AMK-B-R2-G2-Ade Gustia Nugroho

Manajemen Risiko (Risk Management)

Dibuat untuk memenuhi tugas mata kuliah Audit Manajemen dan Kinerja

Disusun oleh :

Ade Gustia Nugroho 12030116120060

Departemen Akuntansi

Fakultas Ekonomika dan Bisnis

Universitas Diponegoro

2018/2019
 COBIT and Other ISACA Guidance

COBIT~Control Objective for Information and related Technology

Dikeluarkan dan disusun oleh IT Governance Institute yang merupakan bagian dari ISACA
(Information Systems Audit and Control Association) pada tahun 1996. hingga saat artikel ini di
muat setidaknya sudah ada 5 versi COBIT yang sudah diterbitkan, versi pertama diterbitkan pada
tahun 1996, versi kedua tahun 1998, versi 3.0 di tahun 2000, Cobit 4.0 pada tahun 2005, CObit
4.1 tahun 2007 dan yang terakhir ini adalah Cobit versi 5 yang di rilis baru-baru saja.

COBIT adalah merupakan kerangka panduan tata kelola TI dan atau bisa juga disebut sebagai
toolset pendukung yang bisa digunakan untuk menjembatani gap antara kebutuhan dan
bagaimana teknis pelaksanaan pemenuhan kebutuhan tersebut dalam suatu organisasi. COBIT
memungkinkan pengembangan kebijakan yang jelas dan sangat baik digunakan untuk IT kontrol
seluruh organisasi, membantu meningkatkan kualitas dan nilai serta menyederhanakan
pelaksanaan alur proses sebuah organisasi dari sisi penerapan IT.

Cobit berorientasi proses, dimana secara praktis Cobit dijadikan suatu standar panduan untuk
membantu mengelola suatu organisasi mencapai tujuannya dengan memanfaatkan TI. Cobit
memberikan panduan kerangka kerja yang bisa mengenndalikan semua kegiatan organisasi
secara detail dan jelas sehingga dapat membantu memudahkan pengambilan keputusan di level
top dalam organisasi. Siapa saja yang menggunakan COBIT?, COBIT digunakan secara umum
oleh mereka yang memiliki tanggung jawab utama dalam alur proses organisasi, mereka yang
organisasinya sangat bergantung pada kualitas,kehandalan dan penguasaan teknologi informasi.

Cobit memiliki 4 Cakupan Domain :

1. Perencanaan dan Organisasi (Plan and organise)
Domain ini mencakup strategi dan taktik yang menyangkut identifikasi tentang
bagaimana TI dapat memberikan kontribusi terbaik dalam pencapaian tujuan bisnis
 AMK-B-R2-G2-Ade Gustia Nugroho

organisasi sehingga terbentuk sebuah organisasi yang baik dengan infrastruktur teknologi
yang baik pula.

2. Pengadaan dan implementasi (Acquirw and implement)

Untuk mewujudkan strategi TI, solusi TI perlu diidentifikasi, dibangun atau diperoleh
dan kemudian diimplementasikan dan diintegrasikan dalam proses bisnis.

3. Pengantaran dan dukungan (Deliver and Support)

Domain ini berhubungan dengan penyampaian layanan yang diinginkan, yang terdiri dari
operasi pada security dan aspek kesinambungan bisnis sampai dengan pengadaan
training.

4. Pengawasan dan evaluasi (Monitor and Evaluate)

Semua proses TI perlu dinilai secara teratur dan berkala bagaimana kualitas dan
kesesuaiannya dengan kebutuhan kontrol.
COBIT (Control Objectives for Information and Related Technology) merupakan standard
yang dikeluarkan oleh ITGI (The IT Governance Institute). COBIT merupakan suatu koleksi
dokumen dan framework yang diklasifikasikan dan secara umum diterima sebagai best practice
untuk tata kelola (IT Governance), kontrol dan jaminan TI. Referensi perihal manajemen resiko
secara khusus dibahas pada proses PO9 dalam COBIT. Proses proses yang lain juga menjelaskan
tentang manajemen resiko namun tidak terlalu detail.
 Understand
Objectives

Identify
Monitoring
Risks

Response
3 Assess Risks
To Risks

Gambar Framework Manajemen Resiko COBIT

Resiko adalah segala hal yang mungkin berdampak pada kemampuan organisasi dalam mencapai
tujuantujuannya. Framework manajemen resiko TI dengan menggunakan COBIT (lihat gambar)
terdiri dari :

1. Penetapan Objektif
Kriteria informasi dari COBIT dapat digunakan sebagai dasar dalam mendefinisikan objektif TI.
Terdapat tujuh kriteria informasi dari COBIT yaitu : effectiveness, efficiency, confidentiality,
integrity, availability, compliance, dan reliability.
2. Identifikasi Resiko
Tabel kejadian yang kemungkinan mengganggu adanya pencapaian objektif suatu perusahaan:
 AMK-B-R2-G2-Ade Gustia Nugroho

Identifikasi resiko merupakan proses untuk mengetahui resiko. Sumber resiko bisa berasal dari :
Manusia, proses dan teknologi
Internal (dari dalam perusahaan) dan eksternal(dari luar perusahaan)
Bencana (hazard), ketidakpastian (uncertainty) dan kesempatan (opportunity).
Dari ketiga sumber resiko tersebut dapat diketahui kejadian-kejadian yang dapat mengganggu
perusahaan dalam mencapai objektifnya (lihat tabel event diatas).
3. Penilaian Resiko
Proses untuk menilai seberapa sering resiko terjadi atau seberapa besar dampak dari resiko.
Dampak resiko terhadap bisnis (business impact) bisa berupa : dampak terhadap financial,
menurunnya reputasi disebabkan sistem yang tidak aman, terhentinya operasi bisnis, kegagalan
aset yang dapat dinilai (sistem dan data), dan penundaan proses pengambilan keputusan.

Sedangkan kecenderungan (likelihood) terjadinya resiko dapat disebabkan oleh sifat alami dari
bisnis, struktur dan budaya organisasi, sifat alami dari sistem (tertutup atau terbuka, teknologi
baru dan lama), dan kendali-kendali yang ada. Proses penilaian resiko bisa berupa resiko yang
tidak dapat dipisahkan (inherent risks) dan sisa resiko (residual risks).
Tabel tingkatan besarnya dampak resiko dan frekuensi terjadinya resiko
4. Respon Resiko
Untuk melakukan respon terhadap resiko adalah dengan menerapkan kontrol objektif yang sesuai
dalam melakukan manajemen resiko. Jika sisa resiko masih melebihi resiko yang dapat diterima
(acceptable risks), maka diperlukan respon resiko tambahan. Proses-proses pada framework
COBIT (dari 34 Control Objectives) yang sesuai untuk manajemen resiko adalah :
PO1 (Define a Stretegic IT Plan) dan PO9 (Assess and Manage Risks)
AI6 (Manages Change)
DS5 (Ensure System and Security) dan DS11 (Manage Data)
ME1 (Monitor and Evaluate IT Performance)

5. Monitor Resiko
Setiap langkah dimonitor untuk menjamin bahwa resiko dan respon berjalan sepanjang waktu.
 AMK-B-R2-G2-Ade Gustia Nugroho

Enterprise Risk Management: COSO ERM

Manajemen risiko merupakan konsep dimana individu atau kelompok menggunakan suatu
mekanisme untuk menyediakan suatu perlindungan dari timbulnya suatu risiko. Risiko disini
berarti mengindikasikan terjadinya sesuatu hal yang tidak sesuai dengan rencana atau harapan
sebelumnya, akan tetapi risiko ini juga belum tentu mengarahkan kepada terjadinya suatu
masalah. Mengapa manajemen risiko ini penting? Sikap orang dalam menghadapi risiko
tergolong berbeda-beda antara orang yang satu dengan yang lainnya. Nah dengan adanya
pemahaman inilah yang berarti bahwa seseorang dituntut untuk mengerti betapa risiko itu
penting untuk ditangani dengan baik.

1. IDENTIFIKASI RISIKO
Proses identifikasi risiko memerlukan pendekatan yang dipelajari dan disengaja untuk
melihat potensi risiko di setiap area operasi dan kemudian mengidentifikasi area risiko
yang lebih signifikan yang dapat memengaruhi setiap operasi dalam periode waktu yang
wajar. Proses identifikasi risiko ini harus terjadi pada beberapa tingkatan dengan
pemahaman bahwa risiko yang berdampak pada unit bisnis individu atau proyek mungkin
tidak memiliki dampak besar pada seluruh perusahaan atau di luarnya. Sebaliknya, risiko
besar yang berdampak pada seluruh perekonomian akan mengalir ke masing-masing
perusahaan dan unit bisnisnya yang terpisah

2. PENILAIAN RISIKO
Berbagai pendekatan dapat digunakan di sini, mulai dari pendekatan kualitatif perkiraan
terbaik hingga beberapa analisis kuantitatif terperinci yang sangat matematis. Idenya
adalah untuk membantu memutuskan mana dari serangkaian peristiwa yang berpotensi
berisiko yang harus membuat manajemen paling khawatir.

3. PROBABILITAS DAN KETIDAKPASTIAN

Titik dimana ketika sejumlah besar risiko telah teridentifikasi, manajemen harus
memikirkan estimasi kemungkinan risiko individu dna kejadian dalam hal probabilitas
dua digit, mulai dati 0,01 hingga 0,99.
4. RISIKO AUDIT DAN PROSES ERM COSO
Sebuah perusahaan dapat meningkatkan proses secara keseluruhan sama halnya dengan
Sarbanes Oxley Act dalam hal pengendalian internal melalui implementasi yang efektif
dan juga efisien COSO ERM. Untuk meninjau adanya praktek COSO ERM dan
implementasi prosedur, auditor internal, baik sebagai peninjau audit internal control atau
konsultan manajemen. Internal audit harus meninjau:
Proses flowchart sebagai bagian dari proses ERM
Tinjauan bahan dan pengendalian risiko
Pembandingan
Kuesioner .