastikan bahwa perintah manajemen telah diimplementasikan. Aktivitas
pengendalian membantu memastikan bahwa tindakan yang diperlukan berkenaan
dengan risiko yang telah diambil untuk pencapaian tujuan entitas. Aktivitas
pengendalian memiliki berbagai tujuan dan diaplikasikan pada berbagai tingkatan
organisasi dan fungsional.
3. Fungsi COSO
FUNGSI COSO ialah memberikan pemikiran kepemimpinan melalui pengembangan
kerangka kerja dan pedoman yang komprehensif tentang manajemen risiko suatu
perusahaan, pengendalian internal dan pencegahan kecurangan yang dirancang untuk
meningkatkan kinerja organisasi dan tata pemerintahan dan untuk mengurangi tingkat
kecurangan dalam suatu organisasi.
Pada tahun 1992 COSO mempublikasikan sebuah kerangka kerja pengendalian intern
yang akhirnya banyak menjadi acuan bagi para dewan direksi, eksekutif, regulator,
penyusun standar, organisasi profesi untuk mengukur efektivitas pengendalian item
perusahaan mereka.
Kerangka kerja itu dikenal dengan sebutan Internal Control-Integrated Framework.
Pada tahun 1994 kerangka krja tersebut mengalami perubahan minor dengan
tambahan ruang lingkup terkait management report on internal control perusahaan.
Kerangka kerja pengendalian intern COSO 1992 memberikan definisi umum tentang
pengendalian intern dan memberikan kerangka kerja untuk menilai dan memperbaiki
system pengendalian intern. Kerangka tersebut menyatakan bahwa pengendalian
intern dirancang untuk meberikan keyakinan memadai terhadap pencapaian tiga
tujuan organisasi antara lain:
 Efektivitas dan efisiensi operasi
 Keandalan pelaporan keuangan
 Kepatuhan terhadap hukum dan peraturan.

6. C. ERM (Enterprise Risk Management)
Enterprise Risk Management (ERM) merupakan sebuah proses yang diterapkan dalam
penentuan startegi perusahaan, didesain untuk mengidentifikasi kemungkinan yang
potensial yang mungkin mempengaruhi entitas (badan bisnis), dan mengelola risiko-risiko
dan kecendrungan risiko yng mungkin terjadi, untuk menyediakan jaminan yang layak
mengenai pencapaian tujuan entitas (badan bisnis)
Manfaat dari penerapan ERM (Enterprise Risk Management) adalah untuk meningkatkan
kemampuan perusahaan untuk menyelaraskan risk appetite dengan strategi dan arah
kebijakan perusahaan sehingga dapat meningkatkan kualitas keputusan yang diambil oleh
manajemen perusahaan dalam merespon risiko yang sedang dihadapi.
Elemen-elemen ERM yang mempengaruhi sekaligus mendukung ERM antara lain :
1. Lingkungan Internal Perusahaan : berkaitan dengan budaya risiko yang ada dalam
perusahaan serta bagaimana nantinya enterprise risk manajemen pada perusahaan
akan diterapkan.
2. Penentuan Tujuan : Identifikasi risiko-risiko pada masing-masing tujuan harus dapat
dilakukan sebelum tujuan tersebut ditetapkan menjadi tujuan suatu perusahaan.
3. Identifikasi kejadia risiko; tujuannnya adalah agar dapat dilakukan pemetaan yang
jelas atas risiko-risiko yang mungkin terjadi serta bagaimana meminimalisasi risiko
tersebut.
4. Kontrol dan komonikasi: dilakuakn secara terus menerus untuk mengelola risiko
dalam perusahaan sehingga risiko yang sama tidak terjadi secara terus menerus.
Adapun manfaat implementasi ERM secara konsisten, yaitu :
a. Meningkatkan efektifitas organisasi
b. Dengan adanya ERM, tercipta koordinasi yang lebih baik antara beberapa fungsi
pengelolaan risiko serta meningkatkan ruang lingkup pengelolaan risiko. Pengelolaan
risiko secara terintegrasi akan memperbesar peluang pencapaian tujuan organisasi
atau perusahaan, sehingga akan meningkatkan value.
c. Meningkatkan ketahanan organisasi
d. Penerapan ERM menjadi suatu langkah antisipasi atau mitigasi risiko yang mungkin
dihadapi suatu organisasi atau entitas bisnis.
e. Meningkatkan kualitas tata kelola organisasi yang baik (Good Corporate
Governance).

7. f. Adanya sinergi antara strategi perusahaan dan tingkat risiko yang diterima (Risk
Appetite) untuk mencapai tujuan perusahaan tersebut.
g. Alokasi biaya dan manfaat lebih seimbang.
h. Memberi kepastian
i. Maksudnya, mengurangi konsekuensi tidak pasti dari suatu keadaan yang merugikan
dan sudah diperkirakan sebelumnya.
j. Meningkatkan kepercayaan para stakeholder.
D. IMPLEMETASI COBIT, COSO & ERM PADA BANK BNI
1. Penerapan Cobit
a. Metode Pengembangan Sistem
Metode pengembangan sistem yang dilakukan oleh Bank BNI adalah dengan
melalui implementasi bertahap, Penerapan sistem baru pada organisasi dilakukan
dengan mengkoordinir aktivitas pengembangan pada pelayanan. Perusahaan
senantiasa berkomunikasi langsung dengan pengembang (enginer) dalam
penerapan sistem tersebut serta menerbitkan semacam cetak biru untuk merancang
pelayanan yang dibangun dengan pendekatan Serviced oriented Architecture
(SOA), serta mendorong penggunaan common resources berisi pelayanan -
pelayanan yang sudah dikembangkan. Tujuannya adalah agar pengembangan
pelayanan yang tengah berjalan bisa berlangsung konsisten. Tata kelola SOA yang
baik juga akan mengurangi risiko ketidak cocokan pelayanan dan upaya
pengembangan yang terlalu berlebihan, dan para pelaksana tetap harus memiliki
big picture ketika mereka memulai proyek pengembangan sistem pada bank.
b. Pemanfaatan Project Management
Penerapan BNI ICONS didukung dengan pembentukan tim yang bertanggung
jawab terhadap keberhasilan penerapan sistem tersebut. BNI juga membentuk
suatu tim yang disebut tim New Core Banking, dimana hal ini dimaksudkan
untuk mendukung keberhasilan penerapan sistem baru dan sebagai tanda adanya
dukungan penuh dari pihak manajemen. Selain itu perusahaan menggunakan
beberapa tenaga konsultan diantaranya terdiri dari konsultan teknis, proyek, dan
bisnis. Dalam implementasinya perusahaan juga menggunakan vendor seperti
IBM untuk hardwarenya, Hewlett-packard untuk switching mesin, Lintas Artha
dan Citra Sari Makmur (CSM) untuk provider komunikasi, dan juga PT
Telekomunikasi Indonesia (Telkom).

8. BNI icons Dengan sistem yang baru tersebut akan mempermudah nasabah untuk
mengakses berbagai layanan perusahaan yang berimplikasi pada peningkatan
jumlah transaksi pada nasabah, sehingga diharapkan dapat mendukung
tercapainya tujuan perusahaan.
c. Keamanan Informasi
BNI Internet Banking mempunyai sistem pengamanan sebagai berikut :
1. Menggunakan sistem keamanan standar internasional dengan enskripsi
SSL128 bit oleh Verisign. SSL 128 bit (Secure Socket Layer).
2. Pengamanan pintu akses BNI Internet Banking dengan firewall.
3. Proses registrasi Layanan BNI Internet Banking dilakukan melalui BNI ATM
menggunakan PIN BNI Card anda.
4. Proses aktivasi melalui www.bni.co.id atau langsung ke https://ibank.bni.co.id
menggunakan PIN registrasi dan nomor BNI Card yang digunakan untuk
registrasi di BNI ATM terdekat.
5. User ID dan Password dibuat oleh Pengguna saat aktivasi BNI Internet
Banking, berupa kombinasi alphabet dan numeric (alphanumeric) sehingga
akan lebih aman tingkat keuatan paswordnya.
6. Password BNI Internet Banking dapat diubah kapan saja oleh Pengguna BNI
Internet Banking tanpa batas maksimal.
7. Sistem BNI Internet Banking dilengkapi dengan session time out dimana akan
otomatis Log Off.
8. Alat tambahan untuk transaksi finansial menggunakan BNI e-Secure yang
akan menghasilkan kombinasi angka yang berubah-ubah (dynamic PIN) setiap
kali Pengguna melakukan transaksi.
9. PIN BNI e-Secure dibuat oleh Pengguna dan digunakan setiap kali
mengaktifkan/ menyalakan BNI e-Secure
10. BNI e-Secure akan otomatis mati apabila tidak digunakan dalam waktu 45
(empat puluh lima) detik
11. Pemblokiran layanan BNI Internet Banking dilakukan oleh Pengguna melalui
permintaan kepada BNI PhonePlus melalui BNI Call.
12. Limit transaksi finansial per hari dibatasi.
13. Bukti transaksi BNI Internet Banking dapat dicetak dan atau disimpan sesuai
keperluan pengguna.

9. d. Lingkungan Pengendalian.
Pembentukan Sruktur Organisasi pada Bank Negara Indonesia (BNI) sebagai
Lingkungan pengendalian, dimana dalam organisasi tersebut dibentuk divisi dan
satuan-satuan unit yang memiliki wewenang dan tanggung jawab yang berbeda-
beda. Pembagian tugas dan wewenang pada Bank BNI ini sudah berjalan baik,
untuk pelaksanaan tugas dan tanggung jawab setiap unit atau bagian telah
ditetapkan Standard Operasional (SOP) yang dibakukan dalam Buku Pedoman
Pegawai (BPP),dimana BPP itu sendiri berisikan tentang petunjuk dan pedoman
bagi setiap pegawai dalam melaksanakan tugas dan tanggungjawabnya.
e. Penaksiran Resiko.
Untuk mengelola berbagai jenis risiko tersebut, Bank Negara Indonesia (BNI)
membangun Budaya Risiko bagi setiap pegawainya untuk selalu waspada
terhadap setiap tindakan yang dilakukan. Budaya Risiko (Risk Culture)
merupakan bentuk kolektif tata nilai, sikap dan perilaku dari setiap individu atau
kelompok di perusahaan terhadap risiko dan pengelolaannya.
Penaksiran resiko mencakup pertimbangan khusus terhadap resiko yang timbul
dari setiap aspek kegiatan yang dilakukan oleh Bank BNI, baik dari aktivitas
pendanaan, kredit dan operasional lainnya. Disamping keharusan oleh setiap
pegawai untuk dapat mengelola dan memitigasi resiko, dalam pelaksanaannya
pada setiap unit organisasi ditempatkan pegawai yang bertugas dan berwenang
untuk mengwal dan memitigasi resiko yang kemungkinan terjadi pada setiap
aktivitas dan operasional perbankan.
f. Aktivitas Pengendalian.
Dalam operasional perbankan, Bank Negara Indonesia (BNI) telah menetapkan
kebijaka kebijakan dan prosedur-prosedur yang membantu dan memastikan bahwa
arahan yang diberikan manajemen untuk mengurangi risiko terhadap pencapaian
tujuan dilakukan dengan baik. Pemisahan tugas dan fungsi dari setiap bagian
merupakan suatu keharusan dalam aktivitas pengendalian Bank Negara Indonesia,
agar fungsi kontroling dari aktivitas dapat berjalan dengan baik. Bank BNI

10. menempatkan pegawai yang berbeda-beda untuk setiap langkah dan prosedur
operasional, dimana setiap pegawai memiliki wewenang dan tanggung jawab
terpisah.
2. Penerapan Erm
Adapun Infrastruktur masing-masing risiko yang telah dikembangkan dan
diimplementasikan antara lain:
a. Tata Kelola dan Organisasi
Untuk menjaga dan meningkatkan kualitas kredit, proses analisa kredit
memisahkan fungsi antara unit bisnis atau fungsi pemasaran, yang dilakukan oleh
Relationship Manager, dengan unit risiko atau fungsi analisa kredit yang
dilakukan oleh Credit Analyst. Proses persetujuan kredit dilakukan dalam Komite
Kredit yaitu forum bersama pejabat pemutus kredit yang berwenang memutus
kredit sesuai dengan limit yang ditetapkan, yang terdiri dari pejabat dari unit
bisnis dan unit risiko bisnis. Unit bisnis dan unit risiko bisnis bertindak dan
berperan sebagai first line of defence atau risk owner yang mengelola dan
mengendalikan risiko kredit pada kegiatan operasional harian unit tersebut.
Sesuai dengan pendekatan Customer Centric, organisasi risiko kredit
dikembangkan sesuai dengan segmennya, dimana Unit risiko bisnis di BNI terdiri
dari Divisi Risiko Bisnis Korporasi, Divisi Risiko Bisnis Komersial & Usaha
Kecil, dan Divisi Risiko Bisnis Konsumer & Ritel yang bertanggung jawab
kepada Direktur Risiko Bisnis.
Menurut fungsinya, organisasi risiko kredit pada dasarnya terbagi atas 3 (tiga)
jenis aktivitas, yaitu sebagai berikut:
1. Credit Risk Operation
2. Credit Policy Bertugas
3. Credit Risk Management
b. Kebijakan dan Prosedur
Dalam rangka mendukung target bisnis dengan tetap menjaga kualitas portofolio,
BNI telah memiliki Kebijakan Perkreditan Bank (KPB) yang diputus oleh Forum
Komite Kebijakan Perkreditan (KKP) dan disetujui oleh Dewan Komisaris. KPB
ini diterjemahkan ke dalam pedoman perusahaan perkreditan yang diputus oleh
Forum Komite Prosedur Perkreditan (KPP) untuk selanjutnya dilakukan
pembakuan kedalam Pedoman Perusahaan Perkreditan Business Banking seluruh
segmen dan Pedoman Perusahaan Perkreditan Konsumer & Ritel yang merupakan

11. c. pedoman kerja aktivitas perkreditan di BNI.
Pembentukan Cadangan Kerugian Penurunan Nilai (CKPN)
Penurunan nilai adalah suatu kondisi dimana nilai tercatat dari suatu aset melebihi
dari nilai aset yang dapat dipulihkan. BNI melakukan evaluasi penurunan nilai
atas seluruh aset keuangan kecuali aset keuangan yang diklasifikasikan dalam
kelompok yang nilai wajarnya diukur melalui Laporan Laba Rugi. Pada setiap
tanggal neraca (setiap akhir bulan), BNI mengevaluasi apakah terdapat bukti
objektif bahwa Aset Keuangan atau kelompok Aset Keuangan mengalami
penurunan nilai. Bukti objektif tersebut adalah bukti terjadinya peristiwa yang
merugikan sebagai akibat dari satu atau lebih peristiwa yang terjadi setelah
pengakuan awal aset tersebut, dan peristiwa yang merugikan tersebut berdampak
pada estimasi arus kas masa yang akan datang atas aset keuangan atau kelompok
aset keuangan yang dapat diestimasi secara handal.
Sumber
Haendra,2017. https://haendra.wordpress.com/2012/06/08/pengertian-cobit/, (diakses pada
08-Oktober-2018)
Hajuini, Hapzi ali,2018. https://www.slideshare.net/HAJUINIZEIN/sipi5hajuinihapzi-ali-
cobit-coso-dan-ermuniversitas-mercu-buana2018pdf (diakses pada 09-0ktober-2018)
Muchlisin Riadi, 2018. https://www.kajianpustaka.com/2014/02/pengertian-sejarah-dan-
komponen-cobit.html, 08 oktober 2018, diakses pada 23.18
Dwi Santoso, 2015.
https://www.kompasiana.com/dwisantoso_vcc/567fe81390fdfd5d0956ffba/makalah-manfaat-
penggunaan-cobit?page=all, 08 Oktober 2018, diakses pada 23.47
Fera Agustina, 2014. http://feraagt.blogspot.com/2014/11/coso-dan-pengendalian-intern.html,
08 Oktober 2018, diakses pada 23.48
Toharudin, Hipzi Ali, 2018. http://toharudin65.blogspot.com/2018/04/toharudin-prof.html, 08
Oktober 2018, diakses 23.50
Dinda hudaifa, 2014 https://www.dictio.id/t/apa-manfaat-melakukan-implementasi-
enterprise-risk-management/17945, 08 Oktober 2018, diakses 23.50