Anda di halaman 1dari 6

PT Unilever Indonesia (UNVR)

SOX section 302

Bagian 302 berfokus pada kontrol internal dan membutuhkan manajemen perusahaan, termasuk
CEO untuk:

1. Memberikan sertifikasi informasi keuangan dan lainnya yang terkandung dalam


laporan triwulanan dan tahunan.
2. Menyatakan kendali internal atas pelaporan keuangan.
3. Tanggung jawab negara untuk desain pengendalian internal dan memberikan jaminan
yang wajar untuk keandalan proses pelaporan keuangan.
4. Mengungkapkan perubahan materi terbaru dalam kontrol internal.

PT Unilever telah menerapkan dan akan terus mengembangkan kerangka pengendalian internal
yang dirancang untuk memberikan jaminan yang wajar, namun tidak mutlak, bahwa aset
Perseroan terjaga dengan aman, risiko yang dihadapi bisnis dapat ditangani dengan baik, dan
informasi apapun yang harus diungkapkan dapat dilaporkan ke Direksi. Kerangka pengendalian
internal tersebut mencakup risiko keuangan, operasional, sosial, strategis, lingkungan serta risiko
yang muncul dari regulasi pemerintah. Pelaksanaan dari kerangka kerja pengendalian internal
didukung oleh Kode Etik Bisnis, serta seluruh informasi baik finansial, maupun lain – lain telah
dijamin oleh manajemen perusahaan. Manajemen perusahaan juga menjamin pengendalian
internal terhadap laporan keuangan perusahaan. Hal tersebut diungkapkan semua dalam annual
report PT Unilever halaman 219 dan 222.

SOX section 404

Bagian 404 mengharuskan manajemen perusahaan publik untuk menilai efektivitas pengendalian
internal atas pelaporan keuangan. Laporan tahunan harus:

1. Menjelaskan aliran transaksi, termasuk aspek-aspek IT.


Mendeskripsikan arus transaksi, termasuk dalam aspek IT, dalam perincian yang cukup
untuk mengidentifikasi letak-letak dimana kesalahan penyajian dapat terjadi.
2. Mengkaji desain dan efektivitas operasi IC yang terkait dengan akun material.
Menggunakan pendekatan berdasarkan risiko, dengan menilai desain dan efektivitas
operasi dari pengendalian internal yang dipilih berhubungan dengan akun-akun yang
material.
3. Menilai potensi penipuan dan evaluasi kontrol yang dirancang untuk mencegah atau
mendeteksi. Menilai kemungkinan potensi fraud atau kecurangan yang dapat terjadi
dalam sistem dan mengevaluasi pengendalian yang didesain untuk mencegah dan
mendeteksinya.
4. Mengevaluasi dan menyimpulkan tentang kecukupan kontrol atas proses pelaporan
laporan keuangan.
5. Mengevaluasi kontrol umum yang sesuai dengan kerangka kontrol internal COSO.
Mengevaluasi pengendalian (umum) entitas secara keseluruhan entity-wide yang sesuai dengan
komponen- komponen dari Statement on Auditing Standards No. 78 (SAS 78) / Kerangka Kerja
COSO).

 PT Unilever tidak mendeskripsikan arus transaksi, termasuk dalam aspek IT, dalam
perincian yang cukup untuk mengidentifikasi letak – letak di mana kesalahan penyajian
dapat terjadi.
 Perusahaan telah menggunakan pendekatan berdasarkan risiko, dengan menilai desain
dan efektivitas operasi dari pengendalian internal yang dipilih berhubungan dengan akun-
akun yang material. Melalui panduan yang dilakukan oleh temuan proses dari peninjauan
dua lapis ini, Unilever terus membangun kerangka kerja pengendalian internal secara
menyeluruh yang lebih komprehensif dan kuat serta terpadu di seluruh lini Perseroan.
Kerangka kerja ini mencakup lima proses kunci: Procure to Pay (P2P), Order to Cash (O2C),
Make to Deliver (M2D), Record to Report (R2R) and Master Data (MD).
 Perusahaan tidak menilai potensi fraud dalam sistem dan mengevaluasi pengendalian
yang didesain untuk mencegah dan mendeteksinya.
 Perusahaan mengevaluasi pengendalian (umum) entitas secara keseluruhan entity-wide
yang sesuai dengan komponen-komponen dari Statement on Auditing Standards No. 78
(SAS 78)/kerangka kerja COSO.Evaluasi dapat dilihat di annual report halaman 221
berisikan bahwa efektivitas sistem pengendalian internal perusahaan diuji secara ketat
melalui dua lapis evaluasi, yaitu proses penjaminan manajemen dan proses penjaminan
ulang.

Audit Implications of Section 302 and 404

Bagian ini menjelaskan bahwa auditor harus membuktikan kualitas pengendalian internal dengan
mengeluarkan opini audit baru di samping pendapat keadilan. Harus meninjau kontrol internal
yang relevan atas pelaporan keuangan dan mengumpulkan bukti terdokumentasi dari kontrol
yang berfungsi dari manajemen. Auditor bertanggung jawab untuk mendeteksi aktivitas
penipuan dengan menguji kontrol yang dirancang untuk mencegah atau mendeteksi penipuan.

PT Unilever menguji dan mengevaluasi proses manajemen risiko (risk management),


pengendalian internal (internal control), dan proses tata kelola (governance) untuk menilai
kecukupan dan efektivitasnya, serta memberikan rekomendasi perbaikan. Perusahaan
memantau, menganalisis dan melaporkan pelaksanaan tindak lanjut yang telah dilakukan auditee
atas rekomendasi hasil audit. Selain itu perusahaan telah melaksanakan investigasi/pemeriksaan
khusus berdasarkan permintaan Dewan Komisaris, Komite Audit, Direksi, unit kerja atau adanya
indikasi tertentu.

Kegiatan utama Unit Audit Internal PT Unilever pada tahun 2017 adalah sebagai berikut:

 Melakukan 16 unit audit dan investigasi audit ad hoc, termasuk meninjau proses bisnis.
 Menindaklanjuti pelaksanaan rekomendasi audit yang disepakati.
 Mendukung investigasi kasus penipuan COBP.
 Memfasilitasi Auditor Eksternal selama pelaksanaan audit atas laporan keuangan
Perseroan.
 Memprakarsai beberapa aktivitas jaminan yang mencakup SoA, Akses Pengguna, dan
pengujian Kepatuhan SOX.
 Bertemu secara teratur dengan Direksi dan Komite Audit.
 Laporan tentang semua audit di atas diserahkan kepada Direktur Utama dan Direktur
yang relevan setelah manajemen telah menerima tindakan yang direkomendasikan.

Sebagai bagian dari Jaringan Unilever Global, Unilever Indonesia juga menjalani Audit Korporat
Global setiap 2 hingga 3 tahun sekali. Audit Global dilaksanakan pada tahun 2017 dan secara
keseluruhan Perseroan mendapatkan opini memuaskan.

Laporan keuangan konsolidasi Perseroan untuk tahun yang berakhir pada 31 Desember 2017
diaudit oleh akuntan public Siddharta Widjaja & Rekan (perusahaan anggota jaringan KPMG).
Firma ini dan mitranya saat ini telah memberikan layanan audit kepada Perseroan sejak tahun
2014. Firma tersebut tidak menyediakan layanan lain yang tidak terkait dengan audit untuk
Perseroan selama tahun berjalan.
Menurut IAI dan COSO pengendalian internal dapat dibedakan menjadi dua kategori, yaitu
Pengendalian Aplikasi (Application Control) dan Pengendalian Umum (General Control).

Pengendalian Umum

Pengendalian umum / IT General Control (ITGC) adalah kebijakan dan prosedur yang
berhubungan dengan aplikasi sistem informasi dan mendukung fungsi dari application control
dengan cara membantu menjamin keberlangsungan sistem informasi yang ada.

Tujuan pengendalian umum lebih menjamin integritas data yang terdapat di dalam sistem
komputer dan sekaligus meyakinkan integritas program atau aplikasi yang digunakan untuk
melakukan pemrosesan data.

General Control berlaku untuk semua komponen sistem, proses, dan data untuk sebuah
organisasi atau sistem lingkungan tertentu, termasuk: tata kelola TI, manajemen risiko,
manajemen sumber daya, operasional TI, pengembangan aplikasi dan pemeliharaan, manajemen
pengguna, keamanan logis, keamanan fisik, manajemen perubahan, backup dan recovery, dan
kelangsungan usaha. Tujuan utamanya adalah untuk memahami tujuan audit di setiap daerah
kontrol umum dan sifat dari tes dimana auditor melakukan untuk mencapai tujuan tersebut.

Jenis –Jenis General Control antara lain:

a. operating system controls


b. data management controls
c. systems development controls
d. systems maintenance controls
e. computer center security and control
f. Internet and Intranet controls
g. electronic data interchange (EDI) controls
h. personal computer controls

Pengendalian Aplikasi

Pengendalian Aplikasi (Application Control) bertujuan untuk memberikan kepastian bahwa


pencatatan, pengklasifikasian, dan pengikhtisaran transaksi sah, serta pemutakhiran file – file
induk akan menghasilkan informasi yang akurat, lengkap, dan tepat waktu.

Pengendalian aplikasi ini dibagi menjadi tiga kategori pengendalian, yakni pengendalian atas
masukan, pengendalian atas pengolahan dan file data komputer, serta pengendalian atas
keluaran. Tujuan dari pengendalian aplikasi ini adalah untuk memperoleh keyakinan:

1. Bahwa setiap transaksi telah diproses dengan lengkap dan hanya diproses satu kali
2. Bahwa setiap data transaksi berisi informasi yang lengkap dan akurat

3. Bahwa setiap pemrosesan transaksi dilakukan dengan benar dan tepat

4. Bahwa hasil – hasil pemrosesan digunakan sesuai dengan maksudnya

5. Bahwa aplikasi – aplikasi yang ada dapat berfungsi terus

Perbedaan utama antara pengendalian umum dan pengendalian aplikasi adalah bahwa sifat
pengendalian umum adalah prosedural, sedangkan pengendalian aplikasi bersifat lebih
berorientasi pada data. Oleh sebab itu, bagi auditor mungkin saja menilai pengendalian
umumnya secara terpisah dari penilaian terhadap pengendalian aplikasi.

Perbedaan lainnya general control merupakan pengendalian yang lebih luas dimana tidak hanya
pengendalian dalam sistem computer tetapi juga pengendalian di lingkungan proses sistem
tersebut berlangsung, seperti maintenance sistem computer dan pemisahan tugas dalam
departemen EDP, misalnya EDP manajer, system analis, programmer, operator computer, data
entry operator, librarian, serta data control group. Sedangkan application control berfokus pada
pengendalian dalam sistem computer terhadap input, proses, output. Pengendalian input lebih
kepada memeriksa kesesuaian data yang di entry dengan file yang terdapat di computer.
Pengendalian proses dengan memeriksa data yang error saat pemrosesan seperti urutan
program yang tidak sesuai dan pengendalian output dimana memeriksa apakah informasi yang
dihasilkan sudah akurat dan lengkap.

Peran auditor pada masing-masing IT Control (IT General Control dan IT Application Control)

1. Dalam IT General Control, auditor IT memiliki 3 peran, yakni:

• Manage Changes: Kontrol dalam manajemen perubahan program. Apakah perusahaan


tersebut memiliki prosedur-prosedur dalam melaksanakan perubahan program? Apakah ada
dokumentasi perubahan program? Apakah perubahan program tersebut diotorisasi, disetujui,
dan dites?

• Logical Access: Kontrol dalam akses ke aplikasi, data, dan infrastruktur. Bagaimana cara
end user masuk ke dalam aplikasi? Apakah ada password policy yang dipatuhi? Bagaimana akses
ke dalam server room? Prosedur apa yang harus dipatuhi untuk membuat user access baru?

• Other Procedures: Kontrol lain-lain, seperti back-up, scheduled processing, dan problem
management. Seberapa sering back-up data dilakukan? Bagaimana prosedur pelaporan masalah
yang dihadapi end user?
2. Dalam IT Application Control, Auditor IT memliki peran, yakni:

• Financial Statement Closing Procedure (FSCP – atau bisa disebut juga FI)

memverifikasi keakuratan data kinerja dan memastikan kesesuaian dengan pedoman peraturan
khusus. Ini termasuk prinsip-prinsip akuntansi yang berlaku umum, atau GAAP, dan standar
pelaporan keuangan internasional, atau IFRS.

• Purchase to Pay (PTP – atau bisa disebut juga MM)

mengacu pada proses bisnis yang mencakup kegiatan meminta (permintaan), pembelian,
penerimaan, pembayaran dan akuntansi untuk barang dan jasa.

• Order to Cash (OTC – atau bisa disebut juga SD).

biasanya mengacu pada salah satu proses bisnis tingkat atas (konteks level) untuk menerima dan
memproses pesanan pelanggan.

Beri Nilai