MAKALAH SISTEM INFORMASI DAN PENGENDALIAN INTERNAL

“INTERNAL CONTROL OVER FINANCIAL REPORTING”

Disusun Untuk Memenuhi Tugas Mata Kuliah Sistem Informasi dan
Pengendalian Interal

Disusun Oleh Kelompok 1:

1. Risa Wilian 220020100111002
2. Harti Novika 220020100111004
3. Saphira Evani 220020100111006

PROGRAM PENDIDIKAN PROFESI AKUNTASI

FAKULTAS EKONOMI DAN BISNIS
UNIVERSITAS BRAWIJAYA
2022
 BAB I
PENDAHULUAN
1.1 Latar Belakang
ICoFR didefinisikan sebagai kebijakan-kebijakan dan rangkaian prosedur serta
tata kerja terkait proses pelaporan keuangan untuk menjamin tersusunnya laporan
keuangan yang akurat, andal dan tepat waktu. Tujuan dari ICoFR ini adalah agar
memiliki keyakinan yang memadai bahwa proses pencatatan pada laporan
keuangan telah didukung dengan internal control yang efektif berdasarkan
ketentuan yang berlaku. ICoFR dirancang untuk menguji pengendalian internal
dalam sebuah perusahaan.
Pengendalian internal atas laporan keuangan internal control over financial
reporting (ICoFR) memberikan keyakinan memadai terhadap keandalan pelaporan
keuangan dan penyusunan laporan keuangan untuk pihak eksternal. Jika terdapat
satu atau lebih kelemehan material (material weakness), sistem pengendalian
internal atas pelaporan keuangan entitas tidak dapat dinggap berjalan efektif.

1.2 Rumusan Masalah

Rumusan masalah dalam makalah ini sebagai berikut:
1. Bagaimana implementasi dan desain ICoFR?
2. Bagaimana terminology dalam mengevaluasi control deficiency?
3. Apa saja kerangka dalam mengevalusi control exception dan definiciency?
4. Bagaimana menarik kesimpulan akhir dalam ICoFR?
5. Bagaimana mengkomunikasikan laporan ICoFR?
6. Bagaimana pendokumentasian laporan pada ICoFR?
1.3 Tujuan
Dari rumusan masalah diatasm dapat disimpulkan bahwa tujuan penelitian
makalah ini sebagai berikut:
1. Untuk mengetahui pengendalian internal control atas pelaporan keuangan
2. Untuk mengetahui evaluasi dan pelaporan efektivtas ICoFR

1
 BAB II
PEMBAHASAN
2.1 Impelementasi dan desain ICoFR
A. Definisi ICoFR dan Inherent limitation dari IcoFR

Pengendalian internal atas pelaporan keuangan Internal Control over Financial

Reporting adalah proses yang didesain, atau dibawah pengawasan pimpinan
perusahaan, dan pimpinan bagian keuangan dari dipengaruhi oleh Dewan Direksi,
manajemen dan karyawan lainnya untuk memberikan keyakinan yang memadai
(reasonable assurance ) terkait:
1. Kendala pelaporan keuangan
2. Penyusunan pelaporan keuangan untuk pihak eksternal sesuai dengan prinsip
akuntansi yang berlaku umum Auditing Standard No. 5 par. A5
ICoFR didefinisikan sebagai kebijakan-kebijakan dan rangkaian prosedur
serta tata kerja terkait proses pelaporan keuangan untuk menjamin tersusunnya
laporan keuangan yang akurat, andal dan tepat waktu. Tujuan dari ICoFR ini adalah
agar memiliki keyakinan yang memadai bahwa proses pencatatan pada
laporan keuangan telah didukung dengan internal control yang efektif berdasarkan
ketentuan yang berlaku. Pengndalian Internal atas pelaporan keuangan mencakup
kebijakan dan proses yang:

1. Memastikan pencatatan yang cukup rinci, akurat, dan dan wajar atas
transaksi dan pengelolaan perusahaan
2. Memberikan keyakinan yang memadai bahwa transaksi telah dicatat dengan
benar dalam rangka penyiapan laporan keuangan sesuai dengan prinsip
akuntansi yang berlaku umum, dan bahwa setiap penerimaan dan
pengeluaran perusahaan telah mendapatkan otorisas dari manajemen
perusahaan.
3. Memberikan keyakinan yang memadai mengenai upaya pencegahan atas
identifikasi perolehan, penggunaan atau pengelolaan aset perusahaan tanpa
otorisasi yang dapat berdampak material atas laporan keuangan.

Dengan demikian, perusahaan dengan ukuran relatif besar, frekuensi transaksi

keuangan tingi, nilai transaksi keuangan yang besar, kompleksitas pemrosesan

2
transaksi yang beragam, proses bisnis yang beragam dan tersebar diberbagai lokasi
perlu mengimplementasikan pengendalian internal atas pelaporan keuangan ini.

Pengendalian internal atas pelaporan keuangan tidak berfungsi apabila terdapat

situasi sebagai berikut:

1. Penyembunyian melalui kolusi antara manajemen, karyawan dan pihak

ketiga
2. Menahan, salah menafsirkan, atau memalsukan dokumen
3. Kemampuan manjemn untuk mengesampingkan (override) atau
menginstruksikan karyawannya untuk mengesampingkan pengendalian
yang telah didesain efektif.

Pengendalian harus dapat menunjukkan pembatasan sumber daya yang dapat

digunakan dan juga mempertimbangkan keuntungan yang didapat dari sistem
tersebut terhadap biaya yang dikeluarkan (cost benefit). Dikarenakan Batasan yang
melekat pada sistem pengendalian, tidak mungkin didapatkan hasil evaluasi yang
dapat menjamin semua masalah risiko terdeteksi. Pengendalian internal atas
pelaporan keuangan tidak dapat mencegah atau menemukanseluruh risiko dan
kesalahan. Oleh karena itu, terdapat risiko salah saji material yang tidak dapat
dicegah atau dideteksi secara tepat waktu (timely) oleh pengendalian internal.

Menurut Sarbanes – Oxley section 404, Ruang lingkup dalam ICoFR merupakan
wilayah dalam perusahaan yang harus diuji pengendalian internal yang ada di
dalamnya. Antara lain :

1. Pengendalian tingkat entitas (Entity Level Control) Pengendalian yang

dibangun oleh manajemen untuk memberikan keyakinan yang memadai
bahwa telah terdapat pengendalian internal atas laporan keuangan yang
sesuai pada seluruh organisasi perusahaan.
2. Pengendalian tingkat transaksional (Transactional Level Control)
Pengendalian tingkat transaksional dimana pengedalian lebih fokus pada
akun-akun signifikan dan proses serta transaksi terkait yang memungkinkan
terjadi kesalahan (error) atau kecurangan (fraud) yang berdampak pada salah
saji pada laporan keuangan.

3
 3. Pengendalian berbasis teknologi informasi (IT Control) Merupakan
pengendalian yang menggunakan media program aplikasi dan teknologi
informasi. Pegendalian berbasis teknologi informasi meliputi :
a. IT entity Level Control Pengendalian teknologi informasi di tingkat
entitas yang mempunyai pengaruh yang luas (pervasive effect) di
perusahaan.
b. IT General Control Pengendalian terkait pemanfaatan program aplikasi
yang menunjang proses bisnis perusahaan
B. COSO Integrated Framework

Committee of Sponsoring Organizations of the Treadway Commission, atau

disingkat COSO, adalah suatu inisiatif dari sektor swasta yang dibentuk pada tahun
1985.Tujuan utamanya adalah untuk mengidentifikasi faktor-faktor yang
menyebabkan penggelapan laporan keuangan dan membuat rekomendasi untuk
mengurangi kejadian tersebut. COSO telah menyusun kerangka kerja yang disebut
dengan ‘Internal Control-Integerated Framework’, atau yang biasa dikenal sebagai
COSO Framework, yang dapat digunakan untuk pengendalian, standar, dan kriteria
internal untuk menilai sistem pengendalian mereka. COSO Framework digunakan
sebagai kerangka pengendalian internal dengan pertimbangan bahwa kerangka
tersebut dibuat oleh badan professional, dengan mengikuti proses dan prosedur
yang baku, tidak bias, dan digunakan secara luas sebagai kerangka kerja
pengendalian yang efektif.

COSO mendefinisikan IC adalah process, effected by an entity’s board of

directors, management, and other personnel, designed to provide reasonable
assurance regarding the achievement of objectives relating to operations,
reporting, and compliance. Definisi ini sengaja dibuat secara luas agar dapat
menangkap konsep yang penting mengenai bagaimana suatu organisasi merancang,
mengimplementasikan, melaksanakan IC, dan menilai efektivitas dari sistem
pengendalian internal, serta memberikan dasar dalam pengaplikasiannya di
berbagai tipe organisasi. Selain itu definisi ini juga mengakomodasi bagian-bagian
dari IC. Tujuan dari IC terdiri dari:

4
 1. Operations Objectives
Tujuan operasional terkait dengan pencapaian visi, misi, dan tujuan
didirikannya entitas. Tujuan ini terkait dengan peningkatan financial
performance, produktivitas, kualitas,enviromental practices, return of assets,
dan likuiditas. Salah satu tujuan yang terkait dengan tujuan operasional
adalah Pengamanan Aset. Entitas dapat menentukan tujuan yang terkait
dengan pencegahan kehilangan aset serta secara periodik mendeteksi dan
melaporkan kehilangan aset. 
2. Reporting Objectives
Tujuan pelaporan berkaitan dengan penyusunan laporan untuk digunakan
oleh organisasi dan stakeholders dalam hubungannya dengan pelaporan
finansial/non- finansial serta pelaporan eksternal/internal. Karakteristik dari
pelaporan finansial/non-finansial eksternal adalah disesuaikan dengan aturan
dan kebutuhan eksternal, dipersiapkan sesuai dengan standar eksternal, dan
mungkin diharuskan menurut regulator, kontrak, dan perjanjian. Sedangkan
karakteristik pelaporan finansial/non-finansial internal adalah digunakan
dalam pengambilan keputusan dan pengelolaan bisnis serta ditetapkan oleh
manajemen dan board. 
3. Compliance Objectives
Aturan dan hukum merupakan standar minimal dari perilaku organisasi.
Organisasi diharapkan akan menggabungkan standar tersebut ke dalam
tujuan dari entitas, bahkan organisasi dapat menetapkan standar yang lebih
tinggi daripada yang ditetapkan oleh hukum dan peraturan. Satu tujuan dan
tujuan lainnya dapat saling tumpang tindih atau saling membantu.

Security Exchange Commision (SEC) dan Public Company Accounting

Oversight Board (PCAOB) merekomendasikan penggunaan kerangka kerja tersebut
dalam ICoFR.COSO Framework digunakan sebagai kerangka pengendalian internal
dengan pertimbangan bahwa kerangka tersebut dibuat oleh badan professional,
dengan mengikuti proses dan prosedur yang baku, tidak bias, dan digunakan secara
luas sebagai kerangka kerja pengendalian yang efektif.

5
1. Dimensi I yaitu tujuan pengendalian internal, COSO mendefinisikan
pengendalian internal adalah proses yang dilaksanakan oleh komisaris,
direksi, manajemen, dan personel lainnya dalam suatu organisasi, yang
dirancang untuk mencapai tujuan organisasi meliputi:
a. Efektivitas dan efisiensi operasi (effective and efficient operations)
Pengendalian internal untuk mencapai tujuan operasional dilakukan agar
sumber daya yang tersedia digunakn secara efektif dan efisien.
b. Pelaporan keuangan yang andal (reliable financial reporting)
Pengendalian internal pada bagian pelaporan keuangan dilakukan agar
laporan yang dihasilkan dapat diandalkan.
c. Kepatuhan terhadap peraturan dan perundangan (compliance with
applicable laws and regulations)
Pengendalian internal dengan tujuan kepatuhan dilakukan agr dapat
menjaga kepatuhan terhadap hokum dan peraturan yang berlaku
2. Dimensi II yaitu ruang lingkup pengendalian internal yang menjelaskan
bahwa pengendalian internal harus dievaluasi pada 2 level yaitu:
a. Level entitas (entity level focus)
Pengendalian dilakukan terhadap suatu lingkup pengawasan yang
mencakup keseluruhan entitas. Sebagai contoh adalah pengawasan
laporan keuangan bulanan.

6
 b. Tingkat aktivitas (activity level focus)
Pengendalian pada tingkat ini dilakukan terhadap setiap kegiatan,proses,
ataupun transaksi yang dilakukan.
3. Dimensi III adalah lima komponen pengendalian internal. Kelima komponen
merupakan kerangka kerja yang dapat dijadikan kriteria dalam membangun
dan mengevaluasi pengendalian internal.
a. Control environment
Lingkungan pengendalian adalah serangkaian proses dan standar yang
berlaku untuk digunakan sebagai dasar untuk melakukan pengendalian
ke seluruh organisasi. Dewan direksi menetukan sepenting apa
pengendalian internal yang diajlankan, termasuk standar yang
diharapkan. Lingkungan pengendalian terdiri dari integritas dan nilai etik
dari perusahaan, parameter penilaian bagi dewan direksi untuk
menjalankan tugas pengawasan, struktur organisasi beserta kewenangan
dan tanggung jawab di setiap tingkatan, proses perekrutan,
pengembangan dan mempertahankan individu yang kompeten, dan
ketegasan dalam pengukuran performa, insentif, serta hadiah untuk
meningkatkan akuntabilitas kinerja. Terdapat lima prinsip yang terkait
dengan komponen ini yaitu:
 Organisasi menunjukkan komitmen terhadap integritas dan nilai-nilai
etika.
 Direksi menunjukan kemandirian dari manajemn dan mepertajam
pengawasan untuk pengendalian internal, baik perkembangan
maupun performa
 Manjemen menetapkan struktur, aturan pelaporan dan otoritas yang
sesuai untuk mengejar tujuan , akan tetapi tetap berasa dibawah
pengawasan dewan direksi
 Organisasi menunjukkan komitmen untuk merekrut,
mengembangkan, dan menjaga individu yang kompeten dalam
pencapaian tujan
 Organisasi menjaga akuntanbilitas setiap individu dalam tanggung
jawab terhadap pengendalian untuk mencapai tujuan

7
b. Risk assessment
Setiap entitas menghadapi berbagai macam risiko yang bersumber dari
dalam ataupun dari luar organisasi, risko adalah kemungkina terjadinya
suatu kejadian yang memiliki efek terhadap ketercapaian tujuan.
Penaksiran risiko melibatkan proses yang berulang dan juga dinamis.
Penaksiran risiko menjadi dasar pertimbangan bagaimana suatu risiko
akan ditangani. Sebelum dilakukan penaksiran, diperlukan penentuan
tujuan yang berhubungan dengan berbagai entitas yang ada. Terdapat
empat prinsip yang berkaitan dengan kompone ini yaitu:
 Organisasi menjelaskan tujuan dengan cukup jelas agar dapat
dilakukanpentuan serta penaksiran risiko yang berhubungan dengan
tujuan tersebut
 Organisai mentukan risiko yang mungkin terjadi dalm proses
pencapaian suatu tujuan terhadap entias terkait dan melakukan
analisis sebagai dasar penentuan langkah yang akan diambil untuk
memenangani risiko tersebut
 Organisasi mepertimbangkan potensi terjadinya fraud dalam
menaksir suatu risiko yang mungkin terjadi dalam proses pencapaian
tujuan
 Organisasi mentukan dan menilai perubahn yang mungkin diambil
untuk memberikan dampak yang signifikan terhadap sistem
pengendalin internal
c. Control activities
Aktivitas pengendalian adalah tindakan yang dilakukan melalui
ketentuan dan proseduruntuk memastikan arahan manajemn terkait
mitigasi risiko dilaksanakan dengan baik. Aktivitas pengendalin
dilakukan pada seluruh tingkat entitas dalam berbagai tahap dalam
proses dan melalui lingkungan teknologi. Ada tiga prinsip yang berkaitan
dengan komponen ini yaitu:
 Organisai memilih dan mengembangkan aktivitas pengendalian yang
dapat memberikan kontribusi terhadap proses mitigasi risiko yang

8
 mungkin terjadi selama pencapaian tujuan hingga mencapai tingkatan
yang diinginkan
 Organisasi memilih dan mengembangkan aktivitas pengendalian
terhadap teknologi yang digunakan untuk mendukung pencapaian
tujuan
 Organisasi menrapkan aktivitas pengendalian melalui kebijakan yang
dapat mewujudkan apa yang diharapkan dan juga prosedur yang
dapat menjalankan kebijakan tersebut.
d. Information and communication
Informasi diperlukan dalam rangka pelaksanaan tanggung jawab IC nya
dalam rangka pencapaian tujuan. Sedangkan komunikasi terjadi baik
secara internal maupun eksternal dengan menyediakan informasi yang
diperlukan dalam rangka pelaksanaan IC sehari-hari. Komunikasi
internal berarti informasi disebarluaskan dalam lingkungan organisasi
dan antar entitas. Komunikasi eksternal memiliki dua tujuan, menerima
informasi dari luar dan menyediakan informasi bagi pihak luar untuk
memenuhi kebutuhan informasi. Ada tiga prinsip yang berkaitan dengan
komponen ini yaitu:
 Organisasi mendapatkan atau menghasilkan serta menggunakan
informasi yang berkaitan dan berkualitas untuk mendukung fungsi
dari pengendalian internal
 Organisasi berkomunikasi secara internal untuk berbagi informasi
yang berguna untuk mendukung pengenalian internal, termasuk
tujuan dan tanggug jawab pengendalian
 Organisasi berkomunikasi dengan pihak luar mengenai masalah yang
mempengaruhi pengendalian internal
e. Monitoring activities
Evaluasi berjalan, evaluasi terpisah, ataupun kombinasi dari keduanya
digunakan untuk memastikan setiap komponen dalam pengendalian
internal berjalan dengan baik. Evaluasi berjalan dibangun dalam tingkat
entitas yang berbeda-beda terhadap proses bisnis, menyediakn informasi
seiring waktu berjalan. Evaluasi terpisah, dijalankan secara berkala, akan

9
 memiliki variasi dalam lingkup dan frekuensi tergantung pada penilaian
risiko, keefektifan evaluasi berjalan, dan berbagai pertimbangan
manajemen lainnya. Ada dua prinsip yang berkaitan dengan komponen
ini yaitu:
 Organisasi memilih, mengembangkan dan menjalankan evaluasi berjaln
dan/atau evaluasi terpisah untuk menjamin semua komponen
pengendalian internal berjalan dengan baik serta sesuai kebutuhan atau
tidak.
 Organisasi mengevaluasi dan membahas defisiensi pengendalian internal
secar berkala kepada pihak yang bertangung jawab untuk mengambil
tindakan perbaikan, termasuk manajemen senior dan dewan direksi.
C. Entity level control (ELC) and transactional level control (TLC)

Ruang lingkup pengendalian terbagi dalam dua level, yaitu:

1. Entity level control (ELC)

Pengendalian tingkat entitas (entity level controls), dikenal sebagai

pengendalian level perusahaan adalah proses yang didesain oleh atau
dibawah kendali pengawasan manajemen untuk menerapkan lingkungan
yang memiliki dampak meluas (persuasive) pada efektivtas pengendalian
pada proses, transaksi atau level aplikasi. Tipe pengendalian tingkat entitas:

a. Pengendalian tidak langsung tingkat entitas (indirect)

Pengendalian yang penting namun tidak berhubungan langsung dengan
kemungkinan dapat dicegahnya atau terdektesinya salah saji yang
material secara tepat waktu.
b. Pemantauan pengendalian tingkat entitas (monitoring)
Pengendlaian yang dilakukan untuk memonitor efektivitas pengendalian
lainnya, namun tingkat ketepatn pengendalian ini belum cukup memadai
memitigasi risiko pelaporan keuangan.
c. Pengendalian langsung tingkat entitas (direct)
Pengendalian yang dirancang dan dilaksankn dengan tingkat ketepatan
yang memadai untuk mencegah atau mendeteksi secara tepat waktu.

10
Pengklasifikasian pengendalian tingkat entitas menjadi indirect, monitorin,
dan direct ELC, menunjukan seberapa dekat hubungan antara pengendalian
tingkat entitas dan pengendalian tingkat entitas dan pengendalian tingkat
transaksional. Implikasinya, dengan asumsi keterbatasan sumber daya, maka
perancangan dan implementasi ELC hendaknya lebih diprioritaskan pada
direct ELC, kemudian fokus monitoring ELC dan direct ELC.

Kegiatan pengendalian ini umumnya beroperasi pada tingkat perusahaan

atau manajemen puncak pengambil keputusan strategis. Level ini memiliki
jangkauan atau kewenangan pengendalian yang lebih tinggi dari activity
level, dan bisa mempengaruhi kegiatan pada activity level, misalnya
kebijakan perusahaan.

Proses identifikasi yang relevan entitas-tingkat kontrol dapat dimulai dengan

pemantauan, dan informasi dan komunikasi diskusi antara auditor dan
karyawan yang sesuai untuk atas pelaporan keuangan (yaitu, lingkungan
pengendalian, penilaian risiko, aktivitas pengendalian, pemantauan, dan
informasi dan komunikasi). Sementara mengevaluasi entitas tingkat kontrol,
auditor mungkin mengidentifikasi kontrol yang mampu mencegah atau
mendeteksi salah saji dalam laporan keuangan. Itu periode- end proses
pelaporan keuangan dan pemantauan manajemen terhadap hasil operasi
merupakan sumber potensial dari kontrol tersebut.

Tujuan mendapatkan pemahaman awal dari setiap komponen pengendalian

internal. Sementara mengevaluasi entitas tingkat kontrol, auditor mungkin
mengidentifikasi kontrol yang mampu mencegah atau mendeteksi salah saji
dalam laporan keuangan. Itu periode-end proses pelaporan keuangan dan
pemantauan manajemen terhadap hasil operasi merupakan sumber potensial
dari kontrol tersebut.

Pengaruh Entity-Level Controls pada Pengujian Kontrol Lain yaitu pada

evaluasi auditor entitas tingkat kontrol dapat menghasilkan peningkatan atau
mengurangi pengujian bahwa auditor jika tidak mungkin dilakukan pada lain
kontrol. Sebagai contoh, jika auditor telah merancang pendekatan audit
dengan harapan tertentu entitas tingkat kontrol (misalnya, kontrol dalam

11
 lingkungan pengendalian) akan efektif dan mereka kontrol tidak efektif,
auditor dapat mengevaluasi kembali merencanakan pendekatan audit dan
memutuskan untuk memperluas prosedur audit nya. Di sisi lain, evaluasi
auditor dari beberapa entitas tingkat kontrol dapat menghasilkan
pengurangan nya atau pengujian nya kontrol lain, seperti kontrol lebih sesuai
pernyataan yang relevan. 

2. Transactional level controls (TLC)

Terdapat dalam proses dengan tujuan untuk mencegah atau mendeteksi salah
saji melalui kesalahan (error) atau fraud, otorisasi, pengamann dan
pertangungjawaban asset. Secara umum, pengendalian tingkat transasksional
berkaitan dengan elemen aktivitas pengendalian dalm kerangka COSO dan
lebih berfokus pada account yang signifikan, serta proses/transaksi yang
memiliki kemungkinan error/fraud sehinga menimbulkan salah saji material.
Kegiatan pengendalian pada level ini lebih berhubungan dengan pelaksanaan
proses bisnis atau transaksi dari bagian dalam suatu organisasi. Level ini
memiliki kewenangan yang lebih rendah dari entity level control, dan dapat
dipengaruhi kebijakan dalam entity level control.
Selanjutnya dalam Transactional Level Control (TLC) ini akan ada
crosscheck yang dilakukan bagian akuntansi dan keuangan atas dokumentasi
atas reimbursement yang diberikan kepada perusahaan akan dapat ditolak
jika tidak memenuhi persyaratan yang ditentukan oleh kebijakan
manajemen.
Hubungan pengendalian tingkat entitas dan pengendalian tingkat transaksional
dalam pelaksanan penguji pengendalian internal:
a. Identifikasi tingkatan risiko (tinggi, sedang, rendah) berdasarkan proses
penilaian risiko
b. Direct ELC yang dpat memitgasi risiko pelaporan keuangan dengan presi
yang memadai dan tepat waktu, dapat mengurangi pengujian yang lebih
detil di tingkatan transaksional
c. yang tersia adalah risiko tinggi yang membutuhkan perhatian lebih.

12
D. Siklus dalam desain dan Impelementasi ICoFR

1. Adjusting financial reporting risk

Tahap pertama dalam siklus IcoFR adalah penyesuaian atau penelaahan
terhadap risiko pelaporan keuangan. Dalam tahap ini, pihak manajemen akan
mengidentifikasi risiko-risiko apa saja yang mungkin akan timbul dalam
pelaporan keuangan sebuah perusahaan.
2. Adjust & implementat controls
Tahap kedua dalam siklus IcoFR adalah implementasi dan penyesuaian
terhadap pengendalian. Dalam tahap ini, pihak manajemen akan melakukan
penyesuaian antara risiko dan pengendaliannya. Dari risiko-risiko yang telah
diidentifikasi oleh pihak manajemen dalam tahap pertama, maka pihak
manajemen akan membuat suatu pengendalian yang sesuai dengan risiko
yang telah diidentifikasi. Selanjutnya, pengendalian tersebut akan diterapkan
dalam perusahaan tersebut.
3. Control remediation
Tahap selanjutnya dalam siklus ICoFR adalah pengendalian. Tahap ini juga
dapat dikatakan sebagai tahap monitoring. Pihak manajemen akan
melakukan pengawasan dan pengendalian terhadap pengendalian-
pengendalian apa saja yang telah diterapkan di dalam perusahaan tersebut.

13
4. Identifikasi & manage changes
Tahap terakhir dalam siklus ICoFR adalah identifikasi perubahan. Setelah
ICoFR diterapkan dalam perusahaan tersebut, maka pihak manajemen akan
mengidentifikasi perubahan-perubahan apa saja yang terjadi. Tahap ini juga
dapat dikatakan sebagai tahapan review. Desain, implementasi, dan evaluasi
pengendalian harus disesuaikan dengan ukuran dan pelaporan risiko
perusahaan. Merancang dan memelihara ICFR secara efektif menjadi lebih
menantang karena ukuran bisnis dan ruang lingkup kegiatannya meningkat.
Pada saat yang sama, perusahaan-perusahaan yang lebih kecil juga mungkin
menghadapi beberapa masalah kesulitan pengendalian/kontrol. Sebagai
contoh, risiko manajemen dapat lebih besar dalam sebuah organisasi yang
lebih kecil di mana pejabat-pejabat perusahaan memiliki keterlibatan
langsung dengan operasi dan dengan pencatatan transaksi. Selain itu,
perusahaan kecil mungkin tidak memiliki personel yang cukup untuk
sepenuhnya melaksanakan pemisahan tugas di semua proses. Namun
demikian, perusahaan publik yang lebih kecil masih harus menerapkan
system kontrol yang akan menyediakan keyakinan yang memadai bahwa
laporan keuangan yang disusun sesuai dengan GAAP dan bebas dari salah
saji material. 

Cara mendesain pengendalian tingkat entias atas pelaporan keuangan:

1. Pembentukan tim yang bertangung jawab untuk mengidentifikasi,

menganalisis dan menguslkan desain pengendalian tingkat entitas.
2. Memahami prinsip dasar dan atribut pengendalian internal COSO atas
pelaporan keuangan
3. Melakukan diskusi dengan personel terkait pemahaman atas pengendalian
tingkat entitas yang relevan
4. Melakukan reviu atas dokumentasi pengendalian tingkat entitas
5. Melakukan identifikasi atas atribut pengendalian tingkat entitas yang ada
saat ini
6. Melakukan identifikasi kesenjangan dan mengajukan desain pengendalian
tingkat entias untuk memperkecil kesenjangan

14
 7. Melakukan konfirmasi desain pengendalian tingkat entias yang diajukan
dengan personel yang relevan
8. Memperoleh persetujuan atas desain pengendalian tingkat entitas yang
diajukan

Cara mendesain pengendalian tingkat transaksional:

1. Mendapatkan pemahaman atas proses dari pemilik proses bisnis dengan:
a. Melakukan reviu atas dokumentasi alur proses, termasuk TI yang relevan
b. Melakukan diskusi dengan personil klien
c. Melakukan observasi metode dan prosedur yang digunakn, termasuk
input sistem dan fungsionalitas
d. Melakukan walkthrough (penelusuran transaksi dari awal hingga akhir
proses)
2. Mendokumentasikan proseske dalam diagram alir (flowchart)
3. Melakukan identifikasi risiko untuk setiap proses yang direviu
4. Mendesain pengendalianuntuk risiko yang sudah diidentifikasi
5. Melakukan konfrimasi atas diagram alir, termasuk risiko dan pengendalian
dalam suatu proses kepada pemilik proses bisnis
6. Memperoleh persetujuan atas desain pengendalian tingkat transaksional yang
diajukan
2.2 Terminologi dalam mengevaluasi control deficiency

Control deficiency adalah sebuah pengendalian atas kekurangan dalam sebuah

pengendalian internal. Yang dimaksud disini adalah sejauh mana kekurangan dalam
sebuah sistem pengendalian internal dapat dikontrol. Control deficiency muncul
apabila sistem internal control tidak berjalan dengan semestinya. Sistem internal
control berfungsi untuk mengendalikan manajemen atau karyawan menjalankan
fungsinya masing-masing, ketika manajemen atau seorang karyawan tidak
menjalankan fungsinya sebagaimana mestinya maka timbul deficieny. Untuk
mengkontrol deficiency tersebut maka perlu dibuat control deficiency.

Kelemahan dalam pengendalian terjadi ketika desain atau penerapan

pengendalian tidak memberikan kesempatan manajemen atau karyawan, dalam

15
kondisi normal, untuk menjalankan fungsi yang ditugaskan untuk mencegah atau
mendeteksi salah saji secara tepat waktu.
Kelemahan dalam desain terjadi ketika:
a. Pengendalian yang diperlukan untuk mencapai tujuan tidak ada.
b. Pengendalian yang ada tidak didesain secara tepat.

Kelemahan dalam operasional terjadi ketika:

a. Pengendalian yang sudah didesain dengan baik tidak dijalankan.
b. Personel yang melakukan pengendalian tidak memiliki otoritas atau
kualifikasi yang memadai untuk menjalankan pengendalian tersebut secara
efektif.

Kelemahan signifikan adalah kelemahan pengendalian atau gabungan dari

beberapa kelemahan pengendalian, yang berdampak negatif terhadap kemampuan
perusahaan untuk melakukan inisiasi, otorisasi, pembukuan, memproses dan
melaporkan data keuangan kepada pihak eksternal sesuai dengan prinsip akuntansu
yang berlaku umum.
Kelemahan material adalah kelemahan signifikan, atau kombinaasi dari
beberapa kelemahan signifikan yang menghasilkan kemungkinan yang reasonable
bahwa salah saji material pada laporan keuangan tahunan tidak dapat dicegah atau
dideteksi.
Terdapat tiga terminologi yang digunakan untuk mengidentifikasi kemungkinan
a. Probable
Besar kemungkinan kejadian terjadi atau terjadi di masa depan
b. Reasonably possible
Kemungkinan terjadinya hal tersebut di masa mendatang atau kejadian
tersebut terjadi lebih daripada remote tetapi lebih kecil daripada likely.
c. Remote
Kemungkinan terjadinya kejadian tersebut di masa dating atau kejadian
tersebut terjadi relative kecil
Dengan demikian, ketika disebutkan bahwa kemungkinan terjadinya “more than
remote” adalah antara reasonably possible atau possible. Kelemahan signifikan ini
levelnya dibawah kelemahan material dan cukup penting untuk mendapat perhatian
oleh orang – orang yang bertanggung jawab.

16
 Control deficiency juga perlu dilakukan terhadap kesalahan yang sifatnya
material atau material weakness yaitu kesalahan yang signifikan yang menyebabkan
salah saji yang material pada laporan keuangan yang tidak terdeteksi sehingga
memberikan informasi yang salah pada pengguna laporan keuangan. Control
deficiency yang dapat dilakukan untuk mencegah material weakness adalah internal
control meneliti kembali laporan keuangan yang akan disajikan dan memeriksa
kembali perhitungan dan kebijakn akuntansinya yang diambil perusahaan.

Tujuan pengendalian (test objective) yaitu untuk desain pengujian aktivtas

pengendalian untuk menetukan apakah pengendalian beroperasi sebagaimana yang
didesain. Pertimbangan sifat dari pengendalian dan definisi exception, frekuensi
pengendalian, tingkat keyakinan yang diharapkan. Tujuan pengendalian (control
objective) terkait pengendalian internal atas pelaporan keuangan untuk mencapai
asersi yang mendasari pelaporan keuangan perusahaan.

2.3 Kerangka dalam mengevaluasi control exception dan deficiency

Audit Standard No. 5 memberikan persyaratan dan memberikan arahan untuk

auditor dalam melakukan audit atas penilaian manajemen terkait efektifitas dari
pengendalian internal atas pelaporan keuangan, yang juga menyediakan kerangka
untuk evaluasi control exception dan deficiency.

Kerangka yang digunakan mendefinisikan langkah untuk penilaian, termasuk:

1) Definisi apakah temuan merupakan control exception atau control
deficiency
2) Menentukan apakah control deficiency tersebut dianggap sebagai defiency,
significant deficiency, atau material weakness.

17
 3) Kotak1 dan kotak 3: tujuan pengujian terpenuhi dengan beberapa
pertimbangan:
a) Tingkat deviasi terkait dengan frekuensi kinerja pengendalian.
b) Faktor kualitatif.
c) Apakah exception ini menghasilkan salah saji laporan keuangan.
4) Kotak 2: jika tujuan pengendalian tidak terpenuhi, terdapat dua pilihan:
a) Jika exception yang diobservasi dan menghasilkan tingkat deviasi yang
diyakini tidak dapat mewakili populasi, missal karena sampling error,
pengujian dapat direevaluasi dan diperluas.
b) Jika exception yang diobservasi dan menghasilkan tingkat deviasi yang
diyakini dapat mewakili populasi, exception tersebut dianggap sebagai
control deficiency dan tingkat signifikansinya dinilai.
Control deficiency sebaiknya dievaluasi menggunakan secara kuantitatif dan
kualitatif dengan memperhatikan faktor berikut:
1) Compensating control
2) Kemungkinan terjadinya deficiency
3) Volume transaksi
4) Status deficiency sebelumnya
5) Jumlah lokasi pengujian
6) Asersi terkait deficiency
7) Fraud

18
 8) Pemahamn terhadap dampk atas akun laporan keuangan
9) Pemahaman atas proses bisnis terakit laporan keuangan
Bahasa yang digunakan manajemen dalam laporan pengendalian internal atas
pelaporan keuangan sebaiknya menyatakan secara langsung kesimpulan atas
efektivitas dengan memperhatikan beberapa pertimbangan:
1) Menghindari penggunaan frase yang subjektif, seperti: sangat efektif
2) Tidak menggunakan kalimat negative assurance, seperti: tidak terdapat hal
yang menyebabkan manajemen menyimpulkan bahwa pengendalian internal
atas pelaporan keuangan perusahaan tidak efektif.
3) Manajemen tidak diijinkan untuk menyimpulkan bahwa kesimpulan
pengendalian internal atas pelaporan keuangan adalah efektif, apabila
terdapat satu atau lebih kelemahan material.
2.4 Menarik kesimpulan akhir atas keefektifan pengendalian internal atas
pelaporan keuangan

Kelemahan (deficiency) dianalisis secara individual maupun agregat terkait

dengan akun signifkan pengungkapn dan komponen COSO terkait. Agregasi
kelemahn aktivitas pengendalian berdasarkan saldo akan signifkan dan
pengungkapan ini penting, mengingat apabila terdapat berapa kelemahan
pengendalian pada saldo akun atau pengungkapan tertentu maka akan meningkatkan
kemungkinan salah saji.

Agresiasi berdasarkan lingkungan pengendalian, penilaian risiko, informasi dan

komunikasi, serta komponen pemantauan COSO lebih sulit dan judgemental.
Contoh: kelemahan pengendalian yang saling tidak terkait atas desain yang tidak
efektif pad kompone COSO lainnya dapat mengarh pada kesimpulan adnya
significant deficiency atau material weaknes pada komponen penilaian risiko.

Kesimpulan secara menyeluruh atas efektivitas desain dan operasional

pengendalian internal atas pelaporan keuangan sebaiknya mempertimbangkan:

1) Bukti yang dikumpulkan selama evaluasi

2) Hasil penilaian pengendalian tingkat entitas
3) Hasil penilaian pengendalian umum TI
4) Hasil evaluasi pengendalian desain pada level proses

19
 5) Hasil pengujian pengendalian pada level proses
6) Hasil aktivitas pemantauan dan pengendalian pemantaun
7) Kesenjangan pengendalian yang dapat diidentifikasi dan signifikan dari
dampaknya terhadap laporan keuangan secara menyelurh
8) Bukti yang memuaskan atu resolusi dari gap yang teridentifikasi
9) Konsultasi dengan pihak terkait, termasuk komite audit, tim ahli eksternal
dan akuntan publik independent
2.5 Bagaimana Mengkomunikasikan Laporan ICoFR

Setelah pihak manajemen memformulasi kesimpulan akhir, komunikasi atas

hasil penilain hal berikut harus dikomunikasikan dengan baik:

1) Seluruh significant deficiency dan material weakness pada level desain dan
operasional pengendalian internal atas pelaporan keuangan yang dapat
mempengaruhi secara negatif kemampuan perusahaan untuk mencatat,
memproses,menyimpulkan dan melaporkan informasi keuangan
2) Segala bentuk fraud, baik materi maupun tidak, yang melibatkan manajemen
atau karyawan lain yang memiliki peran signifikan dalam perusahaan.

Tanggung jawab manajemen adalah harus mengkomunikasikan hasil evaluasi

pengendalian internal yang terdiri dari:

1) Tanggung jawab manajemen untuk mengembangkan dan memelihara

kecukupan pengendalian internal atas pelaporan keuangan dalam perusahan
2) Kerangka yang digunakan manjemn sebagai kriteria dalam melakukan
evaluasi atas efektivas pengendalian internal atas pelaporan keuangan
3) Kesimpulan manajemen atas efektivitas pengendalian internal atas pelaporan
keuangan perusahaan saat akhir tahun,termasuk pengungkapan kelemahan
material dalam pengendalian perusahaan yang diidentifikasi oleh manajemen
4) Akuntan publik independent yang mengaudit pelaporan keuangan yang
dimasukkan dalam laporan tahunan juga telah melakukan atestasi dan
melaporkan evaluasi manajemen atas pengendalian internal atas pelaporan
keuangan

Pertimbangan lain yang perlu dikomunikasikan:

20
 1) Ketika perusahaan mengidentifikasi adanya significant deficiency,
perusahaan tidak diwajibkan untuk mengungkapkan ke publik terkait
eksistensi dan sifat significant deficiency.
2) Ketika significant deficiency terjadi bersamaan dengan kelemahan
pengendalian lainya diangap sebagai material weakness, manajemen harus
mengungkapkan kelemahan material ini
3) Perubahan apapun dalam pengendalian internal atas laporan keuangan
perusahaan yang timbul selama kuartal terakhir yang mempengaruhi secara
material pengendalian internal atas laporan keuangan wajib untuk
diungkapkan.

2.6 Pendokumentasian laporan ICoFR

Persyaratan dokumentasi harus dipertimbangkan dalam kaitannya dengan

laporan keuangan untuk tujuan eksternal. Untuk lebih meyakinkan para investor
maupun pemegang saham atau pihak ketiga, dokumentasi sangat diperlukan untuk
mendukung semua pengendalian internal perusahaan. Manajemen memiliki tingkat
tanggung jawab yang tinggi mengenai keefektivitasan operasi atas pengendalian
internal. Sifat dan tingkat dokumentasi dapat dipengaruhi oleh peraturan entitas. Ini
tidak berarti bahwa semua harus didokumentasikan namun dapat mewakili bukti
bahwa komponen pengendalian internal ada dan beroperasi bersama dan sesuai
untuk memenuhi tujuan entitas.

Dalam kasus di mana auditor eksternal membuktikan keefektifan sistem

pengendalian intern secara keseluruhan, manajemen diharapkan untuk memberikan
dukungan kepada auditor atas ketetapannya mengenai efektivitas pengendalian
internal. Dukungan itu akan mencakup bukti bahwa sistem pengendalian internal
dirancang dengan benar dan berjalan efektif. Dalam mempertimbangkan sifat dan
tingkat dokumentasi yang dibutuhkan, manajemen juga harus ingat bahwa
dokumentasi untuk mendukung pernyataan tersebut kemungkinan akan
digunakanoleh auditor eksternal sebagai bagian dari bukti auditnya.

21
 Laporan pengendalian internal atas pelaporan keuangan terdiri dari informasi
sistematis yang disajikan meliputi:

1) Aturan pengendalian internal atas pelaporan keuangan

Informasi regulasi spesifik untuk mendukung pengendalian internal atas
pelaporan keuangan
2) Tujuan
Definisi tujuan pengendalian internal atas pelaporan keuangan untuk
mengevaluasi desain dan impelementasi di tingkat entias, transaksional dan
TI, termasuk penilaian manajemen atas hasil evaluasi
3) Prosedur
Menjelaskan prosedur dan langkah untuk melakukan evaluasi atas
pengendalian internal atas pelaporan keuangan

4) Cakupan
Definisi cakupan evaluasi di setiap level: tingkat entitas, transaksional dan
TI
5) Periode
Definisi periode evaluasi
6) Lokasi
Informasi lokasi terpilih untuk tujuan evaluasi
7) Pendekatan dan metodologi
Menjelaskan pendekatan dan metodologi yang digunakan untuk
mengevaluasi pengendalian internal atas pelaporan keuangan
8) Summary of deficiency
Informasi terkait kelemahan yang teridentidikasi di level entitas,
transaksional dan TI
9) Kesimpulan dan rekomendasi
Informs mengenai kesimpulan dan rekomendasi untuk setiap pengendalian
di level entias, transaksional dan pengendalian umum TI.

Bahasa yang digunakan manajemn dalam laporan pengendalian internal atas

pelaporan keuangan sebaiknya menyatakan secara langsung kesimpulan atas
efektivitas dengan meperhatikan beberapa pertimbangan:

22
 1) Menghindari penggunaan frase yang subjektif, seperti sangat efektif
2) Tidak menggunakn kalimat negative assurance, seperti: tidak terdapat hal
yang menyebabkan manajemen menyimpulkan bahwa pengendalian internal
atas pelaporan laporan keuangan atas pelaporan keuangan perusahn tidak
efektif.
3) Manajemen tidak diijinkan untuk menyimpulkan bahwa kesimpulan
pengendalian internal atas pelaporan keuangan adalah efektif, apabila
terdapat satu atau lebih kelemahan material.

BAB III
KESIMPULAN
ICoFR didefinisikan sebagai kebijakan-kebijakan dan rangkaian prosedur serta
tata kerja terkait proses pelaporan keuangan untuk menjamin tersusunnya laporan
keuangan yang akurat, andal dan tepat waktu agar memiliki keyakinan yang
memadai bahwa proses pencatatan pada laporan keuangan telah didukung
dengan internal control yang efektif berdasarkan ketentuan yang berlaku.
Pengendalian internal atas laporan keuangan internal control over financial
reporting (ICoFR) memberikan keyakinan memadai terhadap keandalan pelaporan
keuangan dan penyusunan laporan keuangan untuk pihak eksternal. Jika terdapat
satu atau lebih kelemehan material (material weakness), sistem pengendalian
internal atas pelaporan keuangan entitas tidak dapat dinggap berjalan efektif.

23
 DAFTAR PUSTAKA

IAI. (2015). Sistem Informasi dan Pengendalian Internal.

http://iaiglobal.or.id/v03/files/modul/sipi/

Marshall B. Romney dan Paul John Steinbart. (2015). Sistem Informasi Akuntansi:
Accounting Information Systems.

24