Teks tersebut membahas tentang Internal Control Over Financial Reporting (ICOFR) dan implementasinya pada PT Telekomunikasi Indonesia Tbk. ICOFR dirancang menggunakan kerangka COSO dan menerapkan pengendalian pada tingkat entitas dan transaksi serta teknologi informasi. PT Telkom melaksanakan delapan siklus desain ICOFR untuk memastikan laporan keuangan yang handal.

1. SISTEM INFORMASI DAN PENGENDALIAN INTERNAL
DOSEN : PROF. DR. IR. HAPZI ALI, MM, CMA
TENTANG
INTERNAL CONTROL OVER FINANCIAL REPORTING
OLEH :
SANDY SETIAWAN
55516120017
MAGISTER AKUNTANSI
PROGRAM PASCASARJANA (S2)
UNIVERSITAS MERCUBUANA
2017

2. Forum :
Bagaimanakah Internal control over financial reporting pada perusahaan saudara atau pada
perusahaan lain yang saudara ketahui apakah menggunakan konsep atau disain ICoFR dan
bagaimana dengan Entity Level Control (ELC) dan Transactional Level Control (TLC),
apakah di terapkan? Jelaskan !
Jawab :
Internal control yang berkaitan dengan pelaporan keuangan disebut dengan internal
control over financial reporting (ICoFR). ICoFR didefinisikan sebagai kebijakan-kebijakan
dan rangkaian prosedur serta tata kerja terkait proses pelaporan keuangan untuk menjamin
tersusunnya laporan keuangan yang akurat, andal dan tepat waktu. Tujuan dari IcoFR ini
adalah agar memiliki keyakinan yang memadai bahwa proses pencatatan pada laporan
keuangan telah didukung dengan internal control yang efektif berdasarkan ketentuan yang
berlaku.
Dalam Exchange Act Rules 13a-15(f) dan 15d-15(f), Pengendalian Internal atas pelaporan
keuangan didefinisi sebagai suatu proses yang dirancang oleh, atau di bawah pengawasan
Direktur Utama dan Direktur Keuangan, dan dilakukan oleh Direksi, manajemen, dan
personel lainnya untuk memberikan keyakinan yang memadai mengenai keandalan pelaporan
keuangan dan penyusunan laporan keuangan konsolidasian untuk keperluan eksternal sesuai
dengan prinsip akuntansi yang berlaku umum dan termasuk kebijakan dan prosedur yang, (1)
berkaitan dengan pengelolaan pencatatan secara rinci, akurat dan wajar yang mencerminkan
transaksi dan pelepasan aset Perusahaan, (2) memberikan keyakinan yang memadai bahwa
transaksi dicatat secara semestinya untuk memungkinkan penyusunan Laporan Keuangan
Konsolidasian berdasarkan prinsip akuntansi yang berlaku umum, dan bahwa pendapatan dan
biaya Perusahaan diterima dan dikeluarkan hanya berdasarkan kewenangan manajemen dan
Direksi Perusahaan, dan (3) memberikan keyakinan yang memadai mengenai pencegahan
atau deteksi secara tepat waktu dalam hal perolehan, penggunaan atau pelepasan aset
Perusahaan yang tidak sah yang dapat memberikan dampak material terhadap Laporan
Keuangan Konsolidasian.
Munculnya ICoFR ini bermula dari adanya skandal akuntansi dan audit yang meruntuhkan
korporasi besar di Amerika Serikat : Enron Corp Wordcom, membuat pemerintah Amerika
Serikat mengeluarkan regulasi atas praktek akuntansi dan audit pada tanggal 30 Juli 2002
bernama The Public Company Accounting Reform and Investor Protection Act. Kemudian
sejalan dengan perkembangan usaha dan bisnis khususnya bagi perusahaan yang menuju
kelas dunia dan yang akan listed di pasar internasional, investir sangat concern mengenai
hasil audit independen atas efektivitas internal cotrol dalam pelaporan keuangan.
Di Indonesia, hal lain yang menyebabkan mengapa perlu ICoFR adalah sebagai berikut:
1. Peraturan BPK RI No 1 tahun 2007, PSP 03 telah mengatur standar pelaporan
pemeriksaan keuangan, yang berkaitan pelaporan terhadap pengendalian internal, sehinga
efektivitas atas internal control pelaporan keuangan menjadi suatu keharusan bagi
perusahaan
2. Untuk dapat mencegah kemungkinan adanya fraud
3. Adanya konvergensi IFRS, menyebabkan perlunya pengembangan internal control ini,
karena kebijakan akuntansi dan control, pengungkapan prosedur menjadi dasar pembuatan
rancangan risiko dan kontrol yang menyeluruh yang menggambarkan bagaimana setiap
hambatan dimitigasi, diotorisasi, dicatat, diproses, dan dilaporkan dalam laporan
keuangan.
Siklus dalam desain dan implementasi ICOFR dapat di deskripsikan pada aplikasi
langsung di perusahaan Telkom yang saya kutip dari skripsi Luki Prastyarianti (2012)

3. dengan judul penelitian “Evaluasi Pengendalian Internal atas Pelaporan Keuangan Sesuai
Sarbanas Oxley Act Section-404 Studi Kasus Pada PT.Telekomunikasi Indonesia, Tbk”.
Telkom merupakan badan usaha milik negara yang menawarkan saham perdananya
pada tahun 1995 di dalam (Bursa Efek Jakarta dan Bursa Efek Surabaya) dan luar negeri
(New York Stock Exchange, London Stock Exchange, dan Tokyo Stock Exchange).
Dalam memenuhi kewajibannya sebagai perusahaan yang multilisting, Telkom
mengimplementasikan peraturan yang berlaku terkait pengendalian internal control over
financial reporting (SOX 404, PCAOB No.5, dan di Indonesia didukung dalam SA seksi
319).
Dalam rangka mewujudkan implementasi tersebut untuk menghasilkan internal yang
efektif dan efisien, Telkom menggunakan COSO Framework dan merancang suatu sistem
yang menunjang pengendalian internalnya yang disebut dengan Bisnis Proses SOX.
Bisnis Proses SOX terdapat delapan siklus didalamnya yang juga terdiri dari beberapa
bisnis proses (114). Keseluruhannya di bawah naungan SOX berdasarkan prinsip-prinsip
ICOFR menggunakan kerangka COSO Internal Control Framework. Delapan siklus
tersebut yaitu; Siklus penerimaan, beban, pengadaan dan asset tetap, persediaan, pajak,
asset tetap, treasury/perbendaharaan, investasi/divestasi, serta pelaporan keuangan. Proses
didalam tiap siklus dilanjutkan dengan beberapa subproses.Proses ini dilengkapi dengan
risiko (R1, R2, R3, dan seterusnya) apa saja yang berpotensi terjadi pada subproses berikut
pengendalian (C1,C2,C3 dan seterusnya) yang harus dilakukan.

4. Berikut ini Implementasi ICOFR pada PT.TELEKOMUNIKASI INDONESIA, Tbk

6. Dengan berpedoman pada COSO Internal Control framework, pengendalian internal yang
dipergunakan untuk menjamin keandalan laporan keuangan, antara lain diterapkan pada
tingkat pengendalian (level of control) berikut:
 Tingkat Pengendalian Entitas (Entity Level Control);
 Tingkat Pengendalian Transaksi (Transactional Level Control); dan
 Pengendalian Teknologi Informasi (IT Control)
Dalam proses perancangannya, pengendalian ditentukan berdasarkan risiko, risiko dikelola
untuk menghindari kesalahan dan kecurangan (fraud) yang berakibat misstatement
terhadap laporan keuangan. Hal ini tidak hanya terbatas pada risiko laporan keuangan,
kontrol juga diterapkan untuk risiko lain, termasuk risiko bisnis dan operasi.

7. 1. Tindakan Entity Level Control yang telah dilakukan meliputi:
a. formulasi kebijakan dan implementasi ICOFR dan pengendalian pengungkapan
sesuai dengan SOA Seksi 404 (Penilaian ICOFR) dan Seksi 302 (Sertifikasi
Direksi), Audit Standard No. 5, meliputi TELKOM dan anak perusahaan
konsolidasi melalui Keputusan Direksi No. 13 tahun 2009;
b. membangun komitmen pengelolaan perusahaan sesuai etika melalui tata kelola
yang baik dengan cara penerapan etika bisnis, mencegah benturan kepentingan,
whistleblower, penerapan risk management di setiap unit bisnis, penerapan
program fraud, pakta integritas, dan lain-lain;
c. menyelenggarakan asesmen risiko rutin dan risk profiling sebagai early detection
system; dan
d. melakukan berbagai audit untuk menjamin efektivitas dari penerapan Entity Level
Control.
2. Tindakan Transactional Level Control yang telah dilakukan meliputi:
a. merancang bisnis proses dengan menggunakan risk based control dan menerapkan
pemisahan kewenangan berdasarkan prinsip segregation of duties;
b. memberlakukan disiplin kerja sesuai ketentuan bisnis proses;
c. memperbaiki/redesign bisnis proses secara rutin untuk memastikan agar konsisten
dengan perubahan kebijakan dan organisasi, tuntutan bisnis dan temuan audit; dan
d. melakukan berbagai audit untuk menjamin efektivitas dari penerapan Transactional
Level Control.
3. Tindakan IT based control yang telah dilakukan meliputi:
a. IT Entity Level Control – memformulasikan kebijakan IT dan master plan guna
menegakkan IT Governance;
b. IT General Control – menjamin perkembangan dan perubahan dalam operasi dan
aplikasi IT dapat terus dilakukan sejalan dengan ketentuan IT Governance; dan
c. Application Control – menjamin bahwa penggunaan aplikasi telah sesuai dengan
pengaturan otorisasi dan hak akses, seperti manajemen password, end user
computing, audit trail, dan lain lain.
Sebagai perusahaan yang tercatat di New York Stock Exchange (NYSE), TELKOM
harus tunduk pada ketentuan Exchange Act, TELKOM harus patuh terhadap aturan
tertentu Sarbanes-Oxley Act dan regulasi terkait dalam Exchange Act serta The Foreign
Corrupt Practices Act tahun 1977.

8. Quiz :
Apa yang saudara ketahui tentang 3 point di bawah ini dan kaitannya dengan Internal control
over financial reporting: implementasi dan desain ICoFR :
1. COSO Integrated Framework.
2. Entity level control (ELC) and Transactional level control (TLC).
3. Siklus dalam desain dan implementasi ICoFR.
Jawab :
Sukses berkelanjutan bisnis sangat dipengaruhi oleh kekuatan system internal control over
financial reporting (ICOFR). Abad 21 peranan financial reporting makin relevan dan penting.
Financial reporting sebagai peta perjalanan kinerja bisnis yang mencerminkan sukses
tidaknya bisnis. Tak dipungkiri bahwa kegagalan perusahaan baik global maupun local
banyak disebabkan kelemahan ICOFR. Kebangkrutan perusahaan raksasa seperti Enron di
Amerika adalah contoh nyata. Bank Century di Indonesia dan ada banyak contoh lain juga
akibat kelemahan ICOFR. Jika Good Corporate Governance ingin dicapai, maka kebutuhan
ICOFR yang kuat menjadi kebutuhan semua pihak.
BUMN merupakan salah satu perusahaan milik negara yang diwajibkan
menyelenggarakan pengendalian internal berbasis COSO, tertuang dalam pasal 22 Keputusan
Menteri BUMN Nomor Kep-117/M-MBU/2002 tentang penerapan good governance pada
Badan Usaha Milik Negara (BUMN). Dalam keputusan tersebut dinyatakan bahwa
manajemen BUMN harus memelihara pengendalian internal bagi perusahaan yang meliputi.
Keputusan Ketua Badan Pengawas Pasar Modal nomor: Kep-40/PM/2003 atau peraturan
nomor VIII.G.11 tentang tanggung jawab direksi atas laporan keuangan, yaitu:
a) Laporan Keuangan dalam rangka kewajiban penyampaian laporan keuangan kepada
Bapepam.
b) Direksi Emiten atau Perusahaan Publik wajib membuat surat pernyataan.
c) Surat pernyataan sebagaimana wajib ditandatangani oleh Direktur Utama dan seorang
Direktur yang membawahi bidang akuntansi atau keuangan, dan bermeterai cukup.
d) Direksi Emiten atau Perusahaan Publik secara tanggung renteng bertanggung jawab atas
pernyataan yang dibuat termasuk kerugian yang mungkin ditimbulkan.
e) Surat pernyataan wajib dilekatkan pada laporan keuangan yang disampaikan kepada
Bapepam.

9. f) Dalam hal laporan keuangan yang disampaikan telah diaudit atau ditelaah secara
terbatas, maka tanggung jawab Direksi atas pernyataan sebagaimana dimaksud berlaku
sampai dengan tanggal pendapat akuntan.
g) Laporan keuangan interim yang disampaikan tidak diaudit, maka tanggung jawab Direksi
atas pernyataan berlaku sampai dengan tanggal disampaikannya surat pernyataan
dimaksud kepada Bapepam.
h) Dengan tidak mengurangi ketentuan pidana di bidang Pasar Modal, Bapepam berwenang
mengenakan sanksi terhadap setiap pelanggaran ketentuan peraturan ini, termasuk
pihakpihakyang menyebabkan terjadinya pelanggaran tersebut.
Perusahaan Indonesia yang listing di bursa efek di Amerika Serikat (NYSE) dan hanya satu-
satunya Badan Usaha Milik Negara (BUMN) di Indonesia yang terdaftar di NYSE sehingga
PT Telkom harus patuh terhadap SOA section 404 seperti yang disyaratkan oleh SEC
(Securities and Exchange Commission).
1. COSO Integrated Framework
Sistem pengendalian intern yang dianut pemerintah Indonesia salah satunya diadopsi
dari COSO (Commitee of Sponsoring Organization of Treadway Commision) yaitu komisi
yang bergerak di bidang manajemen organisasi. Tujuan dari Sistem Pengendalian Intern
secara umum akan membantu suatu organisasi mencapai tujuan operasional yaitu
efektifitas dan efisiensi kegiatan, keterandalan laporan keuangan, dan kepatuhan pada
peraturan yang berlaku. Sistem Pengendaian Intern perlu diketahui oleh seluruh komponen
organisasi karena sistem ini merupakan sistem yang terintegrasi dan merupakan tanggung
jawab bersama untuk mewujudkan tujuan organisasi.
Kerangka Pengendalian Internal-Terpadu COSO 2013 diterbitkan pada tahun 1992 oleh
COSO. Kemudian pada tanggal 14 Mei 2013, COSO merilis versi terbaru dari Kerangka
Pengendalian Internal-Terpadu. Kerangka baru COSO adalah hasil dari proyek
multitahunan yang signifikan, termasuk dua putaran paparan publik untuk meninjau,
menyegarkan, dan memodernisasi kerangka asli dengan memastikannya tetap relevan.
Para regulator dan stakeholder mempunyai ekspektasi tinggi mengenai pengawasan tata
kelola, manajemen risiko, dan pendeteksian serta pencegahan penyelewengan (fraud).
Sementara kemajuan telah dibuat dalam menghubungkan manajemen risiko dan praktik
pengendalian internal dalam mengejar tujuan strategis organisasi. Banyak perubahan sejak
tahun 1992, peningkatan risiko bisnis secara signifikan, sehingga kebutuhan akan

10. kompetensi dan akuntabilitas jauh lebih besar dari sebelumnya. Perbedaan dari kerangka
tahun 1992 :
 Kerangka asli termasuk diskusi panjang konsep pengendalian internal, yang sekarang
pengetahuan institusional.
 Meskipun konsep prinsip-prinsip pengendalian internal telah tertanam dalam kerangka
asli, prinsip tersebut belum terinci.
 Praktisi telah menggunakan kerangka pengendalian internal atas pelaporan keuangan
eksternal, namun kerangka ini meliputi tiga kategori utama, yaitu : tujuan termasuk
operasi, pelaporan secara keseluruhan, dan tujuan kepatuhan.
Dengan demikian, prinsip-prinsip yang mendasari perampingan kerangka asli yaitu:
1. meningkatkan fokus pada operasi,
2. pelaporan keuangan noneksternal, dan
3. tujuan kepatuhan.
Menurut COSO, “Pengendalian internal adalah suatu proses yang dilakukan oleh
dewan entitas direksi, manajemen, dan personil lainnya; dirancang untuk memberikan
keyakinan memadai tentang pencapaian tujuan yang berkaitan dengan operasi, pelaporan,
dan kepatuhan.”
Kerangka pengendalian internal tahun 2013 masih menggunakan tiga kategori tujuan
tersebut, dan terdiri dari lima komponen terpadu : lingkungan pengendalian, penilaian
risiko, aktivitas pengendalian, informasi dan komunikasi, serta pemantauan. Kerangka
tersebut terus beradaptasi, dan memungkinkan kita untuk mempertimbangkan
pengendalian internal dari entitas, divisi, unit operasi, dan/atau tingkat fungsional,
misalnya pusat layanan bersama.
Komponen Pengendalian Internal dalam Kerangka COSO 2013

11. Ada 17 prinsip-prinsip pengendalian internal dalam komponen pengendalian
internal, yaitu:
Lingkungan Pengendalian
Lingkungan pengendalian adalah kondisi yang dibangun dan diciptakan dalam suatu
organisasi yang akan mempengaruhi efektivitas pengendalian. Kondisi lingkungan kerja
dipengaruhi oleh beberapa hal, yaitu adanya penegakan integritas dan etika seluruh
anggota organisasi, omitmen pimpinan manajemen atas kometensi, kepemimpinan
manajemen yang kondusif, pembentukan struktur organisasi yang sesuai dengan
kebutuhan, pendelegasian wewenang dan tanggung jawab yang tepat, penyusunan dan
penerapan kebijakan yang sehat tentang pembinaan sumber daya manusia, perwujudan
peran aparat pengawasan yang efektif, dan hubungan kerja yang baik dengan pihak
ekstern.
1. Menunjukkan komitmen terhadap integritas dan etika nilai-nilai.
2. Tanggung jawab pengawasan pelatihan.
3. Menetapkan struktur, wewenang, dan tanggung jawab.
4. Menunjukkan komitmen untuk berkompetensi
5. Meningkatkan akuntabilitas
Penilaian Risiko
Risiko merupakan hal-hal yang berpotensi menghambat tercapainya tujuan. Identifikasi
terhadap risiko (risk identification) diperlukan untuk mengetahui potensi-potensi kejadian
yang dapat menghambat dan menghalangi terwujudnya tujuan organisasi. Setelah
dilakukan identifikasi maka dilakukan analisis terhadap risiko meliputi analisis secara
kuantitatif (quantitative risk analysis) dan kualitatif (qualitative risk analysis). Analisis
risiko akan menentukan dampak kejadian, serta merupakan input untuk mendapatkan cara
mengelola risiko tersebut.
6. Menentukan tujuan yang sesuai.
7. Mengidentifikasi dan menganalisis risiko.
8. Menilai risiko penyelewengan (fraud)
9. Mengidentifikasi dan menganalisis perubahan yang signifikan.
Aktivitas Pengendalian
Kegiatan pengendalian adalah tindakan yang diperlukan untuk mengatasi risiko,
menetapkan dan melaksanakan kebijakan serta prosedur, serta memastikan bahwa

12. tindakan tersebut telah dilaksanakan secara efektif. Tindakan-tindakan yang dilakukan
untuk mengatasi risiko dapat dibagi menjadi 2 jenis tindakan yaitu tindakan preventif dan
tindakan mitigasi. Tindakan preventif adalah tindakan yang dilakukan sebelum kejadian
yang berisiko berlangsung, sedangkan tindakan mitigasi adalah tindakan yang dilakukan
setelah kejadian berisiko berlangsung, dalam hal ini tindakan mitigasi berfungsi untuk
mengurangi dampak yang terjadi. Tindakan-tindakan tersebut juga harus dilakukan
evaluasi sehingga dapat dinilai keefektifan serta keefisienan tindakan tersebut.
10. Memilih dan mengembangkan kegiatan pengendalian
11. Memilih dan mengembangkan kontrol umum atas teknologi.
12. Menyebarkan melalui kebijakan dan prosedur.
Informasi dan Komunikasi
Informasi adalah data yang sudah diolah yang digunakan untuk pengambilan keputusan
dalam rangka penyelenggaraan tugas dan fungsi organisasi. Informasi yang berkualitas
tentunya harus dikomunikasikan kepada pihak-pihak yang terkait. Penyampaian informasi
yang tidak baik dapat mengakibatkan kesalahan interpretasi penerima informasi.
13. Menggunakan informasi yang relevan.
14. Berkomunikasi secara internal
15. Berkomunikasi eksternal
Monitoring
Pemantauan (monitoring) adalah tindakan pengawasan yang dilakukan oleh pimpinan
manajemen dan pegawai lain yang ditunjuk dan bertanggung jawab dalam pelaksanaan
tugas sebagai penilai terhadap kualitas dan efektivitas sistem pengendalian intern.
Pemantauan dapat dilakukan dengan 3 cara yaitu pemantauan berkelanjutan (on going
monitoring), evaluasi yang terpisah (separate evaluation), dan tindak lanjut atas temuan
audit.
16. Melakukan evaluasi berkelanjutan dan/atau terpisah.
17. Mengevaluasi dan mengkomunikasikan kelemahan.
Lima Langkah Transisi Dari Kerangka COSO 1992 Ke Kerangka COSO 2013
1. Mengembangkan Kesadaran, Keahlian, dan Keselarasan

13. Langkah pertama dalam transisi ke Kerangka COSO 2013 adalah dengan membangun
kesadaran internal, keahlian pengguna COSO, dan keselarasan kepemimpinan di
perusahaan. Untuk itu kita harus memahami Kerangka COSO 2013.
2. Penilaian Dampak Awal
Setelah memahami kerangka COSO 2013, kita perlu melakukan penilaian bagaimana
dampak transisi itu. Mungkin faktor paling signifikan yang mempengaruhi transisi dari
versi 1992 sampai versi 2013 adalah bagaimana manajemen yang sesungguhnya
diterapkan dengan baik.
3. Memfasilitasi Kesadaran, Pelatihan, dan Penilaian Komprehensif
Langkah 1 dan 2 terbatas hanya pada perusahaan. Langkah ketiga ini mensyaratkan
terlibat organisasi yang lebih luas untuk membangun kesadaran dan melakukan
pressure test penilaian dampak awal yang dilakukan pada langkah ke dua. Kita harus
memfasilitasi kesadaran untuk memperbarui Kerangka Kerja COSO. Kita juga harus
mendiskusikan dampak kerangka kerja COSO 2013 dengan auditor eksternal
perusahaan, selain itu pelatihan mendalam mungkin diperlukan.
4. Mengembangkan dan Menjalankan Rencana Transisi COSO
Setelah kita membangun kesadaran yang luas mengenai pembaharuan kerangka COSO,
memperoleh keselarasan kepemimpinan dan dukungan pada waktu transisi, serta
menyelesaikan penilaian dampak komprehensif, maka kemudian kita mengembangkan
dan melaksanakan rencana transisi perusahaan kita. Harus realistis antara harapan dan
rencana. Ketika kita mengeksekusi rencana transisi, kita akan melewati tiga tahap,
yaitu:
a. Dokumentasi dan Evaluasi
Kita perlu memperbarui format dari dokumen yang mendasari perusahaan,
menyelaraskan ke pemetaan baru yang diciptakan dalam langkah dua.
Dokumentasi yang mendasari harus mendukung manajemen dalam membuat
suatu keputusan. Kita juga harus mengevaluasi desain kontrol yang mendasari
dan meningkatkan desain sesuai kebutuhan.
b. Validasi Pengujian dan Gap (Kesenjangan) Remidiasi
Setelah kontrol perusahaan mengenai pelaporan keuangan eksternal dan
pengungkapan efektif, kita perlu melakukan pengujian validasi untuk memastikan
kontrol ini telah diimplementasikan dan beroperasi seperti yang diharapkan.
c. Review Eksternal dan Pengujian

14. Di beberapa titik, auditor eksternal perlu menilai dan mendapatkan kenyamanan
dengan program COSO 2013 dan dokumentasi pendukung.
5. Memacu Peningkatan Berkelanjutan
Setelah transisi untuk Kerangka COSO 2013 selesai, kita harus terus-menerus
mendorong perbaikan setelah transisi tersebut. Mereka yang saat ini masih
menggunakan COSO versi 1992 harus menyelesaikan transisi mereka ke versi 2013
paling lambat 15 Desember 2014, di mana kerangka asli akan dianggap digantikan.
2. Entity level control (ELC) and Transactional level control (TLC)
Ruang lingkup pengendalian terbagi dalam dua level, yaitu entity level control
(pengendalian tingkat entitas) dan activity/transactional level control (pengendalian
tingkat aktivitas/transaksi).
Perbandingan antara kedua level tersebut ialah sebagai berikut :
 Entity level control (ELC)
Kegiatan pengendalian ini umumnya beroperasi pada tingkat perusahaan atau
manajemen puncak pengambil keputusan strategis. Level ini memiliki jangkauan atau
kewenangan pengendalian yang lebih tinggi dari activity level, dan bisa
mempengaruhi kegiatan pada activity level, misalnya kebijakan perusahaan.
Proses identifikasi yang relevan entitas-tingkat kontrol dapat dimulai dengan
pemantauan, dan informasi dan komunikasi).diskusi antara auditor dan karyawan
yang sesuai untuk atas pelaporan keuangan (yaitu, lingkungan pengendalian, penilaian
risiko, aktivitas pengendalian,pemantauan, dan informasi dan komunikasi). Sementara
mengevaluasi entitas tingkat kontrol, auditor mungkin mengidentifikasi kontrol yang
mampu mencegah atau mendeteksi salah saji dalam laporan keuangan. Itu periode-
end proses pelaporan keuangan dan pemantauan manajemen terhadap hasil operasi
merupakan sumber potensial dari kontrol tersebut.
Contoh dalam DJP:
Kegiatan pengendalian atas pelaksanaan salah satu program DJP, yaitu “Knowing
Your Tax Payer” dimana ini merupakan kebijakan DJP dalam mengintensifkan
penerimaan pajak, sehingga munculnya satu fungsi baru yaitu account representative.
Pengaruh Entity-Level Controls pada Pengujian Kontrol Lain
Evaluasi auditor entitas tingkat kontrol dapat menghasilkan peningkatan atau
mengurangi pengujian bahwa auditor jika tidak mungkin dilakukan pada lain kontrol.

15. Sebagai contoh, jika auditor telah merancang pendekatan audit dengan harapan
tertentu entitas tingkat kontrol (misalnya, kontrol dalam lingkungan pengendalian)
akan efektif dan mereka kontrol tidak efektif, auditor dapat mengevaluasi kembali
merencanakan pendekatan audit dan memutuskan untuk memperluas prosedur audit
nya. Di sisi lain, evaluasi auditor dari beberapa entitas tingkat kontrol dapat
menghasilkan pengurangan nya atau pengujian nya kontrol lain, seperti kontrol lebih
sesuai pernyataan yang relevan. Tingkat dimana auditor mungkin dapat mengurangi
pengujian kontrol atas pernyataan yang relevan dalam kasus tersebut tergantung
padapresisi dari entitas-tingkat control.
 Activity/transactional level control (TLC)
Kegiatan pengendalian pada level ini lebih berhubungan dengan pelaksanaan proses
bisnis atau transaksi dari bagian dalam suatu organisasi. Level ini memiliki
kewenangan yang lebih rendah dari entity level control, dan dapat dipengaruhi
kebijakan dalam entity level control.
Contoh dalam DJP:
Pemantauan atas kinerja account representative dalam mengintensifkan penerimaan
perpajakan.
3. Siklus dalam desain dan implementasi IcoFR
ICoFR Cycle

16. 1. Adjusting financial reporting risk
Tahap pertama dalam siklus IcoFR adalah penyesuaian atau penelaahan terhadap
risiko pelaporan keuangan. Dalam tahap ini, pihak manajemen akan mengidentifikasi
risiko-risiko apa saja yang mungkin akan timbul dalam pelaporan keuangan sebuah
perusahaan.
2. Adjust & implementat controls
Tahap kedua dalam siklus IcoFR adalah implementasi dan penyesuaian terhadap
pengendalian. Dalam tahap ini, pihak manajemen akan melakukan penyesuaian antara
risiko dan pengendaliannya. Dari risiko-risiko yang telah diidentifikasi oleh pihak
manajemen dalam tahap pertama, maka pihak manajemen akan membuat suatu
pengendalian yang sesuai dengan risiko yang telah diidentifikasi. Selanjutnya,
pengendalian tersebut akan diterapkan dalam perusahaan tersebut.
3. Control remediation
Tahap selanjutnya dalam siklus ICoFR adalah pengendalian. Tahap ini juga dapat
dikatakan sebagai tahap monitoring. Pihak manajemen akan melakukan pengawasan
dan pengendalian terhadap pengendalian-pengendalian apa saja yang telah diterapkan
di dalam perusahaan tersebut.
4. Identifikasi & manage changes
Tahap terakhir dalam siklus ICoFR adalah identifikasi perubahan. Setelah ICoFR
diterapkan dalam perusahaan tersebut, maka pihak manajemen akan mengidentifikasi
perubahan-perubahan apa saja yang terjadi. Tahap ini juga dapat dikatakan sebagai
tahapan review.
Desain, implementasi, dan evaluasi pengendalian harus disesuaikan dengan ukuran dan
pelaporan risiko perusahaan. Merancang dan memelihara ICFR secara efektif menjadi
lebih menantang karena ukuran bisnis dan ruang lingkup kegiatannya meningkat. Pada
saat yang sama, perusahaan-perusahaan yang lebih kecil juga mungkin menghadapi
beberapa masalah kesulitan pengendalian/kontrol. Sebagai contoh, risiko manajemen
dapat lebih besar dalam sebuah organisasi yang lebih kecil di mana pejabat-pejabat
perusahaan memiliki keterlibatan langsung dengan operasi dan dengan pencatatan
transaksi. Selain itu, perusahaan kecil mungkin tidak memiliki personel yang cukup untuk
sepenuhnya melaksanakan pemisahan tugas di semua proses. Namun demikian,
perusahaan publik yang lebih kecil masih harus menerapkan system kontrol yang akan
menyediakan keyakinan yang memadai bahwa laporan keuangan yang disusun sesuai
dengan GAAP dan bebas dari salah saji material.

17. Manajemen Pelaporan pada Efektivitas ICFR
Pasal 404 dari Undang-Undang Sarbanes-Oxley membutuhkan (dengan pengecualian
tertentu) semua perusahaan public setiap tahunnya menilai efektivitas ICFR dan
melaporkan hasilnya. Manajemen juga memiliki tanggung jawab untuk mengungkapkan
perubahan yang signifikan untuk sistem ICFR dalam laporan kuartalannya. Disiplin
melakukan penilaian ICFR, ditambah dengan persyaratan untuk melaporkan hasil dalam
pengajuan publik, membuat investor meningkatkan kepercayaan keandalan laporan
keuangan. Dalam melakukan penilaian, manajemen harus menentukan apakah telah
menerapkan kontrol yang memadai, mengatasi risiko bahwa salah saji material dalam
laporan keuangan perusahaan apakah dapat dicegah atau dideteksi secara tepat waktu dan
apakah control terkait operasi secara efektif. Penilaian manajemen terhadap ICFR bias
mengambil secara top-down, pendekatan berbasis risiko. Dalam pendekatan itu,
manajemen pertama-tama berfokus pada control entitas dan kemudian pada pos penting
dan proses yang signifikandan, akhirnya, pada kegiatan pengendalian. Sementara penilaian
manajemen harus mencakup ICFR perusahaan secara keseluruhan, harus mencurahkan
perhatian terbesar bagi area-area yang menimbulkan risiko tertinggi untuk pelaporan
keuangan yang dapat diandalkan.
ICFR dan Auditor
Pasal 404 dari Undang-Undang Sarbanes-Oxley mensyaratkan perusahaan public
memiliki laporan auditor independen pada efektivitas ICFR.Di bawah standar PCAOB,
audit ICFR dan audit keuangan yang terintegrasi - yaitu, baik audit dilakukan sebagai
tunggal, maupun proses saling menguatkan,.Karena kekhawatiran tentang biaya audit
ICFR bagi perusahaan dengan sumber daya yang terbatas, hasil. Kongres telah
membebaskan (perusahaan publik yang lebih kecil, dan perusahaan publik yang baru) dari
persyaratan bahwa auditor perusahaan itu menyatakan pendapat atas efektivitas ICFR.
Namun, dalam audit laporan keuangan auditor masih memerlukan sebagai bagian dari
penilaian risiko audit, untuk mendapatkan pemahaman masing-masing komponen ICFR
perusahaan.Sementara auditor tidak memerlukan untuk menguji internal control dalam
audit tersebut, jika auditor menyimpulkan bahwa ada kelemahan secara material atau
kekurangan yang signifikan dalam kontrol, kelemahan atau kekurangan harus dilaporkan
secara tertulis kepada manajemen dan komite audit.