Evaluating Internal Control : Sections 404 Assessment

1. Assessments Of Internal Controls After The Sarbanes-Oxley Act

Evaluasi internal control telah menjadi sebuah tugas fundamental internal audit
sejak awal adanya internal audit. Meskipun pendekatan bahasa dan audit yang disarankan
telah berubah, evaluasi internal control telah menjadi sebuah topik dalam dekade terakhir.
Banyak kelompok internal audit mulai untuk bereksperimen dengan menggunakan COSO
sebagai alat evaluasi internal control yang baik setelah COSO di terbitkan.
Evaluasi internal control yang dilakukan external auditor mendapat kritikan yang
banyak selama Sarbanes-Oxley Act dipakai. Kekhawatirannya adalah external auditor
akan mengevaluasi dan menilai internal control dalam lingkungan sebuah sistem milik
klien atau proses dan kemudian akan kembali untuk melakukan prosedur audit mereka
berdasarkan hasil evaluasi internal control tersebut. Jika evaluasi internal control tidak
menemukan masalah yang signifikan dalam beberapa prosesnya, external auditor dapat
mengurangi tingkat pengujian mereka melalui keandalan pada evaluasi internal control
tersebut. Dalam rangka tidak menggali terlalu dalam, auditor sering memberi sebuah jalan
yang tidak pasti pada evaluasi internal control itu dalam rangja membuat proses audit
menjadi agak mudah. Praktik menjadi sebuah masalah yang besar karena kekhawatiran
atas indepedensi ketika konsultannya berasal dari perusahaan yang sama dengan auditor
eksternalnya dalam mengevaluasi internal controlnya, diikuti juga dengan proses auditing
mereka.
Semua masalah ini dipecahkan dan diubah secara signifikan sebagai bagian dari
SOA Section 404. Ini section yang penting karena secara esensi menyatakan bahwa
external auditor tidah dapa t mengevaluasi internal control pada sistem dan proses yang
sama yang sedang mereka audit. Pihak lain (Seperti manajemen) harus melakukan
evaluasi internal control yang aktual dan external audtior kemudia secara beurutan
mengevaluasi dan membuktikan terhadap hasil dari evaluasi independen dari internal
control tersebut.
2. SOA Section 404
Setelah banyak spekulasi pada bagaimana sesuatu akan berakhir, the Public
Company Accounting Oversight Boards (PCAOB) mengeluarkan aturan akhir pada audit
internal control terhdapa pelaporan keuangan yang diterbitkan pada Maret 2004. SOA 404
membutuhkan sebuah laporan internal control tahunan untuk perusahaan terdaftar,
sebagai bagian dari pelaporan keuangan SEC, yang mana:

1. Menyatakan pertangunggjawaban manajemen untuk membangun dan menjaga

sebuah struktur internal control dan prosedur yang memadai untuk pelaporan
keuangan
2. Berisikan sebuah penilaian, sebagai akhir tahun fiskal yang terbaru, efektifitas
struktur internal control dan prosedure dari pelaporan keuangan
Sebagai tambahan, perusahaan akuntansi publik yang menerbitkan laporan
pendukung audit (Supporting report) di butuhkan untuk mengaudit dan laporan prose
yang mengarah kepada penilaian manajemen terhadap internal financial control. Sebuah
pembuktian dibuat dibawah pasal ini akan dibuat berdasarkan dengan standar untuk
pembuktian penerbitan perjanjian.
Manajemen sekarang diminta untuk melaporkan kualitas dari internal control
mereka, dan perusahaan akuntansi publik bertanggung jawab atas audit financial
statement harus membuktikan terhadap laporan internal accounting control.
Sekarang dengan adanya SOA Section 404, manajemen bertanggung jawab untuk
mendokumentasi dan menguji internal financial control mereka dalam rangka untuk
mnyiapkan sebuah laporan terhapad efektifitas mereka. External auditor sekarang akan
mengevaluasi supporting materials yang mengarahkan kepada laporan internal financial
control untuk menilai bahwa laporan adalah akurat.
Kepada non-auditor, ini mungkin muncur menjadi sebuah ketidakjelasan atau
persyaratan yang sepele. Bahkan beberapa internal auditor yang spesialisasi utamanya
pada evaluasi operasional audit mungkin bertanya-tanya tentang perubahan dalam proses
ini.
a. Launching the Section 404 Compliance Review: Identifying Key Processes
Setiap organisasi mengunakan sebuah rangkaian proses untuk menjalankan
aktifitas normal bisnisnya. Beberapa mungkin ada yang menggunakan sistem
otomatis, beberapa menggunakan prosedur manual yang dilakukan pada basis
reguler, sedangkan diantaranya ada yang gabungan.
Sebuah langkah awal dalam Section 404 review adalah untuk organisasi
menentukan dan menjelaskan proses akuntansi nya. Sebuah langkah awal disini
adalah membuat kepastian bahwa semua pihak mempunya sebuah pemahaman
yang jelas tentang apa yang dimaksud oleh sebuah proses. Kita dapat mengartikan

proses sebagai sebuah rangkaian tindakan yang rinci untuk mencapai sebuah hasil,
seperti prosedur dalam memperoleh SIM.
Untuk beberapa organisasi, internal audit telah menentukan key processes mereka
melaui proses annual internal audit planning mereka. Setelah berdiskusi dengan
manajemen dan dengan external auditor yang tahu tentang organisasi, daftar ini
membentu sebuah dasar, atau titik awal untuk evaluasi internal control
kedepannya.
b. Launching the Section 404 Compliance Review: Internal Audits Role
Peran internal audit dalam Section 404 review dalam sebuah organisasi dapat
mengambil beberapa bentuk sebagai berikut:
1. Internal audit dapat mengambil langkah dalam melaksanakan Section 404 revoews
dengan mengidentifikasi key processes, mendokumnetasi internal control mereka, dan
melaksanakan uji coba atas control tersebut. Internal audit akan diikuti sebuah format
dokumentasi yang konsisten dengan external auditor mereka tetapi akan dilakukan
perkerjaan ini secara terpisah.
2. Internal audit dapat bertindak sebagai sebuah sumber untuk mendukung external auditor
mereka dalam mengevaluasi hasil dari pekerjaan Section 404. Pendekatan in akan
mengurangi biaya external audit.
3. Internal audit dapat bekerja dengan dan membantu sumber daya perusahaan lain yang
bertanggungjawab atas Section 404 reviews tetapi tidak secara langsung di ikut sertakan
dengan melaksanakan evaluasi.
Section 404 reviews adalah sebuah proses tahunan dan sebuah organisasi dan
fungsi internal audit nya dapat mengubah strategi dimasa depan. Tidak ada aladan
mengapa dtrategi dipilih akan menjadi sama disetiap tahun kedepan.
c. Launching the Section 404 Compliance Review: Organizing the Project
Sebuah fungsi internal audit harus memulai Section 404 review nya dengan

meluncurkan sebuah proyek yang formal dan khusus. Proyek tersebut diluncurkan
dengan langkah-langkah berikut:
1. Organize the Section 404 Compliance Project Approach. Menugaskan sebuah
tim proyek untuk memimpin. Seorang eksekutif senior seperti CFO akan
bertindak sebagai project sponsor dengan sebuah tim dengan internal dan
eskternal.
2. Develop a Project Plan. The internal financial controls compliance project
harus baik dalam proses utama terhadap keuangan perusahaan akhir tahun.
Ketika rencana yang ada dapat diperbaharui dalam tahun selanjutnya, akan ada
sebuah tantangan besar pada awal tahunnya. Rencana harus fokus pada area

yang signifikan dari operasional organisasi dengan melingkupi semua unit

bisnis. Contoh tabel Hal 129.
3. Select Key Processes for Review. Setiap perusahaan menggunakan atau
bergantung pada sebuah prose keuangan dan operasional yang luas. Kita telah
menggunakan bahawa proses sebagai lawan terhadap sistem karena yang
terakhir sering digunakan hanya untuk proses otomatis.
4. Document Selected Process Transaction Flows. Tahap selanjutnya, dan yang
terpenting, adalah menyiapkan dokumentasi aliran transaksi (trasaction flow)
untuk key processe.
5. Identify, Document, and Test Key Internal Controls. Ini dapat menjadi sebuah
usaha yang besar. Menggunakan beberapa bentuk dari analisa yang kritis,
proses key organizational internal financial controls akan di ketahui,
perbedaan diuji dan hasil didokumentasi.
6. Assess Selected Process Risks. Ketika sebuah organisasi telah menentukan
dan mendokumentasikan key processes nya, tahap selanjutnya dalah menilai
resiko untuk menentukan apa yang mungkin terjadi kesalahan.
7. Assess Control Effectiveness through Approproate Test Procedures. Seorang
internal auditor atau pengevaluasi lainnya terkadang dapat menentukan kontrol
yang cocok yang tidak efektif. Dalam kasus ini, kesimpulan dari penilaian
harus didokumentasikan, didiskusikan dengan pemilik dan sebuah rencana
tindakan untuk memperbaikin tindakan untuk meningkatkan kontrol.
8. Review Compliance Results with Key Stakeholders. Senior financial dan
excecutive management akan bertangungg jawab untuk laporan Section 404.
9. Complete Report on the Effectiveness of the Internal Control Structure. Ini
adalah tahap terakhir dalam Section 404. Proses dokumentasi disini sama
dengan proses audit keuangan, dimana hasil disalin ke kertas kerja.

3. Internal Control Review Process: Importance Of Financial Assertions

Konsep yang luas dari penilaian financial statement dipecah menjadi beberapa
tingkatan. Konsep penilaian ini digunakan oleh external auditor adalah cara yang baik
untuk mengetahui beberapa resiko sebagai berikut:
- Existence. Semua hal dalam laporan harus ada pada waktu dievaluasi. Contoh,
melakukan sebuah physical inventory.
- Occurence. Mencatat transaksi harus pada terjadinya peristiwa tersebut.
- Completness. Semua peristiwa selama pelaporan harus telah di akui.
- Rights and Obligations. Pencatatan aset dan liability dapat dipercaya pada waktu
itu.

- Valuations of Accounts. Semua transaksi harus dicatat dengan jumlah yang cocok
dan akun yang tepat.
- Presentations and Disclosures. Item dalam financial statement di jelaskan dengan
jelas.
4. Control Objective And Risks Under Section 404
a. Developing an Internal Controls Matrix
Sebuah matrik tabel yang mendukung diagram grafik adalah sebuah cara yang efektif
untuk kontrol proses dokumentasi sebagaimana untuk meluruskan tahapan yang
dibutuhkan untuk mengelompokan dan menilai kontrol yang berhubungan dengan
proses. Contoh matrix hal 140.
Berikut sebuah contoh dari proses yang berhubungan dengan akuntansi, seperti bagan
dapat diatur berdasarkan kolom sebagai berikut:
1. Summarized Control Points. Sebuah paragraf yang menceritakan setiap control
points. Penjelasan setiapnya harus ringkas dengan informasi yang cukup.
2. Associated Risks. Sebuah kolom tentang risiko yang berhunbungan denga tiaptiap kontrol.
3. Related Assertions. Penilaian financial dan internal control adalah yang
didiskusikan sebelumnya. Dalam penilaian Existence dan Completeness,
manajemen biasanya mengharapkan semua transaksi telah dicatat.
4. Control Type. Untuk tujuan dokumentasi dan pemahaman, setiap tipe dari kontrol
harus diketahui. Contoh:
a. Manual. Kontrol di telaah secara manual oleh seorang atau sebuah
grup individu, seperti rekonsiliasi bulanan.
b. Application. Kontrol ini mungkin berisikan program yang khusus
untuk proses atau mengedit sebuah transaksi.
c. Preventive. Tipe ini biasanya digunakan untuk setiap transaksi selama
aliran normal untuk mencegah error
d. Detective. Tipe ini digunakan diluar dari aliran normal transaksi.
5. Control critically. Berdasarkan sifat setiap kontrol, hubungan risiko dan tipe
kontrol. Pembagiannya:
a. High. Ini adalah desain kontrol yang signifikan untuk mencegah atau
mendeteksi risiko dari tidak terdeteksi.
b. Medium. Kontrol ini tidak signifikan dan tidak mencegah risiko dari
tidak terdeteksi.
b. Testing Section 404 Internal Controls.
Pengujian Internal control, atau disebut juga dnegan audit sampling, dibahas pada
chapter 16. Apakah untuk SOA Section 404 atau untuk tugas internal audit lainnya,

pengujian adalah keahlian yang penting dalam internal audit. Hasil dari pengujian
adalah perlu untuk memastikan internal control berjalan dengan efektif seperti yang
diceritakan.
5. Disclosure Committee And Keeping Section 404 Current
SEC telah merekomendasikan perusahaan yang memakasi SOA untuk membuat
sebuah komite pengungkapan untuk menimbang informasi yang ditemukan material,
untuk mengetahui masalah pengungkapan yang relevan, dan untuk memastikan bahwa
material diungkap kepada investor.
Tugas besar dari komite ini adalah untuk menimbang materialitas dari informasi
yang ada. Kelompok ini mencari lewat data yang di tampilkan kepada external auditor
untuk evaluasi dan laporan mereka.
Secara keseluruhan, kebutuhan SOA Section 404 adalah semua dokumen dan
pekerjaan lainnya ditelaah selama sebuah evaluasi harus di jaga, setidaknya dalam sebuah
periode dalam 7 tahun sekali.
Contoh beberapa pedoman untuk menjaga Section 404 review dokumen dan
terbaru (Hal 143)
MATERI DARI IBUK
Lahirnya coso krn praktisi kesulitan siapa yg harus bertanggung jawab,sementara dlm
perusahaan yang yang berkepentingan seperti komisaris,shareholder,dll pengen tahu Apakah
perusahaan sudah bagus internal controlnya,krn IC yang efektif melihat bagaimana
perusahaan bisa bertahan ke depan.Jadi tidak jelas siapa yg melaporkan IC sementara semua
pihak butuh informasi internal control Perusahaan,shg organisasi membentuk treadway
commisiion sehngga dijelaskan Internal control gmn elemen2nya dan bgmn pelaporannya,apa
pedoman melaporkannya shg lahir COSO framework.Di dalam dunia nyata byk std2
acc,kasus2 acc seperti Enrolll,Adelphia,yang muncul.Berarti internal control yang berjalan di
suatu institusi masih ada peluang muncul standard-standar keuangan.Sudah ada aturan
kerangka COSO tetapi tidak jalan.Dimana salahnya shg lahir SOA.Ada aturan untuk komite
audit seperti SOA 381,audit 407,manajemen misalnya bertanggung jawab terhadap pelaporan
IC SOA 404,jadi semacam UU untuk antisipasi standard-standar keuangan.Semua pihak
ditinjau.Itu harus dilaporkan manajemen terhadap Internal control Perusahaan.Sehingga IC

diaplikasikan

dan

bertanggung

jawab

melaporkannya.Jika

Internal

Auditor

tidak

independen,dan eksternal auditor juga evaluasi agar Perusahaan efektif dalam internal
controlnya.
Bentuk baku audit US,tambahan menceritakan mengenai kondisi Internal Control,Opini
Auditor terhadap Internal Control.Indonesia masih 3 nyata.Auditor Eksternal melaporkan
opini terhadap internal auditor.
Kesinambungan COSO dengan SOA?
COSO FRAMEWORK khusus utk Internal Control,tetapi SOA bukan hanya Internal Control
saja.Ada juga merotasi partner utk jaga independensi.DARI BERBAGAI KASUS
SEHINGGA

DIBUAT ATURAN AGAR TIDAK SEMAKIN MENJADI-JADI.

TAHAP AWAL : manajemen harus melaporkan hasil IC karena dia yang melaporkan,kmd
Internal Auditor melaporkan kepada Eksternal Auditor.Bisa dibilang saling melengkapi
antara COSO Framework dengan SOA.Karena ada celah.

Apa itu SOA 404?

Jadi SOA merupakan standar hukum federal AS,berfungsi sbg tanggapan dari masalah
Perusahaan besar.Jadi UU SOA meletakkan standard baru dari std yang ditetapkan
sebelumnya utk semua pihak terkait.
SOA merupakan aturan yg dibuat utk internal control,COSO utk menyusun dan menerbitkan
Internal Control.
Identifikasi key process langkah awal section 404,evaluasi IC diawali identifikasi key
process dengan menyajikan tahapan yang dilalui dari awal sampi akhir untk suatu fungsi
tertentu,seperti

payroll

application.Dari

awal

proses

kompensasi,skedul

pembayaran,perhitungan gaji,atau benefit(bonus) masuk dalam aplikasi payroll.Jadi system

gaji dirancang,dimulai dari kalau pegawai harian tentu diawali jam masuk kerja.Samapai
nanti menghitung jumlah tunjangan kinerja,atau pemotongan gaji.Kemudian baru

menyiapakan daftar pembayaran seperti system gaji didasarka pada jamnya.Kemudian

pembayarannya

apakah

lewat

tunai

atau

tidak.Kemudian

system

lain

ada

rancangannya.Apakah proses secara otomatis seperti lewat rekening.INTINYA TAHAPAN

DIRANCANG DARI AWAL SAMPAI AKHIR.Key ada pada proses besaran pemotongan
gaji sesuai jam kerja*
Beda Internal auditor dengan komite pengungkapan?
Semacam tim khusus yang mengkaji masalah ditemukannya suatu penyimoangan,terus dikaji
seberapa material dia.Apakah isu berpengaruh terhadap Perusahaan yg material,kapan
dilakukan.Seseorang yg bertanggung jwb mereview utk internal control yg disajikan
material,... dan itu penting bagi investor.Auditor internal mengkaji lebih luas ttp jika ada
sesuatu yang perlu dikaji lebih dalam maka ada special audit/tim khusus.Jadi intinya
BERBEDA.
Dampak SOA 404 terhadap kualitas Laporan Keuangan ?
SOA muncul karena adanya skandal Laporan Keuangan.Sehingga investor cemas
menanamkan modalnya,shg SOA menjamin Investor untuk tetap berinveastasi ke
Perusahaan2.Jadi dengan adanya SOA 404 membuat item2 Laporan/Kualitas keuangan lebih
baik,karena penyajiannya lebih teratur/ketat,pengungkapannya

EVALUASI INTERNAL KONTROL SECTION 404

Untuk melengkapi kekurangan COSO,juga mengantisipasi celah accounting,salah satunga
404 khusus utk internal control.MGT harus melaporkan internal control karena itu bagian
dari tugas manajemen.Ada hal-hal yang perlu diperhatikan dalam evaluasi IC
Identifikasi Key process.Key process tahapan yang dirancanag untuk suatu fungsi.Titik
kritisnya itulah yang menjadi key nya.
Mengetahui peran internal auditor apa : bertanggung jawab utk indetifikasi key
proses,dokumentasi atas IC,menguji atas IC yang dijalankna Perusahaan,aplikasi internal
process.Key process diidentifikasi akan lebih terarah focus pengujian karena keynya jelas,jadi
akar permasalahannya bias diselesaikan.Peran lainnya mendukung Eksternal auditor dalam

mereview hasil pekerjaaan sesuai dengan SOA 404.Membantu Korporat lainnya untuk
penyelesaian kasus.
Organizing the project : Internal audit yang efektif harus siap membantu organisasi
perusahaan dalam menjalankan atau menerapkan SOA 404.Sebagai partner manajemen(yg
bertanggung jwb menerapkan SOA 404),maka Internal auditor sebagai partner utk membantu
manajemen dalam menerapkan SOA 404.Dalam konteks sekitar manajemen.Auditor harus
masuk menjalankanproses dengan baik sampai akhir tahun karena malaporkan keuangan itu
di akhir tahun.
Select key proses to review : jadi seluruh staff internal dipilih siapa yang identifikasi
Mendokumentasikan proses : kegiatan yang dilakukan didokumentasikan dengan baik.
Detect key process :Pengjuan dilakukan itu didokumentasikan dgn baik,:kemudian untuk
menentukan apa yang salah.
Menaksir Kontrol efektifness : apa prosedur pengendalian yang tepat (utk internal auditor)
Review kesesuain hasil dgn key stakeholder : mengkomunikasikan ke senior financial
executive manajemen karena dia yg bertanggung jwb terhadap keuangan.Semua dilakuakn
utk mendukung tanggung jwb manajemen dalam aplikasi SOA 404.

Pentingnya asersi Keuangan :

Boleh

digunakan

oleh

auditor

internal,seperti

kelengkapan,keberadaan,hak

dan

kewajiban.Semua bias direkrut dari eksternal auditor karena kerjanya sama.

Pekerjaan melakukan review,evaluasi IC yang dilakukan manajemen,melaporkan itu harus
dilakuakn secara terus menerus(continuous motoring,evaluation,improvement)
Pengembangan IC Matrix : membantu Internal auditor dan manajemen utk evaluasi kontro
manajemen.ada

tipe

manual

preventif,detektif,manual.Ada

tipe

control

manual,elektronik.level IC ada high dan medium.Apa yg harus betul2 fokus itu adalah high.
Membantu evaluasi Internal Control

Masalah komite karena da isu/temuan material yang ditemukan.Dibentuk tim khusus utk
menangani lebih lanjut dan seberapa besar pengaruhnya bagi Perusahaan.Orangnya bias
berasal dari internal auditor ttp bukan tugas inti internal auditor bias jadi tugas tambahan.