SI PI, Fanny Ayu, Hapzi Ali, Internal Control Over Financial Reporting, Universitas Mercu Buana, 2017

1. SISTEM INFORMASI & PENGENDALIAN INFORMASI (SI PI)
TENTANG
Internal Control Over Financial Reporting, Implementasi dan desain ICoFR
Dosen:
Prof. Dr. Ir. Hapzi Ali, MM, CMA
Dibuat:
Fanny Ayu Astari (55517110040)
MAGISTER AKUNTANSI
PROGRAM PASCA SARJANA (S2)
UNIVERSITAS MERCUBUANA
JAKARTA
2017

2. ICoFR didefinisikan sebagai kebijakan-kebijakan dan rangkaian prosedur serta
tata kerja terkait proses pelaporan keuangan untuk menjamin tersusunnya laporan
keuangan yang akurat, andal dan tepat waktu. Tujuan dari IcoFR ini adalah agar
memiliki keyakinan yang memadai bahwa proses pencatatan pada
laporan keuangan telah didukung dengan internal control yang efektif berdasarkan
ketentuan yang berlaku.
Pengendalian internal atas pelaporan keuangan Internal Control over Financial
Reporting (ICoFR) adalah proses yang didesain oleh, atau dibawah pengawasan
pimpinan perusahaan, dan pimpinan bagian keuangan dan dipengaruhi oleh
Dewan Direksi, manajemen dan karyawan lainnya untuk memberikan keyakinan
yang memadai (reasonable assurance) terkait :
1. Keandalan pelaporan keuangan
2. Penyusunan pelaporan keuangan untuk pihak eksternal sesuai dengan
prinsip akuntansi yang berlaku umum Auditing Standard No.5 par.A5
Manfaat program pengendalian Internal Control over Financial Reporting
atas pelaporan keuangan :
1. Meningkatnya efektivitas dan efisiensi operasi perusahaan
2. Meningkatnya kepatuhan terhadap hukum dan peraturan
3. Mudahnya penilaian terhadap perusahaan
4. Efektivitas desain dan operasi pengendalian
5. Laporan keuangan dan disclosure yang handal
6. Pengambilan keputusan yang lebih tepat
7. Tingkat kepercayaan atas laporan keuangan yang menguat
8. Kemampuan untuk penetrasi pasar modal
9. Reputasi baik di mata stakeholders

3. 10. Proses audit keuangan yang berjalan lancar
Dasar regulasi penerapan pengendalian Internal Control over Financial
Reporting atas pelaporan keuangan :
1. Peraturan Mentri Negara BUMN No. PER – 01/MBU/2011 tentang
penerapan tata kelola perusahaan yang baik (good corporate governance)
pada BUMN
2. Peraturan Bapepam No.VIII.G.11 Lampiran Kep. Ka Bapepam No. KEP-
40/PM/2003 tentang Tanggung Jawab Direksi atas Laporan Keuangan
3. Kep Ka Bapepam-LK No. KEP-134/BL/2006 tentang kewajiban
penyampaian laporan tahunan bagi emiten atau perusahaan publik
4. Tren regulasi global terkait ICoFR (US SOX Section 302 & 404, J SOX)
ICOFR di Indonesia
ICOFR di Indonesia telah diatur dalam SPAP (Standar Audit Akuntan Publik)
yang diterbitkan oleh IAI (Ikatan Akuntan Indonesia) yaitu standar yang
mewajibkan auditor untuk melaksanakan pekerjaan sesuai dengan standar
pekerjaan lapangan No.2, SPAP 1994 – PSA No.06, 23, 24, 35, 60 & 69 , SPAP
2001-SAT Seksi 400 & SA Seksi 314, dalam implementasinya pengendalian
internal menggunakan COSO, namun kewajiban audit atau memberi opini atas
pengendalian internal belum diterapkan. Bagi BUMN keharusan penyelenggaraan
pengendalian internal berbasis COSO tertuang dalam pasal 22 Keputusan Menteri
BUMN Nomor Kep-117/M-MBU/2002 tentang penerapan good governance pada
Badan Usaha Milik Negara (BUMN). Dalam keputusan tersebut dinyatakan
bahwa manajemen BUMN harus memelihara pengendalian internal bagi
perusahaan yang meliputi. Keputusan Ketua Badan Pengawas Pasar Modal
nomor: Kep-40/PM/2003 atau peraturan nomor VIII.G.11 tentang tanggung jawab
direksi atas laporan keuangan, yaitu:

4. a. Laporan Keuangan dalam rangka kewajiban penyampaian laporan
keuangan kepada Bapepam.
b. Direksi Emiten atau Perusahaan Publik wajib membuat surat pernyataan.
c. Surat pernyataan sebagaimana wajib ditandatangani oleh Direktur Utama
dan seorang Direktur yang membawahi bidang akuntansi atau keuangan,
dan bermeterai cukup.
d. Direksi Emiten atau Perusahaan Publik secara tanggung renteng
bertanggung jawab atas pernyataan yang dibuat termasuk kerugian yang
mungkin ditimbulkan.
e. Surat pernyataan wajib dilekatkan pada laporan keuangan yang
disampaikan kepada Bapepam.
f. Dalam hal laporan keuangan yang disampaikan telah diaudit atau ditelaah
secara terbatas, maka tanggung jawab Direksi atas pernyataan
sebagaimana dimaksud berlaku sampai dengan tanggal pendapat akuntan.
g. Laporan keuangan interim yang disampaikan tidak diaudit, maka tanggung
jawab Direksi atas pernyataan berlaku sampai dengan tanggal
disampaikannya surat pernyataan dimaksud kepada Bapepam.
h. Dengan tidak mengurangi ketentuan pidana di bidang Pasar Modal,
Bapepam berwenang mengenakan sanksi terhadap setiap pelanggaran
ketentuan peraturan ini, termasuk pihakpihakyang menyebabkan terjadinya
pelanggaran tersebut.
A. COSO Internal Control Frameworks.
Dikembangkan oleh The Committee of Sponsoring Organization of the Treadway
Commission sejak sebelum 1980, pertama kali dipublikasi pada tahun 1992 yang
kemudian dikembangkan hingga kini. COSO Internal Control Framework lebih
dikenal sebagai acuan yang diterima umum dalam pengendalian internal
perusahaan dan kaitannya dengan pelaporan keuangan dan proses operasi.

5. Definisi pengendalian internal menurut COSO adalah Sebuah proses, yang
dilaksanakan oleh dewan direksi, manajemen, dan personil lainnya, yang
dirancang untuk menyajikan keyakinan memadai terkait dengan pencapaian
tujuan-tujuan dibawah ini:
a. Efektifitas dan efisiensi operasi
b. Keandalan pelaporan keuangan
c. Kepatuhan terhadap hukum dan peraturan
Tujuan pengendalian internal ini dapat dijelaskan sebagai berikut:
1. Efektivitas dan Efisiensi Operasi
Pengendalian internal dimaksudkan untuk menghindarkan pengulangan
kerjasama yang tidak perlu dan pemborosan dalam seluruh aspek usaha
serta mencegah penggunaan sumber daya yang tidak efisien.
2. Keandalan Laporan Keuangan
Agar dapat menyelenggarakan operasi usahanya, manajemen memerlukan
informasi yang akurat. Oleh karena itu dengan adanya pengendalian
internal diharapkan dapat menyediakan data yang dapat dipercaya, sebab
dengan adanya data atau catatan yang andal memungkinkan akan
tersusunnya laporan keuangan yang dapat diandalkan.
3. Kepatuhan terhadap Hukum dan Peraturan
Pengendalian internal dimaksudkan untuk memastikan bahwa segala
peraturan dan kebijakan yang telah ditetapkan manajemen untuk mencapai
tujuan perusahaan dapat ditaati oleh karyawan perusahaan.
Pengendalian internal mengarah pada sebuah proses karena pengendalian
internal menyatu ke dalam kegiatan operasi organisasi dan merupakan
bagian integral kegiatan utama manajemen yaitu perencanaan,
pelaksanaan, dan pengawasan.

6. Pengendalian internal menurut COSO terdiri dari:
1. Lingkungan Pengendalian
2. Penilaian Risiko
3. Aktifitas Pengendalian
4. Informasi dan Komunikasi
5. Pemantauan
Kerangka Pengendalian Internal-Terpadu COSO 2013 diterbitkan pada tahun
1992 oleh COSO. Kemudian pada tanggal 14 Mei 2013, COSO merilis versi
terbaru dari Kerangka Pengendalian Internal-Terpadu. Kerangka baru COSO
adalah hasil dari proyek multitahunan yang signifikan, termasuk dua putaran
paparan publik untuk meninjau, menyegarkan, dan memodernisasi kerangka asli
dengan memastikannya tetap relevan.
Gambar COSO Internal Control Framework
1. Lingkungan Pengendalian menentukan kondisi lingkungan perusahaan,
mempengaruhi kesadaran pengendalian pegawai. Merupakan pondasi dari
komponen lain dengan menyediakan disiplin dan struktur.
Lingkungan Pengendalian:
a. Integritas dan nilai etika

7. b. Komitmen terhadap kompetensi
c. Komisaris dan Komite Audit yang aktif dan efektif
d. Pilosofi manajemen dan gaya operasional
e. Struktur Organisasi
f. Pemberian wewenang dan tanggung jawab
g. Kebijakan dan praktik SDM
2. Penilaian Risiko merupakan identifikasi dan analisa risiko perusahaan
yang relevan dengan pencapaian tujuan, memberikan dasar bagi penentuan
pengelolaan risiko.
Penilaian Risiko:
a. Penetapan Tujuan Tingkat Entitas
b. Penentuan Tujuan Tingkat Aktivitas
c. Identifikasi dan analisa risiko
d. Pengelolaan perubahan
3. Aktivitas Pengendalian merupakan kebijakan dan prosedur yang
memberikan keyakinan bahwa arahan manajemen dilaksanakan dan risiko
yang telah dinilai ditangani secara semestinya.
Aktivitas Pengendalian:
a. Keberadaan kebijakan dan prosedur yang tepat
b. Pelaksanaan kebijakan dan prosedur yang tepat
Aktivitas pengendalian terdiri dari kebijakan dan prosedur yang merasakan
bahwa diperlukan tindakan untuk meredam risiko dalam upaya pencapaian
tujuan perusahaan secara umum. Aktivitas pengendalian dapat dijelaskan
sebagai berikut:
a. Adequate Separation of Duties (Pemisahan Tugas yang Cukup)
Pengendalian internal yang baik menetapkan bahwa tidak ada
pegawai yang diberikan terlalu banyak tanggung jawab sehingga
perlu adanya pemisahan tugas. Beberapa pedoman umum dalam
pemisahan tugas untuk mencegah salah saji, baik yang disengaja
maupun yang tidak disengaja, yaitu :
1) Pemisahan fungsi pemegang aktiva dari fungsi akuntansi

8. 2) Pemisahan otorisasi transaksi dari pemegang aktiva yang
bersangkutan
3) Pemisahan tanggung jawab operasional dari pembukuan
4) Pemisahan tugas dalam EDP
b. Proper Authorization of Transaction and Activities (Otorisasi yang
Pantas atas Transaksi)
c. Otorisasi dapat berbentuk umum dan khusus. Otorisasi umum
berarti bahwa manajemen menyusun kebijakan bagi organisasi
untuk ditaati. Sedangkan otorisasi khusus dilakukan terhadap
transaksi individual. Misalnya, manajemen menentukan kebijakan
otorisasi untuk pembelian aktiva berdasarkan jumlah tertentu yang
sudah ditetapkan, ini adalah otorisasi umum. Bila jumlah
pembelian melebihi yang ditetapkan, maka harus diotorisasi dulu
oleh dewan komisaris, ini adalah otorisasi khusus.
d. Adequate Document and Record (Dokumen dan Catatan yang
Memadai)
Dokumen dan catatan adalah objek fisik dimana transaksi
dimasukkan dan diikhtisarkan. Dokumen berfungsi sebagai
pengantar informasi ke seluruh bagian organisasi. Dokumen harus
memadai untuk memberikan keyakinan memadai bahwa seluruh
aktiva dikendalikan dengan pantas dan seluruh transaksi dicatat
dengan benar. Beberapa prinsip tertentu yang relevan menandai
perancangan dan penggunaan yang tepat atas dokumen dan catatan.
Dokumen dan catatan hendaknya :
1) Diberi nomor urut untuk mencegah terjadinya dokumen
yang hilang dan membantu menelusurinya bila diperlukan.
2) Dibuat pada saat yang sama ketika terjadinya transaksi atau
segera sesudahnya.
3) Cukup sederhana agar mudah dimengerti.
4) Dirancang untuk berbagai kegunaan (bila mungkin) untuk
mengurangi jumlah formulir yang harus dibuat.

9. 5) Dirancang sedemikian rupa untuk memungkinkan
penyajian yang benar. Pengendalian yang erat berkaitan
dengan dokumen dan catatan adalah bagan perkiraan yang
mengklasifikasikan transaksi ke dalam perkiraan neraca dan
laba rugi. Bagan perkiraan merupakan pengendalian yang
penting karena memberikan kerangka kerja untuk
menentukan informasi yang disajikan kepada manajemen
lain dari laporan keuangan. Prosedur untuk pencatatan
secara tepat harus disesuaikan dalam sistem manual untuk
mendorong penerapan yang konsisten. Sistem manual harus
menyediakan informasi yang cukup untuk membantu
pencatatan dan mempertahankan informasi yang tepat atas
transaksi.
e. Physical Check on Performance (Pengendalian Fisik atas Aktiva
dan Catatan) Jenis perlindungan untuk mengamankan aktiva dan
catatan yang paling utama adalah penggunaan tindakan pencegahan
secara fisik. Contohnya, penggunaan gudang persediaan untuk
melindungi dari kemungkinan terjadinya pencurian.
f. Independen Check on Performance (Pengecekan Independen atas
Pelaksanaan)
Kategori terakhir prosedur pengendalian adalah penelaahan yang
hati-hati dan berkesimbangan atas keempat prosedur yang lain,
yang sering disebut sebagai pengecekan independen atau verifikasi
intern. Kebutuhan pengecekan secara independen meningkat
karena pengendalian internal cenderung berubah setiap saat jika
tidak terdapat mekanisme penelaahan yang sering. Contohnya
pegawai mungkin lupa atau sengaja tidak mengikuti prosedur jika
tidak ada orang yang meninjau atau mengawasi pelaksanaanya.

10. 4. Informasi dan komunikasi sistemmen dukung identifikasi, perolehan, dan
pertukaran informasi dalam bentuk dan kerangka waktu yang
memungkinkan pegawai melaksanakan tanggung jawabnya.
1. Informasi dan Komunikasi: Informasi diidentifikasi, diperoleh,
diolah dan dilaporkan
2. Komunikasi yang efektif
Sistem informasi yang relevan terhadap tujuan pelaporan keuangan yang
meliputi sistem akuntansi terdiri dari metoda dan catatan yang ditetapkan
untuk mencatat, mengolah, mengikhtisarkan, dan melaporkan transaksi
suatu entitas dan mempertahankan akuntabilitas untuk aktiva dan utang
yang berkaitan.
Komunikasi mencakup memberikan pemahaman peranan individual dan
tanggung jawab yang berkaitan dengan pengendalian intern atas laporan
keuangan. Komunikasi meliputi sejauh mana personel memahami
bagaimana aktivitas mereka dalam sistem informasi pelaporan keuangan
berkaitan dengan pekerjaan dan hal lainnya.
5. Pemantauan adalah penilaian kualitas kinerja pengendalian internal
sepanjang waktu. Pemantauan dilaksanakan oleh personel yang semestinya
melakukan pekerjaan tersebut baik tahap desain maupun pengoperasian
pengendalian pada waktu yang tepat untuk menentukan apakah
pengendalian internal beroperasi seperti yang diharapkan, dan untuk
menentukan apakah pengendalian internal tersebut memerlukan proses
karena terjadinya perubahan pengelolaan.
Monitoring:
a. Monitoring berkesinambungan
b. Evaluasi Terpisah
c. Pelaporan Kelemahan

11. B. Entity Level Control (ELC) and Transactional Level Control (TLC)
Ruang lingkup pengendalian terbagi dalam dua level, yaitu entity level control
(pengendalian tingkat entitas) dan activity/transactional level control
(pengendalian tingkat aktivitas/transaksi). Perbandingan antara kedua level
tersebut ialah sebagai berikut :
a. Entity level control (ELC)
Kegiatan pengendalian ini umumnya beroperasi pada tingkat perusahaan
atau manajemen puncak pengambil keputusan strategis. Level ini memiliki
jangkauan atau kewenangan pengendalian yang lebih tinggi dari activity
level, dan bisa mempengaruhi kegiatan pada activity level, misalnya
kebijakan perusahaan.
Proses identifikasi yang relevan entitas-tingkat kontrol dapat dimulai
dengan pemantauan, dan informasi dan komunikasi).diskusi antara auditor
dan karyawan yang sesuai untuk atas pelaporan keuangan (yaitu,
lingkungan pengendalian, penilaian risiko, aktivitas
pengendalian,pemantauan, dan informasi dan komunikasi). Sementara
mengevaluasi entitas tingkat kontrol, auditor mungkin mengidentifikasi
kontrol yang mampu mencegah atau mendeteksi salah saji dalam laporan
keuangan. Itu periode-end proses pelaporan keuangan dan pemantauan
manajemen terhadap hasil operasi merupakan sumber potensial dari
kontrol tersebut.
Contoh dalam DJP:
Kegiatan pengendalian atas pelaksanaan salah satu program DJP, yaitu
“Knowing Your Tax Payer” dimana ini merupakan kebijakan DJP dalam
mengintensifkan penerimaan pajak, sehingga munculnya satu fungsi baru
yaitu account representative.

12. Pengaruh Entity-Level Controls pada Pengujian Kontrol Lain
Evaluasi auditor entitas tingkat kontrol dapat menghasilkan peningkatan
atau mengurangi pengujian bahwa auditor jika tidak mungkin dilakukan
pada lain kontrol. Sebagai contoh, jika auditor telah merancang
pendekatan audit dengan harapan tertentu entitas tingkat kontrol
(misalnya, kontrol dalam lingkungan pengendalian) akan efektif dan
mereka kontrol tidak efektif, auditor dapat mengevaluasi kembali
merencanakan pendekatan audit dan memutuskan untuk memperluas
prosedur audit nya.
Di sisi lain, evaluasi auditor dari beberapa entitas tingkat kontrol dapat
menghasilkan pengurangan nya atau pengujian nya kontrol lain, seperti
kontrol lebih sesuai pernyataan yang relevan. Tingkat dimana auditor
mungkin dapat mengurangi pengujian kontrol atas pernyataan yang
relevan dalam kasus tersebut tergantung padapresisi dari entitas-tingkat
control.
b. Activity/transactional level control (TLC)
Kegiatan pengendalian pada level ini lebih berhubungan dengan
pelaksanaan proses bisnis atau transaksi dari bagian dalam suatu
organisasi. Level ini memiliki kewenangan yang lebih rendah dari entity
level control, dan dapat dipengaruhi kebijakan dalam entity level control.
Contoh dalam DJP:
Pemantauan atas kinerja account representative dalam mengintensifkan
penerimaan perpajakan.

13. C. Siklus Desain dan Implementasi ICoFR
1. Adjusting financial reporting risk
Tahap pertama dalam siklus IcoFR adalah penyesuaian atau penelaahan
terhadap risiko pelaporan keuangan. Dalam tahap ini, pihak manajemen
akan mengidentifikasi risiko-risiko apa saja yang mungkin akan timbul
dalam pelaporan keuangan sebuah perusahaan.
2. Adjust & implementat controls
Tahap kedua dalam siklus IcoFR adalah implementasi dan penyesuaian
terhadap pengendalian. Dalam tahap ini, pihak manajemen akan
melakukan penyesuaian antara risiko dan pengendaliannya. Dari risiko-
risiko yang telah diidentifikasi oleh pihak manajemen dalam tahap
pertama, maka pihak manajemen akan membuat suatu pengendalian yang
sesuai dengan risiko yang telah diidentifikasi. Selanjutnya, pengendalian
tersebut akan diterapkan dalam perusahaan tersebut.

14. 3. Control remediation
Tahap selanjutnya dalam siklus ICoFR adalah pengendalian. Tahap ini
juga dapat dikatakan sebagai tahap monitoring. Pihak manajemen akan
melakukan pengawasan dan pengendalian terhadap pengendalian-
pengendalian apa saja yang telah diterapkan di dalam perusahaan tersebut.
4. Identifikasi & manage changes
Tahap terakhir dalam siklus ICoFR adalah identifikasi perubahan. Setelah
ICoFR diterapkan dalam perusahaan tersebut, maka pihak manajemen
akan mengidentifikasi perubahan-perubahan apa saja yang terjadi. Tahap
ini juga dapat dikatakan sebagai tahapan review.
Desain, implementasi, dan evaluasi pengendalian harus disesuaikan
dengan ukuran dan pelaporan risiko perusahaan. Merancang dan
memelihara ICFR secara efektif menjadi lebih menantang karena ukuran
bisnis dan ruang lingkup kegiatannya meningkat. Pada saat yang sama,
perusahaan-perusahaan yang lebih kecil juga mungkin menghadapi
beberapa masalah kesulitan pengendalian/kontrol. Sebagai contoh, risiko
manajemen dapat lebih besar dalam sebuah organisasi yang lebih kecil di
mana pejabat-pejabat perusahaan memiliki keterlibatan langsung dengan
operasi dan dengan pencatatan transaksi. Selain itu, perusahaan kecil
mungkin tidak memiliki personel yang cukup untuk sepenuhnya
melaksanakan pemisahan tugas di semua proses. Namun demikian,
perusahaan publik yang lebih kecil masih harus menerapkan system
kontrol yang akan menyediakan keyakinan yang memadai bahwa laporan
keuangan yang disusun sesuai dengan GAAP dan bebas dari salah saji
material.

15. Daftar Pustaka
1. Ali, Hapzi. 2015. Modul Perkuliahan Sistem Informasi dan Sistem
Informasi Manajaemen: Internal Control Over Financial Reporting,
Implementasi dan desain ICoF. Jakarta: Universitas Mercu Buana
2. AICPA.
https://www.aicpa.org/content/dam/aicpa/research/standards/auditattest/d
ownloadabledocuments/at-00501.pdf. (18 Desember 2017. Jam 15. 40)
3. Anonim. 2016. http://solusiakuntansiindonesia.com/2016/12/07/internal-
control-over-financial-reporting/. (18 Desember 2017. Jam 16.00)
4. Damayanti, Khristina. https://medium.com/@khristdamay/implementasi-
dan-desain-icofr-1-509943e5ef39. (18 Desember 2017. Jam 16.00)