5. 5
Internal Control
Internal control is a process, effected by an entity’s board of directors, management, and other
personnel,designed to provide reasonable assurance regarding the achievement of objectives relating to
operations, reporting, and compliance.
The definition emphasizes that internal control is :
1. Geared to the achievement of objectives
2. A process
3. Effected by people
4. Able to provide reasonable assurance
5. Adaptable to the entity structure
Gearedto the
achievement
to Objectives
A process
Effected by
People
Able to provide
reasonable
assurance
Adaptable to
the entity
structure
Internal
Control
6. 6
Memberikan Keyakinan yang Memadai (Reasonable Assurance)
An effective system of internal control provides management and the board of directors with reasonable
assurance regarding achievement of an entity’s objectives.
The term “reasonable assurance” rather than “absolute assurance” acknowledges that limitations exist in
all systems of internal control, and that uncertainties and risks may exist, which no one can confidently
predict with precision. Absolute assurance is not possible.
Gearedto the
achievement
to Objectives
A process
Effected by
People
Able to provide
reasonable
assurance
Adaptable to
the entity
structure
Internal
Control
Limitations of Internal Control:
▪ Human judgment – can be faulty
▪ Human failure – errors, mistakes, etc.
▪ Ability to override internal control (management override)
▪ Cost/benefit constraints
▪ Obsolescence
▪ Collusion (fraud)
7. 7
Pengendalian di Kehidupan Sehari-hari
• Pengendalian adalah apayang kitalakukan
untuk melihatbahwahal-hal yang kita
inginkan akan terjadi ...
• Dan hal-hal yang tidak kita inginkanterjadi,
tidak akan terjadi.
• Pengendalian tidak memberikan jaminan
100% sesuatuakanatau tidak akan terjadi.
Pengendalian (KBBI):
Proses, cara, perbuatan mengendalikan; pengekangan
!
8. 8
Perkembangan Pengendalian Internal
Mesir Hellenistic (31 BC)
Sistem 2 Pencatatan
American Institute of
Accountants/AICPA (1949)
Pertamakali mendefinisikan istilah
pengendalian internal
Committee of Sponsoring
Organizations (1985 – 1987)
Mempelajari kasus kecurangan dalam
pelaporan keuangan
FCPA (1977)
KasusPenyuapanlebih dari 400
Perusahaan di AS
COSO Internal Control Framework
(1992)
9. 9
SOX Act (2002)
Tanggapan ataskeruntuhan
beberapaPerusahaanbesar
COSO Internal Control Framework
(2013)
Update per 2021:
• SEC mengadopsi update terbaru:
• Perusahaan terdaftaryang masihtermasuk dalamkategori sahamberedardan pendapatankecil, tidak diwajibkanuntuk menyampaikan
atestasi auditor atasICOFR
• Penyesuaian Waktu Penyampaian Pelaporan terkaitICOFR dikarenakanKondisi COVID-19 diperpanjang dari semulaper 01 Maret menjadi
per 01 Juni dan dapatdiperpanjanglagi apabila diperlukan
• Area/risikoyang menjadi perhatian:
• Cyber risk
• Fraud risk (Corruption, Bribery)
10. 10
Mengapa ICOFR itu Penting?
+-23,7T, kasuskorupsi terbesar di
Indonesia
+-16,81T, kasuskorupsi
pengelolaan keuangan
dan dana investasi
+-16 T, 1MDB menuntut
DeutscheBank,
JPMorgan,Coutts& Co.
Window Dressing Laporan Keuangan
(3,6 T) dan PengadaanPesawat
Bombardier typeCRJ1000(419M)
11. 11
Belajar dari Kasus ENRON (2001)
• Pada bulan April 2001, Majalah Fortune mencantumkan ENRONsebagai perusahaan
terbesar ke-7 di AS dan Perusahaan paling Inovatif.
• Enam bulan kemudian, ENRON mengajukan pailit.
• Penipuan akuntansi terbesar abad ke-20.
• 12.000 orang langsung kehilangan pekerjaan,tunjangan pensiun, dan tabungan
seumur hidup.
• Pensiunan yang membeli saham Enron rugi US $ 70 miliar saat harga saham anjlok
hingga NOL.
• Disebabkanoleh "Lax Auditing" oleh kantor akuntan Arthur Andersen, salah satu dari
“Big 5" (85.000 orang dan pendapatan tahunan lebih dari US $ 9 miliar) runtuh.
• Orang yang harus disalahkan: CFO Andrew Fastow(6 tahun hukuman penjara), CEO Jeff
Skilling(hukuman penjara 24 tahun), analis saham yang terus mendorong saham
Enron, manajemen senior karena menyembunyikankerugiandalam kemitraan off-
balance-sheet yang meragukan, media yang berlebihan dan membuat gaduh.
Enron (2001)
12. 12
Apa itu Sarbanes-Oxley Act (SOX)?
2000 – 2002
KeruntuhanPerusahaanbesar
Senator
Paul S. Sarbanes (MD)
Congressman
Michael G. Oxley (OH)
SOX Act (2002)
Menetapkan undang-undang tata kelola
perusahaan AS sebagai tanggapan atas
keruntuhan perusahaan besar
KomiteAudit
Independensi Auditor
Eksternal
Sertifikasi & Atestasi
Internal Control
Whistle-blower
Penggunaan
pengukuranfinansial
non-GAAP
Tujuan dari SOX adalah:
• Melindungi investor dan pekerja
• Bertindakdan menghukum orang
yang berbuatsalah
13. 13
Apa itu Sarbanes-Oxley Act (SOX)? (Cont’d)
The sweeping reforms in the Sarbanes-Oxley Act address nearly every aspect and actor in U.S capital markets.
The Act affects every reporting company, both domestic and foreign, as well as their officers and directors. The
Act also affects those that play a role in ensuring the integrity of our capital markets, such as accounting firms,
research analysts and attorneys. The over-arching goals of the Act are far-reaching and include restoring
investor confidence and assuring the integrity of our markets. Within these goals, the principal objectives
addressed in the Act can be grouped into the following themes:
Implementation of the Sarbanes-OxleyAct of 2002
To strengthen and
restore confidence
in the accounting
profession
To strengthen
enforcement of the
federal securities
laws
To improve the "tone
at the top" and
executive
responsibility
To improve
disclosure and
financial reporting
To improve the
performance of
"gatekeepers"
15. 15
Values from ICOFR – Ilustrasi
❖ Dasar Surat Pernyataan Direksi terkait
Internal Control
❖ Mendukung manajemen dalam
mempromosikan tata kelola yang baik
di dalam laporan keuangan
❖ Mendukung implementasi Kebijakan
terkait dengan pelaporan keuangan
❖ Mendukung implementasi aktivitas
internal control di area Keuangan
Internal Impact
❖ Mendukung “test from other” dari
proses Test of Control (TOC) External
Auditor
❖ Membantu External Auditor dalam
menentukan area fokus audit
❖ Meningkatkan kepercayaan dari
pemangku kepentingan, baik internal
maupun eksternal, terkait dengan
integritas proses pembuatan laporan
keuangan Perusahaan
External Audit Impact
Values from ICOFR
Visi: “Menjadi perusahaan energi nasional kelas dunia.”
17. 17
ICOFR Implementation Critical Success Factors (CSFs)
Tone at the top – Membangunbudayarisikodan pengendalianinternal melalui penerapanmodel tiga lini.
• Dukungan dari Dewan KomisarisdanDireksi sangatpenting.
• Penerapan Key PerformanceIndicator (KPI) berjenjang dimulai dari Direksi hinggapemilik prosesyang
memiliki kontrol.
Manajemen Risiko Formal - Pembentukan programmanajemenrisikoperusahaan- prosesformal dan teratur
yang dirancanguntukmengidentifikasi risikoutamadalam pelaporan keuangan,menilai potensi dampaknya,
dan menghubungkanrisikotersebut kearea dan aktivitas tertentudalamorganisasi.
Sistem Aplikasi – Untuk membantu mengintegrasikan pekerjaandari 1st Line, 2nd Linedan 3rd Line.
19. 19
Dasar Penerapan ICOFR
Internal Control
over Financial
Reporting
Three
Lines
Model
Sarbanes-
Oxley Act
Sec. 302
& 404
COSO
Internal
Control
Integrated
Framework
2013
PCAOB
Auditing
Standard
No. 2201
Beberapa peraturan yang dapat menjadi landasan penerapan ICOFR di Indonesia, diantaranya adalah:
Peraturan Menteri NegaraBUMNNo. PER –
09/MBU/2012 tentangPenerapan TataKelola
Perusahaan yangBaik (Good Corporate
Governance) padaBUMN
Peraturan Menteri Keuangan No.
14/PMK.09/2017tentang PedomanPenerapan,
Penilaian, danReviu PengendalianInternatas
Pelaporan KeuanganPemerintahPusat
Peraturan BapepamNo. VIII,LampiranKep. Ka
BapepamNo. KEP-40/PM/2003tentang
Tanggung Jawab Direksi atasLaporan Keuangan
PSA 62 – Audit Kepatuhanyang Diterapkanatas
EntitasPemerintahandan PenerimaLain Bantuan
KeuanganPemerintah
Konvergensi IFRS
COBIT
2019
20. 20
Persyaratan Kunci: SOX Section 302
Tanggung Jawab Perusahaan atas Laporan Keuangan
1. Pejabat penandatangan telah meninjau laporan
2. Berdasarkan pengetahuan pejabat penandatangan, laporan tersebut tidak memuat pernyataan
yang tidak benar tentang fakta material atau menghilangkan fakta material yang diperlukan untuk
membuat pernyataan yang dibuat, mengingat keadaan dimana pernyataan tersebut dibuat, tidak
menyesatkan
3. Berdasarkan pengetahuan pejabat penandatangan, laporan keuangan, dan informasi keuangan
lainnya yang termasuk dalam laporan, disajikan secara wajar dalam semua hal yang material, kondisi
keuangan dan hasil usaha penerbit pada, dan untuk, periode yang disajikan dalam laporan.
4. Pejabat penandatangan:
- bertanggung jawab untuk menetapkan dan memelihara pengendalian internal
- telah merancang pengendalian internal tersebut untuk memastikan bahwa informasi material
yang berkaitan dengan emiten dan anak perusahaan yang dikonsolidasikan diketahui oleh pejabat
tersebut oleh pihak lain dalam entitas tersebut, terutama selama periode penyusunan laporan
berkala.
- telah mengevaluasi efektivitas pengendalian internal emiten dalam waktu 90 hari sebelum laporan
- telah disajikan dalam laporan kesimpulan mereka tentang efektivitas pengendalian internal
mereka berdasarkan evaluasi mereka pada tanggal tersebut
Direktur utama dan/atau Direktur keuangan, atau Pejabat lain yang menjalankan fungsi serupa, menyatakan dalam setiap
laporan tahunan atau triwulanan yang diajukan atau diserahkan bahwa
21. 21
Persyaratan Kunci: SOX Section 302 (Cont’d)
Tanggung Jawab Perusahaan atas Laporan Keuangan
Direktur utama dan/atau Direktur keuangan, atau Pejabat lain yang menjalankan fungsi serupa, menyatakan dalam setiap
laporan tahunan atau triwulanan yang diajukan atau diserahkan bahwa
5. Pejabat penandatangan telah mengungkapkan kepada auditor penerbit dan komite audit dewan
direksi (atau orang yang memenuhi fungsi yang setara):
- semua kekurangan signifikan dalam desain atau operasi pengendalian internal yang dapat
berdampak buruk pada kemampuan emiten untuk mencatat, memproses, meringkas, dan
melaporkan data keuangan dan telah mengidentifikasi bagi auditor emiten setiap kelemahan
material dalam pengendalian internal
- setiap kecurangan (fraud), baik material maupun tidak, yang melibatkan manajemen atau
karyawan lain yang memiliki peran signifikan dalam pengendalian internal emiten
6. Pejabat penandatangan telah menunjukkan dalam laporan apakah ada perubahan signifikan
dalam pengendalian internal atau faktor lain yang dapat mempengaruhi pengendalian internal secara
signifikan setelah tanggal evaluasi mereka, termasuk tindakan korektif sehubungan dengan
kekurangan dan kelemahan material yang signifikan.
22. 22
Persyaratan Kunci: SOX Section 404
Panduan Pelaksanaan ICOFR Bagi Manajemen
1. Mendefinisikan Ruang Lingkup secara Terperinci sesuai dengan SOX Section 404
1. Menggunakan pendekatanTop-Down Risk-Based dalam mendefinisikan ruang lingkup
2. Merincikan langkah dan proses dalam mendefinisikan ruang lingkup
3. Menentukan tingkat materialitas
4. Mengidentifikasi Akun Signifikan dan Penyajiannya
5. Mengidentifikasi Asersi Laporan Keuangan
6. Mengidentifikasi Lokasi Signifikan, Proses Bisnis dan Kelas Akun/Transaksi Besar
7. Mengidentifikasi Pengendalian Utama
8. Menilai Risiko Kecurangan
9. Memproses dan mengendalikan dokumentasi pengendalian
23. 23
Persyaratan Kunci: SOX Section 404 (Cont’d)
Panduan Pelaksanaan ICOFR Bagi Manajemen
2. Pengujian Pengendalian Utama
Memastikan bahwa pengendalian telah beroperasi sesuai dengan rancangan dan apakah
pihak yang melaksanakan pengendalian memiliki otoritas dan kompetensi untuk
melaksanakan pengendalian secara efektif.
3. Menilai Kecukupan Pengendalian, termasuk menilai kelemahan
Menilai keseluruhan sistem ICOFR dan menentukan apakah defisiensi yang terjadi dalam
sistem pengendalian internal dapat membuat tidak tercapainya tingkat keyakinan yang
memadai bahwa tidak ada kesalahan material dalam Laporan Keuangan.
4. Laporan Manajemen atas Pengendalian Internal
Memberikan kesimpulan atas kinerja ICOFR untuk memberikan informasi mengenai risiko
yang terdapat dalam perusahaan dan bagaimana manajemen akan memastikan integritas
Laporan Keuangan ke depannya.
24. 24
ICOFR Reference
AS 2201: An Audit of Internal Control Over Financial Reporting
That Is Integrated with An Audit of Financial Statements
Issued by Public CompanyAccounting Oversight Board (PCAOB)
“This standard establishes requirements and provides direction that applies when an
auditor is engaged to perform an audit of management's assessment of the
effectiveness of internal control over financial reporting ("the audit of internal control
over financial reporting") that is integrated with an audit of the financial statements.”
Source: https://pcaobus.org/oversight/standards/auditing-standards/details/AS2201
25. 25
Laporan Keuangan
Komponen Pengendalian Internal
1. Control Environment 2. Risk Assessment 3. Control Activities 4. Information &
Communication
Identifikasi Akun
Signifikan, Pengungkapan
dan Asersi yang Relevan
Pemahaman atas sumber
kemungkinan terjadinya
kesalahan pencatatan
Identifikasi Entity Level
Control’s
5. Monitoring
Desain
Efektivifitas
Operasional
Aktivitas Identifikasi Defisiensi dan Remediasi
Pelaporan
Sertifikasi oleh 1st Line (CSA)
Dinilai oleh 2nd Line (TOD)
Diuji oleh 3rd Line (TOE)
Controls testing
Top-down
risk based
approach
Pengujian
Pengendalian
Penutupan
Top-Down Risk Based Approach (AS 2201)
26. 26
IIA – Three Lines Model
Konsep Three Lines Model atau Model Tiga Lini adalahmodel pembagian roledi internal organisasi dan membantu manajemen dalam
meningkatkan nilai tata kelola perusahaan di area operasional, kepatuhan dan efektivitas pengendalian internal.
Certify Assess Review
External
Auditor
(KAP, BPKP,
BPK,OJK,
Regulator
lain)
Source: https://global.theiia.org/about/about-internal-auditing/Pages/Three-Lines-Model.aspx
27. 27
Three Lines of Defense vs Three Lines Model
Three Lines of Defense – 2013 Three Lines Model – July 2020
Kolaborasi antara 1st line dengan 2nd
line dalam mengelola risiko dan
menerapkan Internal Control
Peran Silo (terpisah) antara 1st line
dengan 2nd line dalam mengelola risiko
dan menerapkan Internal Control
28. 28
Overview – Who is COSO?
The Committee of Sponsoring Organization of the Treadway
Commission (COSO) was organized in 1985 to sponsor the National
Commission of Fraudulent Financial Reporting, an independent
private sector initiative that studied the causal factors that can lead
to fraudulentfinancial reporting.
It is sponsored jointly by five major professional associations
headquartered in U.S.
Source: Committee of Sponsoring Organizations of the Treadway
Commission (COSO). Internal Control – Integrated Framework:
Executive Summary. May 2013.
29. 29
COSO 1992 vs COSO 2013
COSO 1992 Control Framework COSO Internal Control –
Integrated Framework 2013
30. 30
COSO Internal Control – Integrated Framework 2013 Principles
Present
Functioning
Operating
Together
32. 32
Semua Berkaitan dengan Risiko
Penentukan ruang lingkup,
menggunakan pendekatan
berbasisrisikodan top-down
• Toneat thetop (lingkungan pengendalian)
• Selera risiko, toleransi risiko, matrikspengukuran risiko,
prioritisasi risiko
• Proses asesmen risiko
• Day today monitoring atasrisiko
• Evaluasi & pelaporan insiden
(1st line)
• Memfasilitasi prosesasesmen risiko
• Memberikaninputatasisu baru
dan/atauperubahanlingkungan (2nd
line)
• Evaluasi independen atas
pengelolaan risiko(3rd line)
• Lesson learnt
33. 33
Akun Signifikan, Proses Bisnis Signifikan & Lokasi Signifikan
Laporan Keuangan
PY + CY
PCAOB
AS 2201
SOX Sec.
404
Akun
Signifikan
Proses
Bisnis
Signifikan
Lokasi
Signifikan
Kertas Kerja Identifikasi
Akun Signifikan, Proses
Bisnis
Tahapan penentuan Akun Signifikan, Proses Bisnis Signifikan dan Lokasi Signifikan, dimana berdasarkan PCAOB Auditing Standard 2201
digambarkansebagai berikut:
34. 34
Identifikasi Akun Signifikan Secara Kuantitatif & Kualitatif
Identifikasi Akun Signifikan
Kuantitatif
Formulasi Identifikasi Materialitas
5% * Laba/(Rugi) Sebelum BungadanPajak
Formulasi Identifikasi Lokasi Signifikan
PersentaseKontribusi dari ProsesBisnis/total aset tetap/total pendapatan/total beban
per Lokasi
Kualitatif
• Size and compositionof theaccount
• SusceptibilitytoMisstatement DuetoErrorsor Fraud
• Volumeof Activity,Complexity andHomogenity ofTransactions
• Natureof TheAccount
• Accounting and ReportingComplexities
• ExposuretoLosses in The Account
• Possibility of Significant ContingentLiabilities
• ExistenceofRelated Party Transactions
• Changesin Accountor DisclosureCharacteristics
35. 35
Business Process Mapping (BPM) adalahkerangkakerja yangdigunakanuntukmembuat representasi visual dari proseskerja.
BPM menunjukkan hubungan antara langkah-langkah dan input untuk menghasilkan output tertentu. BPM mempromosikan transparansi, tidak
hanya bagi merekayang adadi dalamperusahaantetapi juga untuk semua pemangku kepentingan,terutamauntuk memenuhi fungsi kepatuhan.
Proses dokumentasi ini berkaitandengan:
Business Process Mapping (BPM)
Proses apa yang
sedang dilakukan?
Siapa Yeng
Bertanggung Jawab?
Mengapaproses
tersebut dilakukan?
Apakahstandar yang
menjadikan proses
tersebut berhasil?
Kapan dan dimana
langkah selanjutnya
digambarkan?
36. 36
Kerangka Kerja Umum Penggambaran BPM
1. Pemetaan Proses Bisnis
perusahan saat ini
• Menyetujui apayang
dipetakan danruanglingkup
masing-masing.
• Prosesnya mudahdipahami
• Setiap prosesjuga memiliki
serangkaian pertanyaan yang
diajukan untuk menjawab
mengapahal itu dilakukan
dan juga detail untuk
memenuhi tujuan dari hal
tersebut.
• Terdapatmetrik sebagai
dasar untuk mengukur
keberhasilansetiap proses
2. Kriteria atas Penggambaran
Bisnis Proses
Berikut ini adalah kriteria spesifik
dalam setiap proses:
1. Tanggung jawab
2. Tujuan
3. Kegiatan
4. Input
5. Keluaran
6. Risiko dan control
7. KPI
3. Analisis dan Evaluasi atas
Bisnis Proses Saat ini
• Evaluasi BPM dilakukan
untuk mencari prosesyang
berulang, menghambatdan
langkah-langkah yangtidak
perlu, tidak jelas, bottlenecks,
titik pengerjaanulang,dan
alur bolak-balik yang
berulang.
• Identifikasi orang yang tepat
untuk melakukan evaluasi
terhadapBPM dan menyusun
rencana pengembanganBPM
4. Pembaruan Bisnis Proses
Dokumentasi proses dengan
meng-highlightmasalahyang
masih ada. Gunakan root-cause
analysis untuk menemukan
potensi masalah.
37. 37
Objektif/Sasaran Risiko Eksposur
Objektif/sasaran dari proses, bukan
Objektif/sasaran dari kontrol
Risiko yang dapat berdampak pada pencapaian
objektif/sasaran yang telah diidentifikasi
Penilaian tingkat eksposur yang diukur dengan
tingkat dampak dan kemungkinan risiko yang telah
diidentifikasi
Risk-Control Matrix (RCM)
Kontrol Test of Design (ToD) Test of Operating Effectiveness (ToE)
Kontrol yang dirancang untuk menurunkan
eksposur risiko yang telah diidentifikasi ke level
eksposur yang dapat diterima oleh Perusahaan
Hasil pengujian desain kontrol yang telah dirancang Hasi pengujian efektifitas atas penerapan kontrol
yang telah dirancang
Periode update:
• Triwulanan
• Perubahan/ penambahan proses bisnis
• Insiden signifikan
Penanggung jawab:
• Pemilik proses (1st
line)
Informasi yang dilaporkan:
• Kejadian baru yang menimbulkan perubahan
• Perubahan atau penambahan risiko teridentifikasi beserta nilai ekposur
risiko teridentifikasi
Periode update:
• Triwulanan
• Perubahan/penambahan Proses bisnis
• Hasil penilaian ToD & ToE
• Insiden signifikan
Penanggung jawab:
• Pemilik proses (1st
line)
Informasi yang dilaporkan:
• Perubahan atau penambahan kontrol
Periode update:
• Triwulanan
• Perubahan/penambahan Proses bisnis
• Insiden signifikan
Penanggung jawab:
• Manajemen Risiko (2nd
line)
Informasi yang dilaporkan:
• Hasil penilaian atas desain & rekomendasi
perbaikan
Periode update:
• Tahunan
Penanggung jawab:
• Internal Audit (3rd
line)
Informasi yang dilaporkan:
• Hasil pengujian atas hasil implementasi kontrol
38. 38
Metodologi Control Self Assessment
01
02
03
Mendapatkan pemahamantentang
persyaratan bisnis, risikoyang terkait,
struktur organisasi, peran dantanggung
jawab,kebijakandan prosedur,undang-
undang danperaturan, pelaporan
manajemen,dan lingkungan
pengendalian
Uji kepatuhan dan validasi kontrol dan,
jika perlu, pengujian substantif untuk
menilai risiko yang muncul jika tujuan
kontrol tidak terpenuhi
Mengevaluasi kontrol dengan meninjau
apakah proses yang didokumentasikan
ada, tanggung jawab dan akuntabilitas
yang jelas, dan kontrol yang efektif dan
kompensasi adabila diperlukan
39. 39
Manfaat Control Self Assessment
Memperoleh pemahaman yang
jelas tentangkegiatan dantujuan
utamaunit bisnisdan proses
1.
Membina kesadaran peningkatan
risiko dan kontrol di antara
manajemendan staf.
2.
Menyediakanpendekatanyang
fleksibel namun terstruktur untuk
meningkatkan kerangkakontrol
melalui organisasi
3.
Meningkatkan tanggung jawabdan
akuntabilitasuntukrisikodan
kontrol di antaramanajemen dan
staf
4.
Mengacu padabest practices dan
peluang untukmeningkatkan
kinerja bisnis
5.
Proses standarisasi dan
benchmarking,dimanafungsi yang
sama dilakukandi beberapalokasi
6.
MembantuDireksi untuk
memenuhi tanggungjawab tata
kelola perusahaan mereka
7.
Mengurangi waktu danupaya yang
diperlukan auditor internal untuk
mengumpulkaninformasi tentang
unit bisnis, dan memberikanfokus
yang lebih cepat pada areayang
membutuhkan perhatian
8.
40. 40
Key Success Factor Control Self Assessment
SUCCESS
Partisipasi aktif setiap personil
Melibatkan orangyang tepatdalamorganisasi untuk
mendukung,membinadan memiliki prosesCSA
Memiliki fasilitator yang terlatihdan berpengalaman
untuk melakukan workshopCSA.
Desain yang tepat
Desain yang tepatdari metodologi CSA yang
terstruktur tetapi fleksibel yang menghindari
pembuatan daftar periksa yangterlalu
sederhana ataumembingungkan.
Ketersediaan sumber daya
Mengalokasikanwaktu dansumber daya yang
cukup untuk mempersiapkandan
melaksanakan workshopdengan baik dan
tindak lanjutberikutnya.
41. 41
Proses Test of Design (TOD)
Test of Design Effectiveness dilakukan untuk menguji apakah desain atas kontrol yang ada dapat mencegah atau mendeteksi atas error atau
terjadinyafraud.Secara garisbesar berikut alur testofdesign effectiveness:
Walkthrough MRC & IPE Testing Atributes
Evaluasi Test Of
Design
Effectiveness
Dokumentasi
Defisiensi (jika
ada)
Rencana
Remediasi
1 2
1 Akan dijelaskan lebih lanjut padahalamanberikutnya
2 Akan dijelaskan lebih lanjut padahalamanberikutnya
42. 42
Walkthrough
Untuk meyakinkan apakah kontrol telah dirancang dengan baik, terdapat beberapa prosedur pengujian yang dapat dilakukan. Prosedur pengujian
yang dapat dilakukan bisa terdiri dari kombinasi mengajukan pertanyaan, melihat cara Business Process Owner (BPO) melakukan pekerjaannya,
dan memeriksanya. Dalammelakukanwalkthrough yang dapatdilakukan dengankombinasi prosedur berikut:
Inquiry
Bertanyapada Pemilik Prosesyang
berwenang
Observe
Melihat Pemilik Prosesmelakukan
pekerjaannyasecara beruntun.
Inspect Relevant Documents
Mendapatkan salinan dokumen,
dan melihat/menanyakan
bagaimana dokumentersebut
direview oleh pemilik proses yang
berwenang
43. 43
Bagaimana cara memeriksa MRC?
• Apakahkontrol dirancangpadatingkatpresisi tertinggi?
• Apakah proses review didefinisikan dengan baik dan menentukan dengan tepat prosedur atau
kegiatanapa yangdilakukan oleh pemilik kontrol atauapakah adaambiguitas? (review criteria)
Precision
Competency
Information Produced
by Entity
Follow up Actions and
Documentations
• Apakahpemilik kontrol yang melakukanMRCmemiliki kompetensi untuk melakukan review?
• Apakahpemilik kontrol dilengkapi denganpengetahuan dan pengalamanyang memadai?
• Saat melakukan review, dataatau laporan apa yang digunakan?
• Apakahlaporan yang digunakan terkaitdengan kontrol?
• Jika kontrol gagal,tindakanapa yangdiambil?
• Bagaimanadokumentasinya?
44. 44
Bagaimana cara memeriksa IPE?
Fokus pemeriksaan: Mendapatkan bukti keakurasian data (evidence of data accuracy) & kelengkapandokumen (completeness)
Klasifikasi
Dokumen/Data
Dokumen Pengendalian/SupportingDocument?
Evaluasi
Informasi Umum
Dokumen
Proses
Penyusunan
Dokumen
Bentuk Output
Dokumen
Elemen
Dokumen
Completeness &
Accuracy
Dokumen
Memenuhi/Tidak
Memenuhi IPE
45. 45
Evaluasi Atas Pengujian Test Of Design
Penilaian atas dokumen
dan pembuktian Test of
Design
Konklusi desain kontrol
Efektif
Tidak efektif Evaluasi defisiensi
Penilaian atas risikoterkait
dengan kontrol yang ada
Hasil pengujian dan
basisnya
46. 46
Proses Test of Operating Effectiveness (TOE)
Test of operating effectiveness merupakan satu metode pengujian terkait dengan ICOFR untuk memastikan bahwa kontrol yang ada telah
dilaksanakan sesuai dengan desain dan memastikan bahwa orang yang menjalankan kontrol memiliki tanggung jawab yang memadai dan
kompetensi sehinggakontrol yang dimiliki dapat berjalansecara efektif.
Secara garisbesar berikut alur test ofoperating effectiveness:
Walkthrough
Permintaan
Dokumen
(Sampling)
Testing
Summary of
Testing
Remediasi
Degree of
Deficiency
1 2
1 Akan dijelaskan lebih lanjut padahalamanberikutnya
2 Akan dijelaskan lebih lanjut padahalamanberikutnya
47. 47
Teknik Pengambilan Sampel dan Ukuran Sampel
Random samples harusdipilih menggunakan random-sample-generating tools
Ukuran sampel didasarkanpada frekuensi kontrol
Jumlah ukuran sampel yangakandipilih dan diuji untuk setiap frekuensi harusditentukan sebelumnyadan disetujui sebelum pengujiandilakukan
Ilustrasi
Frequency Full Sample Size Interim Sample Size Year-end Sample Size
MTPD 32 28 4
Daily 28 24 4
Weekly 6 5 1
Monthly 3 2 1
Quarterly 2 1 1
Annually 1 * *
Aplikasi 1 * *
*Kontrol Annual di-tespadaperiodekontrol tersebut terjadi
48. 48
Faktor Perlu diperhatikan Saat Pengujian
Nature & Materiality of Misstatements
Seberapa Besar Nilai Transaksi & Saldo Akun
Inherent Risk
Risiko terkait dengan Penilaian Akun Signfikan
dan Asersi
Volume of Transactions
Seberapa banyak transaksi dilakukan
History of Errors & Frauds
Apakah terdapat dokumentasi historis terkait
dengan terjadinya error atau fraud
The Effectiveness of Entity-Level Controls
Memastikan apakah Entity-Level Controls
memonitor kontrol yang lain
The Nature of Controls and its Frequency
Seberapa sering kontrol yang dilakukan
Complexity of the Accounting System
Complexity of the Accounting System
Competence of Personnel
Kompetensi atas BPO terkait
Automated Controls
Apakah kontrol yang dijalankan sudah
terotomatisasi
Judgement
Seberapa banyak Judgement yang dilakukan
49. 49
Apa itu Remediasi?
“Remedy” adalahsuatu tindakan yang dapatmenyembuhkan, mengkoreksi, atau menangkal suatukondisi.
Menurut Sarbanes-Oxley, remediasi merupakan suatu tindakan untuk merubah atau menerapkan prosedur kontrol baru yang mengatasi
kesenjangan(ataucontrol weakness) yang diidentifikasi.
Remediasi harusdiatasi dengan caramengembangkanrencanatindakan(action plan) dengan menentukan poin-poinsebagai berikut, yaitu:
• Responsibility (namadan posisi jabatan)
• Classification for priority
• Jangka waktuselesai
• Notifikasi/Komunikasi (yang perlu tahutentang hal tersebut)
• Dokumen yang diperlukan
• “Buy-in”
• Dampak padaorganisasi - perubahanpadaprosesdan kontrol
membutuhkan tanggungjawab baru atautugas baru dantugas yang
berubah.
• Training – diperlukan untuk menangani tanggungjawab yangbaru
atau berubah
• Komunikasi – antaratim yang mengimplementasidanBusiness
Process Owner yang bersangkutan
50. 50
Proses Remediasi
Mengembangkan
action plan untuk
meremediasi
deviasi yang
teridentifikasi
Menyiapkan
rencana proyek
(project plan) untuk
menangani
remediasi
Mengimplementasikan
kontrol yang
diperlukan
Mengupdate
dokumentasi
(termasuk re-testing)
Memonitor dan
menguji secara
periodik
51. 51
Journey Pelaporan ICOFR
Laporan
Manajemen
atas ICOFR
CSA TOD
Laporan
Atas
Defisiensi
TOE
Monitoring
Remediasi
Degree of
Deficiency
Tidak Efektif
Tidak Efektif
Tidak Efektif
Laporan
TOD dan
Remediasi
Efektif Efektif Efektif
AkhirTahun
Input
52. 52
Defisiensi
Berdasarkan PCAOB Defisiensi diklasifikasikan ke dalam beberapa kategori, yaitu:
Material Weakness merupakan suatu defisiensi yang signifikan atau gabungan dari beberapa defisiensi yang signifikan. Material weakness
menyebabkan adanya kemungkinan (likelihood) atas misstatement pada laporan keuangan tahunan atau interim yang tidak dapat dicegah atau
terdekteksi.
Significant Deficiency merupakan suatu kontrol atas defisiensi, atau gabungan dari kontrol defisiensi yang berdampak negatif terhadap
kemampuan perusahaan untuk menginisiasi, mengotorisasi, mencatat, memproses, atau melaporkan keandalan data eksternal sesuai dengan
prinsip akuntansi yang berlaku secara umum. Significant Deficiency memungkinkan adanya likelihood laporan keuangan yang salah
saji/misstatement tidak dapatdicegahatau terdeteksi.
Control Deficiency terjadi saat desain atau operation atas kontrol tidak memungkinkan manajemen atau karyawan menjalankan fungsinya dengan
baik untuk mencegahatau mendeteksi misstatement.
Defisiensi pada desain terjadi ketika (a) kontrol yang diperlukan untuk memenuhi control objective hilang atau (b) tidak dirancang dengan tepat
sehingga, bahkan jika kontrol beroperasi seperti yang dirancang,tujuankontrol tidak selalu terpenuhi.
Defisiensi pada operation terjadi ketika control objective yang dirancang dengan baik tidak beroperasi seperti yang dirancang, atau ketika orang
yang melakukan kontrol tidak memiliki otoritas ataukualifikasi yang diperlukanuntuk melakukankontrol secara efektif.
“remote likelihood” ketikakemungkinanterjadi “reasonablepossible” atau“probable”
“inconsequential” merupakansubjek padapengujian “reasonableperson”
53. 53
Defisiensi (lanjutan)
Framework PCAOB merupakan kerangka untuk mengevaluasi defisiensi dalam pelaporan keuangan yang didasarkan pada penilaian besarnya
potensi kesalahan penyajian (magnitude of the potential misstatement) dankemungkinan terjadinya misstatement (likelihood).
54. 54
Evaluasi Control Deficiency
Apakah terdapat
kemungkinan kontrol tidak
dapat mencegah atau
mendeteksi salah saji
signifkan?
Apakah Defisiensi yang terjadi cukup penting sehingga kompetensi
menjadi perhatian bagi pihak yang menjalankan fungsi oversight dari
pelaporan keuangan dan apakah prudent official menyimpulkan
bahwa defisiensi tersebut setidaknya significant deficiency dengan
mempertimbangkan laporan keuangan interim dan akhir tahun?
tidak
Control Deficiency
tidak
Apakah terdapat compensating control
yang telah diuji dan dievaluasi untuk
mengurangi dampak potensi salah saji
laporan keuangan menjadi kurang dari
signifikan?
ya
ya
Apakah terdapat kemungkinan kontrol
tidak dapat mencegah atau
mendeteksi salah saji signifikan?
tidak
Apakah prudent official menyimpulkan
bahwa defisiensi tersebut merupakan
material weakness dengan
mempertimbangkan laporan interim
dan akhir tahun?
Apakah terdapat compensating control
yang telah diuji dan dievaluasi untuk
mengurangi dampak potensi salah saji
laporan keuangan menjadi kurang dari
signifikan?
Significant Deficiency
Material Weakness
tidak
ya
ya
55. 55
Themanagementof[companyname]isresponsiblefor establishing and maintainingadequateinternal control over financial reporting.Thisinternal
control system wasdesigned toprovidereasonableassurancetothecompany’smanagementand board ofdirectorsregardingthe preparation and
fair presentation ofpublished financial statements.
All internal control system, nomatter how well designed, haveinherent limitations. Therefore, even thosesystemsdetermined tobeeffectivecan
provideonly reasonableassurancewith respect tofinancial statementpreparationand presentation.Becauseofits inherent limitations, internal
control over financial reportingmaynot prevent or detect misstatements.Also, projectionsofanyevaluation ofeffectiveness to futureperiodsare
subject tothe risk that controlsmaybecomeinadequatebecauseof changesin conditions, or that thedegreeof compliancewith thepoliciesor
proceduresmaydeteriorate. [Companyname] managementassessed theeffectiveness of thecompany’sinternal control over financial reportingas
of [year-end].In makingthisassessment,it used thecriteria set forth bytheCommitteeof Sponsoring OrganizationsoftheTreadwayCommission
(COSO) in Internal Control – Integrated Framework. Basedon our assessment, webelievethat,asof [year-end],thecompany’sinternal control over
financial reporting iseffective based on those criteria.
Our internal control over financial reporting andmanagement’sassessmentofthe effectiveness of internal control over financial reportingasof
[year-end] havebeen audited by[NameofExternal Auditor], asstated in their report which isincluded on page[xx] of thisAnnual Report.
Management Letter (Format SEC)
Chief ExecutiveOfficer Chief Financial Officer
[Date]
56. SESI 4: STUDI KASUS
IMPLEMENTASI ICOFR
DI INDONESIA DAN
AMERIKA SERIKAT
56
65. 65
Key Takeaways…
"If you don't have regular and accurate
financial statements, you're driving your
business 100 miles an hour down a one-
way street the wrong way, at night, in the
fog, without lights."
-Jim Blasingame-