Ringkasan dokumen tersebut adalah: Dokumen tersebut membahas tentang sistem pengendalian internal perusahaan yang meliputi COBIT, COSO, dan ERM. COBIT berfokus pada tata kelola TI, COSO mendefinisikan pengendalian internal, sedangkan ERM merupakan pendekatan menyeluruh dalam mengelola risiko perusahaan. Dokumen ini juga memberikan contoh penerapan COSO di Bank BCA.

1. SISTEM INFORMASI PENGENDALIAN INTERNAL
Control Objective for Information & Related Technology (COBIT), Committee of
Sponsoring Organization of The Treadway Commission (COSO) dan Enterprise Risk
Management (ERM) di Perusahaan
Dosen Pengampu : Prof. Dr. Hapzi Ali, CMA
Nurul Hidayati Yuliani (55517120018)
MAGISTER AKUNTANSI
PROGRAM PASCASARJANA (S2)
UNIVERSITAS MERCUBUANA
2018

2. Control Objective for Information & Related Technology (COBIT), Committee of
Sponsoring Organization of The Treadway Commission (COSO) dan Enterprise Risk
Management (ERM)
A. Control Objective for Information & Related Technology (COBIT)
A.1 Pengertian
Menurut Wikipedia Control Objective for Information and related Technology lebih
dikenal COBIT, adalah suatu panduan standar praktik manajemen teknologi informasi.
Sedangkan menurut Sasongko dalam Haendra Control Objective for Information & Related
Technology (COBIT) adalah sekumpulan dokumentasi best practice untuk IT Governance
yang dapat membantu auditor, pengguna (user), dan manajemen, untuk menjembatani gap
antara resiko bisnis, kebutuhan kontrol dan masalah-masalah teknis IT.
COBIT pertama kali dirilis pada tahun 1996. Misinya adalah untuk meneliti,
mengembangkan, mempublikasikan dan mempromosikan otoritatif, up-to-date, set
internasional yang diterima secara umum untuk tujuan pengendalian teknologi informasi
untuk sehari-hari digunakan oleh para manajer bisnis dan auditor.1
A.2 Cakupan Domain COBIT
1. Perencanaan dan Organisasi (Plan and organise)
Domain ini mencakup strategi dan taktik yang menyangkut identifikasi tentang bagaimana TI
dapat memberikan kontribusi terbaik dalam pencapaian tujuan bisnis organisasi sehingga
terbentuk sebuah organisasi yang baik dengan infrastruktur teknologi yang baik pula.
2. Pengadaan dan implementasi (Acquirwand implement)
identifikasi solusi TI dan kemudian diimplementasikan dan diintegrasikan dalam proses
bisnis untuk mewujudkan strategi TI.
3. Pengantaran dan dukungan (Deliver and Support)
Domain ini berhubungan dengan penyampaian layanan yang diinginkan, yang terdiri dari
operasi pada security dan aspek kesinambungan bisnis sampai dengan pengadaan training.
4. Pengawasan dan evaluasi (Monitor and Evaluate)
Semua proses TI perlu dinilai secara teratur dan berkala bagaimana kualitas dan
kesesuaiannya dengan kebutuhan kontrol.
1
Dwi Santoso, 2018

3. A.3 Kerangka Kerja COBIT
Kerangka kerja COBIT terdiri atas beberapa arahan/pedoman, yakni:
1. Control Objectives
Terdiri atas 4 tujuan pengendalian tingkat-tinggi (high-level control objectives) yang terbagi
dalam 4 domain, yaitu : Planning & Organization , Acquisition & Implementation , Delivery
& Support , dan Monitoring & Evaluation.
2. Audit Guidelines
Berisi sebanyak 318 tujuan-tujuan pengendalian yang bersifat rinci (detailed control
objectives) untuk membantu para auditor dalam memberikan management assurance
dan/atau saran perbaikan.
3. Management Guidelines
Berisi arahan, baik secara umum maupun spesifik, mengenai apa saja yang mesti dilakukan,
terutama agar dapat menjawab pertanyaan-pertanyaan berikut :
• Sejauh mana TI harus bergerak atau digunakan, dan apakah biaya TI yang
dikeluarkan sesuai dengan manfaat yang dihasilkannya.
• Apa saja indikator untuk suatu kinerja yang bagus.
• Apa saja faktor atau kondisi yang harus diciptakan agar dapat mencapai sukses (
critical success factors ).
• Apa saja risiko-risiko yang timbul, apabila kita tidak mencapai sasaran yang
ditentukan.
• Bagaimana dengan perusahaan lainnya, apa yang mereka lakukan.
• Bagaimana mengukur keberhasilan dan bagaimana pula membandingkannya.
4. Maturity Models
COBIT menyediakan parameter untuk penilaian setinggi dan sebaik apa pengelolaan IT pada
suatu organisasi dengan menggunakan maturity models yang bisa digunakan untuk penilaian
kesadaran pengelolaan (management awareness) dan tingkat kematangan (maturity level).
COBIT mempunyai model kematangan (maturity models) untuk mengontrol proses-proses IT
dengan menggunakan metode penilaian (scoring) sehingga suatu organisasi dapat menilai
proses-proses IT yang dimilikinya dari skala nonexistent sampai dengan optimised (dari 0
sampai 5), yaitu: 0: Non Existen, 1: Initial, 2: Repetable, 3: Defined, 4: Managed dan 5:
Optimized (Purwanto dan Saufiah, 2010; Setiawan, 2008; Nurlina dan Cory, 2008; dalam
Sitirahma, 2011).

4. A.4 Manfaat dan Pengguna COBIT
Secara manajerial target pengguna COBIT dan manfaatnya adalah :
1. Direktur dan EksekutifUntuk memastikan manajemen mengikuti dan
mengimplementasikan strategi searah dan sejalan dengan TI.
2. Manajemen
• Untuk mengambil keputusan investasi TI.
• Untuk keseimbangan resiko dan kontrol investasi.
• Untuk benchmark lingkungan TI sekarang dan masa depan.
3. Pengguna
Untuk memperoleh jaminan keamanan dan control produk dan jasa yang dibutuhkan secara
internal maupun eksternal.
4. Auditors
• Untuk memperkuat opini untuk manajemen dalam control internal.
• Untuk memberikan saran pada control minimum yang diperlukan. 2
B. Committee of Sponsoring Organization of The Treadway Commission (COSO)
B.1 Pengertian
Committee of Sponsoring Organization of The Treadway Commission (COSO) pada tahun
1992 mengeluarkan definisi tentang pengendalian internal. Definisi COSO tentang
pengendalian intern sebagai berikut: Internal control is process, affected by entility’s board
of directors, management and other personnel, designed to provide reasonable assurance
regarding the achievement of objectives in the following categories:
• Effectiveness and efficiency of operations
• Realibillty of Financial Reporting
• Compliance with Applicable laws and regulations
Dalam bahasa Indonesia, terjemahannya sebagai berikut: sistem pengendalian internal
merupakan suatu proses yang melibatkan dewan komisaris, manajemen, dan personil lain,
yang dirancang untuk memberikan keyakinan memadai tentang pencapaian tiga tujuan
berikut ini:
• Efektivitas dan efisiensi operasi
• Keandalan pelaporan keuangan
2
Sitirahma, 2011

5. Kepetuhan kerhadap hukum dan peraturan yang berlaku). .3
B. 2 Komponen-komponen pengendalian internal menurut COSO
4
1. A control environment (lingkungan pengendalian).
Merupakan tanggung jawab manajemen puncak untuk menyatakan dengan jelas nilai-nilai
integritas dan kegiatan tidak etis yang tidak dapat ditoleransi.
2. Risk assessment (penaksiran resiko).
Perusahaan harus mengidentifikasi dan menganalisis faktor-faktor yang menciptakan resiko
bisnis dan harus menentukan bagaimana caranya mengelola resiko tersebut.
3. Control activities (kegiatan pengendalian).
Untuk mengurangi terjadinya kecurangan, manajemen harus merancang kebijakan dan
prosedur untuk mengidentifikasi resiko tertentu yang dihadapi perusahaan.
4. Information and communication (informasi dan komunikasi).
Sistem pengendalian internal harus dikomunikasikan dan diinfokan kepada seluruh karyawan
perusahaan dari atas hingga bawah.
5. Monitoring (pemantauan).
3
Accounting.binus, 2018
4
Wahyunidewi, 2018

6. Sistem pengendalian internal harus dipantau secara berkala. Apabila terjadi kekurangan yang
signifikan, harus segera dilaporkan kepada manajemen puncak and ke dewan komisaris5
C. Enterprise Risk Management (ERM)
C.1 Pengertian
Enterprise Risk Management (Manajemen Resiko Perusahaan) adalah sebuah pendekatan
yang komprehensif untuk mengelola resiko-resiko perusahaan secara menyeluruh,
meningkatkan kemampuan perusahaan untuk mengelola ketidakpastian, meminimalisir
ancaman, dan memaksimalkan peluang.
Enterprise Risk Management (ERM) juga merupakan proses pengelolaan yang
mengidentifikasi, mengukur, dan memonitor resiko secara sistematis serta didukung oleh
kerangka kerja manajemen yang memungkinkan adanya proses perbaikan yang
berkesinambungan atas kegiatan manajemen itu sendiri.
Definisi lain dari Enterprise Risk Management (ERM) diantaranya:
• On-going process -> risk management dilakukan secara terus menerus dan dilakukan
secara berkala sehingga risk management tidak bisa dilakukan secara sesekali saja
• Affected by people -> risk management ditentukan oleh pihak-pihak di lingkungan
perusahaan
• Applied in strategy setting -> risk management disusun sejak dari perumusan strategi
oleh manajemen puncak. Dengan penggunaan risk management strategi yang
disiapkan dan disesuaikan dengan resiko yang dihadapi oleh masing-masing
bagian/unit dari perusahaan
5
Accounting binus, 2018

7. • Applied across the enterprise -> strategi yang telah dipilih secara berdasarkan risk
management diterapkan dalam kegiatan operasional dan mencakup seluruh
bagian/unit pada perusahaan. Resiko masing-masing berbeda, maka penentuan
penerapan risk management berdasarkan penentuan resiko pada tiap bagian/unit
• Designed to identify potential events -> risk management dirancang untuk
mengidentifikasi kejadian/keadaan secara potensial yang dapat menyebabkan
terganggunya tujuan dari perusahaan
• Provide reasonable assurance -> resiko yang dikelola dengan tepat dan wajar akan
menyediakan jaminan bahwa kegiatan pelayanan oleh perusahaan dapat berjalan
dengan optimal
• Created to achieved objectives -> risk management diharapkan dapat menjadi
pedoman bagi perusahaan dalam menentukan tujuan yang telah dibentuk.
C.2 Manfaat dan Tujuan
Tujuan ERM adalah untuk menciptakan sistem atau mekanisme dalam perusahaan sehingga
resiko bisa diantisipasi dan dikelola untuk tujuan meningkatkan nilai perusahaan. ERM
sangat diperlukan terutama ketika ingin ekspansi pasar atau bahkan ekspansi bisnis. Ketika
membuka lini bisnis baru tentunya sistem, alat, SDM, dan hal penunjang lainnya bersifat baru
yang di setiap aspeknya. Penentuan, pengukuran, dan pertimbangan yang tepat tentunya
sangat diperlukan, pada titik inilah ERM sangat dibutuhkan agar di setiap aspeknya
diperhitungkan dan dipertimbangkan segala resikonya sehingga tidak akan berdampak pada
perusahaan untuk kedepannya.
Dibandingkan dengan manajemen resiko tradisional, Enterprise Risk Management (ERM)
lebih mampu mengelola resiko dengan terintegrasi, proaktif, berkesinambungan, value added,
dan process driven
Dalam penerapannya, proses manajemen resiko dapat dilihat pada gambar berikut :

8. • Identifikasi resiko -> pengidentifikasian resiko untuk menjawab pertanyaan sebab-
akibat dan pemilik resiko, hasilnya adalah risk profile.
• Penilaian dan pengukuran resiko -> pada proses pengukuran resiko terlebih dahulu
ditentukan risk criteria (kriteria resiko) yang disusun berdasarkan impact criteria
(kriteria dampak) dan kemungkinan kejadian. Tahap ini bertujuan untuk menentukan
seberapa besar dan sering resiko terjadi, menyusun if-scenarios, dan mengukur tingkat
resiko. Berdasarkan hasil penentuan resiko tersebut, dikembangkan sebuah model
pemetaan resiko (risk mapping) yang digunakan sebagai pedoman action plan pada
manajemen resiko. Pada tahap ini juga dilakukan pengukuran resiko-resiko yang
dianggap signifikan dengan menggunakan kriteria-kriteria resiko yang telah
ditetapkan
• Pengelolaan resiko -> pada proses ini dilakukan upaya untuk meminimasi besarnya
resiko yang timbul agar setiap resiko dapat diterima oleh risk owners. Untuk
mengantisipasi terjadinya resiko, seorang risk owners harus memiliki action plan
yang merupakan hasil improvisasi dari strategi, pengendalian, dan proses bisnis.
• Pemantauan dan pelaporan resiko -> proses pemantauan dan pelaporan dilakukan
secara periodik untuk memberikan early warnings (peringatan dini), melaporkan
implementasi manajemen resiko, dan memberikan rekomendasi kepada bagian
manajemen menuju continuous improvement (perbaikan yang berkelanjutan)6
6
Eko, 2018

9. Penerapan COSO, COBIT, ERM pada perusahaan
Penerapan COSO pada Bank BCA
Sistem pengendalian interen BCA mengacu pada Surat Edaran Bank Indonesia
No.5/22/DPNP Tentang Pedoman Standar Sistem Pengendalian Interen bagi Bank Umum
tertanggal 29 September 2003 yang mencakup 5 (lima) komponen antara lain:
1. Pengawasan oleh manajemen dan kultur pengendalian.
2. Identifikasi dan penilaian risiko.
3. Kegiatan pengendalian dan pemisahan fungsi.
4. Sistem akuntansi, informasi, dan komunikasi.
5. Kegiatan pemantauan dan tindakan koreksi penyimpangan.
Kelima komponen tersebut sejalan dengan Internal Control-Integrated Framework yang
dikembangkan oleh The Committee of Sponsoring Organization of the Treadway Commission
(COSO).
Pelaksanaan Pengendalian Interen
1. Pelaksanaan pengendalian interen antara lain dilakukan melalui:
a. Pengendalian Keuangan, dimana:
• BCA telah menyusun Rencana Bisnis Bank yang membahas strategi BCA secara
keseluruhan yang mencakup arah pengembangan bisnis.
• Penetapan strategi telah memperhitungkan dampak terhadap permodalan BCA, antara lain
proyeksi permodalan & KPMM (Kewajiban Penyediaan Modal Minimum).
• Direksi secara aktif melakukan diskusi/memberikan masukan serta memantau kondisi
internal dan perkembangan faktor eksternal yang secara langsung maupun tidak langsung
mempengaruhi strategi bisnis BCA. BCA telah melaksanakan proses pengendalian keuangan
melalui upaya pemantauan realisasi dibandingkan dengan budget keuangan dalam laporan
yang dibuat secara berkala dan dibawakan dalam Rapat Direksi saat dibutuhkan tindak lanjut
Direksi.
b. Pengendalian Operasional, dimana:
• BCA telah melengkapi standar operating procedure/manual kerja yang merinci prosedur
kerja setiap transaksi operasional perbankan yang dilakukan di BCA terkait produk dan
aktivitas baru termasuk mitigasi risiko operasional terkait. Pembuatan prosedur kerja tersebut
dilakukan oleh Divisi Strategi dan Pengembangan Operasi-Layanan (DPOL) dan telah di
review oleh berbagai unit kerja yang terkait untuk memastikan bahwa risiko operasional yang
mungkin ada pada aktivitas tersebut telah dimitigasi dengan baik.

10. • BCA menerapkan pembatasan wewenang petugas melalui penetapan limit dalam
melakukan suatu transaksi; serta pembatasan akses petugas ke jaringan TI & komputer
melalui pengendalian penggunaan user ID dan password serta pemasangan fingerscan.
• BCA telah membentuk struktur organisasi dengan baik, dilengkapi unit
pengawasan/pengendalian sehingga dapat mendukung pengendalian operasional, seperti:
o Pemisahan fungsi yang dapat menimbulkan conflict of interest;
o Supervisor berfungsi mengawasi jalannya kontrol internal di Cabang setiap hari;
o PIC berfungsi mengawasi jalannya kontrol internal di Cabang secara periodik;
o PIKW berfungsi mengawasi jalannya kontrol internal di Kantor Wilayah;
o Pengawasan Internal yang berfungsi mengawasi jalannnya kontrol internal di unit kerja
tertentu di Kantor Pusat;
o Satuan Kerja Manajemen Risiko (SKMR), Grup Hukum, Satuan Kerja Kepatuhan (SKK);
o Divisi Audit Internal:
- Independen terhadap risk taking unit;
- Memeriksa dan menilai kecukupan/efektivitas sistem pengendalian internal, manajemen
risiko dan tata kelola perusahaan dengan melaksanakan rencana audit tahunan.
c. Kepatuhan terhadap peraturan perundangundangan lainnya, dimana:
• BCA memiliki komitmen yang kuat untuk mematuhi peraturan dan perundangundangan
yang berlaku dan mengambil langkah-langkah untuk memperbaiki
kelemahan, apabila terjadi.
• BCA telah memiliki Satuan Kerja Kepatuhan (SKK) yang bersifat independen terhadap
satuan kerja operasional dalam melaksanakan fungsi kepatuhan.
• Adanya Laporan Triwulanan Pemantauan Kepatuhan terhadap Ketentuan Kehatihatian BCA
yang disampaikan kepada Dewan Komisaris dan Direksi.
• Strategi Manajemen Risiko Kepatuhan BCA adalah mempunyai kebijakan untuk senantiasa
mematuhi ketentuan yang berlaku yaitu secara proaktif melakukan pencegahan (ex-ante)
dalam rangka meminimalkan terjadinya pelanggaran dan melakukan tindakan kuratif (ex-
post) dalam rangka perbaikan.
2. BCA menerapkan sistem pengendalian interen secara efektif yang disesuaikan dengan
tujuan, kebijakan usaha, ukuran dan kompleksitas kegiatan usaha BCA dengan berpedoman
pada persyaratan dan tata cara sebagaimana ditetapkan dalam Peraturan Bank Indonesia,
maupun dengan mengacu kepada best practice melalui tindakan-tindakan sebagai berikut:
Terdapat penetapan jalur pelaporan dan pemisahan fungsi yang jelas antara satuan kerja
operasional dengan satuan kerja yang melaksanakan fungsi pengendalian.

11. • Fungsi pengendalian dilakukan oleh Satuan Kerja Manajemen Risiko (SKMR), Grup
Hukum (GHK), Satuan Kerja Kepatuhan (SKK), Grup Analisa Risiko Kredit (GARK) dan
Divisi Audit Internal (DAI).
• DAI telah melakukan review secara independen dan obyektif terhadap prosedur dan
kegiatan operasional BCA secara berkala. Hasil review DAI disampaikan dalam bentuk
Laporan Hasil Audit dan Laporan Tindak Lanjut Hasil Audit kepada Direksi.
• Pengawasan Internal Cabang (PIC), Pengawasan Internal Kantor Wilayah (PIKW) dan DAI
telah melakukan fungsi evaluasi pelaksanaan sistem dan prosedur yang berlaku di BCA.
Hasil evaluasi dari PIC, PIKW dan DAI tersebut dijadikan sebagai tolok ukur tingkat
kepatuhan unit kerja terhadap sistem dan prosedur yang telah ditetapkan.
IMPLEMENTASI COBIT pada PT TRASINDO JAYA KOMARA
PT. Transindo Jaya Komara
KOPERASI LANGIT BIRU yang sebelumnya dikenal dengan PT. Transindo Jaya Komara
(PT. TJK) dengan Akte Notaris H. Feby Rubein Hidayat SH No. AHU. 0006152.AH.01.09.
Tahun 2011 adalah perusahaan konvensional yang sudah berdiri 2 tahun dan bergerak khusus
mengelola daging sapi dan air mineral. Saat ini KOPERASI LANGIT BIRU telah memiliki
62 suplayer pemotongan dan pendistribusian daging sapi serta pusat pendistribusian air

12. mineral SAFWA. Adalah Ustad Jaya Komara sebagai Direktur utama memiliki pengalaman
16 Tahun dalam pengelolaan daging sapi. Ustad yang selalu berpenampilan sederhana dan
apa adanya ini memiliki visi misi besar untuk kesejahteraan bersama khususnya Umat Islam.
Untuk mengembangkan usahanya ini Ustad jaya Komara pada awalnya hanya menggandeng
masyarakat sekitar saja untuk ikut serta menikmati keuntungan hasil usaha daging sapinya.
Berawal dari pandanganya terhadap strata kehidupan masyarakat Indonesia dimana yang
kaya makin kaya dan yang miskin tetap miskin. Maka tercetuslah ide kreatif untuk
pengembangan usahanya dengan mengikutsertakan masyarakat pada umumnya. Pada
awalnya hanya diadakan arisan daging untuk masyarakat sekitar saja, yang hasilnya
dibagikan tiap lebaran haji baik berupa keuntungan berupa uang dan daging sapi itu sendiri,
hal ini sudah dilakukan oleh ustad jaya komara sebelum KOPERASI LANGIT BIRU resmi
berdiri.
Berkaitan dengan pertimbangan diatas, perlu adanya suatu metode untuk mengelola IT.
Dalam hal ini, metode COBIT perlu diterapkan dalam pengelolaan perusahaan agar pengguna
IT sesuai dengan kebutuhan perusahaan dan menghasilkan kinerja yang efisien dan efektif
serta mencegah atau meminimalisir adanya resiko terhadap penggunaan IT. Dalam hal ini
saya mencoba merancang penerapan COBIT pada PT. Transindo Jaya Komara.
· Pada PT. Transindo Jaya Komara sudah memiliki prosedur pengelolaan teknologi
informasi yang dijalankan, tetapi faktanya prosedur tersebut tidak sepenuhnya dijalankan,
sehingga user biasanya melakukan secara manual.
· Mengetahui berbagai kendala dalam pengelolaan teknologi informasi yang dijalankan.
· Perusahaan menginginkan adanya suatu evaluasi tata kelola teknologi informasi untuk
peningkatan mutu perusahaan .
· Pengolahan Data
PO 1 Merencanakan rencana strategis IT
Pada PT. Transindo Jaya Komara sudah mengetahui akan rencana strategis TI, meski
kenyataannya pelaksanaannya sering diabaikan. Pendokumentasian belum terstruktur dengan
jelas. Dan hanya diketahui oleh beberapa pegawai yang berkepentingan saja. Update dari
rencana strategis TI merupakan respon dari permintaan pihak perusahaan dan juga
berdasarkan perubahan kondisi yang ada. Keputusan-keputusan stategis yang diambil hanya
berdasarkan pada masalah yang ada dalam proyek yang dilaksanakan, belum berdasarkan
rencana strategis TI yang telah ditetapkan secara konsisten.
Tetapi pada perusahaan ini sudah adanya solusi TI yang dibuat untuk menghadapi masalah
yang ada. Penyampaian kepada konsumen juga sudah dilakukan, hanya belum berjalan

13. dengan maksimal. Penyampaian kepada konsumen dilakukan secara online, dengan website
yang diberikan perusahaan.
Seperti adanya rencana strategis dalam pemanfataan TI pada perusahaan ini yakni :
· Solusi menyeluruh untuk industri perdagangan dan investasi
· Solusi TI menyeluruh dengan nilai yang luar biasa
· Solusi TI menyeluruh dengan kompetensi yang tinggi
PO 2 Arsitektur Informasi
Belum semua instansi memiliki sistem informasi dan sistem informasi yang dikembangkan
belum terintegrasi.
PO 3 Arah Teknologi
Teknologi yang digunakan belum begitu canggih karena sarana dan prasarana belum
memadai.
PO 4 Organisasi TI dan hubungan
Sudah ada sebuah organisasi yang jelas dan secara khusus menangani bidang IT, tetapi belum
bekerja secara maksimal.
PO 5 Investasi TI
Belum adanya rancangan anggaran TI yang menyeluruh.
Alokasi anggaran yang terbatas.
PO6 Komunikasi tujuan dan arah manajemen
Masih lemahnya koordinasi pembagian produk produk. Hal ini menyebabkan
koordinasi koperasi kurang efektif dan antrian yang semakin panjang.
PO 7 Manage SDM
Penempatan SDM yang tidak tepat dan pembagian tugas yang tidak jelas.
Pengelolaan sumber daya yang belum optimal baik di tingkat teknis operasional
maupun manajerial.
PO 8 Kesesuaian dengan external requirement
Kurangnya kesiapan dalam antisipasi (change of management) baik terhadap
perkembangan teknologi informasi dan komunikasi maupun terhadap tuntutan
masyarakat (globalisasi).i TI menyeluruh untuk industri transportasi dan perjalan
PO 9 Menilai Resiko TI
Di PT. Transindo Jaya Komara sudah adanya kebijakan akan manajemen resiko, karena
sebagian besar pelaksanaan kegiatan bisnis di Departemen TI di perusahaan ini sudah
memanfaatkan teknologi 100 %. Manajemen resiko dilakukan sesuai dengan proses yang
telah ditentukan perusahaan, namun belum ada standart khusus untuk mengatur kebijakan

14. manajemen resiko tersebut. Tetapi manajemen resiko pada perusahaan ini belum
disosialisasikan kepada seluruh pegawai, jadi hanya pihak terkait atau manager yang
mengaturnya dan menjalankannya. Apabila terjadi kesalahan manajer yang memberitahukan
secara manual kepada pegawainya.
Proses kelonggaran/mitigasi yang diberikan terhadap resiko proyek, baik proyek baru atau
lama semuanya diperiksa oleh manager, tetapi masih belum konsisten karena tidak adanya
standart khusus untuk proses tersebut.
PO 10 Manajemen Proyek
Pada perusahaan ini, menajemen untuk proyek telah memenuhi kebutuhan user. User disini
ialah pegawai, manager, pimpinan dan stakeholders lainnya. Namun, proses
pedokumentasian belum berjalan dengan baik serta pengembangan dan penggunaan teknik
juga belum dilaksanakan dengan baik. Serta aplikasi dari penerapan management proyek
tergantung pada kebijakan dari manager.
PO 11 Manajemen kualitas
Kurangnya tenaga ahli yang mampu mengawasi kualitas TI dan rendahnya penghargaan
terhadap SDM TI terampil mempengaruhi kualitas sistem dan pengembangan TI.
Penerapan ERM (ERG pada Listed Company)
Enterprise Risk Governance (ERG) merupakan sebuah pendekatan dalam kegiatan
manajemen risiko pada sebuah perusahaan. Istilah governance yang bermakna tata kelola
memiliki hubungan terhadap keputusan perusahaan, baik dalam hal menjelaskan sebuah
prediksi, ekspektasi hingga memperbaiki performa perusahaan terkait dengan risiko yang
dihadapi. Governance menerangkan keseluruhan dari pendekatan manajemen dan
menggambarkan bahwa para eksekutif senior memiliki tugas mengarahkan dan
mengendalikan seluruh organisasi dengan menggunakan kombinasi informasi manajemen
dan struktur hirarki pengendalian manajemen. Aktivitas ini memastikan bahwa informasi
manajemen yang penting dapat tersampaikan kepada tim eksekutif secara lengkap, akurat,
dan tepat waktu untuk memungkinkan pengambilan keputusan manajemen yang baik, serta
menyediakan mekanisme pengendalian untuk memastikan bahwa strategi, arah, dan instruksi
dari manajemen yang dilakukan bersifat sistematis dan efektif
Listed company (perusahaan yang terdaftar di bursa) merupakan organisasi atau perusahaan
yang menawarkan produk sekuritas sebagai sumber pendanaan untuk diperjual-belikan
kepada publik (terdaftar pada bursa) dan pembelian/penjualan sekuritas tersebut dapat
melalui stock exchange atau melalui over the counter (OTC). Kondisi perdagangan di bursa

15. menjadi sebuah tantangan bagi perusahaan baik dari segi perilaku investor selain dari faktor
eksternal seperti kondisi pasar, kondisi tersebut memunculkan suatu risiko tersendiri bagi
perusahaan yang terdaftar pada bursa. Baik perusahaan yang tidak terdaftar maupun terdaftar
pada dasarnya membutuhkan ERG dalam memitigasi berbagai macam risiko.
Penerapan ERG tak lepas dari kontribusi pimpinan dalam memastikan keberlangsungan
perusahaan. Selain pimpinan perusahaan, manajer juga memiliki peran dalam hal ini.
Menurut Keputusan Ketua Badan Pengawas Pasar Modal dan Lembaga Keuangan (Bapepam-
LK) Nomor Kep- 480/BL/2009 menyatakan salah satu dari kewajiban manajer investasi
adalah mempunyai dan melaksanakan fungsi manajemen risiko. Pelaksanaan manajemen
risiko yang dimaksud adalah mengidentifikasi semua risiko yang mungkin timbul dalam
kegiatan perusahaan, memunculkan penjelasan mengenai penyebab dari timbulnya risiko-
risiko tersebut, mengidentifikasi kemungkinan terjadinya risiko-risiko tersebut, dapat
menjelaskan tentang implikasi atas terjadinya risiko-risiko tersebut, dan merekomendasikan
langkah-langkah yang akan diambil apabila risiko-risiko tersebut terjadi. Selain itu
pelaksanaan fungsi manajemen risiko dikoordinir oleh direksi atau karyawan yang
mempunyai izin orang perseorangan sebagai Wakil Manajer Investasi dari Bapepam dan LK
dan pengalaman kerja dalam bidang Pasar Modal dan/atau keuangan paling kurang 3 (tiga)
tahun.
Best Practices ERG pada Perusahaan Indonesia
Untuk memperdalam penjelasan mengenai ERG, artikel ini mengambil contoh penerapan
ERG pada perusahaan XL Axiata dan Unilever. XL Axiata adalah salah satu perusahaan
terbuka bidang telekomunikasi seluler di Indonesia, saat ini membutuhkan evaluasi luas dan
eksplisit yang menekankan pada risiko bisnis. Teknologi, kompetisi, etika usaha, regulasi,
dan kepatuhan adalah beberapa contoh dari sekian banyak potensi risiko yang dihadapi oleh
perusahaan. Banyaknya potensi risiko yang ada membuat perusahaan XL Axiata untuk
menerapkan manajemen risiko. ERG dibutuhkan sebagai salah satu pilar manajemen risiko
perusahaan agar informasi manajemen yang penting dapat tersampaikan kepada tim eksekutif
secara lengkap, akurat, dan tepat waktu sehingga keputusan perusahaan yang dibuat dapat
mengarah pada pencapaian tujuan perusahaan.
Saat ini, XL Axiata mengadopsi kerangka ISO 31000 yang dijalankan melalui manajemen
risiko perusahaan untuk menghadapi potensi berbagai risiko. Kerangka ISO 31000 yang
lengkap dan fleksibel menyediakan ruang yang memadai bagi XL Axiata dalam menilai,
mengevaluasi, dan mengelola risiko perusahaan. XL Axiata melihat bahwa hubungan

16. integrasi antara proses manajemen risiko perusahaan dengan audit internal memberikan
jaminan efektivitas rencana penanganan atas potensi risiko.
Selain itu, kondisi geologis di Indonesia menandakan adanya kemungkinan risiko terjadinya
bencana alam. Dalam hal ini, XL Axiata telah mempersiapkan diri secara matang untuk
menghadapi kemungkinan terjadinya kondisi tersebut melalui Manajemen Bisnis yang
Berkelanjutan (BCM) dengan membentuk Komite Manajemen BCM, yang memberikan
panduan dan pengaturan dalam menjalankan manajemen bisnis yang berkelanjutan. Adapun
prinsip utama dari BCM adalah fokus terhadap keselamatan karyawan dan keluarganya,
kelanjutan layanan terhadap pelanggan, serta meminimalisir kerugian perusahaan. BCM juga
mencakup kegiatan analisis risiko yang lengkap, termasuk dampaknya terhadap bisnis dan
penanggulangannya, serta rencana keberlanjutan manajemen bisnis. Selain itu, layanan yang
diberikan kepada pelanggan juga bergantung kepada rekan bisnis perusahaan. Oleh karena
itu, XL Axiata menyadari pentingnya melakukan integrasi antara BCM dengan rekan bisnis
perusahaan, serta mengawasi implementasi kerja sama bisnis agar selalu terhindar dari risiko-
risiko bisnis yang merugikan.
Penerapan ERG pada perusahaan XL Axiata mendorong terciptanya konsep Good Corporate
Governance (GCG). Prinsip GCG pada perusahaan XL Axiata mendukung dan berperan
penting dalam penerapan tugas tata kelola XL Axiata, berikut struktur tata kelola perusahaan:
• Rapat Umum Pemegang Saham (RUPS) untuk penentuan keputusan-keputusan
seperti pengesahan laporan tahunan perseroan dan pembayaran dividen;
• Dewan Komisaris melakukan pengawasan, pemantauan, serta memberikan panduan
dan nasihat kepada Direksi dalam pengelolaan XL Axiata;
• Direksi bertanggung jawab penuh terhadap pengelolaan XL Axiata sesuai dengan
tujuannya, serta mewakili XL Axiata baik di dalam maupun di luar pengadilan;
• Komite Nominasi dan Remunerasi memberikan rekomendasi kepada RUPS terkait
dengan pencalonan, seleksi, dan rekomendasi kandidat anggota Dewan Komisaris, Direksi,
dan Komite lainnya;
• Komite Audit bertanggung jawab dalam mengevaluasi integritas laporan keuangan
yang diterbitkan Perseroan, menelaah efektivitas sistem pengendalian internal, dan
mengidentifikasi potensi permasalahan yang timbul karena pelanggaran peraturan perundang-
undangan yang berlaku;
• Komite-komite di bawah Direksi dan fungsi-fungsi di bawah Direksi seperti Audit
Internal dan Manajemen Risiko, Sekretaris Perusahaan, Corporate Legal, Komunikasi

17. Perusahaan, dan Hubungan Investor yang bertugas dalam memaksimalkan efektivitas fungsi-
fungsi direksi.
Selain kondisi geologis, faktor tingkat persaingan menjadi perhatian utama bagi sebuah
industri yang bergerak pada bidang teknologi dan informasi. Banyaknya pesaing di sektor
industri ini menjadi tantangan tersendiri. Perusahaan seperti XL Axiata harus terus menerus
memastikan adanya perkembangan dalam hal teknologi informasi.
Selain perusahaan XL Axiata, salah satu perusahaan lain yang menerapkan ERG adalah
Unilever. Unilever merupakan perusahaan yang menghasilkan produk kebutuhan sehari-hari,
makanan, dan es krim. Saham perseroan Unilever pertamakali ditawarkan kepada masyarakat
pada tahun 1981 dan tercatat di Bursa Efek Indonesia seja 11 Januari 1982. Pada akhir tahun
2011, saham perseroan menempati peringkat keenam kapitalisasi pasar terbesar di Bursa Efek
Indonesia.
Bagi perusahaan Unilever penerapan ERG merupakan tanggung jawab Direksi, yang dibantu
oleh Komite Manajemen Risiko Perusahaan (KMRP). Komite MRP terdiri atas Group Audit
Manager, Financial Controller, Commercial Manager, Busines System Manager dan
Sekretaris Perusahaan, dan dipimpin oleh Direktur Keuangan. Komite MRP bertugas
membantu Direksi dalam melaksanakan tanggung jawabnya untuk memastikan bahwa
manajemen risiko telah dilaksanakan sesuai dengan sistem secara efektif.
Beberapa risiko yang dihadapi perusahaan Unilever diantaranya risiko operasi dan risiko
pasar. Risiko operasi yang dimaksud adalah kemampuan untuk menghasilkan produk yang
dipengaruhi pada kemampuan perusahaan untuk menjamin pasokan bahan-bahan produksi
secara tepat waktu dan tepat biaya. Sedangkan untuk risiko pasar dapat berupa para
kompetitor lokal maupun internasional yang cepat memposisikan diri untuk meraih peluang
lebih besar dari pasar yang terus tumbuh. Kegagalan dalam mengantisipasi kecenderungan ini
akan berdampak merugikan terhadap bisnis perusahaan. Baik Unilever maupun XL Axiata
harus terus menerus meningkatkan daya saing perusahaan terutama dalam rangka
menghadapi Asean Economic Community pada tahun 2015.
Asean Economic Community (AEC) merupakan sebuah momentum penting bagi negara-
negara di kawasan Asia Tenggara terutama bagi industri-industri. Adanya integrasi antar
kawasan di wilayah tersebut dapat menjadi kesempatan untuk meningkatkan pangsa pasar
bagi perusahaan, namun dapat menjadi bumerang apabila tidak ada persiapan dan
kemampuan berkompetisi yang tinggi. Banyak risiko yang akan muncul dari diterapkannya
AEC, diantaranya peningkatan barang ekspor dan impor, bebasnya pergerakan arus modal,
meningkatnya pertumbuhan ekonomi, persaingan yang lebih ketat antar perusahaan dan

18. tenaga kerja, dan maraknya kesamaan produk. AEC dalam kasus perusahaan telekomunikasi
(XL Axiata) dan Home and Personal Care serta Foods & Ice Cream di Indonesia (Unilever)
dapat memberikan potensi baik keuntungan dan kerugian yang ditentukan oleh penanganan
dari manajemen risiko perusahaan itu sendiri. Teknologi merupakan hal yang sangat dinamis,
apabila perusahaan telekomunikasi seperti XL Axiata tidak mengikuti perkembangan
teknologi maka pangsa pasar akan diambil oleh para pesaingnya. Dibutuhkan suatu tata
kelola perusahaan yang dapat memanfaatkan kesempatan ini. Dengan adanya tata kelola
perusahaan yang baik proses pengambilan keputusan dapat menjadi tepat sasaran dan
implementasi dari keputusan tersebut dapat terlaksana dengan baik dan efektif.
Hal yang Perlu Diperhatikan Dalam Implementasi ERG
Menurut IRGC terdapat lima kunci dasar yang dapat menjamin implementasi ERG yang baik,
diantaranya:
• Risk Pre-Assessment, mendefinisikan masalah secara terstruktur termasuk dari sudut
pandang beberapa stakeholders serta bagaimana permasalahan tersebut dapat ditangani.
• Risk Appraisal, menggabungkan penilaian risiko dengan mempertimbangkan bahaya
dan kemungkinannya, terhadap persepsi atau perhatian publik untuk menyediakan hal-hal
pendukung pada pembuatan keputusan.
• Characterisation and Evaluation, berdasarkan data ilmiah dilakukan analisa
mengenai nilai-nilai social yang terkena dampak suatu risiko, serta mengevaluasi apakah
risiko dapat diterima, harus dimitigasi, atau dijauhi.
• Risk Management, beberapa tindakan dan pemulihan dalam rangka menjauhi,
memperkecil transfer atau menahan suatu risiko.
• Risk Communication, mengkomunikasikan dengan para stakeholder dan masyarakat
agar tercipta kesamaan pemahaman dan partisipasi dalam proses risk governance.
Selain itu terdapat beberapa hal penting yang perlu dipraktikkan dalam penerapan ERG yang
dikhususkan kepada para anggota dewan, diantaranya:
• Para anggota dewan dalam membuat keputusan harus menghindari konflik
kepentingan dan fokus pada penciptaan nilai perusahaan;
• Ethical dan bertanggung jawab dalam penentuan keputusan perusahaan;
• Secara jelas menjelaskan dan mendokumentasikan term of reference bagi para direksi
dan eksekutif perusahaan;
• Melakukan verifikasi dan validasi secara independen terhadap pelaporan dan proses
keuangan;

19. • Terbuka kepada pihak stakeholders dari segala permasalahan yang melibatkan
perusahaan;
• Secara jelas mendokumentasikan key roles, tanggung jawab, kebijakan, dan prosedur
pada keseluruhan perusahaan.
Daftar Pustaka
• https://accounting.binus.ac.id/2015/09/25/sistem-pengendalian-menurut-coso/ 19:00
21/03/2018
• http://wahyunidewi77.blogspot.co.id/2014/11/pengendalian-internal-coso.html 25/03/2018
01:33
• http://repository.uksw.edu/bitstream/123456789/2636/2/T1_232008057_Full%20text.pdf
(04/04/2018 JAM 20:50)
• http://journal.stmikdb.ac.id/index.php/dutacom/article/download/37/36 (04/04/2018 JAM
21:01)
• http://crmsindonesia.org/publications/3-langkah-penerapan-enterprise-risk-management/
(04/04/2018 JAM 21:07)
• http://auditorinternal.com/2010/02/15/mengenal-erm/ (04/04/2018 JAM 21:11)
• https://id.wikipedia.org/wiki/Manajemen_risiko_korporasi (04/04/2018 JAM 21:12)
• https://id.wikipedia.org/wiki/COBIT (04/04/2018 JAM 21:13)
• https://haendra.wordpress.com/2012/06/08/pengertian-cobit/ (04/04/2018 JAM 21:18)
• http://sitirahmaprawitisari.blogspot.co.id/p/cobit-control-objectives-for.html (08/04/2018
jam 17:20)
• https://www.slideshare.net/MuhamadArdiansyah1/penjelasan-coso-cobit (09/04/2018 jam
10:05)
• http://www.eko-faiqurridho.com/2016/12/enterprise-risk-management-erm.html
(09/04/2018 jam 10:10)
• Laporan tahunan 2015 bca, 2018,
https://www.google.com/url?sa=t&rct=j&q=&esrc=s&source=web&cd=1&ved=
0ahUKEwjKl5_h0YXaAhVBRo8KHaZUBEAQFggoMAA&url=https%3A%2F%2Fw
ww.bca.co.id%2Fid%2FTentang-
BCA%2F~%2Fmedia%2F7CE41C6BA83343AEB870A328D835CB05.ashx&usg=
AOvVaw2Uv242UNnw0x_iACOF4cAb (25 Maret 2018, jam 02:06)
• http://fauzi461203976.blogspot.co.id/2015/06/implementasi-cobit-di-pt-transindo-
jaya.html (09/04/2018 jam 14:10)
• http://crmsindonesia.org/publications/penerapan-enterprise-risk-governance-pada-
listed-company-di-indonesia/ (09/04/2018 jam 16:10)