Anda di halaman 1dari 7

Pengaruh Undang-undang Sarbanes Oxley Terhadap Pengendalian Internal,

Pengendalian Aplikasi, dan Laporan Keuangan Pada Perusahaan Jasa Telekomunikasi 1


Setelah banyaknya fraud yang terungkap, dibuatlah perjanjian Sarbanes Oxley
(SOX/SARBOX) yang menjadi mandatory di Amerika Serikat. SOX tersebut mencakup
berbagai macam hal, termasuk di antaranya adalah pembuatan ICOFR. Perusahaan harus
membuat ICOFR agar laporan keuangan yang disajikan sudah dilakukan dengan
pengendalian-pengendalian yang memadai.
Sudah terdapat beberapa perusahaan yang melaksanakan ICOFR di Indonesia, yaitu PT
Telkom yang telah terdaftar di NYSE. Sebagai perusahaan yang tercatat di NYSE, PT Telkom
mematuhi ketentuan SOA (Sarbanes Oxley Act) Bab 302 dan Bab 404 mengenai
pengendalian internal atas pelaporan keuangan atau Internal Control Over Financial
Reporting (ICOFR) dan pengendalian dan prosedur pengungkapan.
A. UU Sarbanes Oxley Section 302 (Disclosures Controls and Procedures)
Bostelman (2005:12-14) dan TELKOM presentation to HCGA (2007:5) menyatakan
bahwa Sarbanes Oxley Act Section 302 berisi kewajiban:
a. Sertifikasi terhadap laporan keuangan triwulanan oleh CEO dan CFO.
b. CEO dan CFO melakukan sertifikasi kelengkapan dan keakuratan laporan yang
diserahkan kepada US SEC.
c. CEO dan CFO melakukan sertifikasi terhadap efektivitas internal control.
Menurut Bostelman (2005:14), Disclosure Controls and Procedures is defined under
SEC rules as controls and other procedures of public company that are designed to
ensure that both non-financial and financial information required to be disclosed by the
company in its periodic reports is recorded, processed, summarized, and reported in a
timely fashion.
Berdasarkan definisi dari SEC, cakupan disclosure controls and procedures tidak terbatas
pada pengendalian internal atas pelaporan keuangan, tetapi juga pengendalian untuk
memberikan keyakinan atas kepatuhan (compliance) terhadap persyaratan SEC. Definisi
dengan maksud yang sama juga dinyatakan oleh PT Telkom secara terperinci.
Menurut definisi yang dinyatakan oleh PT Telkom pada Keputusan Direksi No:
KD76/PW000/PRO-IIC/2006 tanggal 22 Desember 2006, Disclosure Controls and
Procedures (pengendalian dan prosedur pengungkapan) adalah pengendalian dan
prosedur yang dirancang dan dijalankan untuk memberikan keyakinan yang memadai
bahwa semua informasi keuangan dan non-keuangan yang wajib diungkapkan dalam
laporan perusahaan yang disampaikan atau diserahkan ke Otoritas Pasar Modal (stock
exchange) telah dikumpulkan, diperiksa, dicatat, diproses, diikhtisarkan dan disampaikan
1 Sumber: Nahampun, Y. (2012). PENGARUH UNDANG-UNDANG SARBANES OXLEY TERHADAP
PENGENDALIAN INTERNAL, PENGENDALIAN APLIKASI DAN LAPORAN KEUANGAN PADA PERUSAHAAN
JASA TELEKOMUNIKASI. (download: http://publication.gunadarma.ac.id/bitstream/123456789/853/1/27208018.pdf)

secara tepat waktu, akurat dan dapat diandalkan sesuai dengan tenggang waktu yang telah
ditetapkan di dalam peraturan Otoritas Pasar Modal.
B. UU Sarbanes Oxley Section 404 (Internal Control Attest)
Bostelman (2005:15-16) dan TELKOM presentation to HCGA (2007:5) menyatakan
bahwa Sarbanes Oxley Act Section 404 berisi:
a. Tanggung jawab manajemen terhadap internal controls over financial reporting
(ICOFR).
b. Atestasi manajemen terhadap efektifitas internal control over financial reporting
(ICOFR) berdasarkan pengujian yang dilakukan.
c. Auditor harus melakukan atestasi dan melaporkan evaluasi atas laporan
manajemen.
Menurut Bostelman (2005:31), Internal control over financial reporting is a process
designed to provide reasonable assurance regarding the reliability of financial reporting
and the preparation of financial statements for external purposes in accordance with
generally accepted accounting principles.
Bostelman (2005:15) menyatakan bahwa proses pengendalian internal atas pelaporan
keuangan (internal controls over financial reporting) harus mencakup tiga elemen, yaitu:
a. Pemeliharaan dokumentasi yang akurat, wajar, dan dalam rincian yang memadai
yang mencerminkan transaksi dan disposisi asset.
b. Keyakinan yang memadai atas pencatatan transaksi sesuai dengan prinsip
akuntansi secara umum.
c. Keyakinan yang memadai terhadap tindakan prevention atau detection pada hak
akuisisi, penggunaan, atau disposisi asset perusahaan.
TELKOM presentation to HCGA (2007:16) menyebutkan bahwa internal control
perusahaan dilaksanakan pada beberapa level kontrol, yaitu:
a) Entity level control
Soft control, pengendalian yang dilakukan oleh top manajemen, seperti: komitmen
dari pimpinan puncak, etika bisnis, dan corporate governance.
b) Transactional level control
Hard control/physical control, pengendalian di dalam proses dan sistem untuk
mengawali, mencatat, melaksanakan, dan melaporkan transaksi yang telah
dilakukan. Dengan kata lain, pengendalian internal level transaksional melibatkan
serangkaian aktivitas yang secara umum bertujuan untuk memastikan bahwa
seluruh akun signifikan beserta risiko dan pengendalian terkait telah diidentifikasi,
dilaksanakan, dan diuji secara memadai sehingga efektivitasnya dapat terukur.
c) IT General control
Pengendalian atas aplikasi dan sistem pemeliharaan software dan keamanan akses
dalam program aplikasi dan data perusahaan, yang disesuaikan dengan peran dan
tanggung jawab karyawan.

Apa dan Mengapa Perlu ICOFR?2


Sistem Pengendalian Internal (internal control) adalah proses yang berkelanjutan (on going)
yang dipengaruhi oleh tindakan komisaris, manajemen dan pekerja lainnya yang dirancang
untuk memastikan secara rasional bahwa tujuan perusahaan tercapai dalam hal: (1)
Efektivitas dan efisiensi operasi, (2) Kepatuhan terhadap undang undang dan kebijakan
yang berlaku, serta (3) Keandalan atas laporan keuangan. Definisi ini berasal dari kerangka
internal control yang sudah berlaku umum di dunia bisnis, yaitu COSO Framework.
Audit Internal sudah menginisiasi dikeluarkannya pedoman umum internal control di PT
Pertamina (Persero) dengan menggunakan COSO Framework (sedang proses penerbitan SK
Direksi). Internal control yang berkaitan dengan pelaporan keuangan di atas disebut dengan
Internal Control Over Financial Reporting (ICOFR).
ICOFR didefinisikan sebagai kebijakan kebijakan dan rangkaian prosedur serta tata kerja
terkait proses pelaporan keuangan untuk menjamin tersusunnya laporan keuangan yang
akurat, andal dan tepat waktu. Tujuannya agar memiliki keyakinan yang memadai
(reasonable assurance), bahwa proses pencatatan di laporan keuangan telah didukung dengan
internal control yang efektif berdasarkan ketentuan yang berlaku.
Munculnya ICOFR bermula dari adanya skandal akuntansi dan audit yang meruntuhkan
korporasi besar di Amerika Serikat: Enron, WorldCom, dan lain-lain. Dengan adanya skandal
Enron, membuat pemerintah Amerika Serikat mengeluarkan regulasi atas praktik akuntansi
dan audit pada tanggal 30 Juli 2002 bernama The Public Company Accounting Reform and
Investor Protection Act (nama ini popular dengan nama SARBOX, karena pencetusnya
adalah Sarbanes dan Oxley).
Kemudian sejalan dengan perkembangan usaha dan bisnis khususnya bagi perusahaan yang
menuju kelas dunia dan yang akan listed di pasar internasional (Public Company), investor
sangat concern mengenai hasil audit independen atas efektivitas internal control dalam
pelaporan keuangan.
Hal lain yang menyebabkan mengapa perlu ICOFR adalah :
1. Peraturan BPK RI No.1 Tahun 2007 (PSP 03) telah mengatur standar pelaporan
pemeriksaan keuangan, yang berkaitan Pelaporan Terhadap Pengendalian Intern, sehingga
efektivitas atas internal control pelaporan keuangan menjadi keharusan bagi perusahaan;
2. Untuk dapat mendeteksi/mencegah kemungkinan adanya fraud seperti yang terjadi pada
perusahaan di atas;
3. Pertamina sedang melaksanakan konvergensi IFRS. Berkaitan dengan itu, mutlak
diperlukan pengembangan internal control ini, karena kebijakan akuntansi dan control,
pengungkapan prosedur menjadi dasar pembuatan rancangan risiko dan kontrol yang
menyeluruh yang menggambarkan bagaimana setiap hambatan dimitigasi, diotorisasi,
dicatat, diproses dan dilaporkan dalam laporan keuangan.
2 Sumber: http://www.pertamina.com/media/4684249b-35d5-46b3-95d77d8ba7747e8e/sep1.pdf

Program Pengembangan ICOFR di PT Pertamina (Persero) sedang dilaksanakan dengan kerja


sama antara Fungsi Audit Internal, Fungsi Dit Keu, Fungsi Dit PIMR (Cq ERM) dan Fungsi
Dit. Umum (Cq CSS) dengan menggunakan konsultan kelas Big Four. Deliverables yang
akan kita peroleh antara lain adalah :
a) Identifikasi dan dokumentasi atas ratusan control terkait dengan financial reporting yang
diimplementasikan, dan di-maintain efektivitasnya oleh Business Owner terkait, dan
pengujian/testing efektivitasnya oleh fungsi Auditor Internal setiap periodik (minimal
sekali setahun). Proses dokumentasi kontrol ini nanti akan diupload kepada sistem yang
sudah ada yaitu GRC Oracle;
b) Pedoman, TKO dan TKI yang berkaitan dengan ICOFR;
c) Audit Program Pengujian Efektivitas Internal Control. Selain itu pula, Pertamina akan
mendapat Pedoman/Manual perbaikan atau modifikasi ICOFR apabila sudah tidak
relevan lagi dengan kondisi yang ada.
Dalam mengidentifikasi dan mendokumentasi kontrol sebagaimana diuraikan di atas,
pendekatan dilakukan berdasarkan Top Down Approach, dengan urutan tahapan sebagai
berikut:
Financial Statement/ Consolidated Financial Statement Penetapan Significant Account &
Disclosures Penetapan Business Process Cycle - Penetapan Business Control Matrix terakhir penetapan Key Control yang akan di-maintain dan dimonitor oleh business owners
untuk kemudian diuji oleh Audit Internal.
Setelah proyek ini berakhir, process owner berkewajiban untuk me-maintain key controls
yang telah diimplementasikan tersebut dalam kegiatannya sehari-hari, serta secara berkala
melakukan proses sertifikasi berjenjang terkait dengan efektivitas internal control yang
berada dalam kewenangannya. SPI/ Audit Internal secara berkala akan melakukan testing/
pengujian untuk memastikan efektivitas dari control tersebut. Setelah testing oleh Internal
Audit, kemudian akhir tahun President Director & CEO dan Finance Director
menandatangani pernyataan efektivitas Internal Control yang menjadi bagian yang
disampaikan bersamaan dengan Laporan Keuangan sebelum diaudit oleh KAP. Demikian
seterusnya setiap tahun.

20 Prinsip Kunci ICFR3


3 Sumber: http://auditorinternal.com/2011/03/11/20-prinsip-kunci-icfr/

Setelah mempublikasikan Internal Control Integrated Framework yang fenomenal pada


tahun 1992 silam, COSO masih mempublikasikan beberapa turunan dari laporan awal
tersebut. Sebut saja, misalnya Guidance on Monitoring Internal Control Systems Internal
Control Issues in Derivatives Usage pada tahun 1996. Dan juga yang terakhir Guidance on
Monitoring Internal Control Systems yang baru terbit pada 2009 lalu.
Namun sebetulnya, masih ada satu laporan lagi yang mungkin tidak terlalu populer di
Indonesia karena lebih ditujukan kepada perusahaan publik skala kecil yang listing di
Amerika Serikat. Judul publikasinya adalah Internal Control over Financial Reporting
Guidance for Smaller Public Companies, dan diterbitkan pada tahun 2006. Internal Control
over Financial Reporting ini cukup lazim disingkat menjadi ICFR.
Dokumen terakhir tersebut memang ditujukan kepada perusahaan publik yang berukuran
kecil, untuk membantu mereka mendesain dan mengimplementasikan konsep-konsep
pengendalian internal yang ada dalam Internal Control Integrated Framework 1992, dalam
rangka pelaporan keuangannya. Dokumen ini menyarikan 20 prinsip kunci (key principles)
pengendalian internal dalam rangka pelaporan keuangan.
Meskipun ditujukan kepada perusahaan publik yang berukuran kecil, namun sebetulnya
prinsip-prinsip yang disarikan dalam publikasi COSO 2006 tersebut dapat pula diterapkan
pada segala jenis dan ukuran perusahaan.
Karena ke-20 prinsip tersebut disarikan dari Internal Control Integrated Framework 1992,
maka diorganisasikan sesuai dengan komponen pengendalian internal dalam kerangka
tersebut, sebagai berikut:
A. LINGKUNGAN PENGENDALIAN (Control Environment)
1. Integritas dan Nilai Etika Integritas dan nilai-nilai etika yang sehat, khususnya dari
manajemen puncak, dikembangkan dan dipahami serta menjadi standar perilaku dalam
pelaporan keuangan.
2. Dewan Dewan direksi memahami dan melaksanakan tanggung jawab pengawasan
pelaporan keuangan serta pengendalian internal terkait.
3. Filosofi Manajemen dan Gaya Operasi Filosofi manajemen dan gaya operasi
membantu pencapaian pengendalian internal yang efektif terhadap pelaporan keuangan.
4. Struktur Organisasi Struktur organisasi perusahaan mendukung pengendalian internal
yang efektif dalam pelaporan keuangan.
5. Kompetensi Pelaporan Keuangan Perusahaan memiliki individu-individu yang
kompeten dalam pelaporan keuangan dan juga individu dalam pengawasannya.
6. Wewenang dan Tanggung Jawab Manajemen dan karyawan diberikan wewenang dan
tanggung jawab yang sesuai untuk memfasilitasi pengendalian internal yang efektif
terhadap pelaporan keuangan.
7. Sumber Daya Manusia Kebijakan dan praktik sumber daya manusia didesain dan
diimplementasikan untuk memfasilitasi pengendalian internal yang efektif terhadap
pelaporan keuangan.
B. PENILAIAN RISIKO (Risk Assessment)

8. Tujuan Pelaporan Keuangan Manajemen menetapkan tujuan pelaporan keuangan


dengan jelas serta menetapkan kriteria identifikasi risiko untuk pelaporan keuangan yang
dapat diandalkan.
9. Risiko Pelaporan Keuangan Perusahaan mengidentifikasi dan menganalisa risiko
pencapaian tujuan pelaporan keuangan sebagai dasar untuk menentukan bagaimana risiko
harus dikelola.
10. Risiko Kecurangan (Fraud) Potensi salah saji secara material akibat kecurangan
secara eksplisit dipertimbangkan dalam penilaian risiko pencapaian tujuan pelaporan
keuangan.

C. AKTIVITAS PENGENDALIAN (Control Activities)


11. Integrasi dengan Penilaian Risiko Tindakan-tindakan perlu diambil untuk mengatasi
risiko pencapaian tujuan pelaporan keuangan.
12. Pemilihan dan Pengembangan Aktivitas Kegiatan Aktivitas pengendalian dipilih dan
dikembangkan dengan mempertimbangkan biaya dan potensi efektivitas mitigasi risiko
pencapaian tujuan pelaporan keuangan.
13. Kebijakan dan Prosedur Kebijakan terkait dengan pelaporan keuangan yang dapat
diandalkan ditetapkan dan dikomunikasikan ke seluruh perusahaan, dengan prosedur yang
sesuai sehingga arahan manajemen dilaksanakan.
14. Teknologi Informasi Pengendalian teknologi informasi, bila memungkinkan, didesain
dan diimplementasikan untuk mendukung pencapaian tujuan pelaporan keuangan.
D. INFORMASI DAN KOMUNIKASI
15. Informasi Pelaporan Keuangan Informasi terkait diidentifikasi, ditangkap, digunakan
pada semua tingkatan perusahaan, dan didistribusikan dalam bentuk dan jangka waktu
yang mendukung pencapaian tujuan pelaporan keuangan.
16. Informasi Pengendalian Internal Informasi yang dibutuhkan untuk memfasilitasi
berfungsinya komponen pengendalian lainnya diidentifikasi, ditangkap, digunakan dan
didistribusikan dalam bentuk dan jangka waktu yang memungkinkan personel untuk
melaksanakan tanggung jawab pengendalian internal mereka.
17. Komunikasi Internal Komunikasi memungkinkan dan mendukung pemahaman dan
pelaksanaan tujuan pengendalian internal, proses dan tanggung jawab individual di semua
tingkat organisasi.
18. Komunikasi Eksternal Hal-hal yang mempengaruhi pencapaian tujuan pelaporan
keuangan dikomunikasikan dengan pihak-pihak luar.

E. PEMANTAUAN (Monitoring)
19. Pemantauan Berkelanjutan dan Evaluasi Terpisah pemantauan yang terus menerus
(ongoing monitoring) dan/atau evaluasi terpisah (separatae evaluation) memungkinkan
manajemen untuk menentukan apakah komponen lain dari pengendalian internal atas
pelaporan keuangan terus berfungsi dari waktu ke waktu.

20. Pelaporan Kelemahan Kelemahan pengendalian internal diidentifikasi dan


dikomunikasikan secara tepat waktu kepada pihak-pihak yang bertanggung jawab untuk
mengambil tindakan korektif, dan juga kepada manajemen serta dewan yang sesuai.
Referensi:
Internal Control over Financial Reporting Guidance for Smaller Public Companies
Volume I : Executive Summary