SISTEM INFORMASI DAN PENGENDALIAN INTERNAL TENTANG

MEMBANDINGKAN KERANGKA PENGENDALIAN INTERNAL: 1.COSO INTERNAL CONTROL INTEGRATED FRAMEWORK; 2. COSO ENTERPRISE RISK

MANAGEMENT; DAN 3. COBIT

DOSEN :

PROF. DR. IR. HAPZI ALI, MM, CMA DIBUAT OLEH :

KHRISTINA DAMAYANTI (55516120065)

MAGISTER AKUNTANSI PROGRAM PASCASARJANA (S2)

Control Objective for Information and related Technology (COBIT) adalah suatu panduan standar praktik manajemen Information Technolgy (IT). Standar COBIT dikeluarkan oleh IT Governance Institute yang merupakan bagian dari Information Systems Audit and Control Association (ISACA). COBIT 4.1 merupakan versi terbaru.

Penerapan IT (Informasi Teknologi) pada perusahaan tentunya sudah menjadi hal yang sudah menjadi hal yang sangat umum. Penggunaan IT pada perusahaan tentunya membawa banyak manfaat bagi perusahaan, contohnya seperti: meningkatkan performa bisnis, meningkatkan ROI, meminimalisasi biaya dan waktu pemasaran, dan meminimalisasi resiko dalam bisnis yang dinamis. Namun penerapan IT pada perusahaan yang bertujuan untuk meningkatkan profit dari perusahaan bisa dapat berdampak sebaliknya bila Tata Kelola IT tersebut buruk. Untuk itulah dibutuhkan IT Governance dimana penggunaan dan penerapan IT pada perusahaan dapat bekerja secara optimal. IT Governance sendiri mempunyai banyak Tools (Alat) dan salah-satunya adalah COBIT (CONTROL OBJECTIVES FOR INFORMATION AND RELATED TECHNOLOGY) framework. Dengan adanya COBIT framework ini perusahaan dapat memanfaatkan IT dengan optimal dan sesuai dengan hasil yang diharapkan. COBIT juga diharapkan mendukung kebutuhan manajemen dalam menentukan dan monitoring tingkatan yang sesuai dengan keamanan dan kendali organisasi mereka. Dengan begitu perusahaan akan merasa bahwa investasi IT-nya membawa keuntungan maksimal bagi proses bisnis mereka.

COBIT dikembangkan oleh IT Governance Institute, yang merupakan bagian dari Information Systems Audit and Control Association (ISACA). COBIT memberikan arahan ( guidelines ) yang berorientasi pada bisnis, dan karena itu business process owners dan manajer, termasuk juga auditor dan user, diharapkan dapat memanfaatkan guideline ini dengan sebaik-baiknya.

Cobit adalah merupakan a set of best practies (framework) bagi pengelolaan teknologi informasi (IT management). Cobit disusun oleh oleh IT Governace Institute (ITGI) dan Infomation Systems Audit and Control Association (ISACA), tepatnya Information Systems Audit and ControFoundation’s(ISACF) pada tahun 1992. edisi pertamanya dipublikasikan pada tahun 1996, edisi kedua pada tahun 1998, edisi ketiga tahun 2000 (versi on-line dikeluarkan tahun 2003) dan saat ini adalah edisi keempat pada desember 2005.

konsensus antar para ahli di seluruh dunia. COBIT dapat digunakan sebagai IT Governance tools, dan juga membantu perusahaan mengoptimalkan investasi TI mereka. Hal penting lainnya, COBIT dapat juga dijadikan sebagai acuan atau referensi apabila terjadi suatu kesimpang-siuran dalam penerapan teknologi. Suatu perencanaan Audit Sistem Informasi berbasis teknologi (audit TI) oleh Internal Auditor, dapat dimulai dengan menentukan area-area yang relevan dan berisiko paling tinggi, melalui analisa atas ke-34 proses tersebut. Sementara untuk kebutuhan penugasan tertentu, misalnya audit atas proyek TI, dapat dimulai dengan memilih proses yang relevan dari proses-proses tersebut.

COBIT bermanfaat bagi auditor karena merupakan teknik yang dapat membantu dalam identifikasi IT controls issues. COBIT berguna bagi para IT user karena memperoleh keyakinan atas kehandalan system aplikasi yang dipergunakan. Sedangfkan para manager memperoleh manfaat dalam keputusan investasi di bidang IT serta Infrastruktur nya, menyusun strategic IT Plan, menentukan Information Architecture, dan keputusan atas procurement (pengadaan/pembelian) mesin.

Lebih lanjut, auditor dapat menggunakan Audit Guidelines sebagai tambahan materi untuk merancang prosedur audit. Singkatnya, COBIT khususnya guidelines dapat dimodifikasi dengan mudah, sesuai dengan industri, kondisi TI di Perusahaan atau organisasi Anda, atau objek khusus di lingkungan TI. Selain dapat digunakan oleh Auditor, COBIT dapat juga digunakan oleh manajemen sebagai jembatan antara risiko-risiko TI dengan pengendalian yang dibutuhkan (IT risk management) dan juga referensi utama yang sangat membantu dalam penerapan IT Governance di perusahaan.

COBIT dapat dipakai sebagai alat yang komprehensif untuk menciptakan IT Governance pada suatu perusahaan. COBIT mempertemukan dan menjembatani kebutuhan manajemen dari celah atau gap antara resiko bisnis, kebutuhan kontrol dan masalah-masalah teknis IT, serta menyediakan referensi best business practices yang mencakup keseluruhan IT dan kaitannya dengan proses bisnis perusahaan dan memaparkannya dalam struktur aktifitas-aktifitas logis yang dapat dikelola serta dikendalikan secara sfektif.

pemenuhan kebutuhan bisnis terhadap: efektivitas, efisiensi, kerahasian, keterpaduan, ketersediaan, kepatuhan pada kebijakan atau aturan dan keandalan informasi.

Pihak yang Berkepentingan (Stakeholder) dalam COBIT untuk pengendalian internal.

Berdasarkan penjelasan di atas COBIT merupakan standar manajmen tekhnologi informasi sehingga dengan adanya manajemen yang baik pengendalian internal dapat ditangani dengan baik, berikut ini pihak yang berkepentingan dalam COBIT untuk pengendalian Internal. Manajemen harus memutuskan apa yang harus diinvestasikan untuk pengendalian dan keamanan IT dan bagaimana cara menyeimbangkan risiko dan mengendalikan dalam lingkungan IT yang tidak bisa diramalkan. Pengendalian dan pengamanan sistem informasi dapat membantu mengelola risiko tetapi tidak dapat menghapuskan risiko sama sekali. Tingkat risiko tidak pernah dapat diketahui secara tepat karena selalu ada ketidakpastian.

Para pemakai jasa IT ingin memperoleh keyakinan akan adanya pengendalian dan pengamanan yang cukup, melalui akreditasi dan audit jasa IT yang disediakan oleh pihak internal maupun oleh pihak ketiga.

Untuk meningkatkan kualitas opini audit dan menyediakan usulan perbaikan pengendalian intern kepada manajemen. Auditor menggunakan kerangka COBIT dalam melakukan audit yaitu dengan cara:

a. _{membentuk dasar dan standar pengendalian}

b. _{memfasilitasi dan membuat matriks kinerja untuk penilaian risiko} c. _{mengembangkan rencana audit}

d. _{memfasilitasi audit} e. _{mengelola risiko residual}

f. _{memberikan saran pengendalian dan rekomendasi kepada manajemen}

Domain merupakan pengelompokkan secara alami dari proses IT, dan sering sesuai dengan domain tanggung jawab perusahaan. Dalam suatu organisasi, COBIT menggambarkan empat domain khusus:

a. Perencanaan dan Organisasi (Plan and Organise)

untuk berbagai perspektif yang berbeda. Terakhir, sebuah pengorganisasian yang baik serta infrastruktur teknologi harus di tempatkan di tempat yang semestinya.

Langkah-langkah:

ü Menetapkan rencana stratejik TI ü Menetapkan susunan informasi ü Menetapkan kebijakan teknologi

ü Menetapkan hubungan dan organisasi TI ü Mengelola investasi IT

ü Mengkomunikasikan arah dan tujuan manajemen ü Mengelola sumberdaya manusia

ü Memastikan pemenuhan keperluan pihak eksternal ü Menaksir risiko

ü Mengelola proyek ü Mengelola kualitas

b. Pengadaan dan Implementasi (Acquire dan implement)

Untuk merealisasikan strategi IT, solusi TI perlu diidentifikasi, dikembangkan atau diperoleh, serta diimplementasikan, dan terintegrasi ke dalam proses bisnis. Selain itu, perubahan serta pemeliharaan sistem yang ada harus di cakup dalam domain ini untuk memastikan bahwa siklus hidup akan terus berlangsung untuk sistem-sistem ini.

Langkah-langkah :

ü Mengidentifikasi solusi terotomatisasi

ü Mendapatkan dan memelihara software aplikasi ü Mendapatkan dan memelihara infrastruktur teknologi ü Mengembangkan dan memelihara prosedur

ü Memasang dan mengakui sistem ü Mengelola perubahan

c. Pengantara dan Dukungan (Delivery and Support)

sistem IT tersebut dengan efektif dan efisien. Proses dukungan ini termasuk isu/masalah keamanan dan juga pelatihan.

Langkah-langkah :

ü Menetapkan dan mengelola tingkat pelayanan ü Mengelola pelayanan kepada pihak lain ü Mengelola kinerja dan kapasitas

ü Memastikan pelayanan yang kontinyu ü Memastikan keamanan sistem

ü Melakukan identifikasi terhadap atribut biaya ü Memberi pelatihan kepada user

ü Melayani konsumen IT

ü Mengelola konfigurasi/susunan ü Mengelola masalah dan kecelakaan ü Mengelola data

ü Mengelola fasilitas ü Mengelola operasi

d. Pengawasan dan Evaluasi (Monitor and Evaluate)

Semua proses IT perlu dinilai secara teratur sepanjang waktu untuk menjaga kualitas dan pemenuhan atas syarat pengendalian. Domain ini menunjuk pada perlunya pengawasan manajemen atas proses pengendalian dalam organisasi serta penilaian independen yang dilakukan baik auditor internal maupun eksternal atau diperoleh dari sumber-sumber anternatif lainnya.

Langkah-langkah: ü Memonitor proses

ü Menaksir kecukupan pengendalian internal ü Mendapatkan kepastian yang independen

COBIT IT Processes Defined Withen The Four Domain

COSO Enterprise Risk Management (COSO ERM) adalah kerangka Kerja Manajemen Risiko Korporasi (MRK) yang diterbitkan oleh Committee of Sponsoring Organizations of the Treadway Commission (COSO) Amerika Serikat.

MRK terdiri atas delapan komponen yang saling terkait sebagai berikut.

1. internal environment 2. objective setting 3. event identification 4. risk assessment 5. risk respons 6. control activities

7. information and communication 8. monitoring

Definisi Enterprise Risk Management

Menurut COSO dalam Simbolon (2010), definisi Enterprise Risk Management adalah sebagai berikut:

“Enterprise Risk Management is a process, effected by an entity’s board of directors,

mangement and other personnel, applied is strategy setting and across the enterprise,

designed to identify potential events that may affect the entity, and manage risk to be

within its risk appetite, to provide reasonable assurance regarding the achievement of

entity objectives.”

Atas dasar definisi tersebut, kita dapat mensintesiskan Enterprise Risk Management ke dalam beberapa konsep yang fundamental, antara lain meliputi:

• Suatu proses, yang berjalan dan mengalir di dalam suatu entitas atau organisasi.. • Diperngaruhi oleh individu pada semua tingkatan manajerial di dalam organisasi. • Dapat dipergunakan untuk kepentingan formulasi strategi.

• Dapat diaplikasikan pada semua tingaktan manajerial, unit bsinis, termasuk penentuan portofolio risiko.

• Mampu memberikan jaminan yang rasional bagi manajemen dan diwan direksi suatu entitas.

• Diarahkan untuk mewujudkan tujuan yang terpisah akan tetapi dalam kategori yang tumpang tindih.

Jadi kalau dikaji, definisi yang dikemukakan oleh COSO memberikan makna yang cukup luas. Memiliki kemampuan untuk mengakomodir konsep fundamental inti mengenai bagaimana perusahaan dan organisasi lainnya mengelola risiko, menyediakan dasar implementasi untuk berbagai organisasi, industri dan sektor. Selanjutnya, definisi tersebut juga memfokuskan upaya untuk mewujudkan tujuan yang telah ditetapkan dan memberikan landasan fundamental untuk menetapkan efektivitas enterprise risk management.

Dasar-dasar Manajemen Risiko

Setiap perusahaan ada untuk memberikan nilai bagi para pemangku kepentingannya, tetapi nilai yang dapat terkikis melalui kejadian tak terduga di semua tingkat perusahaan dan dalam semua kegiatan, mulai dari operasi rutin untuk strategi pengaturan serta untuk lainya. Sebuah proses manajemen risiko yang efektif memerlukan empat langkah: (1) Identifikasi risiko, (2) Kuantitatif atau kualitatif penilaian risiko terdokumentasi, (3) Prioritas resiko dan respon perencanaan, dan (4) Pemantauan risiko. empat langkah proses manajemen risiko Ini harus dilaksanakan di semua tingkat perusahaan dan dengan partisipasi banyak orang yang berbeda.

1. Mengidentifikasi resiko

Proses ini meliputi identifikasi resiko yang mungkin terjadi dalam suatu aktivitas usaha. Identifikasi resiko secara akurat dan kompleks sangatlah vital dalam manajemen resiko. Salah satu aspek penting dalam identifikasi resiko adalah mendaftar resiko yang mungkin terjadi sebanyak mungkin. Teknik-teknik yang dapat digunakan dalam identifikasi resiko antara lain:

a. Brainstorming b. Survey

Setelah melakukan identifikasi resiko, maka tahap berikutnya adalah pengukuran resiko dengan cara melihat seberapa besar potensi terjadinya kerusakan (severity) dan probabilitas terjadinya resiko tersebut. Penentuan probabilitas terjadinya suatu event sangatlah subjektif dan lebih berdasarkan nalar dan pengalaman. Beberapa resiko memang mudah untuk diukur, namun sangatlah sulit untuk memastikan probabilitas suatu kejadian yang sangat jarang terjadi. Sehingga, pada tahap ini sangatlah penting untuk menentukan dugaan yang terbaik supaya nantinya kita dapat memprioritaskan dengan baik dalam implementasi perencanaan manajemen resiko.

Kesulitan dalam pengukuran resiko adalah menentukan kemungkinan terjadi suatu resiko karena informasi statistik tidak selalu tersedia untuk beberapa resiko tertentu. Selain itu, mengevaluasi dampak kerusakan (severity) sering kali cukup sulit untuk asset immaterial.

3. Monitoring resiko dan evaluasi

Mengidentifikasi, menganalisa dan merencanakan suatu resiko merupakan bagian penting dalam perencanaan suatu proyek. Namun, manajemen resiko tidaklah berhenti sampai di sini saja. Praktek, pengalaman, dan terjadinya kerugian akan membutuhkan suatu perubahan dalam rencana dan keputusan mengenai penanganan suatu resiko. Sangatlah penting untuk selalu memonitor proses dari awal mulai dari identifikasi resiko dan pengukuran resiko Apakah keefektifan respon yang telah dipilih dan untuk mengidentifikasi adanya resiko yang baru maupun berubah. Sehingga, ketika suatu resiko terjadi maka respon yang dipilih akan sesuai dan diimplementasikan secara efektif.

Enterprise Risk Management – Intergrated Framework

The Internal Control - Integrated Framework tetap menjadi standar luas diterima untuk memenuhi persyaratan pelaporan. Namun, pada tahun 2004 diterbitkan COSO Enterprise Risk Management – Integrated Framework. COSO percaya kerangka ini memperluas pengendalian intern, menyediakan lebih kuat dan luas fokus pada subjek yang lebih luas dari manajemen risiko perusahaan.

Kerangka kerja sekarang termasuk empat kategori:

• Strategis: tingkat tinggi tujuan, sejalan dengan dan mendukung misinya

• Operasi: penggunaan efektif dan efisien dari sumber daya

• Pelaporan: keandalan pelaporan

• Kepatuhan: kepatuhan terhadap hukum dan peraturan yang berlaku

Delapan komponen kerangka

Delapan komponen manajemen risiko perusahaan mencakup lima komponen sebelumnya dari Kerangka Control-Integrated internal sementara memperluas model untuk memenuhi permintaan untuk manajemen risiko:

1. Lingkungan internal

Dari rubik tersebut memiliki komponen :

• Empat kolom vertikal mewakili tujuan strategi dari resiko perusahaan.

• Delapan baris horizontal merupakan komponen risiko

• Tingkatan yang berbeda-beda untuk menggambarkan beberapa perusahaan. dari tingkat "markas" entitas anak perusahaan masing-masing. Tergantung pada ukuran organisasi, akan ada banyak irisan model di sini.

• Sumber daya manusia standar.

Penerapan COSO dalam komponen Lingkungan Internal di perusahaan saya di terapkan pada perekrutan karyawan, pelatihan, kompensasi, mempromosikan, mendisiplinkan, dan semua tindakan lainnya mengirim pesan mengenai apa yang disukai, ditoleransi, dan dilarang. Kuat standar diperlukan untuk memastikan bahwa aturan sumber daya manusia yang baik dikomunikasikan kepada semua stakeholder dan ditegakkan. The COSO ERM menerbitkan bahan bimbingan berisi contoh-contoh yang diperlukan untuk membangun komponen lingkungan internal yang efektif.

2. Pengaturan Tujuan

Tujuan harus ada sebelum manajemen dapat mengidentifikasi peristiwa potensial yang mempengaruhi prestasi mereka. Manajemen risiko perusahaan memastikan bahwa manajemen telah di tempat proses untuk menetapkan tujuan dan bahwa tujuan yang dipilih mendukung dan selaras dengan misi entitas dan konsisten dengan selera risikonya.

Di bawah lingkungan internal dalam kerangka kerja COSO ERM, terdapat tujuan pengaturan yang menguraikan kondisi penting untuk membantu manajemen menciptakan proses efektif. Elemen ini mengatakan bahwa, di samping lingkungan internal yang efektif, perusahaan harus menetapkan serangkaian tujuan strategis, yang selaras dengan misi dan meliputi operasi, pelaporan, dan kegiatan kepatuhan. COSO ERM Sumber daya manusia standar.

keseluruhan, Pendekatan adalah untuk (1) mengembangkan tujuan strategis untuk mendukung pemenuhan itu misi, (2) membuat strategi untuk mencapai tujuan, (3) mendefinisikan tujuan terkait, dan (4) menentukan selera risiko untuk menyelesaikan strategi itu.

Penerapan Pengaturan Tujuan di perusahaan saya yaitu adanya target dan KPI. Sehigga untuk setiap level karyawan mempunyai tujuan dan target yang harus di capai. Dimana target tersebut bisa di ukur dengan baik. Sebagai contoh, vaksinator mempunyai target form rekam medis harus di isi dan dinput pada program maks 1 hari kerja.

3. Identifikasi Peristiwa

Peristiwa internal dan eksternal yang mempengaruhi pencapaian tujuan entitas harus diidentifikasi, membedakan antara risiko dan peluang. Peluang disalurkan kembali ke strategi manajemen atau tujuan-pengaturan proses.

Peristiwa yang terjadi di perusahaan atau kejadian-eksternal atau eksternal-yang mempengaruhi penerapan strategi ERM dan pencapaian tujuannya. Banyak perusahaan yang saat ini memiliki alat pemantauan di tempat untuk memantau biaya, anggaran, jaminan kualitas, kepatuhan, dan sejenisnya. Proses pemantauan harus mencakup:

a. Eksternal ekonomi kejadian. Berbagai peristiwa eksternal perlu dipantau untuk membantu mencapai tujuan ERM suatu perusahaan. Baik jangka pendek dan jangka panjang peristiwa dapat berdampak tujuan strategis suatu perusahaan.

b. Lingkungan kejadian alam. Apakah kebakaran, banjir, atau gempa bumi, banyak peristiwa dapat menjadi insiden di identifikasi risiko ERM.

c. Kejadian politik. Undang-undang baru dan peraturan serta hasil pemilu dapat memiliki signifikan risiko acara yang berhubungan dengan dampak pada perusahaan. Banyak perusahaan besar memiliki fungsi urusan pemerintahan.

e. Kejadian infrastruktur internal. Usaha sering membuat perubahan yang memicu risiko lain yang berhubungan dengan kejadian.

f. Proses internal-peristiwa terkait. Mirip dengan perubahan dalam kegiatan infrastruktur, perubahan dalam proses kunci dapat memicu berbagai peristiwa identifikasi risiko. g. Eksternal dan internal teknologi kejadian. Setiap perusahaan menghadapi berbagai

macam peristiwa teknologi yang dapat memicu perlunya risiko formal identifikasi. Suatu perusahaan perlu mendefinisikan dengan jelas dan signifikan risiko dan kemudian memantau mereka untuk mengambil tindakan yang tepat diperlukan. Melihat peristiwa internal dan eksternal potensi risiko dan memutuskan mana yang memerlukan perhatian lebih lanjut.dapat menjadi proses yang sulit.

Penerapan di kantor saya yaitu adanya pelatihan kebakaran atau bencana yang lain, terdapatnya tandap jalur evakuasi, terdapatnya alat pemadam kebakaran di berbagai titik. 4. Penilaian resiko

Resiko dianalisis, mengingat kemungkinan dan dampak, sebagai dasar untuk menentukan bagaimana mereka harus dikelola. Resiko ditaksir pada melekat dan secara sisa.

Komponen penilaian risiko adalah inti kerangka itu. Penilaian risiko memungkinkan suatu perusahaan untuk mempertimbangkan apa efek peristiwa risiko potensial terkait yang mungkin memiliki pencapaian suatu perusahaan dari tujuannya. Risiko ini harus dinilai dari dua perspektif: kecenderungan dari risiko yang terjadi dan dampak potensial.

a. Risiko bawaan. Risiko bawaan adalah "potensi limbah, kerugian, penggunaan yang tidak sah, atau penyelewengan karena sifat dari suatu kegiatan itu sendiri. "Faktor-faktor utama yang mempengaruhi risiko bawaan perusahaan adalah ukuran anggaran, kekuatan dan kecanggihan manajemen, dan sifat kegiatannya.

Penerapan di perusahaan saya yaitu adanya prosedur pembuangan limbah medis. Dengan adanya prosedur tersebut maka karyawan yang menjalankan tidak membahayakan diri sendiri ataupun lingkungan.

5. Respon Risiko

Manajemen memilih respon risiko - menghindari, menerima, mengurangi, atau berbagi risiko - mengembangkan serangkaian tindakan untuk menyelaraskan risiko dengan toleransi risiko entitas dan resiko.

Setelah dinilai dan diidentifikasi risiko lebih signifikan, COSO ERM menyerukan untuk diukur tanggapan terhadap berbagai risiko yang teridentifikasi. Tanggapan risiko ini dapat ditangani dalam salah satu dari empat cara dasar ini:

a. Penghindaran. Ini adalah strategi berjalan menjauh dari risiko-seperti menjual sebuah unit usaha yang menimbulkan risiko, keluar dari wilayah geografis berisiko, atau menjatuhkan lini produk.

b. Pengurangan. Berbagai keputusan bisnis mungkin dapat mengurangi tertentu risiko. Diversifikasi lini produk dapat mengurangi risiko terlalu kuat dari ketergantungan pada sebuah satu lini produk kunci; operasi pemisahan IT menjadi dua lokasi geografis terpisah akan mengurangi risiko beberapa bencana kegagalan.

c. Berbagi. Idenya adalah untuk memiliki pihak lain menerima beberapa potensi risiko serta untuk berbagi dalam penghargaan yang dihasilkan.

d. Penerimaan. Ini adalah strategi tidak ada tindakan, seperti ketika suatu perusahaan diri tertanggung dengan mengambil tindakan untuk mengurangi potensi risiko.

Penerapan di perusahaan yaitu adanya kerjasama dengan distributor perihal pengiriman vaksin. Misalkan coolbox bocor sehingg suhu standart tidak tercapai. Kerusakan pada vaksin tersebut menjadi tanggung jawab distributor.

6. Pengendalian kegiatan

Kebijakan dan prosedur ditetapkan dan dilaksanakan untuk membantu memastikan tanggapan risiko secara efektif dilaksanakan.

Kegiatan pengendalian ERM ini adalah kebijakan dan prosedur yang diperlukan untuk memastikan tindakan pada respon risiko diidentifikasi. COSO ERM menyerukan untuk pendekatan mengidentifikasi, mendokumentasikan, pengujian, dan kemudian memvalidasi kontrol proteksi risiko ini. Setelah melalui identifikasi kejadian risiko ERM COSO, proses penilaian, dan respon, risiko pemantauan memerlukan empat langkah berikut:

a) Mengembangkan pemahaman yang kuat tentang risiko secara signifikan dan membangun prosedur kontrol untuk memantau atau memperbaikinya.

b) Buat prosedur jenis pengujian fire drill untuk menentukan Apakah kontrol terkait prosedur risiko bekerja secara efektif.

c) Lakukan tes dari proses pemantauan risiko untuk menentukan Apakah bekerja secara efektif dan seperti yang diharapkan.

d) Membuat penyesuaian atau perbaikan yang diperlukan untuk meningkatkan risiko pemantauan proses.

Banyak kegiatan pengendalian intern di bawah kontrol COSO cukup mudah untuk mengidentifikasi dan menguji karena sifat akuntansi mereka. Kegiatan pengawasan ini umumnya termasuk daerah-daerah pengendalian internal:

a. Pembagian tugas b. Jejak audit

c. Keamanan dan integritas d. Dokumentasi

Meskipun tidak ada standar yang mengatur kegiatan pengendalian ERM saat ini, dokumentasi ERM COSO menunjukkan beberapa daerah;

b. Aktivitas dan fungsi manajemen langsung c. Pemrosesan informasi

d. Pengendalian fisik e. Indicator kinerja f. Pemisahan tugas

Kegiatan pengendalian ini disorot dalam bahan bimbingan COSO ERM yang dapat diperluas untuk mencakup bidang utama lainnya. Beberapa akan spesifik untuk masing-masing unit dalam perusahaan, tetapi masing-masing-masing-masing dari mereka, secara tunggal dan kolektif, harus komponen penting dari kerangka kerja ERM mendukung perusahaan. Penerapan di perusahaan saya yaitu adanya SOP ( Standart Operational Procedure ) dan adanya Audit Internal untuk memastikan SOP di jalankan setiap waktu.

7. Informasi dan komunikasi

Informasi yang relevan diidentifikasi, ditangkap, dan dikomunikasikan dalam kerangka bentuk dan waktu yang memungkinkan orang untuk melaksanakan tanggung jawab mereka. Komunikasi yang efektif juga terjadi dalam arti luas, mengalir ke bawah, di, dan sampai entitas.

Informasi dan komunikasi satu set terpisah terkait risiko yang memproses dari alat dan proses yang menghubungkan komponen COSO ERM lainnya. Informasi mengalir di seluruh Komponen COSO ERM. Misalnya, komponen respon risiko menerima sisa dan masukan risiko yang melekat dari penilaian risiko serta dukungan toleransi risiko dari tujuan-pengaturan komponen. Tanggapan risiko ERM kemudian memberikan respon risiko dan data portofolio risiko untuk mengontrol kegiatan serta umpan balik untuk penilaian risiko. Sedangkan komponen pemantauan tidak memiliki informasi apapun langsung koneksi namun memiliki tanggung jawab keseluruhan untuk meninjau semua fungsi ini. 8. Monitoring

Keseluruhan manajemen risiko perusahaan dimonitor dan modifikasi seperlunya. Pemantauan dilakukan melalui aktivitas manajemen yang berkelanjutan, evaluasi terpisah, atau keduanya.

Dalam rangka membangun sebuah kerangka ERM yang efektif, pemantauan harus mencakup tinjauan berkelanjutan dari proses ERM secara keseluruhan mulai dari tujuan teridentifikasi untuk kemajuan kegiatan pengendalian ERM yang sedang berlangsung. Dokumen Kerangka Aplikasi COSO ERM menunjukkan bahwa pemantauan bisa termasuk jenis kegiatan:

a. Pelaksanaan mekanisme pelaporan manajemen yang sedang berlangsung seperti posisi uang tunai, penjualan unit, dan data keuangan utama. Suatu perusahaan tidak harus menunggu sampai akhir bulan fiskal untuk jenis laporan status, dan cepat-respon laporan kilat harus dimulai.

b. Proses peringatan pelaporan terkait risiko periodik harus memantau aspek-aspek kunci dari kriteria risiko yang ditetapkan, termasuk tingkat kesalahan diterima atau barang yang diadakan dalam ketegangan. Pelaporan tersebut harus menekankan tren statistik dan perbandingan baik dengan periode sebelumnya dan dengan sektor industri lainnya. Penerapan di perusahaan saya yaitu adanya skor dari KPI yang tercapai serta ada punishment dari KPI yang tidak tercapai. Sehingga management memonitor seluruh proses dari KPI tersebut.

Daftar Pustaka

1. Hapzi Ali, Modul Perkuliahan, Sistem Informasi & Pengendalin Internal “ Membandingkan Kerangka Pengendalian Internal : 1. COSO Internal Control Integrated Framework 2. COSO Enterprise Risk Management 3. COBIT”.

2. Dedy Surya, dkk, Modul : Perbandingan COSO, COBIT, SARBANES OXLEY ACT, BASEL II, DAN ISO 17799, 2009.

3. Amirhamzahms, Scrib : Control Objective for Information and related Technology (COBIT), https://id.scribd.com/document/126568343/COBIT, diakses pada tanggal 13 Mei 2017, 2013.

4. Hapzi Ali, Modul Perkuliahan, Sistem Informasi & Pengendalin Internal “ Membandingkan Kerangka Pengendalian Internal : 1. COSO Internal Control Integrated Framework 2. COSO Enterprise Risk Management 3. COBIT”.

5. Auditor Internal, Mengenal Erm, http://auditorinternal.com/2010/02/15/mengenal-erm/, 2010, Diakses pada tanggal 13 Mei 2016

6. COSO (The Committee of Sponsoring Organization) of the Treadway Commission. 2004a. Enterprise Risk Management – Integrated Framework. PDF Version. http://www.coso.org

7. COSO (The Committee of Sponsoring Organization) of the Treadway Commission. 2004b. Enterprise Risk Management – Integrated Framework. Application Techniques. PDF Version. http://www.coso.org

8. Internal Auditor. 2005. ERM: a Status Report. February 2005. The Institute of Internal auditor. Florida.

9. Miimii Nugroho, COSO (Committee of Sponsoring Organizations of the Treadway Commission), 2012, https://id.scribd.com/doc/88994694/COSO, diakses pada tanggal 13 Mei 2017.

10.Charvin Kusuma, CRMS Indonesia : PERBANDINGAN COSO ERM-INTEGRATED FRAMEWORK DENGAN ISO31000: 2009 RISK

MANAGEMENT – PRINCIPLES AND GUIDELINES,

http://crmsindonesia.org/knowledge/crms-articles/perbandingan-coso-erm-integrated-framework-dengan-iso31000-2009-risk-managem, diakses pada tanggal 13 Mei 2017

11.Khristina Damayanti, Konsep Dasar Pengendalian Internal

https://www.academia.edu/32889116/SI-PI_Khristina_Damayanti_Hapzi_Ali_Konsep_Dasar_Pengendalian_Internal_U niversitas_Mercu_Buana_2017_.pdf, 2017