1
BAB II
PEMBAHASAN
2.1 Impelementasi dan desain ICoFR
A. Definisi ICoFR dan Inherent limitation dari IcoFR
1. Memastikan pencatatan yang cukup rinci, akurat, dan dan wajar atas
transaksi dan pengelolaan perusahaan
2. Memberikan keyakinan yang memadai bahwa transaksi telah dicatat dengan
benar dalam rangka penyiapan laporan keuangan sesuai dengan prinsip
akuntansi yang berlaku umum, dan bahwa setiap penerimaan dan
pengeluaran perusahaan telah mendapatkan otorisas dari manajemen
perusahaan.
3. Memberikan keyakinan yang memadai mengenai upaya pencegahan atas
identifikasi perolehan, penggunaan atau pengelolaan aset perusahaan tanpa
otorisasi yang dapat berdampak material atas laporan keuangan.
2
transaksi yang beragam, proses bisnis yang beragam dan tersebar diberbagai lokasi
perlu mengimplementasikan pengendalian internal atas pelaporan keuangan ini.
Menurut Sarbanes – Oxley section 404, Ruang lingkup dalam ICoFR merupakan
wilayah dalam perusahaan yang harus diuji pengendalian internal yang ada di
dalamnya. Antara lain :
3
3. Pengendalian berbasis teknologi informasi (IT Control) Merupakan
pengendalian yang menggunakan media program aplikasi dan teknologi
informasi. Pegendalian berbasis teknologi informasi meliputi :
a. IT entity Level Control Pengendalian teknologi informasi di tingkat
entitas yang mempunyai pengaruh yang luas (pervasive effect) di
perusahaan.
b. IT General Control Pengendalian terkait pemanfaatan program aplikasi
yang menunjang proses bisnis perusahaan
B. COSO Integrated Framework
4
1. Operations Objectives
Tujuan operasional terkait dengan pencapaian visi, misi, dan tujuan
didirikannya entitas. Tujuan ini terkait dengan peningkatan financial
performance, produktivitas, kualitas,enviromental practices, return of assets,
dan likuiditas. Salah satu tujuan yang terkait dengan tujuan operasional
adalah Pengamanan Aset. Entitas dapat menentukan tujuan yang terkait
dengan pencegahan kehilangan aset serta secara periodik mendeteksi dan
melaporkan kehilangan aset.
2. Reporting Objectives
Tujuan pelaporan berkaitan dengan penyusunan laporan untuk digunakan
oleh organisasi dan stakeholders dalam hubungannya dengan pelaporan
finansial/non- finansial serta pelaporan eksternal/internal. Karakteristik dari
pelaporan finansial/non-finansial eksternal adalah disesuaikan dengan aturan
dan kebutuhan eksternal, dipersiapkan sesuai dengan standar eksternal, dan
mungkin diharuskan menurut regulator, kontrak, dan perjanjian. Sedangkan
karakteristik pelaporan finansial/non-finansial internal adalah digunakan
dalam pengambilan keputusan dan pengelolaan bisnis serta ditetapkan oleh
manajemen dan board.
3. Compliance Objectives
Aturan dan hukum merupakan standar minimal dari perilaku organisasi.
Organisasi diharapkan akan menggabungkan standar tersebut ke dalam
tujuan dari entitas, bahkan organisasi dapat menetapkan standar yang lebih
tinggi daripada yang ditetapkan oleh hukum dan peraturan. Satu tujuan dan
tujuan lainnya dapat saling tumpang tindih atau saling membantu.
5
1. Dimensi I yaitu tujuan pengendalian internal, COSO mendefinisikan
pengendalian internal adalah proses yang dilaksanakan oleh komisaris,
direksi, manajemen, dan personel lainnya dalam suatu organisasi, yang
dirancang untuk mencapai tujuan organisasi meliputi:
a. Efektivitas dan efisiensi operasi (effective and efficient operations)
Pengendalian internal untuk mencapai tujuan operasional dilakukan agar
sumber daya yang tersedia digunakn secara efektif dan efisien.
b. Pelaporan keuangan yang andal (reliable financial reporting)
Pengendalian internal pada bagian pelaporan keuangan dilakukan agar
laporan yang dihasilkan dapat diandalkan.
c. Kepatuhan terhadap peraturan dan perundangan (compliance with
applicable laws and regulations)
Pengendalian internal dengan tujuan kepatuhan dilakukan agr dapat
menjaga kepatuhan terhadap hokum dan peraturan yang berlaku
2. Dimensi II yaitu ruang lingkup pengendalian internal yang menjelaskan
bahwa pengendalian internal harus dievaluasi pada 2 level yaitu:
a. Level entitas (entity level focus)
Pengendalian dilakukan terhadap suatu lingkup pengawasan yang
mencakup keseluruhan entitas. Sebagai contoh adalah pengawasan
laporan keuangan bulanan.
6
b. Tingkat aktivitas (activity level focus)
Pengendalian pada tingkat ini dilakukan terhadap setiap kegiatan,proses,
ataupun transaksi yang dilakukan.
3. Dimensi III adalah lima komponen pengendalian internal. Kelima komponen
merupakan kerangka kerja yang dapat dijadikan kriteria dalam membangun
dan mengevaluasi pengendalian internal.
a. Control environment
Lingkungan pengendalian adalah serangkaian proses dan standar yang
berlaku untuk digunakan sebagai dasar untuk melakukan pengendalian
ke seluruh organisasi. Dewan direksi menetukan sepenting apa
pengendalian internal yang diajlankan, termasuk standar yang
diharapkan. Lingkungan pengendalian terdiri dari integritas dan nilai etik
dari perusahaan, parameter penilaian bagi dewan direksi untuk
menjalankan tugas pengawasan, struktur organisasi beserta kewenangan
dan tanggung jawab di setiap tingkatan, proses perekrutan,
pengembangan dan mempertahankan individu yang kompeten, dan
ketegasan dalam pengukuran performa, insentif, serta hadiah untuk
meningkatkan akuntabilitas kinerja. Terdapat lima prinsip yang terkait
dengan komponen ini yaitu:
Organisasi menunjukkan komitmen terhadap integritas dan nilai-nilai
etika.
Direksi menunjukan kemandirian dari manajemn dan mepertajam
pengawasan untuk pengendalian internal, baik perkembangan
maupun performa
Manjemen menetapkan struktur, aturan pelaporan dan otoritas yang
sesuai untuk mengejar tujuan , akan tetapi tetap berasa dibawah
pengawasan dewan direksi
Organisasi menunjukkan komitmen untuk merekrut,
mengembangkan, dan menjaga individu yang kompeten dalam
pencapaian tujan
Organisasi menjaga akuntanbilitas setiap individu dalam tanggung
jawab terhadap pengendalian untuk mencapai tujuan
7
b. Risk assessment
Setiap entitas menghadapi berbagai macam risiko yang bersumber dari
dalam ataupun dari luar organisasi, risko adalah kemungkina terjadinya
suatu kejadian yang memiliki efek terhadap ketercapaian tujuan.
Penaksiran risiko melibatkan proses yang berulang dan juga dinamis.
Penaksiran risiko menjadi dasar pertimbangan bagaimana suatu risiko
akan ditangani. Sebelum dilakukan penaksiran, diperlukan penentuan
tujuan yang berhubungan dengan berbagai entitas yang ada. Terdapat
empat prinsip yang berkaitan dengan kompone ini yaitu:
Organisasi menjelaskan tujuan dengan cukup jelas agar dapat
dilakukanpentuan serta penaksiran risiko yang berhubungan dengan
tujuan tersebut
Organisai mentukan risiko yang mungkin terjadi dalm proses
pencapaian suatu tujuan terhadap entias terkait dan melakukan
analisis sebagai dasar penentuan langkah yang akan diambil untuk
memenangani risiko tersebut
Organisasi mepertimbangkan potensi terjadinya fraud dalam
menaksir suatu risiko yang mungkin terjadi dalam proses pencapaian
tujuan
Organisasi mentukan dan menilai perubahn yang mungkin diambil
untuk memberikan dampak yang signifikan terhadap sistem
pengendalin internal
c. Control activities
Aktivitas pengendalian adalah tindakan yang dilakukan melalui
ketentuan dan proseduruntuk memastikan arahan manajemn terkait
mitigasi risiko dilaksanakan dengan baik. Aktivitas pengendalin
dilakukan pada seluruh tingkat entitas dalam berbagai tahap dalam
proses dan melalui lingkungan teknologi. Ada tiga prinsip yang berkaitan
dengan komponen ini yaitu:
Organisai memilih dan mengembangkan aktivitas pengendalian yang
dapat memberikan kontribusi terhadap proses mitigasi risiko yang
8
mungkin terjadi selama pencapaian tujuan hingga mencapai tingkatan
yang diinginkan
Organisasi memilih dan mengembangkan aktivitas pengendalian
terhadap teknologi yang digunakan untuk mendukung pencapaian
tujuan
Organisasi menrapkan aktivitas pengendalian melalui kebijakan yang
dapat mewujudkan apa yang diharapkan dan juga prosedur yang
dapat menjalankan kebijakan tersebut.
d. Information and communication
Informasi diperlukan dalam rangka pelaksanaan tanggung jawab IC nya
dalam rangka pencapaian tujuan. Sedangkan komunikasi terjadi baik
secara internal maupun eksternal dengan menyediakan informasi yang
diperlukan dalam rangka pelaksanaan IC sehari-hari. Komunikasi
internal berarti informasi disebarluaskan dalam lingkungan organisasi
dan antar entitas. Komunikasi eksternal memiliki dua tujuan, menerima
informasi dari luar dan menyediakan informasi bagi pihak luar untuk
memenuhi kebutuhan informasi. Ada tiga prinsip yang berkaitan dengan
komponen ini yaitu:
Organisasi mendapatkan atau menghasilkan serta menggunakan
informasi yang berkaitan dan berkualitas untuk mendukung fungsi
dari pengendalian internal
Organisasi berkomunikasi secara internal untuk berbagi informasi
yang berguna untuk mendukung pengenalian internal, termasuk
tujuan dan tanggug jawab pengendalian
Organisasi berkomunikasi dengan pihak luar mengenai masalah yang
mempengaruhi pengendalian internal
e. Monitoring activities
Evaluasi berjalan, evaluasi terpisah, ataupun kombinasi dari keduanya
digunakan untuk memastikan setiap komponen dalam pengendalian
internal berjalan dengan baik. Evaluasi berjalan dibangun dalam tingkat
entitas yang berbeda-beda terhadap proses bisnis, menyediakn informasi
seiring waktu berjalan. Evaluasi terpisah, dijalankan secara berkala, akan
9
memiliki variasi dalam lingkup dan frekuensi tergantung pada penilaian
risiko, keefektifan evaluasi berjalan, dan berbagai pertimbangan
manajemen lainnya. Ada dua prinsip yang berkaitan dengan komponen
ini yaitu:
Organisasi memilih, mengembangkan dan menjalankan evaluasi berjaln
dan/atau evaluasi terpisah untuk menjamin semua komponen
pengendalian internal berjalan dengan baik serta sesuai kebutuhan atau
tidak.
Organisasi mengevaluasi dan membahas defisiensi pengendalian internal
secar berkala kepada pihak yang bertangung jawab untuk mengambil
tindakan perbaikan, termasuk manajemen senior dan dewan direksi.
C. Entity level control (ELC) and transactional level control (TLC)
10
Pengklasifikasian pengendalian tingkat entitas menjadi indirect, monitorin,
dan direct ELC, menunjukan seberapa dekat hubungan antara pengendalian
tingkat entitas dan pengendalian tingkat entitas dan pengendalian tingkat
transaksional. Implikasinya, dengan asumsi keterbatasan sumber daya, maka
perancangan dan implementasi ELC hendaknya lebih diprioritaskan pada
direct ELC, kemudian fokus monitoring ELC dan direct ELC.
11
lingkungan pengendalian) akan efektif dan mereka kontrol tidak efektif,
auditor dapat mengevaluasi kembali merencanakan pendekatan audit dan
memutuskan untuk memperluas prosedur audit nya. Di sisi lain, evaluasi
auditor dari beberapa entitas tingkat kontrol dapat menghasilkan
pengurangan nya atau pengujian nya kontrol lain, seperti kontrol lebih sesuai
pernyataan yang relevan.
12
D. Siklus dalam desain dan Impelementasi ICoFR
13
4. Identifikasi & manage changes
Tahap terakhir dalam siklus ICoFR adalah identifikasi perubahan. Setelah
ICoFR diterapkan dalam perusahaan tersebut, maka pihak manajemen akan
mengidentifikasi perubahan-perubahan apa saja yang terjadi. Tahap ini juga
dapat dikatakan sebagai tahapan review. Desain, implementasi, dan evaluasi
pengendalian harus disesuaikan dengan ukuran dan pelaporan risiko
perusahaan. Merancang dan memelihara ICFR secara efektif menjadi lebih
menantang karena ukuran bisnis dan ruang lingkup kegiatannya meningkat.
Pada saat yang sama, perusahaan-perusahaan yang lebih kecil juga mungkin
menghadapi beberapa masalah kesulitan pengendalian/kontrol. Sebagai
contoh, risiko manajemen dapat lebih besar dalam sebuah organisasi yang
lebih kecil di mana pejabat-pejabat perusahaan memiliki keterlibatan
langsung dengan operasi dan dengan pencatatan transaksi. Selain itu,
perusahaan kecil mungkin tidak memiliki personel yang cukup untuk
sepenuhnya melaksanakan pemisahan tugas di semua proses. Namun
demikian, perusahaan publik yang lebih kecil masih harus menerapkan
system kontrol yang akan menyediakan keyakinan yang memadai bahwa
laporan keuangan yang disusun sesuai dengan GAAP dan bebas dari salah
saji material.
14
7. Melakukan konfirmasi desain pengendalian tingkat entias yang diajukan
dengan personel yang relevan
8. Memperoleh persetujuan atas desain pengendalian tingkat entitas yang
diajukan
15
kondisi normal, untuk menjalankan fungsi yang ditugaskan untuk mencegah atau
mendeteksi salah saji secara tepat waktu.
Kelemahan dalam desain terjadi ketika:
a. Pengendalian yang diperlukan untuk mencapai tujuan tidak ada.
b. Pengendalian yang ada tidak didesain secara tepat.
16
Control deficiency juga perlu dilakukan terhadap kesalahan yang sifatnya
material atau material weakness yaitu kesalahan yang signifikan yang menyebabkan
salah saji yang material pada laporan keuangan yang tidak terdeteksi sehingga
memberikan informasi yang salah pada pengguna laporan keuangan. Control
deficiency yang dapat dilakukan untuk mencegah material weakness adalah internal
control meneliti kembali laporan keuangan yang akan disajikan dan memeriksa
kembali perhitungan dan kebijakn akuntansinya yang diambil perusahaan.
17
3) Kotak1 dan kotak 3: tujuan pengujian terpenuhi dengan beberapa
pertimbangan:
a) Tingkat deviasi terkait dengan frekuensi kinerja pengendalian.
b) Faktor kualitatif.
c) Apakah exception ini menghasilkan salah saji laporan keuangan.
4) Kotak 2: jika tujuan pengendalian tidak terpenuhi, terdapat dua pilihan:
a) Jika exception yang diobservasi dan menghasilkan tingkat deviasi yang
diyakini tidak dapat mewakili populasi, missal karena sampling error,
pengujian dapat direevaluasi dan diperluas.
b) Jika exception yang diobservasi dan menghasilkan tingkat deviasi yang
diyakini dapat mewakili populasi, exception tersebut dianggap sebagai
control deficiency dan tingkat signifikansinya dinilai.
Control deficiency sebaiknya dievaluasi menggunakan secara kuantitatif dan
kualitatif dengan memperhatikan faktor berikut:
1) Compensating control
2) Kemungkinan terjadinya deficiency
3) Volume transaksi
4) Status deficiency sebelumnya
5) Jumlah lokasi pengujian
6) Asersi terkait deficiency
7) Fraud
18
8) Pemahamn terhadap dampk atas akun laporan keuangan
9) Pemahaman atas proses bisnis terakit laporan keuangan
Bahasa yang digunakan manajemen dalam laporan pengendalian internal atas
pelaporan keuangan sebaiknya menyatakan secara langsung kesimpulan atas
efektivitas dengan memperhatikan beberapa pertimbangan:
1) Menghindari penggunaan frase yang subjektif, seperti: sangat efektif
2) Tidak menggunakan kalimat negative assurance, seperti: tidak terdapat hal
yang menyebabkan manajemen menyimpulkan bahwa pengendalian internal
atas pelaporan keuangan perusahaan tidak efektif.
3) Manajemen tidak diijinkan untuk menyimpulkan bahwa kesimpulan
pengendalian internal atas pelaporan keuangan adalah efektif, apabila
terdapat satu atau lebih kelemahan material.
2.4 Menarik kesimpulan akhir atas keefektifan pengendalian internal atas
pelaporan keuangan
19
5) Hasil pengujian pengendalian pada level proses
6) Hasil aktivitas pemantauan dan pengendalian pemantaun
7) Kesenjangan pengendalian yang dapat diidentifikasi dan signifikan dari
dampaknya terhadap laporan keuangan secara menyelurh
8) Bukti yang memuaskan atu resolusi dari gap yang teridentifikasi
9) Konsultasi dengan pihak terkait, termasuk komite audit, tim ahli eksternal
dan akuntan publik independent
2.5 Bagaimana Mengkomunikasikan Laporan ICoFR
1) Seluruh significant deficiency dan material weakness pada level desain dan
operasional pengendalian internal atas pelaporan keuangan yang dapat
mempengaruhi secara negatif kemampuan perusahaan untuk mencatat,
memproses,menyimpulkan dan melaporkan informasi keuangan
2) Segala bentuk fraud, baik materi maupun tidak, yang melibatkan manajemen
atau karyawan lain yang memiliki peran signifikan dalam perusahaan.
20
1) Ketika perusahaan mengidentifikasi adanya significant deficiency,
perusahaan tidak diwajibkan untuk mengungkapkan ke publik terkait
eksistensi dan sifat significant deficiency.
2) Ketika significant deficiency terjadi bersamaan dengan kelemahan
pengendalian lainya diangap sebagai material weakness, manajemen harus
mengungkapkan kelemahan material ini
3) Perubahan apapun dalam pengendalian internal atas laporan keuangan
perusahaan yang timbul selama kuartal terakhir yang mempengaruhi secara
material pengendalian internal atas laporan keuangan wajib untuk
diungkapkan.
21
Laporan pengendalian internal atas pelaporan keuangan terdiri dari informasi
sistematis yang disajikan meliputi:
4) Cakupan
Definisi cakupan evaluasi di setiap level: tingkat entitas, transaksional dan
TI
5) Periode
Definisi periode evaluasi
6) Lokasi
Informasi lokasi terpilih untuk tujuan evaluasi
7) Pendekatan dan metodologi
Menjelaskan pendekatan dan metodologi yang digunakan untuk
mengevaluasi pengendalian internal atas pelaporan keuangan
8) Summary of deficiency
Informasi terkait kelemahan yang teridentidikasi di level entitas,
transaksional dan TI
9) Kesimpulan dan rekomendasi
Informs mengenai kesimpulan dan rekomendasi untuk setiap pengendalian
di level entias, transaksional dan pengendalian umum TI.
22
1) Menghindari penggunaan frase yang subjektif, seperti sangat efektif
2) Tidak menggunakn kalimat negative assurance, seperti: tidak terdapat hal
yang menyebabkan manajemen menyimpulkan bahwa pengendalian internal
atas pelaporan laporan keuangan atas pelaporan keuangan perusahn tidak
efektif.
3) Manajemen tidak diijinkan untuk menyimpulkan bahwa kesimpulan
pengendalian internal atas pelaporan keuangan adalah efektif, apabila
terdapat satu atau lebih kelemahan material.
BAB III
KESIMPULAN
ICoFR didefinisikan sebagai kebijakan-kebijakan dan rangkaian prosedur serta
tata kerja terkait proses pelaporan keuangan untuk menjamin tersusunnya laporan
keuangan yang akurat, andal dan tepat waktu agar memiliki keyakinan yang
memadai bahwa proses pencatatan pada laporan keuangan telah didukung
dengan internal control yang efektif berdasarkan ketentuan yang berlaku.
Pengendalian internal atas laporan keuangan internal control over financial
reporting (ICoFR) memberikan keyakinan memadai terhadap keandalan pelaporan
keuangan dan penyusunan laporan keuangan untuk pihak eksternal. Jika terdapat
satu atau lebih kelemehan material (material weakness), sistem pengendalian
internal atas pelaporan keuangan entitas tidak dapat dinggap berjalan efektif.
23
DAFTAR PUSTAKA
Marshall B. Romney dan Paul John Steinbart. (2015). Sistem Informasi Akuntansi:
Accounting Information Systems.
24