Menanggapi forum di atas saya akan menginplementasikan dengan contoh pada suatu perusahaan yang ada di indonesia. Dalam hal ini saya akan menganalisis penerapan, evaluasi dan efektifitas ICFR pada PT. PR. Pembahasan akan dibagi dalam beberapa sub bab yaitu: 1) Metodologi Top Down Risk Based, yang bertujuan untuk menganalisis apakah praktik dalam implementasi ICFR di PT. PR sudah mengacu pada metode Top Down Risk Based yang disarankan oleh PCAOB, 2) Kerangka Pengendalian Internal, yang bertujuan untuk menganalisis kesesuaian kerangka pengendalian internal pada PT. PR dengan pedomannya, 3) Dokumentasi ICFR, bertujuan untuk memastikan bahwa semua kegiatan dokumentasi sudah berjalan efektif, 4) Pelaksanaan Tiga Lini Pertahanan, bertujuan untuk menganalisis implementasi konsep tiga lini pertahanan dalam ICFR, 5) Evaluasi ICFR, bertujuan menganalis proses evaluasi ICFR dan efektifitasnya, 6) Pernyataan efektifitas ICFR, bertujuan menganalisis efektifitas ICFR di PT. PR.

1. SISTEM INFORMASI DAN PENGENDALIAN INTERNAL
INTERNAL CONTROL OVER FINANCIAL REPORTING
DOSEN: Prof. Dr. Ir. Hapzi Ali, MM, CMA
NAMA : ADI NURPERMANA
NIM : 55516120012
SEMESTER : 1 (SATU)
FAKULTAS : PASCASARJANA (MAGISTER AKUNTANSI)
KELAS : REGULER 2
PASCASARJAN
MAGISTER AKUNTANSI
UNIVERSITAS MERCU BUANA
2017

2. Menanggapi forum di atas saya akan menginplementasikan dengan contoh pada suatu perusahaan
yang ada di indonesia. Dalam hal ini saya akan menganalisis penerapan, evaluasi dan efektifitas
ICFR pada PT. PR. Pembahasan akan dibagi dalam beberapa sub bab yaitu: 1) Metodologi Top
Down Risk Based, yang bertujuan untuk menganalisis apakah praktik dalam implementasi ICFR
di PT. PR sudah mengacu pada metode Top Down Risk Based yang disarankan oleh PCAOB, 2)
Kerangka Pengendalian Internal, yang bertujuan untuk menganalisis kesesuaian kerangka
pengendalian internal pada PT. PR dengan pedomannya, 3) Dokumentasi ICFR, bertujuan untuk
memastikan bahwa semua kegiatan dokumentasi sudah berjalan efektif, 4) Pelaksanaan Tiga Lini
Pertahanan, bertujuan untuk menganalisis implementasi konsep tiga lini pertahanan dalam ICFR,
5) Evaluasi ICFR, bertujuan menganalis proses evaluasi ICFR dan efektifitasnya, 6) Pernyataan
efektifitas ICFR, bertujuan menganalisis efektifitas ICFR di PT. PR.
Metode Top Down- Risk Based
Dalam rangka menentukan pengendalian ICFR, Perusahaan menerapkan metodologi penerapan
pengendalian secara beruntun yang dimulai dari pengendalian di tingkat perusahaan, kemudian
turun ke tingkat akun pada pelaporan keuangan dan ke dalam tingkat proses, transaksi atau
aplikasi.
Secara umum pengendalian ICFR dibagi menjadi dua tingkat, yaitu tingkat entitas (Entity
Level Control) dan tingkat transaksi (Transaction Level Control). Pengendalian di tingkat entitas
dirancang berbasis pada komponen yang terdapat di dalam COSO, dan pengendalian di tingkat
transaksi dimulai dari penentuan materialitas sampai dengan penetuan pengendalian yang relevan.
Keseluruhan pengendalian ini direncanakan dan didokumentasikan dalam Risk Control
Matriks (RCM) yang selanjutnya akan diperbaharui melalui Control Self Assessment (CSA) secara
berkala.
Kerangka Pengendalian Internal
Berdasarkan Pedoman ICFR PT. PR menjelaskan komponen pengendalian perusahaan sebagai
berikut: 1) Lingkungan Pengendalian (Control Environment), 2) Penilaian Risiko (Risk
Assessment), 3) Aktivitas Pengendalian (Control Activity), 4) Informasi dan Komunikasi
(Information and Communication), 5) Pengawasan (Monitoring). Dengan demikian PT. PR telah

3. memberlakukan kerangka pengendalian intern yang mengacu pada COSO dan Peraturan Menteri
Negara Badan Usaha Milik Negara Menteri BUMN No.PER-01/MBU/2011 tentang Penerapan
Tata Kelola Perusahaan yang Baik (Good Corporate Governance) Pada Badan Usaha Milik
Negara sejak tahun 2011.
Dokumentasi ICFR
Program ICFR mempersyaratkan setiap Business Process Owner (BPO) untuk memberikan
pernyataan atas efektifitas pengendalian internal dan mengevaluasi pengendalian yang menjadi
tanggung jawabnya. Proses ini memerlukan suatu database yang dinamis dan kegiatan evaluasi
memiliki keamanan akses. Untuk itu PT. PR merancang sebuah sistem yang berbasis web
based untuk menunjang kegiatan ICFR ini.
Pernyataan yang dibuat oleh Business ProcessOwner ini disebut dengan sertifikasi. Sertifikasi
merupakan salah satu bentuk pendokumentasian ICFR. Sertifikasi wajib dilakukan oleh semua
pihak yang terlibat dalam ICFR karena ini merupakan pernyataan independen yang dikeluarkan
oleh penanggung jawab kontrol dan akan menjadi bahan evaluasi. Kegiatan sertifikasi ini diatur
dalam SOX 302 mengenai Corporate Responsibility for Financial Reports, Section 13 (a) atau 15
(d) dari SEC juga mengatur mengenai ketentuan sertifikasi ini, disebutkan bahwa diperlukan
sertifikasi secara kuartal yang dilakukan oleh manajemen.
Saat BPO melakukan sertifikasi, BPO juga akan melampirkan bukti dokumentasi bahwa kegiatan
kontrol berjalan dengan efektif. Dokumen ini dapat berupa keterangan manajemen dan bukti salah
satu dokumen kontrol yang nanti akan di upload ke dalam sistem yang di desain untuk perusahaan.
Setelah itu, hasil dokumentasi ini akan digunakan sebagai objek testing yang dilakukan oleh lini
pertahanan kedua dan seterusnya. Metode ini disebut dengan Three Lines of Defense. Konsep
mengenai Tiga Lini Pertahanan ini akan dibahas pada sub bab selanjutnya.
Pelaksanaan Tiga Lini Pertahanan
Dalam praktik bisnis saat ini, bukan hal yang tidak umum untuk menemukan tim yang terdiri dari
internal auditor, spesialis manajemen risiko perusahaan, compliance officers, spesialis
pengendalian internal, inspektur kualitas, fraud investigators, dan para ahli dan profesional di
bidang control and risk. Kewajiban yang berhubungan dengan manajemen risiko dan kontrol
meningkat dan menyebar ke beberapa departemen maka tanggungjawab harus dikoordinasikan

4. dengan benar dan hati-hati untuk memastikan proses kontrol dan risiko berjalan dengan
sewajarnya. Tanggungjawab yang jelas harus didelegasikan agar para profesional memahami
batasan tanggungjawabnya dan bagaimana peran mereka dapat memitigasi risiko dalam
perusahaan. Dalam hal ini, Institute of Internal Auditors (IIA) telah mengembangkan best
practice yang dapat membantu organisasi mendelegasi dan mengkoordinasikan risiko manajemen
dengan pendekatan yang sistematis. Three Lines of Defense model memberikan cara yang
sederhana dan efektif untuk memudahkan komunikasi dalam manajemen risiko dengan
mengklarifikasi peran dan tanggungjawab personel terkait.
Walaupun tidak disebutkan secara langsung dalam SOX 302, 404, AS 5 dan SEC, namun
pengadopsian tiga lini pertahanan ini dirasakan perlu untuk melengkapi pelaksanaan pengujian
atas efektifitas Internal Control over Financial Reporting (ICFR). Dalam PT. PR, three lines of
defense dimulai dari Business Process Owner (BPO) yang menjalankan implementasi pada siklus
yang terkait ICFR ini dan melakukan sertifikasi.
Evaluasi ICFR
Dalam pedoman ICFR disebutkan bahwa fungsi ICFR mewakili manajemen melakukan pengujian
pengendalian internal melibatkan serangkaian aktifitas yang bertujuan untuk memastikan bahwa
seluruh proses bisnis beserta risiko terkait telah diidentifikasi dan dilaksanakan secara memadai.
Pengujian menyeluruh atas level entitas bertujuan untuk meyakinkan bahwa manajemen telah
menetapkan mekanisme pengendalian yang memadai dan melaksanakannya secara efektif.
Berdasarkan hasil interview dan data sekunder diketahui bahwa dalam melakukan pengujian
tingkat entitas, fungsi ICFR mengikuti tahapan pengujian sebagai berikut: 1) Observasi, 2) Survey,
3) Wawancara dan diskusi, 4) Analisis dan Pengambilan keputusan. Pengujian TLC melibatkan
serangkaian aktifitas yang memastikan bahwa seluruh akun signifikan beserta risiko dan
pengendalian terkait telah diidentifikasi, dilaksanakan dan diuji secara memadai sehingga
efektifitasnya dapat terukur.
Pengujian TLC dilakukan pada awal tahun dan pada tiap triwulan yang kesimpulannya akan
diambil di akhir tahun. Kedua pengujian ini dilakukan untuk mendapatkan keyakinan bahwa
proses-proses pengendalian telah dilakukan dengan benar.
Pernyataan Efektifitas ICFR

5. Perusahaan telah menyiapkan prosedur untuk membangun kesimpulan atas hasil evaluasi
efektifitas ICFR melalui metode Three Lines of Defense. Melalui wawancara dengan narasumber,
penulis mendapatkan keterangan mengenai efektifitas ICFR bahwa pernyataan atas efektifitas
ICFR ini sudah berjalan sejak tahun 2013 dan dilaporkan secara internal. Hasil pelaporan ini juga
tidak dipublikasi dan belum dijadikan objek audit eksternal. Adapun salah satu alasan perusahaan
tidak mempublikasikan laporan ini karena ICFR belum terintegrasi secara menyeluruh di anak
perusahaan dengan berbagai kendala.
Pengaruh Implementasi ICFR atas Pencapaian Fortune Global 500
Dalam sub bab ini penulis akan membahas dan menjawab research question ketiga, yaitu pengaruh
apa yang diberikan atas implementasi ICFR terhadap pencapaian Perusahaan masuk dalam daftar
Fortune Global 500. Penjelasan mengenai hal ini dapat disimak dalam ilustrasi berikut:
Dalam annual report PT. PR dijelaskan bahwa perusahaan ingin menjadi National
EnergyCompany berkelas dunia, dan mencanangkan “High Impact Project” yang membutuhkan
pendanaan besar. Manajemen perusahaan memutuskan untuk menerbitkan global bondssebagai
salah satu cara mendapatkan pendanaan. Sebagai salah satu syarat penerbitan global bonds adalah
harus terlebih dahulu menerapkan konvergensi IFRS dan implementasi ICFR. Konvergensi IFRS
ini bertujuan agar laporan keuangan perusahaan memenuhi standar internasional dan dapat diakses
para investor asing. Adapun tujuan pengimplementasian ICFR bertujuan untuk meningkatkan
reliabilitas laporan keuangan perusahaan dengan menyatakan bahwa semua kegiatan operasional
telah di kontrol dan didokumentasikan dengan baik.
Pada tahun 2013, PT. PR berhasil masuk dalam daftar Fortune Global 500 dan menempati
peringkat 122. Pada saat itu, PT. PR merupakan satu-satunya perusahaan pertama di Indonesia
yang berhasil masuk dalam daftar prestisius tersebut. Pada tahun 2012, direktur utama PT. PR
memaparkan aspirasi perusahaan “Energizing Asia 2025” dan menyampaikan target perusahaan
pada 2025 menjadi “Asean Energy Champion” dan masuk daftar Fortune 100. Setelah setahun
berselang PT. PR sudah berhasil menembus urutan 122. Hal ini didukung dengan pelaporan
keuangan PT. PR yang handal, karena perusahaan disyaratkan telah mempublikasikan laporan
keuangannya. Lebih lanjut lagi, PT. PR melakukan inisiasi global bonds yang ditunjang dengan
pengimplementasian ICFR, sehingga globalbonds PT. PR diterima dengan baik di kalangan
investor bahkan mengalami oversubscribe. Hal ini sejalan dengan salah satu kriteria Fortune 500,

6. yaitu “strong ideas over financial capital” yang mengedepankan tata kelola perusahaan dalam
mendapatkan pendanaan dan pengelolaannya.
1. buku besar yang ada di perusahaan saya bekerja sekarang sudah otomatis, karena perusahaan
saya sekarag sudai memakai software accounting, jadi untuk general ledger nya sudah otomatis
terupdate.
2. indentifikasi major adalah kegiatan yang mencari, menemukan, mengumpulkan, meneliti,
mendaftarkan, mencatat data dan informasi dari “kebutuhan” lapangan. Secara intensitas
kebutuhan dapat dikategorikan (dua) macam yakni kebutuhan terasa yang sifatnya mendesak dan
kebutuhan terduga yang sifatnya tidak mendesak.
Fungsi dan tujuan identifikasi kebutuhan program untuk mengetahui berbagai masalah atau
kebutuhan program yang diinginkan masyarakat. Untuk mengetahui berbagai sumber yang dapat
dimanfaatkan untuk pendukung pelaksanaan program dan mempermudah dalam menyusun
rencana program yang akan dilaksanakan.
Fungsi agar program yang dikembangkan sesuai dengan kebutuhan masyarakat. Data yang
dikumpulkan dapat digunakan sebagai dasar penyusunan rencana program yang dapat di pengaruhi
pengelola program. Sebagai bahan informasi bagi pihak lain yang membutuhkan
Keamanan jaringan adalah proses untuk melindungi sistem dalam jaringan dengan mencegah dan
mendeteksi penggunaan yang tidak berhak dalam jaringan.
Untuk mengendalikan keamanan, yang harus diperhatikan adalah komponen-komponen yang
memberikan andil dalam resiko ( risk management )