10 si pi, jemmy esrom serang, hapzi ali, membandingkan kerangka pengendalian internal, universitas...
TRANSCRIPT
MEMBANDINGKAN KERANGKA PENGENDALIAN
INTERNAL:
1. COSO internal control integrated framework;
2. COSO enterprise risk management; dan 3. COBIT
Paper Untuk memenuhi Tugas SISTEM INFORMASI DAN
PENGENDALIAN INTERNAL
Disusun Oleh : Jemmy Esrom Serang
NIM : 55516120030
Dosen Pengampu : Prof. Dr. Ir. Hapzi Ali, MM, CMA
Program Studi Magister Akuntansi
FAKULTAS PASCA SARJANA
UNIVERSITAS MERCUBUANA
JAKARTA
2017
ABSTRAK
Manajemen risiko korporasi (MRK), atau dikenal dengan singkatan bahasa
Inggris ERM (enterprise risk management), adalah suatu proses, yang dipengaruhi
oleh dewan direktur, manajemen, dan personel lain dalam perusahaan, yang
diterapkan pada tataran strategis dan menyeluruh, yang dirancang untuk
mengidentifikasi potensi peristiwa yang dapat memengaruhi perusahaan dan
untuk memberikan jaminan yang wajar terhadap pencapaian sasaran perusahaan.
MRK menyediakan kerangka kerja manajemen risiko, yang umumnya melibatkan
proses identifikasi peristiwa yang dapat berpengaruh terhadap sasaran perusahaan
(risiko dan peluang), penilaian kemungkinan dan dampak peristiwa tersebut,
penentuan strategi tanggapan, serta pemantauan pelaksanaan tanggapan tersebut.
Salah satu kerangka kerja MRK yang terkenal adalah COSO ERM.
ABSTRACT
Corporate risk management (MRK), or known by the English abbreviation
ERM (enterprise risk management), is a process, influenced by boards of
directors, management, and other personnel within the company, applied at a
strategic and comprehensive level designed to identify Potential events that can
affect the company and to provide reasonable assurance on the achievement of
corporate objectives. MRK provides a risk management framework, which
generally involves the process of identifying events that may affect the company's
goals (risks and opportunities), assessing the likelihood and impact of the event,
determining response strategies, and monitoring the implementation of those
responses. One of the famous MRK frameworks is COSO ERM.
KATA PENGANTAR
Segala puji dan syukur penulis panjatkan kehadirat Tuhan Yang Maha Esa
yang telah memberikan anugrah, kemudahan, serta rahmat dan karunia-Nya
kepada penulis sehingga dapat menyelesaikan paper yang berjudul :
“MEMBANDINGKAN KERANGKA PENGENDALIAN INTERNAL”
sebagai salah satu syarat untuk memenuhi tugas Sistem Informasi Dan
Pengendalian Internal.
Penulis menyadari sebagai manusia biasa dalam penulisan ini tidak lepas
dari kesalahan dan kekurangan akibat keterbatasan pengetahuan serta pengalaman.
Penulis menyadari sepenuhnya bahwa paper ini masih jauh dari sempurna
dikarenakan terbatasnya pengalaman dan pengetahuan yang dimiliki penulis. Oleh
karena itu, penulis mengharapkan segala bentuk saran serta masukan bahkan kritik
yang membangun dari berbagai pihak.
Semoga paper ini bermanfaat dan dapat menambah pengetahuan
khususnya bagi penulis dan pembaca pada umumnya. Akhir kata dengan segala
ketulusan dan kerendahan hati, penulis mohon maaf apabila ada kesalahan dan
kelemahan dalam paper ini.
Jakarta, 10 mei 2017
Jemmy Esrom Serang
BAB I
PENDAHULUAN
Dimanapun wilayahnya dunia usaha selalu selalu diliputi dengan
ketidakpastian yang dipenuhi dengan berbagai risiko yang saling berkaitan satu
dengan yang lainnya. Suatu kegiatan tidak hanya memiliki satu jenis risiko saja,
tetapi dapat menyebabkan risiko-risiko lain. Misalnya sebuah permasalahan
hukum yang dihadapi oleh perusahaan tidak hanya memiliki risiko hukum semata,
tetapi juga memiliki risiko reputasi pada saat yang bersamaan. Karenanya menjadi
penting untuk menerapkan sebuah konsep penanganan risiko secara menyeluruh
dan terintegrasi satu sama lain. Konsep tersebut adalah konsep yang kita kenal
dengan istilah Enterprise Risk Management Integrated Framework yang
diterbitkan oleh The Committee of Sponsoring Organizations of the Treadway
Commission (COSO).
Pada dasarnya Enterprise Risk Management merupakan sebuah proses
yang diterapkan dalam penentuan strategi perusahaan, didesain untuk
mengidentifikasi kemungkinan yang potensial yang mungkin mempengaruhi
entitas (perusahaan), dan mengelola risiko-risiko dan kecenderungan risiko yang
mungkin terjadi, untuk menyediakan jaminan yang layak mengenai pencapaian
tujuan entitas. Definisi ini dikemukakan dalam COSO Framework.
Manfaat dari penerapan Enterprise Risk Management adalah
meningkatkan kemampuan sebuah perusahaan untuk dapat menyelaraskan risk
appetite dengan strategi dan arah kebijakan perusahaan sehingga dapat
meningkatkan kualitas keputusan yang diambil oleh manajemen perusahaan
dalam merespon risiko. ERM juga dapat mengidentifikasi dan mengelola risiko
secara menyeluruh dan karenanya dapat meminimalisasi kejutan dan kerugian
operasional. Perlu diingat bahwa ERM bukanlah sebuah tujuan, melainkan sarana
untuk mendukung penerapan tata kelola perusahaan. Jadi tugas unit manajemen
risiko tidaklah selesai dengan hanya sebatas telah memiliki sistem Enterprise Risk
Management.
BAB II
LANDASAN TEORI
Ada beberapa elemen dari enterprise risk management integrated
framework. Yang pertama adalah lingkungan internal sebuah perusahaan. Hal ini
menjadi penting karena pada dasarnya sistem manajemen risiko didesain oleh
lingkungan internal perusahaan (dalam hal ini manajemen dan karyawan).
Lingkungan internal terdiri dari banyak elemen, termasuk dari nilai yang dianut
didalam sebuah perusahaan, kompetensi dari sumber daya manusianya, gaya
kepemimpinan, mekanisme pengambilan keputusan, pola penentuan wewenang
dan tanggung jawab. Hal ini akan mempengaruhi seperti apa risk appetitenya,
tingkat risk tolerancenya, seperti apa budaya risikonya dan bagaimana nantinya
enterprise risk management akan diimplementasikan.
Elemen kedua adalah penentuan tujuan dimana tujuan harus ada sebelum
manajemen perusahaan dapat mengidentifikasi risiko-risiko yang ada. Hal ini
didasarkan karena pada dasarnya manajemen risiko adalah upaya memitigasi
risiko agar perusahaan dapat mencapai tujuannya. Tujuan-tujuan tersebut dapat
dikategorikan dalam 4 jenis, yakni tujuan strategis, operasi, pemenuhan dan tujuan
pelaporan. Hal ini memungkinkan jajaran Direksi dan Dewan Komisaris untuk
berpusat pada aspek-aspek yang berbeda dalam enterprise risk management.
Elemen yang ketiga adalah identifikasi kejadian risiko. Jajaran Direksi dan
Manajemen dapat mempertimbangkan berbagai faktor internal dan eksternal.
Teknik identifikasi kejadian risiko dapat dilakukan dengan analisa trend atau
analisa historikal (masa lalu), serta proyeksi ke depan. Hal ini memungkinkan
untuk dapat mengelompokkan peristiwa-peristiwa potensial kedalam berbagai
kategori.
Dengan kita dapat mengidentifikasi kejadian risiko, kita dapat melakukan
risk assessment –yang menjadi elemen kelima- dimana perusahaan dapat
memprediksi seberapa besar potensi sebuah kejadian risiko dapat mempengaruhi
pencapaian tujuan.
Setelah kita melakukan identifikasi dan penilaian, barulah kemudian kita
dapat menentukan respon yang tepat untuk setiap risiko dalam menentukan
toleransi risiko dan pengeluaran yang diperlukan sertu menerapkan pilihan dari
berbagai alternatif-alternatif yang ada. Beberapa kategori dalam merespon risiko
adalah risk evasion (menghindari risiko), risk reduction (mengurangi risiko), risk
acceptance (menerima risiko) dan sharing risk (mengurangi dengan membagi
risiko kepada pihak lain).
Aktivitas kontrol dan komunikasi adalah elemen selanjutnya yang perlu
diperhatikan dalam COSO framework. Aktivitas kontrol diperlukan untuk dapat
membantu memastikan bahwa respon terhadap risiko telah dijalankan dengan
memadai. Aktivitas kontrol ini melibatkan dua elemen yakni menyusun kebijakan
dan menyusun prosedur serta dengan membangun sebuah sistem yang terintegrasi.
Model penerapan ERM yang akan diuraikan berikut adalah diadopsi dari
kasus penerapan ERM PT Asuransi Kredit Indonesia (PT Askrindo) yang
menjalankan usaha penjaminan sekaligus usaha asuransi dengan framework
COSO (Committe of Sponsoring Organization).
PT Asuransi Kredit Indonesia adalah suatu entitas bisnis di Indonesia yang
unik dan mungkin satu-satunya di Indonesia yang dapat mengkolaborasi secara
baik antara usaha berorientasi profit dengan berorientasi public service dalam
bentuk usaha penjaminan dan asuransi. PT Askrindo dikatakan menjalankan usaha
asuransi karena regulasi di Indonesia masih menganggap bahwa surety bond,
customs bond, asuransi kredit perdagangan dan penjaminan kredit tergolong
dalam usaha asuransi walaupun skim yang digunakan adalah skim penjaminan.
Saat ini regulasi penjaminan masih pada tarap peraturan pemerintah atau
keputuasan menteri keuangan sedangan regulasi setingkat Undang-Undang sedang
dalam proses penyusunan. Disatu sisi PT Askrindo berusaha mendukung program
pemerintah mengembangkan UMKM dengan karateristik usaha yang cenderung
merugi, namun di sisi lain PT Askrindo dituntut untuk memperoleh profit dengan
menjalankan usaha penjaminan dan asuransi dalam bentuk diversifikasi produk
yang meliputi produk surety bond, customs bond, asuransi kredit perdagangan
(Askredag) dan reasuransi. Demikian kompleks usaha yang dijalankan oleh PT
Askrindo dan untuk memenuhi tuntutan regulator yang mewajibakan perusahaan
BUMN memiliki unit manajemen risiko, PT Askrindo mulai taun 2010 harus dan
sudah mulai menerapkan Enterprise Risk Management (ERM) dengan pendekatan
kaidah-kaidah dan prinsip penjaminan dan asuransi.
FUNGSI DAN MANFAAT ERM
Penerapan ERM di perusahaan penjaminan memiliki fungsi dan manfaat
sebagai berikut:
1. Peningkatan efektifitas organisasi Adanya koordinasi yang lebih baik
antara beberapa fungsi pengelolaan risiko serta meningkatkan ruang
lingkup pengelolaan risiko (meningkatkan efisiensi proses pengelolaan
risiko secara terintegrasi yaitu mencakup semua bisnis dan organisasi serta
mencakup semua jenis risiko yang dihadapi). Pengelolaan risiko secara
terintegrasi ini akan memperbesar peluang pencapaian tujuan perusahaan
yang pada akhirnya akan meningkatkan value perusahaan.
2. Meningkatkan ketahanan Organisasi
Penerapan ERM akan memberikan perusahaan suatu langkah
antisipasi/mitigasi risiko dalam menghadapi berbagai risiko yang akan
dihadapi perusahaan (corporate risk) sehingga memberikan early warning
system yang efektif dalam menghadapi keadaan yang tersulit bagi
perusahaan.
3. Mendukung dan meningkatkan kualitas penerapan tata kelola perusahaan
yang baik (Good Corporate Governance (GCG)). ERM adalah salah satu
pilar penting dalam mendukung terciptanya GCG.
4. Adanya sinergi antara strategi perusahaan dan tingkat risiko yang diterima
(Risk Appetite) untuk mencapai tujuan (improved outcomes).
5. Mendorong manajemen yang proaktif dan bukan reaktif.
6. Meningkatkan keselamatan dan pencegahan insiden
7. meningkatkan kepercayaan para pemangku kepentingan
FRAMEWORK ERM
Enterprise Risk Management (ERM) merupakan suatu proses yang
melibatkan perusahaan, termasuk BOD, manajemen, dan seluruh
karyawan Perusahaan dalam mengidentifikasi suatu kejadian atau potensi
kejadian yang menimbulkan suatu dampak (kerugian) , mengelolanya
secara komprehensif dalam besaran / ukuran yang dapat diterima oleh
perusahaan, serta untuk memastikan pencapaian tujuan perusahaan. Di
berbagai usaha ekonomi di dunia dikenal berbagai macam kerangka kerja
penerapan ERM yang sesuai dengan sudut pandang pengelolaan risiko dan
sosial budaya suatu bangsa. Model kerangka kerja ERM yang digunakan
oleh berbagai industri sampai saat ini adalah BS, British Standarts – IRGC
(BS6079-3) (2000), International Risk Governance Council (IRGC) 2004,
COSO (Committee of Sponsoring Organizations), AS/NZ, Australia &
New Zealand Standart (AS/NZS) 4360, ISO (International Standarts
Organization) 31000 (2009). Perbedaan kerangka kerja ERM dapat dilihat
pada tabel di bawah ini.
Penerapan ERM adalah suatu proses yang dilakukan secara terus
menerus, terintegrasi dan melibatkan seluruh karyawan dalam mengelola
risiko sehingga dapat memperbesar peluang pencapaian tujuan. Proses
manajemen risiko yang pokok dilakukan dalam ERM adalah proses
identifikasi, pengukuran, pemetaaan dan mitigasi risiko. Proses
manajemen risiko lain yang tak kalah pentingnya adalah proses
monitoring, komunikasi, pelaporan dan pengendalian manajemen risiko.
Untuk melaksanakan proses manajemen risiko tersebut diperlukan suatu
sistem dan sumber daya yang relatif cukup baik yang bersifat teknologi
maupun manual.
ROAD MAP ERM
Rencana jangka panjang penerapan ERM harus ditetapkan oleh
perusahaan agar perusahaan dapat memperoleh arah, strategi yang jelas
dan target yang akan dicapai perusahaan pada periode tertentu. Rencana
penerapan ERM dapat dijabarkan tiga tahunan atau lima tahunan dalam
bentuk Road Map sesuai dengan kapasitas perusahaan dan perkiraan
perubahan lingkungan. Kualitas perumusan rencana jangka panjang ERM
menentukan perjalanan keberhasilan penerapan ERM perusahaan sehingga
dalam perumusannya harus dipertimbangkan secara cermat dan matang
berbagai aspek yang berkaitan dengan kapasitas perusahaan dan perubahan
lingkungan internal dan eksternal selama periode Road Map. Tujuan akhir
penerapan ERM pada rencana jangka panjang pertama dapat berupa
penerapan ERM menjadi budaya risiko perusahaan dalam proses bisnis
dan pendukungnya yang dapat meningkatkan value perusahaan.
PENERAPAN ERM DALAM USAHA PENJAMINAN
PT Askrindo sejak pertengahan tahun 2010 telah memiliki elemen
implementasi ERM yang relatif lengkap dan jajaran manajemen termasuk
BOD telah memberikan komitmen atas penerapan ERM di perusahaan.
Disamping itu, PT Askrindo juga telah memiliki Risk Contact Person atau
Risk Champion di seluruh unit kerja baik di kantor Pusat maupun Kantor
Cabang untuk mendukung implementasi ERM dengan bantuan sistem
informasi manajemen risiko berbasis Web.
Penerapan ERM di PT Askrindo yang bergerak pada usaha
penjaminan merupakan perusahaan pioner yang menerapkan ERM dalam
usaha penjaminan di Indonesia dan dapat dikatakan baru satu-satunya
ERM berkarakteristik usaha penjaminan di Indonesia.
Konsep manajemen risiko yang diterapkan adalah berwawasan dan
berprinsip pada manajemen risiko korporat terintegrasi. Manajemen risiko
korporat terintegrasi adalah suatu proses pengelolaan risiko yang dimulai
dari proses identifikasi, pengukuran, pemetaan, mitigasi dan evaluasi serta
monitoring yang melibatkan manajemen perusahaan dalam proses
penentuan strategi di seluruh unit kerja secara terintegrasi. Konsep
manajemen risiko dirancang untuk mengidentifikasikan peristiwa-
peristiwa (events) yang berpengaruh negatif bagi perusahaan dan
mengelola risiko agar selalu berada di dalam batas toleransi manajemen
risiko.
Dengan demikian manajemen selalu memiliki keyakinan yang
memadai bahwa sasaran perusahaan akan dapat dicapai tanpa halangan
dan ancaman yang signifikan.
Manajemen perusahaan akan meningkatkan seoptimal mungkin nilai
perusahaan melalui:
• Penetapan strategi dan sasaran-sasaran yang menghasilkan keseimbangan
optimal antara target pertumbuhan, keuntungan dan risiko-risiko
inherennya.
• Pemanfaatan seluruh sumber daya yang tersedia secara efisien dan efektif
untuk mencapai sasaran-sasaran perusahaan.
Untuk mencapai tujuan perusahaana di atas, manajemen membangun dan
mengintegrasikan manajemen risiko ke dalam tata nilai dan proses bisnis
dengan berpedoman kepada prinsip-prinsip dasar:
a. Penyelarasan antara toleransi risiko dengan strategi manajemen akan
selalu memperhitungkan dan mempertimbangkan toleransi risiko
perusahaan di dalam menetapkan berbagai alternatif strategi bisnis, target
bisnis, dan pengembangan mekanisme pengelolaan risiko.
b. Secara berkelanjutan meningkatkan kualitas kesadaran atas suatu risiko
dan menciptakan budaya risiko.
c. Mereduksi ke tingkat serendah mungkin kejutan-kejutan dan kerugian-
kerugian yang bisa mempengaruhi keputusan operasional perusahaan.
d. Secara konsisten mengidentifikasi dan mengelola multi risiko serta
risiko-risiko antar unit kerja. Perusahaan akan menghadapi berbagai
bentuk risiko yang banyak, yang secara langsung maupun tidak langsung
mempengaruhi berbagai kegiatan unit kerja dalam melakukan kegiatan
operasional. Oleh karena itu, perusahaan mengaplikasikan manajemen
risiko agar mampu memfasilitasi penentuan respon yang efektif atas
dampak-dampak yang saling berkaitan dan penetapan respon-respon yang
terintegrasi atas multi risiko.
e. Menangkap peluang dengan mengetahui berbagai risiko yang potensial,
manajemen akan berada dalam posisi mudah mengidentifikasikan dan
secara proaktif menangkap kemungkinan terjadinya risiko di perusahaan.
f. Meningkatkan kualitas dan efektifitas pemanfaatan sumber daya
perusahaan dengan tersedianya beragam informasi risiko yang lengkap dan
akurat akan membantu manajemen secara efektif mengukur kemungkinan
risiko yang terkait dengan bisnis perusahaan.
TAHAPAN AWAL PENERAPAN MANAJEMEN RISIKO
Pada awal pembangunan sistem dan mekanisme ERM, tahapan penerapan
ERM dilakukan 3 tahapan kegiatan seperti berikut:
Gambar 3. Tahapan Awal Penerapan Manajemen Risiko
Ketiga tahap kegiatan tersebut dapat dijabarkan lebih rinci dalam langkah-langkah
penerapan ERM sebagai berikut berikut:
1) Mengidentifikasi semua risiko yang terkait
2) Merancang kriteria risiko dan sub kriteria risiko
3) Merancang sistem kontrol manajemen risiko dan membentuk Risk Owner
4) Melakukan asesmen terhadap risiko residual bersama Risk Owner
5) Menyusun detail kegiatan risiko yang signifikan untuk dikurangi
6) Melaporkan risiko signifikan kepada manajemen beserta saran mitigasinya
7) Mengalokasikan sumber daya untuk melakukan mitigasi risiko yang signifikan
8) Memantau proses mitigasi dan perkembangan mitigasi risiko signifikan.
9) Mengevaluasi pengelolaan risiko dan analisa hasil kegiatan mitigasi risiko
10) Menyusun pengelolaan risiko dalam kesepakatan karya (Key Performance
Indicator (KPI))
Jika digambarkan dalam bentuk bagan, maka langkah-langkah Penerapan tersebut
dapat diilustrasikan sebagai berikut:
Gambar 4. Langkah-Langkah Penerapan ERM
Setelah mempersiapkan elemen implementasi ERM seperti diatas maka langkah
selajutnya melakukan pengelolaan risiko secara terus menerus sesuai dengan
kerangka kerja ERM yang telah ditetapkan dengan berbasis sistem komputerisasi.
BAB III
METODE PENELITIAN
Metode penelitian untuk makalah ini adalah kepustakaan, dimana
informasi diperoleh penulis berasal dari buku teks, artikel, modul atau internet.
BAB IV
STUDI KASUS
1.
Hubungan COBIT dengan pengendalian internal perusahaan
Pengertian Cobit COBIT adalah merupakan kerangka panduan tata kelola
TI dan atau bisa juga disebut sebagai toolset pendukung yang bisa
digunakan untuk menjembatani gap antara kebutuhan dan bagaimana
teknis pelaksanaan pemenuhan kebutuhan tersebut dalam suatu organisasi.
COBIT memungkinkan pengembangan kebijakan yang jelas dan sangat
baik digunakan untuk IT kontrol seluruh organisasi, membantu
meningkatkan kualitas dan nilai serta menyederhanakan pelaksanaan alur
proses sebuah organisasi dari sisi penerapan IT. Cobit berorientasi proses,
dimana secara praktis Cobit dijadikan suatu standar panduan untuk
membantu mengelola suatu organisasi mencapai tujuannya dengan
memanfaatkan IT. Cobit memberikan panduan kerangka kerja yang bisa
mengendalikan semua kegiatan organisasi secara detail dan jelas sehingga
dapat membantu memudahkan pengambilan keputusan di level top dalam
organisasi. Lingkup Cobit Cobit memiliki 4 Cakupan Domain yaitu: 1.
Perencanaan dan Organisasi (Plan and Organise) Domain ini mencakup
strategi dan taktik yang menyangkut identifikasi tentang bagaimana TI
dapat memberikan kontribusi terbaik dalam pencapaian tujuan bisnis
organisasi sehingga terbentuk sebuah organisasi yang baik dengan
infrastruktur teknologi yang baik pula. 2. Pengadaan dan Implementasi
(Acquire and Implement) Untuk mewujudkan strategi TI, solusi TI perlu
diidentifikasi, dibangun atau diperoleh dan kemudian diimplementasikan
dan diintegrasikan dalam proses bisnis. 3. Pengantaran dan Dukungan
(Deliver and Support) Domain ini berhubungan dengan penyampaian
layanan yang diinginkan, yang terdiri dari operasi pada security dan aspek
kesinambungan bisnis sampai dengan pengadaan training. 4. Pengawasan
dan Evaluasi (Monitor and Evaluate) Semua proses TI perlu dinilai secara
teratur dan berkala bagaimana kualitas dan kesesuaiannya dengan
kebutuhan kontrol. Keempat domain tersebut diatas kemudian dijabarkan
menjadi 34 faktor resiko yang harus dievaluasi jika ingin diperoleh suatu
kesimpulan mengenai seberapa besar kepedulian manajemen terhadap
teknologi informasi, serta bagaimana teknologi informasi dapat memenuhi
kebutuhan manajemen akan informasi. 3 COBIT IT Processes Defined
Withen The Four Domain Gambar Kerangka COBIT PLANNING AND
ORGANISATION (PO) 1 2 3 4 5 6 7 8 P01 P02 PO3 PO4 PO5 PO6 PO7
PO8 Menetapkan Rencana Strategis Teknologi Informasi (Define a
Strategic IT Plan) Menetapkan Arsitektur Informasi (Define the
Information Architecture) Menetapkan Arah Teknologi (Determine
Technological Direction) Menetapkan Organisasi TI dan Hubungannya
(Define the IT Organisation and Relationships) Mengatur Investasi TI
(Manage the IT Investment) Mengkomunikasikan Tujuan dan Arahan
Manajemen (Communicate Management Aims and Direction) Mengelola
Sumberdaya Manusia (Manage Human Resources) Memastikan
Kesesuaian dengan Kebutuhan-kebutuhan eksternal (Ensure Compliance
with External Requirements) 4 9 10 11 PO9 PO10 PO11 Menilai Resiko
(Assess Risks) Mengatur Proyek (Manage Projects) Mengatur Kualitas
(Manage Quality) ACQUISITION AND IMPLEMENTATION (AI) 12 13
14 15 16 17 AI1 AI2 AI3 AI4 AI5 AI6 Identifikasi solusi-solusi
otomatisasi (Identify Automated Solutions) Memperoleh dan memelihara
Perangkat Lunak Aplikasi (Acquireand Maintain Application Software)
Memperoleh dan memelihara Infrastruktur Teknologi (Acquire and
Maintain Technology Infrastructure) Mengembangkan dan memelihara
prosedur (Develop and Maintain Procedures) Instalasi dan pengakuan
sistem (Install and Accredit Systems) Mengatur Perubahan (Manage
Changes) DELIVERY AND SUPPORT (DS) 18 19 20 21 22 23 24 25 26
27 28 29 30 DS1 DS2 DS3 DS4 DS5 DS6 DS7 DS8 DS9 DS10 DS11
DS12 DS13 Menetapkan dan mengatur tingkatan pelayanan (Define and
Manage Service Levels) Mengelola layanan pihak ke tiga (Manage Third-
Party Services) Mengelola kapasitas dan kinerja (Manage Performance
and Capacity) Menjamin layanan berkelanjutan (Ensure Continuous
Service) Menjamin keamanan sistem (Ensure Systems Security)
Mengidentifikasikan dan mengalokasikan biaya (Identify and Allocate
Costs) Mendidik dan melatih user (Educate and Train Users) Membantu
dan memberikan masukan kepada pelanggan (Assist and Advise
Customers) Mengelola konfigurasi (Manage the Configuration) Mengelola
kegiatan dan permasalahan (Manage Problems and Incidents) Mengelola
Data (Manage Data) Mengelola Fasilitas (Manage Facilities) Mengelola
Operasi (Manage Operations) MONITORING (M) 31 32 33 34 M1 M2
M3 M4 Mengawasi proses (Monitor the Processes) Menilai kecukupan
pengendalian internal (Assess Internal Control Adequacy) Memperoleh
jaminan independen (Obtain Independent Assurance) Menyediakan Audit
Independen (Provide for Independent Audit) 5 Secara keseluruhan 34
proses diataslah yang digunakan sebagai panduan dalam menangani
masalah tata kelola IT atau pembuatan IT strategic plan, meskipun dalam
prakteknya tidak mesti menggunakan 34 proses tersebut karena proses-
proses tersebut menyesuaikan dengan kondisi organisasi. Hubungan
COBIT dengan pengendalian internal perusahaan Konsep Pengendalian
Internal COBIT dilihat dari berbagai sudut pandang Pengguna Utama
COBIT di rancang untuk digunakan oleh tiga pengguna yang berbeda
yaitu : • Manajemen : untuk membantu mereka menyeimbangkan antara
resiko dan investasi pengendalian dalam sebuah lingkungan IT yang sering
tidak dapat diprediksi. • User : untuk memperoleh keyakinan atas layanan
keamanan dan pengendalian IT yang disediakan oleh pihak internal atau
pihak ketiga. • Auditor : untuk medukung/memperkuat opini yang
dihasilkan dan/atau untuk memberikan saran kepada manajemen atas
pengendalian internal yang ada. Tujuan Pengendalian Internal bagi
Organisasi Operasi yang efektif dan efisien Keefektifan berkenaan dengan
informasi yang diperoleh harus relevan dan berkaitan dengan proses bisnis
yang ada dan juga dapat diperoleh tepat waktu, benar, konsisten, dan
bermanfaat. Sedangkan keefisienan berkaitan dengan penyediaan
informasi melalui sumber daya (yang paling produktif dan ekonomis) yang
optimal. Kerahasiaan Menyangkut perhatian atas perlindungan informasi
yang sensitif dari pihak-pihak yang tidak berwenang. Integritas Berkaitan
dengan akurasi dan kelengkapan dari informasi dan juga validitasnya
sesuai nilai-nilai dan harapan bisnis. Ketersedian Informasi Berkaitan
dengan informasi harus dapat tersedia ketika dibutuhkan oleh suatu proses
bisnis baik sekarang maupun di masa yang akan datang. Ini juga terkait
dengan pengamanan atas sumber daya yang perlu dan kemampuan yang
terkait. 6 Pelaporan keuangan yang handal Berkaitan dengan pemberian
informasi yang tepat bagi manajemen untuk mengoperasikan perusahaan
dan juga pemenuhan kewajiban mereka untuk membuat pelaporan
keuangan. Ketaatan terhadap ketentuan hukum dan peraturan Terkait
dengan pemenuhan sesuai dengan ketentuan hukum, peraturan, perjanjian
kontrak, dimana dalam hal ini proses bisnis dipandang sebagai suatu
subjek. Domain 1. Planning and organization Domain ini mencakup
strategi dan taktik, dan perhatian atas identifikasi bagaimana IT secara
maksimal dapat berkontribusi dalam pencapaian tujuan bisnis. Selain itu,
realisasi dari visi strategis perlu direncanakan, dikomunikasikan, dan
dikelola untuk berbagai perspektif yang berbeda. Terakhir, sebuah
pengorganisasian yang baik serta infrastruktur teknologi harus di
tempatkan di tempat yang semestinya. 2. Acquisition dan implementation
Untuk merealisasikan strategi IT, solusi TI perlu diidentifikasi,
dikembangkan atau diperoleh, serta diimplementasikan, dan terintegrasi ke
dalam proses bisnis. Selain itu, perubahan serta pemeliharaan sistem yang
ada harus di cakup dalam domain ini untuk memastikan bahwa siklus
hidup akan terus berlangsung untuk sistem-sisteem ini. 3. Delivery and
Support Domain ini memberikan fokus utama pada aspek
penyampaian/pengiriman dari IT. Domain ini mencakup area-area seperti
pengoperasian aplikasi-aplikasi dalam sistem IT dan hasilnya, dan juga,
proses dukungan yang memungkinkan pengoperasian sistem IT tersebut
dengan efektif dan efisien. Proses dukungan ini termasuk isu/masalah
keamanan dan juga pelatihan. 4. Monitoring Semua proses IT perlu dinilai
secara teratur sepanjang waktu untuk menjaga kualitas dan pemenuhan
atas syarat pengendalian. Domain ini menunjuk pada perlunya pengawasan
manajemen atas proses pengendalian dalam organisasi serta penilaian
independen yang dilakukan baik auditor internal maupun eksternal atau
diperoleh dari sumber-sumber anternatif lainnya. Kerangka kerja COBIT
ini terdiri atas beberapa arahan ( guidelines ), yakni: Control Objectives :
Terdiri atas 4 tujuan pengendalian tingkat-tinggi ( high-level control
objectives ) yang tercermin dalam 4 domain, yaitu: planning &
organization , acquisition & implementation , delivery & support , dan
monitoring . Audit Guidelines : Berisi sebanyak 318 tujuan-tujuan
pengendalian yang bersifat rinci (detailed control objectives ) untuk
membantu para auditor dalam memberikanmanagement assurance
dan/atau saran perbaikan. 7 Management Guidelines : Berisi arahan, baik
secara umum maupun spesifik, mengenai apa saja yang mesti dilakukan,
terutama agar dapat menjawab pertanyaanpertanyaan berikut : • Sejauh
mana Anda (TI) harus bergerak, dan apakah biaya TI yang dikeluarkan
sesuai dengan manfaat yang dihasilkannya. • Apa saja indikator untuk
suatu kinerja yang bagus? • Apa saja faktor atau kondisi yang harus
diciptakan agar dapat mencapai sukses (critical success factors )? • Apa
saja risiko-risiko yang timbul, apabila kita tidak mencapai sasaran yang
ditentukan? • Bagaimana dengan perusahaan lainnya – apa yang mereka
lakukan? • Bagaimana Anda mengukur keberhasilan dan bagaimana pula
membandingkannya. The COBIT Framework memasukkan juga hal-hal
berikut ini: • Maturity Models – Untuk memetakan status maturity proses-
proses TI (dalam skala 0 – 5) dibandingkan dengan “the best in the class in
the Industry” dan juga International best practices • Critical Success
Factors (CSFs) – Arahan implementasi bagi manajemen agar dapat
melakukan kontrol atas proses TI. • Key Goal Indicators (KGIs) – Kinerja
proses-proses TI sehubungan dengan business requirements • Key
Performance Indicators (KPIs) – Kinerja proses-proses TI sehubungan
denganprocess goals. Satu dari prinsip dalam COBIT 5 ini adalah
pembedaan yang dibuat antara tata kelola (governance) dan pengelolaan
(management). Selaras dengan prinsip ini, setiap organisasi diharapkan
untuk melaksanakan sejumlah proses tata kelola dan sejumlah proses
pengelolaan untuk menyediakan tata kelola dan pengelolaan enterprise IT
yang komprehensif. 2. COSO Enterprise Risk Management (COSO ERM)
dan Implementasi di perusahaan ERM versi COSO terdiri dari 8
komponen yang saling terkait. Kedelapan komponen ini diturunkan dari
bagaimana manajemen menjalankan perusahaan dan diintegrasikan dengan
proses manajemen. Kedelapan komponen ini diperlukan untuk mencapai
tujuan-tujuan perusahaan, baik tujuan strategis, operasional, pelaporan
keuangan, maupun kepatuhan terhadap ketentuan perundang-undangan.
Komponenkomponen tersebut adalah: 1. Lingkungan Internal (Internal
Environment) - lingkungan internal yang meliputi nada organisasi, dan
menetapkan dasar untuk bagaimana risiko dipandang dan ditangani oleh
orang-orang entitas, termasuk filosofi manajemen risiko, dan resiko,
integritas dan nilai etika, dan lingkungan di mana mereka beroperasi. 8 2.
Penentuan Tujuan (Objective Setting) – Tujuan perusahaan harus ada
terlebih dahulu sebelum manajemen dapat menidentifikasi kejadian-
kejadian yang berpotensi mempengaruhi pencapaian tujuan tersebut. ERM
memastikan bahwa manajemen memiliki sebuah proses untuk menetapkan
tujuan ddan bahwa tujuan yang dipilih atau ditetapkan tersebut terkait dan
mendukung misi perusahaan dan konsisten dengan risk appetite-nya. 3.
Identifikasi Kejadian (Event Identification) – Kejadian internal dan
eksternal yang mempengaruhi pencapaian tujuan perusahaan harus
diidentifikasi, dan dibedakan antara risiko dan peluang. Peluang
dikembalikan (channeled back) kepada proses penetapan strategi atau
tujuan manajemen. 4. Penilaian Risiko (Risk Assessment) – Risiko
dianalisis dengan memperhitungkan kemungkinan terjadi (likelihood) dan
dampaknya (impact), sebagai dasar bagi penentuan bagaimana seharusnya
risiko tersebut dikelola. 5. Respons Risiko (Risk Response) – Manajemen
memilih respons risiko – menghindar (avoiding), menerima (accepting),
mengurangi (reducing), atau mengalihkan (sharing risk) – dan
mengembangkan satu set kegiatan agar risiko tersebut sesuai dengan
toleransi (risk tolerance) dan risk appetite. 6. Kegiatan Pengendalian
(Control Activities) – Kebijakan dan prosedur yang ditetapkan dan
diimplementasikan untuk membantu memastikan respons risiko berjalan
dengan efektif. 7. Informasi dan komunikasi (Information and
Communication) – Informasi yang relevan diidentifikasi, ditangkap, dan
dikomunikasikan dalam bentuk dan waktu yang memungkinkan setiap
orang menjalankan tanggung jawabnya. 8. Pengawasan (Monitoring) –
Keseluruhan proses ERM dimonitor dan modifikasi dilakukan apabila
perlu. Pengawasan dilakukan secara melekat pada kegiatan manajemen
yang berjalan terus-menerus, melalui eveluasi secara khusus, atau dengan
keduanya. 9 Gambar 1. Ilustrasi keterkaitan sasaran, komponen ERM, dan
unit kerja perusahaan COSO ERM – Integrated Framework juga
mendeskripsikan peran dan tanggung jawab dari unit-unit kerja perusahaan
dalam penerapan manajemen risiko. Satu prinsip dasar yang ditanamkan
COSO ERM adalah bahwa “semua bagian di dalam perusahaan memiliki
tanggung jawab terhadap ERM”, yang artinya implementasi manajemen
risiko harus mencakup entity-level, division, business unit, hingga
subsidiary, dan mencakup seluruh seluruh sumber daya manusia di
dalamnya. Walau begitu, terdapat pembagian peran dan tanggung jawab
dalam penerapan ERM. Berikut adalah pembagian peran dan tanggung
jawab yang dijelaskan COSO ERM: • Board of Directors (BOD) memiliki
tanggung jawab penting dalam melakukan pemantauan terhadap penerapan
manajemen risiko, dengan turut memperhitungkan risk appetite dari
entitas; • Chief Executive Officer (CEO) memiliki tanggung jawab untuk
memastikan berjalannya ERM yang efektif pada keseluruhan perusahaan; •
Manajer memiliki tanggung jawab dalam mendukung penerapan prinsip
ERM perusahaan, memastikan pemenuhan ERM dengan risk appetite, dan
mengelola risiko di ranah kewenangannya agar konsisten dengan risk
tolerance yang dimilikinya; • Risk officer, financial officer, dan internal
audit memiliki peran kunci dalam mendukung efektivitas penerapan
manajemen risiko perusahaan; • Petugas operasional (atau biasa disebut
risk coordinator) bertanggung jawab dalam menerapkan manajemen risiko
perusahaan sejalan dengan prosedur dan kebijakan manajemen risiko
perusahaan; • Pihak eksternal (seperti pelanggan, kompetitor, otoritas, dan
pihak yang berperan dalam value chainperusahaan) tidak memiliki
tanggung jawab dalam 10 memastikan efektivitas ERM dari entitas, tetapi
pihak-pihak tersebut berperan penting dalam menyediakan informasi yang
dapat mendukung efektivitas manajemen risiko. COSO percaya Enterprise
Risk Manajemen - Integrated Framework menyediakan keterkaitan yang
jelas antara komponen manajemen risiko sebuah organisasi dan tujuan
yang akan mengisi kebutuhan untuk memenuhi undang - undang baru,
peraturan, dan standar pencatatan dan mengharapkan akan menjadi
diterima secara luas oleh perusahaan dan organisasi lain dan pihak yang
berkepentingan. COSO mengakui dalam laporan mereka bahwa sementara
manajemen risiko perusahaan memberikan manfaat penting, ada
keterbatasannya. Manajemen risiko perusahaan tergantung pada penilaian
manusia dan karena itu rentan terhadap pengambilan keputusan.
Kegagalan manusia seperti kesalahan sederhana atau kesalahan dapat
menyebabkan respon yang tidak memadai untuk risiko. Selain itu, kontrol
dapat dielakkan dengan kolusi dari dua atau lebih orang, dan manajemen
memiliki kemampuan untuk mengesampingkan keputusan manajemen
risiko. Keterbatasan ini menghalangi papan dan manajemen dari memiliki
jaminan mutlak untuk pencapaian tujuan entitas. Meskipun COSO
mengklaim model yang diperluas mereka lebih menyediakan manajemen
risiko, perusahaan tidak diharuskan untuk beralih ke model baru jika
mereka menggunakan Internal Control-Integrated Framework.
Implementasi di Perusahaan Berikut akan dijelaskan implementasi
kedelapan komponen COSO ERM terhadap penerapan manajemen risiko
operasional di perusahaan pertambangan batu bara: 1. Internal Enviroment
Direksi menyadari bahwa peran manajemen risiko di perusahaan sangat
dibutuhkan untuk memberikan peringatan dini mengenai kemungkinan
terjadinya risiko di masa yang akan datang. Oleh karena itu, dibentuklah
Divisi Manajemen Risiko yang secara fungsi terpisah dari Divisi Audit
Internal agar dapat melakukan tugas secara maksimal. Secara struktur
organisasi, hal ini sudah tepat dilaksanakan mengingat peran Divisi Audit
Internal hrus tetap independen. Dalam melakukan manajemen risiko
operasional, komitmen penuh baru dirasakan pada tingkatan BOD dan
Divisi Manajemen Risiko. Di tingkat organisasi di lokasi tambang,
komitmen untuk melakukan manajemen risiko operasional masih sangat
minim. Risk owner kegiatan operasional masih menjadi kewajiban dari
Kepala 11 Departemen Operasional. Padahal, risk owner kegiatan
operasional ialah seluruh pihak yang memiliki risiko operasional yang
berkontribusi, dalam kegiatan operasional sehari-hari. Minimnya
kesadaran akan risiko tersebut juga disadari oleh risk officer. Hal tersebut
menjadi kendala dalam melakukan manajemen risiko. Para risk owner
dalam kegiatan operasional sebenarnya mengetahui adanya risiko namun
mereka masih enggan untuk mengelola bahkan cenderung untuk tidak
memperdulikan. 2. Objective Setting Penentuanan risk owner target
produksi batubara belum diselaraskan dengan risk appetite perusahaan.
Penentuan target produksi hanya berdasarkan perencanaan dan permintaan
dari owner untuk memenuhi target produksi. Dengan demikian, secara
keseluruhan risiko operasional baik yang bersifa signifikan maupun tidak
signifikan diterima oleh perusahaan guna mencapai target produksi
tersebut. Penentuan target produksi seharusnya diselaraskan dengan risk
appetite perusahaan agar dapat mengelola risiko yang timbul akibat
kegiatan operasional dalam memenuhi targetnya. 3. Event Identification
Proses identifikasi kejadian-kejadian yang menimbulkan risiko sudah
efektif dijalankan setiap harinya. Namun, belum dilakukan dokumentasi
dari hasil rapat yang menyebabkan kejadian-kejadian yang teridentifikasi
secara tertulis menjadi tidak kemprehensif. Proses identifikasi risiko saat
ini masih perlu dorongan dari Divisi Manajemen Risiko disaat melakukan
kunjungan ke lokasi tambang. Padahal seharusnya sudah menjadi
kewajiban dari Deparmen Operasional untuk melakukan identifkasi setiap
bulannya ke dalam risk register. 4. Risk Assesments Perusahaan telah
memiliki penilaian risiko berdasarkan 2 aspek yaitu, penentuan skala
memungkinan (likelihood) dan penentuan skala dampak (impact), maka
hal tersebut sudah sesuai dengan komponen risk assessment pada
pendekatan COSO ERM. Namun penilaian risiko operasional yang
dilakukan oleh risk owner belum sepenuhnya berdasarkan ketentuan yang
berlaku. Penilaian risiko operasional lebih diberatkan kepada pandangan
judgement pribadi risk owner dan tingkat kemungkinan terjadinya risiko
tersebut. 5. Risk Response Di dalam ketentuan yang berlaku pada
manajemen risiko di perusahaan terdapat pilihan penanganan atau respon
terhadap risiko, yakni menerima, menghindari, mengurangi dan membagi
risiko-risiko tersebut. Hal ini sudah sesuai dengan pendekatan COSO
ERM dimana juga terdapat empat pilihan yang sama dalam merespon
suatu risiko yang terjadi. Pada praktiknya, risiko-risiko operasional yang
antara lain berupa risiko produktivitas, risiko proses, dan risiko sumber
daya manuasia yang telah diidentifikasi dan dinilai langsung direspon oleh
risk owner. Risiko-risiko operasional tersebut pada umumnya
mendapatkan respon untuk 12 mengurangi dan membagi risiko tersebut
kepada departemen lain maupun kepada perusahaan owner. 6. Control
Activities Di dalam ketentuan manajemen risiko perusahaan, control yang
dilakukan antara lain dengan melakukan dokumentasi dari setiap tahapan
prosedur manajemen risiko dan juga pembagian tugas serta pelaporan.
Setiap fungsi di dalam manajemen risiko, mulai dari risk owner sampai
dengan BOD, memiliki tugas dan wewenang masing-masing. Risk owner
berkewajiban untuk terus melakukan update risiko dan berkewajiban untuk
melakukan dokumentasi ke dalam risk register. Risk officer juga
bertanggung jawab dalam membantu risk owner serta merekapitulasi
seluruh risiko ke dalam risk register. Divisi Manajemen Risiko memiliki
kewajiban untuk memantau serta me-review risk register untuk diserahkan
kepada BOD dan BOD memiliki wewenang untuk memutuskan
penanganan terhadap suatu risiko tersebut. Aktivitas kontrol perusahaan
sebenarnya sudah sesuai dengan pendekatan COSO ERM, namun belum
ada security dan information processing dalam bentuk teknologi informasi.
Aktivitas kontrol pada manajemen risiko operasional masih banyak
memiliki kekurangan. Pada tingkat risk owner, dokumentasi dilakukan
sangat minim dan hanya pada periode tertentu dan itu juga setelah didesak
oleh risk officer dan Divisi Manajemen Risiko. Risk officer sendiri
memiliki keterbatasan dalam melakukan control atas risiko operasional
karena memiliki tanggung jawab lain sebagai kepala departemen. Hal ini
menyebabkan tidak adanya kontrol yang ketat atas respon terhadap risiko
operasional yang ada. 7. Information and Communication Informasi dan
komunikasi yang efektif terjadi pada saat rapat koordinasi setiap harinya
dengan seluruh departemen terkait kegiatan operasional. Di rapat tersebut,
departemen operasional selaku risk owner menyampaikan informasi terkait
kendala dan risiko operasional kepada seluruh pihak untuk dicari
penyelesaiannya bersama. Hal demikian juga dilakukan oleh risk officer
setiap bulannya dengan melakukan komunikasi kepada masing-masing
risk owner untuk melakukan update terhadap risk register. Namun kendala
yang dihadapi ialah baatas waktu yang sering terlambat dilakukan oleh
risk owner dalam pengumpulan risk register. 8. Monitoring Aktivitas
monitoring telah diatur di dalam SOP manajemen risiko perusahaan.
Monitoring rutin dilakukan dengan memberikan kewajiban kepada setiap
risk owner untuk melakukan update laporan mitigasi risiko secara rutin
(tiga bulan atau setiap bulan). Selainitu juga, Divisi Manajemen Risiko
dapat melakukan komunikasi kepada setiap risk owner ketika melakukan
kunjungan, mereka juga melakukan monitoring terhadap pelaksanaan
proses manajemen risiko yang dilakukan di lokasi tambang. Namun,
ketentuan untuk melaporkan kegiatan mitigasi risiko operasional setiap
periodenya sebagai bentuk monitoring, belum 13 dilakukan secara efektif.
Keterlambatan dalam memberikan laporan menjadi kendala utama. Risk
officer juga mengalami keterbatasan dalam melakukan monitoring karena
kesibukan dan memiliki tanggung jawab lain sebagai Kepala Departemen
Engineer. Oleh karena itu, monitoring baru efektif dilakukan ketika adanya
kunjungan dari Divisi Manajemen Risiko atau dari Tim Audit Internal.
Monotoring secara langsung ini juga menemui banyak kendala mengingat
belum adanya bukti secara tertulis terkait dari perkembangan aktivitas
manajemen risiko operasional. Divisi manajemen Risiko melakukan
klasifikasi melalui wawancara dengan pihak terkait dalam melakukan
observasi langsung terhadap kegiatan mitigasi risiko operasional yang
telah dilakukan.
DAFTAR PUSTAKA
1) Hapzi Ali, 2016, Modul Sistem Informasi & Pengendalian Internal. Mercu
Buana
2) http://lib.ui.ac.id/naskahringkas/2015-09/S44914-Azam%20Prakoso