1. 1
IMPLEMENTASI DAN DESAIN ICOFR 1. DEFINISI ICOFR. 2. INHERENT
LIMITATION DARI ICOFR. 3. COSO INTEGRATED FRAMEWORK. 4.
ENTITY LEVEL CONTROL (ELC) AND TRANSACTIONAL LEVEL
CONTROL (TLC). 5. SIKLUS DALAM DESAIN DAN IMPLEMENTASI
ICOFR
Untuk memenuhi Tugas SISTEM INFORMASI DAN PENGENDALIAN
INTERNAL FORUM DAN QUIZ EL MINGGU KE-14
Jurusan Magister Akuntansi
Disusun oleh:
Siti Maesaroh (55516120009)
Dosen Pengampu:
Prof. Dr. Ir. Hapzi Ali, MM, CMA
MAGISTER AKUNTANSI
UNIVERSITAS MERCU BUANA
JAKARTA
2017
2. 2
1. COSO Integrated Framework
Sebelum masuk ke dalam topik mengenai Internal Control (IC), terlebih
dahulu kita harus mengenal apa itu COSO. The Committee of Sponsoring
Organization of Treadway Commission adalah joint initiative dari lima organisasi
sukarela dari sektor privat yang bertujuan untuk mengembangkan kerangka dan
panduan mengenai Manajemen Risiko, Pengendalian Internal, dan
Pencegahan Fraud. Kelima organisasi tersebut terdiri dari American Accounting
Associaton (AAA), American Institute of Certified Public Accountant (AICPA),
Financial Executive International (FEI), The Association of Accountant and Financial
Professionals in Business (IMA), dan The Institute of Internal Auditor (IIA).
Produk yang telah dihasilkan oleh COSO antara lain Internal Control –
Integrated Framework(1992) dan Enterprise Risk Management – Integrated
Framework (1994). Indonesia mengadopsiInternal Control – Integrated
Framework (1992) dalam Peraturan Pemerintah Nomor 60 Tahun 2008 mengenai
Sistem Pengendalian Intern Pemerintah. Dalam perkembangannya COSO telah
mengeluarkan kerangka IC terbaru yaitu Internal Control – Integrated
Framework (2013) untuk menggantikan kerangka IC yang lama.
COSO mendefinisikan IC adalah process, effected by an entity’s board of
directors, management, and other personnel, designed to provide reasonable
assurance regarding the achievement of objectives relating to operations, reporting,
and compliance. Definisi ini sengaja dibuat secara luas agar dapat menangkap konsep
yang penting mengenai bagaimana suatu organisasi merancang,
mengimplementasikan, melaksanakan IC, dan menilai efektivitas dari sistem
pengendalian internal, serta memberikan dasar dalam pengaplikasiannya di berbagai
tipe organisasi. Selain itu definisi ini juga mengakomodasi bagian-bagian dari IC.
Tujuan dari IC terdiri dari operations, reporting, dan compliance dapat dijelaskan
sebagai berikut:
1. Operations Objectives
Tujuan operasional terkait dengan pencapaian visi, misi, dan tujuan didirikannya
entitas. Tujuan ini terkait dengan peningkatan financial
performance, produktivitas, kualitas,enviromental practices, return of assets, dan
likuiditas. Salah satu tujuan yang terkait dengan tujuan operasional adalah
Pengamanan Aset. Entitas dapat menentukan tujuan yang terkait dengan
pencegahan kehilangan aset serta secara periodik mendeteksi dan melaporkan
kehilangan aset.
2. Reporting Objectives
Tujuan pelaporan berkaitan dengan penyusunan laporan untuk digunakan oleh
organisasi dan stakeholders dalam hubungannya dengan pelaporan finansial/non-
finansial serta pelaporan eksternal/internal. Karakteristik dari pelaporan
finansial/non-finansial eksternal adalah disesuaikan dengan aturan dan kebutuhan
eksternal, dipersiapkan sesuai dengan standar eksternal, dan mungkin diharuskan
3. 3
menurut regulator, kontrak, dan perjanjian. Sedangkan karakteristik pelaporan
finansial/non-finansial internal adalah digunakan dalam pengambilan keputusan
dan pengelolaan bisnis serta ditetapkan oleh manajemen dan board.
3. Compliance Objectives
Aturan dan hukum merupakan standar minimal dari perilaku organisasi.
Organisasi diharapkan akan menggabungkan standar tersebut ke dalam tujuan dari
entitas, bahkan organisasi dapat menetapkan standar yang lebih tinggi daripada
yang ditetapkan oleh hukum dan peraturan.
Satu tujuan dan tujuan lainnya dapat saling tumpang tindih atau saling membantu.
Misalnya dalam hal pelaporan keuangan, dapat menjadi dasar bagi manajemen
dalam melakukan review dalam kinerja operasionalnya serta kepatuhannya
terhadap aturan. Selain itu, pengamanan aset yang merupakan salah satu contoh
tujuan operasional juga berpengaruh terhadap ketepatan jumlah aset dalam
pelaporan. Sehingga dapat disimpulkan bahwa penetapan tujuan-tujuan ini tetap
saling berkesinambungkan, tapi tetap bergantung dengan situasi yang ada.
Selain tujuan, IC juga memiliki lima komponen serta 17 prinsip. Komponen
dalam IC adalah sebagai berikut:
Control Environment
Lingkungan pengendalian adalah rangkaian standar, proses dan struktur yang
menjadi dasar dalam pelaksanaan IC di seluruh organisasi. Terdapat lima prinsip yang
terkait dengan komponen ini yaitu:
• Organisasi menunjukkan komitmen terhadap integritas dan nilai-nilai etika.
• Board of directors menunjukkan independensi dari manajemen dan
melaksanakan pengawasan terhadap pengembangan dan pelaksanaan IC.
• Dengan pengawasan Board, manajemen menetapkan struktur, bentuk
pelaporan.
• Tanggung jawab dan otoritas yang diperlukan dalam rangka pencapaian
tujuan.
• Organisasi menetapkan komitmen dalam menarik, mengembangkan, dan
mempertahankan individu yang kompeten dalam rangka pencapaian tujuan.
• Organisasi memegang individu yang bertanggungjawab dalam IC dalam
rangka pencapaian tujuan.
Risk Assessment
Penilaian risiko melibatkan proses yang dinamis dan berulang untuk
mengidentifikasi dan menganalisis risiko untuk mencapai tujuan, serta membentuk
dasar mengenai bagaimana risiko harus dikelola. Terdapat empat prinsip yang
berkaitan dengan komponen ini yaitu:
• Organisasi menentukan tujuan yang spesifik sehingga memungkinkan untuk
dilakukan identifikasi dan penilaian risiko yang terkait dengan tujuan.
4. 4
• Organisasi mengidentifikasi risiko yang terkait dengan pencapaian tujuan di
seluruh entitas dan menganalisis risiko untuk menjadi dasar bagaimana risiko
akan diperlakukan.
• Organisasi mempertimbangkan potensi fraud dalam penilaian risiko.
• Organisasi mengidentifikasi dan menilai perubahan yang akan memengaruhi
sistem pengendalian internal secara signifikan.
Terkait dengan pengelolaan risiko, COSO telah mengeluarkan kerangka
tersendiri mengenai Enterprise Risk Management – Integrated Framework (2004)
Control Activities
Aktivitas Pengendalian merupakan tindakan yang ditetapkan dengan prosedur
dan kebijakan untuk meyakinkan bahwa manajemen telah mengarah untuk memitigasi
risiko dalam rangka pencapaian tujuan. Terdapat tiga prinsip dalam komponen ini
yaitu:
• Organisasi memilih dan mengembangkan aktivitas pengendalian yang
berkontribusi terhadap mitigasi risiko sampai pada tingkat yang dapat diterima
dalam rangka pencapaian tujuan.
• Organisasi memilih dan mengembangkan aktivitas pengendalian secara umum
terkait teknologi dalam rangka pencapaian tujuan.
• Organisasi menyebarkan aktivitas pengendalian melalui kebijakan dan
prosedur dalam pengimplementasiannya.
Information and Communication
Informasi diperlukan dalam rangka pelaksanaan tanggung jawab IC nya dalam
rangka pencapaian tujuan. Sedangkan komunikasi terjadi baik secara internal maupun
eksternal dengan menyediakan informasi yang diperlukan dalam rangka pelaksanaan
IC sehari-hari. Terdapat tiga prinsip dalam komponen ini yaitu:
• Organisasi memperoleh dan menggunakan informasi yang berkualitas dan
relevan dalam rangka mendukung fungsi dari komponen lain dalam IC.
• Organisasi secara internal mengomunikasikan informasi, termasuk tujuan dan
tanggung jawab IC dalam rangka mendukung fungsi dari komponen lain dari
IC.
• Organisasi berkomunikasi dengan pihak eksternal terkait hal yang
mempengaruhi fungsi dari komponen lain dalam IC.
Monitoring Activity
Evaluasi berkelanjutan, terpisah, atau kombinasi keduanya untuk memastikan
seluruh komponen IC ada dan berfungsi. Terdapat dua prinsip dalam komponen ini
yaitu:
• Organisasi memilih, mengembangkan, dan melaksanakan evaluasi
berkelanjutan dan/atau terpisah untuk memastikan seluruh komponen IC ada
dan berfungsi.
• Organisasi mengevaluasi dan mengomunikasikan defisiensi IC pada pihak
yang bertanggung jawab agar diambil tindakan korektif.
5. 5
IC memberikan keyakinan yang memadai, bukan mutlak, dalam rangka
pencapaian tujuan, akan tetapi terdapat keterbatasan yang berasal dari:
1. Preconditions of Internal Control
Keterbatasan yang pertama adalah kondisi awal sebelum dibangunnya IC. IC tidak
bisa mencakup seluruh kegiatan yang dilakukan oleh organisasi. Salah satu hal
yang tidak dicakup adalah pra-kondisi entitas sebelum IC diterapkan. Kelemahan
entitas dalam memilih, mengembangkan, dan mengevaluasi manajemen dapat
membatasi kemampuannya dalam melakukan pengawasan terhadap IC. Selain itu
tidak tepatnya proses penetapan strategi dan tujuan akan mengakibatkan
pemilihan tujuan yang tidak realistis, tidak tepat, dan tidak spesifik.
2. Judgement
Keterbatasan kedua adalah fakta bahwa penilaian manusia dalam pengambilan
keputusan bisa keliru. Manusia memiliki kelemahan dalam mengambil keputusan
bisnis yang berdasarkan pada waktu, informasi yang terbatas, serta di bawah
tekanan, sehingga bisa menghasilkan keputusan (penilaian) yang tidak tepat dan
perlu diubah.
3. Breakdowns
Keterbatasan ketiga adalah kerusakan yang dapat terjadi karena kesalahan
pegawai. Sistem IC yang baik bisa mengalami kerusakan. Personel mungkin dapat
salah memahami instruksi, melakukan kesalahan, atau memiliki terlalu banyak
tugas
4. Management Override
Keterbatasan keempat adalah kemampuan manajemen untuk mengabaikan IC.
Entitas dengan sistem pengendalian internal yang efektif masih mungkin untuk
memiliki manajer yang mengesampingkan IC.
5. Collusion
Keterbatasan kelima adalah kemampuan manajemen, personel lain, dan pihak
ketiga untuk melakukan kolusi. Kolusi dapat mengakibatkan defisiensi dalam IC.
Individu yang beraksi secara bersama-sama dapat menyembunyikan tindakan
kecurangan dan mengubah informasi keuangan atau lainnya sehingga tidak dapat
dicegah dan dideteksi oleh IC.
Dengan terbitnya Internal Control – Integrated Framework Tahun 2013, terjadi
beberapa perubahan dibandingkan dengan Internal Control – Integrated Framework
Tahun 1992. Perubahan-perubahan yang terjadi secara umum antara lain:
1. Kerangka yang baru memberikan perhatian yang lebih besar pada prinsip. Prinsip-
prinsip ini dimaksudkan untuk profit companies, non-profit companies, badan
pemerintah dan organisasi lainnya. Komponen dan prinsip terdiri dari kriteria
yang akan membantu manajemen untuk menilai apakah entitas telah memiliki IC
yang efektif.
6. 6
2. Memperluas kategori reporting objectives dengan mempertimbangkan pelaporan
eksternal di luar pelaporan keuangan serta pelaporan internal baik keuangan
maupun non-keuangan.
3. Menjelaskam peran penetapan tujuan, tidak hanya merupakan proses manajemen
yang dilakukan di pra-kondisi IC, tetapi diperluas dengan menentukan tujuan
dengan mempertimbangkan kesesuaiannya.
4. Memperluas konsep governance terutama yang terkait dengan board of directors,
commitee of the board, termasuk audit, kompensasi, nominasi, dan komite
governance.
5. Mempertimbangkan globalisasi dengan mencakup perubahan dalam model
operasi manajemen, struktur legal entitas dan peran terkait, tanggung jawab dan
akuntabilitas terkait IC dalam unit dan sub-unit serta mempertimbangkan risiko
internal terkait merger dan akuisisi.
6. Mempertimbangkan struktur organisasi dan model bisnis yang berbeda yang telah
banyak mengalami perubahan, tanggung jawab IC dari tiap model, dan pencapaian
dalam efektivitas IC.
7. Mempertimbangkan tuntutan dan kompleksitas dalam undang-undang, peraturan,
dan standar dengan mengakui peran regulator dan standard-setter dalam penetapan
tujuan serta menetapkan kriteria untuk menilai dan melaporkan defisiensi IC.
8. Mempertimbangkan ekspektasi yang lebih besar terhadap kompetensi dan
akuntabilitas. Organisasi bisa menggeser model operasi dengan mendelegasikan
kewenangan dan akuntabilitas yang lebih besar.
9. Mencerminkan peningkatan relevansi teknologi yang berpengaruh terhadap
bagaimana komponen IC dilaksanakan.
10. Memuat lebih banyak pembahasan mengenai fraud serta mempertimbangkan
potensi fraud sebagai prinsip IC. Selain perubahan-perubahan tersebut, terdapat
juga perubahan-perubahan dalam tata letak kerangka seperti tata letak chapter
serta perubahan kunci yang terjadi pada komponen IC.
Bahasan diatas hanya merupakan pemahaman secara umum dan singkat mengenai IC
yang disadur dari Internal Control – Integrated Framework (2013). IC tidak hanya
dapat diterapkan baik pada tingkat entitas,tapi juga bisa diterapkan pada tingkat
kegiatan. Untuk lebih memahami dan dapat menerapkan kerangka ini, diperlukan
kajian yang lebih mendalam.
2. Entity level control (ELC) and Transactional Level Control (TLC)
Ruang lingkup pengendalian terbagi dalam dua level, yaitu Entity level
control (ELC) and transactional level control (TLC). Perbandingan antara kedua level
tersebut adalah sebagai berikut:
1. Entity Level Control (ELC)
Kegiatan pengendalian ini umumnya beroperasi pada tingkat perusahaan atau
manajemen puncak pengambil keputusan strategis. Level ini memiliki jangkauan atau
7. 7
kewenangan pengendalian yang lebih tinggi dari activity level, dan bisa
mempengaruhi kegiatan pada activity level, misalnya kebijakan perusahaan.
Proses identifikasi yang relevan entitas-tingkat kontrol dapat dimulai dengan
pemantauan, dan informasi dan komunikasi).diskusi antara auditor dan karyawan
yang sesuai untuk atas pelaporan keuangan (yaitu, lingkungan pengendalian, penilaian
risiko, aktivitas pengendalian,pemantauan, dan informasi dan komunikasi). Sementara
mengevaluasi entitas tingkat kontrol, auditor mungkin mengidentifikasi kontrol yang
mampu mencegah atau mendeteksi salah saji dalam laporan keuangan. Itu periode-
end proses pelaporan keuangan dan pemantauan manajemen terhadap hasil operasi
merupakan sumber potensial dari kontrol tersebut.
Tujuan mendapatkan pemahaman awal dari setiap komponen pengendalian
internal,Sementara mengevaluasi entitas tingkat kontrol, auditor mungkin
mengidentifikasi kontrol yang mampu mencegah atau mendeteksi salah saji dalam
laporan keuangan. Itu periode-end proses pelaporan keuangan dan pemantauan
manajemen terhadap hasil operasi merupakan sumber potensial dari kontrol tersebut.
Pengaruh Entity-Level Controls pada Pengujian Kontrol Lain
Evaluasi auditor entitas tingkat kontrol dapat menghasilkan peningkatan atau
mengurangi pengujian bahwa auditor jika tidak mungkin dilakukan pada lain
kontrol. Sebagai contoh, jika auditor telah merancang pendekatan audit dengan
harapan tertentu entitas tingkat kontrol (misalnya, kontrol dalam lingkungan
pengendalian) akan efektif dan mereka kontrol tidak efektif, auditor dapat
mengevaluasi kembali merencanakan pendekatan audit dan memutuskan untuk
memperluas prosedur audit nya.
Di sisi lain, evaluasi auditor dari beberapa entitas tingkat kontrol dapat
menghasilkan pengurangan nya atau pengujian nya kontrol lain, seperti kontrol lebih
sesuai pernyataan yang relevan. Tingkat dimana auditor mungkin dapat mengurangi
pengujian kontrol atas pernyataan yang relevan dalam kasus tersebut tergantung
padapresisi dari entitas-tingkat control.
Tindakan Entity Level Control yang telah dilakukan oleh PT Telkom meliputi:
• formulasi kebijakan dan implementasi ICOFR dan pengendalian
pengungkapan sesuai dengan SOA Seksi 404 (Penilaian ICOFR) dan Seksi
302 (Sertifikasi Direksi), Audit Standard No. 5, meliputi TELKOM dan anak
perusahaan konsolidasi melalui Keputusan Direksi No. 13 tahun 2009;
• membangun komitmen pengelolaan perusahaan sesuai etika melalui tata kelola
yang baik dengan cara penerapan etika bisnis, mencegah benturan
kepentingan, whistleblower, penerapan risk management di setiap unit bisnis,
penerapan program fraud, pakta integritas, dan lain-lain;
8. 8
• menyelenggarakan asesmen risiko rutin dan risk profiling sebagai early
detection system; dan melakukan berbagai audit untuk menjamin efektivitas
dari penerapan Entity Level Control.
2. Transactional Level Control (TLC)
Kegiatan pengendalian pada level ini lebih berhubungan dengan pelaksanaan
proses bisnis atau transaksi dari bagian dalam suatu organisasi. Level ini memiliki
kewenangan yang lebih rendah dari entity level control, dan dapat dipengaruhi
kebijakan dalam entity level control.
Selanjutnya dalam Transactional Level Control (TLC) ini akan ada crosscheck
yang dilakukan bagian akuntansi dan keuangan atas dokumentasi atas reimbursement
yang diberikan kepada perusahaan akan dapat ditolak jika tidak memenuhi
persyaratan yang ditentukan oleh kebijakan manajemen.
Tindakan Transactional Level Control yang telah dilakukan oleh PT Telkom meliputi:
• merancang bisnis proses dengan menggunakan risk based control dan
menerapkan pemisahan kewenangan berdasarkan prinsip segregation of
duties;
• memberlakukan disiplin kerja sesuai ketentuan bisnis proses;
• memperbaiki/redesign bisnis proses secara rutin untuk memastikan agar
konsisten dengan perubahan kebijakan dan organisasi, tuntutan bisnis dan
temuan audit; dan melakukan berbagai audit untuk menjamin efektivitas dari
penerapan Transactional Level Control.
9. 9
3. Siklus Dalam Desain dan Implementasi ICoFR
Berikut gambar Siklus Dalam Desain dan Implementasi ICoFR:
1. Adjusting financial reporting risk
Tahap pertama dalam siklus IcoFR adalah penyesuaian atau penelaahan
terhadap risiko pelaporan keuangan. Dalam tahap ini, pihak manajemen akan
mengidentifikasi risiko-risiko apa saja yang mungkin akan timbul dalam pelaporan
keuangan sebuah perusahaan.
2. Adjust & implementat controls
Tahap kedua dalam siklus IcoFR adalah implementasi dan penyesuaian
terhadap pengendalian. Dalam tahap ini, pihak manajemen akan melakukan
penyesuaian antara risiko dan pengendaliannya. Dari risiko-risiko yang telah
diidentifikasi oleh pihak manajemen dalam tahap pertama, maka pihak manajemen
akan membuat suatu pengendalian yang sesuai dengan risiko yang telah diidentifikasi.
Selanjutnya, pengendalian tersebut akan diterapkan dalam perusahaan tersebut.
3. Control remediation
Tahap selanjutnya dalam siklus ICoFR adalah pengendalian. Tahap ini juga
dapat dikatakan sebagai tahap monitoring. Pihak manajemen akan melakukan
pengawasan dan pengendalian terhadap pengendalian-pengendalian apa saja yang
telah diterapkan di dalam perusahaan tersebut.
4. Identifikasi & manage changes
Tahap terakhir dalam siklus ICoFR adalah identifikasi perubahan. Setelah
ICoFR diterapkan dalam perusahaan tersebut, maka pihak manajemen akan
mengidentifikasi perubahan-perubahan apa saja yang terjadi. Tahap ini juga dapat
dikatakan sebagai tahapan review.
Desain, implementasi, dan evaluasi pengendalian harus disesuaikan dengan
ukuran dan pelaporan risiko perusahaan. Merancang dan memelihara ICFR secara
10. 10
efektif menjadi lebih menantang karena ukuran bisnis dan ruang lingkup kegiatannya
meningkat. Pada saat yang sama, perusahaan-perusahaan yang lebih kecil juga
mungkin menghadapi beberapa masalah kesulitan pengendalian/kontrol. Sebagai
contoh, risiko manajemen dapat lebih besar dalam sebuah organisasi yang lebih kecil
di mana pejabat-pejabat perusahaan memiliki keterlibatan langsung dengan operasi
dan dengan pencatatan transaksi. Selain itu, perusahaan kecil mungkin tidak memiliki
personel yang cukup untuk sepenuhnya melaksanakan pemisahan tugas di semua
proses. Namun demikian, perusahaan publik yang lebih kecil masih harus menerapkan
system kontrol yang akan menyediakan keyakinan yang memadai bahwa laporan
keuangan yang disusun sesuai dengan GAAP dan bebas dari salah saji material.
Manajemen Pelaporan pada Efektivitas ICFR
Pasal 404 dari Undang-Undang Sarbanes-Oxley membutuhkan (dengan
pengecualian tertentu) semua perusahaan public setiap tahunnya menilai efektivitas
ICFR dan melaporkan hasilnya. Manajemen juga memiliki tanggung jawab untuk
mengungkapkan perubahan yang signifikan untuk sistem ICFR dalam laporan
kuartalannya. Disiplin melakukan penilaian ICFR, ditambah dengan persyaratan
untuk melaporkan hasil dalam pengajuan publik, membuat investor meningkatkan
kepercayaan keandalan laporan keuangan. Dalam melakukan penilaian, manajemen
harus menentukan apakah telah menerapkan kontrol yang memadai, mengatasi risiko
bahwa salah saji material dalam laporan keuangan perusahaan apakah dapat dicegah
atau dideteksi secara tepat waktu dan apakah control terkait operasi secara efektif.
Penilaian manajemen terhadap ICFR bias mengambil secara top-down, pendekatan
berbasis risiko. Dalam pendekatan itu, manajemen pertama-tama berfokus pada
control entitas dan kemudian pada pos penting dan proses yang signifikandan,
akhirnya, pada kegiatan pengendalian. Sementara penilaian manajemen harus
mencakup ICFR perusahaan secara keseluruhan, harus mencurahkan perhatian
terbesar bagi area-area yang menimbulkan risiko tertinggi untuk pelaporan keuangan
yang dapat diandalkan.
ICFR dan Auditor
Pasal 404 dari Undang-Undang Sarbanes-Oxley mensyaratkan perusahaan
public memiliki laporan auditor independen pada efektivitas ICFR.Di bawah standar
PCAOB, audit ICFR dan audit keuangan yang terintegrasi - yaitu, baik audit
dilakukan sebagai tunggal, maupun proses saling menguatkan,.Karena kekhawatiran
tentang biaya audit ICFR bagi perusahaan dengan sumber daya yang terbatas, hasil.
Kongres telah membebaskan (perusahaan publik yang lebih kecil, dan perusahaan
publik yang baru) dari persyaratan bahwa auditor perusahaan itu menyatakan
pendapat atas efektivitas ICFR. Namun, dalam audit laporan keuangan auditor masih
memerlukan sebagai bagian dari penilaian risiko audit, untuk mendapatkan
pemahaman masing-masing komponen ICFR perusahaan.Sementara auditor tidak
11. 11
memerlukan untuk menguji internal control dalam audit tersebut, jika auditor
menyimpulkan bahwa ada kelemahan secara material atau kekurangan yang
signifikan dalam kontrol, kelemahan atau kekurangan harus dilaporkan secara tertulis
kepada manajemen dan komite audit.
4. Pengendalian Internal atas Pelaporan Keuangan (Internal Control over
Financial Reporting – ICoFR)
Internal control over financial reporting (ICOFR) didefinisikan sebagai
sebuah proses, yang diterapkan oleh Direksi dan Dewan Komisaris perusahaan,
manajemen, dan personil lain nya, yang dirancang untuk memberikan keyakinan yang
memadai terkait keandalan dari laporan keuangan yang dipublikasikan(COSO, 2006).
Sebuah sistem dari ICOFR melibatkan kebijakan-kebijakan dan prosedur-
prosedur yang dianggap perlu bagi manajemen untuk memberikan keyakinan yang
memadai bahwa laporan keuangan perusahaan telah disajikan secara wajar dan sesuai
dengan prinsip-prinsip akuntansi yang berlaku umum (Ratcliffe dan Landes, 2009).
U.S Securities and Exchange Commission (2003) pun mengungkapkan bahwa ICOFR
adalah sebuah proses dalam perusahaan yang memberikan keyakinan yang memadai
terkait keandalan dari pelaporan keuangan dan proses persiapan laporan keuangan
yang sesuai dengan prinsip-prinsip akuntansi yang berlaku umum.
Dari beberapa definisi di atas, dapat disimpulkan bahwa ICOFR adalah sebuah
proses yang diterapkan oleh manajemen perusahaan, yang melibatkan
kebijakankebijakan dan prosedur-prosedur yang dianggap perlu bagi manajemen
untuk memberikan keyakinan yang memadai terkait keandalan laporan keuangan.
Ketentuan dan Peraturan terkait ICOFR
Pentingnya penerapan ICOFR dalam suatu perusahaan diatur dalam berbagai
ketentuan dan peraturan yang ada, baik ketentuan dari Indonesia maupun dari luar
negeri. Beberapa ketentuan mengenai implementasi ICOFR adalah:
a. Sarbanes-Oxley Act (SOX) seksi 404 tentang Penilaian Manajemen atas Internal
control.
Ketentuan ini mengharuskan perusahaan untuk menyajikan laporan atas
pengendalian internal, yang di dalamnya menyatakan tanggung jawab dari manajemen
untuk menciptakan dan mengelola struktur dan prosedur internal control yang
memadai atas pelaporan keuangan, serta mengandung sebuah penilaian atas
keefektifan dari struktur dan prosedur internal control atas
pelaporan keuangan. Selanjutnya, eksternal auditor harus melakukan atestasi pada
penilaian yang telah dibuat manajemen tersebut dan membuat laporan terkait atestasi
ini.
12. 12
b. Keputusan Ketua Badan Pengawas Pasar Modal (Bapepam) Nomor KEP-
40/PM/2003 tentang Tanggung Jawab Direksi atas Laporan Keuangan.
Ketentuan ini mengharuskan para direksi untuk bertanggung jawab atas
laporan keuangan perusahaan dan menyatakan tanggung jawabnya sesuai format yang
diberikan pada ketentuan tersebut.
c. Peraturan Menteri Negara Badan Usaha Milik Negara (BUMN) Nomor PER-
01/MBU/2011 tentang Penerapan Tata Kelola Perusahaan yang Baik pada Badan
Usaha Milik Negara.
Peraturan ini mengharuskan Direksi dan Dewan Komisaris untuk bertanggung
jawab atas penerapan tata kelola perusahaan dalam BUMN. Hal ini dipertegas dengan
adanya Pasal 26 ayat (1) dan (2) yang berbunyi:
“(1) Direksi harus menetapkan suatu sistem pengendalian intern yang efektif untuk
mengamankan investasi dan aset perusahaan.
(2) Sistem pengendalian intern sebagaimana dimaksud pada ayat (1), antara lain
mencakup hal-hal sebagai berikut:
a. Lingkungan pengendalian intern dalam perusahaan yang dilaksanakan dengan
disiplin dan terstruktur, yang terdiri dari:
1) integritas, nilai etika dan kompetensi karyawan;
2) filosofi dan gaya manajemen;
3) cara yang ditempuh manajemen dalam melaksanakan kewenangan dan tanggung
jawabnya;
4) pengorganisasian dan pengembangan sumber daya manusia; dan
5) perhatian dan arahan yang dilakukan oleh Direksi.
b. pengkajian terhadap pengelolaan risiko usaha (risk assessment), yaitu suatu proses
untuk mengidentifikasi, menganalisis, menilai pengelolaan risiko yang relevan.
c. aktivitas pengendalian, yaitu tindakan-tindakan yang dilakukan dalam suatu proses
pengendalian terhadap kegiatan perusahaan pada setiap tingkat dan unit dalam
struktur organisasi BUMN, antara lain mengenai kewenangan, otorisasi, verifikasi,
rekonsiliasi, penilaian atas prestasi kerja, pembagian tugas, dan keamanan terhadap
aset perusahaan.
d. sistem informasi dan komunikasi, yaitu suatu proses penyajian laporan mengenai
kegiatan operasional, finansial, serta ketaatan dan kepatuhan terhadap ketentuan
peraturan perundang-undangan oleh BUMN.
e. monitoring, yaitu proses penilaian terhadap kualitas sistem pengendalian intern,
termasuk fungsi internal audit pada setiap tingkat dan unit dalam struktur organisasi
BUMN, sehingga dapat dilaksanakan secara optimal.”
13. 13
Cost vs Benefit ICoFR
Berdasarkan COSO (2006), beberapa manfaat dari penerapan ICOFR yang efektif
dalam sebuah perusahaan adalah:
a. Perusahaan dapat memberikan laporan keuangan yang tepat waktu dan dapat
diandalkan bagi pemangku kepentingan, termasuk di dalamnya para pemegang
saham, kreditur, pemberi modal, regulator, dan pihak-pihak lain yang memiliki
hubungan dengan perusahaan, sehingga perusahaan mampu untuk mengakses
pasar modal dan turut serta dalam pertumbuhan ekonomi.
b. Penerapan ICOFR yang efektif pun dapat mendukung keandalan pelaporan
keuangan yang dapat meningkatkan kepercayaan diri investor untuk memberikan
modal bagi perusahaan.
c. Terdapatnya informasi yang dapat diandalkan dan tepat waktu untuk mendukung
pembuatan keputusan yang dilakukan oleh manajemen terkait product pricing,
capital investment, dan distribusi sumber daya.
d. Perusahaan mampu dan percaya diri untuk mengkomunikasikan performa
bisnisnya dengan rekan bisnis dan pelanggan yang dimiliki perusahaan.
Fase-Fase dalam Pengembangan ICOFR di PT DEF
Fase pengembangan ICOFR pada PT DEF dibangun dengan mengacu kepada COSO
Framework dan implementasi nya akan mengacu kepada praktik terbaik internal
control yang disesuaikan dengan kondisi PT DEF. Fase-fase pengembangan ICOFR
tersebut adalah sebagaimana diilustrasikan berikut ini:
Berdasarkan ilustrasi di atas, dapat dijelaskan fase-fase yang ditempuh dalam
melakukan pengembangan ICOFR di PT DEF adalah:
a. Penyusunan Pedoman Umum Implementasi dan Kebijakan ICOFR
Hasil dari fase pertama ini adalah Pedoman Umum Implementasi dan Kebijakan
ICOFR yang menjelaskan mengenai definisi, ruang lingkup, pengendalian tingkat
entitas, pengendalian tingkat transaksional, pengendalian Information Technology
General Controls (ITGC), serta laporan hasil sosialisasi Pedoman Umum
Implementasi dan Kebijakan ICOFR. Pedoman ini disusun berdasarkan hasil kajian
kebijakan yang ada saat ini di PT DEF yang relevan dengan ICOFR oleh konsultan
dengan level manajer ke atas.
b. Perancangan (Desain)
Tujuan utama dari fase perancangan ini adalah untuk memformulasikan metode
perancangan yang sesuai dengan kondisi PT DEF. Akivitas utama dalam fase ini
adalah analisis terhadap rancangan business process model dan risk control
matrices (RCM) tingkat transaksional dalam segmen-segmen yang disepakati, dan
analisis terhadap ITGC yang ada dalam masing-masing proses bisnis. Keluaran-
keluaran yang dihasilkan dari fase ini adalah hasil analisis gap yang terjadi pada
14. 14
entity level control, risk control matrices dari entity level control, business process
model dalam bentuk flowchart dan RCM dari proses bisnis tersebut.
c. Implementasi
Tujuan utama dari fase ini adalah melakukan implementasi pengembangan internal
control kepada business process owner melalui sosialisasi perancangan ICOFR
serta pendampingan pelaksanaan ICOFR sampai dengan sertifikasi berjenjang yang
meliputi unit-unit yang terkait program pengembangan internal control.
d. Pengujian
Fase ini dilakukan untuk melaksanakan pengujian terhadap perancangan ICOFR
dengan tujuan untuk mengevaluasi kecukupan perancangan ICOFR dalam
memitigasi risiko, menilai pelaksanaan pemilik proses bisnis dalam menerapkan
perancangan ICOFR, mengidentifikasi area-area perbaikan dari seluruh lokasi
pengujian, dan mendapatkan umpan balik atas penerapan perancangan ICOFR.
e. Pemeliharaan
Fase ini merupakan fase yang bertujuan untuk memperbaiki ICOFR dan
menyelaraskannya dengan hasil pengujian apabila terdapat ketidakcukupan
rancangan ICOFR dalam memitigasi risiko yang ada.
Langkah-Langkah dalam Menentukan Cakupan Pengembangan ICOFR
Dalam mengembangkan ICOFR, pendekatan yang digunakan oleh konsultan adalah
Top-Down Risk Based Approach, sebagaimana telah dibahas pada bab sebelumnya.
Pendekatan ini dapat digunakan untuk menentukan cakupan dari pengembangan
ICOFR, seperti ilustrasi di bawah ini:
Berdasarkan ilustrasi di atas, langkah-langkah yang ditempuh untuk
menentukan cakupan dari program pengembangan ICOFR di PT DEF sebagai berikut
ini:
1. Entity Level Control (ELC) Assessment
Langkah pertama yang dilakukan untuk menentukan cakupan program
pengembangan ICOFR adalah dengan melakukan penilaian terhadap ELC yang
dimiliki oleh PT DEF dengan cara mengkaji dokumen-dokumen seperti laporan
keuangan dan kertas kerja. Penilaian ini dilakukan dengan mengacu kepada prinsip-
prinsip yang terdapat pada COSO Internal Control over Financial Reporting -
Guidance for Smaller Public Companies. Setelah melakukan penilaian tersebut,
keluaran yang dihasilkan adalah hasil identifikasi dari desain pengendalian tingkat
entitas yang sudah ada dan yang belum ada. Kemudian atas desain yang sudah ada,
dilakukan kajian apakah desain yang sudah ada tersebut sudah selaras dengan prinsip
dan atribut
COSO Internal Control over Financial Reporting - Guidance for Smaller Public
Companies. Selanjutnya, dilakukan pula identifikasi area perbaikan atas desain ELC
yang sudah ada maupun yang belum ada.
2. Akun-akun signifikan
15. 15
Setelah melakukan penilaian terhadap ELC yang ada di PT DEF, kemudian PT DEF
akan menentukan beberapa akun signifikan, yang selanjutnya disebut segmensegmen.
Segmen-segmen ini dipilih oleh PT DEF karena segmen-segmen tersebut memegang
peranan yang sangat penting dalam proses bisnis PT DEF, yang apabila tidak
dipertimbangkan, maka akan memberikan peluang terjadinya salah saji material
dalam laporan keuangan PT DEF. Dengan adanya beberapa masukan dari konsultan
setelah dilakukan nya penilaian ELC, segmen-segmen yang disepakati untuk menjadi
cakupan program pengembangan ICOFR adalah segmen Biaya Operasi, Perpajakan,
Financial Statement Closing Process (FSCP), Information Technology-General
Controls (ITGC), Proyek, Perbendaharaan, Pendapatan, Aktiva Tetap, dan Persediaan.
3. Risiko
Setelah mendapatkan segmen-segmen yang akan menjadi cakupan program
pengembangan ICOFR, maka selanjutnya konsultan akan merinci dan mengusulkan
detil ruang lingkup untuk setiap segmen nya. Usulan detil ruang lingkup untuk setiap
segmen ditempuh dengan melakukan penilaian pengendalian tingkat transaksional
yang ada di PT DEF melalui dekomposisi proses dari setiap segmen yang ada.
Dekomposisi proses bisnis ini adalah pembagian suatu mega proses ke dalam tingkat
yang lebih kecil dan rinci, yaitu menjadi proses, sub proses, aktivitas dan komponen
lainnya yaitu risiko dan pengendalian. Proses dekomposisi ini ditempuh dengan
terlebih dahulu menentukan business process model apa saja yang terkait dalam setiap
segmen dan selanjutnya menilai dan menganalisis business process model tersebut
dengan melakukan identifikasi risiko dan kontrol yang terkait. Penilaian risiko pada
tingkat transaksional akan dibahas lebih mendalam pada sub bab berikutnya.
4. Kontrol
Setelah mengidentifikasi risiko-risiko yang berpotensi terjadi dalam masing-
masing segmen, kemudian dilakukan identifikasi kontrol terkait dengan risiko-risiko
tersebut. Proses ini dilakukan untuk melihat bagaimana cara suatu proses bisnis
memitigasi risiko-risiko yang ada di dalamnya.
16. 16
DAFTAR PUSTAKA
1. Hapzi Ali, 2016, Modul Sistem Informasi & Pengendalian Internal. Mercu
Buana
2. Hapzi Ali, 2009, Sistem Informasi Manajemen, Berbasis Teknologi Informasi,
Hasta Cipta Mandiri, Jogyakarta
3. http://tatakelola.co/sektor-privat/mengenal-internal-control-integrated-
framework-coso/
4. http://www.telkom.co.id/UHI/ID/07_gcg/0400_procedures.html
5. https://ovioktaviadewi.wordpress.com/2012/06/27/internal-control/
6. http://dokumen.tips/documents/makalah-icofr.html