Proses yang dipengaruhi oleh Board of Directors, manajemen, dan personil lain dalam entitas, diaplikasikan pada pembentukan strategi dan pada seluruh bagian perusahaan, dirancang untuk mengidentifikasi kejadian potensial yang dapat mempengaruhi entitas, dan mengelola risiko selaras dengan risk appetite entitas, untuk menyediakan jaminan yang wajar terhadap pencapaian sasaran dari entitas.

1. MEMBANDINGKAN KERANGKA PENGENDALIAN
INTERNAL
Makalah
Untuk memenuhi Tugas SISTEM INFORMASI DAN PENGENDALIAN INTERNAL
Jurusan Magister Akuntansi
Disusun oleh:
Dwi Rintani (55516120022)
Dosen Pengampu:
Prof. Dr. Ir. Hapzi Ali, MM, CMA
MAGISTER AKUNTANSI
UNIVERSITAS MERCU BUANA
JAKARTA
2017

2. 1. COSO Enterprise Risk Management (COSO ERM)
Manajemen risiko korporasi (MRK), atau dikenal dengan singkatan bahasa
Inggris ERM (enterprise risk management), adalah suatu proses, yang dipengaruhi
oleh dewan direktur, manajemen, dan personel lain dalam perusahaan, yang
diterapkan pada tataran strategis dan menyeluruh, yang dirancang untuk
mengidentifikasi potensi peristiwa yang dapat memengaruhi perusahaan dan untuk
memberikan jaminan yang wajar terhadap pencapaian sasaran perusahaan [1].
MRK menyediakankerangka kerja manajemen risiko, yang umumnya melibatkan
proses identifikasi peristiwa yang dapat berpengaruh terhadap sasaran perusahaan
(risiko dan peluang), penilaian kemungkinan dan dampak peristiwa tersebut,
penentuan strategi tanggapan, serta pemantauan pelaksanaan tanggapan
tersebut. Salah satu kerangka kerja MRK yang terkenal adalah COSO ERM.
Pada tahun 2001, COSO bekerjasama dengan Pricewaterhouse Coopers memulai
proyek untuk mengembangkan sebuah kerangka kerja manajemen risiko yang
dapat digunakan untuk mengevaluasi dan meningkatkan efektivitas ERM.
Kerjasama ini membuahkan hasil pada tahun 2004 dengan dirilisnya COSO ERM
– Integrated Framework, yang mendefinisikan manajemen risiko sebagai:
“Proses yang dipengaruhi oleh Board of Directors, manajemen, dan personil lain
dalam entitas, diaplikasikan pada pembentukan strategi dan pada seluruh bagian
perusahaan, dirancang untuk mengidentifikasi kejadian potensial yang dapat
mempengaruhi entitas, dan mengelola risiko selaras dengan risk appetite entitas,
untuk menyediakan jaminan yang wajar terhadap pencapaian sasaran dari
entitas.”
Dalam kerangka manajemen risikonya, COSO ERM menuntut perusahaan untuk
dapat menentukan terlebih dahulu sasaran perusahaannya, yang terdiri dari empat
kategori yaitu:
1. Strategis: sasaran yang mendukung dan selaras dengan misi perusahaan.
2. Operasi: efektivitas dan efisiensi dari penggunaan sumber daya perusahaan.
3. Pelaporan: keterpercayaan dari pelaporan.
4. Pemenuhan: pemenuhan terhadap hukum dan regulasi yang berlaku.
Dalam COSO ERM, manajemen risiko terdiri dari delapan komponen yang saling
terkait, yaitu:
1. Lingkungan internal (internal environment)
Mengidentifikasi kondisi internal perusahaan, meliputi kekuatan dan
kelemahannya, serta pandangan entitas terhadap risiko dan manajemen risiko.
2. Penetapan sasaran (objective setting)
Sasaran kegiatan manajemen risiko harus sejalan dengan sasaran dari
perusahaan, serta konsisten dengan risk appetiteperusahaan.
3. Identifikasi kejadian (event identification)

3. Kejadian internal dan eksternal yang dapat mempengaruhi pencapaian
sasaran perusahaan harus diidentifikasi, meliputi risiko dengan kesempatan
yang dapat muncul.
4. Penilaian risiko (risk assessment)
Risiko dianalisis berdasarkan kemungkinan dan dampaknya. Hasil analisis
risiko akan dijadikan dasar untuk menentukan perlakuan risiko.
5. Perlakuan risiko (risk respons)
Terdapat empat alternatif pada perlakuan risiko, yaitu menghindari
(avoidance), menerima (acceptance), mengurangi (reduction), dan membagi
risiko (sharing). Pemilihan perlakuan risiko dilakukan dengan membandingkan
hasil analisis risiko dengan risk appetitedan risk tolerance.
6. Aktivitas pengendalian (control activities)
Membangun dan mengimplementasikan kebijakan dan prosedur untuk
memastikan perlakuan risiko diterapkan dengan efektif.
7. Informasi dan komunikasi (information and communication)
Informasi yang relevan diidentifikasi, diperoleh, dan dikomunikasikan dalam
bentuk dan waktu yang tepat agar personil dapat melakukan tanggung
jawabnya dengan baik.
8. Pemantauan (monitoring)
Seluruh kegiatan ERM harus dipantau, dievaluasi dan dikembangkan.
Gambar 1. Ilustrasi keterkaitan sasaran, komponen ERM, dan unit kerja
perusahaan
Sumber: COSO Enterprise Risk Management – Integrated Framework (Executive Summary)
COSO ERM – Integrated Framework juga mendeskripsikan peran dan tanggung
jawab dari unit-unit kerja perusahaan dalam penerapan manajemen risiko. Satu
prinsip dasar yang ditanamkan COSO ERM adalah bahwa “semua bagian di dalam
perusahaan memiliki tanggung jawab terhadap ERM”, yang artinya implementasi

4. manajemen risiko harus mencakup entity-level, division, business unit,
hingga subsidiary, dan mencakup seluruh seluruh sumber daya manusia di dalamnya.
Walau begitu, terdapat pembagian peran dan tanggung jawab dalam penerapan ERM.
Berikut adalah pembagian peran dan tanggung jawab yang dijelaskan COSO ERM:
• Board of Directors (BoD) memiliki tanggung jawab penting dalam melakukan
pemantauan terhadap penerapan manajemen risiko, dengan turut
memperhitungkan risk appetite dari entitas;
• Chief Executive Officer (CEO) memiliki tanggung jawab untuk memastikan
berjalannya ERM yang efektif pada keseluruhan perusahaan;
• Manajer memiliki tanggung jawab dalam mendukung penerapan prinsip ERM
perusahaan, memastikan pemenuhan ERM dengan risk appetite, dan
mengelola risiko di ranah kewenangannya agar konsisten dengan risk
tolerance yang dimilikinya;
• Risk officer, financial officer, dan internal audit memiliki peran kunci dalam
mendukung efektivitas penerapan manajemen risiko perusahaan;
• Petugas operasional (atau biasa disebut risk coordinator) bertanggung jawab
dalam menerapkan manajemen risiko perusahaan sejalan dengan prosedur
dan kebijakan manajemen risiko perusahaan;
• Pihak eksternal (seperti pelanggan, kompetitor, otoritas, dan pihak yang
berperan dalam value chain perusahaan) tidak memiliki tanggung jawab dalam
memastikan efektivitas ERM dari entitas, tetapi pihak-pihak tersebut berperan
penting dalam menyediakan informasi yang dapat mendukung efektivitas
manajemen risiko.
Control Objective for Information and related Technology (COBIT) adalah suatu
panduan standar praktik manajemen Information Technolgy (IT). Standar COBIT
dikeluarkan oleh IT Governance Institute yang merupakan bagian dari Information
Systems Audit and Control Association (ISACA). COBIT 4.1 merupakan versi terbaru.
Implemntasi COBIT dengan 4 cakupan domain, yaitu :
1. Perencanaan dan organisasi (plan and organise)
Bagian perencanaan dan organisasi merupakan strategi dan taktik
perusahaan membuat atau meng-create bagaimana IT secara maksimal
dapat berkontribusi dalam pencapaian tujuan bisnis. Selain itu, realisasi dari
visi strategis perlu direncanakan, dikomunikasikan, dan dikelola untuk
berbagai perspektif yang berbeda. Terakhir, sebuah pengorganisasian yang
baik serta infrastruktur teknologi harus di tempatkan di tempat yang
semestinya.
Contoh: Maraknya penggunaan E-Commerce membuat perbankan ikut turut
serta di-dalamnya. Contohnya pada penerapan pembukaan rekening via
internet. Pada tahap ini perusahaan mengcreate bagaimana merealisasikan
pembuatan rekening tanpa harus nasabah datang langsung ke meja customer

5. service dan tanpa melanggar peraturan OJK. Seperti kesesuaian foto dengan
pemilik identitas. Atau apakah data yang diinput adalah benar atau fiktif. Maka
bank harus mempersiapkan langkah-langkah pencegahan sebelum aplikasi
ini diluncurkan.
2. Pengadaan dan implementasi (acquire and implement)
Bagian pengadaan dan implementasi ini merupakan proses pengaplikasian
IT dengan ketersediaan sumberdaya agar tujuan bisnis organisasi apakah
sesuai yang direncanakan atau tidak.
Pada tahap ini bank mengaplikasikan dari sebuah flowchart pembukaan
rekening ke sistem agar bisa merealisasikan dengan sistem yang tersedia
atau menambah dukungan dari sistem lain. Sehingga dapat bersinergi
dengan sistem lainnya sesuai dengan tujuan orgaisasi.
3. Pengantaran dan dukungan (deliver and support)
Bagian pengantaran dan dukungan ini adalah proses penggunaan IT ke
pemakai dan bagaimana perusahaan/organisasi menyediakan alat-alat
pendukung baik dari pengenalan, pelatihan dalam menggunakan IT tersebut
baik dari segi keamanan atau pun hal lain yg berhubungan.
Setelah sistem ready, saatnya pengenalan ke pasar. Biasanya pengenalan
dilakukan di pihak internal perusahaan (pegawai bank) dengan cara memberi
pelatihan agar dapat memasarkannya ke customer. Setelah pengenalan
internal barulah pengenalan ke pihak yang ingin dituju, yaitu calon nasabah
dengan memberikan link dan panduan. Pada proses ini juga perusahaan
menyediakan tools yang dapat mendukung kelancaran berjalannya sistem
(pembukaan rekening).
4. Pengawasan dan evaluasi (monitor and evaluate)
Bagian ini merupakan proses dimana organisasi dapat melihat apakah sistem
yang dibuat telah sesuai dengan tujuan perusahaan atau belum. Atau jika
masih belum sesuai dapat direvisi. Jika sudah sesuai tetapi masih terdapat
penyesuaian maka dapat kembali ke bagian 1 (perencanaan dan organisasi).
Ketika sistem telah berjalan, bank memastikan apakah penggunaannya telah
sesuai prosesdur yang ditetapkan, apakah timbul penyimpangan atau apakah
aplikasinya masih perlu perbaikan. Jika terdapat hal-hal yg perlu direvisi maka
harus segera diperbaiki agar sistem menjadi lebih baik sehingga tujuan
perusahaan terpenuhi.
Daftar Refrensi
https://id.wikipedia.org/wiki/Manajemen_risiko_korporasi
http://www.crmsindonesia.org/knowledge/crms-articles/perbandingan-coso-erm-
integrated-framework-dengan-iso31000-2009-risk-managem