COSO ERM – Integrated Framework, yang
mendefinisikan manajemen risiko sebagai:
“Proses yang dipengaruhi oleh Board of Directors,
manajemen, dan personil lain dalam entitas, diaplikasikan pada pembentukan
strategi dan pada seluruh bagian perusahaan, dirancang untuk mengidentifikasi
kejadian potensial yang dapat mempengaruhi entitas, dan mengelola risiko
selaras dengan risk appetite entitas, untuk menyediakan jaminan yang
wajar terhadap pencapaian sasaran dari entitas.”
Dalam kerangka manajemen risikonya, COSO ERM menuntut
perusahaan untuk dapat menentukan terlebih dahulu sasaran perusahaannya, yang
terdiri dari empat kategori yaitu:
1.
Strategis :
sasaran yang mendukung dan selaras dengan misi perusahaan.
2. Operasi : efektivitas dan efisiensi dari
penggunaan sumber daya perusahaan.
3. Pelaporan : keterpercayaan dari pelaporan.
4.
Pemenuhan :
pemenuhan terhadap hukum dan regulasi yang berlaku.
Dalam COSO ERM, manajemen risiko
terdiri dari delapan komponen yang saling terkait, yaitu :
1.
Internal environment
Mengidentifikasi kondisi internal perusahaan, meliputi
kekuatan dan kelemahannya, serta pandangan entitas terhadap risiko dan
manajemen risiko.
2. Objective
setting
Sasaran kegiatan manajemen risiko
harus sejalan dengan sasaran dari perusahaan, serta konsisten dengan risk
appetite perusahaan.
3. Event
identification
Kejadian internal dan eksternal yang dapat
mempengaruhi pencapaian sasaran perusahaan harus diidentifikasi, meliputi
risiko dengan kesempatan yang dapat muncul.
4. Risk
assessment
Risiko dianalisis berdasarkan kemungkinan dan
dampaknya. Hasil analisis risiko akan dijadikan dasar untuk menentukan
perlakuan risiko.
5. Risk
respons
Terdapat empat alternatif pada perlakuan risiko, yaitu
menghindari (avoidance), menerima (acceptance), mengurangi
(reduction), dan membagi risiko (sharing). Pemilihan perlakuan risiko
dilakukan dengan membandingkan hasil analisis risiko dengan risk appetite
dan risk tolerance.
6. Control
activities
Membangun dan mengimplementasikan kebijakan dan
prosedur untuk memastikan perlakuan risiko diterapkan dengan efektif.
7.
Information and communication
Informasi yang relevan diidentifikasi, diperoleh, dan
dikomunikasikan dalam bentuk dan waktu yang tepat agar personil dapat melakukan
tanggung jawabnya dengan baik.
8. Monitoring
Seluruh kegiatan ERM harus dipantau,
dievaluasi dan dikembangkan.
Berikut
adalah ilustrasi keterkaitan sasaran, komponen ERM, dan unit kerja perusahaan :
COSO ERM – Integrated Framework juga
mendeskripsikan peran dan tanggung jawab dari unit-unit kerja perusahaan dalam
penerapan manajemen risiko. Satu prinsip dasar yang ditanamkan COSO ERM adalah
bahwa “semua bagian di dalam perusahaan memiliki tanggung jawab terhadap ERM”,
yang artinya implementasi manajemen risiko harus mencakup entity-level,
division, business unit, hingga subsidiary, dan mencakup seluruh
seluruh sumber daya manusia di dalamnya.
Berikut implementasi pembagian peran dan tanggung
jawab dalam penerapan COSO ERM :
·
Board of Directors (BoD) memiliki tanggung jawab
penting dalam melakukan pemantauan terhadap penerapan manajemen risiko, dengan
turut memperhitungkan risk appetite dari entitas;
·
Chief Executive Officer (CEO)
memiliki tanggung jawab untuk memastikan berjalannya ERM yang efektif pada
keseluruhan perusahaan;
·
Manajer memiliki tanggung jawab dalam mendukung
penerapan prinsip ERM perusahaan, memastikan pemenuhan ERM dengan risk
appetite, dan mengelola risiko di ranah kewenangannya agar konsisten dengan risk
tolerance yang dimilikinya;
·
Risk officer, financial officer, dan
internal audit memiliki peran kunci dalam mendukung efektivitas penerapan
manajemen risiko perusahaan;
·
Petugas operasional (atau biasa disebut risk
coordinator) bertanggung jawab dalam menerapkan manajemen risiko perusahaan
sejalan dengan prosedur dan kebijakan manajemen risiko perusahaan;
·
Pihak eksternal (seperti pelanggan, kompetitor,
otoritas, dan pihak yang berperan dalam value chain perusahaan) tidak
memiliki tanggung jawab dalam memastikan efektivitas ERM dari entitas, tetapi
pihak-pihak tersebut berperan penting dalam menyediakan informasi yang dapat
mendukung efektivitas manajemen risiko.
COBIT (Control Objectives for
Information and Related Technology) adalah sekumpulan dokumentasi best
practices untuk IT Governance yang
dapat membantu auditor, pengguna (user),
dan manajemen, untuk menjembatani gap antara risiko bisnis, kebutuhan control
dan masalah-masalah teknis IT. COBIT
merupakan standar yang dinilai paling lengkap dan menyeluruh sebagai FrameWork IT audit karena dikembangkan
secara berkelanjutan oleh lembaga swadaya profesional auditor yang tersebar di
hampir seluruh negara.
COBIT memiliki 4 cakupan domain, yaitu :
1.
Perencanaan
dan organisasi (plan and organise)
Domain ini
mencakup strategi dan taktik yang menyangkut identifikasi tentang bagaimana TI
dapat memberikan kontribusi terbaik dalam pencapaian tujuan bisnis organisasi
sehingga terbentuk sebuah organisasi yang baik dengan infrastruktur teknologi
yang baik pula.
Langkah-langkah:
• Menetapkan rencana stratejik TI
• Menetapkan hubungan dan organisasi TI
• Mengkomunikasikan arah dan tujuan manajemen
• Mengelola sumberdaya manusia
• Memastikan pemenuhan keperluan pihak eksternal
• Menaksir risiko
• Menetapkan rencana stratejik TI
• Menetapkan hubungan dan organisasi TI
• Mengkomunikasikan arah dan tujuan manajemen
• Mengelola sumberdaya manusia
• Memastikan pemenuhan keperluan pihak eksternal
• Menaksir risiko
2.
Pengadaan
dan implementasi (acquire and implement)
Untuk
mewujudkan strategi TI, solusi TI perlu diidentifikasi, dibangun atau diperoleh
dan kemudian diimplementasikan dan diintegrasikan dalam proses bisnis.
Langkah-langkah :
• Mengidentifikasi solusi terotomatisasi
• Mendapatkan dan memelihara infrastruktur teknologi
• Mengembangkan dan memelihara prosedur
• Memasang dan mengakui sistem
• Mengelola perubahan
• Mengidentifikasi solusi terotomatisasi
• Mendapatkan dan memelihara infrastruktur teknologi
• Mengembangkan dan memelihara prosedur
• Memasang dan mengakui sistem
• Mengelola perubahan
3.
Pengantaran
dan dukungan (deliver and support)
Domain ini
berhubungan dengan penyampaian layanan yang diinginkan, yang terdiri dari
operasi pada security dan aspek kesinambungan bisnis sampai dengan pengadaan
training.
Langkah-langkah :
• Menetapkan dan mengelola tingkat pelayanan
• Mengelola pelayanan kepada pihak lain
• Memastikan pelayanan yang kontinyu
• Memastikan keamanan sistem
• Mengelola konfigurasi/susunan
• Mengelola data
• Mengelola fasilitas
• Menetapkan dan mengelola tingkat pelayanan
• Mengelola pelayanan kepada pihak lain
• Memastikan pelayanan yang kontinyu
• Memastikan keamanan sistem
• Mengelola konfigurasi/susunan
• Mengelola data
• Mengelola fasilitas
4.
Pengawasan
dan evaluasi (monitor and evaluate)
Semua proses
TI perlu dinilai secara teratur dan berkala bagaimana kualitas dan
kesesuaiannya dengan kebutuhan kontrol.
Langkah-langkah:
• Memonitor proses – menaksir kecukupan pengendalian internal
• Mendapatkan kepastian yang independen
• Memonitor proses – menaksir kecukupan pengendalian internal
• Mendapatkan kepastian yang independen
Kerangka kerja COBIT bagi
pengendalian internal perusahaan :
1. Control Objectives
Terdiri atas
4 tujuan pengendalian tingkat-tinggi (high-level
control objectives) yang terbagi dalam 4 domain, yaitu : Planning & Organization, Acquisition
& Implementation, Delivery & Support, dan Monitoring & Evaluation.
2. Audit Guidelines
Berisi
sebanyak 318 tujuan-tujuan pengendalian yang bersifat rinci (detailed control
objectives) untuk membantu para auditor dalam memberikan management assurance
dan / atau saran perbaikan.
3.
Management Guidelines
Berisi
arahan, baik secara umum maupun spesifik, mengenai apa saja yang mesti
dilakukan, terutama agar dapat menjawab pertanyaan-pertanyaan berikut :
- Sejauh mana TI harus bergerak atau digunakan, dan apakah biaya TI yang dikeluarkan sesuai dengan manfaat yang dihasilkannya.
- Apa saja indikator untuk suatu kinerja yang bagus.
- Apa saja faktor atau kondisi yang harus diciptakan agar dapat mencapai sukses (critical success factors).
- Apa saja risiko-risiko yang timbul, apabila kita tidak mencapai sasaran yang ditentukan.
- Bagaimana dengan perusahaan lainnya, apa yang mereka lakukan.
- Bagaimana mengukur keberhasilan dan bagaimana pula membandingkannya.
Maksud utama COBIT ialah
menyediakan kebijakan yang jelas dan good
practice untuk IT governance,
membantu manajemen senior dalam memahami dan mengelola risiko-risiko yang
berhubungan dengan IT. COBIT menyediakan kerangka IT governance dan petunjuk control
objective yang detail untuk manajemen, pemilik proses bisnis, user dan auditor.
DAFTAR PUSTAKA
2. http://ahmadsfarid.blogspot.co.id/2017/04/cobit-dalam-4-cakupan-domain.html,
Diakses pada 15 May 2017, Pk. 18.37
3. Hapzi Ali, 2017, Modul
Perkuliahan Sistem Informasi dan Pengendalian Internal, Membandingkan Kerangka
Pengendalian Internal : 1. Coso Internal Control Integrated Framework, 2. COSO
Enterprise Risk Management, 3. COBIT, Universitas Mercu Buana.
Tidak ada komentar:
Posting Komentar