a. Pengertian Internal Control Over Financial Reporting (ICoFR)
ICoFR merupakan sebuah proses yang dirancang oleh, atau berada di bawah pengawasan, direktur utama dan direktur keuangan, atau orang-orang yang melaksanakan fungsi serupa, dan dilaksanakan dalam kegiatan perusahaan oleh direksi, manajer, dan personil lainnya untuk dapat memberikan keyakinan yang memadai mengenai kehandalan pelaporan keuangan dan penyusunan laporan keuangan untuk pihak eksternal, telah sesuai dengan prinsip akuntansi yang berlaku umum. b. Tujuan pelaksanaan ICoFR Tujuan dilaksanakannya ICoFR antara lain: 1) Memastikan pencatatan yang cukup rinci, akurat, dan dan wajar atas transaksi dan pengelolaan perusahaan, 2) Memberikan keyakinan yang memadai bahwa transaksi telah dicatat dengan benar dalam rangka penyiapan laporan keuangan sesuai dengan prinsip akuntansi yang berlaku umum, dan bahwa setiap penerimaan dan pengeluaran perusahaan telah mendapatkan otorisas dari manajemen perusahaan. 3) Memberikan keyakinan yang memadai mengenai upaya pencegahan atas identifikasi perolehan, penggunaan atau pengelolaan aset perusahaan tanpa otorisasi yang dapat berdampak material atas laporan keuangan. c. Ruang Lingkup ICoFR Menurut Sarbanes –Oxley section 404, ruang lingkup dalam ICoFR merupakan wilayah dalam perusahaan yang harus diuji pengendalian internal yang ada di dalamnya, antara lain: 1) Pengendalian tingkat entitas (Entity Level Control) Pengendalian yang dibangun oleh manajemen untuk memberikan keyakinan yang memadai bahwa telah terdapat pengendalian internal atas laporan keuangan yang sesuai pada seluruh organisasi perusahaan. 2) Pengendalian tingkat transaksional (Transactional Level Control) Pengendalian tingkat transaksional dimana pengedalian lebih fokus pada akun-akun signifikan dan proses serta transaksi terkait yang memungkinkan terjadi kesalahan (error) atau kecurangan (fraud) yang berdampak pada salah saji pada laporan keuangan. 3) Pengendalian berbasis teknologi informasi (IT Control) Pengendalian berbasis teknologi informasi (IT Control) merupakan pengendalian yang menggunakan media program aplikasi dan teknologi informasi. Pegendalian berbasis teknologi informasi meliputi: IT entity Level Control IT entity Level Control merupakan pengendalian teknologi informasi di tingkat entitas yang mempunyai pengaruh yang luas (pervasive effect) di perusahaan. IT General Control IT General Control merupakan pengendalian terkait pemanfaatan program aplikasi yang menunjang proses bisnis perusahaan d. Dasar Pelaksanaan ICoFR Sarbanes -oxley section 404 merupakan dasar dari ICoFR. Di mana dalam undang- undang tersebut mewajibkan manajemen perusahaan yang terdaftar di NYSE untuk melaporkan efektivitas ICoFR dan atestasi auditor eksternal mengenai efektivitas ICoFR. Laporan Manajemen mengenai efektivitas ICoFR harus memuat: 1) Penggunaan kerangka kerja COSO (COSO Framework) sebagai acuan untuk mengevaluasi efektivitas ICoFR. 2) Penilaian (assesment) manajemen mengenai efektivitas ICoFR pada akhir tahun, termasuk pengungkapan kelemahan yang material (material weakness) mengenai ICoFR yang teridentifikasi oleh manajemen pada saat dilakukan penilaian (assesment). 3) Laporan atestasi auditor eksternal terhadap efektivitas ICoFR. 4) Tanggung jawab manajemen untuk membangun dan memelihara ICoFR perusahaan yang memadai. e. Pembangunan ICoFR berdasarkan COSO Framework Security Exchange Commision (SEC) dan Public Company Accounting Oversight Board (PCAOB) merekomendasikan penggunaan kerangka kerja tersebut dalam ICoFR. COSO Framework digunakan sebagai kerangka pengendalian internal dengan pertimbangan bahwa kerangka tersebut dibuat oleh badan professional, dengan mengikuti proses dan prosedur yang baku, tidak bias, dan digunakan secara luas sebagai kerangka kerja pengendalian yang efektif. f. Evaluasi ICoFR Menurut Sarbanes Oxley Section 404, evaluasi ICoFR dilaksanakan melalui mekanisme audit, oleh internal auditor atau oleh penilaian pihak lain yang independen. Evaluasi oleh Internal Auditor dilakukan untuk menilai efektivitas ICoFR di perusahaan dengan cara melaksanakan walkthrough dan test of control (TOC). Bilamana perlu, atas permintaan manajemen penilaian ICoFR dapat dilakukan oleh pihak lain yang independen untuk memberikan bantuan teknis dan konsultasi dalam melakukan atestasi atas efektivitas ICoFR. Evaluasi ICoFR dilakukan dengan pendekatan kualitatif melalui wawancara yang dilakukan oleh pihak eksternal perusahaan maupun internal audit. Menurut Sarbanes Oxley Act 404, terdapat dua aspek yang harus dievaluasi dalam ICoFR, yakni dari aspek desain dan operasi pengendalian internal. Desain pengendalian internal dapat dikatakan efektif apabila : Desain tersebut dapat dilaksanakan secara operasional. Hasil desain dapat memenuhi tujuan pengendalian. Desain tersebut dapat menunjukkan risiko kemungkunan salah saji dalam laporan keuangan sertaupaya yang dilakukan untuk mencegah risiko tersebut. Desain tersebut dapat mencegah atau mendeteksi kesalahan atau kecurangan yang dapat menyebabkan salah saji material di dalam laporan keuangan. Untuk aspek pengujian atas efektivitas desain dapat dilakukan melalui walktroughatas proses bisnis yang berhubungan dengan pengendalian internal tersebut. Sedangkan untuk pengujian atas efektivitas operasi dapat dilakukan melalui Test of Control (TOC). Dalam melakukan evaluasi atas operasi ICoFR, terdapat beberapa istilah penting yang dijadikan sebagai kategori untuk mengelompokkan kelemahan dari pengendalian internal perusahaan, antara lain : Control Deficiency (CD) Control Deficiency (CD) merupakan kelemahan yang dimiliki oleh perusahaan dari segi pengendalian internal atas laporan keuangan. Untuk kategori ini, kelemahan yang ada dinilai tidak signifikan. Significant Deficiency (SD) Significant Deficiency (SD) merupakan kelemahan yang dihadapi oleh perusahaan dari segi pengendalian internal atas laporan keuangan. Untuk kategori ini, kelemahan yang ada dinilai signifikan. Material Weakness (MW) Material Weakness (MW) sama halnya dengan SD, hanya saja untuk MW, tingkat kelemahan yang dihadapi oleh perusahaan lebih tinggi, sehingga diperlukan perhatian khusus dari perusahaan yang bersangkutan. Untuk kategori ini, kelemahan yang ada dinilai material.
IMPLEMENTASI ICOFR PADA PT PERTAMINA
Sejak tahun 2012, pengendalian internal atas pelaporan keuangan (ICoFR) mulai dikembangkan oleh PT Pertamina (Persero) dan sebagian anak perusahaannya, yaitu PT Pertamina EP, PT Pertamina Drilling Services Indonesia, PT Pertamina Hulu Energi, PT Pertamina Geothermal Energy (PT PGE), PT Pertamina Patra Niaga, dan PT Pertamina Gas (Deloitte, 2013). Pengembangan ICoFR ini memegang prinsip-prinsip sebagai berikut (Pedoman ICoFR Pertamina dan Sistem Tata Kerja Pertamina, PT Pertamina (Persero), 2013): a. Metodologi Top Down – Risk Based Pendekatan top-down adalah proses manajemen dalam mengidentifikasi risiko dan pengendalian dalam mencapai tujuan ICoFR (misalnya untuk memberikan keyakinan memadai mengenai keandalan pelaporan keuangan). Pendekatan ini ditujukan agar manajemen fokus terhadap pengendalian-pengendalian yang bersifat signifikan yang dapat memberikan dampak material terhadap keandalan laporan keuangan perusahaan. Evaluasi menggunakan pendekatan top-down mengikuti langkah sebagai berikut (Pedoman Pengendalian Intern atas Pelaporan Keuangan, PT Pertamina (Persero), 2013): Penentuan materialitas atas nilai pada laporan keuangan, yaitu informasi yang dianggap wajar untuk diketahui oleh pengguna laporan keuangan. Suatu informasi dikatakan material jika pemahaman dan perubahan yang terjadi dapat mempengaruhi keputusan ekonomis dari pengguna berdasarkan laporan keuangan. Berdasarkan nilai tersebut manajemen mengidentifikasi akun-akun yang memiliki dampak material terhadap penyajian laporan keuangan dan dapat mempengaruhi persepsi stakeholder terhadap laporan keuangan (disebut akun signifikan). Akun signifikan tersebut ditentukan dengan mempertimbangkan faktor kuantitatif dan kualitatif. Melakukan penilaian atas risiko yang terdapat pada pelaporan keuangan (laporan keuangan secara material akurat), termasuk risiko pada proses yang menyertai pelaporan keuangan (asersi pada laporan keuangan). Manajemen kemudian mengevaluasi apakah memiliki pengendalian operasi yang dirancang untuk meremediasi kelemahan pengendalian tersebut. b. Dokumentasi Proses Bisnis Tahap awal dalam menentukan pengendalian internal yang perlu diperhatikan adalah melaksanakan mapping semua proses bisnis yang ada di perusahaan. Siklus bisnis yang nilainya signifikan dan menjadi ruang lingkup dari pekerjaan pengembangan ICoFR di PT Pertamina (Persero) dan anak perusahaan adalah sebagai berikut : 1) Entity Level Control 2) Transaction Level Control Siklus Expenditure Siklus Fixed Asset Siklus Inventory Hydro Siklus Inventory Non Hydro Siklus Revenue Siklus Treasury Siklus Taxation Siklus Payroll and Personnel Siklus Financial Closing and Reporting 3) IT General Control Pengujian pada level entitas dilaksanakan setiap akhir tahun, sedangkan pengujian pada level transaksi dilakukan secara interim secara triwulanan. Mengingat periode magang penulis adalah Juni hingga September, penulis berada pada pengujian Transaction Level Control. TLC di PT PGE terdiri dari tujuh siklus, yaitu: Siklus Expenditure (EXP), Fixed Asset (FXA), Revenue (REV), Treasury (TRS), Taxation (TAX), Payroll and Personnel (HRP), dan Financial Closing and Reporting (FCR). c. Identifikasi Risiko dan Pengendalian Setelah mendapatkan pemahaman business process di atas, langkah berikutnya adalah menentukan kegiatan apa dalam sub business process yang dapat menghasilkan informasi akuntansi. Informasi akuntansi yang dihasilkan dari kegiatan operasional menjadi sumber pencatatan laporan keuangan yang memiliki kriteria berdasarkan asersi. Sehubungan dengan hal tersebut, penentuan risiko yang signifikan adalah risiko yang dapat menggagalkan asersi yang terdiri dari : Existence and Occurrence Existence adalah asersi tentang apakah keberadaan aset atau kewajiban ada pada suatu waktu tertentu. Occurrence adalah asersi tentang apakah transaksi yang tercatat telah terjadi selama periode tertentu. Completeness Completeness adalah asersi tentang apakah semua transaksi dan akun yang seharusnya disajikan dalam laporan keuangan telah tersedia dan tercatat. Valuation and Allocation Valuation adalah asersi untuk meyakinkan bahwa masing-masing aset dan kewajiban dicatat pada nilai yang sesuai. Allocation adalah asersi tentang apakah semua akun telah dialokasikan ke dalam periode yang semestinya. Rights and Obligation Rights adalah asersi tentang apakah perusahaan memiliki hak terhadap suatu aset pada suatu waktu tertentu. Obligation adalah asersi tentang apakah perusahaan memiliki kewajiban yang menjadi tanggung jawab perusahaan pada suatu waktu tertentu. Presentation and Disclosure Presentation adalah asersi tentang apakah komponen tertentu dalam laporan keuangan telah secara tepat diklasifikasikan dan dijelaskan. Disclosure adalah asersi yang menggambarkan apakah semua informasi material telah diungkapkan di laporan keuangan.
Risiko yang teridentifikasi selanjutnya dimitigasi dengan serangkaian
kegiatan pengendalian internal. Kegiatan pengendalian yang telah menjadi standar operasi perusahaan akan diidentifikasikan ke pemiliknya dan akan dimonitor pelaksanaannya.
Dalam melaksanakan ICoFR, wewenang dan tanggung jawab dilaksanakan
untuk dapat memitigasi risiko dan memastikan proses berjalan dengan efektif dan efisien. Oleh karenanya, PT Pertamina memiliki Three Lines of Defense dan pihak- pihak yang terlibat di dalam pelaksanaan ICoFR. Gambar di bawah ini mengilustrasikan adanya lini pertahanan yang dibentuk sebagai pendekatan perlindungan pengendalian internal atas pelaporan keuangan (ICoFR). Lini pertama dihuni oleh Control Owner yang menjalankan fungsi implementasi pengendalian dan sertifikasi, lini kedua diisi oleh Control Group, dan lini ketiga oleh Auditor Internal sebagai pihak yang memberi keyakinan independen. Ketiga pihak ini berelasi di dalam pelaksanaan ICoFR. Penulis berada di second Line of Defense, yaitu sebagai Control Group anak
perusahaan PT PGE yang melaksanakan pemeliharaan, pengujian, dan pelaporan
ICoFR. Control Group menguji hasil sertifikasi Control Owner yang nantinya hasil pengujian ini disertifikasi untuk Auditor Internal dan akan diperiksa kembali oleh auditor internal yang kemudian akan dikonsolidasi apabila telah memiliki keyakinan yang memadai. d. Tahapan Kerja ICoFR di PT PGE 1. Tahap I – Perancangan dan Implementasi ICoFR Melakukan pengkajian ruang lingkup ICoFR untuk mengidentifikasi perubahan pada akun signifikan serta proses bisnis dan lokasi signifikan yang berkaitan dengan akun tersebut. Menilai dan menetapkan risiko serta objek pengendalian atas proses bisnis, berdasarkan penentuan akun signifikan. Melakukan workshop/training/sosialisasi atas hasil tahapan desain kepada Business Process Owner (BPO) untuk mendapatkan pemahaman dan masukan dari BPO, termasuk remediasi atas kelemahan yang ditemukan di tahun sebelumnya. Melakukan Control Self-Assessment (CSA) untuk mengidentifikasi perubahan signifikan pada pengendalian dan/atau proses bisnis yang telah disahkan (telah terdapat Sistem Tata Kerja (STK) terkait) serta pembaruan yang dilakukan untuk mengakomodasi perubahan pada akun signifikan. Menetapkan pembaharuan rancangan pengendalian internal yang diperlukan, termasuk risiko di tingkat entitas. Membuat, memutakhirkan, atau menyusun ulang Business Process Model (BPM) dan Risk Control Matrix (RCM) sesuai pembaharuan yang ditetapkan. Melakukan pemutakhiran STK ICoFR. Menerapkan pengendalian pada proses bisnis berdasarkan pemetaan proses bisnis terkait. Melakukan pengujian awal tahun untuk memastikan bahwa : 1) Desain dapat dilaksanakan sesuai dengan tujuan pengendalian. 2) Penerapan pengendalian telah berjalan sesuai dengan rancangan. 2. Tahap II – Pengujian dan Penerapan ICoFR Pengujian penerapan ICoFR dilaksanakan oleh fungsi Control Group untuk mengkaji efektivitas penerapan pengendalian internal. Pengujian dilakukan atas penerapan semua pengendalian utama sepanjang tahun. Pengendalian yang tidak efektif harus diremediasi dan pengujian kembali akan dilakukan untuk pengendalian tersebut. Pengujian dibagi menjadi dua tingkat, yaitu pengujian level entitas pada akhir tahun dan pengujian level aktivitas sepanjang tahun. Penulis terlibat di dalam pengujian triwulan kedua di pengujian tingkat aktivitas. 3. Tahap III – Pelaporan dan Remediasi Fungsi Control Group bersama BPO menyusun remediasi dan perencanaan pelaksanaannya berdasarkan hasil gap pengujian tengah tahun dan akhir tahun. Hasil perencanaan remediasi tersebut bersama hasil pengujian pengendalian dilaporkan oleh fungsi Control Group kepada direksi dan komite audit sebagai laporan pelaksanaan ICoFR. 4. Tahap IV – Sertifikasi ICoFR Sertifikasi pengendalian internal dibuat oleh BPO untuk merefleksikan hasil penerapan pengendalian internal di perusahaan pada periode yang bersangkutan. Sertifikasi dilaksanakan bersama-sama dengan fungsi Control Group. Sertifikasi dibuat berjenjang sesuai struktur dan kepemilikan proses bisnis di perusahaan dengan sertifikasi utama untuk perusahaan secara keseluruhan.