SI-PI, Sari Kartika, Hapzi Ali, Membandingkan Kerangka Pengendalian Internal, Universitas Mercu Buana, 2017
1. SISTEM INFROMASI & PENGENDALIAN INTERNAL
(SI - PI)
MEMBANDINGKAN KERANGKA PENGENDALIAN INTERNAL:
COSO INTERNAL CONTROL INTEGRATED FRAMEWORK, COSO
ENTERPRISE RISK MANAGEMENT DAN COBIT
Dosen:
Prof. Dr. Ir. Hapzi Ali, MM, CMA
Dibuat oleh:
Sari Kartika
(55516120061)
PROGRAM MEGISTER
UNIVERSITAS MERCU BUANA JAKARTA
2017
2. HUBUNGAN PENGENDALIAN INTERNAL DENGAN COBIT PADA
PERUSAHAAN
Pengendalian intern (Internal Control) merupakan sebuah proses, kebijakan dan
prosedur yang dirancang manajemen untuk memastikan dan menyesuaikan dengan standart
yang berlaku sebagai tanda kepatuhan dalam mencapaii tujuan suatu organisasi.
Seiring berkembangnya teknologi informasi (TI) sekarang ini, suatu perusahaan
memungkin untuk mengiplementasikan pengaturan TI secara efektif dengan menerapkan
pedoman COBIT.
Control Objective for Information and related Technology (COBIT) adalah suatu
panduan standart praktik manajemen teknologi informasi untuk menjembatani antara
kesenjangan suatu masalah teknis, resiko bisnis dengan pengendalianya dalam aktivitas IT
tertentu. Hal ini sesuai dengan ungkapan menurut Hapzi (2015) , yaitu menyediakan
kebijakan yang jelas dan good practice untuk IT governance, membantu manajemen senior
dalam memahami dan mengelola risiko-risiko yang berhubungan dengan IT. Kerangka kerja
COBIT dikeluarkan oleh Information Technology (IT) management dan IT governance yang
merupakan bagian dari ISACA.
COBIT mengadopsi definisi pengendalian dari COSO yaitu : “Kebijakan, prosedur, dan
praktik, dan struktur organisasi yang dirancang untuk memberikan keyakinan yang wajar
bahwa tujuan organisasi dapat dicapai dan hal-hal yang tidak diinginkan dapat dicegah atau
dideteksi dan diperbaiki”. COBIT juga mengadaptasi definisi tujuan pengendalian (control
objective)dari SAC yaitu : “Suatu pernyataan atas hasil yang diinginkan atau tujuan yang
ingin dicapai dengan mengimplementasikan prosedur pengendalian dalam aktivitas IT
tertentu”.
Pengendalian internal dengan menerapkan metode COBIT mempunyai hubungan agar
dapat membantu tata kelola, kegiatan operasional bisnis suatu organisasi. Beberapa manfaat
menggunakan COBIT 5 sebagai kerangka tata kelola karena hal itu sejalan dengan praktek
terbaik yang diterima di bidang sistem informasi, seperti IT Infrastructure Library dan ISO /
IEC seri 27000 standar, serta COSO, yang menambahkan fokus pada IT governance dalam
versi update yang dirilis pada bulan Mei” (Sanderson, Ian).
COBIT di rancang untuk digunakan oleh tiga pengguna yang berbeda yaitu :
1. Manajemen: untuk membantu mereka menyeimbangkan antara resiko dan investasi
pengendalian dalam sebuah lingkungan IT yang sering tidak dapat diprediksi.
2. User : untuk memperoleh keyakinan atas layanan keamanan dan pengendalian IT yang
disediakan oleh pihak internal atau pihak ketiga.
3. Auditor : untuk medukung/memperkuat opini yang dihasilkan dan/atau untuk memberikan
saran kepada manajemen atas pengendalian internal yang ada.
COBIT juga mempunyai komponen sebagai berikut :
Framework : Mengatur tata kelola TI tujuan dan praktek yang baik oleh TI domain dan
proses, dan menghubungkan mereka dengan kebutuhan bisnis.
Process descriptions : Sebuah proses referensi model dan bahasa yang umum bagi semua
orang dalam sebuah organisasi. Peta proses untuk wilayah tanggung jawab merencanakan,
membangun, menjalankan dan memantau.
Control objectives : Menyediakan satu set lengkap persyaratan tingkat tinggi untuk
dipertimbangkan oleh manajemen untuk kontrol yang efektif dari setiap proses TI.
Pedoman manajemen: Bantuan tanggung jawab menetapkan, menyepakati tujuan,
mengukur kinerja, dan menggambarkan hubungan timbal balik dengan proses lainnya.
3. Maturity models : Menilai kematangan dan kemampuan per proses dan membantu untuk
mengatasi kesenjangan.
COBIT memiliki kerangka kerja yang terdiri dari tujuan pengendalian tingkat tinggi
dan struktur klasifikasi secara keseluruhan. Pada dasarnya terdiri tiga tingkat usaha
pengaturan TI yang menyangkut manajemen sumber daya TI. Kerangka kerja COBIT ini
terdiri atas beberapa arahan ( guidelines ), yakni:
1. Control Objectives : Terdiri atas 4 tujuan pengendalian tingkat-tinggi ( high-level control
objectives ) yang tercermin dalam 4 domain, yaitu: planning & organization , acquisition
& implementation , delivery & support , dan monitoring .
2. Audit Guidelines : Berisi sebanyak 318 tujuan-tujuan pengendalian yang bersifat rinci
(detailed control objectives ) untuk membantu para auditor dalam
memberikanmanagement assurance dan/atau saran perbaikan.
3. Management Guidelines : Berisi arahan, baik secara umum maupun spesifik, mengenai
apa saja yang mesti dilakukan
Sesuai dengan kerangka kerja diatas, saat ini, COBIT mempunyai versi terbaru yaitu
COBIT 4.1 yang memiliki 4 cakupan domain yaitu :
1. Perancanaan dan organisasi (planning and organization)
Planning and Organization (PO) mencakup strategi dan taktik atas suatu masalah
kemudian mengidentifikasikan dengan penggunaan TI yang terbaik untuk memberikan
kontribusi yang maksimal terhadap pencapaian tujuan bisnis organisasi. Domain ini
menitikberatkan pada proses perencanaan dan penyelarasan strategi TI dengan strategi
organisasi. Domain PO terdiri dari 10 control objectives, meliputi :
PO1 : Define a strategic IT plan
PO2 : Define the information architecture
PO3 : Determine technological direction
PO4 : Define the IT processes, organization and relationships
PO5 : Manage the IT investment
PO6 : Communicate management aims and direction
PO7 : Manage IT human resources
PO8 : Manage quality human resource
PO9 : Asses and manage IT risks
PO10 : Manage project
2. Pengadaan dan implementasi (acquire and implement)
Untuk merealisasikan strategi IT, maka solusi TI perlu diidentifikasi, dikembangkan
atau diperoleh, serta diimplementasikan sehingga terintegrasi ke dalam proses bisnis.
Perubahan, pemeliharaan sistem harus di cakup dalam domain ini serta ditetapkan solusi
sesuai TI yang dibutuhkan untuk memastikan keberlangsungan sistem tersebut.
Dimana domain AI terdiri dari 7 control objectives meliputi:
AI1 : Identify automated solutions
AI2 : Acquire and maintain application software
AI3 : Acquire and maintain technology infrastructure
AI4 : Enable operation and use
AI5 : Procure IT resources
AI6 : Manage changes
4. AI7 : Install and accredit solutions and changes
3. Pengantaran dan dukungan (deliver and support)
Domain DS ini menitikberatkan pada aspek penyampaian/pengiriman dari IT. Domain ini
mencakup area-area seperti pengoperasian aplikasi-aplikasi dalam sistem IT dan hasilnya,
dan juga, proses dukungan yang memungkinkan pengoperasian sistem IT tersebut dengan
efektif dan efisien. Proses dukungan ini termasuk isu/masalah keamanan dan juga
pelatihan. Dimana domain DS terdiri dari 13 control objectives, meliputi :
DS1 : Define and manage service levels
DS2 : Manage third-party services
DS3 : Manage performance and capacity
DS4 : Ensure continuous service
DS5 : Ensure systems security
DS6 : Identify and allocate costs
DS7 : Educate and train users
DS8 : Manage service desk and incidents
DS9 : Manage the configuration
DS10 : Manage problems
DS11 : Manage data
DS12 : Manage the physical environment
DS13 : Manage operations
4. Pengawasan dan evaluasi (monitor and evaluate)
Semua proses IT perlu dilakukan pengawasan pengelolaan TI dan dinilai kelayakanya
secara teratur sepanjang waktu untuk menjaga kualitas dan pemenuhan atas syarat
pengendalian. Domain ini menunjuk pada perlunya pengawasan manajemen atas proses
pengendalian dalam organisasi serta penilaian independen yang dilakukan baik auditor
internal maupun eksternal atau diperoleh dari sumber-sumber anternatif lainnya. Domain
ini fokus pada masalah kendali-kendali yang diterapkan dalam organisasi, pemeriksaan
internal dan eksternal.
Dimana domain ME terdiri dari 4 control objectives, meliputi :
ME1 : Monitor and evaluate IT performance
ME2 : Monitor and evaluate internal control
ME3 : Ensure regulatory compliance
ME4 : Provide IT Governance
COBIT dirancang dengan orientasi bisnis agar dapat digunakan banyak pihak, tetapi
lebih penting lagi adalah sebagai panduan yang komprehensif bagi manajemen dan pemilik
bisnis proses. Kebutuhan bisnis akan tercermin dari adanya kebutuhan informasi. Dan
informasi itu sendiri perlu memenuhi kriteria kontrol tertentu, untuk mencapai tujuan bisnis.
Beberapa manfaat yang dapat diperoleh dalam penggunaan COBIT pada pengendalian
internal TI yaitu :
Dapat membantu auditor, manajemen dan pengguna (user), dengan cara membantu
menutup kesenjangan antara kebutuhan bisnis, risiko, kontrol, keamanan, melalui
peningkatan pengamanan dan mengontrol seluruh proses TI.
5. COBIT dapat memberikan arahan (guidelines) yang berorientasi pada bisnis, dan karena
itu business process owners dan manajer, termasuk juga auditor dan user, diharapkan
dapat memanfaatkan guideline ini dengan sebaik-baiknya.
Dari pemaparan diatas, dapat disimpulkan bahwa dalam menjalankan kegiatan
operasional suatu organisasi dapat mencapai tujuan apabila disertai dengan pengendalian
internal dengan metode yang yang tepat. TI merupakan suatu komponen penting dalam
menjalankan persaingan bisnis yang cukup ketat saat ini. Dengan metode COBIT, maka dapat
membantu memberikan manajer, auditor, dan pengguna TI secara umum langkah-langkah,
indikator, proses dan praktik dalam memaksimalkan manfaat yang diperoleh melalui
penggunaan TI dan pengembangan tata kelola TI yang sesuai dengan pengendalian dalam
sebuah perusahaan. Sehingga pengendalian internal dengan menerapkan metode COBIT
dapat dikatakan sebagai bisnis unggulan (best practice) yang mampu memfasilitasi
manajemen dengan meningkatkan efektivitas dan efisiensi.
IMPLEMENTASI KOMPONEN MRK
Kegiatan bisnis merupakan suatu kegiatan yang mempunyai tujuan untuk mendapatkan
profit. Kegiatan bisnis tidak dapat terlepas dari adanya risiko. Tanpa disadari risiko
berpengaruh pada pengambilan keputusan Management. Oleh sebab itu, perusahaan perlu
mengembangkan suatu proses dan struktur yang memastikan bahwa risiko-risiko tersebut
dikelola secara efektif dengan menerapkan sistem pengendalian internal yang baik. Cara
pengendalian tersebut dapat dengan menerapkan COSO Enterprise Risk Managementt
(ERM).
COSO Enterprise Risk Managementt (ERM) merupakan pengembangan dari kerangka
kerja COSO untuk pengendalian internal yang diterbitkan tahun 1992. COSO Enterprise Risk
Managementt (COSO ERM) adalah kerangka Kerja Management Risiko Korporasi (MRK)
yang diterbitkan oleh Committee of Sponsoring Organizations of the Treadway
Commission (COSO) Amerika Serikat.
COSO ERM tidak menggantikan kerangka kerja pengendalian intern, namun COSO
ERM membantu untuk menerapkan pengendalian intern suatu entitas. COSO
Enterprise Risk Managementt (ERM) dirancang untuk mengidentifikasi peristiwa yang dapat
mempengaruhi entitas.
Komponen MRK terdiri dari 8 komponen yang saling berhubungan. Komponen ini
diambil dari cara bagaimana Management melaksanakan organisasinya dan diintegrasikan
dengan proses Management.
Berikut 8 komponen MRK dan pengimplementasiannya pada PT. AZN sbb:
1. Lingkungan Internal (Internal Environment)
Lingkungan Internal (Internal Environment) sangat menentukan warna dari sebuah
organisasi dan memberi dasar bagi cara pandang terhadap risiko dari setiap orang dalam
organisasi tersebut.
Dalam lingkungan internal yang dimaksud termasuk diantaranya yaitu:
6. - Filosofi Management Risiko; Seperangkat keyakinan dan perilaku yang dirasakan
bersama, yang mencirikan bagaimana organisasi ini mempertimbangkan risiko dalam
segala aspek di organisasi.
- Risk Appetite; Risiko dalam wawasan dan tingkatan yang luas di mana organisasi
masih dapat menerimanya.
- Direksi dan Komisaris; Struktur, pengalaman, independensi, dan peran pengawasan
yang dimainkan oleh dewan.
- Integritas dan Nilai-nilai Etika; Terutama standar perilaku dan gaya kepemimpinan
serta berbagai tindakan yang secara etika diterima dan berlaku di organisasi
- Komitmen Terhadap Kompetensi; Pengetahuan dan keahlian yang dibutuhkan untuk
melaksanakan tugas-tugas yang dibebankan.
- Struktur Organisasi; Suatu kerangka untuk merencanakan, melaksanakan,
mengendalikan, dan memantau berbagai aktivitas.
- Pembebanan Wewenang dan Tanggung Jawab; Tingkatan di mana setiap individu
dan tim diberikan wewenang dan didorong untuk menggunakan insiatif untuk
mengarahkan berbagai isu dan memecahkan masalah-masalah, sebatas apa yang
menjadi tanggung jawabnya.
- Standar atau Kriteria Sumber Daya Manusia (SDM); Praktik-praktik berkenaan
dengan rekrutmen, orientasi, pelatihan, evaluasi, konseling, promosi, kompensasi,
dan tindakan –tindakan perbaikan yang diambil.
Pengelolaan risiko internal merupakan pengelolaan risiko yang berhubungan dengan
lingkungan di dalam PT AZN, yaitu pengelolaan operasional terhadap bisnis yang sudah
berjalan, pengelolaan pembentukan usaha baru, pengelolaan kerja sama operasi,
pengelolaan pemanfaatan teknologi baru/ investasi, pengelolaan kepatuhan terhadap
peraturan dan undang-undang serta pengelolaan SDM.
Dampak yang ditimbulkan oleh risiko internal antara lain penurunan laba perusahaan,
penurunan kemampuan pendanaan perusahaan, pelanggaran hukum, penurunan
produktifitas SDM dan keterbatasan kesempatan Management untuk bertindak.
Dalam pengimplementasiaanya pengelolaan risiko internal di PT AZN yang paling
sesuai adalah mitigasi risiko, yaitu meminimalkan risiko yang mungkin terjadi dengan
cara :
a. Mendisiplinkan penggunaan anggaran yang ditetapkan sesuai budget yang sudah
ditentukan oleh Managementt serta kepatuhan terhadap peraturan perusahaan.
b. Melaksanakan pemantauan, evaluasi dan bimbingan secara rutin terhadap proses
bisnis yang sedang berjalan agar dapat mencapai target.
c. Mematuhi peraturan dan perundang-undangan yang berlaku untuk setiap aktifitas
yang akan dijalankan.
d. Melakukan penempatan SDM yang sesuai dengan kemampuan dan keahliannya serta
memberlakukan sistem renumerasi dan perencanaan karir yang transparan.
2. Penentuan Tujuan (Objective Setting)
Penentuan tujuan berfungsi supaya perusahaan harus ada terlebih dahulu sebelum
Management dapat mengidentifikasi kejadian-kejadian yang berpotensi mempengaruhi
7. dalam pencapaian tujuan tersebut. ERM memastikan bahwa Management memiliki
sebuah proses untuk menetapkan tujuan dan tujuan tersebut terkait serta mendukung misi
perusahaan dan konsisten dengan risk appetite-nya.
Tujuan ditetapkan di tingkat strategi dan menjadi dasar untuk menentukan tujuan
operasi, pelaporan, dan kepatuhan. Setiap organisasi menghadapi berbagai macam risiko
baik yang berasal dari sumber internal maupun eksternal oleh karena itu penetapan
tujuan merupakan prasyarat untuk efektifnya proses identifikasi kejadian, penilaian
risiko, dan respon terhadap risiko.
Tujuan menjadi acuan untuk menentukan risk appetite organisasi yaitu sebagai batas
toleransi risiko bagi organisasi yang dapat diterima. Sedangkan, risk tolerance adalah
tingkat ukuran yang dapat diterima berkaitan dengan pencapaian tujuan organisasi.
Penetapan tujuan sudah dilakukan oleh PT AZN dari awal berdirinya perusahaan ini,
dengan tujuan yang jelas yaitu untuk “menjadi jaringan retail yang menyatu dengan
masyarakat Indonesia”, maka pihak Management dapat menjalankan bisnisnya sesuai
dengan proses yang terarah dan terstruktur dengan ketentuan yang ditetapkan oleh
perusahaan.
3. Identifikasi Kejadian (Event Identification)
Kejadian internal dan eksternal yang mempengaruhi pencapaian tujuan perusahaan
harus diidentifikasi, dan dibedakan antara risiko dan peluang yang dapat terjadi. Peluang
dikembalikan kepada proses penetapan strategi atau tujuan Management.
Management mengidentifikasi kejadian yang berpotensi terjadi, dan jika memang
terjadi akan mempengaruhi entitas dan menentukan apakah kejadian-kejadian tersebut
merupakan peluang atau ancaman yang mempengaruhi pencapaian tujuan.
Identifikasi kejadian yang dilakukan oleh PT AZN dilakukan dengan menentukan 2
kategori kejadian yaitu;
a. Kejadian-kejadian berdampak negatif yaitu risiko yang mungkin dapat menghambat
Management untuk dapat mencapai tujuan perusahaan. Kejadian yang berdampak
negatif harus segera ditindaklanjuti agar dapat memperbaiki proses bisnis tanpa
merugikan perusahaan.
b. Kejadian-kejadian berdampak positif yaitu peluang yang harus segera direspon
Management untuk memperlancar pencapaian tujuan perusahaan.
Dengan membagi kategori tersebut maka PT AZN dalam mengidentifikasi kejadian,
berbagai faktor baik internal maupun eksternal harus dipertimbangkan agar dapat
memperkecil resiko kejadian yang tidak diharapkan akan menimpa perusahaan.
4. Penilaian Risiko (Risiko Assessment)
Penilaian risiko (risk assessment) memungkinkan suatu entitas mempertimbangkan
luasnya kejadian-kejadian potensial memiliki pengaruh untuk suatu pencapaian tujuan.
Management melakukan analisa kejadian dari 2 (dua) perspektif, yaitu: kemungkinan
terjadi (likelihood) dan dampak (impact). Umumnya, penilaian risiko menggunakan
metode kuantitaf atau kualitatif, atau kombinasi di antara keduanya.
8. Dampak dari kejadian potensial harus diuji, baik secara tersendiri atau kategori, lintas
entitas. Risiko dinilai baik dari hal yang melekat (inherent) dan sisanya (residual).
Dalam melaksanakan penilaian resiko pada PT AZN dilakukan langkah-langkah sbb:
a. Melakukan pertemuan dengan para Manager, untuk mengetahui proses kerja yang
telah dilakukan dalam rangka meningkatkan membangun Management risiko
perusahaan.
b. Mengevaluasi pemahaman Management mengenai risiko dan cara mengelolanya.
c. Mengumpulkan berbagai informasi yang terkait dengan risiko, seperti tujuan
organisasi, proses dalam mengukur risiko, risk appetite yang dianut perusahaan,
bagaimana Management mempertimbangkan risiko, dan lain sebagainya.
d. Membuat penilaian terhadap keseluruhan proses kerja dengan menggunakan form
ceklist pekerjaan departmen.
5. Respons Risiko (Risk Response)
Management harus melakukan respons risiko terhadap suatu kegiatan agar risiko yang
terjadi masih sesuai dengan toleransi dan risk appetite. Setelah risiko dinilai,
management menentukan bagaimana risiko tersebut direspon.
Berikut respons risiko yang dilakukan oleh PT AZN terhadap hal-hal yang dapat
merugikan perusahaan, antara lain yaitu:
- Menghindari risiko (avoiding)
- Mengurangi (mitigating)
- Memindahkan (sharing/transferring)
- Mengendalikan (controlling)
- Mengoptimalkan (exploiting)
6. Kegiatan Pengendalian (Control Activities)
Kegiatan pengendalian merupakan kebijakan dan prosedur yang dapat membantu
memastikan bahwa respon terhadap risiko yang dilakukan Management dilaksanakan.
Kebijakan serta prosedur yang ditetapkan dan diimplementasikan untuk membantu
memastikan respons risiko berjalan dengan efektif.
Berikut contoh kegiatan pengendalian yang dilakukan PT AZN, yaitu:
- Review oleh Pimpinan; Review terhadap budget setiap departement, melakukan
monitoring terhadap tindakan komptetior.
- Fungsi atau aktivitas langsung Management; Rekonsiliasi antara data dan realisasi
penggunaan budget dan sales perusahaan.
- Pemrosesan Informasi; Pengendalian operasi sistem aplikasi oracle, pengendalian atas
sistem implementasi disetiap bagian, pembuatan disaster recovery plan.
- Pengendalian Fisik; Penghitungan fisik kas perusahaan, melakukan pengamanan
secara langsung.
- Penggunaan Indikator Kinerja; Melakukan analisa KPI dan tindak lanjut terhadap
penyimpangan dari target atau kinerja yang sudah ditetapkan.
9. - Pemisahan Tugas: Pemisahan wewenang dan tanggung jawab antara petugas yang
melakukan otorisasi sesuai proxy, melakukan pembayaran, dan mencatat hasil
transaksi yang berkaitan dengan pembelian ke Supplier.
7. Informasi dan Komunikasi (Information and Communication)
Informasi yang relevan diidentifikasi, ditangkap, dan dikomunikasikan dalam bentuk
dan waktu yang memungkinkan setiap orang menjalankan tanggung jawabnya. Informasi
harus cukup dalam konsistensinya dengan kebutuhan entitas untuk mengidentifikasi,
menilai, dan merespon risiko, dengan tetap dalam risk tolerance-nya.
Sistem informasi yang digunakan secara internal, berasal dari dari data dan informasi
yang berasal dari sumber eksternal, menyajikan informasi untuk mengelola risiko dan
membuat keputusan yang informatif berkaitan dengan pencapaian tujuan. Pada akhirnya,
informasi harus cukup berkualitas untuk pengambilan keputusan.
Kualitas informasi berhubungan dengan:
- Informasi harus sesuai dengan tingkat kerinciannya benar dan akurat.
- Informasi tepat waktu dan tersedia setiap saat jika dibutuhkan.
- Informasi selalu baru, mencerminkan informasi keuangan dan operasional yang paling
terkini.
- Informasi harus akurat dan dapat diandalkan (dipercaya)
- Informasi mudah untuk diakses oleh siapa pun yang memiliki otorisasi untuk
mengakses dan membutuhkan informasi tersebut
PT AZN menyediakan sarana informasi dan komunikasi melalui jaringan internet
dalam bentuk web dan akses AZN, sehingga setiap orang bisa berkomunikasi dan
mendapatkan informasi yang selalu update terkait dengan perkembangan perusahaan
baik itu berkaitan dengan hak maupun kewajiban Karyawan serta kebutuhan customer
yang terus membutuhkan perbaikan dan pelayanan yang lebih berkembang.
8. Pengawasan (Monitoring)
Keseluruhan proses ERM dimonitor dan dilakukan modifikasi apabila perlu.
Pengawasan dilakukan secara melekat pada kegiatan Management yang berjalan terus-
menerus, melalui evaluasi secara khusus, atau dengan keduanya. Proses Management
risiko harus dimonitor, yaitu dinilai keberadaan dan berfungsi efektifnya untuk setiap
komponen yang ada di dalamnya secara terus menerus.
Model yang digunakan untuk melakukan monitoring adalah melalui monitoring
kegiatan secara terus menerus, penilaian terpisah, atau kombinasi di antara keduanya.
Monitoring secara terus menerus dilakukan dan melekat dalam aktivitas rutin
Management.
Ruang lingkup dan frekuensi penilaian terpisah tergantung terutama pada hasil
penilaian risiko dan efektifitas prosedur monitoring yang terus menerus. Kelemahan atau
kekurangan program Management risiko dilaporkan ke atas dan untuk permasalahan
yang sangat serius harus dilaporkan kepada direksi dan komisaris.
10. Dalam melakukan proses monitoring, Management PT AZN selalu melakukan
pengawasan melalui meeting Board Of Directors (BOD) yang dilakukan setiap awal
bulan untuk mengetahui update seluruh proses bisnis dan perkembangan setiap bulan
nya, sehingga kerugian dan keuntungan yang didapatkan perusahaan bisa lebih terkontrol
dengan mengacu pada data dan sistem yang terus dilakukan perbaikan secara
berkesinambungan.
REFENSI :
Anonim, 2013. http://corporate.alfamartku.com/kebijakan-manajemen-risiko. Diakses pada
14 Mei 2017.
Anonim, 2016. http://itjen.ristekdikti.go.id/wp-content/uploads/2016/.../Manajemen-
Risiko_Ristekdikti.pdf. Diakses pada 14 Mei 2017.
Hapzi, Ali. 2015. Modul Perkuliahan Sistem Informasi & Pengendalian Internal:
Membandingkan Kerangka Pengendalian Internal COSO Internal Control Integrated
Framework, COSO Enterprise Risk Management, COBIT. Jakarta.
Latif, Abdul. 2013. http://oneose.blogspot.co.id/2013/12/pengendalian-internal-menurut-
cobit.html. Diakses pada 10 Mei 2017.
Kartika, Sari. 2017. https://pt.slideshare.net/SariKartika5/sipi-sari-kartika-hapzi-ali-
melindungi-si-konsep-komponen-pengendalian-internal-universitas-mercu-buana-2017
Diakses pada 14 Mei 2017.
Premavari, Yohana. 2017. https://www.slideshare.net/yohanapremavari/si-pi-yohana-
premavari-hapzi-ali-konsep-dasar-pengendalian-internal-universitas-mercu-buana-
2017pdf. Diakses pada 10 Mei 2017.
Premavari, Yohana. 2017. http://yohanapremavari.blogspot.co.id/2017/05/membandingkan-
kerangka-pengendalian.html Diakses pada 13 Mei 2017
Santoso, Dwi. 2015. http://www.kompasiana.com/dwisantoso_vcc/makalah-manfaat-
penggunaan-cobit_567fe81390fdfd5d0956ffba. Diakses pada 10 Mei 2017.
Susanto, Erdi. 2012. http://www.erdisusanto.com/2012/11/kerangka-kerja-cobit-control-
objectives.html. Diakses pada 10 Mei 2017.
Wardoyo, Kokoh. 2012. http://kokoh-wardoyo-ahp.mhs.narotama.ac.id/2012/02/14/analisa-
manajemen-stratejik-alfamart/. Diakses pada 14 Mei 2017.