12. SI-PI, Gusti Ketut Suardika, Hapzi Ali, Internal Control over Financial Reporting, Universitas Mercu buana, 2017
1. PROGRAM PASCASARJANA – MAGISTER AKUNTANSI
MATA KULIAH : SISTEM INFORMASI DAN
PENGENDALIAN INTERNAL
DOSEN : PROF. DR. Ir. HAPZI ALI, MM, CMA
JUDUL :
Internal Control over Financial Report
DISUSUN OLEH :
NAMA : GUSTI KETUT SUARDIKA
NIM : 55516120067
TAHUN : 2017
ARTIKEL INI DIBUAT DALAM RANGKA PEMENUHAN TUGAS
MINGGUAN
2. Pengendalian internal menurut COSO terdiri dari:
1) Lingkungan Pengendalian
2) Penilaian Risiko
3) Aktifitas Pengendalian
4) Informasi dan Komunikasi
5) Pemantauan
Gambar COSO Internal Control Framework
1) Lingkungan Pengendalian menentukan kondisi lingkungan perusahaan,
mempengaruhi kesadaran pengendalian pegawai. Merupakan pondasi dari
komponen lain dengan menyediakan disiplin dan struktur.
Lingkungan Pengendalian:
a) Integritas dan nilai etika
b) Komitmen terhadap kompetensi
c) Komisaris dan Komite Audit yang aktif dan efektif
d) Pilosofi manajemen dan gaya operasional
e) Struktur Organisasi
f) Pemberian wewenang dan tanggung jawab
g) Kebijakan dan praktik SDM
2) Penilaian Risiko merupakan identifikasi dan analisa risiko perusahaan yang
relevan dengan pencapaian tujuan, memberikan dasar bagi penentuan
pengelolaan risiko.
Penilaian Risiko:
a) Penetapan Tujuan Tingkat Entitas
b) Penentuan Tujuan Tingkat Aktivitas
c) Identifikasi dan analisa risiko
d) Pengelolaan perubahan
3) Aktivitas Pengendalian merupakan kebijakan dan prosedur yang
memberikan keyakinan bahwa arahan manajemen dilaksanakan dan risiko
yang telah dinilai ditangani secara semestinya.
Aktivitas Pengendalian:
3. a) Keberadaan kebijakan dan prosedur yang tepat
b) Pelaksanaan kebijakan dan prosedur yang tepat
Aktivitas pengendalian terdiri dari kebijakan dan prosedur yang merasakan
bahwa diperlukan tindakan untuk meredam risiko dalam upaya pencapaian
tujuan perusahaan secara umum. Aktivitas pengendalian dapat dijelaskan
sebagai berikut:
a) Adequate Separation of Duties (Pemisahan Tugas yang Cukup)
Pengendalian internal yang baik menetapkan bahwa tidak ada pegawai yang
diberikan terlalu banyak tanggung jawab sehingga perlu adanya pemisahan
tugas. Beberapa pedoman umum dalam pemisahan tugas untuk mencegah
salah saji, baik yang disengaja maupun yang tidak disengaja, yaitu :
(1) Pemisahan fungsi pemegang aktiva dari fungsi akuntansi
(2) Pemisahan otorisasi transaksi dari pemegang aktiva yang bersangkutan
(3) Pemisahan tanggung jawab operasional dari pembukuan
(4) Pemisahan tugas dalam EDP
b) Proper Authorization of Transaction and Activities (Otorisasi yang Pantas
atas Transaksi)
Otorisasi dapat berbentuk umum dan khusus. Otorisasi umum berarti bahwa
manajemen menyusun kebijakan bagi organisasi untuk ditaati. Sedangkan
otorisasi khusus dilakukan terhadap transaksi individual. Misalnya,
manajemen menentukan kebijakan otorisasi untuk pembelian aktiva
berdasarkan jumlah tertentu yang sudah ditetapkan, ini adalah otorisasi
umum. Bila jumlah pembelian melebihi yang ditetapkan, maka harus
diotorisasi dulu oleh dewan komisaris, ini adalah otorisasi khusus.
c) Adequate Document and Record (Dokumen dan Catatan yang Memadai)
Dokumen dan catatan adalah objek fisik dimana transaksi dimasukkan dan
diikhtisarkan. Dokumen berfungsi sebagai pengantar informasi ke seluruh
bagian organisasi. Dokumen harus memadai untuk memberikan keyakinan
memadai bahwa seluruh aktiva dikendalikan dengan pantas dan seluruh
transaksi dicatat dengan benar. Beberapa prinsip tertentu yang relevan
menandai perancangan dan penggunaan yang tepat atas dokumen dan
catatan. Dokumen dan catatan hendaknya :
(1) Diberi nomor urut untuk mencegah terjadinya dokumen yang hilang dan
membantu menelusurinya bila diperlukan.
(2) Dibuat pada saat yang sama ketika terjadinya transaksi atau segera
sesudahnya.
(3) Cukup sederhana agar mudah dimengerti.
(4) Dirancang untuk berbagai kegunaan (bila mungkin) untuk mengurangi
4. jumlah formulir yang harus dibuat.
(5) Dirancang sedemikian rupa untuk memungkinkan penyajian yang benar.
Pengendalian yang erat berkaitan dengan dokumen dan catatan adalah
bagan
perkiraan yang mengklasifikasikan transaksi ke dalam perkiraan neraca dan
laba rugi. Bagan perkiraan merupakan pengendalian yang penting karena
memberikan kerangka kerja untuk menentukan informasi yang disajikan
kepada manajemen lain dari laporan keuangan. Prosedur untuk pencatatan
secara tepat harus disesuaikan dalam sistem manual untuk mendorong
penerapan yang konsisten. Sistem manual harus menyediakan informasi
yang cukup untuk membantu pencatatan dan mempertahankan informasi
yang tepat atas transaksi.
d) Physical Check on Performance (Pengendalian Fisik atas Aktiva dan
Catatan)
Jenis perlindungan untuk mengamankan aktiva dan catatan yang paling
utama adalah penggunaan tindakan pencegahan secara fisik. Contohnya,
penggunaan gudang persediaan untuk melindungi dari kemungkinan
terjadinya pencurian.
e) Independen Check on Performance (Pengecekan Independen atas
Pelaksanaan)
Kategori terakhir prosedur pengendalian adalah penelaahan yang hati-hati
dan berkesimbangan atas keempat prosedur yang lain, yang sering disebut
sebagai pengecekan independen atau verifikasi intern. Kebutuhan
pengecekan secara independen meningkat karena pengendalian internal
cenderung berubah setiap saat jika tidak terdapat mekanisme penelaahan
yang sering. Contohnya pegawai mungkin lupa atau sengaja tidak mengikuti
prosedur jika tidak ada orang yang meninjau atau mengawasi
pelaksanaanya.
4) Informasi dan komunikasi sistemmen dukung identifikasi, perolehan, dan
pertukaran informasi dalam bentuk dan kerangka waktu yang memungkinkan
pegawai melaksanakan tanggung jawabnya.
Informasi dan Komunikasi:
a) Informasi diidentifikasi, diperoleh, diolah dan dilaporkan
b) Komunikasi yang efektif
Sistem informasi yang relevan terhadap tujuan pelaporan keuangan yang
meliputi sistem akuntansi terdiri dari metoda dan catatan yang ditetapkan
5. untuk mencatat, mengolah, mengikhtisarkan, dan melaporkan transaksi suatu
entitas dan mempertahankan akuntabilitas untuk aktiva dan utang yang
berkaitan.
Komunikasi mencakup memberikan pemahaman peranan individual dan
tanggung jawab yang berkaitan dengan pengendalian intern atas laporan
keuangan. Komunikasi meliputi sejauh mana personel memahami bagaimana
aktivitas mereka dalam sistem informasi pelaporan keuangan berkaitan
dengan pekerjaan dan hal lainnya.
5) Pemantauan adalah penilaian kualitas kinerja pengendalian internal
sepanjang waktu. Pemantauan dilaksanakan oleh personel yang semestinya
melakukan pekerjaan tersebut baik tahap desain maupun pengoperasian
pengendalian pada waktu yang tepat untuk menentukan apakah
pengendalian internal beroperasi seperti yang diharapkan, dan untuk
menentukan apakah pengendalian internal tersebut memerlukan proses
karena terjadinya perubahan pengelolaan.
Pengendalian internal secara luar (menyeluruh) dapat dikategorikan ke dalam
Entity Level Control (ELC) yang merupakan pengendalian pervasif dan
Transaction Level Control (TLC) merupakan pengendalian spesifik (spesific
control).
Walaupun struktur pengendalian internal menurut COSO juga mencakup
aktifitas pengendalian terkait dengan pemrosesan informasi (pengendalian
umum dan pengendalian aplikasi), COBIT menelusuri pengendalian umum
lebih jauh lagi menjadi pengendalian menyeluruh (pervasive IS control) dan
pengendalian terinci (detailed IS control). COBIT memandang pengendalian
internal bekerja sepanjang proses sejak perencanaan dan organisasi,
perolehan dan penerapan, pemberian dan dukungan hingga pemantauan dan
evaluasi. Pengendalian menyeluruh meliputi proses perencanaan, organisasi,
pemantauan dan evaluasi seluruh komponen sistem informasi dan
operasional secara umum. Pengendalian terinci terdiri dari pengendalian
umum yang bukan bagian dari pengendalian menyeluruh dan pengendalian
aplikasi/proses bisnis.
Bermula dengan banyaknya temuan kecurangan pada profesi akuntansi
global yang merugikan stakeholder – terutama sejak kasus Enron, Worldcom,
Xerox, Tyco, Global Crossing dan lainnya di tahun 2001. Oleh karena itu
pemerintah Amerika Serikat menerbitkan undang-undang yang dapat
6. melindungi stakeholder yaitu Sarbanes-Oxley (Sarbanes-Oxley Act of 2002,
Public Company Accounting Reform and Investor Protection Act of 2002) atau
kadang disingkat SOX atau Sarbox. Sarbaness-Oxley Act (SOX) diterbitkan
untuk memproteksi kepentingan investor dengan cara menciptakan tata kelola
perusahaan yang baik, full disclosure, dan akuntabilitas dalam perusahaan.
Pasal yang berkatian dengan Internal Control Over Financial Reporting
(ICOFR) adalah 304 dan 404. Pasal 304 mewajibkan manajemen membuat
pernyataan dalam laporan keuangan sedangkan pasal 404 mensyaratkan
adanya laporan manajemen tahunan (annual management report) tentang
pengendalian intern perusahaan atas pelaporan keuangan dan laporan
manajemen tersebut merupakan subjek yang akan diaudit.
SOX mewajibkan perusahaan yang listing di AS untuk membuat dokumentasi
pengendalian kunci dan melaporkan kondisi pengendalian internnya secara
periodik.
• SOX Section 302 tentang ”Corporate Responsibility for Financial Reports”
menetapkan bahwa pejabat eksekutif perusahaan (CEO & CFO) harus
bertanggung jawab secara pribadi terhadap pernyataan prosedur
pengendalian, internal control, dan jaminan atas kecurangan (fraud).
• SOX section 404 tentang “Management Assessment of Internal Controls”
mengatur ketentuan yang mewajibkan terselenggaranya audit SOA tahunan
yang menunjukkan laporan pengendalian internal (internal control report).
Jadi, selain adanya laporan auditor yang dilampirkan dalam laporan
keuangan, juga terdapat laporan manajemen tentang keefektifan
pengendalian intern yang diimplementasikan dalam perusahaan untuk
mendukung reliabilitas laporan keuangan. Aturan pelaksanaannya bagi
auditor dam manajemen telah diatur dalam PCAOB Auditing Standard No. 2
an audit of internal control over financial reporting performed in conjunction
with an audit of financial statements dan AS No. 5 an audit of internal control
over financial reporting that is integrated with an audit of financial statements.
SEC dan PCAOB menganjurkan mengunakan kerangka acuan pengendalian
internal COSO (Committee of Sponsoring Organizations of the Treadway
Commission) dan untuk pengendalian internal teknologi informasi disarankan
menggunakan COBIT (Control Objectives for Information and related
Technology), yang dikebangkan oleh ISACA (Information Systems Audit and
Control Association) sekarang versi 4.1.
Sarbanes Oxley itu menyajikan beberapa hal penting antara lain:
7. a. Tanggungjawab Perusahaan, semua yang terafiliasi dalam perusahaan
semakin diminta dan diaktifkan seperti Komite Audit, Internal Auditor,
pemisahan yang lebih jelas antara audit service dengan non-audit service,
dan perlunya persetujuan dan pengungkapan atas semua jasa non-audit.
Direktur Utama perusahaan serta Direktur keuangan harus membuat
pernyataan bahwa laporan keuangan yang disajikannya adalah akurat dan
tidak menimbulkan salah tafsir dan telah menerapkan sistem pengawasan
internal yang sehat dan tidak ada keterkaitan pinjaman mereka kepada
perusahaan.
b. Auditor, independensi akuntan publik diperketat lagi dengan kewajiban
mempertahan- kan independensi dan membentuk Dewan Pengawas Akuntan
Publik serta melarang pemberian jasa non audit diluar jasa perpajakan dan
adanya kewajiban untuk menggilir pelaksana dan penanggungjawab audit.
c. Pengungkapan diperluas, manajemen dan auditor setiap tahun harus
menilai sistem pengendalian internal. Seperti halnya di industri perbankan
maka semua pembiayaan yang bersifat off-balance sheet dan pembiayaan
yang bersifat kontingensi harus diungkapkan. Laporan proforma wajib
disajikan. Transaksi saham intern harus dilaporkan dalam jangkawa waktu
dua hari. Beberapa informasi tertentu yang dianggap penting harus di
laporkan dalam “real time”.
d. Analis, analis saham harus dapat mengungkapkan kemungkinan konflik
kepentingan.
e. SEC, memperluas objek reviewnya terhadap laporan keuangan
perusahaan, me- ningkatkan kekuasaan untuk memaksa perusahaan
melaksanakan peraturannnya dan menaikkan biaya hukuman terhadap setiap
pelanggaran UU pasar modal.
Semua ketentuan dalam SOX berlaku bagi perusahaan Amerika dan juga
perusahaan Non Amerika. Baik yang mengeluarkan saham atau obligasi di
pasar modal Amerika seperti tentu di New Yorks Stock Exchange. Tentu saja
UU ini akan berpengaruh juga pada perusahaan Indonesia yang
mendaftarkan sahamnya di pasar modal Amerika seperti PT Telkom, PT
Indosat dan sebagainya. Jika hal ini berpengaruh maka sudah otomatis akan
mempengaruhi professi akuntan di Tanah Air khususnya yang mengadit
perusahaan yang dipengaruhi oleh Sarbanes Oxley Act itu.
2. ICOFR di Indonesia
ICOFR di Indonesia telah diatur dalam SPAP (Standar Audit Akuntan Publik)
yang diterbitkan oleh IAI (Ikatan Akuntan Indonesia) yaitu standar yang
mewajibkan auditor untuk melaksanakan pekerjaan sesuai dengan standar
pekerjaan lapangan No.2, SPAP 1994 – PSA No.06, 23, 24, 35, 60 & 69 ,
SPAP 2001-SAT Seksi 400 & SA Seksi 314, dalam implementasinya
pengendalian internal menggunakan COSO, namun kewajiban audit atau
8. memberi opini atas pengendalian internal belum diterapkan. Bagi BUMN
keharusan penyelenggaraan pengendalian internal berbasis COSO tertuang
dalam pasal 22 Keputusan Menteri BUMN Nomor Kep-117/M-MBU/2002
tentang penerapan good governance pada Badan Usaha Milik Negara
(BUMN). Dalam keputusan tersebut dinyatakan bahwa manajemen BUMN
harus memelihara pengendalian internal bagi perusahaan yang meliputi.
Keputusan Ketua Badan Pengawas Pasar Modal nomor: Kep-40/PM/2003
atau peraturan nomor VIII.G.11 tentang tanggung jawab direksi atas laporan
keuangan, yaitu:
a. Laporan Keuangan dalam rangka kewajiban penyampaian laporan
keuangan kepada Bapepam.
b. Direksi Emiten atau Perusahaan Publik wajib membuat surat pernyataan.
c. Surat pernyataan sebagaimana wajib ditandatangani oleh Direktur Utama
dan seorang Direktur yang membawahi bidang akuntansi atau keuangan, dan
bermeterai cukup.
d. Direksi Emiten atau Perusahaan Publik secara tanggung renteng
bertanggung jawab atas pernyataan yang dibuat termasuk kerugian yang
mungkin ditimbulkan.
e. Surat pernyataan wajib dilekatkan pada laporan keuangan yang
disampaikan kepada Bapepam.
f. Dalam hal laporan keuangan yang disampaikan telah diaudit atau ditelaah
secara terbatas, maka tanggung jawab Direksi atas pernyataan sebagaimana
dimaksud berlaku sampai dengan tanggal pendapat akuntan.
g. Laporan keuangan interim yang disampaikan tidak diaudit, maka tanggung
jawab Direksi atas pernyataan berlaku sampai dengan tanggal
disampaikannya surat pernyataan dimaksud kepada Bapepam.
h. Dengan tidak mengurangi ketentuan pidana di bidang Pasar Modal,
Bapepam berwenang mengenakan sanksi terhadap setiap pelanggaran
ketentuan peraturan ini, termasuk pihakpihakyang menyebabkan terjadinya
pelanggaran tersebut.
Perusahaan Indonesia yang listing di bursa efek di Amerika Serikat (NYSE)
dan hanya satu-satunya Badan Usaha Milik Negara (BUMN) di Indonesia
yang terdaftar di NYSE sehingga PT Telkom harus patuh terhadap SOA
section 404 seperti yang disyaratkan oleh SEC (Securities and Exchange
Commission).
PT Pelabuhan Indonesia III (Persero) merupakan pemerintah yang perlu
diaudit oleh auditor atas laporan keuangan menerapkan standar SPAP dan
harus melakukan review intern control atas laporan keuangan. Berdasarkan
informasi hingga saat ini PT Pelabuhan Indonesia III (Persero) belum
melakukan reviu pengendalian internal dan belum membuat pernyataan
9. Direksi atas penerapan pengendalian internal.
Pelajaran yang harus dipetik adalah bahwa dengan globalisasi ini maka kita
mau tidak mau baik akuntan, perusahan, manajemen, analis, pemerintah
selaku regulator dan juga dunia kampus harus selalu mengikuti atau kalau
bisa didepan untuk menerapkan “good governance” disemua bidang bukan
saja di dunia swasta, tetapi juga di dunia birokrasi dan dunia akademis.
Status kita yang selalu dianggap memiliki risiko tinggi tidak lepas dari aspek
penerapan “good governance” ini. Kita akan selalu menjadi bulan bulanan
para professional dan penentu kebijakan tingkat internasional. Sebenarnya
dengan sifat budaya kita yang religius sudah cukup menjadi modal awal untuk
menerapkan good governance itu, namun modal perasaan religius tidak
cukup karena harus ditopang oleh penegakan aturan aturan yang baik dan
benar sesuai dengan ukuran baik dan buruk yang ditetapkan oleh nilai nilai
akhlak dan agama yang kita anut. Upaya meningkatkan peran agama
menurut saya masih relevan untuk menegakkan moral bangsa, moral birokrat,
moral pengusaha, yang terpuruk ini.
Doylea, Geb, dan McVay (2006) menemukan bahwa salah satu penyebab
kelemahan material pengendalian internal menurut section 302 dan 404
Sarbanex-Oxley Act adalah kompleksitas proses operasi. Sementara Namiri
dan Stojanovic (2007) mengemukakan bahwa rancangan pengendalian harus
mengendalikan ke arah mana sebuah proses bisnis dilaksanakan. Sebuah
perancangan ulang proses bisnis pun (business process reengineering),
menyebabkan pemutakhiran kembali penilaian risiko pada proses bisnis, yang
menggiring ke sebuah pengendalian yang baru atau terbaharui, termasuk
pengujiannya. Proses bisnis merupakan fokus utama dalam menilai
perancangan dan pengelolaan pengendalian internal.
Proses bisnis adalah serangkaian atau sekumpulan aktifitas yang dirancang
untuk menyelesaikan tujuan strategik sebuah organisasi, seperti pelanggan
dan pasar (Hollander, Denna, dan Cherrington, 2000). Proses bisnis memiliki
beberapa karakteristik antara lain (Sparx System, 2004)
a. memiliki tujuan,
b. memiliki input tertentu,
c. memiliki output tertentu,
d. menggunakan sumberdaya,
e. memiliki sejumlah aktifitas yang dilakukan dalam suatu urutan,
f. dapat mempengaruhi lebih dari satu unit organisasional, dan
g. mnciptakan suatu nilai untuk konsumen. pelanggan dapat berupa internal
10. atau eksternal.
3. Pengendalian Internal
SAT Seksi 400 menyatakan Pelaporan Pengendalian Intern Suatu Entitas
Atas Pelaporan Keuangan. Paragraf 03 Manajemen dapat menyajikan asersi
tertulis tentang efektivitas pengendalian intern suatu entitas dalam bentuk:
a. Suatu laporan terpisah yang akan melampiri laporan praktisi.
b. Suatu surat representasi yang ditujukan kepada praktisi (namun, dalam hal
ini, praktisi harus membatasi penggunaan laporannya hanya untuk
manajemen dan pihak lain dalam entitas dan, jika berlaku, badan pengatur
yang ditentukan).
Komponen yang membentuk pengendalian intern suatu entitas adalah suatu
fungsi definisi pengendalian intern yang dipilih oleh manajemen. Sebagai
contoh, manajemen dapat memilih definisi pengendalian intern yang terdapat
dalam SA Seksi 319 [PSA No. 23] Pertimbangan atas Pengendalian Intern
dalam Audit atas Laporan Keuangan. Paragraf 07 menjelaskan komponen
yang membentuk pengendalian intern entitas sebagaimana didefinisikan
dalam SA Seksi 319 [PSA No. 231 tersebut: lingkungan pengendalian,
penaksiran risiko, aktivitas pengendalian, informasi dan komunikasi, serta
pemantauan. Jika manajemen memilih definisi lain suatu pengendalian intern,
penjelasan komponen yang membentuknya dalam paragraf tersebut mungkin
tidak relevan.
a. COSO Internal Control Frameworks.
Dikembangkan oleh The Committee of Sponsoring Organization of the
Treadway Commission sejak sebelum 1980, pertama kali dipublikasi pada
tahun 1992 yang kemudian dikembangkan hingga kini. COSO Internal Control
Framework lebih dikenal sebagai acuan yang diterima umum dalam
pengendalian internal perusahaan dan kaitannya dengan pelaporan
keuangan dan proses operasi.
Definisi pengendalian internal menurut COSO adalah Sebuah proses, yang
dilaksanakan oleh dewan direksi, manajemen, dan personil lainnya, yang
dirancang untuk menyajikan keyakinan memadai terkait dengan pencapaian
tujuan-tujuan dibawah ini:
- Efektifitas dan efisiensi operasi
- Keandalan pelaporan keuangan
- Kepatuhan terhadap hukum dan peraturan
11. Tujuan pengendalian internal ini dapat dijelaskan sebagai berikut:
1) Efektivitas dan Efisiensi Operasi
Pengendalian internal dimaksudkan untuk menghindarkan pengulangan
kerjasama yang tidak perlu dan pemborosan dalam seluruh aspek usaha
serta mencegah penggunaan sumber daya yang tidak efisien.
2) Keandalan Laporan Keuangan
Agar dapat menyelenggarakan operasi usahanya, manajemen memerlukan
informasi yang akurat. Oleh karena itu dengan adanya pengendalian internal
diharapkan dapat menyediakan data yang dapat dipercaya, sebab dengan
adanya data atau catatan yang andal memungkinkan akan tersusunnya
laporan keuangan yang dapat diandalkan.
3) Kepatuhan terhadap Hukum dan Peraturan
Pengendalian internal dimaksudkan untuk memastikan bahwa segala
peraturan dan kebijakan yang telah ditetapkan manajemen untuk mencapai
tujuan perusahaan dapat ditaati oleh karyawan perusahaan.
Pengendalian internal mengarah pada sebuah proses karena pengendalian
internal menyatu ke dalam kegiatan operasi organisasi dan merupakan
bagian integral kegiatan utama manajemen yaitu perencanaan, pelaksanaan,
dan pengawasan.
Bermula dengan banyaknya temuan kecurangan pada profesi akuntansi
global yang merugikan stakeholder – terutama sejak kasus Enron, Worldcom,
Xerox, Tyco, Global Crossing dan lainnya di tahun 2001. Oleh karena itu
pemerintah Amerika Serikat menerbitkan undang-undang yang dapat
melindungi stakeholder yaitu Sarbanes-Oxley (Sarbanes-Oxley Act of 2002,
Public Company Accounting Reform and Investor Protection Act of 2002) atau
kadang disingkat SOX atau Sarbox. Sarbaness-Oxley Act (SOX) diterbitkan
untuk memproteksi kepentingan investor dengan cara menciptakan tata kelola
perusahaan yang baik, full disclosure, dan akuntabilitas dalam perusahaan.
Pasal yang berkatian dengan Internal Control Over Financial Reporting
(ICOFR) adalah 304 dan 404. Pasal 304 mewajibkan manajemen membuat
pernyataan dalam laporan keuangan sedangkan pasal 404 mensyaratkan
adanya laporan manajemen tahunan (annual management report) tentang
pengendalian intern perusahaan atas pelaporan keuangan dan laporan
manajemen tersebut merupakan subjek yang akan diaudit.
SOX mewajibkan perusahaan yang listing di AS untuk membuat dokumentasi
pengendalian kunci dan melaporkan kondisi pengendalian internnya secara
periodik.
• SOX Section 302 tentang ”Corporate Responsibility for Financial Reports”
12. menetapkan bahwa pejabat eksekutif perusahaan (CEO & CFO) harus
bertanggung jawab secara pribadi terhadap pernyataan prosedur
pengendalian, internal control, dan jaminan atas kecurangan (fraud).
• SOX section 404 tentang “Management Assessment of Internal Controls”
mengatur ketentuan yang mewajibkan terselenggaranya audit SOA tahunan
yang menunjukkan laporan pengendalian internal (internal control report).
Jadi, selain adanya laporan auditor yang dilampirkan dalam laporan
keuangan, juga terdapat laporan manajemen tentang keefektifan
pengendalian intern yang diimplementasikan dalam perusahaan untuk
mendukung reliabilitas laporan keuangan. Aturan pelaksanaannya bagi
auditor dam manajemen telah diatur dalam PCAOB Auditing Standard No. 2
an audit of internal control over financial reporting performed in conjunction
with an audit of financial statements dan AS No. 5 an audit of internal control
over financial reporting that is integrated with an audit of financial statements.
SEC dan PCAOB menganjurkan mengunakan kerangka acuan pengendalian
internal COSO (Committee of Sponsoring Organizations of the Treadway
Commission) dan untuk pengendalian internal teknologi informasi disarankan
menggunakan COBIT (Control Objectives for Information and related
Technology), yang dikebangkan oleh ISACA (Information Systems Audit and
Control Association) sekarang versi 4.1.
Sarbanes Oxley itu menyajikan beberapa hal penting antara lain:
a. Tanggungjawab Perusahaan, semua yang terafiliasi dalam perusahaan
semakin diminta dan diaktifkan seperti Komite Audit, Internal Auditor,
pemisahan yang lebih jelas antara audit service dengan non-audit service,
dan perlunya persetujuan dan pengungkapan atas semua jasa non-audit.
Direktur Utama perusahaan serta Direktur keuangan harus membuat
pernyataan bahwa laporan keuangan yang disajikannya adalah akurat dan
tidak menimbulkan salah tafsir dan telah menerapkan sistem pengawasan
internal yang sehat dan tidak ada keterkaitan pinjaman mereka kepada
perusahaan.
b. Auditor, independensi akuntan publik diperketat lagi dengan kewajiban
mempertahan- kan independensi dan membentuk Dewan Pengawas Akuntan
Publik serta melarang pemberian jasa non audit diluar jasa perpajakan dan
adanya kewajiban untuk menggilir pelaksana dan penanggungjawab audit.
c. Pengungkapan diperluas, manajemen dan auditor setiap tahun harus
menilai sistem pengendalian internal. Seperti halnya di industri perbankan
maka semua pembiayaan yang bersifat off-balance sheet dan pembiayaan
yang bersifat kontingensi harus diungkapkan. Laporan proforma wajib
13. disajikan. Transaksi saham intern harus dilaporkan dalam jangkawa waktu
dua hari. Beberapa informasi tertentu yang dianggap penting harus di
laporkan dalam “real time”.
d. Analis, analis saham harus dapat mengungkapkan kemungkinan konflik
kepentingan.
e. SEC, memperluas objek reviewnya terhadap laporan keuangan
perusahaan, me- ningkatkan kekuasaan untuk memaksa perusahaan
melaksanakan peraturannnya dan menaikkan biaya hukuman terhadap setiap
pelanggaran UU pasar modal.
Semua ketentuan dalam SOX berlaku bagi perusahaan Amerika dan juga
perusahaan Non Amerika. Baik yang mengeluarkan saham atau obligasi di
pasar modal Amerika seperti tentu di New Yorks Stock Exchange. Tentu saja
UU ini akan berpengaruh juga pada perusahaan Indonesia yang
mendaftarkan sahamnya di pasar modal Amerika seperti PT Telkom, PT
Indosat dan sebagainya. Jika hal ini berpengaruh maka sudah otomatis akan
mempengaruhi professi akuntan di Tanah Air khususnya yang mengadit
perusahaan yang dipengaruhi oleh Sarbanes Oxley Act itu.
2. ICOFR di Indonesia
ICOFR di Indonesia telah diatur dalam SPAP (Standar Audit Akuntan Publik)
yang diterbitkan oleh IAI (Ikatan Akuntan Indonesia) yaitu standar yang
mewajibkan auditor untuk melaksanakan pekerjaan sesuai dengan standar
pekerjaan lapangan No.2, SPAP 1994 – PSA No.06, 23, 24, 35, 60 & 69 ,
SPAP 2001-SAT Seksi 400 & SA Seksi 314, dalam implementasinya
pengendalian internal menggunakan COSO, namun kewajiban audit atau
memberi opini atas pengendalian internal belum diterapkan. Bagi BUMN
keharusan penyelenggaraan pengendalian internal berbasis COSO tertuang
dalam pasal 22 Keputusan Menteri BUMN Nomor Kep-117/M-MBU/2002
tentang penerapan good governance pada Badan Usaha Milik Negara
(BUMN). Dalam keputusan tersebut dinyatakan bahwa manajemen BUMN
harus memelihara pengendalian internal bagi perusahaan yang meliputi.
Keputusan Ketua Badan Pengawas Pasar Modal nomor: Kep-40/PM/2003
atau peraturan nomor VIII.G.11 tentang tanggung jawab direksi atas laporan
keuangan, yaitu:
a. Laporan Keuangan dalam rangka kewajiban penyampaian laporan
keuangan kepada Bapepam.
b. Direksi Emiten atau Perusahaan Publik wajib membuat surat pernyataan.
c. Surat pernyataan sebagaimana wajib ditandatangani oleh Direktur Utama
dan seorang Direktur yang membawahi bidang akuntansi atau keuangan, dan
bermeterai cukup.
d. Direksi Emiten atau Perusahaan Publik secara tanggung renteng
bertanggung jawab atas pernyataan yang dibuat termasuk kerugian yang
14. mungkin ditimbulkan.
e. Surat pernyataan wajib dilekatkan pada laporan keuangan yang
disampaikan kepada Bapepam.
f. Dalam hal laporan keuangan yang disampaikan telah diaudit atau ditelaah
secara terbatas, maka tanggung jawab Direksi atas pernyataan sebagaimana
dimaksud berlaku sampai dengan tanggal pendapat akuntan.
g. Laporan keuangan interim yang disampaikan tidak diaudit, maka tanggung
jawab Direksi atas pernyataan berlaku sampai dengan tanggal
disampaikannya surat pernyataan dimaksud kepada Bapepam.
h. Dengan tidak mengurangi ketentuan pidana di bidang Pasar Modal,
Bapepam berwenang mengenakan sanksi terhadap setiap pelanggaran
ketentuan peraturan ini, termasuk pihakpihakyang menyebabkan terjadinya
pelanggaran tersebut.
Perusahaan Indonesia yang listing di bursa efek di Amerika Serikat (NYSE)
dan hanya satu-satunya Badan Usaha Milik Negara (BUMN) di Indonesia
yang terdaftar di NYSE sehingga PT Telkom harus patuh terhadap SOA
section 404 seperti yang disyaratkan oleh SEC (Securities and Exchange
Commission).
PT Pelabuhan Indonesia III (Persero) merupakan pemerintah yang perlu
diaudit oleh auditor atas laporan keuangan menerapkan standar SPAP dan
harus melakukan review intern control atas laporan keuangan. Berdasarkan
informasi hingga saat ini PT Pelabuhan Indonesia III (Persero) belum
melakukan reviu pengendalian internal dan belum membuat pernyataan
Direksi atas penerapan pengendalian internal.
Pelajaran yang harus dipetik adalah bahwa dengan globalisasi ini maka kita
mau tidak mau baik akuntan, perusahan, manajemen, analis, pemerintah
selaku regulator dan juga dunia kampus harus selalu mengikuti atau kalau
bisa didepan untuk menerapkan “good governance” disemua bidang bukan
saja di dunia swasta, tetapi juga di dunia birokrasi dan dunia akademis.
Status kita yang selalu dianggap memiliki risiko tinggi tidak lepas dari aspek
penerapan “good governance” ini. Kita akan selalu menjadi bulan bulanan
para professional dan penentu kebijakan tingkat internasional. Sebenarnya
dengan sifat budaya kita yang religius sudah cukup menjadi modal awal untuk
menerapkan good governance itu, namun modal perasaan religius tidak
cukup karena harus ditopang oleh penegakan aturan aturan yang baik dan
benar sesuai dengan ukuran baik dan buruk yang ditetapkan oleh nilai nilai
akhlak dan agama yang kita anut. Upaya meningkatkan peran agama
menurut saya masih relevan untuk menegakkan moral bangsa, moral birokrat,
moral pengusaha, yang terpuruk ini.
15. Doylea, Geb, dan McVay (2006) menemukan bahwa salah satu penyebab
kelemahan material pengendalian internal menurut section 302 dan 404
Sarbanex-Oxley Act adalah kompleksitas proses operasi. Sementara Namiri
dan Stojanovic (2007) mengemukakan bahwa rancangan pengendalian harus
mengendalikan ke arah mana sebuah proses bisnis dilaksanakan. Sebuah
perancangan ulang proses bisnis pun (business process reengineering),
menyebabkan pemutakhiran kembali penilaian risiko pada proses bisnis, yang
menggiring ke sebuah pengendalian yang baru atau terbaharui, termasuk
pengujiannya. Proses bisnis merupakan fokus utama dalam menilai
perancangan dan pengelolaan pengendalian internal.
Proses bisnis adalah serangkaian atau sekumpulan aktifitas yang dirancang
untuk menyelesaikan tujuan strategik sebuah organisasi, seperti pelanggan
dan pasar (Hollander, Denna, dan Cherrington, 2000). Proses bisnis memiliki
beberapa karakteristik antara lain (Sparx System, 2004)
a. memiliki tujuan,
b. memiliki input tertentu,
c. memiliki output tertentu,
d. menggunakan sumberdaya,
e. memiliki sejumlah aktifitas yang dilakukan dalam suatu urutan,
f. dapat mempengaruhi lebih dari satu unit organisasional, dan
g. mnciptakan suatu nilai untuk konsumen. pelanggan dapat berupa internal
atau eksternal.
3. Pengendalian Internal
SAT Seksi 400 menyatakan Pelaporan Pengendalian Intern Suatu Entitas
Atas Pelaporan Keuangan. Paragraf 03 Manajemen dapat menyajikan asersi
tertulis tentang efektivitas pengendalian intern suatu entitas dalam bentuk:
a. Suatu laporan terpisah yang akan melampiri laporan praktisi.
b. Suatu surat representasi yang ditujukan kepada praktisi (namun, dalam hal
ini, praktisi harus membatasi penggunaan laporannya hanya untuk
manajemen dan pihak lain dalam entitas dan, jika berlaku, badan pengatur
yang ditentukan).
Komponen yang membentuk pengendalian intern suatu entitas adalah suatu
fungsi definisi pengendalian intern yang dipilih oleh manajemen. Sebagai
contoh, manajemen dapat memilih definisi pengendalian intern yang terdapat
dalam SA Seksi 319 [PSA No. 23] Pertimbangan atas Pengendalian Intern
dalam Audit atas Laporan Keuangan. Paragraf 07 menjelaskan komponen
16. yang membentuk pengendalian intern entitas sebagaimana didefinisikan
dalam SA Seksi 319 [PSA No. 231 tersebut: lingkungan pengendalian,
penaksiran risiko, aktivitas pengendalian, informasi dan komunikasi, serta
pemantauan. Jika manajemen memilih definisi lain suatu pengendalian intern,
penjelasan komponen yang membentuknya dalam paragraf tersebut mungkin
tidak relevan.
a. COSO Internal Control Frameworks.
Dikembangkan oleh The Committee of Sponsoring Organization of the
Treadway Commission sejak sebelum 1980, pertama kali dipublikasi pada
tahun 1992 yang kemudian dikembangkan hingga kini. COSO Internal Control
Framework lebih dikenal sebagai acuan yang diterima umum dalam
pengendalian internal perusahaan dan kaitannya dengan pelaporan
keuangan dan proses operasi.
Definisi pengendalian internal menurut COSO adalah Sebuah proses, yang
dilaksanakan oleh dewan direksi, manajemen, dan personil lainnya, yang
dirancang untuk menyajikan keyakinan memadai terkait dengan pencapaian
tujuan-tujuan dibawah ini:
- Efektifitas dan efisiensi operasi
- Keandalan pelaporan keuangan
- Kepatuhan terhadap hukum dan peraturan
Tujuan pengendalian internal ini dapat dijelaskan sebagai berikut:
1) Efektivitas dan Efisiensi Operasi
Pengendalian internal dimaksudkan untuk menghindarkan pengulangan
kerjasama yang tidak perlu dan pemborosan dalam seluruh aspek usaha
serta mencegah penggunaan sumber daya yang tidak efisien.
2) Keandalan Laporan Keuangan
Agar dapat menyelenggarakan operasi usahanya, manajemen memerlukan
informasi yang akurat. Oleh karena itu dengan adanya pengendalian internal
diharapkan dapat menyediakan data yang dapat dipercaya, sebab dengan
adanya data atau catatan yang andal memungkinkan akan tersusunnya
laporan keuangan yang dapat diandalkan.
3) Kepatuhan terhadap Hukum dan Peraturan
Pengendalian internal dimaksudkan untuk memastikan bahwa segala
peraturan dan kebijakan yang telah ditetapkan manajemen untuk mencapai
tujuan perusahaan dapat ditaati oleh karyawan perusahaan.
Pengendalian internal mengarah pada sebuah proses karena pengendalian
17. internal menyatu ke dalam kegiatan operasi organisasi dan merupakan
bagian integral kegiatan utama manajemen yaitu perencanaan, pelaksanaan,
dan pengawasan.
Pengendalian internal menurut COSO terdiri dari:
1) Lingkungan Pengendalian
2) Penilaian Risiko
3) Aktifitas Pengendalian
4) Informasi dan Komunikasi
5) Pemantauan
Gambar COSO Internal Control Framework
1) Lingkungan Pengendalian menentukan kondisi lingkungan perusahaan,
mempengaruhi kesadaran pengendalian pegawai. Merupakan pondasi dari
komponen lain dengan menyediakan disiplin dan struktur.
Lingkungan Pengendalian:
a) Integritas dan nilai etika
b) Komitmen terhadap kompetensi
c) Komisaris dan Komite Audit yang aktif dan efektif
d) Pilosofi manajemen dan gaya operasional
e) Struktur Organisasi
f) Pemberian wewenang dan tanggung jawab
g) Kebijakan dan praktik SDM
2) Penilaian Risiko merupakan identifikasi dan analisa risiko perusahaan yang
relevan dengan pencapaian tujuan, memberikan dasar bagi penentuan
pengelolaan risiko.
Penilaian Risiko:
a) Penetapan Tujuan Tingkat Entitas
18. b) Penentuan Tujuan Tingkat Aktivitas
c) Identifikasi dan analisa risiko
d) Pengelolaan perubahan
3) Aktivitas Pengendalian merupakan kebijakan dan prosedur yang
memberikan keyakinan bahwa arahan manajemen dilaksanakan dan risiko
yang telah dinilai ditangani secara semestinya.
Aktivitas Pengendalian:
a) Keberadaan kebijakan dan prosedur yang tepat
b) Pelaksanaan kebijakan dan prosedur yang tepat
Aktivitas pengendalian terdiri dari kebijakan dan prosedur yang merasakan
bahwa diperlukan tindakan untuk meredam risiko dalam upaya pencapaian
tujuan perusahaan secara umum. Aktivitas pengendalian dapat dijelaskan
sebagai berikut:
a) Adequate Separation of Duties (Pemisahan Tugas yang Cukup)
Pengendalian internal yang baik menetapkan bahwa tidak ada pegawai yang
diberikan terlalu banyak tanggung jawab sehingga perlu adanya pemisahan
tugas. Beberapa pedoman umum dalam pemisahan tugas untuk mencegah
salah saji, baik yang disengaja maupun yang tidak disengaja, yaitu :
(1) Pemisahan fungsi pemegang aktiva dari fungsi akuntansi
(2) Pemisahan otorisasi transaksi dari pemegang aktiva yang bersangkutan
(3) Pemisahan tanggung jawab operasional dari pembukuan
(4) Pemisahan tugas dalam EDP
b) Proper Authorization of Transaction and Activities (Otorisasi yang Pantas
atas Transaksi)
Otorisasi dapat berbentuk umum dan khusus. Otorisasi umum berarti bahwa
manajemen menyusun kebijakan bagi organisasi untuk ditaati. Sedangkan
otorisasi khusus dilakukan terhadap transaksi individual. Misalnya,
manajemen menentukan kebijakan otorisasi untuk pembelian aktiva
berdasarkan jumlah tertentu yang sudah ditetapkan, ini adalah otorisasi
umum. Bila jumlah pembelian melebihi yang ditetapkan, maka harus
diotorisasi dulu oleh dewan komisaris, ini adalah otorisasi khusus.
c) Adequate Document and Record (Dokumen dan Catatan yang Memadai)
Dokumen dan catatan adalah objek fisik dimana transaksi dimasukkan dan
diikhtisarkan. Dokumen berfungsi sebagai pengantar informasi ke seluruh
bagian organisasi. Dokumen harus memadai untuk memberikan keyakinan
memadai bahwa seluruh aktiva dikendalikan dengan pantas dan seluruh
transaksi dicatat dengan benar. Beberapa prinsip tertentu yang relevan
19. menandai perancangan dan penggunaan yang tepat atas dokumen dan
catatan. Dokumen dan catatan hendaknya :
(1) Diberi nomor urut untuk mencegah terjadinya dokumen yang hilang dan
membantu menelusurinya bila diperlukan.
(2) Dibuat pada saat yang sama ketika terjadinya transaksi atau segera
sesudahnya.
(3) Cukup sederhana agar mudah dimengerti.
(4) Dirancang untuk berbagai kegunaan (bila mungkin) untuk mengurangi
jumlah formulir yang harus dibuat.
(5) Dirancang sedemikian rupa untuk memungkinkan penyajian yang benar.
Pengendalian yang erat berkaitan dengan dokumen dan catatan adalah
bagan
perkiraan yang mengklasifikasikan transaksi ke dalam perkiraan neraca dan
laba rugi. Bagan perkiraan merupakan pengendalian yang penting karena
memberikan kerangka kerja untuk menentukan informasi yang disajikan
kepada manajemen lain dari laporan keuangan. Prosedur untuk pencatatan
secara tepat harus disesuaikan dalam sistem manual untuk mendorong
penerapan yang konsisten. Sistem manual harus menyediakan informasi
yang cukup untuk membantu pencatatan dan mempertahankan informasi
yang tepat atas transaksi.
d) Physical Check on Performance (Pengendalian Fisik atas Aktiva dan
Catatan)
Jenis perlindungan untuk mengamankan aktiva dan catatan yang paling
utama adalah penggunaan tindakan pencegahan secara fisik. Contohnya,
penggunaan gudang persediaan untuk melindungi dari kemungkinan
terjadinya pencurian.
e) Independen Check on Performance (Pengecekan Independen atas
Pelaksanaan)
Kategori terakhir prosedur pengendalian adalah penelaahan yang hati-hati
dan berkesimbangan atas keempat prosedur yang lain, yang sering disebut
sebagai pengecekan independen atau verifikasi intern. Kebutuhan
pengecekan secara independen meningkat karena pengendalian internal
cenderung berubah setiap saat jika tidak terdapat mekanisme penelaahan
yang sering. Contohnya pegawai mungkin lupa atau sengaja tidak mengikuti
prosedur jika tidak ada orang yang meninjau atau mengawasi
pelaksanaanya.
4) Informasi dan komunikasi sistemmen dukung identifikasi, perolehan, dan
20. pertukaran informasi dalam bentuk dan kerangka waktu yang memungkinkan
pegawai melaksanakan tanggung jawabnya.
Informasi dan Komunikasi:
a) Informasi diidentifikasi, diperoleh, diolah dan dilaporkan
b) Komunikasi yang efektif
Sistem informasi yang relevan terhadap tujuan pelaporan keuangan yang
meliputi sistem akuntansi terdiri dari metoda dan catatan yang ditetapkan
untuk mencatat, mengolah, mengikhtisarkan, dan melaporkan transaksi suatu
entitas dan mempertahankan akuntabilitas untuk aktiva dan utang yang
berkaitan.
Komunikasi mencakup memberikan pemahaman peranan individual dan
tanggung jawab yang berkaitan dengan pengendalian intern atas laporan
keuangan. Komunikasi meliputi sejauh mana personel memahami bagaimana
aktivitas mereka dalam sistem informasi pelaporan keuangan berkaitan
dengan pekerjaan dan hal lainnya.
5) Pemantauan adalah penilaian kualitas kinerja pengendalian internal
sepanjang waktu. Pemantauan dilaksanakan oleh personel yang semestinya
melakukan pekerjaan tersebut baik tahap desain maupun pengoperasian
pengendalian pada waktu yang tepat untuk menentukan apakah
pengendalian internal beroperasi seperti yang diharapkan, dan untuk
menentukan apakah pengendalian internal tersebut memerlukan proses
karena terjadinya perubahan pengelolaan.
Monitoring:
a) Monitoring berkesinambungan
b) Evaluasi Terpisah
c) Pelaporan Kelemahan
b. COBIT (Control Objective for Information and Related Technology
COBIT (Control Objective for Information and Related Technology)
Dikembangkan pertama kali oleh Information System Audit and Control
Association (ISACA) tahun 1992 yang kemudian dikelola oleh The IT
Governance Institute (ITGI) – sebuah badan afiliasi ISACA – hingga kini
COBIT telah terbit dengan versi 4.1. COBIT merupakan kerangka
pengendalian internal yang diterima secara umum untuk teknologi informasi
(TI). COBIT diterjemahkan ke dalam empat domain 34 Control Objectives dan
256 Control Indicator.
21. Gambar COBIT Cube
Adapun ke-empat domain tersebut adalah :
1) Perencanaan dan Pengorganisasian (Planning and Organization / PO)
menyediakan arahan untuk solusi dan pelayanan solusinya.
2) Perolehan dan Implementasi (Acquisition and Implementation / AI) -
menyediakan solusi dan mengubahnya menjadi pelayanan
3) Layanan dan Dukungan (Delivery and Suppport / DS) - menerima solusi
dan membuatnya berguna bagi organisasi.
4) Pemantauan dan Evaluasi (Monitor and Evaluate / ME) - memantau
seluruh proses agar menjamin bahwa semua arahan diikuti.
Sedangkan Tujuan Pengendalian (Control Objective) mencakup hal-hal
sebagai berikut :
Perencanaan dan Pengorganisasian (Planning and Organization)
1. PO1 Perencanaan stratejik TI
2. PO2 Arsitektur informasi
3. PO3 Arah TI
4. PO4 Organisasi dan keterkaitan TI
5. PO5 Pengelolaan investasi TI
6. PO6 Komunikasi tujuan dan arah manajemen
7. PO7 Pengelolaan SDM
8. PO8 Ketaatan dg kebutuhan eksternal
9. PO9 Penilaian risiko
10. PO10 Pengelolaan proyek
11. PO11 Pengelolaan kualitas
22. Perolehan dan Implementasi (Acquisition and Implementation)
12. AI1 Solusi terotomasi
13. AI2 Perolehan dan pemeliharaan software aplikasi
14. AI3 Perolehan dan pemeliharaan infrastruktur TI
15. AI4 Pengembangan dan pemeliharaan prosedur
16. AI5 Install dan penguasaan sistem
17. AI6 Pengelolaan perubahan
Layanan dan Dukungan (Delivery and Suppport)
18. DS1 Pendefinisikan dan pengelolaan tingkatan jasa
19. DS2 Pengelolaan jasa pihak ketiga
20. DS3 Pengelolaan kinerja dan kapasitas
21. DS4 Pemastian jasa berkelanjutan
22. DS5 Pemastian security sistem
23. DS6 Pengidentifikasian dan pengalokasian biaya
24. DS7 Pendidikan dan pelatihan pengguna
25. DS8 Membantu pelanggan
26. DS9 Pengelolaan konfigurasi
27. DS10 Pengelolaan masalah dan insiden
28. DS11 Pengelolaan data
29. DS12 Pengelolaan fasilitas
30. DS13 Pengelolaan operasi
Pantauan (Monitoring)
31. M1 Pemantauan proses
32. M2 Penilaian kecukupan pengendalian intern
33. M3 Perolehan jaminan yang independen
34. M4 Penyediaan audit yang independen
23. Gambar 3. IT Governance
Walaupun struktur pengendalian internal menurut COSO juga mencakup
aktifitas pengendalian terkait dengan pemrosesan informasi (pengendalian
umum dan pengendalian aplikasi), COBIT menelusuri pengendalian umum
lebih jauh lagi menjadi pengendalian menyeluruh (pervasive IS control) dan
pengendalian terinci (detailed IS control). COBIT memandang pengendalian
internal bekerja sepanjang proses sejak perencanaan dan organisasi,
perolehan dan penerapan, pemberian dan dukungan hingga pemantauan dan
evaluasi. Pengendalian menyeluruh meliputi proses perencanaan, organisasi,
pemantauan dan evaluasi seluruh komponen sistem informasi dan
operasional secara umum. Pengendalian terinci terdiri dari pengendalian
umum yang bukan bagian dari pengendalian menyeluruh dan pengendalian
aplikasi/proses bisnis.
IS Auditing Guidelines nomor G11 tentang dampak dari pengendalian sistem
informasi menyeluruh (Effect of Pervasive IS Controls), secara tidak langsung
mengindikasikan bahwa COBIT tidak khusus berfokus pada prosedur
24. pengendalian proses bisnis atau aplikasi, melainkan pada pengendalian
umum (ISACA, 2007; ITGI, 2007). COBIT menyerahkan tanggungjawab
kebutuhan bisnis dan penggunaan operasional pengendalian aplikasi pada
dunia usaha, namun bertanggungjawab dalam pengembangan aplikasi dan
proses otomasinya.
4. Keterbatasan Pengendalian Intern Suatu Entitas
Tidak ada satu sistem pun yang dapat mencegah secara sempurna semua
pemborosan dan penyelewengan yang terjadi pada suatu perusahaan,
karena pengendalian internal setiap perusahaan memiliki keterbatasan
bawaan. Keterbatasan bawaan yang melekat pada pengendalian internal
menurut Mulyadi (2002,181) sebagai berikut:
a. Kesalahan dalam pertimbangan
Seringkali, manajemen dan personil lain dapat salah dalam
mempertimbangkan keputusan hisnis yang diambil atau dalam melaksanakan
tugas rutin karena tidak memadainya informasi, keterbatasan waktu, dan
tekanan lain.
b. Gangguan
Gangguan dalam pengendalian yang telah ditetapkan dapat terjadi karena
personil secara keliru memahami perintah atau membuat kesalahan karena
kelalaian, tidak adanya perhatian, atau kelelahan. Perubahan yang bersifat
sementara atau permanen dalam personil atau dalam sistem dan prosedur
dapat pula mengakibatkan gangguan.
c. Kolusi
Tindakan bersama beberapa individu untuk tujuan kejahatan disebut kolusi.
Kolusi dapat mengakibatkan bobolnya pengendahan internal yang dibangun
untuk melindungi kekayaan entitas dan tidak terungkapnya ketidakberesan
atau terdeteksinya kecurangan oleh struktur pengendalian internal yang
dirancang.
d. Pengabaian oleh manajemen
Manajemen dapat mengabaikan kebijakan atau prosedur yang telah
ditetapkan untuk tujuan yang tidak sah. Seperti keuntungan pribadi manajer,
penyajian kondisi keuangan yang berlebihan atau kepatuhan semu.
e. Biaya lawan manfaat
Biaya yang diperlukan untuk mengoperasikan struktur pengendalian internal
tidak boleh melebihi manfaat yang diharapkan dari pengendalian internal
tersebut, karena pengukuran secara tepat baik biaya maupun manfaat
biasanya tidak mungkin
dilakukan. Manajemen harus memperkirakan dan memperthnbangkan secara
kuantitatif dan kualitatif untuk mengevaluasi biaya dan manfaat suatu strukur
25. pengendahan internal.
Berdasarkan uraian di atas, bahwa keefektifan pengendalian internal
tergantung dari orang-orang yang melaksanakannya dan juga perlu
diperhatikan manfaat yang dihasilkan.
Pengendalian intern, terlepas bagaimanapun baiknya desain maupun
pengoperasiannya, hanya dapat memberikan keyakinan memadai kepada
manajemen dan dewan komisaris tent a kolusi dua orang atau lebih atau
karena manajemen melanggar pengendalian ang pencapaian tujuan entitas.
Kemungkinan pencapaian tujuan entitas dipengaruhi oleh keterbatasan
bawaan yang terdapat dalam pengendalian intern. Hal ini mencakup
kenyataan tentang pertimbangan manusia dapat salah, dan kerusakan
pengendalian intern dapat terjadi karena kegagalan manusia seperti
kesalahan yang sederhana. Di samping itu, pengendalian dapat tidak berdaya
karen intern.
Adat, budaya, dan sistem corporate governance mungkin menghalangi
dilakukannya ketidakberesan oleh manajemen, namun hal itu bukanlah alat
pencegah yang bersifat mutlak. Lingkungan pengendalian yang efektif dapat
juga membantu mengurangi kemungkinan dilakukannya ketidakberesan
semacam itu. Sebagai contoh, faktor lingkungan pengendalian seperti dewan
komisaris, komite audit, dan fungsi audit intern yang efektif dapat
menghalangi perbuatan manajemen yang tidak semestinya. Di lain pihak,
suatu lingkungan pengendalian yang tidak efektif dapat berakibat negatif
terhadap efektivitas komponen lain pengendalian intern. Sebagai contoh,
pada waktu adanya insentif manajemen yang menciptakan lingkungan yang
dapat mengakibatkan salah saji material dalam laporan keuangan, efektivitas
aktivitas pengendalian dapat berkurang. Efektivitas pengendalian intern
entitas dapat pula dipengaruhi secara negatif oleh faktor-faktor seperti
perubahan dalam pemilikan perusahaan atau pengendalian, perubahan
manajemen atau pegawai lain, atau perkembangan dalam pasar atau industri
entitas.
5. Prinsip-prinsip Sistem Pengendalian Intern
Menurut (Bambang Hartadi ) Untuk dapat mencapai tujuan pengendalian
akuntansi, suatu sistem harus memenuhi enam prinsip dasar pengendalian
intern yang meliputi:
a. Pemisahan fungsi
Tujuan utama pemisahan fungsi untuk menghindari dan pengawasan segera
atas kesalahan atau ketidakberesan. Adanya pemisahan fungsi untuk dapat
mencapai suatu efisiensi pelaksanaan tugas.
b. Prosedur pemberian wewenang Tujuan prinsip ini adalah untuk menjamin
26. bahwa transaksi telah diotorisir oleh orang yang berwenang.
c. Prosedur dokumentasi
Dokumentasi yang layak penting untuk menciptakan sistem pengendalian
akuntansi yang efektif. Dokumentasi memberi dasar penetapan
tanggungjawab untuk pelaksanaan dan pencatatan akuntansi.
d. Prosedur dan catatan akuntansi
Tujuan pengendalian ini adalah agar dapat disiapkannya catatancatatan
akuntansi yang yang teliti secara cepat dan data akuntansi dapat dilaporkan
kepada pihak yang menggunakan secara tepat waktu.
e. Pengawasan fisik
Berhubungan dengan penggunaan alat-alat mekanis dan elektronis dalam
pelaksanaan dan pencatatan transaksi.
f. Pemeriksaan intern secara bebas
Menyangkut pembandingan antara catatan asset dengan asset yang betul-
betul ada, menyelenggarakan rekening-rekening kontrol dan mengadakan
perhitungan kembali gaji karyawan. Ini bertujuan untuk mengadakan
pengawasan kebenaran data.
6. Jenis-jenis pengendalian
a. Berdasarkan tujuan, meliputi:
1) Pengendalian Akuntansi, meliputi rencana, prosedur dan pencatatan yang
bertujuan menjaga keamanan kekayaan perusahaan dan keandalan data
akuntansinya. Pengendalian ini menjamin bhw semua transaksi dilaksanakan
sesuai otorisasi manajemen. Transaksi dicatat sesuai dengan Standar
akuntansi
2) Pengendalian Administratif, meliputi rencana, prosedur dan pencatatan
yang mendorong efisiensi dan ditaatinya kebijakan manajemen yang
ditetapkan
b. Berdasarkan manfaat, meliputi:
1) Pengendalian preventif (preventive control), mencegah terjadinya
kesalahan, secara otomatis dilakukan pengendalian/pengecekan
2) Pengendalian detektif (feed forward control), mendeteksi kapan kesalahan
terjadi dan dilakukan perbaikan
3) Pengendalian korektif (feedback control), memberikan umpan balik berupa
informasi kepada manajemen untuk memperbaiki akibat terjadinya
kesalahan.
b. Berdasarkan cakupan, meliputi:
1) Pengendalian umum, pengendalian terhadap semua aktivitas pemrosesan
data dengan komputer, hal ini meliputi pemisahan tanggung jawab dan fungsi
27. pengolahan data.
2) Pengendalian aplikasi, mencakup semua pengawasan transaksi dan
penggunaan programprogram aplikasi di komputer. Untuk menjaga agar
setiap transaksi mendapat otorisasi serta dicatat, diklasifikasikan, diproses,
dan dilaporkan dengan benar.
7. Rencana Review Implementasi ICOFR pada PT Pelabuhan Indonesia III
(Persero)
Dalam hal ini pembahasan rencana review implementasi pengendalian
internal atas laporan keuangan pada PT Pelabuhan Indonesia III (Persero)
yang mengacu pada COSO dan COBIT. COSO dan COBIT menjadi kerangka
acuan dalam menilai aspek pengendalian pada sistem informasi dan
pelaporan keuangan. Alasan pengunaan COSO dan COBIT dalam
mengidentifikasi risiko dan pengendalian atas laporan keuangan adalah:
- Kerangka pengendalian internal menurut COSO umumnya memberikan
pijakan pada pengendalian khusus pada laporan keuangan, bukan pada
sistem informasi. Sementara transaksi bisnis lebih banyak mengandalkan
sistem pemroses transaksi.
- Kerangka pengendalian berdasarkan COBIT berfokus pada pengendalian
berbasis komputer secara umum (general control) dan menyerahkan
operasionalisasi dari pengendalian aplikasi pada organisasi yang
bersangkutan.
- Pemahaman terhadap proses bisnis perusahaan menjadi kritikal bagi profesi
akuntansi karena menentukan derajat akomodasi sistem informasi akuntansi
terhadap kewajaran proses operasi, proses pengungkapan informasi, dan
proses pengambilan keputusan manajemen. Pengendalian aplikasi berfokus
pada proses bisnis.
a. Dasar Implementasi
1) Undang-Undang Republik Indonesia Nomor 19 Tahun 2003 Tentang
Badan Usaha Milik Negara.
2) Undang-Undang Republik Indonesia Nomor 40 Tahun 2008 Tentang
Perseroan Terbatas.
3) Keputusan Menteri Negara BUMN No.Kep-117/M-MBU/2002 tentang
Penerapan Praktek Good Corporate Governance Dalam Badan Usaha Milik
Negara (BUMN).
4) Keputusan Kepala Bapepam No VIII.G.11, IX.E.1/2 dan IX.I.5
5) PSAK Standar Pekerjaan Lapangan No.2, SPAP 1994 – PSA No.06, 23,
24, 35, 60 & 69 dan SPAP 2001 SAT Seksi 400 & SA Seksi 314
28. 6) Mempertimbangkan perkembangan operasi perusahaan dimana
perusahaan telah go public, maka ada beberapa peraturan di luar negeri
terutama Amerika Serikat, antara lain :
- Sarbanes Oxley Act item 304 dan 404
- SEC No 33-8810 atau 33-8818
- Standard Audit No 2 dan 5 PCOAB
- SAS 55/78 AICPA
Yang mengatur perusahaan harus melakukan review internal control dan
berkewajian untuk menyertakan pernyataan direksi dalam laporan keuangan
dan di audit oleh auditor idependen.
Prosedur dan pengendalian yang diterapkan pada PT. Telekomunikasi
Indonesia, Tbk., mengacu pada COSO Internal Control framework, COSO
Enterprise Risk Management Framework, dan COBIT (Control Objectives for
Information and Related Technology), khusus untuk pengendalian internal di
bidang Teknologi Informasi.
Dengan berpedoman pada COSO Internal Control framework, pengendalian
internal yang dipergunakan untuk menjamin keandalan laporan keuangan,
antara lain diterapkan pada tingkat pengendalian (level of control) berikut:
tingkat Pengendalian Entitas (Entity Level Control);
tingkat Pengendalian Transaksi (Transactional Level Control); dan
pengendalian Teknologi Informasi (IT Control)
Dalam proses perancangannya, pengendalian ditentukan berdasarkan risiko,
risiko dikelola untuk menghindari kesalahan dan kecurangan (fraud) yang
berakibat misstatement terhadap laporan keuangan. Hal ini tidak hanya
terbatas pada risiko laporan keuangan, kontrol juga diterapkan untuk risiko
lain, termasuk risiko bisnis dan operasi.
Tindakan Entity Level Control yang telah dilakukan meliputi:
formulasi kebijakan dan implementasi ICOFR dan pengendalian
pengungkapan sesuai dengan SOA Seksi 404 (Penilaian ICOFR) dan
Seksi 302 (Sertifikasi Direksi), Audit Standard No. 5, meliputi TELKOM
dan anak perusahaan konsolidasi melalui Keputusan Direksi No. 13
tahun 2009;
membangun komitmen pengelolaan perusahaan sesuai etika melalui
tata kelola yang baik dengan cara penerapan etika bisnis, mencegah
benturan kepentingan, whistleblower, penerapan risk management di
setiap unit bisnis, penerapan program fraud, pakta integritas, dan lain-
lain;
29. menyelenggarakan asesmen risiko rutin dan risk profiling sebagai early
detection system; dan
melakukan berbagai audit untuk menjamin efektivitas dari
penerapan Entity Level Control.
Tindakan Transactional Level Control yang telah dilakukan meliputi:
merancang bisnis proses dengan menggunakan risk based control dan
menerapkan pemisahan kewenangan berdasarkan prinsip segregation
of duties;
memberlakukan disiplin kerja sesuai ketentuan bisnis proses;
memperbaiki/redesign bisnis proses secara rutin untuk memastikan
agar konsisten dengan perubahan kebijakan dan organisasi, tuntutan
bisnis dan temuan audit; dan
melakukan berbagai audit untuk menjamin efektivitas dari
penerapan Transactional Level Control.
Tindakan IT based control yang telah dilakukan meliputi:
IT Entity Level Control – memformulasikan kebijakan IT dan master
plan guna menegakkan IT Governance;
IT General Control – menjamin perkembangan dan perubahan dalam
operasi dan aplikasi IT dapat terus dilakukan sejalan dengan
ketentuan IT Governance; dan
Application Control – menjamin bahwa penggunaan aplikasi telah
sesuai dengan pengaturan otorisasi dan hak akses, seperti
manajemen password, end user computing, audit trail, dan lain lain.
Sebagai perusahaan yang tercatat di NYSE, TELKOM harus tunduk pada
ketentuan Exchange Act, TELKOM harus patuh terhadap aturan
tertentu Sarbanes-Oxley Act dan regulasi terkait dalam Exchange
Act serta The Foreign Corrupt Practices Act tahun 1977.
Sumber :
1. Modul SI PI, Sistem Informasi dan Pengendalian Internal [TM14],
Hapzi Ali, 2017
2. Mukhtardaud, 2017,
http://mukhtardaud.blogspot.co.id/2011/08/internal-control-over-
financial.html
3. Telkom, 2017,
http://www.telkom.co.id/UHI/ID/07_gcg/0400_procedures.html