INTERNAL CONTROL OVER FINANCIAL REPORTING (ICOFR)

a. Pengertian Internal Control Over Financial Reporting (ICoFR)

ICoFR merupakan sebuah proses yang dirancang oleh, atau berada di bawah pengawasan,
direktur utama dan direktur keuangan, atau orang-orang yang melaksanakan fungsi
serupa, dan dilaksanakan dalam kegiatan perusahaan oleh direksi, manajer, dan personil
lainnya untuk dapat memberikan keyakinan yang memadai mengenai kehandalan
pelaporan keuangan dan penyusunan laporan keuangan untuk pihak eksternal, telah
sesuai dengan prinsip akuntansi yang berlaku umum.
b. Tujuan pelaksanaan ICoFR
Tujuan dilaksanakannya ICoFR antara lain:
1) Memastikan pencatatan yang cukup rinci, akurat, dan dan wajar atas transaksi dan
pengelolaan perusahaan,
2) Memberikan keyakinan yang memadai bahwa transaksi telah dicatat dengan benar
dalam rangka penyiapan laporan keuangan sesuai dengan prinsip akuntansi yang
berlaku umum, dan bahwa setiap penerimaan dan pengeluaran perusahaan telah
mendapatkan otorisas dari manajemen perusahaan.
3) Memberikan keyakinan yang memadai mengenai upaya pencegahan atas identifikasi
perolehan, penggunaan atau pengelolaan aset perusahaan tanpa otorisasi yang dapat
berdampak material atas laporan keuangan.
c. Ruang Lingkup ICoFR
Menurut Sarbanes –Oxley section 404, ruang lingkup dalam ICoFR merupakan wilayah
dalam perusahaan yang harus diuji pengendalian internal yang ada di dalamnya, antara
lain:
1) Pengendalian tingkat entitas (Entity Level Control)
Pengendalian yang dibangun oleh manajemen untuk memberikan keyakinan yang
memadai bahwa telah terdapat pengendalian internal atas laporan keuangan yang
sesuai pada seluruh organisasi perusahaan.
2) Pengendalian tingkat transaksional (Transactional Level Control)
Pengendalian tingkat transaksional dimana pengedalian lebih fokus pada akun-akun
signifikan dan proses serta transaksi terkait yang memungkinkan terjadi kesalahan
 (error) atau kecurangan (fraud) yang berdampak pada salah saji pada laporan
keuangan.
3) Pengendalian berbasis teknologi informasi (IT Control)
Pengendalian berbasis teknologi informasi (IT Control) merupakan pengendalian
yang menggunakan media program aplikasi dan teknologi informasi. Pegendalian
berbasis teknologi informasi meliputi:
 IT entity Level Control
IT entity Level Control merupakan pengendalian teknologi informasi di
tingkat entitas yang mempunyai pengaruh yang luas (pervasive effect) di
perusahaan.
 IT General Control
IT General Control merupakan pengendalian terkait pemanfaatan program
aplikasi yang menunjang proses bisnis perusahaan
d. Dasar Pelaksanaan ICoFR
Sarbanes -oxley section 404 merupakan dasar dari ICoFR. Di mana dalam undang-
undang tersebut mewajibkan manajemen perusahaan yang terdaftar di NYSE untuk
melaporkan efektivitas ICoFR dan atestasi auditor eksternal mengenai efektivitas ICoFR.
Laporan Manajemen mengenai efektivitas ICoFR harus memuat:
1) Penggunaan kerangka kerja COSO (COSO Framework) sebagai acuan untuk
mengevaluasi efektivitas ICoFR.
2) Penilaian (assesment) manajemen mengenai efektivitas ICoFR pada akhir tahun,
termasuk pengungkapan kelemahan yang material (material weakness) mengenai
ICoFR yang teridentifikasi oleh manajemen pada saat dilakukan penilaian
(assesment).
3) Laporan atestasi auditor eksternal terhadap efektivitas ICoFR.
4) Tanggung jawab manajemen untuk membangun dan memelihara ICoFR perusahaan
yang memadai.
e. Pembangunan ICoFR berdasarkan COSO Framework
Security Exchange Commision (SEC) dan Public Company Accounting Oversight
Board (PCAOB) merekomendasikan penggunaan kerangka kerja tersebut dalam ICoFR.
COSO Framework digunakan sebagai kerangka pengendalian internal dengan
 pertimbangan bahwa kerangka tersebut dibuat oleh badan professional, dengan mengikuti
proses dan prosedur yang baku, tidak bias, dan digunakan secara luas sebagai kerangka
kerja pengendalian yang efektif.
f. Evaluasi ICoFR
Menurut Sarbanes Oxley Section 404, evaluasi ICoFR dilaksanakan melalui
mekanisme audit, oleh internal auditor atau oleh penilaian pihak lain yang independen.
Evaluasi oleh Internal Auditor dilakukan untuk menilai efektivitas ICoFR di perusahaan
dengan cara melaksanakan walkthrough dan test of control (TOC). Bilamana perlu, atas
permintaan manajemen penilaian ICoFR dapat dilakukan oleh pihak lain yang
independen untuk memberikan bantuan teknis dan konsultasi dalam melakukan atestasi
atas efektivitas ICoFR. Evaluasi ICoFR dilakukan dengan pendekatan kualitatif melalui
wawancara yang dilakukan oleh pihak eksternal perusahaan maupun internal audit.
Menurut Sarbanes Oxley Act 404, terdapat dua aspek yang harus dievaluasi dalam
ICoFR, yakni dari aspek desain dan operasi pengendalian internal. Desain pengendalian
internal dapat dikatakan efektif apabila :
 Desain tersebut dapat dilaksanakan secara operasional.
 Hasil desain dapat memenuhi tujuan pengendalian.
 Desain tersebut dapat menunjukkan risiko kemungkunan salah saji dalam laporan
keuangan sertaupaya yang dilakukan untuk mencegah risiko tersebut.
 Desain tersebut dapat mencegah atau mendeteksi kesalahan atau kecurangan yang
dapat menyebabkan salah saji material di dalam laporan keuangan.
Untuk aspek pengujian atas efektivitas desain dapat dilakukan melalui
walktroughatas proses bisnis yang berhubungan dengan pengendalian internal tersebut.
Sedangkan untuk pengujian atas efektivitas operasi dapat dilakukan melalui Test of
Control (TOC).
Dalam melakukan evaluasi atas operasi ICoFR, terdapat beberapa istilah penting
yang dijadikan sebagai kategori untuk mengelompokkan kelemahan dari pengendalian
internal perusahaan, antara lain :
 Control Deficiency (CD)
 Control Deficiency (CD) merupakan kelemahan yang dimiliki oleh perusahaan dari
segi pengendalian internal atas laporan keuangan. Untuk kategori ini, kelemahan yang
ada dinilai tidak signifikan.
 Significant Deficiency (SD)
Significant Deficiency (SD) merupakan kelemahan yang dihadapi oleh perusahaan
dari segi pengendalian internal atas laporan keuangan. Untuk kategori ini, kelemahan
yang ada dinilai signifikan.
 Material Weakness (MW)
Material Weakness (MW) sama halnya dengan SD, hanya saja untuk MW, tingkat
kelemahan yang dihadapi oleh perusahaan lebih tinggi, sehingga diperlukan perhatian
khusus dari perusahaan yang bersangkutan. Untuk kategori ini, kelemahan yang ada
dinilai material.

IMPLEMENTASI ICOFR PADA PT PERTAMINA

Sejak tahun 2012, pengendalian internal atas pelaporan keuangan (ICoFR) mulai
dikembangkan oleh PT Pertamina (Persero) dan sebagian anak perusahaannya, yaitu PT
Pertamina EP, PT Pertamina Drilling Services Indonesia, PT Pertamina Hulu Energi, PT
Pertamina Geothermal Energy (PT PGE), PT Pertamina Patra Niaga, dan PT Pertamina Gas
(Deloitte, 2013). Pengembangan ICoFR ini memegang prinsip-prinsip sebagai berikut (Pedoman
ICoFR Pertamina dan Sistem Tata Kerja Pertamina, PT Pertamina (Persero), 2013):
a. Metodologi Top Down – Risk Based
Pendekatan top-down adalah proses manajemen dalam mengidentifikasi risiko dan
pengendalian dalam mencapai tujuan ICoFR (misalnya untuk memberikan keyakinan
memadai mengenai keandalan pelaporan keuangan). Pendekatan ini ditujukan agar
manajemen fokus terhadap pengendalian-pengendalian yang bersifat signifikan yang
dapat memberikan dampak material terhadap keandalan laporan keuangan perusahaan.
Evaluasi menggunakan pendekatan top-down mengikuti langkah sebagai berikut
(Pedoman Pengendalian Intern atas Pelaporan Keuangan, PT Pertamina (Persero), 2013):
 Penentuan materialitas atas nilai pada laporan keuangan, yaitu informasi yang
dianggap wajar untuk diketahui oleh pengguna laporan keuangan. Suatu informasi
dikatakan material jika pemahaman dan perubahan yang terjadi dapat
 mempengaruhi keputusan ekonomis dari pengguna berdasarkan laporan
keuangan.
 Berdasarkan nilai tersebut manajemen mengidentifikasi akun-akun yang memiliki
dampak material terhadap penyajian laporan keuangan dan dapat mempengaruhi
persepsi stakeholder terhadap laporan keuangan (disebut akun signifikan). Akun
signifikan tersebut ditentukan dengan mempertimbangkan faktor kuantitatif dan
kualitatif.
 Melakukan penilaian atas risiko yang terdapat pada pelaporan keuangan (laporan
keuangan secara material akurat), termasuk risiko pada proses yang menyertai
pelaporan keuangan (asersi pada laporan keuangan).
 Manajemen kemudian mengevaluasi apakah memiliki pengendalian operasi yang
dirancang untuk meremediasi kelemahan pengendalian tersebut.
b. Dokumentasi Proses Bisnis
Tahap awal dalam menentukan pengendalian internal yang perlu diperhatikan adalah
melaksanakan mapping semua proses bisnis yang ada di perusahaan. Siklus bisnis yang
nilainya signifikan dan menjadi ruang lingkup dari pekerjaan pengembangan ICoFR di
PT Pertamina (Persero) dan anak perusahaan adalah sebagai berikut :
1) Entity Level Control
2) Transaction Level Control
 Siklus Expenditure
 Siklus Fixed Asset
 Siklus Inventory Hydro
 Siklus Inventory Non Hydro
 Siklus Revenue
 Siklus Treasury
 Siklus Taxation
 Siklus Payroll and Personnel
 Siklus Financial Closing and Reporting
3) IT General Control
 Pengujian pada level entitas dilaksanakan setiap akhir tahun, sedangkan pengujian
pada level transaksi dilakukan secara interim secara triwulanan. Mengingat periode
magang penulis adalah Juni hingga September, penulis berada pada pengujian
Transaction Level Control. TLC di PT PGE terdiri dari tujuh siklus, yaitu: Siklus
Expenditure (EXP), Fixed Asset (FXA), Revenue (REV), Treasury (TRS), Taxation
(TAX), Payroll and Personnel (HRP), dan Financial Closing and Reporting (FCR).
c. Identifikasi Risiko dan Pengendalian
Setelah mendapatkan pemahaman business process di atas, langkah berikutnya adalah
menentukan kegiatan apa dalam sub business process yang dapat menghasilkan informasi
akuntansi. Informasi akuntansi yang dihasilkan dari kegiatan operasional menjadi sumber
pencatatan laporan keuangan yang memiliki kriteria berdasarkan asersi. Sehubungan
dengan hal tersebut, penentuan risiko yang signifikan adalah risiko yang dapat
menggagalkan asersi yang terdiri dari :
 Existence and Occurrence
Existence adalah asersi tentang apakah keberadaan aset atau kewajiban ada pada
suatu waktu tertentu. Occurrence adalah asersi tentang apakah transaksi yang
tercatat telah terjadi selama periode tertentu.
 Completeness
Completeness adalah asersi tentang apakah semua transaksi dan akun yang
seharusnya disajikan dalam laporan keuangan telah tersedia dan tercatat.
 Valuation and Allocation
Valuation adalah asersi untuk meyakinkan bahwa masing-masing aset dan
kewajiban dicatat pada nilai yang sesuai. Allocation adalah asersi tentang apakah
semua akun telah dialokasikan ke dalam periode yang semestinya.
 Rights and Obligation
Rights adalah asersi tentang apakah perusahaan memiliki hak terhadap suatu aset
pada suatu waktu tertentu. Obligation adalah asersi tentang apakah perusahaan
memiliki kewajiban yang menjadi tanggung jawab perusahaan pada suatu waktu
tertentu.
 Presentation and Disclosure
 Presentation adalah asersi tentang apakah komponen tertentu dalam laporan
keuangan telah secara tepat diklasifikasikan dan dijelaskan. Disclosure adalah
asersi yang menggambarkan apakah semua informasi material telah diungkapkan
di laporan keuangan.

Risiko yang teridentifikasi selanjutnya dimitigasi dengan serangkaian

kegiatan pengendalian internal. Kegiatan pengendalian yang telah menjadi standar
operasi perusahaan akan diidentifikasikan ke pemiliknya dan akan dimonitor
pelaksanaannya.

Dalam melaksanakan ICoFR, wewenang dan tanggung jawab dilaksanakan

untuk dapat memitigasi risiko dan memastikan proses berjalan dengan efektif dan
efisien. Oleh karenanya, PT Pertamina memiliki Three Lines of Defense dan pihak-
pihak yang terlibat di dalam pelaksanaan ICoFR. Gambar di bawah ini
mengilustrasikan adanya lini pertahanan yang dibentuk sebagai pendekatan
perlindungan pengendalian internal atas pelaporan keuangan (ICoFR). Lini pertama
dihuni oleh Control Owner yang menjalankan fungsi implementasi pengendalian dan
sertifikasi, lini kedua diisi oleh Control Group, dan lini ketiga oleh Auditor Internal
sebagai pihak yang memberi keyakinan independen. Ketiga pihak ini berelasi di
dalam pelaksanaan ICoFR.
 Penulis
berada di
second
Line of
Defense,
yaitu
sebagai
Control
Group
anak

perusahaan PT PGE yang melaksanakan pemeliharaan, pengujian, dan pelaporan

ICoFR. Control Group menguji hasil sertifikasi Control Owner yang nantinya hasil
pengujian ini disertifikasi untuk Auditor Internal dan akan diperiksa kembali oleh
auditor internal yang kemudian akan dikonsolidasi apabila telah memiliki keyakinan
yang memadai.
d. Tahapan Kerja ICoFR di PT PGE
1. Tahap I – Perancangan dan Implementasi ICoFR
 Melakukan pengkajian ruang lingkup ICoFR untuk mengidentifikasi perubahan
pada akun signifikan serta proses bisnis dan lokasi signifikan yang berkaitan
dengan akun tersebut.
 Menilai dan menetapkan risiko serta objek pengendalian atas proses bisnis,
berdasarkan penentuan akun signifikan.
 Melakukan workshop/training/sosialisasi atas hasil tahapan desain kepada
Business Process Owner (BPO) untuk mendapatkan pemahaman dan masukan
dari BPO, termasuk remediasi atas kelemahan yang ditemukan di tahun
sebelumnya.
 Melakukan Control Self-Assessment (CSA) untuk mengidentifikasi perubahan
signifikan pada pengendalian dan/atau proses bisnis yang telah disahkan (telah
terdapat Sistem Tata Kerja (STK) terkait) serta pembaruan yang dilakukan untuk
mengakomodasi perubahan pada akun signifikan.
 Menetapkan pembaharuan rancangan pengendalian internal yang diperlukan,
termasuk risiko di tingkat entitas.
 Membuat, memutakhirkan, atau menyusun ulang Business Process Model (BPM)
dan Risk Control Matrix (RCM) sesuai pembaharuan yang ditetapkan.
 Melakukan pemutakhiran STK ICoFR.
 Menerapkan pengendalian pada proses bisnis berdasarkan pemetaan proses bisnis
terkait.
 Melakukan pengujian awal tahun untuk memastikan bahwa :
1) Desain dapat dilaksanakan sesuai dengan tujuan pengendalian.
2) Penerapan pengendalian telah berjalan sesuai dengan rancangan.
2. Tahap II – Pengujian dan Penerapan ICoFR
Pengujian penerapan ICoFR dilaksanakan oleh fungsi Control Group untuk mengkaji
efektivitas penerapan pengendalian internal. Pengujian dilakukan atas penerapan
semua pengendalian utama sepanjang tahun. Pengendalian yang tidak efektif harus
diremediasi dan pengujian kembali akan dilakukan untuk pengendalian tersebut.
Pengujian dibagi menjadi dua tingkat, yaitu pengujian level entitas pada akhir tahun
 dan pengujian level aktivitas sepanjang tahun. Penulis terlibat di dalam pengujian
triwulan kedua di pengujian tingkat aktivitas.
3. Tahap III – Pelaporan dan Remediasi
Fungsi Control Group bersama BPO menyusun remediasi dan perencanaan
pelaksanaannya berdasarkan hasil gap pengujian tengah tahun dan akhir tahun. Hasil
perencanaan remediasi tersebut bersama hasil pengujian pengendalian dilaporkan
oleh fungsi Control Group kepada direksi dan komite audit sebagai laporan
pelaksanaan ICoFR.
4. Tahap IV – Sertifikasi ICoFR
Sertifikasi pengendalian internal dibuat oleh BPO untuk merefleksikan hasil
penerapan pengendalian internal di perusahaan pada periode yang bersangkutan.
Sertifikasi dilaksanakan bersama-sama dengan fungsi Control Group. Sertifikasi
dibuat berjenjang sesuai struktur dan kepemilikan proses bisnis di perusahaan dengan
sertifikasi utama untuk perusahaan secara keseluruhan.