COBIT, COSO dan ERM

1. PENGERTIAN COBIT, COSO DAN ERM SERTA IMPLEMENTASINYA
1. COBIT
COBIT (Control Objectives for Information and Related Technology) merupakan
sekumpulan dokumentasi dan panduan yang mengarahkan pada IT governance yang
dapat membantu auditor, manajemen, dan pengguna (user) untuk menjembatani
pemisah antara resiko bisnis, kebutuhan kontrol dan permasalahan-permasalahan
teknis (irwan, 2011).
Fungsi COBIT untuk (irwan, 2011):
 Meningktakan pendekatan/program audit;
 Mendukung audit kerja dengan arahan audit secara rinci;
 Memberikan petunjuk untuk IT governance;
 Sebagai penilaian benchmark untuk kendali IS/IT;
 Meningkatkan control IS/IT;
 Sebagai standarisasi pendekatan/program audit.
2. COSO
COSO tentang pengendalian intern sebagai berikut sistem pengendalian internal
merupakan suatu proses yang melibatkan dewan komisaris, manajemen, dan personil
lain, yang dirancang untuk memberikan keyakinan memadai tentang pencapaian tiga
tujuan berikut ini : Efektivitas dan efisiensi operasi; Keandalan pelaporan keuangan;
Kepatuhan terhadap hukum dan peraturan yang berlaku (Binus, 2015).
Komponen pengendalian internal menurut COSO antara lain:
 Lingkungan pengendalian
 Penaksiran resiko
 Kegiatan pengendalian
 Informasi dan komunikasi
 Monitoring
3. ERM
Enterprise Risk Management (ERM) adalah suatu proses yang dipengaruhi oleh board of
director, dan personal lain dari suatu organisasi, diterapkan dalam setting strategi, dan
mencakup organisasi secara keseluruhan, didesain untuk mengidentifikasi kejadian
potensial yang mempengaruhi suatu organisasi, untuk memberikan jaminan yang cukup
pantas berkaitan dengan pencapaian tujuan organisasi (Management Keuangan, 2014)

2. Dua buah framework ERM adalah COSO dan RIMS. Keduanya mendeskripsikan
pendekatan untuk mengidentifikasi, menganalisa, bertanggung jawab, dan memonitor
risiko ataupun peluang didalam maupun di luar lingkungan yang dihadapi perusahaan.
COSO memiliki 8 komponen dan 4 kategori objek. 8 komponen tersebut antara lain
(Managemen Keuangan, 2014):
 Lingkungan Internal;
 Penetapan Tujuan;
 Identifikasi Kejadian;
 Penialian Risiko
 Respon terhadap risiko (risk response);
 Aktivitas pengendalian
 Informasi dan komunikasi;
 Monitoring.
IMPLEMENTASI COSO dan ERM PADA PT Asuransi Kredit Indonesia (PT.
Askrindo)
Model penerapan ERM adalah diadopsi dari kasus penerapan ERM PT Askrindo yang
menjalankan usaha penjaminan sekaligus usaha asuransi dengan framework COSO
(Committe of Sponsoring Organization).
PT. Asuransi Kredit Indonesia adalah suatu entitas bisnis di indonesia yang unik dan mungkin
satu-satunya di indonesia yang dapat mengkolaborasi secara baik antara usaha berorientasi
profit dengan berorientasi public service dalam bentuk usaha penjaminan dan asuransi. PT
Askrindo dikatakan menjalankan usaha asuransi karena regulasi di indonesia masih
menganggap bahwa surety bond, customs bond, asuransi kredit perdagangan dan
penjaminan kredit tergolong dalam usaha asuransi walaupun skim yang digunakan adalah
skim penjaminan. Saat ini regulasi penjaminan masih pada tarap peraturan pemerintah atau
keputuasan menteri keuangan sedangan regulasi setingkat Undang-Undang sedang dalam
proses penyusunan. Disatu sisi PT Askrindo berusaha mendukung program pemerintah
mengembangkan UMKM dengan karateristik usaha yang cenderung merugi, namun di sisi
lain PT Askrindo dituntut untuk memperoleh profit dengan menjalankan usaha penjaminan
dan asuransi dalam bentuk diversifikasi produk yang meliputi produk surety bond, customs
bond, asuransi kredit perdagangan (Askredag) dan reasuransi. Demikian kompleks usaha
yang dijalankan oleh PT Askrindo dan untuk memenuhi tuntutan regulator yang
mewajibakan perusahaan BUMN memiliki unit manajemen risiko, PT Askrindo mulai taun
2010 harus dan sudah mulai menerapkan Enterprise Risk Management (ERM) dengan
pendekatan kaidah-kaidah dan prinsip penjaminan dan asuransi (Mulyono, 2010).

3. FUNGSI DAN MANFAAT ERM
Penerapan ERM di perusahaan penjaminan memiliki fungsi dan manfaat sebagai berikut
(Mulyono, 2010):
1. Peningkatan efektifitas organisasi.
Adanya koordinasi yang lebih baik antara beberapa fungsi pengelolaan risiko serta
meningkatkan ruang lingkup pengelolaan risiko (meningkatkan efisiensi proses
pengelolaan risiko secara terintegrasi yaitu mencakup semua bisnis dan organisasi
serta mencakup semua jenis risiko yang dihadapi). Pengelolaan risiko secara
terintegrasi ini akan memperbesar peluang pencapaian tujuan perusahaan yang
pada akhirnya akan meningkatkan value perusahaan.
2. Meningkatkan ketahanan Organisasi
Penerapan ERM akan memberikan perusahaan suatu langkah antisipasi/mitigasi
risiko dalam menghadapi berbagai risiko yang akan dihadapi perusahaan (corporate
risk) sehingga memberikan early warning system yang efektif dalam menghadapi
keadaan yang tersulit bagi perusahaan.
3. Mendukung dan meningkatkan kualitas penerapan tata kelola perusahaan yang baik
(Good Corporate Governance (GCG)). ERM adalah salah satu pilar penting dalam
mendukung terciptanya GCG.
4. Adanya sinergi antara strategi perusahaan dan tingkat risiko yang diterima (Risk
Appetite) untuk mencapai tujuan (improved outcomes).
5. Mendorong manajemen yang proaktif dan bukan reaktif.
6. Meningkatkan keselamatan dan pencegahan insiden.
7. Meningkatkan kepercayaan para pemangku kepentingan
FRAMEWORKERM
Enterprise Risk Management (ERM) merupakan suatu proses yang melibatkan perusahaan,
termasuk BOD, manajemen, dan seluruh karyawan Perusahaan dalam mengidentifikasi
suatu kejadian atau potensi kejadian yang menimbulkan suatu dampak (kerugian) ,
mengelolanya secara komprehensif dalam besaran / ukuran yang dapat diterima oleh
perusahaan, serta untuk memastikan pencapaian tujuan perusahaan. Di berbagai usaha
ekonomi di dunia dikenal berbagai macam kerangka kerja penerapan ERM yang sesuai
dengan sudut pandang pengelolaan risiko dan sosial budaya suatu bangsa. Model kerangka
kerja ERM yang digunakan oleh berbagai industri sampai saat ini adalah BS, British Standarts
– IRGC (BS6079-3) (2000), International Risk Governance Council (IRGC) 2004, COSO
(Committee of Sponsoring Organizations), AS/NZ, Australia & New Zealand Standart
(AS/NZS) 4360, ISO (International Standarts Organization) 31000 (2009).
DASAR PEMILIHAN FRAMEWORK ERM
Berbagai macam framework ERM yang digunakan oleh perusahaan di berbagai sektor
ekonomi memiliki karakteristik tersendiri dan dibangun atas dasar sudut pandang

4. manajement dan sosial budaya setempat. Pemilihan framework ERM yang sesuai dengan
best practise dimana perusahaan melakukan aktivitas usaha dapat didasarkan pada
pertimbangan sebagai berikut:
1. Tujuan dan misi perusahaan
2. Kebutuhan organisasi dan karakteristik bisnis yang dijalankan.
3. Tuntutan dan kebutuhan regulasi & ketentuan yang berlaku.
4. Ukuran perusahaan (size of company) termasuk di dalamnya sumber daya yang
tersedia dalam penerapan ERM
KUNCI KEBERHASILAN PENERAPAN ERM
Keberhasilan penerapan ERM sangat tergantung pada sumber daya manusia yang terlibat di
dalam kegiatan ERM (effective by people). Kecanggihan sistem dan mekanisme penerapan
ERM tidak akan menjamin bahwa tujuan perusahaan akan tercapai apabila tidak didukung
oleh kualitas dan integritas sumber daya manusia perusahaan. Kunci utama keberhasilan
dalam penerapan ERM adalah tergantung pada kualitas dan integritas sumber daya
manusia. Keberhasilan penerapan ERM pada umumnya akan ditentukan oleh beberapa
faktor penting yaitu:
1. Adanya komitmen dari Board of Director (BOD), Board of Commisioner (BOC) dan
senior manajemen. Komitmen BOD merupakan faktor yang dominan untuk
menentukan keberhasilan penerapan ERM karena ERM tidak akan dapat diterapkan
jika BOD tidak mendukung sepenuhnya.
2. Adanya kebijakan, sistem dan proses kontrol yang ditunjang dengan budaya risiko
(risk culture) (perduli terhadap risiko) yang kuat;
3. Adanya kejelasan dalam penentuan risk appetite & risk tolerance sesuai dengan
kemampuan perusahaan (clear limits on delegated authority);
4. Adanya komunikasi dan pembelajaran yang terus menerus;
5. Adanya integrasi antara ERM ke dalam strategic planning, proses bisnis, penilaian
karya/kinerja dan kompetensi (rewards system dikaitkan dengan risk based
performance);
6. Adanya organisasi manajemen risiko yang permanen;
7. Adanya akuntabilitas dan responsibilitas yang jelas (including clear ownership of
risk).
Integritas dan kualitas SDM sangat menentukan keberhasilan penerapan ERM sehingga
perlu dilakukan pendidikan dan pelatihan yang dapat meningkat Intelegencia Quotient (IQ),
Emotional Quotient (EQ) dan Spritual Quotient (SQ) melalui pelatihan yang bersifat agamis
dan motivasi etos kerja dan loyalitas karyawan terhadap perusahaan. Pelatihan sejenis
tersebut harus dilakukan secara rutin dan periodik agar SDM selalu diberikan awareness
atas andil integritas dan kapasitas SDM dalam mencapai tujuan perusahaan.

5. ELEMEN IMPLEMENTASI ERM
Dalam pembangunan ERM, ada 3 (tiga) elemen yang harus dibangun dan dipersiapkan agar
penerapan ERM dapat berjalan secara efektif seperti pada gambar di bawah ini yaitu
(Mulyono, 2010):
1. Framework (Risk Governance)
Pembangunan elemen framework yang harus harus dipersiapkan antara lian meliputi
komitmen Direksi, budaya risiko dan kesadaran penerapan risiko, penetapan risk
appetite dan risk tolerance, struktur dan fungsi organisasi dan kebijakan. Elemen
framework ini merupakan elemen dasar yang menjadi penentu keberhasilan
penerapan ERM yang semuanya tergantung pada kualitas dan integritas sumber
daya manusia.
2. Infrastruktur
Implementasi ERM memerlukan sarana dan prasarana dalam memfasilitasi
penerapan ERM di perusahaan. Infrastruktur yang diperlukan untuk menerapkan
ERM adalah metodologi penerapan ERM, Teknologi terutama sistem informasi yang
digunakan untuk mengolah data risiko, Prosedur ( SOP penerapan ERM dan
Pedoman ERM) dan Sistem informasi yang dapat memberikan pelaporan ERM secara
kontinue kepada manajemen
3. Proses
Penerapan ERM adalah suatu proses yang dilakukan secara terus menerus,
terintegrasi dan melibatkan seluruh karyawan dalam mengelola risiko sehingga
dapat memperbesar peluang pencapaian tujuan. Proses manajemen risiko yang
pokok dilakukan dalam ERM adalah proses identifikasi, pengukuran, pemetaaan dan
mitigasi risiko. Proses manajemen risiko lain yang tak kalah pentingnya adalah proses
monitoring, komunikasi, pelaporan dan pengendalian manajemen risiko. Untuk
melaksanakan proses manajemen risiko tersebut diperlukan suatu sistem dan
sumber daya yang relatif cukup baik yang bersifat teknologi maupun manual.
ROAD MAP ERM
Rencana jangka panjang penerapan ERM harus ditetapkan oleh perusahaan agar
perusahaan dapat memperoleh arah, strategi yang jelas dan target yang akan dicapai
perusahaan pada periode tertentu. Rencana penerapan ERM dapat dijabarkan tiga tahunan
atau lima tahunan dalam bentuk Road Map sesuai dengan kapasitas perusahaan dan
perkiraan perubahan lingkungan. Kualitas perumusan rencana jangka panjang ERM
menentukan perjalanan keberhasilan penerapan ERM perusahaan sehingga dalam
perumusannya harus dipertimbangkan secara cermat dan matang berbagai aspek yang
berkaitan dengan kapasitas perusahaan dan perubahan lingkungan internal dan eksternal
selama periode Road Map. Tujuan akhir penerapan ERM pada rencana jangka panjang

6. pertama dapat berupa penerapan ERM menjadi budaya risiko perusahaan dalam proses
bisnis dan pendukungnya yang dapat meningkatkan value perusahaan.
PENERAPAN ERM DALAM USAHA PENJAMINAN
PT Askrindo sejak pertengahan tahun 2010 telah memiliki elemen implementasi ERM yang
relatif lengkap dan jajaran manajemen termasuk BOD telah memberikan komitmen atas
penerapan ERM di perusahaan. Disamping itu, PT Askrindo juga telah memiliki Risk Contact
Person atau Risk Champion di seluruh unit kerja baik di kantor Pusat maupun Kantor Cabang
untuk mendukung implementasi ERM dengan bantuan sistem informasi manajemen risiko
berbasis Web.
Penerapan ERM di PT Askrindo yang bergerak pada usaha penjaminan merupakan
perusahaan pioner yang menerapkan ERM dalam usaha penjaminan di Indonesia dan dapat
dikatakan baru satu-satunya ERM berkarakteristik usaha penjaminan di Indonesia.
Konsep manajemen risiko yang diterapkan adalah berwawasan dan berprinsip pada
manajemen risiko korporat terintegrasi. Manajemen risiko korporat terintegrasi adalah
suatu proses pengelolaan risiko yang dimulai dari proses identifikasi, pengukuran,
pemetaan, mitigasi dan evaluasi serta monitoring yang melibatkan manajemen perusahaan
dalam proses penentuan strategi di seluruh unit kerja secara terintegrasi. Konsep
manajemen risiko dirancang untuk mengidentifikasikan peristiwa-peristiwa (events) yang
berpengaruh negatif bagi perusahaan dan mengelola risiko agar selalu berada di dalam
batas toleransi manajemen risiko.
Dengan demikian manajemen selalu memiliki keyakinan yang memadai bahwa sasaran
perusahaan akan dapat dicapai tanpa halangan dan ancaman yang signifikan.
Manajemen perusahaan akan meningkatkan seoptimal mungkin nilai perusahaan melalui:
 Penetapan strategi dan sasaran-sasaran yang menghasilkan keseimbangan optimal
antara target pertumbuhan, keuntungan dan risiko-risiko inherennya.
 Pemanfaatan seluruh sumber daya yang tersedia secara efisien dan efektif untuk
mencapai sasaran-sasaran perusahaan.
Untuk mencapai tujuan perusahaana di atas, manajemen membangun dan
mengintegrasikan manajemen risiko ke dalam tata nilai dan proses bisnis dengan
berpedoman kepada prinsip-prinsip dasar:
a) Penyelarasan antara toleransi risiko dengan strategi manajemen akan selalu
memperhitungkan dan mempertimbangkan toleransi risiko perusahaan di dalam
menetapkan berbagai alternatif strategi bisnis, target bisnis, dan pengembangan
mekanisme pengelolaan risiko.
b) Secara berkelanjutan meningkatkan kualitas kesadaran atas suatu risiko dan
menciptakan budaya risiko.
c) Mereduksi ke tingkat serendah mungkin kejutan-kejutan dan kerugian-kerugian yang
bisa mempengaruhi keputusan operasional perusahaan.

7. d) Secara konsisten mengidentifikasi dan mengelola multi risiko serta risiko-risiko antar
unit kerja. Perusahaan akan menghadapi berbagai bentuk risiko yang banyak, yang
secara langsung maupun tidak langsung mempengaruhi berbagai kegiatan unit kerja
dalam melakukan kegiatan operasional. Oleh karena itu, perusahaan
mengaplikasikan manajemen risiko agar mampu memfasilitasi penentuan respon
yang efektif atas dampak-dampak yang saling berkaitan dan penetapan respon-
respon yang terintegrasi atas multi risiko.
e) Menangkap peluang dengan mengetahui berbagai risiko yang potensial, manajemen
akan berada dalam posisi mudah mengidentifikasikan dan secara proaktif
menangkap kemungkinan terjadinya risiko di perusahaan.
f) Meningkatkan kualitas dan efektifitas pemanfaatan sumber daya perusahaan dengan
tersedianya beragam informasi risiko yang lengkap dan akurat akan membantu
manajemen secara efektif mengukur kemungkinan risiko yang terkait dengan bisnis
perusahaan.
TAHAPAN AWAL PENERAPAN MANAJEMEN RISIKO
Pada awal pembangunan sistem dan mekanisme ERM, tahapan penerapan ERM dilakukan 3
tahapan kegiatan seperti berikut:
1. Tahap I : Persiapan Implementasi
2. Tahap II : Program pengembangan implementasi manajemen risiko
3. Tahap III : Perancangan dan sosialisasi infrastruktur
PENERAPAN ERM BERBASIS USAHA PENJAMINAN
Penerapan ERM berbasis usaha penjaminan pada dasarnya dapat dibedakan dengan
berbasis perbankan dengan melihat beberapa faktor dalam proses manajemen risiko yaitu:
1. Pada proses penentuan risk appetite dan risk tolerance, dasar yang dapat digunakan
adalah Risk Based Capital (RBC) atau Gearing ratio. Besaran nilai klaim yang dapat
diterima oleh perusahaan juga dapat dijadikan dasar penetapan Risk Appetite dan
Risk Tolerance. Dasar penentuan Risk Appetite ini disesuaikan dengan kapasitas
perusahaan dalam menanggung risiko maksimal yang akan terjadi dan kemampuan
manajemen dalam menangani risiko tersebut serta tuntutan regulasi dan ketentuan
yang berlaku. Pada perusahaan asuransi juga diarahkan pada penggunan RBC
sebagai dasar peneratap risk appetite, namun di Indonesia penerapan ERM pada
perusahaan asuransi masih berbasis pada perbankan.
2. Pada proses identifikasi dan pengukuran risiko, seluruh risiko yang di-assesment
berasal dari usaha penjaminan yang dilakukan oleh seluruh unit kerja
operasional/produksi sehingga akan terekam risiko yang memiliki klasifikasi risiko
yang terkait dengan proses bisnis dalam menjalankan usaha penjaminan. Hasil risk
assesment ini akan memberikan suatu signal mitigasi risiko yang juga berbasis pada
kebijakan usaha penjaminan dan ketentuan & regulasi yang mengaturnya.

8. Daftar Pustaka:
Irwan, 2011. http://irwan-manullang.blogspot.co.id/2011/04/cobit-control-objectives-for.html (05
April 2018, jam 11.30)
Binus, 2015. https://accounting.binus.ac.id/2015/09/25/sistem-pengendalian-menurut-coso/ (05
April 2018, jam 11.45)
Management Keuangan, 2014. http://pengertianmanage-ment.blogspot.co.id/2014/08/pengertian-
enterprise-risk-management.html (05 April 2018, jam 12.00)
Mulyono, 2010. http://mulyono-oke.blogspot.co.id/2010/06/penerapan-enterprise-risk-management.html (06
April 2018, Jam 09.00)