Internal control yang berkaitan dengan pelaporan keuangan disebut dengan internal control over financial reporting (ICoFR). ICoFR didefinisikan sebagai kebijakan-kebijakan dan rangkaian prosedur serta tata kerja terkait proses pelaporan keuangan untuk menjamin tersusunnya laporan keuangan yang akurat, andal dan tepat waktu. Tujuan dari IcoFR ini adalah agar memiliki keyakinan yang memadai bahwa proses pencatatan pada laporan keuangan telah didukung dengan internal control yang efektif berdasarkan ketentuan yang berlaku. Munculnya ICoFR ini bermula dari adanya skandal akuntansi dan audit yang meruntuhkan korporasi besar di Amerika Serikat : Enron Corp Wordcom, membuat pemerintah Amerika Serikat mengeluarkan regulasi atas praktek akuntansi dan audit pada tanggal 30 Juli 2002 bernama The Public Company Accounting Reform and Investor Protection Act. Kemudian sejalan dengan perkembangan usaha dan bisnis khususnya bagi perusahaan yang menuju kelas dunia dan yang akan listed di pasar internasional, investir sangat concern mengenai hasil audit independen atas efektivitas internal cotrol dalam pelaporan keuangan.

1. SISTEM INFORMASI DAN PENGENDALIAN INTERNAL
DOSEN PENGAMPU : Prof. Dr. Ir. Hapzi Ali, MM, CMA
“INTERNAL CONTROL OVER FINANCIAL REPORTING”
Disusun Oleh :
PASHA PINTOKITTA MADOGUCCI
55516120014
MAGISTER AKUNTANSI
PROGRAM PASCASARJANA ( S2 )
UNIVERSITAS MERCU BUANA
2017

2. Bagaimanakah Internal control over financial reporting pada perusahaan saudara atau pada
perusahaan lain yang saudara ketahui apakah menggunakan kosep atau disain ICoFR dan
bagaimana dengan Entity level control (ELC) dan Transactional Level Control
(TLC), apakah di terapkan ?, Jelakankan !
Jika diamati secara seksama, jejaring dunia bisnis dalam menghasilkan produk baik barang
maupun jasa terbagi ke dalam tiga pola dasar. Pertama adalah pola “vertically integrated firm”,
yaitu perusahaan yang mengikuti teori ekonomi tradisional yang menempatkan perusahaan sebagai
pusat seluruh aktivitas produksi. Kedua adalah “selective sourcing”, merupakan pola yang dipilih
perusahaan dengan cara melakukan outsourcing untuk aktivitas-aktivitas yang berisiko rendah
saja. Dengan kemajuan teknologi informasi yang makin baik, pola pengelolaan perusahaan
selanjutnya bergeser menjadi “virtual corporation”. Pola ini memungkinkan perusahaan
menyerahkan mayoritas aktivitas produksinya kepada pihak lain, mengeliminasi perantara pada
sektor jalur distribusi, sedang perusahaan itu sendiri hanya mengelola core competency-nya saja.
Tiga jenis pola pengelolaan di atas merupakan model dunia usaha dalam menyelenggarakan
aktivitasnya. Apapun bentuk pola tersebut, hal mendasar lain yang berkaitan dengan pola-pola
tersebut adalah bagaimana mengatur hubungan interorganisasinya sendiri. Lebih-lebih, walaupun
perusahaan saat ini cenderung hanya mengelola bisnis intinya namun di luar orbitnya juga
memiliki sejumlah perusahaan afiliasi atau bahkan membentuk suatu extended enterprise guna
berkongsi dengan perusahaan-perusahaan lain dalam meluncurkan produk baru.
Adalah suatu tuntutan beralasan dan logis untuk meningkatkan peran komunikasi manakala terjadi
kemandegan dalam suatu aktivitas pengelolaan perusahaan. Hal ini akan memperoleh pembenaran
jika kita menyimak apa kata Henry Clay – seorang pakar manajemen – yang berkata bahwa
“effective leadership means effective communication”. Komunikasi menjadi kunci yang cukup
efektif untuk mencairkan ancaman, gangguan, hambatan dan tantangan yang menghadang pada
proses manajemen, sehingga aktivitas pengelolaan perusahaan tetap berputar lancar. Komunikasi
dapat diwujudkan dalam berbagai cara dan media serta kiat-kiat manajemen maupun aktivitas
auditing.
Langkah-langkah Strategis Manajerial
Seiring dengan tuntutan penyelenggaraan manajemen perusahaan secara efektif dan efisien, maka
wajar pihak pengelola perusahaan melakukan sejumlah langkah besar guna menyikapi hal

3. ini. Langkah-langkah tersebut terdiri dari tiga kata kunci, yaitu: restrukturisasi, profitisasi dan
privatisasi. Ketiganya saling terkait karena yang satu menguatkan yang lain. Langkah-langkah
ini dapat dilakukan oleh suatu perusahaan, baik sebagai perusahaan induk maupun terhadap anak-
anak perusahaannya (afiliasi) guna membuka sekat-sekat birokrasi dan komunikasi.
Setyanto P. Santosa menyatakan bahwa restrukturisasi adalah upaya untuk meningkatkan posisi
daya saing perusahaan melalui penajaman fokus bisnis, perbaikan skala usaha dan penciptaan core
competencies. Selanjutnya beliau mendefinisikan bahwa profitisasi adalah upaya meningkatkan
secara agresif efisiensi perusahaan sehingga mencapai profitibilitas dan nilai perusahaan yang
optimal. Sedangkan privatisasi merupakan upaya peningkatan kegiatan penyebaran kepemilikan
perusahaan kepada masyarakat umum, swasta (baik nasional maupun asing) sehingga
memudahkan perusahaan untuk akses pada pendanaan, teknologi, manajemen modern dan pasar.
Langkah-langkah di atas perlu ditempuh seiring perubahan dinamis lingkungan bisnis sehingga
pada gilirannya perusahaan tersebut memiliki daya saing dan daya cipta tinggi untuk kemudian
akan mampu unggul di pasar global.
Langkah-langkah strategis di atas perlu dijalankan secara komprehensif, artinya dilakukan baik
pada tataran manajerial/ struktural maupun pada tataran kultural perusahaan. Tiga langkah besar
itu lebih banyak dialamatkan kepada tataran manajerial perusahaan. Perlu pula diupayakan
langkah-langkah besar dalam mengubah paradigma dunia usaha pada aspek-aspek kultural dan
spiritual perusahaan. Aspek kultural/ spiritual perusahaan dapat ditemukan pada – meminjam
istilah COSO framework – lingkungan kontrol (control environment) yang harus diupayakan
menjadi mumpuni, misalnya dalam pemerataan keadilan dalam memperlakukan sumber daya
manusia. Nabi Muhammad SAW dalam hal ini pernah menyatakan bahwa apabila suatu urusan
diserahkan kepada bukan ahlinya, maka tunggulah saat kehancurannya. Hal ini mudah dipahami
karena manusia merupakan aset paling utama dalam suatu perusahaan, sehingga apabila sumber
daya ini terganggu keseimbangannya dapat meruntuhkan sendi-sendi perusahaan itu sendiri.
Lingkungan kontrol perlu dibuat kondusif karena merupakan bagian soft control yang akan
menjadi acuan langkah-langkah taktis dan teknis berikutnya pada tataran struktural/ manajerial
(hard control).
Hubungan Induk dan Anak Perusahaan
Dalam kaitan penyelenggaraan aktivitas bisnis yang melingkupi sejumlah perusahaan dan
tergabung dalam sebuah grup yang lazim disebut holding company, Setyanto P. Santosa meyakini

4. bahwa grup tersebut bukan tujuan tetapi hanya alat untuk mencapai tujuan yakni pembentukan
perusahaan yang berdaya saing dan berdaya cipta tinggi.
Oleh karena grup perusahaan tadi hanyalah sebagai alat, maka Fauzi Arif mengingatkan bahwa
kesalahan dalam menerapkan manajemen proses pengendalian hubungan parent-subsidiary
corporation bisa menyebabkan kegagalan bisnis perusahaan. Untuk itu Ge Chen dan Xu Jinfa
dari Zhejiang University dalam papernya memperkenalkan 3 (tiga) langkah dalam manajemen
pengendalian yang efektif bagi hubungan parent-subsidiary corporations, yaitu:
1. Langkah persiapan (Preparation step)
Langkah ini menawarkan tiga prosedur utama yang harus dikendalikan oleh perusahaan induk
yaitu strategy control, investment control dan executive control. Strategy control merupakan
proses penentuan dan pemilihan strategi bagi pimpinan kedua perusahaan induk dan anak yang
terlibat dalam formulasi rencana-rencana jangka panjang dan strategis. Paling sedikit ada tiga hal
yang mengharuskan keterlibatan perusahaan induk melakukan hal ini yaitu:
· Profit-oriented, perusahaan induk menginvestasikan dananya demi memperoleh keuntungan.
· Function-oriented, perusahaan induk berinvestasi di anak perusahaan dengan tujuan
mempromosikan kompetensinya akan fungsi tertentu yang penting artinya bagi perusahaan induk
dalam rangka memelihara dan meningkatkan keunggulan kompetitifnya.
· Scale-oriented, perusahaan induk jelas ingin melebarkan sayapnya atau setidaknya pasar dan
yang lain.
Investment control merupakan pembuatan keputusan dalam hal investasi terutama menyangkut
nilainya dan pembagian dari saham. Nilai investasi yang tidak terkontrol akan bisa mengganggu
kinerja keuangan kedua perusahaan. Sedang executive control meliputi kejelasan siapa yang
bertanggung jawab terhadap management control di anak perusahaan.
2. Langkah eksekutif (Executive step)
Pada langkah ini anak perusahaan melakukan proses pengendalian mandiri sebagai suatu institusi
bisnis dan tetap berinteraksi dengan perusahaan induk. Namun perusahaan induk tetap harus
melakukan pengendalian yang efektif terhadap anak perusahaan melalui functional
control. Contoh langkah ini adalah pengendalian teknologi kunci seperti yang ditempuh Coca
Cola dengan melakukan pengendalian melalui formulanya. Atau contoh lain adalah pengendalian
pasokan yang dilakukan Philips dengan mengendalikan lebih dari 60% komponen yang
digunakan pabriknya di China.

5. 3. Langkah perbaikan (Revision step)
Langkah ini dapat merupakan konsekuensi dari apa yang dilakukan pada langkah pertama
sehingga mengharuskan perusahaan induk membuat keputusan berikutnya. Dalam hal ini
perusahaan induk dapat saja membuat keputusan apakah mengembangkan, mempertahankan atau
malah menutup anak perusahaan. Demikian pula, perusahaan induk dapat bertindak apakah
meningkatkan atau menurunkan nilai investasi atau membuat keputusan tentang mengganti atau
mempertahankan pimpinan anak perusahaannya.
Dalam menempuh langkah ketiga ini perusahaan induk harus menimbang posisinya terhadap anak
perusahaan, apakah sebagai pemegang saham tunggal atau hanya sebagai yang mempunyai hak
suara mayoritas/ minoritas.
Tentu saja ketiga langkah tersebut harus dilakukan dengan sistematis dan dengan pertimbangan
yang matang karena pengendalian yang terlalu kendor bisa membuat arah anak perusahaan
menyimpang dari arah perusahaan induk tetapi sebaliknya pengendalian yang kelewat ketat
membuat anak perusahaan menjadi tidak independen.
Auditing: Merekatkan Hubungan Induk dan Anak Perusahaan
Dalam memelihara hubungan tata kelola yang baik antar induk dan anak perusahaan, proses
auditing merupakan salah satu langkah yang cukup efektif. Permasalahannya adalah bagaimana
menciptakan sistem mekanisme audit yang komprehensif namun tetap memenuhi
kaidah reasonable assurance (jaminan yang wajar terhadap hasil audit dan dapat
dipertanggungjawabkan).
Sebagai perusahaan yang listing di Bursa Saham New York Stock Exchange, Telkom telah dengan
sigap mengikuti ketentuan Sarbanes-Oxley Act (SOX) khususnya pasal 302 dan 404. Implementasi
SOX dengan segala aturan turunannya dapat menjembatani pelaksanaan auditing secara lebih
akurat.
Standar audit no. 2 PCAOB (Public Company Accounting Oversight Board) yang kemudian
diamandemen menjadi no. 5 sebagai standar auditing yang menjadi acuan US SEC, misalnya,
mengharuskan pelaksanaan auditing secara terintegrasi (integrated audit) antara audit laporan
keuangan dan internal control over financial reporting (ICOFR). Standar ini menghendaki
pelaksanaan audit dilakukan secara komprehensif dan parallel antara kedua objek audit di atas, dan
pula semua unit bisnis di dalam perusahaan termasuk anak perusahaannya. Sesungguhnya standar
ini telah mendorong upaya pelaksanaan audit di seluruh jajaran perusahaan berjalan cepat, tepat

6. dan akurat. Namun di sisi lain, upaya ini akan menyedot sumber daya tidak sedikit. Maka langkah
taktis untuk mensiasatinya adalah melakukan setting terhadap siklus-siklus bisnis yang ada
dan menentukan proses-proses bisnis dan kontrol kunci sehingga lingkup audit terdefinisi lugas
dan tegas.
Langkah lain untuk optimalisasi kegiatan auditing adalah implementasi teknik self-
assessment. Dalam prakteknya self-assessment dapat dilakukan untuk memfasilitasi pelaksanaan
audit laporan keuangan atau sertifikasi sesuai section 302 SOX. Namun pula self-assessment dapat
dijalankan sebagai bagian integral dari pendekatan pengujian section 404 SOX atau yang lebih
dikenal dengan istilah control self-assessment (CSA). Ada sejumlah manfaat dengan penerapan
self-assessment dalam hal memperbaiki hubungan induk dan anak perusahaan dalam bidang
auditing, yaitu:
· Memacu ‘tone-at-the-top’ supaya tersampaikan kepada para pemilik proses
· Memperkuat akuntabilitas para pemilik proses terhadap proses bisnis dan kontrol-kontrol
kritis.
· Mengintegrasikan kegiatan control and risk assessment ke dalam praktek bisnis harian.
· Memperkuat analisis lintas unit bisnis, pelaporan, dan atribut lain yang harus mengalami
pengujian.
· Mereduksi biaya dengan menurunkan lingkup detail pengujian kontrol dan memfasilitasi
pengujian preliminary akhir tahun.
Dalam tataran praktek, self-assessment dapat mempercepat pelaksanaan audit terintegrasi dalam
Telkom grup. Mekanisme praktis yang dapat ditempuh sebagai berikut:
1. Self-assessment dilakukan oleh unit-unit bisnis pemilik proses secara periodik, misalnya per
triwulan. Unit-unit bisnis berada baik di induk maupun di sejumlah anak perusahaan. Objek self-
assessment terdiri dari laporan keuangan, proses bisnis atau significant controls. Objek ini harus
didesain sejalan dengan objek audit terintegrasi yang akan dilakukan setahun sekali. Oleh karena
itu sebelumnya harus dipetakan dahulu objek-objek tersebut berdasarkan kriteria yang standard
dan disepakati bersama oleh semua unit bisnis dan internal/ eksternal audit dengan berpedoman
kepada standar PCAOB. Hal ini perlu dilakukan dalam rangka mempercepat mekanisme audit
terintegrasi pada akhir tahun berikutnya.
2. Hasil self-assessment harus disahkan/ disertifikasi oleh masing-masing kepala unit bisnis
secara berjenjang (cascading).

7. 3. Secara periodik pula hasil self-assessment harus direview oleh internal audit.
4. Hasil review terhadap self-assessment harus dijadikan salah satu acuan pada saat akan
melakukan audit berkala per triwulan oleh internal auditor. Tentu saja internal auditor harus
melihat acuan lain dalam melakukan audit dengan mempertimbangkan unsur risiko supaya metode
yang dilakukan sesuai dengan pendekatan risk-based audit.
5. Dengan langkah-langkah di atas, pada menjelang akhir tahun dimungkinkan bahan-bahan
audit terintegrasi sudah tersedia lengkap. Artinya:
a. Data yang diperlukan auditor eksternal untuk keperluan audit, baik hasil review laporan
keuangan maupun hasil pengujian internal control berkala di masing-masing unit bisnis termasuk
anak perusahaan sudah tersedia.
b. Data pada butir a di atas sudah berstatus certified, reviewed dan bahkan audited oleh auditor
internal sehingga dapat mewujud sebagai Telkom’smanagement assertion.
c. Pada giliran auditor eksternal masuk, maka ia dapat memulai dengan me-review butir a dan
b di atas. Dengan begitu, auditor eksternal tidak memulai kegiatan audit terintegrasi dari
nol. Bahwa auditor eksternal tidak akan mempercayai semua data baku di atas adalah mungkin
saja, sehingga ia akan melakukan uji petik di lapangan. Namun dengan kesiapan data audit seperti
demikian, akan melancarkan pihak auditee maupun auditor sehingga nantinya kegiatan auditing
berjalan cepat, tepat dan akurat.
Guna terselenggaranya pelaksanaan integrated audit yang cepat dan akurat, hal lain yang perlu
ditimbang untuk perbaikan di area internal audit sendiri, diantaranya:
ü Strategic Direction
 Peran dan lingkup internal auditor perlu pendefinisian ulang sehingga eksistensi IA
‘diperlukan’ kehadirannya di perusahaan.
 Perbaikan struktur organisasi internal auditor sehingga jalur pelaporan dan pengelompokkan
fungsi mendukung mekanisme auditing yang cepat dan akurat.
 Pengembangan ekspektasi / tinjauan atas peran internal auditor dimasa mendatang
 Mengkaji orientasi serta nilai tambah bagi obyek audit
ü Methodology, Technology & Knowledge

8.  Metode pengkajian risiko yang handal
 Proses perencanaan audit
 Strategi pelaksanaan audit, termasuk pendekatan, dokumentasi, dan pengendalian mutu
 Komunikasi dan strategi pelaporan dan pemantauan tindak lanjut
 Penggunaan teknologi dalam pelaksanaan audit
 Knowledge practice untuk meningkatkan efisiensi kerja internal auditor.
ü People
 Kualifikasi dan kompetensi sumber daya manusia internal auditor
 Evaluasi kinerja dan program pelatihan.
Kesimpulan
Membina hubungan induk dan anak perusahaan harus dilakukan dengan membina komunikasi
yang baik antara keduanya. Prinsip keadilan dalam arti menempatkan segala sesuatu pada
tempatnya adalah upaya lain guna terjadinya komunikasi yang seimbang. Kiat-kiat manajemen
yang akan ditempuh dalam mengelola anak perusahaan harus tetap dijalankan dengan prinsip-
prinsip keadilan, misalnya dengan menimbang komposisi kepemilikan saham perusahaan induk.
Aktivitas auditing adalah metode cukup efektif untuk membangun hubungan kerja antara induk
dan anak perusahaan. Di Telkom group, pendekatan audit yang dapat ditempuh adalah standar-
standar yang ditentukan oleh PCAOB. Dalam standar tersebut telah diatur mekanisme integrated
audit laporan keuangan dan pelaksanaan internal control over financial reporting. Dengan
ditambah mekanisme self-assessment, pelaksanaan audit di Telkom group dapat dilaksanakan
secara cepat, tepat dan akurat.

9. Apa yang saudara ketahui tentang 3 point di bawah ini dan kaitannya dengan Internal
control over financial reporting: implementasi dan desain ICoFR :
1. COSO Integrated Framework.
2. Entity level control (ELC) and transactional level control (TLC).
3. Siklus dalam desain dan implementasi ICoFR.
1. COSO Integrated Framework
Sistem pengendalian intern yang dianut pemerintah Indonesia salah satunya diadopsi dari COSO
(Commitee of Sponsoring Organization of Treadway Commision) yaitu komisi yang bergerak di
bidang manajemen organisasi. Tujuan dari Sistem Pengendalian Intern secara umum akan
membantu suatu organisasi mencapai tujuan operasional yaitu efektifitas dan efisiensi kegiatan,
keterandalan laporan keuangan, dan kepatuhan pada peraturan yang berlaku. Sistem Pengendaian
Intern perlu diketahui oleh seluruh komponen organisasi karena sistem ini merupakan sistem yang
terintegrasi dan merupakan tanggung jawab bersama untuk mewujudkan tujuan organisasi.
Kerangka Pengendalian Internal-Terpadu COSO 2013 diterbitkan pada tahun 1992 oleh COSO.
Kemudian pada tanggal 14 Mei 2013, COSO merilis versi terbaru dari Kerangka Pengendalian
Internal-Terpadu. Kerangka baru COSO adalah hasil dari proyek multitahunan yang signifikan,
termasuk dua putaran paparan publik untuk meninjau, menyegarkan, dan memodernisasi kerangka
asli dengan memastikannya tetap relevan.
Para regulator dan stakeholder mempunyai ekspektasi tinggi mengenai pengawasan tata kelola,
manajemen risiko, dan pendeteksian serta pencegahan penyelewengan (fraud). Sementara
kemajuan telah dibuat dalam menghubungkan manajemen risiko dan praktik pengendalian internal
dalam mengejar tujuan strategis organisasi. Banyak perubahan sejak tahun 1992, peningkatan
risiko bisnis secara signifikan, sehingga kebutuhan akan
kompetensi dan akuntabilitas jauh lebih besar dari sebelumnya. Perbedaan dari kerangka
tahun 1992 :

10. • Kerangka asli termasuk diskusi panjang konsep pengendalian internal, yang sekarang
pengetahuan institusional.
• Meskipun konsep prinsip-prinsip pengendalian internal telah tertanam dalam kerangka asli,
prinsip tersebut belum terinci.
• Praktisi telah menggunakan kerangka pengendalian internal atas pelaporan keuangan
eksternal, namun kerangka ini meliputi tiga kategori utama, yaitu : tujuan termasuk operasi,
pelaporan secara keseluruhan, dan tujuan kepatuhan.
Dengan demikian, prinsip-prinsip yang mendasari perampingan kerangka asli yaitu:
1. meningkatkan fokus pada operasi,
2. pelaporan keuangan noneksternal, dan
3. tujuan kepatuhan.
Menurut COSO, “Pengendalian internal adalah suatu proses yang dilakukan oleh dewan entitas
direksi, manajemen, dan personil lainnya; dirancang untuk memberikan keyakinan memadai
tentang pencapaian tujuan yang berkaitan dengan operasi, pelaporan, dan kepatuhan.”
Kerangka pengendalian internal tahun 2013 masih menggunakan tiga kategori tujuan tersebut, dan
terdiri dari lima komponen terpadu : lingkungan pengendalian, penilaian risiko, aktivitas
pengendalian, informasi dan komunikasi, serta pemantauan. Kerangka tersebut terus beradaptasi,
dan memungkinkan kita untuk mempertimbangkan pengendalian internal dari entitas, divisi, unit
operasi, dan/atau tingkat fungsional, misalnya pusat layanan bersama.

11. Komponen Pengendalian Internal dalam Kerangka COSO 2013
Ada 17 prinsip-prinsippengendalian internal dalam komponen pengendalian
internal, yaitu:
Lingkungan Pengendalian
Lingkungan pengendalian adalah kondisi yang dibangun dan diciptakan dalam suatu organisasi
yang akan mempengaruhi efektivitas pengendalian. Kondisi lingkungan kerja dipengaruhi oleh
beberapa hal, yaitu adanya penegakan integritas dan etika seluruh anggota organisasi, omitmen
pimpinan manajemen atas kometensi, kepemimpinan manajemen yang kondusif, pembentukan
struktur organisasi yang sesuai dengan kebutuhan, pendelegasian wewenang dan tanggung jawab
yang tepat, penyusunan dan penerapan kebijakan yang sehat tentang pembinaan sumber daya
manusia, perwujudan peran aparat pengawasan yang efektif, dan hubungan kerja yang baik dengan
pihak ekstern.
1. Menunjukkan komitmen terhadap integritas dan etika nilai-nilai.
2. Tanggung jawab pengawasan pelatihan.
3. Menetapkan struktur, wewenang, dan tanggung jawab.
4. Menunjukkan komitmen untuk berkompetensi
5. Meningkatkan akuntabilitas
Penilaian Risiko
Risiko merupakan hal-hal yang berpotensi menghambat tercapainya tujuan. Identifikasi terhadap
risiko (risk identification) diperlukan untuk mengetahui potensi-potensi kejadian yang dapat
menghambat dan menghalangi terwujudnya tujuan organisasi. Setelah dilakukan identifikasi maka
dilakukan analisis terhadap risiko meliputi analisis secara kuantitatif (quantitative risk analysis)
dan kualitatif (qualitative risk analysis). Analisis risiko akan menentukan dampak kejadian, serta
merupakan input untuk mendapatkan cara mengelola risiko tersebut.

12. 6. Menentukan tujuan yang sesuai.
7. Mengidentifikasi dan menganalisis risiko.
8. Menilai risiko penyelewengan (fraud)
9. Mengidentifikasi dan menganalisis perubahan yang signifikan.
Aktivitas Pengendalian
Kegiatan pengendalian adalah tindakan yang diperlukan untuk mengatasi risiko, menetapkan dan
melaksanakan kebijakan serta prosedur, serta memastikan bahwa tindakan tersebut telah
dilaksanakan secara efektif. Tindakan-tindakan yang dilakukan untuk mengatasi risiko dapat
dibagi menjadi 2 jenis tindakan yaitu tindakan preventif dan tindakan mitigasi. Tindakan preventif
adalah tindakan yang dilakukan sebelum kejadian yang berisiko berlangsung, sedangkan tindakan
mitigasi adalah tindakan yang dilakukan setelah kejadian berisiko berlangsung, dalam hal ini
tindakan mitigasi berfungsi untuk mengurangi dampak yang terjadi. Tindakan-tindakan tersebut
juga harus dilakukan evaluasi sehingga dapat dinilai keefektifan serta keefisienan tindakan
tersebut.
10. Memilih dan mengembangkan kegiatan pengendalian
11. Memilih dan mengembangkan kontrol umum atas teknologi.
12. Menyebarkan melalui kebijakan dan prosedur.
Informasi dan Komunikasi
Informasi adalah data yang sudah diolah yang digunakan untuk pengambilan keputusan dalam
rangka penyelenggaraan tugas dan fungsi organisasi. Informasi yang berkualitas tentunya harus
dikomunikasikan kepada pihak-pihak yang terkait. Penyampaian informasi yang tidak baik dapat
mengakibatkan kesalahan interpretasi penerima informasi.
13. Menggunakan informasi yang relevan.
14. Berkomunikasi secara internal
15. Berkomunikasi eksternal

13. Monitoring
Pemantauan (monitoring) adalah tindakan pengawasan yang dilakukan oleh pimpinan manajemen
dan pegawai lain yang ditunjuk dan bertanggung jawab dalam pelaksanaan tugas sebagai penilai
terhadap kualitas dan efektivitas sistem pengendalian intern. Pemantauan dapat dilakukan dengan
3 cara yaitu pemantauan berkelanjutan (on going monitoring), evaluasi yang terpisah (separate
evaluation), dan tindak lanjut atas temuan audit.
16. Melakukan evaluasi berkelanjutan dan/atau terpisah.
17. Mengevaluasi dan mengkomunikasikan kelemahan.
Lima Langkah Transisi Dari Kerangka COSO 1992 Ke Kerangka COSO 2013
1. Mengembangkan Kesadaran, Keahlian, dan Keselarasan
Langkah pertama dalam transisi ke Kerangka COSO 2013 adalah dengan membangun kesadaran
internal, keahlian pengguna COSO, dan keselarasan kepemimpinan di perusahaan. Untuk itu kita
harus memahami Kerangka COSO 2013.
2. Penilaian Dampak Awal
Setelah memahami kerangka COSO 2013, kita perlu melakukan penilaian bagaimana dampak
transisi itu. Mungkin faktor paling signifikan yang mempengaruhi transisi dari versi 1992 sampai
versi 2013 adalah bagaimana manajemen yang sesungguhnya diterapkan dengan baik.
3. Memfasilitasi Kesadaran, Pelatihan, dan Penilaian Komprehensif
Langkah 1 dan 2 terbatas hanya pada perusahaan. Langkah ketiga ini mensyaratkan terlibat
organisasi yang lebih luas untuk membangun kesadaran dan melakukan pressure test penilaian
dampak awal yang dilakukan pada langkah ke dua. Kita harus memfasilitasi kesadaran untuk
memperbarui Kerangka Kerja COSO. Kita juga harus mendiskusikan dampak kerangka kerja
COSO 2013 dengan auditor eksternal perusahaan, selain itu pelatihan mendalam mungkin
diperlukan.

14. 4. Mengembangkan dan Menjalankan Rencana Transisi COSO
Setelah kita membangun kesadaran yang luas mengenai pembaharuan kerangka COSO,
memperoleh keselarasan kepemimpinan dan dukungan pada waktu transisi, serta menyelesaikan
penilaian dampak komprehensif, maka kemudian kita mengembangkan dan melaksanakan rencana
transisi perusahaan kita. Harus realistis antara harapan dan rencana. Ketika kita mengeksekusi
rencana transisi, kita akan melewati tiga tahap, yaitu:
a. Dokumentasi dan Evaluasi
Kita perlu memperbarui format dari dokumen yang mendasari perusahaan, menyelaraskan ke
pemetaan baru yang diciptakan dalam langkah dua. Dokumentasi yang mendasari harus
mendukung manajemen dalam membuat suatu keputusan. Kita juga harus mengevaluasi desain
kontrol yang mendasari dan meningkatkan desain sesuai kebutuhan.
b. Validasi Pengujian dan Gap (Kesenjangan) Remidiasi
Setelah kontrol perusahaan mengenai pelaporan keuangan eksternal dan pengungkapan efektif,
kita perlu melakukan pengujian validasi untuk memastikan kontrol ini telah diimplementasikan
dan beroperasi seperti yang diharapkan.
c. Review Eksternal dan Pengujian
Di beberapa titik, auditor eksternal perlu menilai dan mendapatkan kenyamanan dengan program
COSO 2013 dan dokumentasi pendukung.
5. Memacu Peningkatan Berkelanjutan
Setelah transisi untuk Kerangka COSO 2013 selesai, kita harus terus-menerus mendorong
perbaikan setelah transisi tersebut. Mereka yang saat ini masih menggunakan COSO versi 1992
harus menyelesaikan transisi mereka ke versi 2013 paling lambat 15 Desember 2014, di mana
kerangka asli akan dianggap digantikan.

15. 2. Entity level control (ELC) and Transactional level control (TLC)
Ruang lingkup pengendalian terbagi dalam dua level, yaitu entity level control (pengendalian
tingkat entitas) dan activity/transactional level control (pengendalian tingkat aktivitas/transaksi).
Perbandingan antara kedua level tersebut ialah sebagai berikut :
• Entity level control (ELC)
Kegiatan pengendalian ini umumnya beroperasi pada tingkat perusahaan atau manajemen puncak
pengambil keputusan strategis. Level ini memiliki jangkauan atau kewenangan pengendalian yang
lebih tinggi dari activity level, dan bisa mempengaruhi kegiatan pada activity level, misalnya
kebijakan perusahaan.
Proses identifikasi yang relevan entitas-tingkat kontrol dapat dimulai dengan pemantauan, dan
informasi dan komunikasi).diskusi antara auditor dan karyawan yang sesuai untuk atas pelaporan
keuangan (yaitu, lingkungan pengendalian, penilaian risiko, aktivitas pengendalian,pemantauan,
dan informasi dan komunikasi). Sementara mengevaluasi entitas tingkat kontrol, auditor mungkin
mengidentifikasi kontrol yang mampu mencegah atau mendeteksi salah saji dalam laporan
keuangan. Itu periode-end proses pelaporan keuangan dan pemantauan manajemen terhadap hasil
operasi merupakan sumber potensial dari kontrol tersebut.
Contoh dalam DJP:
Kegiatan pengendalian atas pelaksanaan salah satu program DJP, yaitu “Knowing Your Tax
Payer” dimana ini merupakan kebijakan DJP dalam mengintensifkan penerimaan pajak, sehingga
munculnya satu fungsi baru yaitu account representative.
Pengaruh Entity-Level Controls pada Pengujian Kontrol Lain
Evaluasi auditor entitas tingkat kontrol dapat menghasilkan peningkatan atau mengurangi
pengujian bahwa auditor jika tidak mungkin dilakukan pada lain kontrol.

16. Sebagai contoh, jika auditor telah merancang pendekatan audit dengan harapan tertentu entitas
tingkat kontrol (misalnya, kontrol dalam lingkungan pengendalian) akan efektif dan mereka
kontrol tidak efektif, auditor dapat mengevaluasi kembali merencanakan pendekatan audit dan
memutuskan untuk memperluas prosedur audit nya. Di sisi lain, evaluasi auditor dari beberapa
entitas tingkat kontrol dapat menghasilkan pengurangan nya atau pengujian nya kontrol lain,
seperti kontrol lebih sesuai pernyataan yang relevan. Tingkat dimana auditor mungkin dapat
mengurangi pengujian kontrol atas pernyataan yang relevan dalam kasus tersebut tergantung
padapresisi dari entitas-tingkat control.
• Activity/transactional level control (TLC)
Kegiatan pengendalian pada level ini lebih berhubungan dengan pelaksanaan proses bisnis atau
transaksi dari bagian dalam suatu organisasi. Level ini memiliki kewenangan yang lebih rendah
dari entity level control, dan dapat dipengaruhi kebijakan dalam entity level control.
Contoh dalam DJP:
Pemantauan atas kinerja account representative dalam mengintensifkan penerimaan perpajakan.
3. Siklus dalam desain dan implementasi IcoFR
ICoFR Cycle

17. 1. Adjusting financial reporting risk
Tahap pertama dalam siklus IcoFR adalah penyesuaian atau penelaahan terhadap risiko pelaporan
keuangan. Dalam tahap ini, pihak manajemen akan mengidentifikasi risiko-risiko apa saja yang
mungkin akan timbul dalam pelaporan keuangan sebuah perusahaan.
2. Adjust & implementat controls
Tahap kedua dalam siklus IcoFR adalah implementasi dan penyesuaian terhadap pengendalian.
Dalam tahap ini, pihak manajemen akan melakukan penyesuaian antara risiko dan
pengendaliannya. Dari risiko-risiko yang telah diidentifikasi oleh pihak manajemen dalam tahap
pertama, maka pihak manajemen akan membuat suatu pengendalian yang sesuai dengan risiko
yang telah diidentifikasi. Selanjutnya, pengendalian tersebut akan diterapkan dalam perusahaan
tersebut.
3. Control remediation
Tahap selanjutnya dalam siklus ICoFR adalah pengendalian. Tahap ini juga dapat dikatakan
sebagai tahap monitoring. Pihak manajemen akan melakukan pengawasan dan pengendalian
terhadap pengendalian-pengendalian apa saja yang telah diterapkan di dalam perusahaan tersebut.
4. Identifikasi & manage changes
Tahap terakhir dalam siklus ICoFR adalah identifikasi perubahan. Setelah ICoFR diterapkan
dalam perusahaan tersebut, maka pihak manajemen akan mengidentifikasi
perubahan-perubahan apa saja yang terjadi. Tahap ini juga dapat dikatakan sebagai tahapan
review.
Desain, implementasi, dan evaluasi pengendalian harus disesuaikan dengan ukuran dan pelaporan
risiko perusahaan. Merancang dan memelihara ICFR secara efektif menjadi lebih menantang

18. karena ukuran bisnis dan ruang lingkup kegiatannya meningkat. Pada saat yang sama, perusahaan-
perusahaan yang lebih kecil juga mungkin menghadapi beberapa masalah kesulitan
pengendalian/kontrol. Sebagai contoh, risiko manajemen dapat lebih besar dalam sebuah
organisasi yang lebih kecil di mana pejabat-pejabat perusahaan memiliki keterlibatan langsung
dengan operasi dan dengan pencatatan transaksi. Selain itu, perusahaan kecil mungkin tidak
memiliki personel yang cukup untuk sepenuhnya melaksanakan pemisahan tugas di semua proses.
Namun demikian, perusahaan publik yang lebih kecil masih harus menerapkan system kontrol
yang akan menyediakan keyakinan yang memadai bahwa laporan keuangan yang disusun sesuai
dengan GAAP dan bebas dari salah saji material.
Manajemen Pelaporan pada Efektivitas ICFR
Pasal 404 dari Undang-Undang Sarbanes-Oxley membutuhkan (dengan pengecualian tertentu)
semua perusahaan public setiap tahunnya menilai efektivitas ICFR dan melaporkan hasilnya.
Manajemen juga memiliki tanggung jawab untuk mengungkapkan perubahan yang signifikan
untuk sistem ICFR dalam laporan kuartalannya. Disiplin melakukan penilaian ICFR, ditambah
dengan persyaratan untuk melaporkan hasil dalam pengajuan publik, membuat investor
meningkatkan kepercayaan keandalan laporan keuangan. Dalam melakukan penilaian, manajemen
harus menentukan apakah telah menerapkan kontrol yang memadai, mengatasi risiko bahwa salah
saji material dalam laporan keuangan perusahaan apakah dapat dicegah atau dideteksi secara tepat
waktu dan apakah control terkait operasi secara efektif. Penilaian manajemen terhadap ICFR bias
mengambil secara top-down, pendekatan berbasis risiko. Dalam pendekatan itu, manajemen
pertama-tama berfokus pada control entitas dan kemudian pada pos penting dan proses yang
signifikandan, akhirnya, pada kegiatan pengendalian. Sementara penilaian manajemen harus
mencakup ICFR perusahaan secara keseluruhan, harus mencurahkan perhatian terbesar bagi area-
area yang menimbulkan risiko tertinggi untuk pelaporan keuangan yang dapat diandalkan.

19. ICFR dan Auditor
Pasal 404 dari Undang-Undang Sarbanes-Oxley mensyaratkan perusahaan public memiliki
laporan auditor independen pada efektivitas ICFR.Di bawah standar PCAOB, audit ICFR dan audit
keuangan yang terintegrasi - yaitu, baik audit dilakukan sebagai tunggal, maupun proses saling
menguatkan,.Karena kekhawatiran tentang biaya audit ICFR bagi perusahaan dengan sumber daya
yang terbatas, hasil. Kongres telah membebaskan (perusahaan publik yang lebih kecil, dan
perusahaan publik yang baru) dari persyaratan bahwa auditor perusahaan itu menyatakan pendapat
atas efektivitas ICFR. Namun, dalam audit laporan keuangan auditor masih memerlukan sebagai
bagian dari penilaian risiko audit, untuk mendapatkan pemahaman masing-masing komponen
ICFR perusahaan.Sementara auditor tidak memerlukan untuk menguji internal control dalam audit
tersebut, jika auditor menyimpulkan bahwa ada kelemahan secara material atau kekurangan yang
signifikan dalam kontrol, kelemahan atau kekurangan harus dilaporkan secara tertulis kepada
manajemen dan komite audit.

20. Daftar Pustaka
1. Ahituv, Niv; Neumann, Seev; Riley, H. Norton. Principles of Information Systems for
Management. Dubuque, IA: Wm C. Brown Communications, Inc; 1994.
2. Arif, Fauzi. “Tiga Langkah Proses Pengendalian Anak Perusahaan.” World Wide Web.
Diakses pada 18 April 2007.
http://ipoms.web.id/j/index.php?option=com_content&task=view&id=12&Itemid=33
3. AUDITING STANDARD No. 2 – “An Audit of Internal Control Over Financial Reporting
Performed in Conjunction with An Audit of Financial Statements”. Public Company Accounting
Oversight Board. March 9, 2004.
4. Current State Assessment Report. Internal Audit Group. PT. Telekomunikasi Indonesia Tbk,
2005.
5. John Champ; Chris Cebula. “Tactics to rebalance your internal audit functions”. Protiviti.
2006.
6. Lynda M. Applegate; F. Warren McFarlan; James L. McKenney. Corporate Information
Systems Management: Text and Cases, fourth edition. Irwin Mcgraw-Hill Companies, Inc.; 1996
7. Santosa, Setyanto P; Pembentukan Holding Company BUMN Peluang dan Tantangan.
Makalah. Jakarta, 9 Agustus 1999.