Audit Pengendalian Internal

AUDIT PENGENDALIAN INTERNAL
Disusun Oleh:
Raudhatul Medina 120620160002
Siti Sadiyyah 120620160021
Paper
Untuk mata kuliah Audit Khusus

Dosen : Dr. Sugiono Poulus, SE., MBA., Ak.
PROGRAM MAGISTER AKUNTANSI

FAKULTAS EKONOMI DAN BISNIS
UNIVERSITAS PADJADJARAN
BANDUNG
Tahun 2017
1
DAFTAR ISI
BAB I PENDAHULUAN ................................................................................................. 3

1.1 Latar Belakang .................................................................................................. 3
1.2 Rumusan Masalah ............................................................................................. 3
1.3 Tujuan ............................................................................................................... 4
BAB II PEMBAHASAN .................................................................................................. 5
2.1 Pengendalian Internal ....................................................................................... 5
2.2 Pengendalian Internal atas Pelaporan Keuangan atau Internal Control over
Financial Reporting (ICoFR) ........................................................................... 6
2.2.1 Sarbanes-Oxley Act ...................................................................................... 7
2.2.2 Pedoman Public Company Accounting Oversight Board (PCAOB) .......... 11
2.2.3 Definisi Internal Control Over Financial Reporting ................................... 12
2.2.4 Kerangka Konseptual The Committee of Sponsoring Organizations of the
Treadway Commission (COSO)................................................................... 13
2.2.5 Pedoman ICoFR Menurut IIA .................................................................... 24
2.3 Memahami dan Menilai Risko ICoFR ............................................................ 31
2.3.1 Obtain and document understanding of internal control design and
operation. ................................................................................................................ 33
2.3.2 Assess Control Risk ..................................................................................... 35
2.3.3 Test of Controls (Uji Pengendalian) ........................................................... 42
2.3.4 Decide Planned Detection Risk and Design Substantive Test .................... 44
2.4 Laporan Auditor Mengenai Pengendalian Internal ......................................... 47
BAB III KESIMPULAN ................................................................................................ 50
3.1 Kesimpulan ................................................................................................. 50
DAFTAR PUSTAKA ..................................................................................................... 52
Lampiran I : Laporan Presentasi ..................................................................................... 53
2
BAB I
PENDAHULUAN
1.1 Latar Belakang
Selain audit atas laporan keuangan, Sarbanes-Oxley Act 2002 (SOX,2002) -
section 404- mewajibkan auditor untuk melakukan audit atas efektivitas internal control
perusahaan atas pelaporan keuangan (Internal Control over Financial Reporting-ICFR).
Seperti yang dikutip dari Ernest dan Young (2005), manfaat untuk investor dengan
adanya penerapan audit 404 adalah laporan keuangan perusahaan yang lebih dapat
dipercaya dan diandalkan. Ketua Security Exchange Commission (SEC), William
Donaldson, menyatakan bahwa audit 404 -audit internal control- dapat menawarkan
keuntungan jangka panjang yang signifikan dalam mencegah terjadinya fraud dan
penyimpangan penggunaan sumber daya perusahaan dan menambah akurasi pelaporan
keuangan. Untuk mengetahui lebih dalam bagaimana sebenarnya audit internal control,
dalam makalah ini kami akan paparkan mengenai Audit Internal Control beserta standar-
standar yang berlaku didalamnya.
1.2 Rumusan Masalah
1. Apa yang dimaksud pengendalian internal dan audit pengendalian internal.
2. Apa yang dimaksud ICoFR dan COSO.
3. Bagaimana prosedur audit pengendalian internal.
3
1.3 Tujuan
1. Untuk memberikan penjelasan mengenai pengendalian internal dan audit
pengendalian internal.
2. Untuk memberikan penjelasan mengenai ICoFR dan COSO.
3. Untuk memberikan penjelasan mengenai prosedur audit internal control.
4
BAB II
PEMBAHASAN
2.1 Pengendalian Internal
Menurut Romney dan Steinbart (2012), pengendalian internal (internal control)
adalah proses yang diimplementasi untuk memberikan keyakinan memadai bahwa tujuan
pengendalian dapat tercapai. Tujuan pengendalian tersebut meliputi:
Safeguard assets: mencegah atau mendeteksi akusisi, penggunaan, atau disposisi
aset yang tidak sah
Memelihara catatan dengan rinci untuk melaporkan aset perusahaan secara akurat
dan jujur
Menyediakan informasi yang akurat dan handal
Meningkatkan efisiensi operasional
Mendorong ketaatan terhadap kebijakan manajerial yang telah ditentukan
Mematuhi peraturan dan regulasi yang berlaku
Pengendalian internal menurut The Committee of Sponsoring Organizations of
The Treadway Commission (COSO) Internal Control - Integrated Framework Executive
Summary (Mei, 2013), didefinisikan sebagai:
a process, effected by an entitys board of directors, management and other

personnel, designed to provide reasonable assurance regarding the achievement of
objectives relating to operations, reporting, and compliance.
Definisi di atas merefleksikan konsep fundamental yang menyatakan bahwa
pengendalian internal (COSO, 2013):
Diarahkan untuk pencapaian sasaran di dalam satu kategori atau lebih operasi,
pelaporan, dan kepatuhan
Suatu proses yang terdiri dari tugas dan aktivitas berkelanjutan
Dilaksanakan oleh orang-orang
Mampu menyediakan keyakinan yang memadai
5
Beradaptasi dengan struktur entitas
Menurut The Institute of Internal Auditors (IIA) (2009), pengendalian internal
melaksanakan empat fungsi penting, yaitu:
1. Pengendalian preventif (Preventive Control) mencegah masalah sebelum masalah

tersebut muncul. Sebagai contoh, adanya pengendalian atas akses fisik dan
logistik, seperti pintu yang dikunci atau penggunaan user ID dengan password
untuk mengakses aset.
2. Pengendalian detektif (Detective Control) melakukan pemeriksaan untuk
menemukan dan mendeteksi peristiwa tidak diinginkan yang telah terjadi.
Pengendalian detektif harus dilakukan secara tepat waktu sebelum kejadian
tersebut memberikan pengaruh negatif kepada perusahaan. Contoh
pengendalian detektif antara lain menggunakan CCTV untuk mengidentifikasi
akses yang tidak sesuai terhadap aset.
3. Pengendalian korektif (Corrective Control) mendeteksi kelalaian dan mengoreksi
kesalahan. Sebagai contoh mengelola salinan data backup, mengoreksi kesalahan
entri data, dan mengirimkan kembali transaksi untuk pengolahan selanjutnya.
4. Pengendalian direktif (Directive Control) memberikan arahan atau petunjuk
terkait aktivitas dan tindakan yang dilakukan untuk mendapatkan hasil dan
kejadian yang diinginkan. Sebagai contoh, adanya instruksi perakitan produk
dengan memberikan arahan kepada individu yang melaksanakan perakitan.
2.2 Pengendalian Internal atas Pelaporan Keuangan atau Internal Control over
Financial Reporting (ICoFR)
Menyiapkan informasi keuangan yang handal merupakan tanggung jawab utama
manajemen di setiap perusahaan. Terlebih, investor menempatkan kepercayaan hanya
terhadap laporan keuangan perusahaan apabila perusahaan ingin memperoleh modal di
dalam pasar modal. Kemampuan untuk memenuhi tanggung jawab pelaporan keuangan
ini sebagian bergantung pada desain dan efektivitas proses dan penjagaan yang telah
ditempatkan atas akuntansi dan pelaporan keuangan yang membutuhkan akses informasi
yang akurat dan tepat. Tanpa adanya pengendalian akan sulit bagi perusahaan untuk
menyiapkan laporan keuangan yang handal dan tepat waktu untuk manajemen, investor,
kreditor, dan pemangku kepentingan lain. Ketika tidak ada praktik sistem pengendalian
internal, dapat dipastikan bahwa laporan keuangan akan mengandung kesalahan material
6
atau misstatements. Sebuah sistem pengendalian internal atas pelaporan keuangan
(Internal Control over Financial Reporting ICoFR) akan dapat mengurangi risiko
misstatement dan ketidakakuratan tersebut di dalam laporan keuangan perusahaan
(Guide to Internal Control over Financial Reporting, Center for Audit Quality, n.d.).
ICoFR merupakan elemen dari konsep yang lebih luas dari pengendalian internal.
Dari waktu ke waktu, ICoFR yang efektif telah menjadi kewajiban hukum. Sejak 1977,
hukum federal mengharuskan perusahaan publik untuk membangun dan mengelola
sistem pengendalian internal yang menyediakan keyakinan yang memadai terkait dengan
keandalan pelaporan keuangan dan persiapan laporan keuangan sesuai dengan prinsip
akuntansi yang berlaku umum (PABU). Kemudian Sarbanes-Oxley Act of 2002 (SOX)
menambahkan syarat yang berlaku untuk perusahaan publik kebanyakan, bahwa
manajemen setiap tahunnya menilai keefektifan ICoFR perusahaannya dan melaporkan
hasilnya ke publik. Selain itu, SOX juga mengharuskan perusahaan publik pada
umumnya untuk melibatkan auditor independen untuk mengaudit keefektifan ICoFR
perusahaan (Guide to Internal Control over Financial Reporting, Center for Audit
Quality, n.d.).
2.2.1 Sarbanes-Oxley Act
Pada tanggal 30 Juli 2002, Sarbanese-Oxley Act of 2002 disahkan menjadi
undang-undang federal. Tujuan dari hukum ini adalah untuk melindungi para investor
dengan memperbaiki keakuratan dan keandalan pengungkapan perusahaan yang dibuat
sesuai dengan dengan hukum keamanan, dan untuk tujuan lain. Efek dari hukum ini
adalah adanya perubahan jangka panjang bagi perusahaan publik dalam hal penilaian
tanggung jawab pribadi untuk auditor, eksekutif, dan anggota direksi (board members),
7
pelaporan keuangan, dan pengendalian internal. SOX merupakan bagian dari regulasi
perusahaan yang paling substansial sejak adanya hukum sekuritas di tahun 1930an
(SANS Institute, 2004).
Pembuatan SOX ini merupakan wujud respon atas periode paling bergejolak
dalam sejarah perusahaan Amerika Serikat. Pada akhir 1990 dan awal 2000
(journalofaccountancy.com, 2002 diakses pada 19 Agustus 2014), perusahaan publik
raksasa seperti Enron dan WorldCom runtuh. Keruntuhan ini merusak kepercayaan
fundamental terhadap perusahaan AS dan merugikan investor miliaran dolar. Peristiwa
ini turut mematikan salah satu perusahaan akuntan publik terbesar, Arthur Anderson.
Sehingga, melalui mandat akan adanya keharusan atas keandalan dan kegunaan
pelaporan keuangan, SOX didesain untuk memperbarui kepercayaan investor dan
pemahaman atas pelaporan keuangan perusahaan publik, membuat laporan keuangan
lebih transparan, melindungi investor, menguatkan pengendalian internal, dan
menghukum eksekutif yang melakukan fraud (Romney dan Steinbart, 2012).
Menurut Romney dan Steinbart (2012), SOX merupakan legislasi penting yang
mengubah cara para direksi dan manajemen beroperasi dan memiliki dampak dramatis
pada Akuntan Publik Tersertifikasi (CPA) yang mengaudit mereka. Berikut ini
merupakan beberapa aspek penting dari SOX:
Public Company Accounting Oversight Board (PCAOB). SOX membuat PCAOB
untuk mengontrol profesi auditing. PCAOB mengatur dan menegakkan auditing,
risiko kualitas, etika, independensi, dan standar auditing lainnya.
Peraturan baru untuk auditor. Auditor harus melaporkan informasi spesifik
kepada komite audit perusahaan, seperti kebijakan dan praktik akuntansi penting.
Partner audit harus dirotasi secara periodik. SOX melarang auditor dari
8
pelaksanaan jasa non audit tertentu, seperti desain dan implementasi sistem
informasi. Perusahaan audit tidak dapat memberikan jasa kepada perusahaan
apabila manajemen puncak dipekerjakan oleh perusahaan auditing dan berkerja
untuk sisi perusahaan sebelum 12 bulan.
Peraturan baru untuk komite audit. Anggota komite audit harus diangkat dari
anggota Dewan Komisaris yang tidak melaksanakan tugas-tugas eksekutif dan
independen di perusahaan. Salah satu anggota komite audit harus seseorang yang
ahli keuangan. Komite audit merekrut, mengompensasi, dan mengawasi auditor
yang secara langsung melapor kepada mereka.
Peraturan baru untuk manajemen. SOX mewajibkan CEO (Presiden Direktur) dan
CFO (Direktur Keuangan) untuk menjamin bahwa 1) laporan keuangan dan
pengungkapannya disajikan secara wajar dan sebenar-benarnya, telah ditinjau
oleh manajemen, dan bahwa 2) auditor harus diberitahukan mengenai segala
kelemahan material dan kecurangan (fraud) yang terjadi di dalam pengendalian
internal. Jika manajemen dengan sengaja melanggar peraturan ini, mereka dapat
dituntut dan dikenakan denda. Perusahaan harus mengungkapkan perubahan
material terhadap kondisi finansial dalam Bahasa inggris secara jelas dan tepat
waktu.
Persyaratan pengendalian internal baru. Section 404 mengharuskan perusahaan
untuk menerbitkan suatu laporan keuangan yang menyatakan bahwa manajemen
bertanggung jawab untuk membangun dan memelihara sistem pengendalian
internal yang memadai. Laporan harus mencakup penilaian manajemen atas
pengendalian internal perusahaan, pembuktian akurasi, dan melaporkan
kelemahan signifikan atau ketidakpatuhan material.
9
Setelah SOX dikeluarkan, Securities and Exchange Commission (SEC) memberi
mandat bahwa manajemen harus:
Mendasarkan evaluasinya pada kerangka pengendalian yang diakui. Kebanyakan
perusahaan menggunakan kerangka yang diformulasikan oleh COSO.
Mengungkap semua kelemahan material pengendalian internal
Menyimpulkan bahwa suatu perusahaan tidak memiliki pengendalian internal
pelaporan keuangan yang efektif jika terdapat kelemahan material
Menurut SANS Institute (2004) dalam publikasinya An Overview of
Sarbanes-Oxley for The Information Security Professional terdapat dua pasal yang dapat
membantu pemahaman SOX mengenai bagaimana SOX mempengaruhi pengamanan
informasi secara mendalam yang terkait dengan pengendalian internal atas pelaporan
keuangan (ICoFR), yaitu SOX Section 302 dan SOX Section 404. SOX Section 302
mengenai Corporate Responsibility for Financial Reports mengatur bahwa para
pejabat eksekutif harus mensertifikasi laporan tahunan maupun kuartalan. Pejabat
eksekutif ini harus memastikan bahwa laporan tidak mengandung pernyataan yang tidak
benar, salah saji, dan disajikan secara memadai dalam semua hal yang material, di mana
yang menjadi objeknya adalah rancangan pengendalian dan efektivitas pelaksanaan
prosedur pengendalian (Deloitte, 2013). Ketentuan ini turut menekankan tanggung jawab
pejabat eksekutif dalam membangun dan memelihara pengendalian internal, mendesain
pengendalian internal untuk memastikan bahwa informasi material terkait perusahaan
dan anak perusahaan diketahui oleh pihak terkait di dalam perusahaan, mengevaluasi
keefektifan pengendalian internal 90 hari sebelum laporan diterbitkan, dan menyajikan
kesimpulan mengenai keefektifan pengendalian internal mereka di dalam laporan. Bila
ditemukan defisiensi maupun perubahan atas pengendalian, pejabat eksekutif harus dapat
10
mengungkapkan kepada auditor perusahaan dan komite audit, serta pihak-pihak terkait
lainnya (DGS Law, 2002).
Sedangkan SOX Section 404 mengenai Management Assessment of Internal
Controls menjelaskan ketentuan yang mewajibkan laporan pengendalian internal berisi
asersi manajemen berdasarkan keefektifan struktur pengendalian internal perusahaan dan
prosedur atas pelaporan keuangan. Section 404 mengharuskan auditor independen
perusahaan untuk membuktikan keefektifan pengendalian internal atas pelaporan
keuangan (ICoFR) berdasarkan standar yang dikembangkan oleh PCAOB (Protiviti,
2007). Section ini luas dan tidak menyediakan pedoman spesifik mengenai bagaimana
pengendalian harus dinilai (SANS Institute, 2004).
2.2.2 Pedoman Public Company Accounting Oversight Board (PCAOB)
Pedoman PCAOB terkait ICoFR meliputi Auditing Standard No. 2 (AS-2) dan
Auditing Standard No. 5 (AS-5). AS-2 yang dirilis pada tahun 2004 memuat pedoman
persyaratan untuk melakukan kinerja audit atas Pengendalian Internal atas Pelaporan
Keuangan (ICoFR) dan melibatkan beberapa arah penting pada cakupan dan pendekatan
yang dituntut auditor (Santoso, 2012). PCAOB (2006) menyatakan bahwa AS-2
menyediakan higher quality and enhanced transparency yang berakibat pada
munculnya beban biaya yang tinggi (Acito et al., 2014). Pada tahun 2007, untuk
menggantikan AS-2, PCAOB mengeluarkan Auditing Standard No. 5, An Audit of
Internal Control over Financial Reporting That is Integrated with An Audit of Financial
Statements. AS-5 mengadopsi pendekatan top down, risk-based di dalam audit
pengendalian internal, yang mana AS-5 menekankan auditor untuk fokus pada
pengendalian internal yang berkaitan dengan risiko atas akun signifikan dan
11
pengungkapan asersi relevan yang ada pada level enterprise. AS-5 secara eksplisit
mengakui bahwa auditor eksternal dapat menggunakan pekerjaan orang lain (work
of others) dan/atau menerima bantuan langsung dalam audit ICoFR yang dapat
meningkatkan efisiensi (Arens et al. 13th ed., 2010). Standar PCAOB dapat dijadikan
sebagai pedoman untuk manajemen tentang informasi dan dokumentasi yang dibutuhkan
oleh auditor untuk membuktikan (attest) bahwa penilaian ICoFR dilakukan secara benar
(Djakman, 2014).
2.2.3 Definisi Internal Control Over Financial Reporting
Menurut PCAOB (2004), Pengendalian Internal atas Pelaporan Keuangan atau
Internal Control over Financial Reporting (ICoFR) adalah:
A process designed by, or under the supervision of, the companys principal
executive and principal financial officers, or persons performing similar
functions, and effected by the companys board of directors, management, and
other personnel, to provide reasonable assurance regarding the reliability of
financial reporting and the preparation of financial statements for external
purposes in accordance with generally accepted accounting principles and
includes those policies and procedures that:
1. Pertain to the maintenance of records that in reasonable detail accurately and
fairly reflect the transactions and disposistions of the assets of the company
2. Provide reasonable assurance that transactions are recorded as necessary to
permit preparation of financial statements in accordance with generally accepted
accounting principles, and that receipts and expenditures of the company are
being made only in accordance with authorizations of management and directors
of the company
3. Provide reasonable assurance regarding prevention or timely detection of
unauthorized acqusition, use or disposition of the companys assets that could
have a material effect on the financial statements.
Definisi PCAOB mengharuskan ICoFR untuk memberikan keyakinan yang
memadai berdasarkan keandalan pelaporan keuangan dan persiapan laporan keuangan.
Keyakinan yang memadai merepresentasikan keyakinan tingkat tinggi, namun tidak
12
absolut. Hal ini menunjukkan bahwa walaupun ICoFR telah efektif, salah saji mungkin
muncul, yang tidak dapat dicegah atau dideteksi secara tepat waktu (Agami, 2006).
Sedangkan ICoFR di dalam COSO framework 2013 dinyatakan sebagai:
A system of internal control over financial reporting is designed and implemented

to prevent or detect, in a timely manner, a material omission from or a misstatement
of the financial statements due to error or fraud.
Isu mengenai ICoFR semakin penting sejak kasus skandal akuntansi Enron dan
Worldcom terjadi pada tahun 2002. Sejak kejadian tersebut, dunia profesi akuntansi
mencari jalan terbaik untuk membangun kembali kepercayaan pada dunia bisnis.
Layaknya penerapan Good Corporate Governance atau tata kelola perusahaan yang baik
yang dapat memberi nilai tambah daripada perusahaan tersebut, penerapan ICoFR dapat
memberikan nilai tambah di dalam perusahaan yang kemudian dapat meningkatkan
kepercayaan investor untuk berinvestasi, mengingat investor menaruh perhatian pada
hasil audit independen atas keefektifan pengendalian internal dalam pelaporan keuangan.
Di samping itu, adanya penerapan ICoFR ini juga membantu dalam mendeteksi
terjadinya penipuan dan mencegah laporan keuangan yang tidak akurat (Santoso, 2012;
Wibowo, 2013).
2.2.4 Kerangka Konseptual The Committee of Sponsoring Organizations of the
Treadway Commission (COSO)
Menurut SANS Institute (2004), untuk tujuan pedoman pengendalian internal,
PCAOB memilih kerangka pengendalian yang dibuat oleh The Committee of
Sponsoring Organizations of the Treadway Commission (COSO). COSO merupakan
sebuah organisasi inisiatif bersama dari lima organisasi sektor swasta yang didedikasikan
untuk menyediakan pemikiran kepemimpinan melalui perngembangan kerangka kerja
13
dan pedoman tentang manajemen risiko perusahaan, pengendalian internal, dan
pencegahan kecurangan (COSO.org, p. About us diakses pada 19 Agustus 2014). COSO
dibentuk oleh organisasi- organisasi sponsor The American Accounting Association
(AAA), The American Institute of Certified Public Accountants (AICPA), Financial
Executives International (FEI), The Institute of Internal Auditors (IIA), dan The Institute
of Management Accountant (IMA). Pada 14 Mei 2013, COSO merilis versi terbaru dari
Internal Control Integrated Framework (the 2013 Framework). 2013 Framework
ini membuat struktur yang lebih formal untuk desain dan evaluasi keefektifan
pengendalian internal dengan adanya 17 prinsip yang mendukung lima komponen
COSO. Di bawah COSO 2013 Framework ini menyatakan bahwa sistem pengendalian
internal yang efektif dapat terjadi ketika (Burns dan Simer, 2013, Vol. 20):
1. Masing-masing komponen dan prinsip yang ada hadir (present) dan berfungsi
(functioning). Present bermakna semua komponen dan prinsip ada di dalam
desain dan implementasi sistem pengendalian internal untuk mencapai tujuan
tertentu dan functioning bermakna komponen dan prinsip tersebut terus ada di
dalam pelaksanaan sistem pengendalian internal.
2. Lima komponen beroperasi bersama secara berkesinambungan.
Kerangka COSO bertujuan untuk memandu para manajemen atau pengelola
perusahaan dalam mengelola organisasinya untuk mencapai pengendalian internal yang
efektif dan peka terhadap risiko-risiko yang potensial pada organisasi (Moeller, 2009).
COSO mengembangkan kerangka pengendalian internal yang paling banyak digunakan
oleh para auditor internal untuk mengevaluasi penilaian Sarbanex-Oxley Section 404 atas
Pengendalian Internal atas Pelaporan Keuangan atau Internal Control over Financial
Reporting (ICoFR). Kerangka ini dikenal dengan nama COSO Internal Control-
Integrated Framework.
COSO memiliki model dimensional yang terdiri atas tiga sisi, yang dapat dilihat
pada gambar dibawah. Dimensi pertama merupakan tiga objektif pengendalian internal
14
yang memungkinkan perusahaan untuk fokus pada aspek yang berbeda pada
pengendalian internal (COSO Executive Summary, 2013):
Gambar 2.1
COSO Model
1. Operations
Objektif ini berkaitan dengan keefektifan dan keefisienan operasi suatu entitas,
meliputi sasaran kinerja operasional dan keuangan, dan pengamanan atas aset dari
kemungkinan kehilangan.
2. Reporting
Objektif ini berkaitan dengan pelaporan finansial dan non-finansial internal dan
eksternal dan mencakup keandalan, tepat waktu, transparansi, serta sesuai dengan
yang telah ditetapkan oleh regulator, standard setter, dan kebijakan perusahaan.
3. Compliance
Objektif ini terkait dengan kepatuhan perusahaan kepada hukum dan regulasi.
Kepatuhan perusahaan ini tidak hanya kepada hukum dan regulasi yang berlaku
namun kerangka ini turut mempertimbangkan kenaikan atas permintaan dan
kompleksitas hukum, regulasi, dan standar akuntansi.
15
Dimensi kedua pada bagian depan, memiliki lima komponen pengendalian
internal terintegrasi di mana framework ini mengemukakan 17 prinsip yang
merepresentasikan konsep fundamental pada masing-masing komponen. Lima
komponen tersebut meliputi:
1. Lingkungan pengendalian (control environment)
Lingkungan pengendalian merupakan seperangkat standar, proses, dan struktur
yang menyediakan basis untuk melaksanakan pengendalian internal di suatu
organisasi. Board of Directors (BOD) dan manajemen senior membangun tone
at the top berdasarkan pentingnya pengendalian internal yang meliputi standar
pelaksanaan. Menurut COSO framework 2013, prinsip yang mendukung
komponen ini antara lain:
a) Perusahaan berkomitmen atas integritas dan nilai etika.
b) BOD memiliki independensi dari manajemen dan bertindak mengawasi
pengembangan dan kinerja pengendalian internal.
c) Manajemen dengan dewan pengawas, membangun struktur, alur
pelaporan, serta wewenang dan tanggung jawab untuk mendukung
pencapaian objektif .
d) Perusahaan memiliki komitmen untuk memperoleh, membangun, dan
memelihara individu yang kompeten dengan objektif perusahaan.
e) Perusahaan memiliki individu-individu yang akuntabel dalam hal
tanggung jawab pengendalian internal dalam rangka mencapai
objektifnya.
16
Hasil dari pengendalian internal ini memiliki dampak pervasive (dampak
menyeluruh, mempengaruhi yang lain) pada keseluruhan sistem pengendalian
internal.
2. Penilaian resiko (risk assessment)
Setiap perusahaan menghadapi berbagai risiko, baik yang berasal dari dalam
maupun luar perusahaan. Risiko adalah kemungkinan di mana suatu kejadian
akan muncul dan secara negatif mempengaruhi pencapaian sasaran. Penilaian
risiko diperlukan karena meliputi suatu proses dinamis dan berulang untuk
mengidentifikasi dan menilai risiko dalam pencapaian sasaran. Manajemen
menetapkan objektif yang dihubungkan dengan berbagai level perusahaan
sebagai pre-kondisi penilaian risiko dengan kategori yang berhubungan dengan
operations, reporting, dan compliance dengan kejelasan yang memadai untuk
dapat mengidentifikasi dan menganalisis risiko dengan sasaran tersebut.
Manajemen juga harus memperhatikan perubahan yang mugkin terjadi pada
lingkungan eksternal dan model bisnis perusahaan yang dapat mempengaruhi
ketidakefektifan pengendalian internal. Dalam COSO framework 2013,
komponen risk assessment memiliki empat prinsip khusus, antara lain:
a) Perusahaan menetapkan objektifnya secara jelas untuk memudahkan
proses mengidentifikasi dan menilai risiko terkait objektif tersebut.
b) Perusahaan mengidentifikasi risiko usahanya terkait pencapaian objektif
seluruh entitas dan menganalisis risiko tersebut untuk menentukan cara
yang tepat untuk mengelolanya.
c) Perusahaan harus memperhatikan potensi dan adanya kecurangan dalam
menganalisis risiko pencapaian objektif.
17
d) Perusahaan mengidentifikasi dan menilai perubahan-perubahan dalam
organisasi yang dapat mempengaruhi sistem pengendalian internal
secara signifikan.
3. Aktivitas Pengendalian (Control Activities)
Aktivitas pengendalian adalah tindakan yang dibangun melalui kebijakan dan
prosedur yang membantu memastikan bahwa instruksi manajemen untuk
memitigasi risiko dalam pencapaian sasaran telah dilaksanakan. Aktivitas
pengendalian ini ada di dalam setiap level perusahaan, setiap tahap tingkatan
dalam proses bisnis, dan dalam lingkungan teknologi. Aktivitas pengendalian
dapat bersifat preventif maupun detektif dan meliputi serangkaian aktivitas
manual dan otomatis seperti otorisasi dan persetujuan, verifikasi, rekonsiliasi, dan
tinjauan kinerja bisnis. Umumnya perusahaan menggunakan sistem segregation
of duties untuk meminimalisir risiko tindakan yang tidak sesuai yang dapat
dilakukan oleh individu. Dalam COSO Framework 2013, komponen risk
assessment memiliki tiga prinsip khusus, yaitu:
a) Perusahaan memilih dan membangun aktivitas pengendalian yang
berkontribusi atas mitigasi risiko untuk pencapaian objektif pada level
yang masih dapat diterima.
b) Perusahaan memilih dan mengembangkan aktivitas pengendalian umum
terkait teknologi untuk mendukung pencapaian objektif.
c) Perusahaan menyebarkan aktivitas pengendalian melalui kebijakan yang
dibentuk untuk menentukan target dan ekspektasi serta prosedur untuk
merealisasikan kebijakan tersebut.
18
Menurut The Institute of Internal Auditors (2013), tidak cukup untuk hanya
mengenali berbagai macam risiko dan menghadirkan fungsi pengendalian.
Tantangan yang dihadapi oleh perusahaan saat ini adalah menetapkan tanggung
jawab spesifik dan untuk berkoordinasi secara efektif dan efisien sehingga
jurang maupun duplikasi pengendalian tidak muncul. Tanggung jawab dapat
dipandang secara umum terdiri dari tiga garis pertahanan (Three Lines of Defense
model) yang menyediakan cara yang sederhana dan mudah untuk meningkatkan
komunikasi dalam manajemen dan pengendalian risiko melalui klarifikasi
tanggung jawab dan peran penting (IIA, 2013). Dalam model ini, pengendalian
manajemen merupakan garis pertahanan pertama di dalam manajemen risiko,
berbagai pengendalian risiko dan fungsi pengawasan kepatuhan merupakan garis
pertahanan kedua, serta audit internal merupakan garis pertahanan ketiga. Model
ini terlihat pada gambar berikut.
Sumber :
IIA Position Paper, 2013
Gambar 2.2
Three Lines of Defense Model
19
4. Informasi dan Komunikasi (Information and Communication)
Informasi diperlukan perusahaan untuk melaksanakan tanggung jawab
pengendalian internal untuk mendukung pencapaian tujuannya. Manajemen
memperoleh dan menghasilkan, dan menggunakan informasi relevan dan
berkualitas dari internal maupun eksternal untuk mendukung fungsi komponen
lain dalam pengendalian internal. Komunikasi merupakan proses terus-menerus
dan berulang-ulang dalam rangka menyediakan, membagi, dan memperoleh
informasi yang diperlukan. Komunikasi internal adalah sarana yang mana
informasi disebarluaskan melalui organisasi. Komunikasi eksternal berfungsi
ganda: dapat menjadi komunikasi masuk dari informasi eksternal yang relevan,
dan menyediakan informasi kepada pihak eksternal sebagai respon persyaratan
dan ekspektasi. Menurut COSO framework 2013, prinsip khusus komponen
informasi dan komunikasi meliputi:
a) Perusahaan memperoleh atau menghasilkan serta menggunakan
informasi relevan dan berkualitas untuk mendukung fungsi pengendalian
internal.
b) Perusahaan secara internal berkomunikasi, meliputi objektif dan
tanggung jawab pengendalian internal yang diperlukan untuk
mendukung fungsi pengendalian internal.
c) Perusahaan berkomunikasi dengan pihak eksternal mengenai hal-hal
yang mempengaruhi fungsi pengendalian internal.
5. Pengawasan (Monitoring)
Komponen pengawasan berfungsi agar kekurangan dari sistem pengendalian
internal dapat segera dideteksi, dievaluasi, dan diperbaiki (Santoso, 2012). Dalam
20
COSO framework 1992 maupun 2013 dijelaskan bahwa terdapat dua jenis
evaluasi yang dapat digunakan perusahaan: evaluasi berkelanjutan, evaluasi
terpisah atau kombinasi keduanya. Evaluasi berkelanjutan dibangun di dalam
proses bisnis dan diaplikasikan untuk setiap level yang berbeda dalam
perusahaan, menyajikan informasi tepat waktu. Evaluasi terpisah dilaksanakan
secara berkala, dengan ruang lingkup dan frekuensi yang bergantung pada
penilaian risiko, keefektifan evaluasi berkelanjutan, dan pertimbangan
manajemen lain. Keduanya digunakan secara terpisah maupun tergabung untuk
memastikan apakah setiap komponen pengendalian internal, termasuk
pengendalian yang mempengaruhi prinsip di dalam tiap komponen, disajikan dan
berfungsi dengan baik. Adanya temuan akan dievaluasi berdasarkan kriteria yang
telah dibangun regulator, badan penetapan standar yang diakui atau manajemen
dan BOD, dan defisiensi akan dikomunikasikan kepada manajemen dan BOD.
Menurut COSO Framework 2013, prinsip di dalam komponen monitoring
meliputi:
a) Perusahaan memilih, mengembangkan, dan melaksanakan evaluasi
berkelanjutan dan/atau terpisah untuk memastikan apakah komponen
pengendalian internal dilaksanakan dan berfungsi dengan baik.
b) Perusahaan mengevaluasi dan mengkomunikasikan defisiensi
pengendalian internal secara tepat waktu untuk pihak yang
bertanggung jawab dalam mengambil tindakan perbaikan, termasuk
manajemen senior dan BOD.
Kerangka Pengendalian Internal COSO telah diadopsi Peraturan Menteri
Negara Badan Usaha Milik Negara Nomor PER 01/MBU/2011 tentang Penerapan Tata
21
Kelola Perusahaan yang Baik (Good Corporate Governance) pada Badan Usaha Milik
Negara. Sistem pengendalian internal, menurut peraturan menteri pasal 26 tersebut terdiri
dari:
a. Lingkungan pengendalian intern dalam perusahaan yang dilaksanakan dengan
disiplin dan terstruktur terdiri dari:
1) Integritas, nilai etika, dan kompetensi karyawan;
2) Filosofi dan gaya manajemen;
3) Cara yang ditempuh manajemen dalam melaksanakan kewenangan dan
tanggung jawabnya;
4) Pengorganisasian dan pengembangan sumber daya manusia; dan
5) Perhatian dan arahan yang dilakukan oleh Direksi.
b. Pengkajian terhadap pengelolaan risiko usaha (risk assessment), yaitu suatu
proses untuk mengidentifikasi, menganalisis, menilai pengelolaan risiko yang
relevan.
c. Aktivitas pengendalian, yaitu tindakan-tindakan yang dilakukan dalam suatu
proses pengendalian terhadap kegiatan perusahaan pada setiap tingkat dan unit
dalam struktur organisasi BUMN, antara lain mengenai kewenangan, otorisasi,
verifikasi, rekonsiliasi, penilaian atas prestasi kerja, pembagian tugas, dan
keamanan terhadap aset perusahaan.
d. Sistem informasi dan komunikasi, yaitu suatu proses penyajian laporan mengenai
kegiatan operasional, finansial, serta ketaatan dan kepatuhan terhadap ketentuan
peraturan perundang-undangan oleh BUMN.
22
e. Monitoring, yaitu proses penilaian terhadap kualitas sistem pengendalian intern,
termasuk fungsi audit internal pada setiap tingkat dan unit dalam struktur
organisasi BUMN, sehingga dapat dilaksanakan secara optimal
Dimensi ketiga dari COSO Framework adalah fokus pengendalian internal. Fokus
berarti pengendalian internal dapat dikonsentrasikan untuk mengevaluasi dua level
perusahaan, yakni pada:
1. Level Entitas (Entity-Level)
Pengendalian pada level entitas dirancang untuk memitigasi risiko yang ada pada
tingkat lingkungan perusahaan yang lebih luas. U.S. Public Company Accounting
Oversight Board (PCAOB) menyatakan dalam Auditing Standard No. 5 bahwa
pengendalian pada level entitas meliputi: pengendalian terkait lingkungan
pengendalian; pengendalian atas pengambilalihan manajemen; proses penilaian
risiko; pengendalian untuk memantau hasil operasi; dan pengendalian atas proses
pelaporan keuangan periode akhir.
2. Level Aktivitas atau Proses (Activity or Process Level)
Pengendalian ini dibagi ke dalam pengendalian pada level proses (process level
controls) yang berfokus pada proses dan pengendalian untuk mengurangi risiko
pencapaian objektif proses tersebut, dan level transaksi (transaction level
controls) yang lebih mendetail dan berfokus pada transaksi dan aktivitas tertentu.
Verifikasi fisik atas aset, supervisi pegawai dan evaluasi kinerja, serta rekonsiliasi
akun-akun tertentu merupakan contoh dari process level control. Sedangkan
otorisasi, dokumentasi, dan pemisahan tugas merupakan contoh transaction level
control.
23
2.2.5 Pedoman ICoFR Menurut IIA
The Institute of Internal Auditors (IIA) merupakan asosiasi profesional
internasional yang didirikan pada tahun 1941 dengan kantor pusat global yang berlokasi
di Florida, Amerika Serikat. The IIA adalah perwakilan global profesi audit internal,
otoritas yang diakui, pimpinan yang diakui, kepala advokat dan pendidik utama. Secara
umum, para anggota bekerja pada auditing internal, tata kelola, pengendalian internal,
audit teknologi informasi, edukasi, dan sekuritas (security) (na.theiia.org, p. about us
diakses pada 25 November 2014).
SEC mengeluarkan suatu panduan untuk manajemen yaitu Commission Guidance
Regarding Managements Report on Internal Control over Financial Reporting Under
Section 13(a) or 15 (d) of the Securities Exchange Act of 1934 pada Juni 2007. Sejalan
dengan SEC, pada Januari 2008, dalam rangka mempermudah implementasi ICoFR, The
Institute of Internal Auditors juga menerbitkan panduan bagi perusahaan dalam menilai
dan menerapkan ICoFR, yaitu Sarbanes-Oxley Section 404: A Guide for Management by
Internal Control Practitioners. Panduan IIA ini telah mengacu pada COSO Internal
Control Integrated Frameworks. Keduanya juga telah mengikuti AS-5 yang diterbitkan
oleh PCAOB. Panduan yang diterbitkan oleh IIA ini memiliki empat tahapan utama
dalam ICoFR, yaitu (IIA, 2008):
1. Defining The Detailed Scope for Section 404
Suatu pengendalian internal atas pelaporan keuangan yang efisien adalah ketika
manajemen dapat memperhatikan area-area paling berisiko dan dianggap material
terhadap laporan keuangan perusahaan (Djakman, 2014). Untuk dapat menghadirkan
keyakinan yang memadai, terdapat beberapa tahap dalam menentukan ruang lingkup
pengendalian internal terhadap pelaporan keuangan:
24
a. Using a Top-Down and Risk-based Approach to Defining the Scope
Dalam mendefinisikan jangkauan penilaian manajemen, pendekatan top-down
dan basis risiko (TDRA) harus diambil. Pendekatan TDRA dimulai di tingkat
laporan keuangan dan memahami keseluruhan atas ICoFR. Pendekatan ini
memusatkan perhatian pada akun, pengungkapan, dan asersi yang
menggambarkan kemungkinan yang wajar atas salah saji yang material pada
laporan keuangan dan pengungkapan terkait melalui prinsip yang berfokus pada
risiko dan materialitas terhadap keseluruhan proses dan memberikan perhatian
yang lebih pada area yang memiliki risiko yang lebih besar.
b. The Detailed Process for Defining The Scope
Proses ini mencakup pengidentifikasian akun buku besar yang disusun dalam
laporan keuangan yang dikategorikan signifikan dan material.
c. Materiality
Suatu informasi dikatakan material jika pemahaman dan perubahan yang terjadi
dapat mempengaruhi keputusan ekonomis dari pengguna berdasarkan laporan
keuangan. Pertimbangan materialitas harus dilakukan oleh pihak yang memiliki
semua fakta dan pengetahuan setelah berdiskusi dengan pihak auditor eksternal.
Pertimbangan ini harus mencakup faktor kualitatif dan kuantitatif.
d. Significant Accounts and Disclosures
Setelah menentukan tingkat materialitas, manajemen harus menentukan
bagaimana dan di mana eror akan muncul. Laporan keuangan diuji untuk
menentukan akun dan pengungkapan mana yang memiliki kemungkinan
kesalahan material. Hal ini disebut sebagai akun signifikan.
25
Setelah risiko terkait akun signifikan diidentifikasi, pengendalian harus segera
dirancang untuk memitigasi risiko dari akun-akun signifikan tersebut. Tingkat
materialitas dan akun signifikan harus dinilai minimal tiga bulan sekali, atau
ketika terjadi perubahan yang material dalam bisnis, untuk memastikan bahwa
setiap area yang perlu diperhatikan telah tercakup di dalam ruang lingkup.
e. Financial Statement Assertions
Manajemen harus dapat memastikan semua asersi yang relevan untuk setiap akun
signifikan telah ditangani oleh pengendalian kunci yang tepat. Asersi yang
disarankan oleh AS-5 antara lain: Existence/Occurrence, Completeness,
Valuation/Allocation, Rights and Obligations, dan Presentation and Disclosure.
f. Significant Locations, Business Processes, and Major Classes of Transactions
Kebanyakan perusahaan beroperasi di beberapa lokasi, dan analisis harus dibuat
untuk mengidentifikasi lokasi-lokasi tersebut yang signifikan. Mengacu pada
ketentuan PCAOB AS-5 tentang pengambilan keputusan atas penentuan cakupan
unit bisnis dengan memperhatikan beberapa faktor: (1) apakah unit bisnis terkait
merupakan unit bisnis yang signifikan secara individu (single entity); (2) apakah
unit bisnis terkait memiliki risiko yang signifikan; (3) apakah suatu unit bisnis
merupakan unit bisnis yang signifikan apabila dikonsolidasikan dengan unit
bisnis lainnya; dan (4) apakah terdapat tingkat pengendalian secara entitas pada
unit bisnis tersebut.
g. Key Control
Menurut IIA, key control adalah pengendalian yang, apabila gagal, berarti
terdapat kemungkinan yang memadai bahwa kesalahan material di dalam laporan
keuangan tidak dapat dihindari atau dideteksi secara tepat waktu. Key control
26
merupakan salah satu hal yang dibutuhkan untuk menyediakan keyakinan yang
memadai bahwa kesalahan material akan dihindari atau dideteksi. Penentuan
pengendalian utama merupakan faktor penting yang mempengaruhi efektivitas
dan efisiensi pengendalian internal perusahaan.
1) Identifying Key Controls Within Business Process
Manajemen perlu menentukan pengendalian-pengendalian utama yang
dilakukan pada proses bisnis tertentu, untuk memitigasi risiko yang ada
sehingga perusahaan secara keseluruhan dapat berjalan efektif.
2) Identifying Key ITGCs
Information Technology General Control memberikan keyakinan bahwa
aplikasi yang ada dalam perusahan telah dikembangkan dan dipelihara
dengan baik sehingga berfungsi secara optimal dan melakukan
pengendalian otomatis, sekaligus meyakinkan penggunaan aplikasi yang
tepat dan perlindungan terhadap data dari program dan tindakan yang tidak
terotorisasi.
3) Other Entity-level Controls
Manajemen tidak hanya harus memperhatikan pengendalian entity-level yang
memiliki hubungan langsung dengan salah saji material namun juga yang tidak
berhubungan langsung.
4) Spreadsheets and Other End-user Computing Issues
Kesalahan (error) seringkali muncul di saat mengunduh melalui sistem
perusahaan, misalnya pengunduhan yang tidak lengkap, data yang telah usang
dan tidak akurat, populasi pengunduhan yang tidak tepat, error pada perhitungan
spreadsheet, dan juga kesalahpahaman dalam menggunakan spreadsheet, serta
27
adanya perubahan data oleh user dan perubahan spreadsheet oleh user lain karena
buruknya pengendalian keamanan. Mengingat banyak kesalahan spreadsheet
yang ditemukan di sejumlah perusahaan yang menyebabkan kesalahan material
dalam laporan keuangan, risiko dalam bidang ini harus dikenali dan ditangani.
5) Controls perfromed by Third-party Organizations
Ketika fungsi pengendalian dilakukan oleh pihak ketiga, manajemen harus
melakukan penilaian dan menguji apakah pengendalian telah dirancang dengan
baik dan apakah pihak ketiga tersebut telah mengoperasikan pengendalian dengan
apa yang sudah dirancang.
6) Fraud Risk Assessment
AS-5 menyatakan bahwa auditor harus mengevaluasi apakah pengendalian
perusahaan telah mampu untuk mengidentifikasi risiko atas salah saji material
karena kecurangan. Manajemen dapat menimbang peluang dan memitigasi
terjadinya fraud dengan melakukan pemisahan tugas maupun pembatasan akses
yang bersifat preventif.
7) Process and Control Documentation
Proses bisnis penting dan, transaksi material dan pengendalian terkait harus
didokumentasikan. Manajemen harus membentuk suatu manajemen perubahan
(change management) apabila ada perubahan proses dan pengendalian dalam
perusahaan sehingga proses dokumentasi dapat disesuaikan dengan perusahaan
tersebut.
2. Testing Key Controls
Evaluasi dalam bentuk pengujian perlu dilakukan manajemen untuk memastikan
bahwa pengendalian telah beroperasi sesuai dengan rancangan dan apakah pihak yang
28
melaksanakan pengendalian memiliki otoritas dan kompetensi untuk melaksanakan
pengendalian secara efektif. Manajemen memiliki fleksibilitas dalam memilih teknik
untuk menguji pengendalian kunci, namun harus dipastikan bahwa:
Teknik pengujian harus menyediakan keyakinan memadai bahwa pengendalian
telah berjalan efektif sesuai yang didokumentasikan.
Ketika teknik self-assessment digunakan, harus terdapat konfirmasi tingkat
keyakinan atas independensi self-assessment tersebut.
Pengujian harus menyediakan keyakinan bahwa pengendalian beroperasi secara
efektif pada akhir tahun (tanggal akhir pelaporan). Bila dilakukan pengujian di
awal tahun harus terdapat tahapan- tahapan, seperti melaksanakan reperformance
pengujian sebelumnya dengan transaksi kuartal empat.
Pengujian harus dilakukan oleh individu yang kompeten dan terlatih. Manajemen
harus memilih pendekatan yang paling sesuai dengan organisasi setelah
berkonsultasi dengan pakarnya, termasuk auditor internal. Beberapa teknik
pengujian antara lain:
Traditional testing of controls, seperti:
- Performance of walkthroughs. Walkthrough merupakan proses reka-ulang
sebuah proses bisnis untuk memahami proses bisnis masing-masing siklus
dan keunikan pelaksanaan proses bisnis. Hal ini dilakukan melalui
konfirmasi kecukupan dokumentasi dan desain pengujian untuk mencapai
tujuan pengendalian.
- Tanya-jawab (inquiry), pemeriksaan (examination), dan inspeksi dokumen
terkait untuk mengonfirmasi bahwa pengendalian telah dilakukan secara
konsisten.
29
- Perhitungan ulang (reperformance) dari contoh transaksi untuk
mengonfirmasi bahwa pengendalian dilakukan secara efektif.
Continuous auditing, yang mencakup pengujian transaksi dalam periode yang
berkelanjutan. Pada umumnya teknik ini dibantu oleh software khusus untuk
memilih transaksi yang akan diperiksa.
Continuous monitoring, umumnya menggunakan software untuk memonitor
transaksi dan tidak hanya mengidentifikasi transaksi untuk pengujian, terutama
untuk pengujian keseluruhan transaksi yang diproses agar sesuai dengan
parameter yang dipilih.
Management self-assessment. Manajemen perlu berkonsultasi dengan pakar
pengujian untuk memastikan bahwa hasil self- assessment memberi bukti yang
wajar dan objektif bahwa pengendalian beroperasi sebagaimana yang dinilai.
Dalam rangka mematuhi peraturan SOX 404, perusahaan harus dapat
mempertimbangkan biaya yang akan dikeluarkan untuk melaksanakan program internal
audit terkait SOX 404 ini, khususnya biaya atas jasa auditor eksternal. Oleh karena itu
manajemen dapat meminimalisir biaya ini dengan melaksanakan proses pengujian
ICoFR yang efektif dan efisien agar dapat mengurangi beban kerja auditor eksternal.
a) Testing Automated Controls
Merupakan pengujian yang dilakukan terhadap pengendalian di dalam sistem TI,
dapat dilaksanakan oleh staf TI perusahaan maupun auditor spesialis TI.
b) Testing Indirect Entity-Level Controls
Merupakan pengujian yang dilakukan pada pengendalian tidak langsung di
tingkat perusahaan, seperti nilai-nilai etika dan keefektifan pengawasan komite
audit. IIA menyarankan pihak manajemen untuk melaksanakan pengujian ini
30
mengingat manajemen lebih memiliki direct exposure dan memahami bagaimana
pengendalian dijalankan di dalam perusahaan.
3. Assessing the Adequacy of Controls, Including Assessing Deficiencies
Ketika seluruh pengendalian penting diidentifikasi dengan baik, dinilai secara
cukup sesuai rancangan, dan hasil pengujian mengindikasikan bahwa seluruhnya telah
berjalan secara efektif, manajemen harus pula dapat menilai keseluruhan sistem ICoFR
untuk efektif. Namun kenyataannya, pengecualian akan teridentifikasi di dalam
pengujian. Sejumlah pengendalian kunci dapat dianggap terlewat, tidak sempurna dalam
desain, atau tidak beroperasi secara efektif.
Manajemen harus menentukan apakah defisiensi-defisiensi ini mengartikan
bahwa sistem pengendalian internal tidak menyediakan tingkat keyakinan yang memadai
yang tidak akan menimbulkan kesalahan material di laporan keuangan yang akan
diterbitkan.
4. Managements Report on Internal Controls The End Product
Manajemen harus memberikan kesimpulan atas kinerja ICoFR yang sebenarnya
dan melaporkan hasil akhir kepada perusahaan. Apabila ditemukan defisiensi maka harus
dikomunikasikan beserta dengan informasi terkait yang disediakan agar investor dapat
memahami makna dan risikonya, dan bagaimana manajemen akan memastikan
integritas
2.3 Memahami dan Menilai Risko ICoFR
Setelah dipaparkan mengenai pedoman audit ICoFR dari IIA, pada bagian ini
akan dijelaskan mengenai bagaimana prosedur bagi auditor dalam memahami dam
menilai risiko pengendalian internal atas pelaporan keuangan secara lebih detail.
31
Meskipun di Indonesia belum diwajibkan untuk mengikuti aturan SOX 404, namun
prosedur penilaian risiko pengendalian internal yang umum (biasa dilakukan oleh auditor
dalam satu periode) dengan prosedur untuk ICoFR yang disyaratkan oleh SOX 404 tidak
berbeda, yang membedakan adalah cakupan audit pada ICoFR jauh lebih luas
dibandingkan audit umum. Karena pada audit ICoFR cakupannya lebih luas,
diperbolehkan untuk ditangani oleh dua KAP yang berbeda. Misalkan, untuk audit
laporan keuangan umum ditangani oleh KAP A, sedangkan untuk audit ICoFR ditangani
oleh KAP B. Namun perlu diingat, meskipun ditangan oleh KAP yang berbeda, hasil
yang dikeluarkan akan berhubungan karena asumsinya, jika ICoFR buruk, maka tidak
mungkin laporan keuangan yang dihasilkan akan disajikan secara wajar. Berikut adalah
fase yang dilakukan oleh auditor untuk memahami dan menilai pengendalian internal.
Gambar 2.3
Empat Fase Audit ICoFR
32
2.3.1 Obtain and document understanding of internal control design and
operation.
Fase pertama adalah mendapatkan dan mendokumentasikan pemahaman desain
pengendalian internal dan operasinya. Hal ini penting bagi auditor. Sumber utama bagi
auditor untuk memahami pengendalian internal biasanya berasalh dari dokumentasi
pengendalian internal dari manajemen (Section 404 mewajibkan manajemen untuk
mendokumentasikan proses penilaian efektivitas pengendalian internal atas pelaporan
keuangan). Standar audit juga mewajibkan auditor untuk mendapatkan dan juga
mendokumentasikan pemahaman mereka mengenai pengendalian internal.
Dokumen yang digunakan oleh auditor untuk memahami pengendalian internal
biasanya dalam bentuk narrative, flowchart, dan kuisioner. Karena section 404 memang
mewajibkan manajemen untuk membuat dokumen tersebut, maka itu sudah tersedia
untuk auditor.
a. Narrative, merupakan deskripsi tertulis mengenai pengendalian internal klien.
Biasanya menggambarkan empat hal: (1) Asal dari setiap dokumen yang ada
dalam sistem; (2) Proses yang terjadi; (3) Disposisi setiap dokumen dan
catatan dalam sistem ; dan (4) Indikasi pengendalian yang relevan dengan
penilaian risiko.
b. Flowchart, merupakan dokumen yang berisi diagram pengendalian internal
yang menggambarkan arus dalam organisasi.
c. Kuisioner pengendalian internal, dokumen yang mengajukan serangkaian
pertanyaan tentang pengendalian di setiap area audit sebagai alat untuk
mengidentifikasi kekurangan pengendalian internal. Respon yang diberikan
33
terdiri dari ya atau tidak. Tidak berarti menandakan ada kekurangan
dalam pengendalian.
Gambar 2.4
Kuisioner Pengendalian Internal Hillsburg Hardware Co.
34
Selain memahami rancangan pengendalian internal, auditor juga harus
mengevaluasi apakah pengendalian yang dirancang sudah diterapkan. Dalam prakteknya,
pemahaman mengenai desain dan implementasi pengendalian internal sering dilakukan
secara bersamaan. Dengan memahami desain dan implementasi pengendalian internal,
aditor dapat menilai apakah klien bisa di audit atau tidak.
2.3.2 Assess Control Risk
Setelah auditor memahami dan menilai pengendalian internal, auditor selanjutnya
membuat preliminary assessment of control risk untuk menilai risiko salah saji material.
Penilaian ini merupakan ukuran dari harapan auditor bahwa pengendalian internal akan
mencegah terjadinya salah saji material atau mendeteksi dan memperbaikinya jika telah
terjadi. Auditor akan memulai dari penialaian pengendalian pada level entitas. Seperti
yang diketahui bahwa pengendalian pada level entitas akan berdampak secara pervasive
kepada seluruh siklus perusahaan.
Setelah auditor sudah yakin bahwa pengendalian pada level entitas telah
dijalankan, langkah selanjutnya adalah membuat penialain untuk setap transaksi utama
dalam siklus transaksi dan mengaitkannya dengan audit objective. Banyak auditor
menggunakan matriks risko pengendalian (control risk matrix) untuk membantu dalam
proses penilaian risiko pengendalian pada tingkat transaksi. Tujuannya untuk memberi
kemudahan dalam mengatur penilaian risiko pengendalian untuk setiap audit objective.
Berikut adalah matriks risiko pengendalian untuk perusahaan Hilssburg Hardware Co.
35
Gambar 2.5
Matriks Risiko Pengendalian Hilssburg Co. - Siklus Penjualan
36
Dalam membuat matriks pengendalian, persiapan yang harus dilakukan adalah:
a. Identifikasi Audit Objectives
Langkah pertama dalam penialain adalah mengidentifikasi audit objectives
untuk setiap kelas/siklus transaksi, saldo rekening, dan penyajian dan
pengungkapan dimana penilaian dilakukan.
b. Identifikasi Pengendalian yang ada
Selanjutnya, auditor menggunakan informasi yang didapatkan dari fase
pertama (mendapatkan dan mendokumentasikan pemahaman mengenai
pengendalian internal) untuk mengidentifikasi pengendalian yang ada untuk
mencapai tujuan audit dalam siklus transaksi yang dimaksud. Misalnya,
auditor dapat menggunakan pengetahuannya mengenai sistem perusahaan
untuk mengidentifikasi pengendalian yang bertujuan mencegah terjadinya
kesalahan atau kecurangan dalam terjadinya transaksi terkait tujuan audit.
Perlu diingat, audit hanya harus mengidentifikasi pengendalian yang
mempunyai dampak signfikan dalam memenuhi tujuan audit terkait transaksi.
Ini yang disebut key control. Alasan untuk memasukkan hanya key control
adalah bahwa itu akan mencukupi untuk mencapai tujuan audit terkait
transaksi dan juga memberikan efisiensi audit. Contoh kontrol kunci untuk
Hillsburg Hardware ditunjukkan pada Gambar 2.5.
c. Menghubungkan pengendalian dengan audit objectives
Setiap pengendalian yang ada akan memenuhi satu atau lebih audit objectives.
Dapat dilihat pada gambar 2.5 bahwa satu pengendalian bisa memenuhi lebih
sari satu objectives. Bentuk matriks bisa menunjukkan bagaimana
pengendalian tersebut berkontribusi pada pencapaian satu atau lebih audit
37
objectives terkait transaksi. Dalam gambar 2.5, huruf/symbol C dimasukkan
pada kotak dimana pengendalian telah memenuhi tujuan.
d. Identifikasi dan evaluasi control deficiencies, significant deficiencies, dan
material weakness.
Auditor harus mengevaluasi apakah key controls ternyata tidak ada dalam
desain pengendalian internal atas pelaporan keuangan sebagai bagian dari
evaluasi control risk dan kemungkinan adanya salah saji laporan keuangan.
Standar auditing menentukan tiga tingkat tidak adanya pengendalian internal:
Control Deficiency. Hal ini terjadi jika desain atau operasi
pengendalian tidak membiarkan personil perusahaan untuk mencegah
atau mendeteksi salah saji secara tepat waktu saat menjalankan
fungsinya. Control deficiency terjadi ketika pengendalian yang
seharusnya ada hilang atau bahkan tidak di desain dengan benar.
Significant Deficiency, terjadi jika satu atau lebih control deficiency
yang tingkatnya parah namun tidak sampai material, tapi cukup
penting untuk mendapat perhatian dari orang yang bertanggung jawab
atas pengawasan pelaporan keuangan perusahaan.
Material Weakness, terjadi jika significant deficiency itu sendiri atau
dikombinasikan dengan significant deficiency lainnya, berakibat pada
kemungkinan bahwa pengendalian internal tidak dapat mencegah atau
mendeteksi salah saji material pada laporan keuangan.
Untuk mengetahui apakah internal control deficiency adalah kelemahan
material, mereka harus dievaluasi berdasarkan dua dimensi: kemungkinan
(likelihood) dan signifikansi. Lima tahap pendekatan bisa digunakan untuk
38
mengidentifikasi deficiencies, significant deficiencies, dan material
weakness.
1) Identifikasi pengendalian yang ada, karena deficiency dan material
weakness adalah absennya pengendalian yang memadai, maka
auditor harus terlebih dahulu mengetahui pengendalian yang ada.
2) Identifikasi ketidakhadiran key controls. Kuisioner, flowchart, dan
walkthrough adalah alat yang berguna untuk mengetahui dimana
pengendalian dirasa masih kurang dan kemungkinan salah saji
meningkat. Bisa juga menggunakan risk control matrix seperti
gambar 2.5.
3) Pertimbangkan kemungkinan kompensasi pengendalian
(compensating control). Compensating control adalah dimana di
tempat lain di dalam sistem ada yang mengimbangi tidak adanya key
control. Contoh umum dalam usaha kecil adalah keterlibatan aktif
pemilik. Bila ada kompensasi tersebut, tidak ada lagi deficiency atau
kelemahan material yang signifikan.
4) Tentukan apakah ada defisiensi atau kelemahan material yang
signifikan. Kemungkinan salah saji dan materialitas nya digunakan
untuk mengevaluasi apakah ada kekurangan atau kelemahan
material yang signifikan.
5) Tentukan salah saji potensial yang bisa terjadi. Langkah ini
dimaksudkan untuk mengidentifikasi salah saji tertentu yang
mungkin terjadi karena adanya kekurangan atau kelemahan material
yang signifikan. Pentingnya defisiensi atau kelemahan material
39
yang signifikan berhubungan langsung dengan kemungkinan dan
materialitas salah saji potensial.
Gambar 2.6
Defisiensi Pengendalian Internal Hillsburg Hardware Co.
Pada perusahaan Hillsburg Hardware, terdapat dua control deficiencies.
Keduanya bukan merupakan kelemahan material, namun salah satunya
(deficiency pertama) merupakan significant deficiency.
e. Menghubungkan control deficiency dengan Audit Objectives terkait
Sama halnya dengan pengendalian, masing-masing defisiensi atau kelemahan
material dapat diterapkan pada satu atau lebih tujuan audit yang terkait. Dalam
kasus Hillsburg Hardware pada Gambar 2.5, ada dua kekurangan kontrol, dan
masing-masing hanya berlaku untuk satu tujuan yang berhubungan dengan
transaksi. Defisiensi pengendalian ditunjukkan di tubuh gambar oleh D di
kolom tujuan yang sesuai.
40
f. Menilai Risiko Pengendalian untuk Setiap Tujuan Audit Terkait.
Setelah pengendalian dan kekurangan (defisiensi) diidentifikasi dan dikaitkan
dengan tujuan audit terkait transaksi, auditor dapat menilai risiko
pengendalian untuk tujuan audit terkait transaksi. Inilah keputusan kritis
dalam evaluasi pengendalian internal. Auditor menggunakan semua informasi
yang telah didapatkan sebelumnya untuk membuat penilaian risiko
pengendalian subyektif untuk setiap tujuan. Ada berbagai cara untuk
mengungkapkan penilaian ini. Beberapa auditor menggunakan ekspresi
subjektif seperti tinggi (high), sedang (medium), atau rendah (low). Lainnya
menggunakan probabilitas numerik seperti 1.0, 0.6, atau 0.2.
g. Mengkomunikasikan dengan TCWG (Those Charge With Governance).
Auditor harus mengkomunikasikan significant deficiencies dan material
weakness secara tertulis kepada TCWG segera setelah auditor menyadari
defisiensi. Komunikasi biasanya tertuju kepada komite audit dan manajemen.
h. Management Letter. Selain masalah ini, auditor sering mengidentifikasi
masalah-masalah yang berkaitan dengan pengendalian internal yang kurang
signifikan, serta peluang bagi klien untuk melakukan perbaikan operasional.
Ini juga harus dikomunikasikan ke klien. Bentuk komunikasi sering
merupakan surat terpisahi, disebut surat manajemen (management letter).
Meskipun surat manajemen tidak diwajibkan oleh standar auditing, auditor
umumnya mempersiapkannya sebagai layanan nilai tambah audit.
41
2.3.3 Test of Controls (Uji Pengendalian)
Uji pengendalian adalah cara bagi auditor untuk mendapatkan bukti tambahan
mengenai efektivitas operasi pengendalian . Bukti ini akan digunakan sebagai pendukung
untuk mengurangi risiko pengendalian ke tingkat yang cukup rendah. Jika hasil dari uji
pengendalian menunjukkan bahwa operasi pengendalian telah berjalan seperti yang
diharapkan, maka risiko yang telah dinilai pada risk assessment tidak berubah. Namun,
jika ternyata saat uji pengendalian menunjukkan bahwa pengendalian tidak berjalan
dengan efektif, risiko yang telah dinilai harus dipertimbangkan kembali. Sebagai contoh,
saat uji pengendalian ditemukan bahwa penerapan pengenadlian hanya terjadi sampai
pertengahan tahun, atau orang yang menerapkannya sering melakukan salah saji. Dalam
situasi seperti itu, maka auditor akan menggunakan risiko pengendalian yang lebih tinggi,
kecuali jika terdapat kompensasi pengendalian. Namun auditor tetap harus
mempertimbangkan dampaknya terhadap laporan auditor atas pengendalian internal.
Auditor biasanya menggunakan empat tipe prosedur uji pengendalian untuk
mendukung efektivitas pengendalian internal, prosedur yang sama dengan yang
dilakukan dengan manajemen. Tipe-tipe tersebut yaitu:
a. Membuat pertanyaan (inquiries) tentang personel yang tepat. Meskipun
inquiry bukan sumber yang cukup reliable sebagai bukti mengenai efektivitas
pengendalian, ini masih diperbolehkan. Sebagai contoh, untuk menentukan
bahwa akses personil yang tidak berwenang ditolak ke file komputer, auditor
dapat mengajukan pertanyaan kepada orang yang mengendalikan library
komputer dan orang yang mengendalikan tugas pengamanan password akses
online.
42
b. Periksa dokumen, catatan, dan laporan. Banyak pengendalian yang
meninggalkan jejak bukti dokumentasi yang jelas yang dapat digunakan untuk
menguji pengendalian. Misalnya, ketika pesanan pelanggan diterima, hal
tersebut digunakan untuk membuat pesanan penjualan ke pelanggan, yang
disetujui untuk kredit. Kemudian pesanan pelanggan dilampirkan pada
perintah penjualan sebagai otorisasi untuk diproses lebih lanjut. Auditor dapat
menguji pengendalian dengan memeriksa dokumen untuk memastikannya
lengkap dan sesuai dan tanda tangan atau inisial yang diperlukan ada.
c. Mengamati (observasi) kegiatan yang berhubungan dengan pengendalian.
Beberapa kontrol tidak meninggalkan jejak bukti, yang berarti bahwa tidak
mungkin untuk memeriksa bukti bahwa kontrol tersebut dijalankan di
kemudian hari. Misalnya, pemisahan tugas bergantung pada orang-orang
tertentu yang melakukan tugas tertentu, dan biasanya tidak ada dokumentasi
kinerja terpisah. Untuk kontrol yang tidak menghasilkan bukti dokumenter,
auditor umumnya mengamati pengaplikasian pengendalian di berbagai titik
sepanjang tahun.
d. Reperform client procedures. Terdapat kegiatan yang berhubungan dengan
pengendalian dimana terdapat dokumen dan catatan terkait, namun isinya
ternyata tidak mencukupi untuk tujuan auditor dalam menilai apakah
pengendalian beroperasi secara efektif. Misalnya, anggaplah bahwa harga
faktur penjualan diperoleh dari daftar harga utama, namun tidak ada indikasi
pengendalian didokumentasikan pada faktur penjualan. Dalam kasus ini,
umum bagi auditor untuk melakukan reperform aktivitas pengendalian untuk
melihat apakah hasil yang benar diperoleh. Untuk contoh ini, auditor dapat
43
melakukan prosedur reperform dengan menelusuri harga jual ke daftar harga
resmi yang berlaku pada tanggal transaksi. Jika tidak ada salah saji ditemukan,
auditor dapat menyimpulkan bahwa prosedur tersebut beroperasi
sebagaimana mestinya.
Menurut Arens et al (2014:311), sejauh mana uji pengendalian yang dilakukan
tergantung pada risiko pengendalian awal yang didapat (pada risk assessment). Misalnya,
jika auditor menggunakan risiko pengendalian yang rendah untuk di uji, maka ukuran
sampel akan lebih besar untuk inspeksi, observasi dan reperformance.
2.3.4 Decide Planned Detection Risk and Design Substantive Test
Pengujian substantif adalah prosedur-prosedur audit yang didesain untuk menguji
kesalahan dalam nilai rupiah (disebut juga salah saji moneter) yang mempengaruhi
langsung kebenaran dari saldo-saldo dalam laporan keuangan. Salah saji
(monetary misstatement) seperti itu adalah indikasi yang jelas dari salah saji dari akun-
akun. Terdapat 3 (tiga) macam pengujian substantif yaitu : (1) pengujian substantif atas
transaksi; (2) prosedur analitis; dan (3) pengujian terinci atas saldo.
Pengujian substantif atas transaksi
Tujuan dari pengujian substantif atas transaksi adalah untuk menentukan apakah
semua tujuan audit berkaitan dengan transaksi (transaction-related audit
objectives) telah terpenuhi untuk setiap kelas transaksi. Sebagai contoh auditor
melakukan pengujian substantif atas transaksi untuk menguji apakah transaksi
yang dicatat benar-benar ada dan transaksi yang ada semua telah dicatat.
Auditor juga melakukan pengujian ini untuk menentukan apakah transaksi
belanja telah dicatat dengan benar, transaksi belanja telah dicatat pada periode
44
laporan yang tepat, belanja telah diklasifikasikan dengan benar dalam neraca, dan
apakah belanja telah diikhtisarkan dan diposting dengan benar ke buku besar. Jika
auditor merasa yakin bahwa transaksi-transaksi telah dicatat dan diposting dengan
benar, auditor dapat meyakini bahwa jumlah dalam buku besar juga benar.
Prosedur analitis
Prosedur analitis mencakup perbandingan-perbandingan dari jumlahjumlah yang
dicatat dengan jumlah yang diharapkan yang disusun oleh auditor. Biasanya juga
prosedur analitis mencakup perhitungan rasio-rasio oleh auditor untuk
membandingkan dengan rasio tahun lalu dan data lain yang berhubungan. Dua
tujuan utama prosedur analitis yang dilakukan pada tahap pelaksanaan audit atas
saldo akun adalah
- mengindikasikan kemungkinan terjadinya salah saji dalam laporan
keuangan
- mengurangi pengujian terinci atas saldo.
- memahami bidang usaha klien
- menetapkan kelangsungan hidup suatu satuan usaha
Ada perbedaan mendasar dalam prosedur analitis yang dilakukan dalam tahap
perencanaan dan prosedur analitis yang dilakukan dalam tahap pengujian. Pada
tahap perencanaan, auditor mungkin menghitung rasio dengan menggunakan data
interim. Sedangkan pada tahap pengujian saldo akhir, auditor akan menghitung
kembali rasio itu dengan menggunakan data setahun penuh. Jika auditor percaya
bahwa prosedur analitis yang dilakukan mengindikasikan kemungkinan
terjadinya salah saji, maka prosedur analitis tambahan dapat dilakukan atau
auditor memutuskan untuk memodifikasi pengujian terinci atas saldo. Sedangkan
45
jika auditor mengembangkan ekspektasi dengan menggunakan prosedur analitis
dan menyimpulkan bahwa saldo akhir akun tertentu auditan layak, maka
pengujian rincian saldo tertentu mungkin diabaikan atau mengurangi ukuran
sampel yang dibutuhkan.
Pengujian terinci atas saldo
Pengujian terinci atas saldo memusatkan perhatian atas saldo-saldo akhir buku
besar untuk laporan realisasi pendapatan dan belanja serta neraca. Contoh dari
pengujian terinci atas saldo termasuk konfirmasi untuk saldo piutang,
pemeriksaan fisik persediaan, dan pemeriksaan kontrak utang dengan pihak lain.
Pengujian terinci atas saldo ini adalah penting karena bukti biasanya diperoleh
dari sumber yang independen sehingga dapat diandalkan.
Hampir sama halnya dengan pengujian atas transaksi, pengujian rincian saldo
harus dilakukan dengan memenuhi semua tujuan audit yang berkaitan dengan
saldo bagi masing-masing akun yang signifikan. Pengujian atas saldo akun juga
sangat penting karena bukti-bukti biasanya diperoleh dari sumber independen
dengan tingkat keyakinan yang lebih tinggi.
Luas dari pengujian terinci atas saldo bergantung dari hasil pengujian
pengendalian intern, pengujian substantif atas transaksi, dan prosedur analitis
untuk akun tersebut. Pengujian terinci atas saldo memiliki tujuan untuk
menetapkan kebenaran jumlah uang (monetary correctness) dari akun-akun
yang berhubungan sehingga dapat dikatakan sebagai pengujian substantif.
Pengujian rincian saldo juga dapat membantu dalam menetapkan kebenaran
moneter akun-akun yang berhubungan sehingga dianggap sebagai pengujian
46
substantif. Sebagai contoh, konfirmasi untuk pengujian atas salah saji adalah
pengujian substantif dan penghitungan Kas juga adalah pengujian substantif.
2.4 Laporan Auditor Mengenai Pengendalian Internal Berdasarkan Section 404
Sesuai SOX 404, berdasarkan penilaian dan pengujian auditor terhadap
pengendalian internal, auditor diwajibkan untuk membuat laporan audit mengenai
pengendalian internal atas pelaporan keuangan untuk perusahaan publik. Auditor dapat
menerbitkan laporan audit mengenai laporan keuangan dan pengendalian internal atas
pelaporan keuangan secara terpisah atau tergabung dalam satu laporan.
Ruang lingkup laporan auditor tentang pengendalian internal dibatasi untuk
mendapatkan keyakinan memadai bahwa material weakness dalam pengendalian internal
teridentifikasi. Dengan demikian, audit tidak dirancang untuk mendeteksi kekurangan
dalam pengendalian internal yang secara individual, atau secara agregat, yang tingkat
keparahannya ada di bawah tingkat material weakness. Berikut adalah beberapa contoh
laporan auditor mengenai pengendalian internal atas pelaporan keuangan.
Gambar 2.7
Laporan Auditor atas Pengendalian Internal
47
REPORT OF INDEPENDENT REGISTERED PUBLIC ACCOUNTING FIRM
To the Board of Directors and Stockholders of Microsoft Corporation

Redmond, Washington
We have audited the accompanying consolidated balance sheets of Microsoft Corporation

and subsidiaries (the "Company") as of June 30, 2013 and 2012, and the related consolidated
statements of income, comprehensive income, cash flows, and stockholders' equity for each
of the three years in the period ended June 30, 2013. These financial statements are the
responsibility of the Company's management. Our responsibility is to express an opinion on
these financial statements based on our audits.
We conducted our audits in accordance with the standards of the Public Company
Accounting Oversight Board (United States). Those standards require that we plan and
perform the audit to obtain reasonable assurance about whether the financial statements are
free of material misstatement. An audit includes examining, on a test basis, evidence
supporting the amounts and disclosures in the financial statements. An audit also includes
assessing the accounting principles used and significant estimates made by management, as
well as evaluating the overall financial statement presentation. We believe that our audits
provide a reasonable basis for our opinion.
In our opinion, such consolidated financial statements present fairly, in all material respects,
the financial position of Microsoft Corporation and subsidiaries as of June 30, 2013 and
2012, and the results of their operations and their cash flows for each of the three years in
the period ended June 30, 2013, in conformity with accounting principles generally accepted
in the United States of America.
We have also audited, in accordance with the standards of the Public Company
Accounting Oversight Board (United States), the Company's internal control over
financial reporting as of June 30, 2013, based on the criteria established in Internal
Control Integrated Framework (1992) issued by the Committee of Sponsoring
Organizations of the Treadway Commission and our report dated July 30, 2013, expressed
an unqualified opinion on the Company's internal control over financial reporting.
/s/ DELOITTE & TOUCHE LLP

Seattle, Washington
July 30, 2013
sumber: Microsoft Annual Report 2013

Gambar 2.8
Laporan Audit ICoFR yang Menyatu dengan Audit Laporan Keuangan:
Microsoft Corp.
48
Report of Independent Registered Public Accounting Firm
To the Supervisory Board and Shareholders of Koninklijke Philips N.V.:
We have audited Koninklijke Philips N.V. and subsidiaries internal control over financial reporting as of December 31, 2013,
based on criteria established in Internal Control Integrated Framework (1992) issued by the Committee of Sponsoring
Organizations of the Treadway Commission (COSO). Koninklijke Philips N.V.s Board of Management is responsible for
maintaining effective internal control over financial reporting and for its assessment of the effectiveness of internal control over
financial reporting, included in the accompanying section 11.1, Managements report on internal control, of this Annual Report.
Our responsibility is to express an opinion on the Companys internal control over financial reporting based on our audit.
We conducted our audit in accordance with the standards of the Public Company Accounting Oversight Board (United States).
Those standards require that we plan and perform the audit to obtain reasonable assurance about whether effective internal control
over financial reporting was maintained in all material respects. Our audit included obtaining an understanding of internal control
over financial reporting, assessing the risk that a material weakness exists, and testing and evaluating the design and operating
effectiveness of internal control based on the assessed risk. Our audit also included performing such other procedures as we
considered necessary in the circumstances. We believe that our audit provides a reasonable basis for our opinion.
A companys internal control over financial reporting is a process designed to provide reasonable assurance regarding the
reliability of financial reporting and the preparation of financial statements for external purposes in accordance with generally
accepted accounting principles. A companys internal control over financial reporting includes those policies and procedures that
(1) pertain to the maintenance of records that, in reasonable detail, accurately and fairly reflect the transactions and dispositions of
the assets of the company; (2) provide reasonable assurance that transactions are recorded as necessary to permit preparation of
financial statements in accordance with generally accepted accounting principles, and that receipts and expenditures of the
company are being made only in accordance with authorizations of management and directors of the company; and (3) provide
reasonable assurance regarding prevention or timely detection of unauthorized acquisition, use, or disposition of the companys
assets that could have a material effect on the financial statements.
Because of its inherent limitations, internal control over financial reporting may not prevent or detect misstatements. Also,
projections of any evaluation of effectiveness to future periods are subject to the risk that controls may become inadequate because
of changes in conditions, or that the degree of compliance with the policies or procedures may deteriorate.
In our opinion, Koninklijke Philips N.V. and subsidiaries maintained, in all material respects, effective internal control over
financial reporting as of December 31, 2013, based on criteria established in Internal Control Integrated Framework
(1992) issued by the Committee of Sponsoring Organizations of the Treadway Commission (COSO).
We also have audited, in accordance with the standards of the Public Company Accounting Oversight Board (United States), the
consolidated balance sheets of Koninklijke Philips N.V. and subsidiaries as of December 31, 2013 and 2012, and the related
consolidated statements of income, comprehensive income, cash flows, and changes in equity for each of the years in the three-
year period ended December 31, 2013, and our report dated February 25, 2014, expressed an unqualified opinion on those
consolidated financial statements.
KPMG Accountants N.V.
Amsterdam, The Netherlands
February 25, 2014
Sumber: Philips Annual Report 2013
Gambar 2.9
Laporan Audit ICoFR (Terpisah dari Laporan Audit Financial Statement)
49
BAB III
KESIMPULAN
3.1 Kesimpulan
Kesimpulan yang dapat diambil dari penyusunan paper ini adalah:
1. Pengendalian internal (internal control) adalah proses yang diimplementasi untuk
memberikan keyakinan memadai bahwa tujuan pengendalian dapat tercapai.
Tujuan pengendalian tersebut meliputi: safeguard assets: mencegah atau
mendeteksi akusisi, penggunaan, atau disposisi aset yang tidak sah, memelihara
catatan dengan rinci untuk melaporkan aset perusahaan secara akurat dan jujur,
menyediakan informasi yang akurat dan handal, meningkatkan efisiensi
operasional, mendorong ketaatan terhadap kebijakan manajerial yang telah
ditentukan, mematuhi peraturan dan regulasi yang berlaku
2. ICoFR merupakan sebuah konsep mengenai pengendalian internal yang berfokus
pada pengendalian internal untuk risiko salah saji material. ICoFR berarti
merupakan kontrol yang dirancang khusus untuk menangani risiko yang terkait
dengan pelaporan keuangan. Secara sederhana, ICFR perusahaan publik terdiri dari
kontrol yang dirancang untuk memberikan keyakinan memadai bahwa laporan
keuangan perusahaan dapat dipercaya dan dipersiapkan sesuai dengan GAAP.
Konsep ICoFR berangkat dari Auditing Standard No. 2 dan Auditing Standard No.5
yang dikeluarkan oleh PCAOB. Hal ini menjawab aturan dari SOX 404 yang
mewajibkan manajemen untuk bertanggungjawab atas pengendalian internal.
Sedangkan COSO adalah suatu kerangka kerja (framework) yang mempopulerkan
lima komponen pengendalian internal yaitu (1) control environment; (2) risk
assessment; (3) control activities; (4) information and communication; dan (5)
50
monitoring activities. Konsep ICoFR kemudian direfleksikan kedalam kerangka
kerja COSO, dan auditor yang auditee nya listing di SEC melakukan audit atas
ICoFR dengan mengacu pada kerangka kerja COSO.
3. Prosedur audit pengendalian internal terdiri dari empat fase, yaitu: (1) Obtain and
document understanding of internal control design and operation; (2) Assess
Control Risk; (3) Test of Controls (Uji Pengendalian); dan (4) Decide Planned
Detection Risk and Design Substantive Test. Setelah itu auditor akan megeluarkan
opini dalam laporan atas pengendalian internal terkait adapakh terdapat material
weakness dalam perusahaan.
51
DAFTAR PUSTAKA
Arens, Alvin A & Loebbecke, James K. 2014. Auditing, an Integrated Approach: Seventh
Edition. Upper Saddle River, New Yersey: Prentice-Hall, Inc.
Committee of Sponsoring Organizations of the Treadway Commission (COSO). 2013.

Internal Control Integrated Framework. melalui <http://www.coso.org/>
Deloitte. (2013). Training Control Group PT Pertamina (Persero) dan Anak Perusahaan,
Internal Control over Financial Reporting. Indonesia: Author.
Romney, Marshall B. & Steinbart, Paul J. (2012). Accounting Information Systems 12th
edition. New Jersey: Pearson Education.
OBrien, Patrick. (2006). Reducing SOX Section 404 Compliance Costs Via a Top-
Down, Risk-Based Approach. The CPA Journal.
SANS Institute. (2004). An Overview of Sarbanes-Oxley for The Information Security

Professional. Singapore: Author.
Sarbanes Oxley Act of 2002.
The Institute of Internal Auditors (IIA). (2013). IIA Position Paper: The Three Lines of
Defense in Effective Control Risk Management and Control. United States of
America: Author.
Tuanakotta, T. M. (2015). Audit Kontemporer (International Standards on Auditing).

Jakarta: Salemba Empat.
Sumber Lain
Microsoft Annual Report. (2013). Annual Report. Melalui<

https://www.microsoft.com/investor/reports/ar13/financial-review/auditors-
report/index.html>[24/9/7]
Philips Annual Report. (2013). Annual Report. Melalui, <
http://www.annualreport2013.philips.com/content/en/group_financial_statements/
auditors_report_on_internal_control.html>[27/9/17]
52
Lampiran I : Laporan Presentasi
Pemberi Pertanyaan:
1. Teguh Adiguna (120620150524)
Bagaimana hubungan audit pengendalian internal dengan tata kelola perusahaan?
Jawaban:
Auditor melakukan audit pengendalian internal dengan berpedoman pada COSO.

Pada kerangka COSO, didalamnya juga terdapat pedoman kerangka kerja
mengenai tata kelola perusahaan. Maka, ketika auditor melakukan audit
pengendalian internal, maka otomatis melakukan risk assessment pada tata kelola
perusahaan. Apabila ada kelemahan didalamnya, maka auditor dapat
memberitahukan kepada manajemen melalui management letter.
2. M. Ichsan (NPM. 120620150010)
Mengapa tidak menjabarkan kasus perusahaan, misalnya Telkom, yang jelas-jelas

sudah listing di NYSE?
Data yang dibutuhkan tidak tersedia. Namun sebenarnya audit pengendalian

internal, meskipun termasuk kedalam audit khusu, prosedur yang dilakukan sama
saja dengan yang biasa dilakukan auditor dengan mengacu pada ISA. Yang
menajadikan audit ini khusus karena di Indonesia audit ICoFR belum diwajibkan,
sehingga jika perusahaan ingin melakukan audit atas ICoFR harus melakukan
permintaan khusus kepada KAP.
3. Made Dwi (120620160027)
Bagaimana mendeteksi kesalahan pada saat audit IC?
Dalam melakukan audit pengendalian internal, ada empat fase yang harus
dilakukan. Fase pertama, auditor harus mendapatkan pemahan mengenai
pengendalian internal. Caranya bisa melalui flowchart atau kuisioner. Disini
53
auditor juga mengevaluasi apakah pengendalian internal sudah diterapkan atau
belum. Jika auditor sudah yakin pengendalian yang didesai sudah diterapkan,
auditor melakukan langkah selanjutnya yaitu melakukan risk assessment untuk
setiap transaksi dalam siklus dan mengaitkannya dengan audit objective
(Transaction Related Audit Objective-TRAO). Salah satu caranya dengan
menggunakan matriks control risk. Jika pengendalian yang ada sudah dapat
memenuhi audit objective, maka dapat dikatan bahwa pengendalian tersebut tidak
memiliki kekurangan (deficiencies), namun bila ternyata tidak dapat memenuhi
audit objective, disitulah auditor bisa menemukan bahwa ternyata ada kekurangan
dalam pengendalian internal. Tahap selanjutnya auditor tinggal melakukan TOC
dan Substantive Test untuk mendapatkan bukti tambahan.
Menanggapi Pertanyaan:
1. Annisa Nadia (120620160031)

2. Fesdine Cattelia (120620160025)
54

Audit Pengendalian Internal

Diunggah oleh

Informasi Dokumen

Hak Cipta

Format Tersedia

Bagikan dokumen Ini

Bagikan atau Tanam Dokumen

Opsi Berbagi

Apakah menurut Anda dokumen ini bermanfaat?

Apakah konten ini tidak pantas?

Hak Cipta:

Format Tersedia

Audit Pengendalian Internal

Diunggah oleh

Hak Cipta:

Format Tersedia

AUDIT PENGENDALIAN INTERNAL

Untuk mata kuliah Audit Khusus

PROGRAM MAGISTER AKUNTANSI

BAB I PENDAHULUAN ................................................................................................. 3

1.1 Latar Belakang

Selain audit atas laporan keuangan, Sarbanes-Oxley Act 2002 (SOX,2002) -

perusahaan atas pelaporan keuangan (Internal Control over Financial Reporting-ICFR).

dipercaya dan diandalkan. Ketua Security Exchange Commission (SEC), William

penyimpangan penggunaan sumber daya perusahaan dan menambah akurasi pelaporan

standar yang berlaku didalamnya.

1.2 Rumusan Masalah

1. Apa yang dimaksud pengendalian internal dan audit pengendalian internal.

2. Apa yang dimaksud ICoFR dan COSO.

3. Bagaimana prosedur audit pengendalian internal.

1. Untuk memberikan penjelasan mengenai pengendalian internal dan audit

2. Untuk memberikan penjelasan mengenai ICoFR dan COSO.

3. Untuk memberikan penjelasan mengenai prosedur audit internal control.

2.1 Pengendalian Internal

Menurut Romney dan Steinbart (2012), pengendalian internal (internal control)

pengendalian dapat tercapai. Tujuan pengendalian tersebut meliputi:

Safeguard assets: mencegah atau mendeteksi akusisi, penggunaan, atau disposisi

aset yang tidak sah

Menyediakan informasi yang akurat dan handal

Meningkatkan efisiensi operasional

Mendorong ketaatan terhadap kebijakan manajerial yang telah ditentukan

Mematuhi peraturan dan regulasi yang berlaku

Pengendalian internal menurut The Committee of Sponsoring Organizations of

The Treadway Commission (COSO) Internal Control - Integrated Framework Executive

Summary (Mei, 2013), didefinisikan sebagai:

a process, effected by an entitys board of directors, management and other

Definisi di atas merefleksikan konsep fundamental yang menyatakan bahwa

pengendalian internal (COSO, 2013):

Menurut The Institute of Internal Auditors (IIA) (2009), pengendalian internal

melaksanakan empat fungsi penting, yaitu:

1. Pengendalian preventif (Preventive Control) mencegah masalah sebelum masalah

Financial Reporting (ICoFR)

Menyiapkan informasi keuangan yang handal merupakan tanggung jawab utama

manajemen di setiap perusahaan. Terlebih, investor menempatkan kepercayaan hanya

terhadap laporan keuangan perusahaan apabila perusahaan ingin memperoleh modal di

misstatement dan ketidakakuratan tersebut di dalam laporan keuangan perusahaan

hukum federal mengharuskan perusahaan publik untuk membangun dan mengelola

menambahkan syarat yang berlaku untuk perusahaan publik kebanyakan, bahwa

manajemen setiap tahunnya menilai keefektifan ICoFR perusahaannya dan melaporkan

umumnya untuk melibatkan auditor independen untuk mengaudit keefektifan ICoFR

2.2.1 Sarbanes-Oxley Act

Pada tanggal 30 Juli 2002, Sarbanese-Oxley Act of 2002 disahkan menjadi

dengan memperbaiki keakuratan dan keandalan pengungkapan perusahaan yang dibuat

(SANS Institute, 2004).

(journalofaccountancy.com, 2002 diakses pada 19 Agustus 2014), perusahaan publik

fundamental terhadap perusahaan AS dan merugikan investor miliaran dolar. Peristiwa

pelaporan keuangan, SOX didesain untuk memperbarui kepercayaan investor dan

pemahaman atas pelaporan keuangan perusahaan publik, membuat laporan keuangan

lebih transparan, melindungi investor, menguatkan pengendalian internal, dan

menghukum eksekutif yang melakukan fraud (Romney dan Steinbart, 2012).

merupakan beberapa aspek penting dari SOX:

Public Company Accounting Oversight Board (PCAOB). SOX membuat PCAOB

untuk mengontrol profesi auditing. PCAOB mengatur dan menegakkan auditing,

risiko kualitas, etika, independensi, dan standar auditing lainnya.

Peraturan baru untuk auditor. Auditor harus melaporkan informasi spesifik

informasi. Perusahaan audit tidak dapat memberikan jasa kepada perusahaan

apabila manajemen puncak dipekerjakan oleh perusahaan auditing dan berkerja

untuk sisi perusahaan sebelum 12 bulan.

anggota Dewan Komisaris yang tidak melaksanakan tugas-tugas eksekutif dan

ahli keuangan. Komite audit merekrut, mengompensasi, dan mengawasi auditor