Panduan Substansi_ Pengelolaan Kinerja Kepala Sekolah Tahap Pelaksanaan.pptx
COBIT dan Pengendalian Internal
1. 1
MEMBANDINGKAN KERANGKA PENGENDALIAN INTERNAL
Untuk memenuhi Tugas SISTEM INFORMASI DAN PENGENDALIAN
INTERNAL FORUM DAN QUIZ EL MINGGU KE-10
Jurusan Magister Akuntansi
Disusun oleh:
Siti Maesaroh (55516120009)
Dosen Pengampu:
Prof. Dr. Ir. Hapzi Ali, MM, CMA
MAGISTER AKUNTANSI
UNIVERSITAS MERCU BUANA
JAKARTA
2017
2. 2
1. Hubungan COBIT dengan pengendalian internal perusahaan
Pengertian Cobit
COBIT adalah merupakan kerangka panduan tata kelola TI dan atau bisa juga
disebut sebagai toolset pendukung yang bisa digunakan untuk menjembatani gap
antara kebutuhan dan bagaimana teknis pelaksanaan pemenuhan kebutuhan tersebut
dalam suatu organisasi. COBIT memungkinkan pengembangan kebijakan yang jelas
dan sangat baik digunakan untuk IT kontrol seluruh organisasi, membantu
meningkatkan kualitas dan nilai serta menyederhanakan pelaksanaan alur proses
sebuah organisasi dari sisi penerapan IT.
Cobit berorientasi proses, dimana secara praktis Cobit dijadikan suatu standar
panduan untuk membantu mengelola suatu organisasi mencapai tujuannya dengan
memanfaatkan IT. Cobit memberikan panduan kerangka kerja yang bisa
mengendalikan semua kegiatan organisasi secara detail dan jelas sehingga dapat
membantu memudahkan pengambilan keputusan di level top dalam organisasi.
Lingkup Cobit
Cobit memiliki 4 Cakupan Domain yaitu:
1. Perencanaan dan Organisasi (Plan and Organise)
Domain ini mencakup strategi dan taktik yang menyangkut identifikasi tentang
bagaimana TI dapat memberikan kontribusi terbaik dalam pencapaian tujuan bisnis
organisasi sehingga terbentuk sebuah organisasi yang baik dengan infrastruktur
teknologi yang baik pula.
2. Pengadaan dan Implementasi (Acquire and Implement)
Untuk mewujudkan strategi TI, solusi TI perlu diidentifikasi, dibangun atau diperoleh
dan kemudian diimplementasikan dan diintegrasikan dalam proses bisnis.
3. Pengantaran dan Dukungan (Deliver and Support)
Domain ini berhubungan dengan penyampaian layanan yang diinginkan, yang terdiri
dari operasi pada security dan aspek kesinambungan bisnis sampai dengan pengadaan
training.
4. Pengawasan dan Evaluasi (Monitor and Evaluate)
Semua proses TI perlu dinilai secara teratur dan berkala bagaimana kualitas dan
kesesuaiannya dengan kebutuhan kontrol.
Keempat domain tersebut diatas kemudian dijabarkan menjadi 34 faktor resiko
yang harus dievaluasi jika ingin diperoleh suatu kesimpulan mengenai seberapa besar
kepedulian manajemen terhadap teknologi informasi, serta bagaimana teknologi
informasi dapat memenuhi kebutuhan manajemen akan informasi.
3. 3
COBIT IT Processes Defined Withen The Four Domain
Gambar Kerangka COBIT
PLANNING AND ORGANISATION (PO)
1
2
3
4
5
6
7
8
P01
P02
PO3
PO4
PO5
PO6
PO7
PO8
Menetapkan Rencana Strategis Teknologi Informasi (Define a
Strategic IT Plan)
Menetapkan Arsitektur Informasi (Define the Information
Architecture)
Menetapkan Arah Teknologi (Determine Technological Direction)
Menetapkan Organisasi TI dan Hubungannya (Define the IT
Organisation and Relationships)
Mengatur Investasi TI (Manage the IT Investment)
Mengkomunikasikan Tujuan dan Arahan Manajemen (Communicate
Management Aims and Direction)
Mengelola Sumberdaya Manusia (Manage Human Resources)
Memastikan Kesesuaian dengan Kebutuhan-kebutuhan eksternal
(Ensure Compliance with External Requirements)
4. 4
9
10
11
PO9
PO10
PO11
Menilai Resiko (Assess Risks)
Mengatur Proyek (Manage Projects)
Mengatur Kualitas (Manage Quality)
ACQUISITION AND IMPLEMENTATION (AI)
12
13
14
15
16
17
AI1
AI2
AI3
AI4
AI5
AI6
Identifikasi solusi-solusi otomatisasi (Identify Automated Solutions)
Memperoleh dan memelihara Perangkat Lunak Aplikasi
(Acquireand Maintain Application Software)
Memperoleh dan memelihara Infrastruktur Teknologi (Acquire and
Maintain Technology Infrastructure)
Mengembangkan dan memelihara prosedur (Develop and Maintain
Procedures)
Instalasi dan pengakuan sistem (Install and Accredit Systems)
Mengatur Perubahan (Manage Changes)
DELIVERY AND SUPPORT (DS)
18
19
20
21
22
23
24
25
26
27
28
29
30
DS1
DS2
DS3
DS4
DS5
DS6
DS7
DS8
DS9
DS10
DS11
DS12
DS13
Menetapkan dan mengatur tingkatan pelayanan (Define and Manage
Service Levels)
Mengelola layanan pihak ke tiga (Manage Third-Party Services)
Mengelola kapasitas dan kinerja (Manage Performance and
Capacity)
Menjamin layanan berkelanjutan (Ensure Continuous Service)
Menjamin keamanan sistem (Ensure Systems Security)
Mengidentifikasikan dan mengalokasikan biaya (Identify and
Allocate Costs)
Mendidik dan melatih user (Educate and Train Users)
Membantu dan memberikan masukan kepada pelanggan (Assist and
Advise Customers)
Mengelola konfigurasi (Manage the Configuration)
Mengelola kegiatan dan permasalahan (Manage Problems and
Incidents)
Mengelola Data (Manage Data)
Mengelola Fasilitas (Manage Facilities)
Mengelola Operasi (Manage Operations)
MONITORING (M)
31
32
33
34
M1
M2
M3
M4
Mengawasi proses (Monitor the Processes)
Menilai kecukupan pengendalian internal (Assess Internal Control
Adequacy)
Memperoleh jaminan independen (Obtain Independent Assurance)
Menyediakan Audit Independen (Provide for Independent Audit)
5. 5
Secara keseluruhan 34 proses diataslah yang digunakan sebagai panduan
dalam menangani masalah tata kelola IT atau pembuatan IT strategic plan, meskipun
dalam prakteknya tidak mesti menggunakan 34 proses tersebut karena proses-proses
tersebut menyesuaikan dengan kondisi organisasi.
Hubungan COBIT dengan pengendalian internal perusahaan
Konsep Pengendalian Internal COBIT dilihat dari berbagai sudut pandang
Pengguna Utama
COBIT di rancang untuk digunakan oleh tiga pengguna yang berbeda yaitu :
• Manajemen : untuk membantu mereka menyeimbangkan antara resiko dan investasi
pengendalian dalam sebuah lingkungan IT yang sering tidak dapat diprediksi.
• User : untuk memperoleh keyakinan atas layanan keamanan dan pengendalian IT
yang disediakan oleh pihak internal atau pihak ketiga.
• Auditor : untuk medukung/memperkuat opini yang dihasilkan dan/atau untuk
memberikan saran kepada manajemen atas pengendalian internal yang ada.
Tujuan Pengendalian Internal bagi Organisasi
Operasi yang efektif dan efisien
Keefektifan berkenaan dengan informasi yang diperoleh harus relevan dan berkaitan
dengan proses bisnis yang ada dan juga dapat diperoleh tepat waktu, benar, konsisten,
dan bermanfaat. Sedangkan keefisienan berkaitan dengan penyediaan informasi
melalui sumber daya (yang paling produktif dan ekonomis) yang optimal.
Kerahasiaan
Menyangkut perhatian atas perlindungan informasi yang sensitif dari pihak-pihak
yang tidak berwenang.
Integritas
Berkaitan dengan akurasi dan kelengkapan dari informasi dan juga validitasnya sesuai
nilai-nilai dan harapan bisnis.
Ketersedian Informasi
Berkaitan dengan informasi harus dapat tersedia ketika dibutuhkan oleh suatu proses
bisnis baik sekarang maupun di masa yang akan datang. Ini juga terkait dengan
pengamanan atas sumber daya yang perlu dan kemampuan yang terkait.
6. 6
Pelaporan keuangan yang handal
Berkaitan dengan pemberian informasi yang tepat bagi manajemen untuk
mengoperasikan perusahaan dan juga pemenuhan kewajiban mereka untuk membuat
pelaporan keuangan.
Ketaatan terhadap ketentuan hukum dan peraturan
Terkait dengan pemenuhan sesuai dengan ketentuan hukum, peraturan, perjanjian
kontrak, dimana dalam hal ini proses bisnis dipandang sebagai suatu subjek.
Domain
1. Planning and organization
Domain ini mencakup strategi dan taktik, dan perhatian atas identifikasi bagaimana IT
secara maksimal dapat berkontribusi dalam pencapaian tujuan bisnis. Selain itu,
realisasi dari visi strategis perlu direncanakan, dikomunikasikan, dan dikelola untuk
berbagai perspektif yang berbeda. Terakhir, sebuah pengorganisasian yang baik serta
infrastruktur teknologi harus di tempatkan di tempat yang semestinya.
2. Acquisition dan implementation
Untuk merealisasikan strategi IT, solusi TI perlu diidentifikasi, dikembangkan atau
diperoleh, serta diimplementasikan, dan terintegrasi ke dalam proses bisnis. Selain itu,
perubahan serta pemeliharaan sistem yang ada harus di cakup dalam domain ini untuk
memastikan bahwa siklus hidup akan terus berlangsung untuk sistem-sisteem ini.
3. Delivery and Support
Domain ini memberikan fokus utama pada aspek penyampaian/pengiriman dari IT.
Domain ini mencakup area-area seperti pengoperasian aplikasi-aplikasi dalam sistem
IT dan hasilnya, dan juga, proses dukungan yang memungkinkan pengoperasian
sistem IT tersebut dengan efektif dan efisien. Proses dukungan ini termasuk
isu/masalah keamanan dan juga pelatihan.
4. Monitoring
Semua proses IT perlu dinilai secara teratur sepanjang waktu untuk menjaga kualitas
dan pemenuhan atas syarat pengendalian. Domain ini menunjuk pada perlunya
pengawasan manajemen atas proses pengendalian dalam organisasi serta penilaian
independen yang dilakukan baik auditor internal maupun eksternal atau diperoleh dari
sumber-sumber anternatif lainnya.
Kerangka kerja COBIT ini terdiri atas beberapa arahan ( guidelines ), yakni:
Control Objectives : Terdiri atas 4 tujuan pengendalian tingkat-tinggi ( high-level
control objectives ) yang tercermin dalam 4 domain, yaitu: planning &
organization , acquisition & implementation , delivery & support , dan monitoring .
Audit Guidelines : Berisi sebanyak 318 tujuan-tujuan pengendalian yang bersifat
rinci (detailed control objectives ) untuk membantu para auditor dalam
memberikanmanagement assurance dan/atau saran perbaikan.
7. 7
Management Guidelines : Berisi arahan, baik secara umum maupun spesifik,
mengenai apa saja yang mesti dilakukan, terutama agar dapat menjawab pertanyaan-
pertanyaan berikut :
• Sejauh mana Anda (TI) harus bergerak, dan apakah biaya TI yang dikeluarkan sesuai
dengan manfaat yang dihasilkannya.
• Apa saja indikator untuk suatu kinerja yang bagus?
• Apa saja faktor atau kondisi yang harus diciptakan agar dapat mencapai sukses
(critical success factors )?
• Apa saja risiko-risiko yang timbul, apabila kita tidak mencapai sasaran yang
ditentukan?
• Bagaimana dengan perusahaan lainnya – apa yang mereka lakukan?
• Bagaimana Anda mengukur keberhasilan dan bagaimana pula membandingkannya.
The COBIT Framework memasukkan juga hal-hal berikut ini:
• Maturity Models – Untuk memetakan status maturity proses-proses TI (dalam skala 0
– 5) dibandingkan dengan “the best in the class in the Industry” dan juga
International best practices
• Critical Success Factors (CSFs) – Arahan implementasi bagi manajemen agar dapat
melakukan kontrol atas proses TI.
• Key Goal Indicators (KGIs) – Kinerja proses-proses TI sehubungan dengan business
requirements
• Key Performance Indicators (KPIs) – Kinerja proses-proses TI sehubungan
denganprocess goals.
Satu dari prinsip dalam COBIT 5 ini adalah pembedaan yang dibuat antara tata kelola
(governance) dan pengelolaan (management). Selaras dengan prinsip ini, setiap
organisasi diharapkan untuk melaksanakan sejumlah proses tata kelola dan sejumlah
proses pengelolaan untuk menyediakan tata kelola dan pengelolaan enterprise IT yang
komprehensif.
2. COSO Enterprise Risk Management (COSO ERM) dan Implementasi di
perusahaan
ERM versi COSO terdiri dari 8 komponen yang saling terkait. Kedelapan
komponen ini diturunkan dari bagaimana manajemen menjalankan perusahaan dan
diintegrasikan dengan proses manajemen. Kedelapan komponen ini diperlukan untuk
mencapai tujuan-tujuan perusahaan, baik tujuan strategis, operasional, pelaporan
keuangan, maupun kepatuhan terhadap ketentuan perundang-undangan. Komponen-
komponen tersebut adalah:
1. Lingkungan Internal (Internal Environment) - lingkungan internal yang
meliputi nada organisasi, dan menetapkan dasar untuk bagaimana risiko
dipandang dan ditangani oleh orang-orang entitas, termasuk filosofi manajemen
risiko, dan resiko, integritas dan nilai etika, dan lingkungan di mana mereka
beroperasi.
8. 8
2. Penentuan Tujuan (Objective Setting) – Tujuan perusahaan harus ada terlebih
dahulu sebelum manajemen dapat menidentifikasi kejadian-kejadian yang
berpotensi mempengaruhi pencapaian tujuan tersebut. ERM memastikan bahwa
manajemen memiliki sebuah proses untuk menetapkan tujuan ddan bahwa
tujuan yang dipilih atau ditetapkan tersebut terkait dan mendukung misi
perusahaan dan konsisten dengan risk appetite-nya.
3. Identifikasi Kejadian (Event Identification) – Kejadian internal dan eksternal
yang mempengaruhi pencapaian tujuan perusahaan harus diidentifikasi, dan
dibedakan antara risiko dan peluang. Peluang dikembalikan (channeled back)
kepada proses penetapan strategi atau tujuan manajemen.
4. Penilaian Risiko (Risk Assessment) – Risiko dianalisis dengan
memperhitungkan kemungkinan terjadi (likelihood) dan dampaknya (impact),
sebagai dasar bagi penentuan bagaimana seharusnya risiko tersebut dikelola.
5. Respons Risiko (Risk Response) – Manajemen memilih respons risiko –
menghindar (avoiding), menerima (accepting), mengurangi (reducing), atau
mengalihkan (sharing risk) – dan mengembangkan satu set kegiatan agar risiko
tersebut sesuai dengan toleransi (risk tolerance) dan risk appetite.
6. Kegiatan Pengendalian (Control Activities) – Kebijakan dan prosedur yang
ditetapkan dan diimplementasikan untuk membantu memastikan respons risiko
berjalan dengan efektif.
7. Informasi dan komunikasi (Information and Communication) – Informasi
yang relevan diidentifikasi, ditangkap, dan dikomunikasikan dalam bentuk dan
waktu yang memungkinkan setiap orang menjalankan tanggung jawabnya.
8. Pengawasan (Monitoring) – Keseluruhan proses ERM dimonitor dan modifikasi
dilakukan apabila perlu. Pengawasan dilakukan secara melekat pada kegiatan
manajemen yang berjalan terus-menerus, melalui eveluasi secara khusus, atau
dengan keduanya.
9. 9
Gambar 1. Ilustrasi keterkaitan sasaran, komponen ERM, dan unit kerja
perusahaan
COSO ERM – Integrated Framework juga mendeskripsikan peran dan
tanggung jawab dari unit-unit kerja perusahaan dalam penerapan manajemen risiko.
Satu prinsip dasar yang ditanamkan COSO ERM adalah bahwa “semua bagian di
dalam perusahaan memiliki tanggung jawab terhadap ERM”, yang artinya
implementasi manajemen risiko harus mencakup entity-level, division, business unit,
hingga subsidiary, dan mencakup seluruh seluruh sumber daya manusia di dalamnya.
Walau begitu, terdapat pembagian peran dan tanggung jawab dalam penerapan ERM.
Berikut adalah pembagian peran dan tanggung jawab yang dijelaskan COSO ERM:
• Board of Directors (BOD) memiliki tanggung jawab penting dalam
melakukan pemantauan terhadap penerapan manajemen risiko, dengan turut
memperhitungkan risk appetite dari entitas;
• Chief Executive Officer (CEO) memiliki tanggung jawab untuk memastikan
berjalannya ERM yang efektif pada keseluruhan perusahaan;
• Manajer memiliki tanggung jawab dalam mendukung penerapan prinsip ERM
perusahaan, memastikan pemenuhan ERM dengan risk appetite, dan
mengelola risiko di ranah kewenangannya agar konsisten dengan risk
tolerance yang dimilikinya;
• Risk officer, financial officer, dan internal audit memiliki peran kunci dalam
mendukung efektivitas penerapan manajemen risiko perusahaan;
• Petugas operasional (atau biasa disebut risk coordinator) bertanggung jawab
dalam menerapkan manajemen risiko perusahaan sejalan dengan prosedur dan
kebijakan manajemen risiko perusahaan;
• Pihak eksternal (seperti pelanggan, kompetitor, otoritas, dan pihak yang
berperan dalam value chainperusahaan) tidak memiliki tanggung jawab dalam
10. 10
memastikan efektivitas ERM dari entitas, tetapi pihak-pihak tersebut berperan
penting dalam menyediakan informasi yang dapat mendukung efektivitas
manajemen risiko.
COSO percaya Enterprise Risk Manajemen - Integrated Framework
menyediakan keterkaitan yang jelas antara komponen manajemen risiko sebuah
organisasi dan tujuan yang akan mengisi kebutuhan untuk memenuhi undang -
undang baru, peraturan, dan standar pencatatan dan mengharapkan akan menjadi
diterima secara luas oleh perusahaan dan organisasi lain dan pihak yang
berkepentingan.
COSO mengakui dalam laporan mereka bahwa sementara manajemen risiko
perusahaan memberikan manfaat penting, ada keterbatasannya. Manajemen risiko
perusahaan tergantung pada penilaian manusia dan karena itu rentan terhadap
pengambilan keputusan. Kegagalan manusia seperti kesalahan sederhana atau
kesalahan dapat menyebabkan respon yang tidak memadai untuk risiko. Selain itu,
kontrol dapat dielakkan dengan kolusi dari dua atau lebih orang, dan manajemen
memiliki kemampuan untuk mengesampingkan keputusan manajemen risiko.
Keterbatasan ini menghalangi papan dan manajemen dari memiliki jaminan mutlak
untuk pencapaian tujuan entitas.
Meskipun COSO mengklaim model yang diperluas mereka lebih menyediakan
manajemen risiko, perusahaan tidak diharuskan untuk beralih ke model baru jika
mereka menggunakan Internal Control-Integrated Framework.
Implementasi di Perusahaan
Berikut akan dijelaskan implementasi kedelapan komponen COSO ERM
terhadap penerapan manajemen risiko operasional di perusahaan pertambangan batu
bara:
1. Internal Enviroment
Direksi menyadari bahwa peran manajemen risiko di perusahaan sangat
dibutuhkan untuk memberikan peringatan dini mengenai kemungkinan terjadinya
risiko di masa yang akan datang. Oleh karena itu, dibentuklah Divisi Manajemen
Risiko yang secara fungsi terpisah dari Divisi Audit Internal agar dapat
melakukan tugas secara maksimal. Secara struktur organisasi, hal ini sudah tepat
dilaksanakan mengingat peran Divisi Audit Internal hrus tetap independen.
Dalam melakukan manajemen risiko operasional, komitmen penuh baru dirasakan
pada tingkatan BOD dan Divisi Manajemen Risiko. Di tingkat organisasi di lokasi
tambang, komitmen untuk melakukan manajemen risiko operasional masih sangat
minim. Risk owner kegiatan operasional masih menjadi kewajiban dari Kepala
11. 11
Departemen Operasional. Padahal, risk owner kegiatan operasional ialah seluruh
pihak yang memiliki risiko operasional yang berkontribusi, dalam kegiatan
operasional sehari-hari. Minimnya kesadaran akan risiko tersebut juga disadari
oleh risk officer. Hal tersebut menjadi kendala dalam melakukan manajemen
risiko. Para risk owner dalam kegiatan operasional sebenarnya mengetahui adanya
risiko namun mereka masih enggan untuk mengelola bahkan cenderung untuk
tidak memperdulikan.
2. Objective Setting
Penentuanan risk owner target produksi batubara belum diselaraskan dengan risk
appetite perusahaan. Penentuan target produksi hanya berdasarkan perencanaan
dan permintaan dari owner untuk memenuhi target produksi. Dengan demikian,
secara keseluruhan risiko operasional baik yang bersifa signifikan maupun tidak
signifikan diterima oleh perusahaan guna mencapai target produksi tersebut.
Penentuan target produksi seharusnya diselaraskan dengan risk appetite
perusahaan agar dapat mengelola risiko yang timbul akibat kegiatan operasional
dalam memenuhi targetnya.
3. Event Identification
Proses identifikasi kejadian-kejadian yang menimbulkan risiko sudah efektif
dijalankan setiap harinya. Namun, belum dilakukan dokumentasi dari hasil rapat
yang menyebabkan kejadian-kejadian yang teridentifikasi secara tertulis menjadi
tidak kemprehensif. Proses identifikasi risiko saat ini masih perlu dorongan dari
Divisi Manajemen Risiko disaat melakukan kunjungan ke lokasi tambang.
Padahal seharusnya sudah menjadi kewajiban dari Deparmen Operasional untuk
melakukan identifkasi setiap bulannya ke dalam risk register.
4. Risk Assesments
Perusahaan telah memiliki penilaian risiko berdasarkan 2 aspek yaitu, penentuan
skala memungkinan (likelihood) dan penentuan skala dampak (impact), maka hal
tersebut sudah sesuai dengan komponen risk assessment pada pendekatan COSO
ERM. Namun penilaian risiko operasional yang dilakukan oleh risk owner belum
sepenuhnya berdasarkan ketentuan yang berlaku. Penilaian risiko operasional
lebih diberatkan kepada pandangan judgement pribadi risk owner dan tingkat
kemungkinan terjadinya risiko tersebut.
5. Risk Response
Di dalam ketentuan yang berlaku pada manajemen risiko di perusahaan terdapat
pilihan penanganan atau respon terhadap risiko, yakni menerima, menghindari,
mengurangi dan membagi risiko-risiko tersebut. Hal ini sudah sesuai dengan
pendekatan COSO ERM dimana juga terdapat empat pilihan yang sama dalam
merespon suatu risiko yang terjadi. Pada praktiknya, risiko-risiko operasional
yang antara lain berupa risiko produktivitas, risiko proses, dan risiko sumber daya
manuasia yang telah diidentifikasi dan dinilai langsung direspon oleh risk owner.
Risiko-risiko operasional tersebut pada umumnya mendapatkan respon untuk
12. 12
mengurangi dan membagi risiko tersebut kepada departemen lain maupun kepada
perusahaan owner.
6. Control Activities
Di dalam ketentuan manajemen risiko perusahaan, control yang dilakukan antara
lain dengan melakukan dokumentasi dari setiap tahapan prosedur manajemen
risiko dan juga pembagian tugas serta pelaporan. Setiap fungsi di dalam
manajemen risiko, mulai dari risk owner sampai dengan BOD, memiliki tugas dan
wewenang masing-masing. Risk owner berkewajiban untuk terus melakukan
update risiko dan berkewajiban untuk melakukan dokumentasi ke dalam risk
register. Risk officer juga bertanggung jawab dalam membantu risk owner serta
merekapitulasi seluruh risiko ke dalam risk register. Divisi Manajemen Risiko
memiliki kewajiban untuk memantau serta me-review risk register untuk
diserahkan kepada BOD dan BOD memiliki wewenang untuk memutuskan
penanganan terhadap suatu risiko tersebut. Aktivitas kontrol perusahaan
sebenarnya sudah sesuai dengan pendekatan COSO ERM, namun belum ada
security dan information processing dalam bentuk teknologi informasi. Aktivitas
kontrol pada manajemen risiko operasional masih banyak memiliki kekurangan.
Pada tingkat risk owner, dokumentasi dilakukan sangat minim dan hanya pada
periode tertentu dan itu juga setelah didesak oleh risk officer dan Divisi
Manajemen Risiko. Risk officer sendiri memiliki keterbatasan dalam melakukan
control atas risiko operasional karena memiliki tanggung jawab lain sebagai
kepala departemen. Hal ini menyebabkan tidak adanya kontrol yang ketat atas
respon terhadap risiko operasional yang ada.
7. Information and Communication
Informasi dan komunikasi yang efektif terjadi pada saat rapat koordinasi setiap
harinya dengan seluruh departemen terkait kegiatan operasional. Di rapat tersebut,
departemen operasional selaku risk owner menyampaikan informasi terkait
kendala dan risiko operasional kepada seluruh pihak untuk dicari penyelesaiannya
bersama. Hal demikian juga dilakukan oleh risk officer setiap bulannya dengan
melakukan komunikasi kepada masing-masing risk owner untuk melakukan
update terhadap risk register. Namun kendala yang dihadapi ialah baatas waktu
yang sering terlambat dilakukan oleh risk owner dalam pengumpulan risk register.
8. Monitoring
Aktivitas monitoring telah diatur di dalam SOP manajemen risiko perusahaan.
Monitoring rutin dilakukan dengan memberikan kewajiban kepada setiap risk
owner untuk melakukan update laporan mitigasi risiko secara rutin (tiga bulan
atau setiap bulan). Selainitu juga, Divisi Manajemen Risiko dapat melakukan
komunikasi kepada setiap risk owner ketika melakukan kunjungan, mereka juga
melakukan monitoring terhadap pelaksanaan proses manajemen risiko yang
dilakukan di lokasi tambang. Namun, ketentuan untuk melaporkan kegiatan
mitigasi risiko operasional setiap periodenya sebagai bentuk monitoring, belum
13. 13
dilakukan secara efektif. Keterlambatan dalam memberikan laporan menjadi
kendala utama. Risk officer juga mengalami keterbatasan dalam melakukan
monitoring karena kesibukan dan memiliki tanggung jawab lain sebagai Kepala
Departemen Engineer. Oleh karena itu, monitoring baru efektif dilakukan ketika
adanya kunjungan dari Divisi Manajemen Risiko atau dari Tim Audit Internal.
Monotoring secara langsung ini juga menemui banyak kendala mengingat belum
adanya bukti secara tertulis terkait dari perkembangan aktivitas manajemen risiko
operasional. Divisi manajemen Risiko melakukan klasifikasi melalui wawancara
dengan pihak terkait dalam melakukan observasi langsung terhadap kegiatan
mitigasi risiko operasional yang telah dilakukan.
14. 14
DAFTAR PUSTAKA
1. Hapzi Ali, 2016, Modul Sistem Informasi & Pengendalian Internal. Mercu
Buana
2. Hapzi Ali, 2009, Sistem Informasi Manajemen, Berbasis Teknologi Informasi,
Hasta Cipta Mandiri, Jogyakarta
3. http://laisanurin.blogspot.co.id/2014/01/apa-yang-anda-ketahui-mengenai-
cobit.html
4. http://billymerkava.blogspot.co.id/2013/01/apa-yang-anda-ketahui-mengenai-
cobit.html
5. http://auditorinternal.com/2010/02/15/mengenal-erm/
6. http://docshare04.docshare.tips/files/13032/130320030.pdf
7. http://lib.ui.ac.id/naskahringkas/2015-09/S44914-Azam%20Prakoso