MEMBANDINGKAN KERANGKA PENGENDALIAN

INTERNAL:

1. COSO internal control integrated framework;

2. COSO enterprise risk management; dan 3. COBIT

Paper Untuk memenuhi Tugas SISTEM INFORMASI DAN

PENGENDALIAN INTERNAL

Disusun Oleh : Jemmy Esrom Serang

NIM : 55516120030

Dosen Pengampu : Prof. Dr. Ir. Hapzi Ali, MM, CMA

Program Studi Magister Akuntansi

FAKULTAS PASCA SARJANA

UNIVERSITAS MERCUBUANA

JAKARTA

2017

ABSTRAK

Manajemen risiko korporasi (MRK), atau dikenal dengan singkatan bahasa

Inggris ERM (enterprise risk management), adalah suatu proses, yang dipengaruhi

oleh dewan direktur, manajemen, dan personel lain dalam perusahaan, yang

diterapkan pada tataran strategis dan menyeluruh, yang dirancang untuk

mengidentifikasi potensi peristiwa yang dapat memengaruhi perusahaan dan

untuk memberikan jaminan yang wajar terhadap pencapaian sasaran perusahaan.

MRK menyediakan kerangka kerja manajemen risiko, yang umumnya melibatkan

proses identifikasi peristiwa yang dapat berpengaruh terhadap sasaran perusahaan

(risiko dan peluang), penilaian kemungkinan dan dampak peristiwa tersebut,

penentuan strategi tanggapan, serta pemantauan pelaksanaan tanggapan tersebut.

Salah satu kerangka kerja MRK yang terkenal adalah COSO ERM.

ABSTRACT

Corporate risk management (MRK), or known by the English abbreviation

ERM (enterprise risk management), is a process, influenced by boards of

directors, management, and other personnel within the company, applied at a

strategic and comprehensive level designed to identify Potential events that can

affect the company and to provide reasonable assurance on the achievement of

corporate objectives. MRK provides a risk management framework, which

generally involves the process of identifying events that may affect the company's

goals (risks and opportunities), assessing the likelihood and impact of the event,

determining response strategies, and monitoring the implementation of those

responses. One of the famous MRK frameworks is COSO ERM.

KATA PENGANTAR

Segala puji dan syukur penulis panjatkan kehadirat Tuhan Yang Maha Esa

yang telah memberikan anugrah, kemudahan, serta rahmat dan karunia-Nya

kepada penulis sehingga dapat menyelesaikan paper yang berjudul :

“MEMBANDINGKAN KERANGKA PENGENDALIAN INTERNAL”

sebagai salah satu syarat untuk memenuhi tugas Sistem Informasi Dan

Pengendalian Internal.

Penulis menyadari sebagai manusia biasa dalam penulisan ini tidak lepas

dari kesalahan dan kekurangan akibat keterbatasan pengetahuan serta pengalaman.

Penulis menyadari sepenuhnya bahwa paper ini masih jauh dari sempurna

dikarenakan terbatasnya pengalaman dan pengetahuan yang dimiliki penulis. Oleh

karena itu, penulis mengharapkan segala bentuk saran serta masukan bahkan kritik

yang membangun dari berbagai pihak.

Semoga paper ini bermanfaat dan dapat menambah pengetahuan

khususnya bagi penulis dan pembaca pada umumnya. Akhir kata dengan segala

ketulusan dan kerendahan hati, penulis mohon maaf apabila ada kesalahan dan

kelemahan dalam paper ini.

Jakarta, 10 mei 2017

Jemmy Esrom Serang

BAB I

PENDAHULUAN

Dimanapun wilayahnya dunia usaha selalu selalu diliputi dengan

ketidakpastian yang dipenuhi dengan berbagai risiko yang saling berkaitan satu

dengan yang lainnya. Suatu kegiatan tidak hanya memiliki satu jenis risiko saja,

tetapi dapat menyebabkan risiko-risiko lain. Misalnya sebuah permasalahan

hukum yang dihadapi oleh perusahaan tidak hanya memiliki risiko hukum semata,

tetapi juga memiliki risiko reputasi pada saat yang bersamaan. Karenanya menjadi

penting untuk menerapkan sebuah konsep penanganan risiko secara menyeluruh

dan terintegrasi satu sama lain. Konsep tersebut adalah konsep yang kita kenal

dengan istilah Enterprise Risk Management Integrated Framework yang

diterbitkan oleh The Committee of Sponsoring Organizations of the Treadway

Commission (COSO).

Pada dasarnya Enterprise Risk Management merupakan sebuah proses

yang diterapkan dalam penentuan strategi perusahaan, didesain untuk

mengidentifikasi kemungkinan yang potensial yang mungkin mempengaruhi

entitas (perusahaan), dan mengelola risiko-risiko dan kecenderungan risiko yang

mungkin terjadi, untuk menyediakan jaminan yang layak mengenai pencapaian

tujuan entitas. Definisi ini dikemukakan dalam COSO Framework.

Manfaat dari penerapan Enterprise Risk Management adalah

meningkatkan kemampuan sebuah perusahaan untuk dapat menyelaraskan risk

appetite dengan strategi dan arah kebijakan perusahaan sehingga dapat

meningkatkan kualitas keputusan yang diambil oleh manajemen perusahaan

dalam merespon risiko. ERM juga dapat mengidentifikasi dan mengelola risiko

secara menyeluruh dan karenanya dapat meminimalisasi kejutan dan kerugian

operasional. Perlu diingat bahwa ERM bukanlah sebuah tujuan, melainkan sarana

untuk mendukung penerapan tata kelola perusahaan. Jadi tugas unit manajemen

risiko tidaklah selesai dengan hanya sebatas telah memiliki sistem Enterprise Risk

Management.

BAB II

LANDASAN TEORI

Ada beberapa elemen dari enterprise risk management integrated

framework. Yang pertama adalah lingkungan internal sebuah perusahaan. Hal ini

menjadi penting karena pada dasarnya sistem manajemen risiko didesain oleh

lingkungan internal perusahaan (dalam hal ini manajemen dan karyawan).

Lingkungan internal terdiri dari banyak elemen, termasuk dari nilai yang dianut

didalam sebuah perusahaan, kompetensi dari sumber daya manusianya, gaya

kepemimpinan, mekanisme pengambilan keputusan, pola penentuan wewenang

dan tanggung jawab. Hal ini akan mempengaruhi seperti apa risk appetitenya,

tingkat risk tolerancenya, seperti apa budaya risikonya dan bagaimana nantinya

enterprise risk management akan diimplementasikan.

Elemen kedua adalah penentuan tujuan dimana tujuan harus ada sebelum

manajemen perusahaan dapat mengidentifikasi risiko-risiko yang ada. Hal ini

didasarkan karena pada dasarnya manajemen risiko adalah upaya memitigasi

risiko agar perusahaan dapat mencapai tujuannya. Tujuan-tujuan tersebut dapat

dikategorikan dalam 4 jenis, yakni tujuan strategis, operasi, pemenuhan dan tujuan

pelaporan. Hal ini memungkinkan jajaran Direksi dan Dewan Komisaris untuk

berpusat pada aspek-aspek yang berbeda dalam enterprise risk management.

Elemen yang ketiga adalah identifikasi kejadian risiko. Jajaran Direksi dan

Manajemen dapat mempertimbangkan berbagai faktor internal dan eksternal.

Teknik identifikasi kejadian risiko dapat dilakukan dengan analisa trend atau

analisa historikal (masa lalu), serta proyeksi ke depan. Hal ini memungkinkan

untuk dapat mengelompokkan peristiwa-peristiwa potensial kedalam berbagai

kategori.

Dengan kita dapat mengidentifikasi kejadian risiko, kita dapat melakukan

risk assessment –yang menjadi elemen kelima- dimana perusahaan dapat

memprediksi seberapa besar potensi sebuah kejadian risiko dapat mempengaruhi

pencapaian tujuan.

Setelah kita melakukan identifikasi dan penilaian, barulah kemudian kita

dapat menentukan respon yang tepat untuk setiap risiko dalam menentukan

toleransi risiko dan pengeluaran yang diperlukan sertu menerapkan pilihan dari

berbagai alternatif-alternatif yang ada. Beberapa kategori dalam merespon risiko

adalah risk evasion (menghindari risiko), risk reduction (mengurangi risiko), risk

acceptance (menerima risiko) dan sharing risk (mengurangi dengan membagi

risiko kepada pihak lain).

Aktivitas kontrol dan komunikasi adalah elemen selanjutnya yang perlu

diperhatikan dalam COSO framework. Aktivitas kontrol diperlukan untuk dapat

membantu memastikan bahwa respon terhadap risiko telah dijalankan dengan

memadai. Aktivitas kontrol ini melibatkan dua elemen yakni menyusun kebijakan

dan menyusun prosedur serta dengan membangun sebuah sistem yang terintegrasi.

Model penerapan ERM yang akan diuraikan berikut adalah diadopsi dari

kasus penerapan ERM PT Asuransi Kredit Indonesia (PT Askrindo) yang

menjalankan usaha penjaminan sekaligus usaha asuransi dengan framework

COSO (Committe of Sponsoring Organization).

PT Asuransi Kredit Indonesia adalah suatu entitas bisnis di Indonesia yang

unik dan mungkin satu-satunya di Indonesia yang dapat mengkolaborasi secara

baik antara usaha berorientasi profit dengan berorientasi public service dalam

bentuk usaha penjaminan dan asuransi. PT Askrindo dikatakan menjalankan usaha

asuransi karena regulasi di Indonesia masih menganggap bahwa surety bond,

customs bond, asuransi kredit perdagangan dan penjaminan kredit tergolong

dalam usaha asuransi walaupun skim yang digunakan adalah skim penjaminan.

Saat ini regulasi penjaminan masih pada tarap peraturan pemerintah atau

keputuasan menteri keuangan sedangan regulasi setingkat Undang-Undang sedang

dalam proses penyusunan. Disatu sisi PT Askrindo berusaha mendukung program

pemerintah mengembangkan UMKM dengan karateristik usaha yang cenderung

merugi, namun di sisi lain PT Askrindo dituntut untuk memperoleh profit dengan

menjalankan usaha penjaminan dan asuransi dalam bentuk diversifikasi produk

yang meliputi produk surety bond, customs bond, asuransi kredit perdagangan

(Askredag) dan reasuransi. Demikian kompleks usaha yang dijalankan oleh PT

Askrindo dan untuk memenuhi tuntutan regulator yang mewajibakan perusahaan

BUMN memiliki unit manajemen risiko, PT Askrindo mulai taun 2010 harus dan

sudah mulai menerapkan Enterprise Risk Management (ERM) dengan pendekatan

kaidah-kaidah dan prinsip penjaminan dan asuransi.

FUNGSI DAN MANFAAT ERM

Penerapan ERM di perusahaan penjaminan memiliki fungsi dan manfaat

sebagai berikut:

1. Peningkatan efektifitas organisasi Adanya koordinasi yang lebih baik

antara beberapa fungsi pengelolaan risiko serta meningkatkan ruang

lingkup pengelolaan risiko (meningkatkan efisiensi proses pengelolaan

risiko secara terintegrasi yaitu mencakup semua bisnis dan organisasi serta

mencakup semua jenis risiko yang dihadapi). Pengelolaan risiko secara

terintegrasi ini akan memperbesar peluang pencapaian tujuan perusahaan

yang pada akhirnya akan meningkatkan value perusahaan.

2. Meningkatkan ketahanan Organisasi

Penerapan ERM akan memberikan perusahaan suatu langkah

antisipasi/mitigasi risiko dalam menghadapi berbagai risiko yang akan

dihadapi perusahaan (corporate risk) sehingga memberikan early warning

system yang efektif dalam menghadapi keadaan yang tersulit bagi

perusahaan.

3. Mendukung dan meningkatkan kualitas penerapan tata kelola perusahaan

yang baik (Good Corporate Governance (GCG)). ERM adalah salah satu

pilar penting dalam mendukung terciptanya GCG.

4. Adanya sinergi antara strategi perusahaan dan tingkat risiko yang diterima

(Risk Appetite) untuk mencapai tujuan (improved outcomes).

5. Mendorong manajemen yang proaktif dan bukan reaktif.

6. Meningkatkan keselamatan dan pencegahan insiden

7. meningkatkan kepercayaan para pemangku kepentingan

FRAMEWORK ERM

Enterprise Risk Management (ERM) merupakan suatu proses yang

melibatkan perusahaan, termasuk BOD, manajemen, dan seluruh

karyawan Perusahaan dalam mengidentifikasi suatu kejadian atau potensi

kejadian yang menimbulkan suatu dampak (kerugian) , mengelolanya

secara komprehensif dalam besaran / ukuran yang dapat diterima oleh

perusahaan, serta untuk memastikan pencapaian tujuan perusahaan. Di

berbagai usaha ekonomi di dunia dikenal berbagai macam kerangka kerja

penerapan ERM yang sesuai dengan sudut pandang pengelolaan risiko dan

sosial budaya suatu bangsa. Model kerangka kerja ERM yang digunakan

oleh berbagai industri sampai saat ini adalah BS, British Standarts – IRGC

(BS6079-3) (2000), International Risk Governance Council (IRGC) 2004,

COSO (Committee of Sponsoring Organizations), AS/NZ, Australia &

New Zealand Standart (AS/NZS) 4360, ISO (International Standarts

Organization) 31000 (2009). Perbedaan kerangka kerja ERM dapat dilihat

pada tabel di bawah ini.

Penerapan ERM adalah suatu proses yang dilakukan secara terus

menerus, terintegrasi dan melibatkan seluruh karyawan dalam mengelola

risiko sehingga dapat memperbesar peluang pencapaian tujuan. Proses

manajemen risiko yang pokok dilakukan dalam ERM adalah proses

identifikasi, pengukuran, pemetaaan dan mitigasi risiko. Proses

manajemen risiko lain yang tak kalah pentingnya adalah proses

monitoring, komunikasi, pelaporan dan pengendalian manajemen risiko.

Untuk melaksanakan proses manajemen risiko tersebut diperlukan suatu

sistem dan sumber daya yang relatif cukup baik yang bersifat teknologi

maupun manual.

ROAD MAP ERM

Rencana jangka panjang penerapan ERM harus ditetapkan oleh

perusahaan agar perusahaan dapat memperoleh arah, strategi yang jelas

dan target yang akan dicapai perusahaan pada periode tertentu. Rencana

penerapan ERM dapat dijabarkan tiga tahunan atau lima tahunan dalam

bentuk Road Map sesuai dengan kapasitas perusahaan dan perkiraan

perubahan lingkungan. Kualitas perumusan rencana jangka panjang ERM

menentukan perjalanan keberhasilan penerapan ERM perusahaan sehingga

dalam perumusannya harus dipertimbangkan secara cermat dan matang

berbagai aspek yang berkaitan dengan kapasitas perusahaan dan perubahan

lingkungan internal dan eksternal selama periode Road Map. Tujuan akhir

penerapan ERM pada rencana jangka panjang pertama dapat berupa

penerapan ERM menjadi budaya risiko perusahaan dalam proses bisnis

dan pendukungnya yang dapat meningkatkan value perusahaan.

PENERAPAN ERM DALAM USAHA PENJAMINAN

PT Askrindo sejak pertengahan tahun 2010 telah memiliki elemen

implementasi ERM yang relatif lengkap dan jajaran manajemen termasuk

BOD telah memberikan komitmen atas penerapan ERM di perusahaan.

Disamping itu, PT Askrindo juga telah memiliki Risk Contact Person atau

Risk Champion di seluruh unit kerja baik di kantor Pusat maupun Kantor

Cabang untuk mendukung implementasi ERM dengan bantuan sistem

informasi manajemen risiko berbasis Web.

Penerapan ERM di PT Askrindo yang bergerak pada usaha

penjaminan merupakan perusahaan pioner yang menerapkan ERM dalam

usaha penjaminan di Indonesia dan dapat dikatakan baru satu-satunya

ERM berkarakteristik usaha penjaminan di Indonesia.

Konsep manajemen risiko yang diterapkan adalah berwawasan dan

berprinsip pada manajemen risiko korporat terintegrasi. Manajemen risiko

korporat terintegrasi adalah suatu proses pengelolaan risiko yang dimulai

dari proses identifikasi, pengukuran, pemetaan, mitigasi dan evaluasi serta

monitoring yang melibatkan manajemen perusahaan dalam proses

penentuan strategi di seluruh unit kerja secara terintegrasi. Konsep

manajemen risiko dirancang untuk mengidentifikasikan peristiwa-

peristiwa (events) yang berpengaruh negatif bagi perusahaan dan

mengelola risiko agar selalu berada di dalam batas toleransi manajemen

risiko.

Dengan demikian manajemen selalu memiliki keyakinan yang

memadai bahwa sasaran perusahaan akan dapat dicapai tanpa halangan

dan ancaman yang signifikan.

Manajemen perusahaan akan meningkatkan seoptimal mungkin nilai

perusahaan melalui:

• Penetapan strategi dan sasaran-sasaran yang menghasilkan keseimbangan

optimal antara target pertumbuhan, keuntungan dan risiko-risiko

inherennya.

• Pemanfaatan seluruh sumber daya yang tersedia secara efisien dan efektif

untuk mencapai sasaran-sasaran perusahaan.

Untuk mencapai tujuan perusahaana di atas, manajemen membangun dan

mengintegrasikan manajemen risiko ke dalam tata nilai dan proses bisnis

dengan berpedoman kepada prinsip-prinsip dasar:

a. Penyelarasan antara toleransi risiko dengan strategi manajemen akan

selalu memperhitungkan dan mempertimbangkan toleransi risiko

perusahaan di dalam menetapkan berbagai alternatif strategi bisnis, target

bisnis, dan pengembangan mekanisme pengelolaan risiko.

b. Secara berkelanjutan meningkatkan kualitas kesadaran atas suatu risiko

dan menciptakan budaya risiko.

c. Mereduksi ke tingkat serendah mungkin kejutan-kejutan dan kerugian-

kerugian yang bisa mempengaruhi keputusan operasional perusahaan.

d. Secara konsisten mengidentifikasi dan mengelola multi risiko serta

risiko-risiko antar unit kerja. Perusahaan akan menghadapi berbagai

bentuk risiko yang banyak, yang secara langsung maupun tidak langsung

mempengaruhi berbagai kegiatan unit kerja dalam melakukan kegiatan

operasional. Oleh karena itu, perusahaan mengaplikasikan manajemen

risiko agar mampu memfasilitasi penentuan respon yang efektif atas

dampak-dampak yang saling berkaitan dan penetapan respon-respon yang

terintegrasi atas multi risiko.

e. Menangkap peluang dengan mengetahui berbagai risiko yang potensial,

manajemen akan berada dalam posisi mudah mengidentifikasikan dan

secara proaktif menangkap kemungkinan terjadinya risiko di perusahaan.

f. Meningkatkan kualitas dan efektifitas pemanfaatan sumber daya

perusahaan dengan tersedianya beragam informasi risiko yang lengkap dan

akurat akan membantu manajemen secara efektif mengukur kemungkinan

risiko yang terkait dengan bisnis perusahaan.

TAHAPAN AWAL PENERAPAN MANAJEMEN RISIKO

Pada awal pembangunan sistem dan mekanisme ERM, tahapan penerapan

ERM dilakukan 3 tahapan kegiatan seperti berikut:

Gambar 3. Tahapan Awal Penerapan Manajemen Risiko

Ketiga tahap kegiatan tersebut dapat dijabarkan lebih rinci dalam langkah-langkah

penerapan ERM sebagai berikut berikut:

1) Mengidentifikasi semua risiko yang terkait

2) Merancang kriteria risiko dan sub kriteria risiko

3) Merancang sistem kontrol manajemen risiko dan membentuk Risk Owner

4) Melakukan asesmen terhadap risiko residual bersama Risk Owner

5) Menyusun detail kegiatan risiko yang signifikan untuk dikurangi

6) Melaporkan risiko signifikan kepada manajemen beserta saran mitigasinya

7) Mengalokasikan sumber daya untuk melakukan mitigasi risiko yang signifikan

8) Memantau proses mitigasi dan perkembangan mitigasi risiko signifikan.

9) Mengevaluasi pengelolaan risiko dan analisa hasil kegiatan mitigasi risiko

10) Menyusun pengelolaan risiko dalam kesepakatan karya (Key Performance

Indicator (KPI))

Jika digambarkan dalam bentuk bagan, maka langkah-langkah Penerapan tersebut

dapat diilustrasikan sebagai berikut:

Gambar 4. Langkah-Langkah Penerapan ERM

Setelah mempersiapkan elemen implementasi ERM seperti diatas maka langkah

selajutnya melakukan pengelolaan risiko secara terus menerus sesuai dengan

kerangka kerja ERM yang telah ditetapkan dengan berbasis sistem komputerisasi.

BAB III

METODE PENELITIAN

Metode penelitian untuk makalah ini adalah kepustakaan, dimana

informasi diperoleh penulis berasal dari buku teks, artikel, modul atau internet.

BAB IV

STUDI KASUS

1.

Hubungan COBIT dengan pengendalian internal perusahaan

Pengertian Cobit COBIT adalah merupakan kerangka panduan tata kelola

TI dan atau bisa juga disebut sebagai toolset pendukung yang bisa

digunakan untuk menjembatani gap antara kebutuhan dan bagaimana

teknis pelaksanaan pemenuhan kebutuhan tersebut dalam suatu organisasi.

COBIT memungkinkan pengembangan kebijakan yang jelas dan sangat

baik digunakan untuk IT kontrol seluruh organisasi, membantu

meningkatkan kualitas dan nilai serta menyederhanakan pelaksanaan alur

proses sebuah organisasi dari sisi penerapan IT. Cobit berorientasi proses,

dimana secara praktis Cobit dijadikan suatu standar panduan untuk

membantu mengelola suatu organisasi mencapai tujuannya dengan

memanfaatkan IT. Cobit memberikan panduan kerangka kerja yang bisa

mengendalikan semua kegiatan organisasi secara detail dan jelas sehingga

dapat membantu memudahkan pengambilan keputusan di level top dalam

organisasi. Lingkup Cobit Cobit memiliki 4 Cakupan Domain yaitu: 1.

Perencanaan dan Organisasi (Plan and Organise) Domain ini mencakup

strategi dan taktik yang menyangkut identifikasi tentang bagaimana TI

dapat memberikan kontribusi terbaik dalam pencapaian tujuan bisnis

organisasi sehingga terbentuk sebuah organisasi yang baik dengan

infrastruktur teknologi yang baik pula. 2. Pengadaan dan Implementasi

(Acquire and Implement) Untuk mewujudkan strategi TI, solusi TI perlu

diidentifikasi, dibangun atau diperoleh dan kemudian diimplementasikan

dan diintegrasikan dalam proses bisnis. 3. Pengantaran dan Dukungan

(Deliver and Support) Domain ini berhubungan dengan penyampaian

layanan yang diinginkan, yang terdiri dari operasi pada security dan aspek

kesinambungan bisnis sampai dengan pengadaan training. 4. Pengawasan

dan Evaluasi (Monitor and Evaluate) Semua proses TI perlu dinilai secara

teratur dan berkala bagaimana kualitas dan kesesuaiannya dengan

kebutuhan kontrol. Keempat domain tersebut diatas kemudian dijabarkan

menjadi 34 faktor resiko yang harus dievaluasi jika ingin diperoleh suatu

kesimpulan mengenai seberapa besar kepedulian manajemen terhadap

teknologi informasi, serta bagaimana teknologi informasi dapat memenuhi

kebutuhan manajemen akan informasi. 3 COBIT IT Processes Defined

Withen The Four Domain Gambar Kerangka COBIT PLANNING AND

ORGANISATION (PO) 1 2 3 4 5 6 7 8 P01 P02 PO3 PO4 PO5 PO6 PO7

PO8 Menetapkan Rencana Strategis Teknologi Informasi (Define a

Strategic IT Plan) Menetapkan Arsitektur Informasi (Define the

Information Architecture) Menetapkan Arah Teknologi (Determine

Technological Direction) Menetapkan Organisasi TI dan Hubungannya

(Define the IT Organisation and Relationships) Mengatur Investasi TI

(Manage the IT Investment) Mengkomunikasikan Tujuan dan Arahan

Manajemen (Communicate Management Aims and Direction) Mengelola

Sumberdaya Manusia (Manage Human Resources) Memastikan

Kesesuaian dengan Kebutuhan-kebutuhan eksternal (Ensure Compliance

with External Requirements) 4 9 10 11 PO9 PO10 PO11 Menilai Resiko

(Assess Risks) Mengatur Proyek (Manage Projects) Mengatur Kualitas

(Manage Quality) ACQUISITION AND IMPLEMENTATION (AI) 12 13

14 15 16 17 AI1 AI2 AI3 AI4 AI5 AI6 Identifikasi solusi-solusi

otomatisasi (Identify Automated Solutions) Memperoleh dan memelihara

Perangkat Lunak Aplikasi (Acquireand Maintain Application Software)

Memperoleh dan memelihara Infrastruktur Teknologi (Acquire and

Maintain Technology Infrastructure) Mengembangkan dan memelihara

prosedur (Develop and Maintain Procedures) Instalasi dan pengakuan

sistem (Install and Accredit Systems) Mengatur Perubahan (Manage

Changes) DELIVERY AND SUPPORT (DS) 18 19 20 21 22 23 24 25 26

27 28 29 30 DS1 DS2 DS3 DS4 DS5 DS6 DS7 DS8 DS9 DS10 DS11

DS12 DS13 Menetapkan dan mengatur tingkatan pelayanan (Define and

Manage Service Levels) Mengelola layanan pihak ke tiga (Manage Third-

Party Services) Mengelola kapasitas dan kinerja (Manage Performance

and Capacity) Menjamin layanan berkelanjutan (Ensure Continuous

Service) Menjamin keamanan sistem (Ensure Systems Security)

Mengidentifikasikan dan mengalokasikan biaya (Identify and Allocate

Costs) Mendidik dan melatih user (Educate and Train Users) Membantu

dan memberikan masukan kepada pelanggan (Assist and Advise

Customers) Mengelola konfigurasi (Manage the Configuration) Mengelola

kegiatan dan permasalahan (Manage Problems and Incidents) Mengelola

Data (Manage Data) Mengelola Fasilitas (Manage Facilities) Mengelola

Operasi (Manage Operations) MONITORING (M) 31 32 33 34 M1 M2

M3 M4 Mengawasi proses (Monitor the Processes) Menilai kecukupan

pengendalian internal (Assess Internal Control Adequacy) Memperoleh

jaminan independen (Obtain Independent Assurance) Menyediakan Audit

Independen (Provide for Independent Audit) 5 Secara keseluruhan 34

proses diataslah yang digunakan sebagai panduan dalam menangani

masalah tata kelola IT atau pembuatan IT strategic plan, meskipun dalam

prakteknya tidak mesti menggunakan 34 proses tersebut karena proses-

proses tersebut menyesuaikan dengan kondisi organisasi. Hubungan

COBIT dengan pengendalian internal perusahaan Konsep Pengendalian

Internal COBIT dilihat dari berbagai sudut pandang Pengguna Utama

COBIT di rancang untuk digunakan oleh tiga pengguna yang berbeda

yaitu : • Manajemen : untuk membantu mereka menyeimbangkan antara

resiko dan investasi pengendalian dalam sebuah lingkungan IT yang sering

tidak dapat diprediksi. • User : untuk memperoleh keyakinan atas layanan

keamanan dan pengendalian IT yang disediakan oleh pihak internal atau

pihak ketiga. • Auditor : untuk medukung/memperkuat opini yang

dihasilkan dan/atau untuk memberikan saran kepada manajemen atas

pengendalian internal yang ada. Tujuan Pengendalian Internal bagi

Organisasi Operasi yang efektif dan efisien Keefektifan berkenaan dengan

informasi yang diperoleh harus relevan dan berkaitan dengan proses bisnis

yang ada dan juga dapat diperoleh tepat waktu, benar, konsisten, dan

bermanfaat. Sedangkan keefisienan berkaitan dengan penyediaan

informasi melalui sumber daya (yang paling produktif dan ekonomis) yang

optimal. Kerahasiaan Menyangkut perhatian atas perlindungan informasi

yang sensitif dari pihak-pihak yang tidak berwenang. Integritas Berkaitan

dengan akurasi dan kelengkapan dari informasi dan juga validitasnya

sesuai nilai-nilai dan harapan bisnis. Ketersedian Informasi Berkaitan

dengan informasi harus dapat tersedia ketika dibutuhkan oleh suatu proses

bisnis baik sekarang maupun di masa yang akan datang. Ini juga terkait

dengan pengamanan atas sumber daya yang perlu dan kemampuan yang

terkait. 6 Pelaporan keuangan yang handal Berkaitan dengan pemberian

informasi yang tepat bagi manajemen untuk mengoperasikan perusahaan

dan juga pemenuhan kewajiban mereka untuk membuat pelaporan

keuangan. Ketaatan terhadap ketentuan hukum dan peraturan Terkait

dengan pemenuhan sesuai dengan ketentuan hukum, peraturan, perjanjian

kontrak, dimana dalam hal ini proses bisnis dipandang sebagai suatu

subjek. Domain 1. Planning and organization Domain ini mencakup

strategi dan taktik, dan perhatian atas identifikasi bagaimana IT secara

maksimal dapat berkontribusi dalam pencapaian tujuan bisnis. Selain itu,

realisasi dari visi strategis perlu direncanakan, dikomunikasikan, dan

dikelola untuk berbagai perspektif yang berbeda. Terakhir, sebuah

pengorganisasian yang baik serta infrastruktur teknologi harus di

tempatkan di tempat yang semestinya. 2. Acquisition dan implementation

Untuk merealisasikan strategi IT, solusi TI perlu diidentifikasi,

dikembangkan atau diperoleh, serta diimplementasikan, dan terintegrasi ke

dalam proses bisnis. Selain itu, perubahan serta pemeliharaan sistem yang

ada harus di cakup dalam domain ini untuk memastikan bahwa siklus

hidup akan terus berlangsung untuk sistem-sisteem ini. 3. Delivery and

Support Domain ini memberikan fokus utama pada aspek

penyampaian/pengiriman dari IT. Domain ini mencakup area-area seperti

pengoperasian aplikasi-aplikasi dalam sistem IT dan hasilnya, dan juga,

proses dukungan yang memungkinkan pengoperasian sistem IT tersebut

dengan efektif dan efisien. Proses dukungan ini termasuk isu/masalah

keamanan dan juga pelatihan. 4. Monitoring Semua proses IT perlu dinilai

secara teratur sepanjang waktu untuk menjaga kualitas dan pemenuhan

atas syarat pengendalian. Domain ini menunjuk pada perlunya pengawasan

manajemen atas proses pengendalian dalam organisasi serta penilaian

independen yang dilakukan baik auditor internal maupun eksternal atau

diperoleh dari sumber-sumber anternatif lainnya. Kerangka kerja COBIT

ini terdiri atas beberapa arahan ( guidelines ), yakni: Control Objectives :

Terdiri atas 4 tujuan pengendalian tingkat-tinggi ( high-level control

objectives ) yang tercermin dalam 4 domain, yaitu: planning &

organization , acquisition & implementation , delivery & support , dan

monitoring . Audit Guidelines : Berisi sebanyak 318 tujuan-tujuan

pengendalian yang bersifat rinci (detailed control objectives ) untuk

membantu para auditor dalam memberikanmanagement assurance

dan/atau saran perbaikan. 7 Management Guidelines : Berisi arahan, baik

secara umum maupun spesifik, mengenai apa saja yang mesti dilakukan,

terutama agar dapat menjawab pertanyaanpertanyaan berikut : • Sejauh

mana Anda (TI) harus bergerak, dan apakah biaya TI yang dikeluarkan

sesuai dengan manfaat yang dihasilkannya. • Apa saja indikator untuk

suatu kinerja yang bagus? • Apa saja faktor atau kondisi yang harus

diciptakan agar dapat mencapai sukses (critical success factors )? • Apa

saja risiko-risiko yang timbul, apabila kita tidak mencapai sasaran yang

ditentukan? • Bagaimana dengan perusahaan lainnya – apa yang mereka

lakukan? • Bagaimana Anda mengukur keberhasilan dan bagaimana pula

membandingkannya. The COBIT Framework memasukkan juga hal-hal

berikut ini: • Maturity Models – Untuk memetakan status maturity proses-

proses TI (dalam skala 0 – 5) dibandingkan dengan “the best in the class in

the Industry” dan juga International best practices • Critical Success

Factors (CSFs) – Arahan implementasi bagi manajemen agar dapat

melakukan kontrol atas proses TI. • Key Goal Indicators (KGIs) – Kinerja

proses-proses TI sehubungan dengan business requirements • Key

Performance Indicators (KPIs) – Kinerja proses-proses TI sehubungan

denganprocess goals. Satu dari prinsip dalam COBIT 5 ini adalah

pembedaan yang dibuat antara tata kelola (governance) dan pengelolaan

(management). Selaras dengan prinsip ini, setiap organisasi diharapkan

untuk melaksanakan sejumlah proses tata kelola dan sejumlah proses

pengelolaan untuk menyediakan tata kelola dan pengelolaan enterprise IT

yang komprehensif. 2. COSO Enterprise Risk Management (COSO ERM)

dan Implementasi di perusahaan ERM versi COSO terdiri dari 8

komponen yang saling terkait. Kedelapan komponen ini diturunkan dari

bagaimana manajemen menjalankan perusahaan dan diintegrasikan dengan

proses manajemen. Kedelapan komponen ini diperlukan untuk mencapai

tujuan-tujuan perusahaan, baik tujuan strategis, operasional, pelaporan

keuangan, maupun kepatuhan terhadap ketentuan perundang-undangan.

Komponenkomponen tersebut adalah: 1. Lingkungan Internal (Internal

Environment) - lingkungan internal yang meliputi nada organisasi, dan

menetapkan dasar untuk bagaimana risiko dipandang dan ditangani oleh

orang-orang entitas, termasuk filosofi manajemen risiko, dan resiko,

integritas dan nilai etika, dan lingkungan di mana mereka beroperasi. 8 2.

Penentuan Tujuan (Objective Setting) – Tujuan perusahaan harus ada

terlebih dahulu sebelum manajemen dapat menidentifikasi kejadian-

kejadian yang berpotensi mempengaruhi pencapaian tujuan tersebut. ERM

memastikan bahwa manajemen memiliki sebuah proses untuk menetapkan

tujuan ddan bahwa tujuan yang dipilih atau ditetapkan tersebut terkait dan

mendukung misi perusahaan dan konsisten dengan risk appetite-nya. 3.

Identifikasi Kejadian (Event Identification) – Kejadian internal dan

eksternal yang mempengaruhi pencapaian tujuan perusahaan harus

diidentifikasi, dan dibedakan antara risiko dan peluang. Peluang

dikembalikan (channeled back) kepada proses penetapan strategi atau

tujuan manajemen. 4. Penilaian Risiko (Risk Assessment) – Risiko

dianalisis dengan memperhitungkan kemungkinan terjadi (likelihood) dan

dampaknya (impact), sebagai dasar bagi penentuan bagaimana seharusnya

risiko tersebut dikelola. 5. Respons Risiko (Risk Response) – Manajemen

memilih respons risiko – menghindar (avoiding), menerima (accepting),

mengurangi (reducing), atau mengalihkan (sharing risk) – dan

mengembangkan satu set kegiatan agar risiko tersebut sesuai dengan

toleransi (risk tolerance) dan risk appetite. 6. Kegiatan Pengendalian

(Control Activities) – Kebijakan dan prosedur yang ditetapkan dan

diimplementasikan untuk membantu memastikan respons risiko berjalan

dengan efektif. 7. Informasi dan komunikasi (Information and

Communication) – Informasi yang relevan diidentifikasi, ditangkap, dan

dikomunikasikan dalam bentuk dan waktu yang memungkinkan setiap

orang menjalankan tanggung jawabnya. 8. Pengawasan (Monitoring) –

Keseluruhan proses ERM dimonitor dan modifikasi dilakukan apabila

perlu. Pengawasan dilakukan secara melekat pada kegiatan manajemen

yang berjalan terus-menerus, melalui eveluasi secara khusus, atau dengan

keduanya. 9 Gambar 1. Ilustrasi keterkaitan sasaran, komponen ERM, dan

unit kerja perusahaan COSO ERM – Integrated Framework juga

mendeskripsikan peran dan tanggung jawab dari unit-unit kerja perusahaan

dalam penerapan manajemen risiko. Satu prinsip dasar yang ditanamkan

COSO ERM adalah bahwa “semua bagian di dalam perusahaan memiliki

tanggung jawab terhadap ERM”, yang artinya implementasi manajemen

risiko harus mencakup entity-level, division, business unit, hingga

subsidiary, dan mencakup seluruh seluruh sumber daya manusia di

dalamnya. Walau begitu, terdapat pembagian peran dan tanggung jawab

dalam penerapan ERM. Berikut adalah pembagian peran dan tanggung

jawab yang dijelaskan COSO ERM: • Board of Directors (BOD) memiliki

tanggung jawab penting dalam melakukan pemantauan terhadap penerapan

manajemen risiko, dengan turut memperhitungkan risk appetite dari

entitas; • Chief Executive Officer (CEO) memiliki tanggung jawab untuk

memastikan berjalannya ERM yang efektif pada keseluruhan perusahaan; •

Manajer memiliki tanggung jawab dalam mendukung penerapan prinsip

ERM perusahaan, memastikan pemenuhan ERM dengan risk appetite, dan

mengelola risiko di ranah kewenangannya agar konsisten dengan risk

tolerance yang dimilikinya; • Risk officer, financial officer, dan internal

audit memiliki peran kunci dalam mendukung efektivitas penerapan

manajemen risiko perusahaan; • Petugas operasional (atau biasa disebut

risk coordinator) bertanggung jawab dalam menerapkan manajemen risiko

perusahaan sejalan dengan prosedur dan kebijakan manajemen risiko

perusahaan; • Pihak eksternal (seperti pelanggan, kompetitor, otoritas, dan

pihak yang berperan dalam value chainperusahaan) tidak memiliki

tanggung jawab dalam 10 memastikan efektivitas ERM dari entitas, tetapi

pihak-pihak tersebut berperan penting dalam menyediakan informasi yang

dapat mendukung efektivitas manajemen risiko. COSO percaya Enterprise

Risk Manajemen - Integrated Framework menyediakan keterkaitan yang

jelas antara komponen manajemen risiko sebuah organisasi dan tujuan

yang akan mengisi kebutuhan untuk memenuhi undang - undang baru,

peraturan, dan standar pencatatan dan mengharapkan akan menjadi

diterima secara luas oleh perusahaan dan organisasi lain dan pihak yang

berkepentingan. COSO mengakui dalam laporan mereka bahwa sementara

manajemen risiko perusahaan memberikan manfaat penting, ada

keterbatasannya. Manajemen risiko perusahaan tergantung pada penilaian

manusia dan karena itu rentan terhadap pengambilan keputusan.

Kegagalan manusia seperti kesalahan sederhana atau kesalahan dapat

menyebabkan respon yang tidak memadai untuk risiko. Selain itu, kontrol

dapat dielakkan dengan kolusi dari dua atau lebih orang, dan manajemen

memiliki kemampuan untuk mengesampingkan keputusan manajemen

risiko. Keterbatasan ini menghalangi papan dan manajemen dari memiliki

jaminan mutlak untuk pencapaian tujuan entitas. Meskipun COSO

mengklaim model yang diperluas mereka lebih menyediakan manajemen

risiko, perusahaan tidak diharuskan untuk beralih ke model baru jika

mereka menggunakan Internal Control-Integrated Framework.

Implementasi di Perusahaan Berikut akan dijelaskan implementasi

kedelapan komponen COSO ERM terhadap penerapan manajemen risiko

operasional di perusahaan pertambangan batu bara: 1. Internal Enviroment

Direksi menyadari bahwa peran manajemen risiko di perusahaan sangat

dibutuhkan untuk memberikan peringatan dini mengenai kemungkinan

terjadinya risiko di masa yang akan datang. Oleh karena itu, dibentuklah

Divisi Manajemen Risiko yang secara fungsi terpisah dari Divisi Audit

Internal agar dapat melakukan tugas secara maksimal. Secara struktur

organisasi, hal ini sudah tepat dilaksanakan mengingat peran Divisi Audit

Internal hrus tetap independen. Dalam melakukan manajemen risiko

operasional, komitmen penuh baru dirasakan pada tingkatan BOD dan

Divisi Manajemen Risiko. Di tingkat organisasi di lokasi tambang,

komitmen untuk melakukan manajemen risiko operasional masih sangat

minim. Risk owner kegiatan operasional masih menjadi kewajiban dari

Kepala 11 Departemen Operasional. Padahal, risk owner kegiatan

operasional ialah seluruh pihak yang memiliki risiko operasional yang

berkontribusi, dalam kegiatan operasional sehari-hari. Minimnya

kesadaran akan risiko tersebut juga disadari oleh risk officer. Hal tersebut

menjadi kendala dalam melakukan manajemen risiko. Para risk owner

dalam kegiatan operasional sebenarnya mengetahui adanya risiko namun

mereka masih enggan untuk mengelola bahkan cenderung untuk tidak

memperdulikan. 2. Objective Setting Penentuanan risk owner target

produksi batubara belum diselaraskan dengan risk appetite perusahaan.

Penentuan target produksi hanya berdasarkan perencanaan dan permintaan

dari owner untuk memenuhi target produksi. Dengan demikian, secara

keseluruhan risiko operasional baik yang bersifa signifikan maupun tidak

signifikan diterima oleh perusahaan guna mencapai target produksi

tersebut. Penentuan target produksi seharusnya diselaraskan dengan risk

appetite perusahaan agar dapat mengelola risiko yang timbul akibat

kegiatan operasional dalam memenuhi targetnya. 3. Event Identification

Proses identifikasi kejadian-kejadian yang menimbulkan risiko sudah

efektif dijalankan setiap harinya. Namun, belum dilakukan dokumentasi

dari hasil rapat yang menyebabkan kejadian-kejadian yang teridentifikasi

secara tertulis menjadi tidak kemprehensif. Proses identifikasi risiko saat

ini masih perlu dorongan dari Divisi Manajemen Risiko disaat melakukan

kunjungan ke lokasi tambang. Padahal seharusnya sudah menjadi

kewajiban dari Deparmen Operasional untuk melakukan identifkasi setiap

bulannya ke dalam risk register. 4. Risk Assesments Perusahaan telah

memiliki penilaian risiko berdasarkan 2 aspek yaitu, penentuan skala

memungkinan (likelihood) dan penentuan skala dampak (impact), maka

hal tersebut sudah sesuai dengan komponen risk assessment pada

pendekatan COSO ERM. Namun penilaian risiko operasional yang

dilakukan oleh risk owner belum sepenuhnya berdasarkan ketentuan yang

berlaku. Penilaian risiko operasional lebih diberatkan kepada pandangan

judgement pribadi risk owner dan tingkat kemungkinan terjadinya risiko

tersebut. 5. Risk Response Di dalam ketentuan yang berlaku pada

manajemen risiko di perusahaan terdapat pilihan penanganan atau respon

terhadap risiko, yakni menerima, menghindari, mengurangi dan membagi

risiko-risiko tersebut. Hal ini sudah sesuai dengan pendekatan COSO

ERM dimana juga terdapat empat pilihan yang sama dalam merespon

suatu risiko yang terjadi. Pada praktiknya, risiko-risiko operasional yang

antara lain berupa risiko produktivitas, risiko proses, dan risiko sumber

daya manuasia yang telah diidentifikasi dan dinilai langsung direspon oleh

risk owner. Risiko-risiko operasional tersebut pada umumnya

mendapatkan respon untuk 12 mengurangi dan membagi risiko tersebut

kepada departemen lain maupun kepada perusahaan owner. 6. Control

Activities Di dalam ketentuan manajemen risiko perusahaan, control yang

dilakukan antara lain dengan melakukan dokumentasi dari setiap tahapan

prosedur manajemen risiko dan juga pembagian tugas serta pelaporan.

Setiap fungsi di dalam manajemen risiko, mulai dari risk owner sampai

dengan BOD, memiliki tugas dan wewenang masing-masing. Risk owner

berkewajiban untuk terus melakukan update risiko dan berkewajiban untuk

melakukan dokumentasi ke dalam risk register. Risk officer juga

bertanggung jawab dalam membantu risk owner serta merekapitulasi

seluruh risiko ke dalam risk register. Divisi Manajemen Risiko memiliki

kewajiban untuk memantau serta me-review risk register untuk diserahkan

kepada BOD dan BOD memiliki wewenang untuk memutuskan

penanganan terhadap suatu risiko tersebut. Aktivitas kontrol perusahaan

sebenarnya sudah sesuai dengan pendekatan COSO ERM, namun belum

ada security dan information processing dalam bentuk teknologi informasi.

Aktivitas kontrol pada manajemen risiko operasional masih banyak

memiliki kekurangan. Pada tingkat risk owner, dokumentasi dilakukan

sangat minim dan hanya pada periode tertentu dan itu juga setelah didesak

oleh risk officer dan Divisi Manajemen Risiko. Risk officer sendiri

memiliki keterbatasan dalam melakukan control atas risiko operasional

karena memiliki tanggung jawab lain sebagai kepala departemen. Hal ini

menyebabkan tidak adanya kontrol yang ketat atas respon terhadap risiko

operasional yang ada. 7. Information and Communication Informasi dan

komunikasi yang efektif terjadi pada saat rapat koordinasi setiap harinya

dengan seluruh departemen terkait kegiatan operasional. Di rapat tersebut,

departemen operasional selaku risk owner menyampaikan informasi terkait

kendala dan risiko operasional kepada seluruh pihak untuk dicari

penyelesaiannya bersama. Hal demikian juga dilakukan oleh risk officer

setiap bulannya dengan melakukan komunikasi kepada masing-masing

risk owner untuk melakukan update terhadap risk register. Namun kendala

yang dihadapi ialah baatas waktu yang sering terlambat dilakukan oleh

risk owner dalam pengumpulan risk register. 8. Monitoring Aktivitas

monitoring telah diatur di dalam SOP manajemen risiko perusahaan.

Monitoring rutin dilakukan dengan memberikan kewajiban kepada setiap

risk owner untuk melakukan update laporan mitigasi risiko secara rutin

(tiga bulan atau setiap bulan). Selainitu juga, Divisi Manajemen Risiko

dapat melakukan komunikasi kepada setiap risk owner ketika melakukan

kunjungan, mereka juga melakukan monitoring terhadap pelaksanaan

proses manajemen risiko yang dilakukan di lokasi tambang. Namun,

ketentuan untuk melaporkan kegiatan mitigasi risiko operasional setiap

periodenya sebagai bentuk monitoring, belum 13 dilakukan secara efektif.

Keterlambatan dalam memberikan laporan menjadi kendala utama. Risk

officer juga mengalami keterbatasan dalam melakukan monitoring karena

kesibukan dan memiliki tanggung jawab lain sebagai Kepala Departemen

Engineer. Oleh karena itu, monitoring baru efektif dilakukan ketika adanya

kunjungan dari Divisi Manajemen Risiko atau dari Tim Audit Internal.

Monotoring secara langsung ini juga menemui banyak kendala mengingat

belum adanya bukti secara tertulis terkait dari perkembangan aktivitas

manajemen risiko operasional. Divisi manajemen Risiko melakukan

klasifikasi melalui wawancara dengan pihak terkait dalam melakukan

observasi langsung terhadap kegiatan mitigasi risiko operasional yang

telah dilakukan.

DAFTAR PUSTAKA

1) Hapzi Ali, 2016, Modul Sistem Informasi & Pengendalian Internal. Mercu

Buana

2) http://lib.ui.ac.id/naskahringkas/2015-09/S44914-Azam%20Prakoso