Dokumen tersebut membahas perbandingan kerangka kerja pengendalian internal COSO, COSO ERM, dan COBIT. COBIT adalah panduan praktik manajemen TI terbaik yang membantu mengoptimalkan investasi TI perusahaan. COSO ERM adalah kerangka kerja manajemen risiko korporat yang terdiri atas delapan komponen. Kedua kerangka kerja ini membantu perusahaan mengelola risiko bisnis dan TI serta mencapai tujuan bisnisnya.

1. SISTEM INFORMASI DAN PENGENDALIAN INTERNAL
TENTANG
MEMBANDINGKAN KERANGKA PENGENDALIAN INTERNAL: 1.COSO INTERNAL
CONTROL INTEGRATED FRAMEWORK; 2. COSO ENTERPRISE RISK
MANAGEMENT; DAN 3. COBIT
DOSEN :
PROF. DR. IR. HAPZI ALI, MM, CMA
DIBUAT OLEH :
KHRISTINA DAMAYANTI (55516120065)
MAGISTER AKUNTANSI
PROGRAM PASCASARJANA (S2)
UNIVERSITAS MERCUBUANA
TAHUN 2017

2. Control Objective for Information and related Technology (COBIT) adalah suatu
panduan standar praktik manajemen Information Technolgy (IT). Standar COBIT
dikeluarkan oleh IT Governance Institute yang merupakan bagian dari Information
Systems Audit and Control Association (ISACA). COBIT 4.1 merupakan versi terbaru.
Penerapan IT (Informasi Teknologi) pada perusahaan tentunya sudah menjadi hal yang
sudah menjadi hal yang sangat umum. Penggunaan IT pada perusahaan tentunya membawa
banyak manfaat bagi perusahaan, contohnya seperti: meningkatkan performa bisnis,
meningkatkan ROI, meminimalisasi biaya dan waktu pemasaran, dan meminimalisasi resiko
dalam bisnis yang dinamis. Namun penerapan IT pada perusahaan yang bertujuan untuk
meningkatkan profit dari perusahaan bisa dapat berdampak sebaliknya bila Tata Kelola IT
tersebut buruk. Untuk itulah dibutuhkan IT Governance dimana penggunaan dan penerapan IT
pada perusahaan dapat bekerja secara optimal. IT Governance sendiri mempunyai banyak
Tools (Alat) dan salah-satunya adalah COBIT (CONTROL OBJECTIVES FOR
INFORMATION AND RELATED TECHNOLOGY) framework. Dengan adanya COBIT
framework ini perusahaan dapat memanfaatkan IT dengan optimal dan sesuai dengan hasil
yang diharapkan. COBIT juga diharapkan mendukung kebutuhan manajemen dalam
menentukan dan monitoring tingkatan yang sesuai dengan keamanan dan kendali organisasi
mereka. Dengan begitu perusahaan akan merasa bahwa investasi IT-nya membawa keuntungan
maksimal bagi proses bisnis mereka.
COBIT dikembangkan oleh IT Governance Institute, yang merupakan bagian dari
Information Systems Audit and Control Association (ISACA). COBIT memberikan arahan (
guidelines ) yang berorientasi pada bisnis, dan karena itu business process owners dan manajer,
termasuk juga auditor dan user, diharapkan dapat memanfaatkan guideline ini dengan sebaik-
baiknya.
Cobit adalah merupakan a set of best practies (framework) bagi pengelolaan teknologi
informasi (IT management). Cobit disusun oleh oleh IT Governace Institute (ITGI) dan
Infomation Systems Audit and Control Association (ISACA), tepatnya Information Systems
Audit and ControFoundation’s(ISACF) pada tahun 1992. edisi pertamanya dipublikasikan
pada tahun 1996, edisi kedua pada tahun 1998, edisi ketiga tahun 2000 (versi on-line
dikeluarkan tahun 2003) dan saat ini adalah edisi keempat pada desember 2005.
COBIT dikembangkan sebagai suatu generally applicable and accepted standard for
good Information Technology (IT) security and control practices . Istilah “ generally applicable
and accepted ” digunakan secara eksplisit dalam pengertian yang sama seperti Generally
Accepted Accounting Principles (GAAP). Sedang, COBIT’s “good practices” mencerminkan

3. konsensus antar para ahli di seluruh dunia. COBIT dapat digunakan sebagai IT Governance
tools, dan juga membantu perusahaan mengoptimalkan investasi TI mereka. Hal penting
lainnya, COBIT dapat juga dijadikan sebagai acuan atau referensi apabila terjadi suatu
kesimpang-siuran dalam penerapan teknologi. Suatu perencanaan Audit Sistem Informasi
berbasis teknologi (audit TI) oleh Internal Auditor, dapat dimulai dengan menentukan area-
area yang relevan dan berisiko paling tinggi, melalui analisa atas ke-34 proses tersebut.
Sementara untuk kebutuhan penugasan tertentu, misalnya audit atas proyek TI, dapat dimulai
dengan memilih proses yang relevan dari proses-proses tersebut.
COBIT bermanfaat bagi auditor karena merupakan teknik yang dapat membantu dalam
identifikasi IT controls issues. COBIT berguna bagi para IT user karena memperoleh
keyakinan atas kehandalan system aplikasi yang dipergunakan. Sedangfkan para manager
memperoleh manfaat dalam keputusan investasi di bidang IT serta Infrastruktur nya, menyusun
strategic IT Plan, menentukan Information Architecture, dan keputusan atas procurement
(pengadaan/pembelian) mesin.
Lebih lanjut, auditor dapat menggunakan Audit Guidelines sebagai tambahan materi untuk
merancang prosedur audit. Singkatnya, COBIT khususnya guidelines dapat dimodifikasi
dengan mudah, sesuai dengan industri, kondisi TI di Perusahaan atau organisasi Anda, atau
objek khusus di lingkungan TI. Selain dapat digunakan oleh Auditor, COBIT dapat juga
digunakan oleh manajemen sebagai jembatan antara risiko-risiko TI dengan pengendalian yang
dibutuhkan (IT risk management) dan juga referensi utama yang sangat membantu dalam
penerapan IT Governance di perusahaan.
COBIT dapat dipakai sebagai alat yang komprehensif untuk menciptakan IT
Governance pada suatu perusahaan. COBIT mempertemukan dan menjembatani kebutuhan
manajemen dari celah atau gap antara resiko bisnis, kebutuhan kontrol dan masalah-masalah
teknis IT, serta menyediakan referensi best business practices yang mencakup keseluruhan IT
dan kaitannya dengan proses bisnis perusahaan dan memaparkannya dalam struktur aktifitas-
aktifitas logis yang dapat dikelola serta dikendalikan secara sfektif.
COBIT mendukung manajemen dalam mengoptimalkan investasi TI nya melalui
ukuran-ukuran dan pengukuran yang akan memberikan sinyal bahaya bila suatu kesalahan atau
resiko akan atau sedang terjadi. Manajemen perusahaan harus memastikan bahwa sistem
kendali internal perusahaan bekerja dengan baik, artinya dapat mendukung proses bisnis
perusahaan yang secara jelas menggambarkan bagaimana setiap aktivitas kontrol individual
memenuhi tuntutan dan kebutuhan informasi serta efeknya terhadap sumber daya TI
perusahaan. Sumber daya TI merupakan suatu elemen yang sangat disoroti COBIT, termasuk

4. pemenuhan kebutuhan bisnis terhadap: efektivitas, efisiensi, kerahasian, keterpaduan,
ketersediaan, kepatuhan pada kebijakan atau aturan dan keandalan informasi.
Pihak yang Berkepentingan (Stakeholder) dalam COBIT untuk pengendalian internal.
Berdasarkan penjelasan di atas COBIT merupakan standar manajmen tekhnologi informasi
sehingga dengan adanya manajemen yang baik pengendalian internal dapat ditangani dengan
baik, berikut ini pihak yang berkepentingan dalam COBIT untuk pengendalian Internal.
Manajemen harus memutuskan apa yang harus diinvestasikan untuk pengendalian dan
keamanan IT dan bagaimana cara menyeimbangkan risiko dan mengendalikan dalam
lingkungan IT yang tidak bisa diramalkan. Pengendalian dan pengamanan sistem informasi
dapat membantu mengelola risiko tetapi tidak dapat menghapuskan risiko sama sekali. Tingkat
risiko tidak pernah dapat diketahui secara tepat karena selalu ada ketidakpastian.
Para pemakai jasa IT ingin memperoleh keyakinan akan adanya pengendalian dan
pengamanan yang cukup, melalui akreditasi dan audit jasa IT yang disediakan oleh pihak
internal maupun oleh pihak ketiga.
Untuk meningkatkan kualitas opini audit dan menyediakan usulan perbaikan pengendalian
intern kepada manajemen. Auditor menggunakan kerangka COBIT dalam melakukan audit
yaitu dengan cara:
a. membentuk dasar dan standar pengendalian
b. memfasilitasi dan membuat matriks kinerja untuk penilaian risiko
c. mengembangkan rencana audit
d. memfasilitasi audit
e. mengelola risiko residual
f. memberikan saran pengendalian dan rekomendasi kepada manajemen
Domain merupakan pengelompokkan secara alami dari proses IT, dan sering sesuai dengan
domain tanggung jawab perusahaan. Dalam suatu organisasi, COBIT menggambarkan empat
domain khusus:
a. Perencanaan dan Organisasi (Plan and Organise)
Domain ini mencakup strategi dan taktik, dan perhatian atas identifikasi
bagaimana IT secara maksimal dapat berkontribusi dalam pencapaian tujuan bisnis.
Selain itu, realisasi dari visi strategis perlu direncanakan, dikomunikasikan, dan dikelola

5. untuk berbagai perspektif yang berbeda. Terakhir, sebuah pengorganisasian yang baik
serta infrastruktur teknologi harus di tempatkan di tempat yang semestinya.
Langkah-langkah:
ü Menetapkan rencana stratejik TI
ü Menetapkan susunan informasi
ü Menetapkan kebijakan teknologi
ü Menetapkan hubungan dan organisasi TI
ü Mengelola investasi IT
ü Mengkomunikasikan arah dan tujuan manajemen
ü Mengelola sumberdaya manusia
ü Memastikan pemenuhan keperluan pihak eksternal
ü Menaksir risiko
ü Mengelola proyek
ü Mengelola kualitas
b. Pengadaan dan Implementasi (Acquire dan implement)
Untuk merealisasikan strategi IT, solusi TI perlu diidentifikasi, dikembangkan
atau diperoleh, serta diimplementasikan, dan terintegrasi ke dalam proses bisnis. Selain
itu, perubahan serta pemeliharaan sistem yang ada harus di cakup dalam domain ini
untuk memastikan bahwa siklus hidup akan terus berlangsung untuk sistem-sistem ini.
Langkah-langkah :
ü Mengidentifikasi solusi terotomatisasi
ü Mendapatkan dan memelihara software aplikasi
ü Mendapatkan dan memelihara infrastruktur teknologi
ü Mengembangkan dan memelihara prosedur
ü Memasang dan mengakui sistem
ü Mengelola perubahan
c. Pengantara dan Dukungan (Delivery and Support)
Domain ini memberikan fokus utama pada aspek penyampaian/pengiriman dari
IT. Domain ini mencakup area-area seperti pengoperasian aplikasi-aplikasi dalam
sistem IT dan hasilnya, dan juga, proses dukungan yang memungkinkan pengoperasian

6. sistem IT tersebut dengan efektif dan efisien. Proses dukungan ini termasuk isu/masalah
keamanan dan juga pelatihan.
Langkah-langkah :
ü Menetapkan dan mengelola tingkat pelayanan
ü Mengelola pelayanan kepada pihak lain
ü Mengelola kinerja dan kapasitas
ü Memastikan pelayanan yang kontinyu
ü Memastikan keamanan sistem
ü Melakukan identifikasi terhadap atribut biaya
ü Memberi pelatihan kepada user
ü Melayani konsumen IT
ü Mengelola konfigurasi/susunan
ü Mengelola masalah dan kecelakaan
ü Mengelola data
ü Mengelola fasilitas
ü Mengelola operasi
d. Pengawasan dan Evaluasi (Monitor and Evaluate)
Semua proses IT perlu dinilai secara teratur sepanjang waktu untuk menjaga
kualitas dan pemenuhan atas syarat pengendalian. Domain ini menunjuk pada perlunya
pengawasan manajemen atas proses pengendalian dalam organisasi serta penilaian
independen yang dilakukan baik auditor internal maupun eksternal atau diperoleh dari
sumber-sumber anternatif lainnya.
Langkah-langkah:
ü Memonitor proses
ü Menaksir kecukupan pengendalian internal
ü Mendapatkan kepastian yang independen
Keempat domain tersebut diatas kemudian dijabarkan menjadi 34 faktor resiko yang
harus dievaluasi jika ingin diperoleh suatu kesimpulan mengenai seberapa besar
kepedulian manajemen terhadap teknologi informasi, serta bagaimana teknologi
informasi dapat memenuhi kebutuhan manajemen akan informasi.

7. COBIT IT Processes Defined Withen The Four Domain
Gambar kerangka COBIT

9. Secara keseluruhan 34 proses diataslah yang digunakan sebagai panduan dalam
menangani masalah tata kelola IT atau pembuatan IT strategic plan, meskipun dalam
prakteknya tidak mesti menggunakan 34 proses tersebut karena proses-proses tersebut
menyesuaikan dengan kondisi organisasi.

10. COSO Enterprise Risk Management (COSO ERM) adalah kerangka Kerja Manajemen
Risiko Korporasi (MRK) yang diterbitkan oleh Committee of Sponsoring Organizations
of the Treadway Commission (COSO) Amerika Serikat.
MRK terdiri atas delapan komponen yang saling terkait sebagai berikut.
1. internal environment
2. objective setting
3. event identification
4. risk assessment
5. risk respons
6. control activities
7. information and communication
8. monitoring
Definisi Enterprise Risk Management
Menurut COSO dalam Simbolon (2010), definisi Enterprise Risk Management adalah
sebagai berikut:
“Enterprise Risk Management is a process, effected by an entity’s board of directors,
mangement and other personnel, applied is strategy setting and across the enterprise,
designed to identify potential events that may affect the entity, and manage risk to be
within its risk appetite, to provide reasonable assurance regarding the achievement of
entity objectives.”
Atas dasar definisi tersebut, kita dapat mensintesiskan Enterprise Risk Management ke
dalam beberapa konsep yang fundamental, antara lain meliputi:
• Suatu proses, yang berjalan dan mengalir di dalam suatu entitas atau organisasi..
• Diperngaruhi oleh individu pada semua tingkatan manajerial di dalam organisasi.
• Dapat dipergunakan untuk kepentingan formulasi strategi.
• Dapat diaplikasikan pada semua tingaktan manajerial, unit bsinis, termasuk penentuan
portofolio risiko.
• Dirancang untuk mengidentifikasikan peristiwa potensial, bilamana terjadi, yang
dapat mempengaruhi entitas dan mengelola risiko.

11. • Mampu memberikan jaminan yang rasional bagi manajemen dan diwan direksi suatu
entitas.
• Diarahkan untuk mewujudkan tujuan yang terpisah akan tetapi dalam kategori yang
tumpang tindih.
Jadi kalau dikaji, definisi yang dikemukakan oleh COSO memberikan makna yang cukup
luas. Memiliki kemampuan untuk mengakomodir konsep fundamental inti mengenai
bagaimana perusahaan dan organisasi lainnya mengelola risiko, menyediakan dasar
implementasi untuk berbagai organisasi, industri dan sektor. Selanjutnya, definisi tersebut juga
memfokuskan upaya untuk mewujudkan tujuan yang telah ditetapkan dan memberikan
landasan fundamental untuk menetapkan efektivitas enterprise risk management.
Dasar-dasar Manajemen Risiko
Setiap perusahaan ada untuk memberikan nilai bagi para pemangku kepentingannya,
tetapi nilai yang dapat terkikis melalui kejadian tak terduga di semua tingkat perusahaan dan
dalam semua kegiatan, mulai dari operasi rutin untuk strategi pengaturan serta untuk lainya.
Sebuah proses manajemen risiko yang efektif memerlukan empat langkah: (1) Identifikasi
risiko, (2) Kuantitatif atau kualitatif penilaian risiko terdokumentasi, (3) Prioritas resiko dan
respon perencanaan, dan (4) Pemantauan risiko. empat langkah proses manajemen risiko Ini
harus dilaksanakan di semua tingkat perusahaan dan dengan partisipasi banyak orang yang
berbeda.
1. Mengidentifikasi resiko
Proses ini meliputi identifikasi resiko yang mungkin terjadi dalam suatu
aktivitas usaha. Identifikasi resiko secara akurat dan kompleks sangatlah vital dalam
manajemen resiko. Salah satu aspek penting dalam identifikasi resiko adalah
mendaftar resiko yang mungkin terjadi sebanyak mungkin. Teknik-teknik yang
dapat digunakan dalam identifikasi resiko antara lain:
a. Brainstorming
b. Survey
c. Wawancara
d. Informasi historis
e. Kelompok kerja
2. Menganalisa Risiko

12. Setelah melakukan identifikasi resiko, maka tahap berikutnya adalah
pengukuran resiko dengan cara melihat seberapa besar potensi terjadinya kerusakan
(severity) dan probabilitas terjadinya resiko tersebut. Penentuan probabilitas
terjadinya suatu event sangatlah subjektif dan lebih berdasarkan nalar dan
pengalaman. Beberapa resiko memang mudah untuk diukur, namun sangatlah sulit
untuk memastikan probabilitas suatu kejadian yang sangat jarang terjadi. Sehingga,
pada tahap ini sangatlah penting untuk menentukan dugaan yang terbaik supaya
nantinya kita dapat memprioritaskan dengan baik dalam implementasi perencanaan
manajemen resiko.
Kesulitan dalam pengukuran resiko adalah menentukan kemungkinan terjadi
suatu resiko karena informasi statistik tidak selalu tersedia untuk beberapa resiko
tertentu. Selain itu, mengevaluasi dampak kerusakan (severity) sering kali cukup
sulit untuk asset immaterial.
3. Monitoring resiko dan evaluasi
Mengidentifikasi, menganalisa dan merencanakan suatu resiko merupakan
bagian penting dalam perencanaan suatu proyek. Namun, manajemen resiko
tidaklah berhenti sampai di sini saja. Praktek, pengalaman, dan terjadinya kerugian
akan membutuhkan suatu perubahan dalam rencana dan keputusan mengenai
penanganan suatu resiko. Sangatlah penting untuk selalu memonitor proses dari
awal mulai dari identifikasi resiko dan pengukuran resiko Apakah keefektifan respon
yang telah dipilih dan untuk mengidentifikasi adanya resiko yang baru maupun
berubah. Sehingga, ketika suatu resiko terjadi maka respon yang dipilih akan sesuai
dan diimplementasikan secara efektif.
Enterprise Risk Management – Intergrated Framework
Pada tahun 2001, COSO memulai sebuah proyek, dan terlibat PricewaterhouseCoopers,
untuk mengembangkan kerangka kerja yang akan mudah digunakan oleh manajemen untuk
mengevaluasi dan meningkatkan manajemen risiko perusahaan organisasi mereka. Skandal
bisnis profil tinggi dan kegagalan (misalnya Enron , Tyco International , Adelphia , Peregrine
Systems dan WorldCom ) menyebabkan panggilan untuk tata kelola perusahaan ditingkatkan
dan manajemen risiko. Akibatnya tindakan Sarbanes-Oxley diundangkan. Hukum ini meluas
persyaratan lama untuk perusahaan publik untuk memelihara sistem pengendalian internal,
membutuhkan manajemen untuk mensertifikasi dan auditor independen untuk membuktikan
efektivitas sistem tersebut.

13. The Internal Control - Integrated Framework tetap menjadi standar luas diterima untuk
memenuhi persyaratan pelaporan. Namun, pada tahun 2004 diterbitkan COSO Enterprise Risk
Management – Integrated Framework. COSO percaya kerangka ini memperluas pengendalian
intern, menyediakan lebih kuat dan luas fokus pada subjek yang lebih luas dari manajemen
risiko perusahaan.
Kerangka kerja sekarang termasuk empat kategori:
• Strategis: tingkat tinggi tujuan, sejalan dengan dan mendukung misinya
• Operasi: penggunaan efektif dan efisien dari sumber daya
• Pelaporan: keandalan pelaporan
• Kepatuhan: kepatuhan terhadap hukum dan peraturan yang berlaku
Delapan komponen kerangka
Delapan komponen manajemen risiko perusahaan mencakup lima komponen
sebelumnya dari Kerangka Control-Integrated internal sementara memperluas model untuk
memenuhi permintaan untuk manajemen risiko:
1. Lingkungan internal
Lingkungan internal yang meliputi pada organisasi, dan menetapkan dasar untuk
bagaimana risiko dipandang dan ditangani oleh orang-orang entitas, termasuk filosofi
manajemen risiko, dan resiko, integritas dan nilai etika, dan lingkungan di mana mereka
beroperasi.

14. Dari rubik tersebut memiliki komponen :
• Empat kolom vertikal mewakili tujuan strategi dari resiko perusahaan.
• Delapan baris horizontal merupakan komponen risiko
• Tingkatan yang berbeda-beda untuk menggambarkan beberapa perusahaan. dari tingkat
"markas" entitas anak perusahaan masing-masing. Tergantung pada ukuran organisasi,
akan ada banyak irisan model di sini.
• Sumber daya manusia standar.
Penerapan COSO dalam komponen Lingkungan Internal di perusahaan saya di
terapkan pada perekrutan karyawan, pelatihan, kompensasi, mempromosikan,
mendisiplinkan, dan semua tindakan lainnya mengirim pesan mengenai apa yang disukai,
ditoleransi, dan dilarang. Kuat standar diperlukan untuk memastikan bahwa aturan sumber
daya manusia yang baik dikomunikasikan kepada semua stakeholder dan ditegakkan. The
COSO ERM menerbitkan bahan bimbingan berisi contoh-contoh yang diperlukan untuk
membangun komponen lingkungan internal yang efektif.
2. Pengaturan Tujuan
Tujuan harus ada sebelum manajemen dapat mengidentifikasi peristiwa potensial yang
mempengaruhi prestasi mereka. Manajemen risiko perusahaan memastikan bahwa
manajemen telah di tempat proses untuk menetapkan tujuan dan bahwa tujuan yang dipilih
mendukung dan selaras dengan misi entitas dan konsisten dengan selera risikonya.
Di bawah lingkungan internal dalam kerangka kerja COSO ERM, terdapat tujuan
pengaturan yang menguraikan kondisi penting untuk membantu manajemen menciptakan
proses efektif. Elemen ini mengatakan bahwa, di samping lingkungan internal yang efektif,
perusahaan harus menetapkan serangkaian tujuan strategis, yang selaras dengan misi dan
meliputi operasi, pelaporan, dan kegiatan kepatuhan. COSO ERM Sumber daya manusia
standar.
Intinya adalah bahwa perusahaan harus mendefinisikan risiko terkait strategi dan
tujuan. Berdasarkan hal tersebut, maka harus memutuskan keinginan dan toleransi untuk
risiko ini. Artinya, harus menentukan tingkat risiko yang bersedia diterima dan, diberikan
aturan toleransi risiko, seberapa jauh penyimpangan dari preestablished mengukur.
Hubungan dari komponen tujuan-setting COSO ERM, yaitu dimulai dengan misi

15. keseluruhan, Pendekatan adalah untuk (1) mengembangkan tujuan strategis untuk
mendukung pemenuhan itu misi, (2) membuat strategi untuk mencapai tujuan, (3)
mendefinisikan tujuan terkait, dan (4) menentukan selera risiko untuk menyelesaikan
strategi itu.
Penerapan Pengaturan Tujuan di perusahaan saya yaitu adanya target dan KPI. Sehigga
untuk setiap level karyawan mempunyai tujuan dan target yang harus di capai. Dimana
target tersebut bisa di ukur dengan baik. Sebagai contoh, vaksinator mempunyai target form
rekam medis harus di isi dan dinput pada program maks 1 hari kerja.
3. Identifikasi Peristiwa
Peristiwa internal dan eksternal yang mempengaruhi pencapaian tujuan entitas harus
diidentifikasi, membedakan antara risiko dan peluang. Peluang disalurkan kembali ke
strategi manajemen atau tujuan-pengaturan proses.
Peristiwa yang terjadi di perusahaan atau kejadian-eksternal atau eksternal-yang
mempengaruhi penerapan strategi ERM dan pencapaian tujuannya. Banyak perusahaan
yang saat ini memiliki alat pemantauan di tempat untuk memantau biaya, anggaran, jaminan
kualitas, kepatuhan, dan sejenisnya. Proses pemantauan harus mencakup:
a. Eksternal ekonomi kejadian. Berbagai peristiwa eksternal perlu dipantau untuk
membantu mencapai tujuan ERM suatu perusahaan. Baik jangka pendek dan jangka
panjang peristiwa dapat berdampak tujuan strategis suatu perusahaan.
b. Lingkungan kejadian alam. Apakah kebakaran, banjir, atau gempa bumi, banyak
peristiwa dapat menjadi insiden di identifikasi risiko ERM.
c. Kejadian politik. Undang-undang baru dan peraturan serta hasil pemilu dapat memiliki
signifikan risiko acara yang berhubungan dengan dampak pada perusahaan. Banyak
perusahaan besar memiliki fungsi urusan pemerintahan.
d. Faktor-faktor sosial. Sementara peristiwa eksternal seperti gempa bumi yang tiba-tiba.
sebagian besar faktor-faktor sosial secara perlahan berkembang peristiwa. Termasuk
perubahan demografi, adat-istiadat sosial, dan peristiwa lain yang mungkin berdampak
suatu perusahaan dan pelanggan dari waktu ke waktu.

16. e. Kejadian infrastruktur internal. Usaha sering membuat perubahan yang memicu risiko
lain yang berhubungan dengan kejadian.
f. Proses internal-peristiwa terkait. Mirip dengan perubahan dalam kegiatan infrastruktur,
perubahan dalam proses kunci dapat memicu berbagai peristiwa identifikasi risiko.
g. Eksternal dan internal teknologi kejadian. Setiap perusahaan menghadapi berbagai
macam peristiwa teknologi yang dapat memicu perlunya risiko formal identifikasi.
Suatu perusahaan perlu mendefinisikan dengan jelas dan signifikan risiko dan
kemudian memantau mereka untuk mengambil tindakan yang tepat diperlukan. Melihat
peristiwa internal dan eksternal potensi risiko dan memutuskan mana yang memerlukan
perhatian lebih lanjut.dapat menjadi proses yang sulit.
Penerapan di kantor saya yaitu adanya pelatihan kebakaran atau bencana yang lain,
terdapatnya tandap jalur evakuasi, terdapatnya alat pemadam kebakaran di berbagai titik.
4. Penilaian resiko
Resiko dianalisis, mengingat kemungkinan dan dampak, sebagai dasar untuk menentukan
bagaimana mereka harus dikelola. Resiko ditaksir pada melekat dan secara sisa.
Komponen penilaian risiko adalah inti kerangka itu. Penilaian risiko memungkinkan
suatu perusahaan untuk mempertimbangkan apa efek peristiwa risiko potensial terkait yang
mungkin memiliki pencapaian suatu perusahaan dari tujuannya. Risiko ini harus dinilai dari
dua perspektif: kecenderungan dari risiko yang terjadi dan dampak potensial.
a. Risiko bawaan. Risiko bawaan adalah "potensi limbah, kerugian, penggunaan yang
tidak sah, atau penyelewengan karena sifat dari suatu kegiatan itu sendiri. "Faktor-faktor
utama yang mempengaruhi risiko bawaan perusahaan adalah ukuran anggaran, kekuatan
dan kecanggihan manajemen, dan sifat kegiatannya.
b. Risiko residual. Ini adalah risiko yang tersisa setelah tanggapan manajemen atas risiko
ancaman dan penanggulangan yang sudah diterapkan. Ada hampir selalu ada beberapa
tingkat risiko residual.

17. Penerapan di perusahaan saya yaitu adanya prosedur pembuangan limbah medis. Dengan
adanya prosedur tersebut maka karyawan yang menjalankan tidak membahayakan diri
sendiri ataupun lingkungan.
5. Respon Risiko
Manajemen memilih respon risiko - menghindari, menerima, mengurangi, atau berbagi
risiko - mengembangkan serangkaian tindakan untuk menyelaraskan risiko dengan toleransi
risiko entitas dan resiko.
Setelah dinilai dan diidentifikasi risiko lebih signifikan, COSO ERM menyerukan
untuk diukur tanggapan terhadap berbagai risiko yang teridentifikasi. Tanggapan risiko ini
dapat ditangani dalam salah satu dari empat cara dasar ini:
a. Penghindaran. Ini adalah strategi berjalan menjauh dari risiko-seperti menjual sebuah
unit usaha yang menimbulkan risiko, keluar dari wilayah geografis berisiko, atau
menjatuhkan lini produk.
b. Pengurangan. Berbagai keputusan bisnis mungkin dapat mengurangi tertentu risiko.
Diversifikasi lini produk dapat mengurangi risiko terlalu kuat dari ketergantungan pada
sebuah satu lini produk kunci; operasi pemisahan IT menjadi dua lokasi geografis terpisah
akan mengurangi risiko beberapa bencana kegagalan.
c. Berbagi. Idenya adalah untuk memiliki pihak lain menerima beberapa potensi risiko
serta untuk berbagi dalam penghargaan yang dihasilkan.
d. Penerimaan. Ini adalah strategi tidak ada tindakan, seperti ketika suatu perusahaan diri
tertanggung dengan mengambil tindakan untuk mengurangi potensi risiko.
Manajemen harus mengembangkan strategi respon umum untuk setiap risiko dengan
menggunakan pendekatan yang dibangun di sekitar satu atau campuran strategi
penghindaran risiko tersebut. Dengan demikian, harus mempertimbangkan biaya dan
keuntungan dari setiap respon risiko potensial serta strategi yang terbaik sejalan dengan
selera risiko secara keseluruhan perusahaan.

18. Penerapan di perusahaan yaitu adanya kerjasama dengan distributor perihal pengiriman
vaksin. Misalkan coolbox bocor sehingg suhu standart tidak tercapai. Kerusakan pada
vaksin tersebut menjadi tanggung jawab distributor.
6. Pengendalian kegiatan
Kebijakan dan prosedur ditetapkan dan dilaksanakan untuk membantu memastikan
tanggapan risiko secara efektif dilaksanakan.
Kegiatan pengendalian ERM ini adalah kebijakan dan prosedur yang diperlukan untuk
memastikan tindakan pada respon risiko diidentifikasi. COSO ERM menyerukan untuk
pendekatan mengidentifikasi, mendokumentasikan, pengujian, dan kemudian memvalidasi
kontrol proteksi risiko ini. Setelah melalui identifikasi kejadian risiko ERM COSO, proses
penilaian, dan respon, risiko pemantauan memerlukan empat langkah berikut:
a) Mengembangkan pemahaman yang kuat tentang risiko secara signifikan dan
membangun prosedur kontrol untuk memantau atau memperbaikinya.
b) Buat prosedur jenis pengujian fire drill untuk menentukan Apakah kontrol
terkait prosedur risiko bekerja secara efektif.
c) Lakukan tes dari proses pemantauan risiko untuk menentukan Apakah bekerja
secara efektif dan seperti yang diharapkan.
d) Membuat penyesuaian atau perbaikan yang diperlukan untuk meningkatkan
risiko pemantauan proses.
Banyak kegiatan pengendalian intern di bawah kontrol COSO cukup mudah
untuk mengidentifikasi dan menguji karena sifat akuntansi mereka. Kegiatan
pengawasan ini umumnya termasuk daerah-daerah pengendalian internal:
a. Pembagian tugas
b. Jejak audit
c. Keamanan dan integritas
d. Dokumentasi
Meskipun tidak ada standar yang mengatur kegiatan pengendalian ERM saat ini,
dokumentasi ERM COSO menunjukkan beberapa daerah;
a. Tinjauan tingkat atas

19. b. Aktivitas dan fungsi manajemen langsung
c. Pemrosesan informasi
d. Pengendalian fisik
e. Indicator kinerja
f. Pemisahan tugas
Kegiatan pengendalian ini disorot dalam bahan bimbingan COSO ERM yang dapat
diperluas untuk mencakup bidang utama lainnya. Beberapa akan spesifik untuk masing-
masing unit dalam perusahaan, tetapi masing-masing dari mereka, secara tunggal dan
kolektif, harus komponen penting dari kerangka kerja ERM mendukung perusahaan.
Penerapan di perusahaan saya yaitu adanya SOP ( Standart Operational Procedure ) dan
adanya Audit Internal untuk memastikan SOP di jalankan setiap waktu.
7. Informasi dan komunikasi
Informasi yang relevan diidentifikasi, ditangkap, dan dikomunikasikan dalam kerangka
bentuk dan waktu yang memungkinkan orang untuk melaksanakan tanggung jawab
mereka. Komunikasi yang efektif juga terjadi dalam arti luas, mengalir ke bawah, di, dan
sampai entitas.
Informasi dan komunikasi satu set terpisah terkait risiko yang memproses dari alat dan
proses yang menghubungkan komponen COSO ERM lainnya. Informasi mengalir di
seluruh Komponen COSO ERM. Misalnya, komponen respon risiko menerima sisa dan
masukan risiko yang melekat dari penilaian risiko serta dukungan toleransi risiko dari
tujuan-pengaturan komponen. Tanggapan risiko ERM kemudian memberikan respon risiko
dan data portofolio risiko untuk mengontrol kegiatan serta umpan balik untuk penilaian
risiko. Sedangkan komponen pemantauan tidak memiliki informasi apapun langsung
koneksi namun memiliki tanggung jawab keseluruhan untuk meninjau semua fungsi ini.
8. Monitoring
Keseluruhan manajemen risiko perusahaan dimonitor dan modifikasi
seperlunya. Pemantauan dilakukan melalui aktivitas manajemen yang berkelanjutan,
evaluasi terpisah, atau keduanya.
Ditempatkan di dasar komponen kerangka model ERM, pemantauan ERM diperlukan
untuk menentukan bahwa semua komponen ERM yang terpasang bekerja secara efektif.

20. Dalam rangka membangun sebuah kerangka ERM yang efektif, pemantauan harus
mencakup tinjauan berkelanjutan dari proses ERM secara keseluruhan mulai dari tujuan
teridentifikasi untuk kemajuan kegiatan pengendalian ERM yang sedang berlangsung.
Dokumen Kerangka Aplikasi COSO ERM menunjukkan bahwa pemantauan bisa termasuk
jenis kegiatan:
a. Pelaksanaan mekanisme pelaporan manajemen yang sedang berlangsung seperti posisi
uang tunai, penjualan unit, dan data keuangan utama. Suatu perusahaan tidak harus
menunggu sampai akhir bulan fiskal untuk jenis laporan status, dan cepat-respon laporan
kilat harus dimulai.
b. Proses peringatan pelaporan terkait risiko periodik harus memantau aspek-aspek kunci
dari kriteria risiko yang ditetapkan, termasuk tingkat kesalahan diterima atau barang
yang diadakan dalam ketegangan. Pelaporan tersebut harus menekankan tren statistik
dan perbandingan baik dengan periode sebelumnya dan dengan sektor industri lainnya.
Penerapan di perusahaan saya yaitu adanya skor dari KPI yang tercapai serta ada
punishment dari KPI yang tidak tercapai. Sehingga management memonitor seluruh proses
dari KPI tersebut.
Berdasarkan implemantasi COSO dalam perusahaan saya bekerja suudah diterapkan
dan saya contohkan di atas, karena manajemen risiko merupakan salah satu elemen penting
dalam menjalankan bisnis perusahaan karena semakin berkembangnya dunia perusahaan
serta meningkatnya kompleksitas aktivitas perusahaan mengakibatkan meningkatnya
tingkat risiko yang dihadapi perusahaan. Sasaran utama dari implementasi manajemen
risiko adalah melindungi perusahaan terhadap kerugian yang mungkin timbul. Lembaga
perusahaan mengelola risiko dengan menyeimbangkan antara strategi bisnis dengan
pengelolaan risikonya sehingga perusahaan akan mendapatkan hasil optimal dari
operasionalnya.

21. Daftar Pustaka
1. Hapzi Ali, Modul Perkuliahan, Sistem Informasi & Pengendalin Internal “
Membandingkan Kerangka Pengendalian Internal : 1. COSO Internal Control
Integrated Framework 2. COSO Enterprise Risk Management 3. COBIT”.
2. Dedy Surya, dkk, Modul : Perbandingan COSO, COBIT, SARBANES OXLEY
ACT, BASEL II, DAN ISO 17799, 2009.
3. Amirhamzahms, Scrib : Control Objective for Information and related Technology
(COBIT), https://id.scribd.com/document/126568343/COBIT, diakses pada
tanggal 13 Mei 2017, 2013.
4. Hapzi Ali, Modul Perkuliahan, Sistem Informasi & Pengendalin Internal “
Membandingkan Kerangka Pengendalian Internal : 1. COSO Internal Control
Integrated Framework 2. COSO Enterprise Risk Management 3. COBIT”.
5. Auditor Internal, Mengenal Erm, http://auditorinternal.com/2010/02/15/mengenal-
erm/, 2010, Diakses pada tanggal 13 Mei 2016
6. COSO (The Committee of Sponsoring Organization) of the Treadway
Commission. 2004a. Enterprise Risk Management – Integrated Framework.
PDF Version. http://www.coso.org
7. COSO (The Committee of Sponsoring Organization) of the Treadway
Commission. 2004b. Enterprise Risk Management – Integrated Framework.
Application Techniques. PDF Version. http://www.coso.org
8. Internal Auditor. 2005. ERM: a Status Report. February 2005. The Institute of
Internal auditor. Florida.
9. Miimii Nugroho, COSO (Committee of Sponsoring Organizations of the
Treadway Commission), 2012, https://id.scribd.com/doc/88994694/COSO,
diakses pada tanggal 13 Mei 2017.
10. Charvin Kusuma, CRMS Indonesia : PERBANDINGAN COSO ERM-
INTEGRATED FRAMEWORK DENGAN ISO31000: 2009 RISK
MANAGEMENT – PRINCIPLES AND GUIDELINES,
http://crmsindonesia.org/knowledge/crms-articles/perbandingan-coso-erm-
integrated-framework-dengan-iso31000-2009-risk-managem, diakses pada
tanggal 13 Mei 2017
11. Khristina Damayanti, Konsep Dasar Pengendalian Internal
https://www.academia.edu/32889116/SI-
PI_Khristina_Damayanti_Hapzi_Ali_Konsep_Dasar_Pengendalian_Internal_U
niversitas_Mercu_Buana_2017_.pdf, 2017
12. Khristina Damayanti, Kosep Dasar Pengendalian Internal,
https://medium.com/@khristdamay/gquestion-a6bcb988113, 2017