1. Pendahuluan
Bermula dengan banyaknya temuan kecurangan pada profesi akuntansi global yang merugikan
stakeholder – terutama sejak kasus Enron, Worldcom, Xerox, Tyco, Global Crossing dan
lainnya di tahun 2001. Oleh karena itu pemerintah Amerika Serikat menerbitkan undang-
undang yang dapat melindungi stakeholder yaitu Sarbanes-Oxley (Sarbanes-Oxley Act of
2002, Public Company Accounting Reform and Investor Protection Act of 2002) atau kadang
disingkat SOX atau Sarbox. Sarbaness-Oxley Act (SOX) diterbitkan untuk memproteksi
kepentingan investor dengan cara menciptakan tata kelola perusahaan yang baik, full
disclosure, dan akuntabilitas dalam perusahaan. Pasal yang berkatian dengan Internal Control
Over Financial Reporting (ICOFR) adalah 304 dan 404. Pasal 304 mewajibkan manajemen
membuat pernyataan dalam laporan keuangan sedangkan pasal 404 mensyaratkan adanya
laporan manajemen tahunan (annual management report) tentang pengendalian intern
perusahaan atas pelaporan keuangan dan laporan manajemen tersebut merupakan subjek yang
akan diaudit.
Jadi, selain adanya laporan auditor yang dilampirkan dalam laporan keuangan, juga terdapat
laporan manajemen tentang keefektifan pengendalian intern yang diimplementasikan dalam
perusahaan untuk mendukung reliabilitas laporan keuangan. Aturan pelaksanaannya bagi
auditor dam manajemen telah diatur dalam PCAOB Auditing Standard No. 2 an audit of
internal control over financial reporting performed in conjunction with an audit of financial
statements dan AS No. 5 an audit of internal control over financial reporting that is
integrated with an audit of financial statements. SEC dan PCAOB menganjurkan
menGgunakan kerangka acuan pengendalian internal COSO (Committee of Sponsoring
Organizations of the Treadway Commission) dan untuk pengendalian internal teknologi
informasi disarankan menggunakan COBIT (Control Objectives for Information and related
Technology), yang dikebangkan oleh ISACA (Information Systems Audit and Control
Association) sekarang versi 4.1.
Semua ketentuan dalam SOX berlaku bagi perusahaan Amerika dan juga perusahaan Non
Amerika. Baik yang mengeluarkan saham atau obligasi di pasar modal Amerika seperti tentu
di New Yorks Stock Exchange. Tentu saja UU ini akan berpengaruh juga pada perusahaan
Indonesia yang mendaftarkan sahamnya di pasar modal Amerika seperti PT Telkom, PT
Indosat dan sebagainya. Jika hal ini berpengaruh maka sudah otomatis akan mempengaruhi
professi akuntan di Tanah Air khususnya yang mengadit perusahaan yang dipengaruhi oleh
Sarbanes Oxley Act itu.
2. ICOFR di Indonesia
ICOFR di Indonesia telah diatur dalam SPAP (Standar Audit Akuntan Publik) yang diterbitkan
oleh IAI (Ikatan Akuntan Indonesia) yaitu standar yang mewajibkan auditor untuk
melaksanakan pekerjaan sesuai dengan standar pekerjaan lapangan No.2, SPAP 1994 – PSA
No.06, 23, 24, 35, 60 & 69 , SPAP 2001-SAT Seksi 400 & SA Seksi 314, dalam
implementasinya pengendalian internal menggunakan COSO, namun kewajiban audit atau
memberi opini atas pengendalian internal belum diterapkan. Bagi BUMN keharusan
penyelenggaraan pengendalian internal berbasis COSO tertuang dalam pasal 22 Keputusan
Menteri BUMN Nomor Kep-117/M-MBU/2002 tentang penerapan good governance pada
Badan Usaha Milik Negara (BUMN). Dalam keputusan tersebut dinyatakan bahwa manajemen
BUMN harus memelihara pengendalian internal bagi perusahaan yang meliputi. Keputusan
Ketua Badan Pengawas Pasar Modal nomor: Kep-40/PM/2003 atau peraturan nomor VIII.G.11
tentang tanggung jawab direksi atas laporan keuangan, yaitu:
a. Laporan Keuangan dalam rangka kewajiban penyampaian laporan keuangan kepada
Bapepam.
b. Direksi Emiten atau Perusahaan Publik wajib membuat surat pernyataan.
c. Surat pernyataan sebagaimana wajib ditandatangani oleh Direktur Utama dan seorang
Direktur yang membawahi bidang akuntansi atau keuangan, dan bermeterai cukup.
d. Direksi Emiten atau Perusahaan Publik secara tanggung renteng bertanggung jawab atas
pernyataan yang dibuat termasuk kerugian yang mungkin ditimbulkan.
e. Surat pernyataan wajib dilekatkan pada laporan keuangan yang disampaikan kepada
Bapepam.
f. Dalam hal laporan keuangan yang disampaikan telah diaudit atau ditelaah secara terbatas,
maka tanggung jawab Direksi atas pernyataan sebagaimana dimaksud berlaku sampai
dengan tanggal pendapat akuntan.
g. Laporan keuangan interim yang disampaikan tidak diaudit, maka tanggung jawab Direksi
atas pernyataan berlaku sampai dengan tanggal disampaikannya surat pernyataan dimaksud
kepada Bapepam.
h. Dengan tidak mengurangi ketentuan pidana di bidang Pasar Modal, Bapepam berwenang
mengenakan sanksi terhadap setiap pelanggaran ketentuan peraturan ini, termasuk pihak-
pihak yang menyebabkan terjadinya pelanggaran tersebut.
Perusahaan Indonesia yang listing di bursa efek di Amerika Serikat (NYSE) dan hanya satu-
satunya Badan Usaha Milik Negara (BUMN) di Indonesia yang terdaftar di NYSE sehingga
PT Telkom harus patuh terhadap SOA section 404 seperti yang disyaratkan oleh SEC
(Securities and Exchange Commission).
PT Pelabuhan Indonesia III (Persero) merupakan pemerintah yang perlu diaudit oleh auditor
atas laporan keuangan menerapkan standar SPAP dan harus melakukan review intern control
atas laporan keuangan. Berdasarkan informasi hingga saat ini PT Pelabuhan Indonesia III
(Persero) belum melakukan reviu pengendalian internal dan belum membuat pernyataan
Direksi atas penerapan pengendalian internal.
Pelajaran yang harus dipetik adalah bahwa dengan globalisasi ini maka kita mau tidak mau
baik akuntan, perusahan, manajemen, analis, pemerintah selaku regulator dan juga dunia
kampus harus selalu mengikuti atau kalau bisa didepan untuk menerapkan “good governance”
disemua bidang bukan saja di dunia swasta, tetapi juga di dunia birokrasi dan dunia akademis.
Status kita yang selalu dianggap memiliki risiko tinggi tidak lepas dari aspek penerapan “good
governance” ini. Kita akan selalu menjadi bulan bulanan para professional dan penentu
kebijakan tingkat internasional. Sebenarnya dengan sifat budaya kita yang religius sudah cukup
menjadi modal awal untuk menerapkan good governance itu, namun modal perasaan religius
tidak cukup karena harus ditopang oleh penegakan aturan aturan yang baik dan benar sesuai
dengan ukuran baik dan buruk yang ditetapkan oleh nilai nilai akhlak dan agama yang kita
anut. Upaya meningkatkan peran agama menurut saya masih relevan untuk menegakkan moral
bangsa, moral birokrat, moral pengusaha, yang terpuruk ini.
Doylea, Geb, dan McVay (2006) menemukan bahwa salah satu penyebab kelemahan material
pengendalian internal menurut section 302 dan 404 Sarbanex-Oxley Act adalah kompleksitas
proses operasi. Sementara Namiri dan Stojanovic (2007) mengemukakan bahwa rancangan
pengendalian harus mengendalikan ke arah mana sebuah proses bisnis dilaksanakan. Sebuah
perancangan ulang proses bisnis pun (business process reengineering), menyebabkan
pemutakhiran kembali penilaian risiko pada proses bisnis, yang menggiring ke sebuah
pengendalian yang baru atau terbaharui, termasuk pengujiannya. Proses bisnis merupakan
fokus utama dalam menilai perancangan dan pengelolaan pengendalian internal.
Proses bisnis adalah serangkaian atau sekumpulan aktifitas yang dirancang untuk
menyelesaikan tujuan strategik sebuah organisasi, seperti pelanggan dan pasar (Hollander,
Denna, dan Cherrington, 2000). Proses bisnis memiliki beberapa karakteristik antara lain
(Sparx System, 2004)
a. memiliki tujuan,
b. memiliki input tertentu,
c. memiliki output tertentu,
d. menggunakan sumberdaya,
e. memiliki sejumlah aktifitas yang dilakukan dalam suatu urutan,
f. dapat mempengaruhi lebih dari satu unit organisasional, dan
g. mnciptakan suatu nilai untuk konsumen. pelanggan dapat berupa internal atau eksternal.
3. Pengendalian Internal
SAT Seksi 400 menyatakan Pelaporan Pengendalian Intern Suatu Entitas Atas Pelaporan
Keuangan. Paragraf 03 Manajemen dapat menyajikan asersi tertulis tentang efektivitas
pengendalian intern suatu entitas dalam bentuk:
a. Suatu laporan terpisah yang akan melampiri laporan praktisi.
b. Suatu surat representasi yang ditujukan kepada praktisi (namun, dalam hal ini, praktisi harus
membatasi penggunaan laporannya hanya untuk manajemen dan pihak lain dalam entitas dan,
jika berlaku, badan pengatur yang ditentukan).
Komponen yang membentuk pengendalian intern suatu entitas adalah suatu fungsi definisi
pengendalian intern yang dipilih oleh manajemen. Sebagai contoh, manajemen dapat memilih
definisi pengendalian intern yang terdapat dalam SA Seksi 319 [PSA No. 23] Pertimbangan
atas Pengendalian Intern dalam Audit atas Laporan Keuangan. Paragraf 07 menjelaskan
komponen yang membentuk pengendalian intern entitas sebagaimana didefinisikan dalam SA
Seksi 319 [PSA No. 231 tersebut: lingkungan pengendalian, penaksiran risiko, aktivitas
pengendalian, informasi dan komunikasi, serta pemantauan. Jika manajemen memilih definisi
lain suatu pengendalian intern, penjelasan komponen yang membentuknya dalam paragraf
tersebut mungkin tidak relevan.
a. COSO Internal Control Frameworks.
Dikembangkan oleh The Committee of Sponsoring Organization of the Treadway Commission
sejak sebelum 1980, pertama kali dipublikasi pada tahun 1992 yang kemudian dikembangkan
hingga kini. COSO Internal Control Framework lebih dikenal sebagai acuan yang diterima
umum dalam pengendalian internal perusahaan dan kaitannya dengan pelaporan keuangan dan
proses operasi.
Definisi pengendalian internal menurut COSO adalah Sebuah proses, yang dilaksanakan oleh
dewan direksi, manajemen, dan personil lainnya, yang dirancang untuk menyajikan keyakinan
memadai terkait dengan pencapaian tujuan-tujuan dibawah ini:
- Efektifitas dan efisiensi operasi
- Keandalan pelaporan keuangan
- Kepatuhan terhadap hukum dan peraturan
2) Penilaian Risiko merupakan identifikasi dan analisa risiko perusahaan yang relevan
dengan pencapaian tujuan, memberikan dasar bagi penentuan pengelolaan risiko.
Penilaian Risiko:
a) Penetapan Tujuan Tingkat Entitas
b) Penentuan Tujuan Tingkat Aktivitas
c) Identifikasi dan analisa risiko
d) Pengelolaan perubahan
Aktivitas pengendalian terdiri dari kebijakan dan prosedur yang merasakan bahwa
diperlukan tindakan untuk meredam risiko dalam upaya pencapaian tujuan perusahaan
secara umum.
Aktivitas pengendalian dapat dijelaskan sebagai berikut:
a) Adequate Separation of Duties (Pemisahan Tugas yang Cukup)
Pengendalian internal yang baik menetapkan bahwa tidak ada pegawai yang diberikan
terlalu banyak tanggung jawab sehingga perlu adanya pemisahan tugas. Beberapa pedoman
umum dalam pemisahan tugas untuk mencegah salah saji, baik yang disengaja maupun yang
tidak disengaja, yaitu :
(1) Pemisahan fungsi pemegang aktiva dari fungsi akuntansi
(2) Pemisahan otorisasi transaksi dari pemegang aktiva yang bersangkutan
(3) Pemisahan tanggung jawab operasional dari pembukuan
(4) Pemisahan tugas dalam EDP
b) Proper Authorization of Transaction and Activities (Otorisasi yang Pantas atas Transaksi)
Otorisasi dapat berbentuk umum dan khusus. Otorisasi umum berarti bahwa manajemen
menyusun kebijakan bagi organisasi untuk ditaati. Sedangkan otorisasi khusus dilakukan
terhadap transaksi individual. Misalnya, manajemen menentukan kebijakan otorisasi untuk
pembelian aktiva berdasarkan jumlah tertentu yang sudah ditetapkan, ini adalah otorisasi
umum. Bila jumlah pembelian melebihi yang ditetapkan, maka harus diotorisasi dulu oleh
dewan komisaris, ini adalah otorisasi khusus.
c) Adequate Document and Record (Dokumen dan Catatan yang Memadai)
Dokumen dan catatan adalah objek fisik dimana transaksi dimasukkan dan diikhtisarkan.
Dokumen berfungsi sebagai pengantar informasi ke seluruh bagian organisasi. Dokumen
harus memadai untuk memberikan keyakinan memadai bahwa seluruh aktiva dikendalikan
dengan pantas dan seluruh transaksi dicatat dengan benar. Beberapa prinsip tertentu yang
relevan menandai perancangan dan penggunaan yang tepat atas dokumen dan catatan.
Dokumen dan catatan hendaknya :
(1) Diberi nomor urut untuk mencegah terjadinya dokumen yang hilang dan membantu
menelusurinya bila diperlukan.
(2) Dibuat pada saat yang sama ketika terjadinya transaksi atau segera sesudahnya.
(3) Cukup sederhana agar mudah dimengerti.
(4) Dirancang untuk berbagai kegunaan (bila mungkin) untuk mengurangi jumlah formulir
yang harus dibuat.
(5) Dirancang sedemikian rupa untuk memungkinkan penyajian yang benar.
Pengendalian yang erat berkaitan dengan dokumen dan catatan adalah bagan perkiraan yang
mengklasifikasikan transaksi ke dalam perkiraan neraca dan laba rugi. Bagan perkiraan
merupakan pengendalian yang penting karena memberikan kerangka kerja untuk
menentukan informasi yang disajikan kepada manajemen lain dari laporan keuangan.
Prosedur untuk pencatatan secara tepat harus disesuaikan dalam sistem manual untuk
mendorong penerapan yang konsisten. Sistem manual harus menyediakan informasi yang
cukup untuk membantu pencatatan dan mempertahankan informasi yang tepat atas
transaksi.
Sistem informasi yang relevan terhadap tujuan pelaporan keuangan yang meliputi sistem
akuntansi terdiri dari metoda dan catatan yang ditetapkan untuk mencatat, mengolah,
mengikhtisarkan, dan melaporkan transaksi suatu entitas dan mempertahankan akuntabilitas
untuk aktiva dan utang yang berkaitan.
Komunikasi mencakup memberikan pemahaman peranan individual dan tanggung jawab
yang berkaitan dengan pengendalian intern atas laporan keuangan. Komunikasi meliputi
sejauh mana personel memahami bagaimana aktivitas mereka dalam sistem informasi
pelaporan keuangan berkaitan dengan pekerjaan dan hal lainnya.
Monitoring:
a) Monitoring berkesinambungan
b) Evaluasi Terpisah
c) Pelaporan Kelemahan
b. COBIT (Control Objective for Information and Related Technology)
COBIT (Control Objective for Information and Related Technology) Dikembangkan
pertama kali oleh Information System Audit and Control Association (ISACA) tahun 1992
yang kemudian dikelola oleh The IT Governance Institute (ITGI) – sebuah badan afiliasi
ISACA – hingga kini COBIT telah terbit dengan versi 4.1. COBIT merupakan kerangka
pengendalian internal yang diterima secara umum untuk teknologi informasi (TI). COBIT
diterjemahkan ke dalam empat domain 34 Control Objectives dan 256 Control Indicator.
Pantauan (Monitoring)
31. M1 Pemantauan proses
32. M2 Penilaian kecukupan pengendalian intern
33. M3 Perolehan jaminan yang independen
34. M4 Penyediaan audit yang independen
Gambar 3. IT Governance
6. Jenis-jenis pengendalian
a. Berdasarkan tujuan, meliputi:
1) Pengendalian Akuntansi, meliputi rencana, prosedur dan pencatatan yang bertujuan
menjaga keamanan kekayaan perusahaan dan keandalan data akuntansinya.
Pengendalian ini menjamin bhw semua transaksi dilaksanakan sesuai otorisasi
manajemen. Transaksi dicatat sesuai dengan Standar akuntansi
2) Pengendalian Administratif, meliputi rencana, prosedur dan pencatatan yang mendorong
efisiensi dan ditaatinya kebijakan manajemen yang ditetapkan
a. Dasar Implementasi
1) Undang-Undang Republik Indonesia Nomor 19 Tahun 2003 Tentang Badan Usaha Milik Negara.
2) Undang-Undang Republik Indonesia Nomor 40 Tahun 2008 Tentang Perseroan Terbatas.
3) Keputusan Menteri Negara BUMN No.Kep-117/M-MBU/2002 tentang Penerapan Praktek Good Corporate
Governance Dalam Badan Usaha Milik Negara (BUMN).
4) Keputusan Kepala Bapepam No VIII.G.11, IX.E.1/2 dan IX.I.5
5) PSAK Standar Pekerjaan Lapangan No.2, SPAP 1994 – PSA No.06, 23, 24, 35, 60 & 69 dan SPAP 2001 SAT
Seksi 400 & SA Seksi 314
6) Mempertimbangkan perkembangan operasi perusahaan dimana perusahaan telah go public, maka ada beberapa
peraturan di luar negeri terutama Amerika Serikat, antara lain :
- Sarbanes Oxley Act item 304 dan 404
- SEC No 33-8810 atau 33-8818
- Standard Audit No 2 dan 5 PCOAB
- SAS 55/78 AICPA
Yang mengatur perusahaan harus melakukan review internal control dan berkewajian untuk menyertakan
pernyataan direksi dalam laporan keuangan dan di audit oleh auditor idependen.
Sumber :
Mukhtar Daud, 2011, http://mukhtardaud.blogspot.co.id/2011/08/internal-control-over-financial.html (Diakses
Tanggal 11 Juni 2017)
Welcome to COSO
The 2017 update to the Enterprise Risk Management — Integrated Framework addresses the
evolution of enterprise risk management and the need for organizations to improve their
approach to managing risk to meet the demands of an evolving business environment. The
update highlights the importance of considering risk in both the strategy-setting process and in
driving performance.
The 2013 Framework is expected to help organizations design and implement internal control
in light of many changes in business and operating environments since the issuance of the
original Framework, broaden the application of internal control in addressing operations and
reporting objectives, and clarify the requirements for determining what constitutes effective
internal control.
COSO has also issued Illustrative Tools for Assessing Effectiveness of a System of
Internal Control and the Internal Control over External Financial Reporting (ICEFR):
A Compendium of Approaches and Examples. The Illustrative Tools are expected to assist
users when assessing whether a system of internal control meets the requirements set forth in
the updated Framework. The ICEFR Compendium is particularly relevant to those who prepare
financial statements for external purposes based upon requirements set forth in the updated
Framework.
The 2013 COSO Framework & SOX Compliance: One Approach to an Effective Transition
Executive Summary
Poster of Internal Control – Integrated Framework Principles
FAQs
PowerPoint Slides