TUGAS RANGKUMAN FRAMEWORK MANAJEMEN RISIKO

COSO ERM

Disusun oleh :

Asep Rudi L -

Harish Sabar - 1117104017

Reza Renaldy - 1117104006

Prodi Sistem Informasi

Fakultas Teknik

Universitas Widyatama

2019
PENGERTIAN COSO ERM

COSO Enterprise Risk Management — Integrated Framework (COSO ERM) adalah

kerangka kerja manajemen risiko korporasi (MRK) yang diterbitkan oleh Committee of
Sponsoring Organizations of the Treadway Commission Amerika Serikat pada tahun 2004.
COSO ERM merupakan pengembangan dari kerangka kerja COSO untuk pengendalian
internal yang diterbitkan pada tahun 1992. Kerangka kerja COSO ERM terdiri atas delapan
komponen dan empat kategori sasaran yang divisualisasikan dalam bentuk kubus.

Gambar : COSO ERM Model

Bagian ERM Model :

● 4 kolom atas yang menunjukkan tujuan.

● 8 baris horizontal menunjukkan komponen Risiko.
● 4 level untuk menggambarkan berbagai perusahaan dimulai dari headquarters level
hingga individual subsidiaries.

Bagian atas yaitu objektif (Strategic, Operations, Reporting, dan Compliance) yang
saling terikat dengan 8 bagian depan kubus yang merupakan komponen apa yang harus
dilakukan untuk mencapai objektif tersebut, dan bagian kubus satunya yaitu
merepresentasikan unit organisasi secara keseluruhan.

KETERKAITAN COSO-ERM DAN COBIT

COSO Enterprise Risk Management (COSO ERM) adalah kerangka Kerja Manajemen
Risiko Korporasi (MRK) yang diterbitkan oleh Committee of Sponsoring Organizations of
the Treadway Commission (COSO) Amerika Serikat. COSO ERM terdiri atas bagian yang
saling terkait sebagai berikut :

KOMPONEN RESIKO

1. Lingkungan internal (internal environment)

Mengidentifikasi kondisi internal perusahaan, meliputi kekuatan dan kelemahan
organisasi. Penerapan dalam perusahaan berupa pembagian tugas dan wewenang,
Standar operasional (SOP), pembagian struktur organisasi, integritas dan etika dalam
membangun kultur perusahaan.

2. Penetapan sasaran (objective setting)

Sasaran kegiatan manajemen risiko harus sejalan dengan sasaran dari perusahaan.
Penerapan dalam perusahaan yaitu agar perusahaan berjalan dengan efektif dan efisien,
dan menghilangkan biaya-biaya yang tidak diperlukan, serta memahami level resiko
yang ingin diterima.

3. Identifikasi kejadian (event identification)

Kejadian internal dan eksternal yang dapat mempengaruhi pencapaian sasaran
perusahaan harus diidentifikasi, meliputi risiko dan kesempatan yang akan timbul.
Penerapan dalam perusahaan antara lain, penggelapan barang milik perusahaan, absensi
yang tidak sesuai, kolusi dan nepotisme dalam organisasi.
4. Penilaian risiko (risk assessment)
Risiko dianalisis berdasarkan kemungkinan dan dampaknya. Hasil analisis risiko
akan dijadikan dasar untuk menentukan perlakuan risiko. Penerapan dalam perusahaan
berupa apakah pelanggaran yang dilakukan sering terjadi dan apakah berdampak pada
perusahaan.

5. Perlakuan risiko (risk respons)

Terdapat empat alternatif pada perlakuan risiko, yaitu menghindari (avoidance),
menerima (acceptance), mengurangi (reduction), dan membagi risiko (sharing).
Pemilihan perlakuan risiko dilakukan dengan membandingkan hasil analisis risiko
dengan risk appetite dan risk tolerance. Penerapan dalam perusahaan dengan mencegah
pelanggaran yang terjadi, dan apabila sudah terjadi diberikan hukuman yang jelas.

6. Aktivitas pengendalian (control activities)

Membangun dan mengimplementasikan kebijakan dan prosedur untuk
memastikan perlakuan risiko diterapkan dengan efektif. Penerapan dalam perusahaan
yaitu review tentang anggaran dan target, rekonsiliasi, konsinyering.

7. Informasi dan komunikasi (information and communication)

Informasi yang relevan diidentifikasi, diperoleh, dan dikomunikasikan dalam
bentuk dan waktu yang tepat agar personal dapat melakukan tanggung jawabnya
dengan baik. Penerapan dalam perusahaan dengan cara meeting/rapat manajemen
dengan karyawan untuk mengkomunikasikan target dan kebijakan manajemen

8. Pemantauan (monitoring)
Seluruh proses manajemen risiko harus dipantau, dievaluasi dan dikembangkan,
apakah efektif menangani permasalahan yang ada. Penerapan dalam perusahaan
berupa evaluasi dengan target setiap hari, setiap minggu, setiap bulan, dan setiap
tahunan.
TUJUAN MANAJEMEN RISIKO

1. Tujuan Manajemen Risiko Operasional (Operations)

Risiko operasional merupakan risiko yang umumnya bersumber dari masalah internal
perusahaan, dimana risiko tersebut terjadi disebabkan oleh lamanya sistem kontrol
manajemen (management control system). Yang dilakukan oleh pihak internal
perusahaan. Misalnya risiko operasional adalah risiko pada komputer karena telah
terserang virus, kerusakan maintenance pabrik, kecelakaan kerja, kesalahan dalam
pencatatan pembelian barang dan tidak adanya kesepakatan bahwa barang yan dibeli
dapat ditukar kembali dan sebagainya.

Risiko operasional dapat menimbulkan kerugian keuangan secara langsung

maupun tidak langsung dan kerugian potensial atas hilangnya kesempatan
memperoleh keuntungan. Risiko ini merupakan risiko yang melekat (inherent) pada
setiap aktivitas fungsional Bank, seperti kegiatan perkreditan (penyediaan dana),
tresuri dan investasi, operasional dan jasa, pembiayaan perdagangan, pendanaan dan
instrumen utang, teknologi sistem informasi dan sistem informasi manajemen, dan
pengelolaan sumber daya manusia.Risiko operasional bukanlah hal baru walaupun
disadari merupakan risiko yang paling akhir terdefinisikan dalam Basel II

Identifikasi tujuan risiko operasi ini sering membutuhkan informasi rinci

pengumpulan dan analisis, terutama untuk perusahaan besar yang meliputi beberapa
wilayah geografis, lini produk, atau proses bisnis. manajer langsung dari
masing-masing unit biasanya memiliki pemahaman terbaik dari risiko operasional
mereka, dan informasi yang dapat menjadi hilang ketika konsolidasi untuk pelaporan
tingkat yang lebih tinggi. audit internal ulasan atau survei orang terkena dampak
langsung oleh risiko ini dapat membantu untuk mengumpulkan informasi latar
belakang yang lebih rinci tentang potensi risiko operasional. Sebuah survei langsung
on-the-lantai anggota dari perusahaan, bersama dengan pertanyaan tindak lanjut, akan
memungkinkan pengembangan satu set luas dan konsisten dari risiko operasi katalog.
Pertanyaan yang diajukan di sini akan mirip dengan jenis pertanyaan rinci yang
digunakan dalam penilaian pengendalian internal audit internal, dan hasilnya di sini
 bisa menjadi dasar untuk mengembangkan pemahaman yang lebih baik tentang risiko
potensial.

Jenis survei, beredar di semua tingkat perusahaan, dengan pesan mendorong para
pemangku kepentingan untuk menanggapi terang, sering mengumpulkan informasi
penting mengenai potensi risiko pada tingkat operasional yang rinci. Seorang manajer
pabrik operasi jarak jauh tidak mungkin memadai dikomunikasikan kekhawatiran
tentang beberapa risiko operasional plant level.

Seringkali survei berbasis luas dan rahasia yang lebih baik memungkinkan orang
untuk berkomunikasi risiko operasi tingkat lokal melalui perusahaan. Dengan
tampilan portofolio ERM risiko, perusahaan harus menghindari bergulir hal menjadi
terlalu banyak dari tingkat ringkasan, hilang atau pembulatan risiko lower level
penting. Apapun posisi mereka dalam perusahaan atau lokasi geografis mereka,
manajer di semua tingkatan harus menyadari bahwa mereka bertanggung jawab untuk
menerima dan mengelola risiko dalam unit operasional mereka sendiri. Terlalu sering,
manajer unit mungkin percaya bahwa manajemen risiko menjadi perhatian hanya
untuk staf kantor pusat tingkat senior. Pentingnya manajemen ERM dan operasi risiko
COSO harus dikomunikasikan kepada semua tingkat perusahaan. auditor internal
harus bertindak sebagai mata dan telinga di sini dan melaporkan semua risiko operasi
diamati.

2. Tujuan Manajemen Risiko Pelaporan (Reporting)

Tujuan risiko ini mencakup keandalan laporan suatu perusahaan data finansial dan
nonfinansial internal dan eksternal. pelaporan yang akurat sangat penting bagi
keberhasilan suatu perusahaan dalam banyak dimensi. News melaporkan sering detail
penemuan pelaporan keuangan yang tidak akurat perusahaan dan mengakibatkan
dampak pasar saham untuk entitas menyinggung. Bahwa pelaporan yang tidak akurat
yang sama dapat menyebabkan masalah di banyak daerah. Sebuah contoh dari risiko
yang berkaitan dengan pelaporan yang tidak akurat menjadi masalah beberapa tahun
yang lalu di perusahaan minyak utama Royal Dutch Shell. perusahaan eksplorasi
minyak dan gas yang diperlukan untuk melaporkan cadangan mereka-jumlah minyak
 dan gas pada sifat mereka yang belum diambil. Pada Januari 2004, Royal Dutch
mengumumkan bahwa karena perkiraan buruk dan pencatatan ceroboh, sudah
signifikan overreporting diperkirakan reserves.6 minyak bumi Kesalahan ini tidak
mempengaruhi perusahaan dilaporkan hasil keuangan dan SEC pedoman pelaporan
cadangan di sini tidak begitu kuat; Namun demikian, pasar babak belur saham setelah
pengumuman, dan CEO, kepala operasi eksplorasi minyak, dan lain-lain dipaksa
untuk mengundurkan diri. perusahaan, di bawah ketua baru, kemudian mengumumkan
rakit perubahan dan perbaikan pengendalian internal untuk memperbaiki kerusakan.

Tidak peduli apa industri itu di, sebuah perusahaan menghadapi risiko utama dari
pelaporan yang tidak akurat di unit atau wilayah. unit operasi harus memastikan
bahwa melaporkan hasil yang benar sebelum mereka lulus ke tingkat berikutnya
dalam organisasi, dan nomor konsolidasi harus akurat, apakah mereka berada di
laporan keuangan, pajak, atau salah satu dari segudang daerah lain. pengendalian
internal yang baik diperlukan untuk memastikan pelaporan yang akurat. ERM prihatin
dengan risiko otorisasi dan melepaskan laporan tidak akurat.

Pengendalian internal yang kuat harus meminimalkan risiko kesalahan, dan

perusahaan harus selalu mempertimbangkan risiko yang terkait dengan pelaporan
yang tidak akurat. Royal Dutch Shell kesalahan pelaporan cadangan adalah contoh
dari jenis perhatian pelaporan risiko. kesalahan kecil dan perbedaan dapat diabaikan
dari waktu ke waktu sampai ada kesalahan besar yang perlu diungkapkan. Risiko
pelaporan yang tidak akurat tersebut harus menjadi perhatian di semua tingkat
perusahaan.

3. Hukum dan Peraturan Tujuan Risiko (Compliance)

Setiap jenis perusahaan harus mematuhi berbagai peraturan perundang-undangan

governmentimposed atau industri standar. Sementara risiko kepatuhan dapat dipantau
dan diakui, risiko hukum kadang-kadang benar-benar tak terduga. Jenis risiko hukum
sangat sulit untuk mengantisipasi tetapi bisa menjadi bencana untuk suatu perusahaan.
COSO ERM merekomendasikan bahwa risiko terkait kepatuhan dipertimbangkan
untuk masing-masing komponen kerangka risiko, apakah dalam konteks lingkungan
 internal, pengaturan tujuan, atau pemantauan risiko, serta di seluruh perusahaan.
Bahan bimbingan ERM tidak menawarkan banyak informasi tambahan tentang
kepatuhan ini bertujuan selain untuk menyatakan bahwa tujuan ini mengacu pada
kesesuaian dengan hukum dan peraturan yang berlaku. Ini adalah elemen penting dari
kerangka kerja manajemen risiko yang perlu dikomunikasikan dan dipahami. Seperti
telah dibahas, semua perusahaan menghadapi berbagai persyaratan kepatuhan hukum
dan peraturan, dengan beberapa berdampak hampir semua perusahaan dan lain-lain
yang terkait dengan hanya unit bisnis tunggal di sektor industri khusus.

Sifat risiko-risiko kepatuhan perlu dikomunikasikan dan dipahami melalui semua

tingkat perusahaan. Suatu perusahaan dapat menerima tingkat risiko tertentu dalam
hal keprihatinan mengenai kepatuhan hukum. Sementara hukum besar tidak boleh
dengan sengaja diabaikan karena merasa pelanggaran tidak akan pernah tertangkap,
suatu perusahaan harus selalu mengambil pendekatan beralasan risiko dalam
hubungannya dengan keseluruhan filsafat dan risiko selera nya.

4. Strategi Tujuan(Strategy)

Pada bagian ini ditetapkan berbagai tujuan masa depan yang akan dicapai oleh sebuah
organisasi, dan kesemuanya selaras dengan visi dan misi yang telah ditetapkan oleh
organisasi.

KOMPONEN ENTITAS

Dimensi ketiga dari kerangka COSO ERM menyebut risiko yang harus dipertimbangkan
pada suatu organisasi atau tingkat entitas unit. The COSO framework ERM di Exhibit 6.5
menunjukkan empat divisi dalam dimensi kerangka ini: tingkat entitas, divisi, unit bisnis,
dan risiko anak. Risiko ERM COSO harus diidentifikasi dan dikelola dalam setiap unit
organisasi yang signifikan, termasuk risiko secara entitas-lebar melalui unit bisnis
individu.
 Sebuah perusahaan dengan empat divisi operasi utama dan dengan beberapa unit
bisnis di bawah masing-masing akan memiliki kerangka kerja ERM yang mencerminkan
semua unit. Sementara risiko ini mungkin penting untuk organisasi secara keseluruhan,
mereka harus dipertimbangkan secara unit dengan unit ke level tingkat yang diperlukan
untuk memungkinkan perusahaan untuk memahami dan mengelola risiko. COSO ERM
tidak menentukan bagaimana tipis risiko ini unit level harus diiris, dan kekritisan dan
materialitas unit bisnis individu harus dipertimbangkan. Untuk makanan cepat saji utama
rantai restoran dengan ribuan unit, misalnya, itu akan tidak masuk akal untuk
memasukkan setiap unit individu sebagai komponen terpisah dalam model risiko.
Sebaliknya, manajemen harus menentukan risiko organisasi-level cukup detail untuk
menutup semua signifikan, risiko dikelola.

a. Risks Encompassing the Entire Organization

Beberapa risiko di tingkat unit bisnis harus menggulung risiko entitas-tingkat.

Sangat mudah bagi perusahaan untuk mempertimbangkan beberapa risiko tingkat
unit sebagai "tidak material", menggunakan-SOx pra terminologi akuntan publik,
suatu perusahaan harus memikirkan semua risiko yang berpotensi signifikan.

b. Business Unit-Level Risks

Risiko terjadi pada semua tingkat perusahaan, apakah divisi produksi utama
dengan beberapa tanaman dan ribuan karyawan atau posisi kepemilikan minoritas
di sebuah perusahaan penjualan luar negeri. Risiko harus diperhatikan dalam
setiap unit organisasi yang signifikan. Bahkan risiko yang teridentifikasi dalam
posisi kepemilikan minoritas di sebuah perusahaan penjualan luar negeri,
misalnya, mungkin risiko unik untuk unit yang tapi kemudian harus menggulung
ke entitas secara keseluruhan. Kami telah mencontohkan risiko entitas-tingkat
yang mungkin timbul dari kegagalan dalam pembuatan atau standar hak asasi
manusia dari anak kecil di negara berkembang.

Tergantung pada kompleksitas dan jumlah unit operasi, tanggung jawab risiko sering bisa
start terbaik sebagai proses push-down di mana manajemen tingkat korporasi secara resmi
menguraikan kekhawatiran terkait risiko utama dan meminta manajemen yang bertanggung
jawab di masing-masing divisi utama untuk survei tujuan risiko melalui operasi unit dalam
divisi itu. Dengan cara ini, risiko yang signifikan dapat diidentifikasi pada semua tingkat dan
kemudian dikelola di tingkat mana mereka dapat menerima paling langsung, dukungan lokal.
dan berikut adalah pembagian dan tanggung jawab yang dijelaskan dalam COSO ERM :

● Board of Directors (BoD) memiliki tanggung jawab penting dalam melakukan

pemantauan terhadap penerapan manajemen risiko, dengan turut memperhitungkan
risk appetite dari entitas.

● Chief Executive Officer (CEO) memiliki tanggung jawab untuk memastikan

berjalannya ERM yang efektif pada keseluruhan perusahaan.

● Manajer memiliki tanggung jawab dalam mendukung penerapan prinsip ERM

perusahaan, memastikan pemenuhan ERM dengan risk appetite, dan mengelola risiko
di ranah kewenangannya agar konsisten dengan risk tolerance yang dimilikinya.

● Risk officer, financial officer, dan internal audit memiliki peran kunci dalam
mendukung efektivitas penerapan manajemen risiko perusahaan.

● Petugas operasional (atau biasa disebut risk coordinator) bertanggung jawab dalam
menerapkan manajemen risiko perusahaan sejalan dengan prosedur dan kebijakan
manajemen risiko perusahaan.

● Pihak eksternal (seperti pelanggan, kompetitor, otoritas, dan pihak yang berperan
dalam value chain perusahaan) tidak memiliki tanggung jawab dalam memastikan
efektivitas ERM dari entitas, tetapi pihak-pihak tersebut berperan penting dalam
menyediakan informasi yang dapat mendukung efektivitas manajemen risiko.
COBIT

Pengendalian internal dari sisi teknologi informasi yang banyak diadopsi oleh
perusahaan-perusahaan di dunia adalah konsep COBIT. Control Objective for Information
and related Technology (COBIT) adalah suatu panduan standar praktik manajemen
Information Technolgy (IT). Standar COBIT dikeluarkan oleh IT Governance Institute yang
merupakan bagian dari Information Systems Audit and Control Association (ISACA).
COBIT 4.1 merupakan versi terbaru yang dikeluarkan oleh ISACA.COBIT memiliki 4
cakupan domain (framework) proses, yaitu :

1. Perencanaan dan organisasi (plan and organise)

Domain ini menitikberatkan pada proses perencanaan dan penyelarasan strategi TI
dengan strategi perusahaan, mencakup masalah strategi, taktik dan identifikasi tentang
bagaimana TI dapat memberikan kontribusi maksimal terhadap pencapaian tujuan
bisnis organisasi sehingga terbentuk sebuah organisasi yang baik dengan infrastruktur
teknologi yang baik pula. Domain ini menjawab pertanyaan manajemen berikut:
● Apakah TI dan strategi bisnis selaras?
● Apakah perusahaan mencapai penggunaan sumber dayanya dengan optimal?
● Apakah setiap orang dalam organisasi memahami tujuan TI?
● Apakah risiko TI dipahami dan dikelola?
● Apakah kualitas sistem TI sesuai dengan kebutuhan bisnis?
Domain ini mencakup : Menentukan rencana strategis, Menentukan arsitektur
informasi, Menentukan arah teknologi, Menentukan proses TI, organisasi dan
hubungannya, Mengelola investasi TI, Mengkomunikasikan tujuan dan arahan
manajemen, Mengelola sumber daya manusia, Mengelola kualitas, Menilai dan
mengelola resiko TI, Mengelola proyek.

2. Pengadaan dan implementasi (acquire and implement)

Untuk mewujudkan strategi TI, solusi IT perlu diidentifikasi, dikembangkan atau
diakuisisi, serta diimplementasikan dan diintegrasikan ke dalam proses organisasi.
Selain itu, perubahan dan pemeliharaan sistem yang ada tercakup dalam domain ini,
 untuk memastikan solusi TI dapat memenuhi tujuan/sasaran organisasi. Domain ini
biasanya menangani pertanyaan manajemen berikut:
● Apakah proyek baru akan memberikan solusi yang sesuai dengan kebutuhan bisnis?
● Apakah proyek-proyek baru akan dikirim tepat waktu dan sesuai anggaran?
● Akankah sistem baru bekerja dengan baik saat diimplementasikan?
● Akankah perubahan dilakukan tanpa mengganggu operasi bisnis saat ini?
Domain ini meliputi: Mengidentifikasi solusi yang dapat diotomatisasi,
Mendapatkan dan maintenance software aplikasi, Mendapatkan dan maintenance
infrastuktur teknologi, Mengaktifkan operasi dan penggunaan, Pengadaan sumber daya
IT, Mengelola perubahan, Instalasi dan akreditasi solusi dan perubahan.

3. Pengantaran dan dukungan (deliver and support)

Domain ini berkaitan dengan pengiriman layanan yang dibutuhkan, termasuk
pengiriman layanan, pengelolaan keamanan dan kontinuitas, dukungan layanan untuk
pengguna, dan pengelolaan data dan fasilitas operasional. Domain ini biasanya
membahas pertanyaan manajemen berikut:

● Apakah layanan TI disampaikan sesuai dengan prioritas bisnis?

● Apakah biaya TI dioptimalkan?
● Apakah tenaga kerja dapat menggunakan sistem TI secara produktif dan aman?
● Apakah kerahasiaan, integritas, dan ketersediaan memadai untuk keamanan
informasi?

Domain ini meliputi : Menentukan dan mengelola tingkat layanan, Mengelola

layanan dari pihak ketiga, Mengelola performa dan kapasitas, Menjamin layanan yang
berkelanjutan, Menjamin keamanan sistem, Mengidentifikasi dan mengalokasikan dana,
Mendidik dan melatih pengguna, Mengelola service desk dan insiden, Mengelola
konfigurasi, Mengelola permasalahan, Mengelola data, Mengelola lingkungan fisik,
Mengelola operasi.

4. Pengawasan dan evaluasi (monitor and evaluate)

 Semua proses TI perlu dinilai secara teratur dari waktu ke waktu untuk
mengetahui kualitas dan kepatuhan terhadap persyaratan pengendalian. Domain ini
membahas manajemen kinerja, pemantauan pengendalian internal, kepatuhan terhadap
peraturan dan tata kelola. Domain ini membahas pertanyaan manajemen berikut:

● Apakah kinerja TI diukur untuk mendeteksi masalah sebelum terlambat?

● Apakah manajemen memastikan bahwa pengendalian internal efektif dan efisien?
● Dapatkah kinerja TI dihubungkan kembali ke sasaran bisnis?
● Apakah kerahasiaan, integritas dan kontrol ketersediaan memadai untuk keamanan
informasi?
Domain ini meliputi : Mengawasi dan mengevaluasi performansi TI,
Mengevaluasi dan mengawasi kontrol internal, Menjamin kesesuaian dengan kebutuhan
eksternal, Menyediakan IT Governance.

Manajemen berharap dengan penerapan metode COBIT tersebut, penggunaan teknologi

informasi (TI) dapat mendukung organisasi dalam mencapai tujuan. Dengan kerangka kerja
COBIT tersebut manajemen mengharapkan IT digunakan perusahaan untuk mencapai
keunggulan kompetitif. Secara khusus manajemen perlu mengetahui dengan penggunaan
Teknologi Informasi, apakah informasi yang ada dikelola organisasi sehingga berguna untuk
mencapai tujuan organisasi, beradaptasi dengan perubahan yang ada, mengelola resiko yang
dihadapi, dan mengenali peluang serta memanfaatkan peluang tersebut. Selain itu diharpakan
dengan penerapan COBIT dapat menghasilkan informasi yang :

● Effectiveness, menitikberatkan pada sejauh mana efektifitas informasi dikelola dari

data-data yang diproses oleh sistem informasi yang dibangun.
● Efficiency, menitikberatkan pada sejauh mana efisiensi investasi terhadap informasi yang
diproses oleh sistem.
● Confidentiality, menitikberatkan pada pengelolaan kerahasiaan informasi secara hierarkis.
● Integrity, menitikberatkan pada integritas data/informasi dalam sistem.
● Availability, menitikberatkan pada ketersediaan data/informasi dalam sistem informasi.
● Compliance, menitikberatkan pada kesesuaian data/informasi dalam sistem informasi.
● Reliability, menitikberatkan pada kemampuan/ketangguhan sistem informasi dalam
pengelolaan data/informasi.

Sumber :

https://id.wikipedia.org/wiki/COSO_ERM
https://www.isaca.org/pages/default.aspx
https://haendra.wordpress.com/2012/06/08/pengertian-cobit/
https://crmsindonesia.org/publications/perbandingan-coso-erm-integrated-framework-dengan
-iso-31000-2009-risk-management-principles-and-guidelines/