Dokumen tersebut membahas tentang penerapan model kerangka pengendalian COBIT, COSO, dan ERM pada PT Transindo Jaya Komara. Secara singkat, dokumen menjelaskan analisis permasalahan pengelolaan TI di perusahaan tersebut dan merancang penerapan COBIT untuk meningkatkan pengelolaan TI sesuai kebutuhan bisnis.

1. SISTEM INFORMASI DAN PENGENDALIAN INTERNAL
DOSEN: Prof. Dr.Ir.Hapzi Ali, MM,CMA
Model Kerangka pengendalian: COBIT, COSO dan ERM
TUGAS
SISTEM INFORMASI DAN PENGENDALIAN INTERNAL
DOSEN: Prof. Dr.Ir.Hapzi Ali, MM,CMA
rangka pengendalian: COBIT, COSO dan ERM
Di Buat Oleh:
Raditya Wijaksono
55517120009
FAKULTAS EKONOMI DAN BISNIS
JURUSAN MAGISTER AKUNTANSI
JAKARTA
2018

2. Model Kerangka pengendalian: COBIT, COSO dan ERM
Implementasi Cobit, Coso Dan ERM pada Perusahaan
COBIT yaitu Control Objectives for Information and Related Technology yang merupakan audit sistem
informasi dan dasar pengendalian yang dibuat olehInformation Systems Audit and Control
Association (ISACA), dan IT Governance Institute (ITGI) pada tahun 1992.
1. Business information requirements, terdiri dari
: Information : effectiveness(efektif), efficiency (efisien),
(keyakinan), integrity (integritas), availability(tersedia), (pemenuhan), reliability (dipercaya).
2. Confidentiality compliance
3. Information Technology Resource, terdiri dari : People, applications, technology, facilities, data.
4. High – Level IT Processes.
COBIT didasari oleh analisis dan harmonisasi dari standar teknologi informasi dan best practices yang
ada, serta sesuai dengan prinsipgovernance yang diterima secara umum. COBIT berada pada level atas
yang dikendalikan oleh kebutuhan bisnis, yang mencakupi seluruh aktifitas teknologi informasi, dan
mengutamakan pada apa yang seharusnya dicapai dari pada bagaimana untuk mencapai tatakelola,
manajemen dan kontrol yang efektif. COBIT Framework bergerak sebagai integrator dari praktik IT
governance dan juga yang dipertimbangkan kepada petinggi manajemen atau manager; manajemen
teknologi informasi dan bisnis; para ahligovernance, asuransi dan keamanan; dan juga para ahli auditor
teknologi informasi dan kontrol. COBIT Framework dibentuk agar dapat berjalan berdampingan dengan
standar dan best practices yang lainnya.
Implementasi dari best practices harus konsisten dengan tatakelola dan kerangka kontrol Perusahaan,
tepat dengan organisasi, dan terintegrasi dengan metode lain yang digunakan. Standar dan best
practices bukan merupakan solusi yang selalu berhasil dan efektifitasnya tergantung dari bagaimana
mereka diimplementasikan dan tetap diperbaharui. Best practices biasanya lebih berguna jika
diterapkan sebagai kumpulan pinsip dan sebagai permulaan (starting point) dalam menentukan

3. prosedur. Untuk mencapai keselarasan dari best practices terhadap kebutuhan bisnis, sangat disarankan
agar menggunakan COBIT pada tingkatan teratas (highest level), menyediakan
kontrol framework berdasarkan model proses teknologi informasi yang seharusnya cocok untuk
perusahaan secara umum.
COBIT FRAMEWORK
Kerangka kerja CobIT terdiri dari beberapa guidelines (arahan), yakni :
a. Control Objectives
Terdiri atas 4 tujuan pengendalian tingkat tinggi (high level control objectives) yang tercermin dalam 4
domain, yaitu : planning & organization, acquisition & implementation, delivery & support, dan
monitoring.
b. Audit Guidelines
Berisi sebanyak 318 tujuan-tujuan pengendali rinci (detailed control objectives) untuk membantu para
auditor dalam memberikanmanagement assurance atau saran perbaikan.
c. Management Guidelines
Berisi arahan baik secara umum maupun spesifik mengenai apa saja yang mesti dilakukan, seperti : apa
saja indicator untuk suatu kinerja yang bagus, apa saja resiko yang timbul, dan lain-lain.
d. Maturity Models
Untuk memetakan status maturity proses-proses IT (dalam skala 0 – 5).
Pengelolaan TI (Tata Kelola TI)
Teknologi informasi memiliki peranan penting bagi setiap perusahaan yang memanfaatkan teknologi
informasi pada kegiatan bisnisnya, serta merupakan salah satu faktor dalam mencapai tujuan
perusahaan. Peran TI akan optimal jika pengelolaan TI maksimal. Pengelolaan TI yang maksimal akan
dilaksanakan dengan baik dengan menilai keselarasan antara penerapan TI dengan kebutuhan

4. perusahaan sendiri.
Semua kegiatan yang dilakukan pasti memiliki resiko, begitu juga dengan pengelolaan TI. Pengelolaan TI
yang baik pasti mengiidentifikasikan segala bentuk resiko dari penerapan TI dan penanganan dari
resikoresiko
yang akan dihadapi. Untuk itu perusahaan memerlukan adanya suatu penerapan yang harus
dilakukan perusahaan, yakni menerapkan Tata Kelola TI (IT Governance).
PT. Transindo Jaya Komara
KOPERASI LANGIT BIRU yang sebelumnya dikenal dengan PT. Transindo Jaya Komara (PT. TJK) dengan
Akte Notaris H. Feby Rubein Hidayat SH No. AHU. 0006152.AH.01.09. Tahun 2011 adalah perusahaan
konvensional yang sudah berdiri 2 tahun dan bergerak khusus mengelola daging sapi dan air mineral.
Saat ini KOPERASI LANGIT BIRU telah memiliki 62 suplayer pemotongan dan pendistribusian daging sapi
serta pusat pendistribusian air mineral SAFWA. Adalah Ustad Jaya Komara sebagai Direktur utama
memiliki pengalaman 16 Tahun dalam pengelolaan daging sapi. Ustad yang selalu berpenampilan
sederhana dan apa adanya ini memiliki visi misi besar untuk kesejahteraan bersama khususnya Umat
Islam. Untuk mengembangkan usahanya ini Ustad jaya Komara pada awalnya hanya menggandeng
masyarakat sekitar saja untuk ikut serta menikmati keuntungan hasil usaha daging sapinya.
Berawal dari pandanganya terhadap strata kehidupan masyarakat Indonesia dimana yang kaya makin
kaya dan yang miskin tetap miskin. Maka tercetuslah ide kreatif untuk pengembangan usahanya dengan
mengikutsertakan masyarakat pada umumnya. Pada awalnya hanya diadakan arisan daging untuk
masyarakat sekitar saja, yang hasilnya dibagikan tiap lebaran haji baik berupa keuntungan berupa uang
dan daging sapi itu sendiri, hal ini sudah dilakukan oleh ustad jaya komara sebelum KOPERASI LANGIT
BIRU resmi berdiri.
Berkaitan dengan pertimbangan diatas, perlu adanya suatu metode untuk mengelola IT. Dalam hal ini,
metode COBIT perlu diterapkan dalam pengelolaan perusahaan agar pengguna IT sesuai dengan
kebutuhan perusahaan dan menghasilkan kinerja yang efisien dan efektif serta mencegah atau

5. meminimalisir adanya resiko terhadap penggunaan IT. Dalam hal ini saya mencoba merancang
penerapan COBIT pada PT. Transindo Jaya Komara.
1. Analisis Permasalahan
· Pada PT. Transindo Jaya Komara sudah memiliki prosedur pengelolaan teknologi informasi yang
dijalankan, tetapi faktanya prosedur tersebut tidak sepenuhnya dijalankan, sehingga user biasanya
melakukan secara manual.
· Mengetahui berbagai kendala dalam pengelolaan teknologi informasi yang dijalankan.
· Perusahaan menginginkan adanya suatu evaluasi tata kelola teknologi informasi untuk
peningkatan mutu perusahaan .
· Pengolahan Data
PO 1 Merencanakan rencana strategis IT
Pada PT. Transindo Jaya Komara sudah mengetahui akan rencana strategis TI, meski kenyataannya
pelaksanaannya sering diabaikan. Pendokumentasian belum terstruktur dengan jelas. Dan hanya
diketahui oleh beberapa pegawai yang berkepentingan saja. Update dari rencana strategis TI merupakan
respon dari permintaan pihak perusahaan dan juga berdasarkan perubahan kondisi yang ada.
Keputusan-keputusan stategis yang diambil hanya berdasarkan pada masalah yang ada dalam proyek
yang dilaksanakan, belum berdasarkan rencana strategis TI yang telah ditetapkan secara konsisten.
Tetapi pada perusahaan ini sudah adanya solusi TI yang dibuat untuk menghadapi masalah yang ada.
Penyampaian kepada konsumen juga sudah dilakukan, hanya belum berjalan dengan maksimal.
Penyampaian kepada konsumen dilakukan secara online, dengan website yang diberikan perusahaan.
Seperti adanya rencana strategis dalam pemanfataan TI pada perusahaan ini yakni :
· Solusi menyeluruh untuk industri perdagangan dan investasi
· Solusi TI menyeluruh dengan nilai yang luar biasa
· Solusi TI menyeluruh dengan kompetensi yang tinggi
PO 2 Arsitektur Informasi

6. Belum semua instansi memiliki sistem informasi dan sistem informasi yang dikembangkan belum
terintegrasi.
PO 3 Arah Teknologi
Teknologi yang digunakan belum begitu canggih karena sarana dan prasarana belum memadai.
PO 4 Organisasi TI dan hubungan
Sudah ada sebuah organisasi yang jelas dan secara khusus menangani bidang IT, tetapi belum bekerja
secara maksimal.
PO 5 Investasi TI
Belum adanya rancangan anggaran TI yang menyeluruh.
Alokasi anggaran yang terbatas.
PO6 Komunikasi tujuan dan arah manajemen
Masih lemahnya koordinasi pembagian produk produk. Hal ini menyebabkan
koordinasi koperasi kurang efektif dan antrian yang semakin panjang.
PO 7 Manage SDM
Penempatan SDM yang tidak tepat dan pembagian tugas yang tidak jelas.
Pengelolaan sumber daya yang belum optimal baik di tingkat teknis operasional
maupun manajerial.
PO 8 Kesesuaian dengan external requirement
Kurangnya kesiapan dalam antisipasi (change of management) baik terhadap
perkembangan teknologi informasi dan komunikasi maupun terhadap tuntutan
masyarakat (globalisasi).
PO 9 Menilai Resiko TI
Di PT. Transindo Jaya Komara sudah adanya kebijakan akan manajemen resiko, karena sebagian besar
pelaksanaan kegiatan bisnis di Departemen TI di perusahaan ini sudah memanfaatkan teknologi 100 %.
Manajemen resiko dilakukan sesuai dengan proses yang telah ditentukan perusahaan, namun belum ada

7. standart khusus untuk mengatur kebijakan manajemen resiko tersebut. Tetapi manajemen resiko pada
perusahaan ini belum disosialisasikan kepada seluruh pegawai, jadi hanya pihak terkait atau manager
yang mengaturnya dan menjalankannya. Apabila terjadi kesalahan manajer yang memberitahukan
secara manual kepada pegawainya.
Proses kelonggaran/mitigasi yang diberikan terhadap resiko proyek, baik proyek baru atau lama
semuanya diperiksa oleh manager, tetapi masih belum konsisten karena tidak adanya standart khusus
untuk proses tersebut.
PO 10 Manajemen Proyek
Pada perusahaan ini, menajemen untuk proyek telah memenuhi kebutuhan user. User disini ialah
pegawai, manager, pimpinan dan stakeholders lainnya. Namun, proses pedokumentasian belum
berjalan dengan baik serta pengembangan dan penggunaan teknik juga belum dilaksanakan dengan
baik. Serta aplikasi dari penerapan management proyek tergantung pada kebijakan dari manager.
PO 11 Manajemen kualitas
Kurangnya tenaga ahli yang mampu mengawasi kualitas TI dan rendahnya penghargaan terhadap SDM
TI terampil mempengaruhi kualitas sistem dan pengembangan TI.
ERM
Perlakuan Risiko
Untuk meminimalkan risiko perusahaan, maka pengelolaan yang dilakukan oleh perusahaan haruslah
tepat. Pengelolaan risiko yang dilakukan oleh perusahaan sudah cukup baik, beberapa risiko telah di
kelola dengan tepat, namun juga masih terdapat
Financial Risk
I. Keterlambatan Pembayaran Cicilan
Risiko keterlambatan pembayaran cicilan dapat berdampak signifikan terhadap perusahaan jika tidak
dikelola dengan baik. Karena pada dasamya, pendapatan utama perusahaan adalah dari pembayaran
cicilan yang dilakukan oleh pembeli. Menurut Susilo dan Kaho (20 11) Perlakuan risiko yang tepat bagi

8. risiko ini adalah dengan melakukan Pengendalian pada risiko tersebut PT. Transindo Jaya Komara sudah
cukup baik dalam menangani keterlambatan pembayaran cicilan oleh konsumen, dengan melakukan
pengiriman surat tagihan satu rninggu sebelum jatuh tempo pembayaran cicilan setiap bulannya.
Namun terdapat kelemahan dalam sistem pembayaran cicilan, yaitu perusahaan tidak melakukan
pengawasan pemberian kredit perumahan. Pengelolaan yang dapat dilakukan oleh perusahaan untuk
meminimalkan risiko ini adalah:
- Perusahaan melakukan pengecekan saat akan memberikan kredit. Hal ini dapat dilakukan dengan cara
meminta data - data administrasi pembeli seperti, rekening bank selama 3 bulan terakhir, slip gaji atau
keterangan penghasilan. Perusahaan juga dapat melakukan pengecekan sejarah kredit kepada pembeli
terkait kredit apa saja yang dilakukan oleh pembeli, kepada pihak bank ataupun pihak finance. Setelah
melihat seluruh data yang diperlukan, maka perusahaan baru dapat memutuskan apakah pembeli layak
melakukan pembelian perumahan. Hal ini merupakan tindakan pencegahan agar dapat meminimalkan
teljadinya pembayaran cicilan yang macet.
- Tidak hanya memberikan surat tagihan pembayaran cicilan, namun melakukan komunikasi kepada
pembeli yang terlambat dalam melakukan pembayaran cicilan, tujuan nya adalah untuk menumbuhkan
kesadaran pembeli yang terlambat dalam melakukan pembayaran cicilan agar tidak terlambat lagi dalam
melakukan pembayaran.
2. Suku Bunga KPR
Risiko suku bunga memang tidak dapat di kendalikan oleh perusahaan. Seluruh kebijakan kenaikan atau
penurunan suku bunga KPR dipegang oleh pemerintah. Menurut Susilo dan Kaho (2011) perlakuan risiko
yang tepat bagi risiko suku bunga adalah dengan Risk Acceptance (Menerima risiko). Beberapa
pengelolaan yang dapat dilakukan perusahaan agar lebih efektif dalam menangani risiko suku bunga
adalah:
- Menjalin keija sama dengan pihak bank, terkait suku bunga KPR untuk peri ode tertentu. Sehingga saat
teij adi kenaikan, perusahaan dapat mempertahankan suku bunga saat ini yang lamanya sesuai dengan

9. peijanjian keija sama dengan pihak Bank.
- Melakukan promosi lebih rutin saat suku bunga KPR masih pada 7,25%, sehingga kegiatan Penjualan
akan lebih efektif.
Strategic Risk
3. Kebutuhan Hunia tinggi
Peluang akan kebutuhan hunian tergolong tinggi (High), dengan kemungkinan teijadi yang tinggi (High)
dan dampak yang tinggi(High). Perusahaan merealisasikan proyek Bumi Damai Regency untuk menjawab
kebutuhan hunian yang tinggi dengan harga teijangkau. Unit yang ditawarkan juga mencapai I 000 unit.
Perusahaan sudah sangat tepat dalam mengambil peluang yang ada.
4. Pelayanan Konsumen yang tidak memuaskan
Risiko Pelayanan konsumen yang buruk pada PT. Transindo Jaya Komara adalah rendah (Low).
Pengelolaan risiko perusahaan terkait pelayanan konsumen sudah baik, dimana General Manager
menginstruksikan bagian Sales untuk selalu memberikan pelayanan yang ramah kepada pembeli.
Perlakuan risiko yang tepat bagi risiko pelayanan konsumen adalah dengan Risk Mitigation (Mengurangi
dampak dari risiko).
Perlakuan risiko akan Jebih tepat bagi perusahaan jika:
- Melakukan training atau memberikan seminar pada karyawan. Dengan adanya training atau seminar
terkait komunikasi dengan konsumen, karyawan dapat berkomunikasi dengan baik, serta dapat
memberikan pelayanan yang lebih baik.
-Memberikan fasilitas kritik dan saran bagi perusahaan. Dengan adanya kritik dan saran, diharapkan
perusahaan dapat lebih baik lagi dalam memberikan pelayanan.
5. Persaingan
Kebutuhan hunian yang tinggi menciptakan persaingan yang semakin ketat. Risiko persaingan pada
perusahaan adalah sedang (Medium), sehingga perlakuan risiko yang tepat bagi perusahaan adalah Risk
Mitigation (Mengurangi dampak dari risiko). Pengelolaan risiko yang efektif bagi perusahaan adalah:

10. - Menjaga tingkat kepuasan konsumen dengan memberikan pelayanan yang baik. Perusahaan dapat
melakukan training atau seminar bagi karyawan, untuk meningkatkan kemampuan karyawan dalam
berkomunikasi dengan pembeli.
- Sering mengadakan Event untuk pengenalan produk dan system perumahan yang dimiliki perusahaan.
Dengan sering mengadakan event, perusahaan juga meningkatkan Brand Awareness di mata konsumen.
Konsumen akan lebih mengenal
- Melakukan analisa pesaing dengan cara analisa perkembangan proyek di Bojonegoro, baik di kota
ataupun di luar kota, melakukan analisa trend pembangunan yang dilakukan pesaing, dan Melakukan
survey pasar untuk melihat trend dan keinginan konsumen saat ini. Dengan analisa yang lebih
mendalam, perusahaan dapat dapat bersaing dengan lebih baik, serta menggunakan kelemahan para
pesaing menjadi daya tarik perusahaan bagi konsumen.
Operational Risk
6. Pedoman Perilaku (Tidak adanya peraturan tertulis) Tidak adanya pedoman perilaku menyebabkan
aturan perusahaan menjadi tidak jelas. Risiko ini tergolong tinggi (High) dengan kemungkinan terjadi
yang tinggi (High) dan dampak yang sedang (Medium). perlakuan risiko yang tepat bagi risiko ini adalah
Risk Avoidance. Perusahaan belum melakukan pengelolaan risiko pada risiko ini, karena
memang perusahaan tidak memiliki aturan tertulis. Pengelolaan risiko yang efektif adalah :
- Membuat peraturan tertulis, sehingga seluruh aturan perusahaan jelas. Dengan adanya peraturan
tertulis, karyawan akan lebih disiplin dalam menjalankan kegiatan operasional perusahaan. Seperti
contoh aturan dan sanksi perusahaan. jika terdapat peraturan tertulis, maka sanksi yang akan
diberikan adalah jelas. Jika perusahaan tidak memiliki aturan yang jelas, karyawan cenderung untuk
meremehkan peraturan perusahaan.
- Mensosialisasikan aturan tertulis perusahaan kepada seluruh karyawan perusahaan.
7. Penyimpanan dokumen yang dapat diakses oleh seluruh karyawan Risiko penyimpanan dokumen
yang dapat diakses oleh seluruh karyawan tergolong rendah (Low), dengan kemungkinan terjadi yang

11. rendah (Low) dan dampak yang sedang (Medium). Pengelolaan risiko yang tepat bagi perusahaan adalah
dengan melakukan Risk Mitigation (mitigasi risiko ). Pengelolaan risiko yang efektif bagi perusahaan
adalah:
- Lemari Besi lebih baik jika ditempatkan pada ruangan tersendiri atau ruangan Finance Manager.
Perusahaan juga harusmemberikan keamanan pada lemari besi tersebut seperti menggunakan gembok
pada lemari besi. Tujuan nya adalah untuk melakukan pengendalian fisik.
- Memberlakukan pembatasan akses untuk dokumen perusahaan. sebagai contoh, hanya bagian
keuangan yang memiliki akses penuh terhadap seluruh dokumen perusahaan. sehingga saat bagian lain
memerlukan dokumen perusahaan, hanya bagian keuangan yang dapat mengambilkan dokumen
tersebut. Pembatasan akses ini merupakan langkah dalam melakukan pengendalian internal terkait
pembatasan tugas dan fungsi.
- Melakukan backup dokumen perusahaan dengan cara membuat salinan berupa foto copy dokumen
penting perusahaan. backup data sangat diperlukan sebagai tindakan pencegahan, sehingga saaat data
hilang, perusahaan masih memiliki bukti dokumen tersebut.
8. Perekrutan karyawan
Risiko perekrutan karyawan PT. Transindo Jaya Komara tergolong rendah (Low), dengan kemungkinan
teijadi yang rendah (Low) dan dampak yang rendah (Low). Perlakuan risiko perekrutan karyawan yang
tepat adalah dengan Risk Acceptance (Menerima risiko). Pengelolaan risiko terkait perekrutan
karyawan akan lebih efektif jika:
- Perusahaan menganalisa CV (Curriculum Vitae) pelamar terlebih dahulu dan menetapkan standar
kriteria perusahaan. hal ini dilakukan untuk menilai pelamar (Appraisal). Pendataan pelamar juga harus
lengkap yaitu data pelamar (personal data), data aplikasi, serta data tambahan seperti
pendidikan dan riwayat keija untuk memudahkan perusahaan dalam melakukan penilaian pelamar. para
pelamar yang akan di interview adalah karyawan yang telah memenuhi seluruh kriteria perusahaan. hal
ini dilakukan karena perusahaan hanya melakukan analisa terhadap CV (Curriculum Vitae) para pelamar

12. saat interview berlangsung.
- Melakukan interview hanya terhadap pelamar yang telah memenuhi kriteria perusahaan. Perusahaan
melakukan interview terhadap seluruh pelamar tanpa melakukan analisa data pelamar terlebih dahulu.
Sistem ini cenderung membuang waktu perusahaan dalam melakukan interview. Dengan melakukan
penilaian pelamar terlebih dahulu, perusahaan hanya melakukan interview terhadap para pelamar yang
memenuhi criteria perusahaan. dengan demikian, sistem perekrutan perusahaan akan menjadi lebih
efektif.
- Dalam melakukan interview, kriteria penilaian pelamar harus lebih jelas. Kriteria - kriteria yang
dibutuhkan antara lain:
I. Kapabilitas terkait kecerdasan
2. Kapasitas terkait kemampuan mengatasi masalah dan menghadapi beban kerja yang tinggi
3. Karakter terkait sifat dan sopa santun
4. Kredibilitas terkait sifat yang dapat dipercaya
5. Komitmen
6. Kreatifitas dalam menyelesaian tugas
7. Kompatibilitas terkait kemampuan bekerja sama dengan orang Jain Dengan adanya kriteria yang jelas,
interview dapat dilakukan Jebih optimaldan saat melakukan penilaian, Dewan direksi dan General
Manager Jebih Obyektif dalam menerima pelamar.
Hazard Risk
9. Pencurian Risiko pencunan pada Perusahaan digolongkan rendah, dengan kemungkinan terjadi dan
dampak yang rendah. Perusahaan sudah tepat dalam melakukan pengelolaan risiko pencurian.
Penerapan system keamanan One Gate System, dapat secara signifikan mengurangi terjadinya
pencurian. Bagian keamanan juga selalu berkeliling dan menjaga pos selama lx 24 jam. Untuk
dapat lebih meminimalkan risiko pencurian, perusahaan dapat menambahkan beberapa system
keamanan berupa :

13. - Pengadaan CCTV pada pintu utama proyek perumahan, sehingga seluruh orang yang keluar masuk
perumahan dapat dipantau. Selain dapat memantau keluar masuk orang pada proyek perumahan,
perusahaan juga dapat memantau bagian kemanan apakah telah melakukan pekerjaan sesuai dengan
tugas dan tanggung jawab yang diberikan.
- Selama masa proyek pembangunan, hanya orang - orang yang memiliki kepentingan yang boleh masuk
ke area proyek perumahan. Perusahaan dapat menggunakan ID card sebagai media pengecekan,
sehingga orang -orang yang masuk ke proyek perumahan, akan di cek oleh bagian keamanan. Tujuan
dari pengecekan ini adalah mengurangi keluar masuknya orang - orang yang tidak memiliki kepentingan
untuk proyek, yangsecara otomatis mengurangi teljadinya risiko pencurian.
- Jika terdapat orang - orang mencurigakan yang tidak memiliki kepentingan terhadap proyek, maka
bagian keamanan dapat melapor pada bagian kepala keamanan, yang nanti akan ditanyakan kepada
bagian kantor, apakah orang tersebut diberikan ijin untuk melakukan akses ke proyek perumahan.
10. Pencemaran
Pencemaran merupakan risiko yang tergolong sedang (Medium), dengan kemungkinan terjadi yang
rendah (Low) dan dampak yang tinggi (High). Perlakuan risiko yang tepat adalah dengan melakukan Risk
Mitigation (Mitigasi Risiko ). Perusahaan meminimalkan pencemaran dengan melakukan analisa dampak
lingkungan. Pengelolaan risiko yang dilakukan perusahaan sudah cukup baik, namun akan lebih efektif
jika :
- Meminimalkan jam kerja proyek dengan tidak melakukan Pekerjaan berat yang dapat membuat
kebisingan saat malam. Sebagai contoh pada saat malam para kontraktor hanya bekerja bagian Finishing
rumah dan pemasangan alat - alat rumah seperti pintu, sehingga tidak mengganggu warga sekitar saat
malam.
- Melakukan Sosialisasi terhadap warga sekitar dengan cara mengadakan acara untuk warga setempat,
seperti memberikan hiburan lagu atau wayang. Hal ini dilakukan agar warga setempat dapat menerima
pembangunan proyek yang dilakukan perusahaan. Hal ini merupakan pendekatan secara persuasif.

14. 11. Kerusakan peralatan dan perlengkapan Risiko kerusakan peralatan dan perlengkapan perusahaan
tergolong rendah (Low) dengan kemungkinan teijadi yang rendah (Low) dan dampak yang rendah (Low).
Perlakuan risiko yang tepat ada1ah dengan me1akukan Risk Acceptance (Menerima risiko ).
Perusahaan akan memperbaiki se1uruh peralatan dan perlengkapan yang rusak, sehingga perusahaan
menerima risiko ini. Sebenarnya perlakuan risiko yang dilakukan oleh perusahaan tidak salah, namun
akan lebih baikjika:
Perusahaan secara rutin melakukan perawatan peralatan dan perlengkapan perusahaan. seperti
peralatan kantor, perusahaan dapat secara rutin melakukan perawatan pada computer dan printer
perusahaan.
- Memberikan tanggung jawab bagi pengguna peralatan agar menggunakan peralatan dengan benar.
Seperti contoh karyawan kantor secara rutin di informasikan untuk menggunakan computer dan printer
dengan benar, sehingga peralatan kantor menjadi lebih awet.
12. Kontrak bermasalah
Risiko kontrak tergolong tinggi (High) dengan kemungkinan teijadi tinggi (High) dan dampak yang sedang
(Medium). perlakuan risiko yang tepat adalah dengan melakukan Risk Mitigation (Mitigasi risiko ).
Perusahaan telah melakukan pengelolaan risiko kontrak dengan mempeijelas kontrak yang dilakukan
dengan kontraktor. Seluruh peijanjian serta sanksi telah dijelaslan pada kontrak. Perusahaan telah cukup
baik dalam melakukan penanganan kontrak, namun dapat lebih baikjika : Perusahaan memperketat
toleransi keterlambatan penyelesaian proyek. Saat ini perusahaan masih menganggap bahwa
keterlambatan selama 2 sampai dengan 3 bulan masih dalam batas wajar. Jika dilihat dari dampak yang
dihasilkan, keterlambatan selama 2 sampai dengan 3 bulan akan mengurangi kepuasan konsumen.
Perusahaan dapat meminimalkan toleransi keterlambatan menjadi I bulan. Perusahaan memperketat
peljanjian kontrak •dengan pihak kontraktor, seperti memberikan sanksi yang lebih tegas bagi
keterlambatan kontraktor. Dengan adanya sanksi yang lebih tegas, pihak kontraktor dapat lebih disiplin
dalam melakukan penyelesaian kontrak. Melakukan pengecekan Percentage of completion oleh Project

15. Manager setiap minggu nya. Jika perusahaan menganggap pengeljaan beljalan lambat, perusahaan
dapat memberikan peringatan kepada pihak kontraktor.
13. Modif!kasi Desain
Modif!kasi desain merupakan risiko yang tergolong sedang (Medium) dengan tingkat kemungkinan
teljadi yang tinggi (High) dan dampak yang rendah (Low). Perlakuan risiko yang tepat adalah dengan
melakukan Risk Mitigation (Mitigasi Risiko). Perusahaan tidak melakukan pengelolaan risiko terkait
masalah complain terhadap modifJkasi desain. Perusahaan dapat melakukan berberapa tindakan untuk
mengurangi risiko tersebut dengan cara :
- Memberikan perhatian khusus terhadap modifJkasi desain dengan menginformasikan secara rutin
kepada pihak quality control terkait modifJkasi desain dan memberikan tanggung jawab terkait
modifJkasi desain. Dengan memberikan tanggung jawab kepada Quality Control, diharapkan bagian
Quality control dapat disiplin dalam melakukan pengecekan material.
- Memberikan peraturan yang tegas terkait modifJkasi desain dengan pihak kontraktor, seperti
kontraktor akan mengganti secara penuh kerugian terkait modifJkasi desain. Kontraktor yang nakal akan
menghiraukan modifJkasi desain, sehingga nilai kontrak akan bertambah namun kontraktor tidak
memberikan material sesuai pesanan. Dengan adanya peraturan yang lebih tegas terkait modifikasi
desain, maka kontraktor akan lebih disiplin dalam mengadakan material terkait modifikasi desain.
14. Bencana Alam Banjir
Risiko Bencana alam pada dasamya memang tidak dapat dihindarkan. Risiko ini tergolong sedang
(Medium) dengan kemungkinan teijadi rendah (Low) dan dampak yang tinggi (High). Perlakuan risiko
yang paling tepat untuk risiko bencana alam adalah dengan melakukan Risk Sharing (Membagi risiko).
Perusahaan dapat membagi risiko tersebut dengan mengikuti Asuransi bencana alam. Beberapa
perusahaan asuransi telah memberikan proteksi bagi proyek pembangunan seperti AXA, dan sinarmas
insurance. Dengan mengikuti program asuransi, perusahaan dapat mengalihkan risiko bencana alam.
Menurut General manager, untuk mengasuransikan suatu proyek:, perlu dipertimbangkan cost and

16. Benefit nya. Asuransi memang menjamin perusaan dari risiko tersebut, namun biaya untuk
mengasuransikan suatu proyekjuga tidak murah.
COBIT:
Control Objectives for Information and related Technology (COBIT) berguna bagi IT users dalam
memperoleh keyakinan atas kehandalan sistem aplikasi yang dipergunakan. Sedangkan para manajer
memperoleh manfaat dalam keputusan saat menyusun strategic IT plan, menentukan information
architecture, dan keputusan atas procurement (pengadaan/pembelian) inventaris organisasi.Informasi
merupakan sumber daya utama bagi enterprise. Teknologi memegang peranan penting yang dapat
meningkatkan fungsi informasi pada enterprise, sosial, publik dan lingkungan bisnis. COBIT 5
memberikan layanan kerangka kerja secara komprehensif untuk membantu pemerintah dan manajemen
IT dalam sebuah perusahaan mencapai tujuan yang diharapkan. COBIT 5 for Information Security yang
digambarkan pada gambar 1 merupakan bagian dari COBIT 5 secara utuh, dimana fokus pada COBIT 5
for Information Security lebih ditekankan pada keamanan informasi dan memberikan gambaran secara
detil dan praktikal tentang panduan bagi para profesional keamanan informasi dan orang-orang yang
merupakan bagian dari enterprise yang memiliki ketertarikan di bidang keamanan informasi. Secara
umum, saya dapat mengatakan pengertian COBIT 5 adalah se buah framework atau kerangka kerja yang
memberikan layanan kepada enterprise, baik itu sebuah perusahaan, organisasi, maupun pemerintahan
dalam mengelola dan memanajemen aset atau sumber daya IT untuk mencapai tujuan enterprise
tersebut.
Tujuan utama pengembangan COBIT 5 for Information Security:
Menggambarkan keamanan informasi pada enterprise termasuk:
· Responsibilities terhadap fungsi IT pada keamanan informasi.
· Aspek-aspek yang akan meningkatkan efektivitas kepemimpinan dan manajemen keamanan
informasi seperti struktur organisasi, aturan-aturan dan kultur.
· Hubungan dan jaringan keamanan informasi terhadap tujuan enterprise.
Memenuhi kebutuhan enterprise untuk:
· Menjaga risiko keamanan pada level yang berwenang dan melindungi informasi terhadap orang
yang tidak berkepentingan atau tidak berwenang untuk melakukan modifikasi yang dapat
mengakibatkan kekacauan.
· Memastikan layanan dan sistem secara berkelanjutan dapat digunakan oleh internal dan eksternal
stakeholders.

17. · Mengikuti hukum dan peraturan yang relevan.
Sebagai tambahan, pengembangan COBIT 5 for Information Security untuk memberikan fakta bahwa
keamanan informasi merupakan salah satu aspek penting dalam operasional sehari-hari pada
enterprise.
Keunggulan
Menggunakan COBIT 5 for Information Secutiry memberikan sejumlah kemampuan yang berhubungan
dengan keamanan informasi untuk perusahaan sehingga dapat menghasilkan manfaat perusahaan
seperti:
· Mengurangi kompleksitas dan meningkatkan efektivitas biaya karena integrasi yang lebih baik dan
lebih mudah.
· Meningkatkan kepuasan pengguna.
· Meningkatkan integrasi keamanan informasi dalam perusahaan.
· Menginformasikan risiko keputusan dan risk awareness.
· Meningkatkan pencegahan, deteksi dan pemulihan.
· Mengurangi insiden (dampak) keamanan informasi.
· Meningkatkan dukungan untuk inovasi dan daya saing.
· Meningkatkan pengelolaan biaya yang berhubungan dengan fungsi keamanan informasi.
· Pemahaman yang lebih baik dari keamanan informasi.
Keamanan Informasi
Pengertian Keamanan Informasi
ISACA mendefinisikan keamanan informasi sebagai:
“Ensures that within the enterprise, information is protected against disclosure to unauthorised users
(confidentiality), improper modification (integrity) and non-access when required (availability).”
· Confidentiality berarti menjaga hak akses dan penggunaan wewenang untuk melindungi privacy
dan kepemilikan informasi.
· Integrity berarti menjaga informasi dari modifikasi atau perusakan dan termasuk memastikan
bahwa informasi yang ada merupakan informasi asli dan tidak ada penolakan (non-repudiation) jika
akan dilakuan pembuktian terhadap sistem.

18. · Availability berarti memastikan dalam hal waktu dan kehandalan dalam mengakses dan
menggunakan informasi agar selalu tersedia.
Meskipun terdapat beberapa definisi yang berbeda, definisi menurut ISACA di atas merupakan definisi
dasar dari keamanan informasi yang mengakomodir aspek confidentiality, integrity dan availability (CIA).
Konsep CIA sendiri merupakan konsep yang telah diakui secara global. Cobit 5 for Information Security
didasari pada prinsip yang terdapat pada kerangka kerja (framework) COBIT 5
Penggunaan COBIT 5 Enablers pada Praktik Implementasi Keamanan Informasi
Secara umum, COBIT 5 mendefinisikan enablers ke dalam dimensi yang dapat dilihat pada gambar 5.
Pendefinisian enablers dalam bentuk dimensi ini akan memberikan cara sederhana dan terstruktur agar
dapat dengan mudah memanajemen interaksi yang kompleks. Gambaran implementasi dari ketujuh
enabler (Principles, Policies and Frameworks, Processes, Organisational Strucutres, Culture, Ethics and
Behaviour, Information, Services, Infrastructure and Applications, People, Skills and Competencies)
pada COBIT 5 secara umum digambarkan pada gambar 5. Aktivitas-aktivitas spesifiknya dapat dilihat
pada buku panduan detil dari COBIT 5 for Information Security (Appendix A-H). Sebagai contoh, salah
satu enabler pada panduan tersebut dapat dilihat pada rincian berikut.
Roles dan Struktur Keamanan Informasi
Pada praktiknya, masing-masing roles/structure pada gambar 6 di atas akan memiliki:
· Composition – Kemampuan yang harus dimiliki oleh seluruh anggota organisasi.
· Mandate, Operating Principles, Span of Control and Authority Level
· High-level RACI Chart – Tingkat Responsibilities, Accountable, Consulted dan Informed.
· Inputs/Outputs
Sebagai tambahan, secara spesifik roles keamanan informasi dapat dibuat tergantung dengan kondisi
enterprise. Contohnya, tipikal roles pada tim keamanan informasi adalah:
· Administrator Keamanan Informasi
· Arsitek Keamanan Informasi
Auditor Keamanan Informasi
COSO
COSO kepanjangannya Committee of Sponsoring Organizations of the Treadway Commission.
Sejarahnya, COSO ini ada kaitannya sama FCPA yang dikeluarkan sama SEC danUS Congress di tahun
1977 untuk melawan fraud dan korupsi yang marak di Amerika tahun 70-an. Bedanya, kalo FCPA adalah
inisiatif dari eksekutif-legislatif, nah kalo COSO ini lebih merupakan inisiatif dari sektor swasta.

19. Sektor swasta ini membentuk ‘National Commission on Fraudulent Financial Reporting’ atau dikenal juga
dengan ‘The Treadway Commission’ di tahun 1985. Komisi ini disponsori oleh 5 professional association
yaitu: AICPA, AAA, FEI,IIA, IMA. Tujuan komisi ini adalah melakukan riset mengenai fraud dalam
pelaporan keuangan (fraudulent on financial reporting) dan membuat rekomendasi2 yang terkait
dengannya untuk perusahaan publik, auditor independen, SEC, dan institusi pendidikan.
Walaupun disponsori sama 5 professional association, tapi pada dasarnya komisi ini bersifat independen
dan orang2 yang duduk di dalamnya berasal dari beragam kalangan: industri, akuntan publik, Bursa Efek,
dan investor. Nama ‘Treadway’ sendiri berasal dari nama ketua pertamanya yaitu James C. Treadway, Jr.
Komisi ini mengeluarkan report pertamanya pada 1987. Isi reportnya di antaranya adalah
merekomendasikan dibuatnya report komprehensif tentang pengendalian internal (integrated guidance
on internal control). Makanya terus dibentuk COSO, yang kemudian bekerjasama dengan Coopers &
Lybrand (Ehm, kira2 bisa dibilang mbahnya PwC gitu) untuk membuat report itu.
Coopers & Lybrand mengeluarkan report itu pada 1992, dengan perubahan minor pada 1994, dengan
judul ‘Internal Control – Integrated Framework’. Report ini berisi definisi umum internal control dan
membuat framework untuk melakukan penilaian (assessment) dan perbaikan (improvement) atas
internal control. Gunanya report ini salah satunya adalah untuk mengevaluasi FCPA compliance di suatu
perusahaan.
Poin penting dalam report COSO ‘Internal Control – Integrated Framework’ (1992):
Definisi internal control menurut COSO
Suatu proses yang dijalankan oleh dewan direksi, manajemen, dan staff, untuk membuat reasonable
assurance mengenai:
§ Efektifitas dan efisiensi operasional
§ Reliabilitas pelaporan keuangan
§ Kepatuhan atas hukum dan peraturan yang berlaku
Menurut COSO framework, Internal control terdiri dari 5 komponen yang saling terkait, yaitu:
§ Control Environment
§ Risk Assessment
§ Control Activities
§ Information and communication
§ Monitoring

20. Di tahun 2004, COSO mengeluarkan report ‘Enterprise Risk Management – Integrated Framework’,
sebagai pengembangan COSO framework di atas. Dijelaskan ada 8 komponen dalam Enterprise Risk
Management, yaitu:
§ Internal Environment
§ Objective Setting
§ Event Identification
§ Risk Assessment
§ Risk Response
§ Control Activities
§ Information and Communication
§ Monitoring
Tujuan pengendalian internal
Dari beberapa pendapat para ahli dapat dijelaskan bahwa tujuan pengendalian internal yaitu mencakup
tiga hal pokok yang dapat diuraikan sebagai berikut:
1. Tujuan tujuan operasi yang berkaitan dengan efektivitas dan efisiensi operasi.
Bahwa pengendalian internal dimaksudkan untuk meningkatkan efektifitas dan efisiensi dari semua
operasi perusahaan sehingga dapat mengendalikan biaya yang bertujuan untuk mencapai tujuan
organisasi.
2. Tujuan-tujuan pelaporan
Bahwa pengendalian internal dimaksudkan untuk meningkatkan keandalan data serta catatan catatan
akuntansi dalam bentuk laporan keuangan dan laporan manajemen sehingga tidak menyesatkan
pemakai laporan tersebut dan dapat diuji kebenarannya.
3. Tujuan-tujuan ketaatan terhadap hukum dan peraturan yang berlaku.
Bahwa pengendalian internal dimaksudkan untuk meningkatkan ketaatan entitas terhadap hukum
hukum dan peraturan yang telah ditetapkan pemerintah, pembuat aturan terkait, maupun kebijakan
kebijakan entitas itu sendiri.
Ketiga tujuan pengendalian internal tersebut merupakan hasil (output) dari suatu pengendalian internal
yang baik, yang dapat dicapai dengan memperhatikan unsur unsur pengendalian internal yang
merupakan proses untuk menghasilkan pengendalian internal yang baik. Oleh karena itu, agar tujuan
pengendalian internal tercapai, maka perusahaan harus mempertimbangkan unsur unsur pengendalian
intern

21. ERM
Dalam berbagai artikel, ERM kadangkala muncul dalam istilah lain seperti “strategic risk management”,
“integrated risk management”, atau “holistic risk management”. Semua istilah tersebut mengacu pada
konsep yang sama yaitu bahwa semuanya memandang risiko dan manajemen risiko secara
komprehensif, bukan lagi dengan pendekatan “silo” dimana risiko dikelola secara terpisah dan berbeda-
beda di dalam organisasi. Lebih jauh lagi, adanya kesamaan pandangan dalam berbagai istilah tersebut
bahwa manajemen risiko bukan hanya merupakan proses mitigasi risiko, namun juga penciptaan nilai
(value-creating) (CAS, 2003). Selain istilah-istilah tersebut, D’Arcy dan Brogan (2001) menyatakan bahwa
ERM merupakan istilah mutakhir dari istilah-istilah tersebut, termasuk istilah setara lainnya yaitu
“corporate risk management” dan “business risk management”.
Sebagai sebuah terminologi yang relatif baru, belum terdapat sebuah definisi yang berlaku umum dan
diakui oleh semua kalangan, baik praktisi maupun akademisi. Kalangan akademisi seperti Meulbroek
(2002), dengan menggunakan istilah integrated risk management, mendefinisikannya sebagai
identifikasi dan penilaian risiko-risiko yang mungkin mempengaruhi nilai perusahaan secara kolektif, dan
mengimplementasikan strategi pada tingkat keseluruhan perusahaan untuk mengelola risiko-risiko
tersebut. Sedangkan Vedpuriswar et.al. (2001) mendefinisikannya sebagai suatu proses perencanaan,
pengorganisasian, dan pengendalian kegiatan-kegiatan organisasi dalam rangka meminimalkan
pengaruh risiko terhadap perusahaan baik dalam jangka pendek maupun dalam jangka panjang.
Sementara itu, media massa yang melakukan riset terhadap praktik manajemen risiko seperti majalah
CFO (2002) mendefinisikan strategic risk management sebagai suatu metode manajemen risiko yang
menggunakan pendekatan pada tingkat keseluruhan perusahaan untuk mengawasi dan mengelola risiko
dalam rangka mendukung tujuan stratejiknya.
Sementara itu di kalangan praktisi aktuaria, sebagaimana didefinisikan oleh Casualty Actuarial Society
(2003), ERM adalah sebuah proses atau disiplin dengannya organisasi-organisasi di semua industri
menaksir, mengendalikan, mengeksploitasi, membiayai, dan mengawasi risiko dari semua sumbernya
dengan tujuan untuk meningkatkan nilai perusahaan baik dalam jangka pendek maupun jangka panjang.
Sedangkan praktisi perbankan, sekuritas dan asuransi, sebagaimana terlihat pada laporan survey yang
dilakukan oleh joint forumantara Basel Committee on Banking Supervision, International Organisation of
Securities Commissions, danInternational Association of Insurance Supervisors yang dikoordinasikan
oleh Bank for International Settlements(2003), mendefinisikan integrated risk management sebagai
suatu sistem yang memastikan keberadaan dan berjalannya kebijakan dan prosedur yang dirancang
untuk meningkatkan perhatian dan tanggung jawab pemilikan risiko di seluruh perusahaan, serta untuk
mengembangkan perangkat-perangkat yang diperlukan untuk menangani risiko-risiko tersebut. Sedikit
berbeda dengan definisi tersebut, organisasi-organisasi praktisi akuntan dan auditor keuangan yang
berpengaruh dan tergabung dalam The Committee of Sponsoring Organizations of the Treadway
Commission (COSO)(2004), menyatakan bahwa ERM berhubungan dengan risiko dan peluang yang
berpotensi mempengaruhi nilai, dan mendefinisikannya sebagai berikut suatu proses yang dipengaruhi
oleh dewan direktur, manajemen, dan pihak lain, yang diaplikasikan dalam penentuan strategi
perusahaan, yang dirancang untuk mengidentifikasi risiko-risiko yang mungkin mempengaruhi
perusahaan, dan mengelola risiko-risiko tersebut tetap berada pada selera risiko perusahaan, serta

22. memberikan pemastian yang memadai bahwa tujuan perusahaan dapat dicapai. Definisi paling mutakhir
diberikan oleh ISO, di mana manajemen risiko didefinisikan sebagai upaya terkoordinasi untuk
mengarahkan dan mengendalikan kegiatan-kegiatan organisasi terkait dengan risiko (ISO Guide 73).
Dari berbagai definisi tersebut, walaupun dari sisi redaksional berbeda, namun dapat diambil beberapa
hal yang relatif sama yang membedakannya dengan manajemen risiko tradisional, yaitu bahwa:
1. Proses dan sistem dari ERM bersifat komprehensif, integratif, dan lintas divisional. Pada
manajemen risiko tradisional, risiko dikelola secara parsial (silo-based).
2. Tujuan dari ERM bersifat strategis yaitu pencapaian tujuan perusahaan yang lebih baik dan pada
akhirnya menciptakan, menambah, dan atau melindungi nilai perusahaan. Pada manajemen risiko
tradisional, tujuan terbatas pada mitigasi risiko terbatas pada kegiatan atau unit bisnis tertentu.
Kerangka
Ada beberapa kerangka (framework) yang dikembangkan oleh beberapa pihak seperti oleh COSO (2004),
CAS (2003), atau oleh Miccolis dan Shah (2000), dan terakhir yang dikeluarkan oleh ISO (2009). Kerangka
yang dikembangkan oleh COSO telah menjadi leader sejak tahun 2004 hingga saat ini. Hal ini dapat
dimaklumi karena kerangka dari COSO di-endorse oleh profesi-profesi terkait dengan akuntansi dan
keuangan serta pasar modal yang berpengaruh secara global. Namun kerangka ISO juga tampaknya akan
segera menjadi alternatif kerangka yang dapat dipakai dalam manajemen risiko, mengingat ISO memiliki
reputasi dan pengaruh yang besar dalam harmonisasi standar di seluruh dunia. Berikut ini uraian ringkas
kedua kerangka tersebut.
Model COSO
ERM versi COSO terdiri dari 8 komponen yang saling terkait. Kedelapan komponen ini diturunkan dari
bagaimana manajemen menjalankan perusahaan dan diintegrasikan dengan proses manajemen.
Kedelapan komponen ini diperlukan untuk mencapai tujuan-tujuan perusahaan, baik tujuan strategis,
operasional, pelaporan keuangan, maupun kepatuhan terhadap ketentuan perundang-undangan.
Komponen-komponen tersebut adalah:
1. Lingkungan Internal (Internal Environment) – Lingkungan internal sangat menentukan warna dari
sebuah organisasi dan memberi dasar bagi cara pandang terhadap risiko dari setiap orang dalam
organisasi tersebut. Di dalam lingkungan internal ini termasuk, filosofi manajemen risiko dan risk
appetite, nilai-nilai etika dan integritas, dan lingkungan di mana kesemuanya tersebut berjalan.
2. Penentuan Tujuan (Objective Setting) – Tujuan perusahaan harus ada terlebih dahulu sebelum
manajemen dapat menidentifikasi kejadian-kejadian yang berpotensi mempengaruhi pencapaian tujuan
tersebut. ERM memastikan bahwa manajemen memiliki sebuah proses untuk menetapkan tujuan ddan
bahwa tujuan yang dipilih atau ditetapkan tersebut terkait dan mendukung misi perusahaan dan
konsisten dengan risk appetite-nya.

23. 3. Identifikasi Kejadian (Event Identification) – Kejadian internal dan eksternal yang mempengaruhi
pencapaian tujuan perusahaan harus diidentifikasi, dan dibedakan antara risiko dan peluang. Peluang
dikembalikan (channeled back) kepada proses penetapan strategi atau tujuan manajemen.
4. Penilaian Risiko (Risk Assessment) – Risiko dianalisis dengan memperhitungkan kemungkinan
terjadi (likelihood) dan dampaknya (impact), sebagai dasar bagi penentuan bagaimana seharusnya risiko
tersebut dikelola.
5. Respons Risiko (Risk Response) – Manajemen memilih respons risiko –menghindar (avoiding),
menerima (accepting), mengurangi (reducing), atau mengalihkan (sharing risk) – dan mengembangkan
satu set kegiatan agar risiko tersebut sesuai dengan toleransi (risk tolerance) dan risk appetite.
6. Kegiatan Pengendalian (Control Activities) – Kebijakan dan prosedur yang ditetapkan dan
diimplementasikan untuk membantu memastikan respons risiko berjalan dengan efektif.
7. Informasi dan komunikasi (Information and Communication) – Informasi yang relevan
diidentifikasi, ditangkap, dan dikomunikasikan dalam bentuk dan waktu yang memungkinkan setiap
orang menjalankan tanggung jawabnya.
8. Pengawasan (Monitoring) – Keseluruhan proses ERM dimonitor dan modifikasi dilakukan apabila
perlu. Pengawasan dilakukan secara melekat pada kegiatan manajemen yang berjalan terus-menerus,
melalui eveluasi secara khusus, atau dengan keduanya.
Penerapan komponen dalam berbagai tujuan tersebut dapat dilakukan pada entity-level, divisional, unit
bisnis, dan/atau subsidiary. Hubungan antara ketiganya digambarkan oleh COSO dalam kubus tiga
dimensi sebagai berikut:
Model ISO
Sementara itu, ISO sebagaimana diterjemahkan secara bebas oleh Susilo et.al (2010) membedakan
kerangka manajemen risiko sendiri, dengan prinsip dan juga proses manajemen risiko.Menurut ISO,
manajemen risiko suatu organisasi hanya dapat efektif bila mampu menganut prinsip-prinsipbahwa
manajemen risiko:
1. harus memberi nilai tambah
2. adalah bagian terpadu dari proses organisasi
3. adalah bagian dari proses pengambilan keputusan
4. secara khusus menangani aspek ketidakpastian
5. bersifat sistematik, terstruktur, dan tepat waktu
6. berdasarkan pada informasi terbaik yang tersedia
7. adalah khas untuk penggunaannya

24. 8. mempertimbangkan faktor manusia dan budaya
9. harus transparan dan inklusif
10. bersifat dinamis, berulang, dan tanggap terhadap perubahan
11. harus memfasilitasi terjadinya perbaikan dan peningkatan organisasi secara berlanjut.
Selanjutnya, agar dapat berhasil baik, manajemen risiko harus diletakkan dalam suatu kerangka
manajemen risiko. Kerangka ini akan menjadi dasar dan penataan yang mencakup seluruh kegiatan
manajemen risiko di segala tingkatan organisasi. Kerangka manajemen risiko ini disusun khas ISO yaitu
berdasarkan siklus Plan(mendesain kerangka manajemen risiko) – Do (mengimplementasikan kerangka
manajemen risiko) – Check(memonitor dan mereview kerangka manajemen risiko) – Act (perbaikan
terus menerus kerangka manajemen risiko), dengan sebelumnya harus mendapatkan mandat dan
komitmen berlanjut dari manajemen organisasi. Siklus kerangka manajemen risiko tersebut dapat
digambarkan sebagai berikut:
Kerangka kerja ini akan membantu organisasi mengelola risiko secara efektif melalui penerapan proses
manajemen risiko. Proses manajemen risiko hendaknya merupakan bagian yang tak terpisahkan dari
proses manajemen umum. Manajemen risiko harus masuk dan menjadi bagian dari budaya organisasi,
praktik terbaik organisasi, dan proses bisnis organisasi.
Proses manajemen risiko menurut ISO meliputi 5 kegiatan, yaitu:
1. Komunikasi dan konsultasi, yaitu komunikasi dan konsultasi di antara para pemangku kepentingan,
internal maupun eksternal, yang harus dilakukan seekstensif mungkin sesuai dengan kebutuhan dan
pada setiap tahapan proses manajemen risiko.
2. Menentukan konteks, yaitu menentukan batasan atau parameter internal dan eksternal yang akan
dijadikan pertimbangan dalam manajemen risiko, menentukan lingkup kerja, dan kriteria risiko untuk
proses-proses selanjutnya.
3. Asesmen risiko, yaitu mengidentifikasi risiko, menganalisis risiko, serta mengevaluasi risiko.
Mengidentifikasi risiko dilakukan dengan mengidentifikasi sumber risiko, area dampak risiko, peristiwa
dan penyebabnya, serta potensi penyebabnya, sehingga bisa didapatkan sebuah daftar risiko. Analisis
risiko adalah upaya memahami risiko yang sudah diidentifikasi secara lebih mendalam yang hasilnya
akan menjadi masukan bagi evaluasi risiko. Sedangkan evaluasi risiko adalah menentukan risiko-risiko
mana yang memerlukan perlakuan dan bagaimana prioritas implementasinya.
4. Perlakuan risiko, meliputi upaya untuk menyeleksi pilihan-pilihan yang dapat mengurangi atau
meniadakan dampak serta kemungkinan terjadinya risiko, kemudian menerapkan pilihan tersebut.
5. Monitoring dan review, bisa berupa pemeriksaan biasa atau oengamatan terhadap apa yang sudah
ada, baik secara berkala atau secara khusus. Kedua bentuk ini harus dilakukan secara terencana.
Keseluruhan proses manajemen risiko menurut ISO tersebut dapat digambarkan sebagai berikut:

25. Implementasi
Penerapan ERM pada suatu organisasi sudah barang tentu adalah sebuah kemewahan yang manfaatnya
sudah dijanjikan oleh pihak-pihak promotor model atau kerangka manajemen risiko. Apakah janji pasti
terealisasi? Tidak ada yang menggaransi. Apapun model yang akan diterapkan, manajemen risiko yang
intensional, sistematik dan terstruktur, bukanlah projek yang mudah dan murah. Yang sudah pasti harus
ada adalah komitmen dari seluruh pihak di dalam organisasi yang berkelanjutan, yang merasuk dalam
proses bisnis, yang menjadi budaya dan gaya organisasi, bahwa risiko adalah ibarat sebuah pedang.
Tanpa risiko, organisasi akan stagnan karena tidak ada tantangan. Namun karena risiko pula, organisasi
akan bisa berjatuhan. Risiko harus ada, tapi harus pula dikelola. Untuk itulah manajemen risiko
https://itgid.org/pengertian-cobit-5/
https://mukhsonrofi.wordpress.com/2008/10/14/pengertian-atau-definisi-coso/
http://auditorinternal.com/2010/02/15/mengenal-erm/
http://fauzi461203976.blogspot.co.id/2015/06/implementasi-cobit-di-pt-transindo-jaya.html