Universitas Indonesia Penilaian Atas Internal Control Over Financial Reporting Sesuai Sarbanes-Oxley 404 Pada Siklus Pendapatan Prepaid PT Abc PDF

UNIVERSITAS INDONESIA
PENILAIAN ATAS INTERNAL CONTROL OVER FINANCIAL

REPORTING SESUAI SARBANES-OXLEY 404 PADA SIKLUS
PENDAPATAN PREPAID PT ABC
LAPORAN MAGANG
AFINA KHAIRANA DJAKMAN
1006695715
FAKULTAS EKONOMI
PROGRAM STUDI AKUNTANSI
DEPOK
JUNI 2014
Penilaian atas..., Afina Khairana Djakman, FE UI, 2014

Scanned by CamScanner
KATA PENGANTAR
Puji syukur saya panjatkan kepada Allah SWT, karena atas berkat dan rahmat-
Nya, saya dapat menyelesaikan laporan magang ini. Penulisan laporan magang ini
dilakukan dalam rangka memenuhi salah satu syarat untuk mencapai gelar Sarjana
Ekonomi Jurusan Akuntansi pada Fakultas Ekonomi Universitas Indonesia. Saya
menyadari bahwa, tanpa bantuan dan bimbingan dari berbagai pihak, dari masa
perkuliahan sampai pada penyusunan laporan magang ini, sangatlah sulit bagi
saya untuk menyelesaikan laporan magang ini. Oleh karena itu, saya
mengucapkan terima kasih kepada:
(1) Dr. Sylvia Veronica NPS., SE, Ak., selaku dosen pembimbing yang telah
menyediakan waktu, tenaga, dan pikiran untuk mengarahkan saya dalam
penyusunan laporan magang ini;
(2) RSM AAJ Associates divisi White, khususnya Teteh Indria dan Kak Zelda,
yang sangat membantu saya dalam memperoleh data dan informasi yang
diperlukan, dan siap sedia 24/7 untuk menjawab pertanyaan terkait topik yang
diangkat. Mas Syahraki Syahrir dan Mba Angela yang membuat pelaksanaan
magang ini terjadi, kakak-kakak associates, khususnya: Agnes, Egi, Kak Cita,
Kak Rista, Kak Mis, Kak Tri, Kak Radhi, Kak Bella, Kak Arif dan geng intern
sepenanggungan: Rio, Gideon, Felix, Andre, dan Uti.
(3) Dr. Chaerul Djakman, SE, Ak., MBA, selaku dosen pembimbing di rumah dan
ayahanda tercinta yang telah memberikan dukungan dan arahan dalam segala
bentuk selama empat tahun ini. Thank you, Sir!
(4) Bunda, Mba Aya, Ican, Ageng, Oma dan Eyang Putri yang telah mendukung
dan menaruh kepercayaan kepada penulis untuk menulis laporan magang ini
dengan optimal.
(5) The loveliest Geng Akoen: Gathrie, Toga, Uti, Ilin, Tata, Alaya. Semoga
sukses ya semua! Either in accounting field or whichever :p
iv
Universitas Indonesia
(6) Teman-teman lain yang telah mengisi 4 tahun kehidupan penulis di FEUI,
L’Amitie: Anin, Delia, Nindush, Asti, Brena, Ceryl, Danta, Ucup, Ganesh, Irfan,
Raina, Raka, Djaffri, Riri, Chacha, Iky, dan Dinda. MAKASIH YA GUYS.....
Sedih banget bakal misah huhuhuhu 
Akhir kata, saya berharap Allah SWT berkenan membalas segala kebaikan semua
pihak yang telah membantu. Semoga laporan magang ini membawa manfaat bagi
pengembangan ilmu.
Jakarta, 12 Juni 2014
Penulis
v
ABSTRAK
Nama : Afina Khairana Djakman

Program Studi : S1 Akuntansi
Judul : Penilaian atas Internal Control over Financial Reporting sesuai
Sarbanes-Oxley 404 pada Siklus Pendapatan Prepaid PT ABC.
Laporan magang ini membahas tentang penilaian atas Internal Control

over Financial Reporting (ICoFR) PT ABC pada siklus pendapatan prepaid untuk
periode September hingga Desember 2013. Penilaian tersebut ditujukan untuk
memenuhi ketentuan Sarbanes-Oxley 404 untuk memberikan keyakinan yang
memadai bahwa laporan keuangan telah disajikan dengan pengendalian internal
yang baik. Pengujian dilakukan dengan metode inquiry, inspeksi, observasi, dan
reperformance untuk menilai apakah praktik yang dilakukan perusahaan telah
sesuai dengan Risk Control Matrix (RCM) yang ada.
Hasil penilaian menyimpulkan bahwa pengendalian internal atas pelaporan
keuangan untuk siklus pendapatan prepaid PT ABC telah berjalan dengan efektif
dan sesuai dengan RCM yang ada.
Kata kunci:
COSO, pengendalian internal, ICoFR, Sarbanes-Oxley, siklus pendapatan
ABSTRACT
Name : Afina Khairana Djakman

Study Program: S1 Accounting
Title : Assessment of Internal Control over Financial Reporting in
accordance to Sarbanes-Oxley 404 on Prepaid Revenue Cycle in
PT ABC.
This internship report discusses about the assessment of PT ABC’s

Internal Control over Financial Reporting (ICoFR) on Prepaid Revenue Cycle for
the period of September until December 2013. This assessment is aimed to
conform Sarbanes-Oxley 404 to give reasonable assurance that firm’s financial
report is presented with adequate internal control. Assessment is done with several
methods: inquiry, inspection, observation and reperformance to evaluate whether
firm’s practice is in accordance with given Risk Control Matrix (RCM).
The result of this assessment concludes that the Internal Control over
Financial Reporting on Prepaid Revenue Cycle of PT ABC is effective and
complied to the given RCM.
Key words:
COSO, internal control, ICoFR, Sarbanes-Oxley, revenue cycle
vii

DAFTAR ISI
HALAMAN JUDUL................................................................................................ i
HALAMAN PERNYATAAN ORISINALITAS .................................................... ii
HALAMAN PENGESAHAN ................................................................................ iii
KATA PENGANTAR ........................................................................................... iv
HALAMAN PERNYATAAN PERSETUJUAN PUBLIKASI ............................. vi
ABSTRAK/ABSTRACT ...................................................................................... vii
DAFTAR ISI ........................................................................................................ viii
DAFTAR TABEL .................................................................................................. xi
DAFTAR GAMBAR ............................................................................................ xii
DAFTAR LAMPIRAN ................................................................................... .....xiii
1. PENDAHULUAN ...............................................................................................1
1.1 Latar Belakang Tema ....................................................................................1
1.2 Rumusan Masalah .........................................................................................3
1.3 Tujuan Penulisan Laporan Magang ...............................................................4
1.4 Tempat dan Waktu Pelaksanaan Magang .....................................................4
1.5 Pelaksanaan Kegiatan Magang ......................................................................4
1.6 Ruang Lingkup Penulisan Laporan Magang .................................................6
1.7 Metode Penulisan Laporan Magang ..............................................................6
1.8 Sistematika Penulisan ....................................................................................7
2. LANDASAN TEORI..........................................................................................9
2.1 Pengendalian Internal ....................................................................................9
2.1.1 Pengertian Pengendalian Internal ..........................................................9
2.1.2 Tujuan Pengendalian Internal ..............................................................10
2.1.3 Fungsi Pengendalian Internal ..............................................................11
2.1.4 Kerangka Pengendalian Internal ..........................................................12
2.2 COSO Internal Control – Integrated Framework ........................................13
2.2.1 Guidance on Monitoring Internal Control Systems ............................21
2.3 Sarbanes-Oxley Act .....................................................................................23
2.3.1 Sarbanes-Oxley Section 302 ................................................................24
2.3.2 Sarbanes-Oxley Section 404 ................................................................24
2.3.3 Pedoman PCAOB (Auditing Standard No. 2 dan Auditing Standard
No. 5) ...................................................................................................25
2.4 Internal Control over Financial Reporting (ICoFR) ....................................25
2.4.1 Pengertian ICoFR ................................................................................26
2.4.2 Pedoman ICoFR menurut IIA ..............................................................27
2.4.3 Prosedur Audit menurut IIA ................................................................34
2.4.4 Implementasi ICoFR pada Perusahaan ................................................36
2.5 Siklus Pendapatan........................................................................................38
2.5.1 Definisi Pendapatan .............................................................................38
2.5.2 Aktivitas Dasar pada Siklus Pendapatan ..............................................38
3. GAMBARAN UMUM PERUSAHAAN .........................................................42

3.1 RSM AAJ Associates ..................................................................................42
viii
3.1.1 Jasa Profesional yang Disediakan RSM AAJ Associates ....................43
3.1.2 Struktur Organisasi RSM AAJ Associates ..........................................45
3.2 Profil Perusahaan Klien: PT ABC ...............................................................46
3.2.1 Visi dan Misi PT ABC .........................................................................47
3.2.2 Jenis-jenis Produk dan Jasa yang Ditawarkan PT ABC ......................47
3.2.3 Overview Performa Perusahaan Tahun 2013 .......................................49
3.2.4 Struktur Organisasi PT ABC ...............................................................50
3.2.5 Internal Audit PT ABC ........................................................................52
3.3 SOA Testing PT ABC Tahun 2013 .............................................................53
3.3.1 Pengujian ICoFR Fase III PT ABC .....................................................55
3.3.1.1 Metodologi ..............................................................................56
3.3.1.2 Cakupan Pengujian Aktivitas Pengendalian Tingkat
Transaksi (Transactional Level Control) ...............................58
4. PEMBAHASAN DAN ANALISIS ..................................................................61

4.1 Implementasi Pengendalian Internal atas Pelaporan Keuangan (ICoFR)
pada PT ABC ............................................................................................61
4.2 Pemahaman Siklus Pendapatan Prepaid PT ABC ......................................66
4.3 Gambaran Pengujian ICoFR PT ABC .........................................................67
4.3.1 Risk Control Matrix (RCM) PT ABC.................................................68
4.4 Pengujian ICoFR pada Siklus Pendapatan Prepaid PT ABC .....................71
4.4.1 Proses Penjualan Kartu/Voucher/E-voucher/Device prabayar ..........71
4.4.1.1 Penjualan Indirect (Penjualan Kartu/Voucher/e-Voucher
kepada Retail Nasional)...........................................................71
4.4.1.2 Penjualan Indirect (Penjualan Kartu/Voucher/e-Voucher
kepada Authorized Dealer) ......................................................75
4.4.1.3 Penjualan Indirect (Multibanking) .........................................78
4.4.1.4 Penjualan Direct – Branch/Metro ...........................................82
4.4.2 Proses Recharging .............................................................................86
4.4.2.1 Automatic Recharging (Voucher Fisik) ..................................86
4.4.2.2 Automatic Recharge (E-Voucher) ...........................................90
4.4.2.3 Manual Recharging (Komplain Pelanggan) ............................92
4.4.2.4 Manual Recharge ...................................................................95
4.4.2.5 Recharging (Monitoring) ........................................................97
4.4.2.6 Sistem OCS ..........................................................................102
4.4.3 Proses Prepaid Usage Calculation ..................................................103
4.4.3.1 Rating ....................................................................................103
4.4.3.2 Inject Value Tambahan (Bonus Tambahan) ..........................107
4.4.3.3 Mass Add/Offering ...............................................................112
4.4.4 Month-End .......................................................................................115
4.5 Analisis ......................................................................................................122
4.5.1 Implementasi Monitoring PT ABC berdasarkan COSO Framework
dan COSO Monitoring Guidance 2009 .............................................122
4.5.2 Analisis Pengujian ICoFR pada Siklus Pendapatan Prepaid PT
ABC .................................................................................................125
ix
5. KESIMPULAN DAN SARAN ......................................................................132
5.1 Kesimpulan ...............................................................................................132
5.2 Saran ..........................................................................................................133
5.2.1 PT ABC ............................................................................................133
5.2.2 RSM AAJ Associates .......................................................................134
DAFTAR REFERENSI .....................................................................................135
x
DAFTAR TABEL
Tabel 3.1 Line of businesses RSM AAJ Associates ..................................... 43

Tabel 3.2 Divisi-divisi RSM AAJ Associates ............................................. 44
Tabel 3.3 Pengujian Pengendalian Internal PT ABC Tahun 2013................ 55
Tabel 3.4 SOA Sampling PT ABC ............................................................... 56
Tabel 4.1 Project Plan SOA Testing PT ABC & RSM AAJ ....................... 63
Tabel 4.2 RCM penjualan indirect kepada Retail Nasional ......................... 73
Tabel 4.3 RCM penjualan indirect kepada Authorized Dealer..................... 77
Tabel 4.4 RCM penjualan indirect (multibanking) ...................................... 79
Tabel 4.5 RCM penjualan direct melalui Branch/Metro.............................. 83
Tabel 4.6 RCM Automatic Recharging (Voucher Fisik) ...............................87
Tabel 4.7 RCM Automatic Recharging (e-voucher) .................................... 91
Tabel 4.8 RCM Manual Recharging berdasarkan komplain pelanggan ...... 93
Tabel 4.9 RCM Manual Recharging ............................................................ 96
Tabel 4.10 RCM Recharging (Monitoring) ................................................... 98
Tabel 4.11 RCM Perpanjangan Masa Berlaku Kartu.................................... 102
Tabel 4.12 RCM Rating................................................................................ 104
Tabel 4.13 RCM Inject Value Tambahan (Bonus Tambahan) ..................... 108
Tabel 4.14 RCM Mass Add/Offering............................................................ 113
Tabel 4.15 RCM Proses Month-End..............................................................115
Tabel 4.16 Hasil Pengujian ICoFR Fase III pada Siklus Pendapatan Prepaid
PT ABC....................................................................................... 130
xi
DAFTAR GAMBAR
Gambar 2.1 COSO Framework ........................................................................15

Gambar 2.2 Monitoring dalam sistem pengendalian internal........................... 22
Gambar 2.3 Proses Monitoring......................................................................... 22
Gambar 3.1 Struktur Organisasi RSM AAJ Associates.................................... 45
Gambar 3.2 Struktur Organisasi PT ABC......................................................... 51
Gambar 4.1 Struktur Tim SOA Testing PT ABC 2013................................... 62
Gambar 4.2 Siklus Pendapatan Prepaid PT ABC (Kantor Pusat) ................... 67
Gambar 4.3 Pendekatan jasa konsultasi RSM AAJ Associates...................... 123
xii
DAFTAR LAMPIRAN
Lampiran 1 Kertas Kerja Pengujian................................................................136

Lampiran 2 Diagram Alir penjualan indirect kepada Retail Nasional ...........145
Lampiran 3 Diagram Alir penjualan indirect kepada Authorized Dealer...... 146
Lampiran 4 Diagram Alir penjualan indirect (multibanking) ........................ 147
Lampiran 5 Diagram Alir penjualan direct melalui Branch/Metro................ 148
Lampiran 6 Diagram Alir automatic recharge (voucher fisik) ..................... 149
Lampiran 7 Diagram Alir automatic recharge (e-voucher) .......................... 150
Lampiran 8 Diagram Alir manual recharging (komplain pelanggan) .......... 151
Lampiran 9 Diagram Alir manual recharging................................................ 152
Lampiran 10 Diagram Alir Recharging (Monitoring) ..................................... 153
Lampiran 11 Diagram Alir Rating.................................................................... 154
Lampiran 12 Diagram Alir Inject Value Tambahan (Bonus Tambahan) ........ 155
Lampiran 13 Diagram Alir Mass Add/Offering................................................ 156
xiii
1
BAB 1
PENDAHULUAN
1.1. Latar Belakang Tema
Peran teknologi informasi dalam kehidupan manusia sangatlah besar.

Dengan terus berkembangnya teknologi, semakin mudah informasi diperoleh dan
disampaikan. Dengan kemudahan tersebut, proses komunikasi antar manusia
menjadi lebih cepat, efektif dan efisien. Komunikasi yang baik dengan informasi
yang berkualitas ini pada akhirnya meningkatkan kualitas hidup manusia karena
setiap informasi dapat disampaikan dengan jelas. Inilah yang menyebabkan
teknologi informasi dan komunikasi terus dikembangkan, karena dapat
meningkatkan kualitas hidup masyarakat yang mengantarkan kepada peningkatan
pembangunan. Tidak mengherankan apabila sudah banyak sekali perusahaan-
perusahaan, khususnya di Indonesia, yang bergerak dalam bidang teknologi
informasi dan komunikasi karena perusahaan-perusahaan itu ada untuk
mendukung tujuan tersebut, yaitu membantu meningkatkan kualitas hidup
masyarakat dengan meningkatkan efektivitas dan efisiensi proses komunikasi dan
penyampaian informasi antar individu.
Perusahaan-perusahaan yang bergelut dalam bidang informasi dan

komunikasi tentu menghadapi banyak tantangan dalam proses pengembangannya.
Salah satunya adalah gejolak dan perkembangan bisnis di dunia dan kompleksitas
kegiatan operasional serta perubahan internal perusahaan mereka. Hal ini yang
umumnya dihadapi oleh perusahaan-perusahaan, termasuk perusahaan
telekomunikasi yang ingin penulis bahas dalam laporan ini. Sebagai perusahaan
yang mempunyai induk yang terdaftar di New York Stock Exchange (NYSE),
merupakan kewajiban bagi perusahaan ini untuk mematuhi peraturan Securities
Exchange Commission (SEC), termasuk Sarbanes-Oxley Act (SOA), khususnya
section 302 dan 404 terkait efektivitas pengendalian internal terhadap pelaporan
keuangan atau lebih dikenal dengan Internal Control over Financial Reporting
(ICoFR).
Pengendalian internal dikatakan dapat membantu memastikan pelaporan
keuangan yang wajar dan akurat, mengelola risiko, dan memberikan keyakinan
yang memadai tentang pencapaian tujuan perusahaan. Di sisi lain, tujuan SOA
secara eksplisit adalah untuk meningkatkan transparansi, ketepatan waktu, dan
kualitas pelaporan keuangan. Pengendalian internal berdasarkan SOA 404
mengharuskan manajemen untuk melakukan pengendalian internal atas pelaporan
keuangan dengan menilai dan melaporkan keefektifannya kepada publik
(Cappelletti, 2009).
Untuk menciptakan pengendalian internal yang efektif, banyak

perusahaan, termasuk perusahaan telekomunikasi ini, yang selanjutnya disebut PT
ABC, membutuhkan dokumentasi yang memadai guna mendukung kegiatan
operasional perusahaan. Di sinilah fungsi Internal Audit diperlukan untuk
melakukan dokumentasi dan pengujian serta memberikan saran kepada
manajemen terkait disain dan efektivitas pengendalian internal perusahaan yang
diperlukan sebagai bukti kepatuhan atas aturan SOA 404. Kerangka pengendalian
internal COSO menyatakan bahwa evaluasi terpisah yang dilakukan oleh fungsi
audit internal, terutama oleh divisi Audit SOA, adalah sebuah bentuk pengawasan.
Dikarenakan terbatasnya sumber daya dalam divisi Audit SOA PT ABC

untuk melakukan pengujian efektivitas pengendalian internal untuk tahun 2013,
RSM AAJ mendapat penugasan membantu divisi Audit SOA PT ABC secara co-
sourcing dalam tahap pengujian SOA atau SOA testing guna menentukan apakah
fungsi pengendalian internal perusahaan terhadap pelaporan keuangan telah
berjalan dengan baik atau tidak. Banyak perubahan yang terjadi dalam struktur
organisasi PT ABC pada tahun 2013 menyebabkan SOA testing yang dilakukan
oleh RSM AAJ dibagi lagi ke dalam tiga fase periode yang berbeda. Fase pertama
adalah pengujian periode Januari - Maret 2013, fase kedua adalah pengujian
periode Juni – Agustus 2013, dan fase ketiga adalah pengujian periode September
– Desember 2013. Selain itu, RSM AAJ juga berperan mengidentifikasi dan
mengkomunikasikan kepada manajemen bila ditemukan defisiensi atau
kekurangan terkait dengan ICoFR. SOA testing ini merupakan elemen dari salah
satu komponen dalam kerangka COSO yakni monitoring. Dengan demikian,

laporan magang ini menekankan pada tahap monitoring yang di dalamnya
mencakup proses pengujian (testing) ICoFR.
Di dalam proposal yang diajukan oleh RSM AAJ kepada PT ABC

disebutkan bahwa dengan jasa co-sourcing ini, RSM AAJ memberikan beberapa
keuntungan untuk PT ABC. Keuntungan tersebut antara lain perencanaan yang
lebih baik dengan sumber daya yang lebih kompeten, penekanan yang lebih besar
pada proses pengendalian internal, biaya keseluruhan yang lebih rendah, dan
proses internal audit yang berkelanjutan. Selain mematuhi peraturan SOA 404,
dengan keyakinan yang memadai bahwa internal control over financial reporting
telah dilakukan dengan baik, PT ABC dapat meningkatkan nilai perusahaan
secara signifikan yang akan mendorong laju investasi yang berdampak positif baik
bagi perusahaan induknya maupun bagi PT ABC itu sendiri.
1.2 Rumusan Masalah
Berdasarkan latar belakang tema yang telah diuraikan di atas, beberapa

masalah yang diangkat terkait pelaksanaan assessment ICoFR ini adalah sebagai
berikut:
1. Bagaimanakah proses implementasi ICoFR yang dilakukan perusahaan?

2. Bagaimana implementasi komponen monitoring yang dilakukan
perusahaan?
3. Bagaimanakah tingkat kepatuhan, efektivitas pengendalian internal, dan
efisiensi operasi perusahaan terkait SOA 404 untuk siklus pendapatan
prepaid?
4. Bagaimana pemahaman perusahaan atas pedoman pengendalian internal
yang telah didisain serta apa faktor penyebab terjadinya ketidakpatuhan
(bila ada)?

1.3 Tujuan Penulisan Laporan Magang
Berdasarkan masalah yang telah diuraikan di atas, tujuan dari penulisan

laporan magang terkait pelaksanaan assessment ICoFR pada PT ABC antara lain
untuk:
1. Menilai implementasi ICoFR yang dilakukan oleh PT ABC.

2. Menilai implementasi komponen monitoring yang dilakukan perusahaan.
3. Menilai tingkat kepatuhan, efektivitas pengendalian internal dan efisiensi
operasi perusahaan terkait SOA 404 untuk siklus pendapatan prepaid.
4. Memperoleh gambaran mengenai tingkat pemahaman atas pedoman
pengendalian internal yang telah didisain serta faktor penyebab terjadinya
ketidakpatuhan (bila ada).
1.4 Tempat dan Waktu Pelaksanaan Magang
Penulis melakukan pogram magang ini sebagai Junior Associate (intern)

pada divisi Risk & Internal Audit Advisory di Kantor Akuntan Publik Aryanto,
Amir Jusuf, Mawar & Saptoto, yang merupakan afiliasi dari RSM International
(selanjutnya disebut sebagai RSM AAJ). RSM AAJ terletak di Plaza Asia Lt. 10,
Sudirman, Jakarta. Waktu pelaksanaan program magang berlangsung selama 3
(tiga) bulan, dimulai dari tanggal 2 Januari 2014 sampai dengan tanggal 2 April
2014.
1.5. Pelaksanaan Kegiatan Magang
Selama 3 bulan kegiatan magang berlangsung, penulis memperoleh

kesempatan untuk terlibat langsung dalam proyek co-sourcing testing Internal
Control over Financial Reporting (ICoFR) PT ABC untuk periode tahun 2013.
Penulis berada di bawah bimbingan para senior dan manajer selama menjalankan
tugas pada PT ABC yang bergerak di bidang penyedia (provider) jasa layanan

telekomunikasi seluler. Adapun tugas dan tanggung jawab spesifik yang diberikan
kepada penulis adalah sebagai berikut:
1. Berperan sebagai assessor dalam proses pengujian pengendalian internal

atas pelaporan keuangan PT ABC untuk Fase III (periode September –
Desember 2013) pada area Transactional Level Control (TLC).
2. Menguji setiap atribut pengendalian dengan menginspeksi dokumen,
melakukan tanya jawab (inquiry) dengan auditee, dan melakukan
perhitungan ulang (reperformance) atas data yang diberikan oleh klien.
3. Menentukan apakah kontrol yang dilakukan beserta atributnya telah patuh
(comply) Risk Control Mapping (RCM) PT ABC.
4. Memeriksa kesesuaian format working paper dengan Risk Control
Mapping (RCM) yang telah diberikan oleh pihak Internal Audit PT ABC.
5. Membuat Minutes of Meeting bila data yang diperlukan tidak terdapat
pada periode tersebut karena tidak terjadinya transaksi, sehingga kontrol
terkait merupakan not applicable atau N/A, untuk selanjutnya
ditandatangani oleh pejabat terkait.
Proyek ini dilaksanakan dengan tujuan memberikan jasa co-sourcing

untuk membantu pihak internal audit PT ABC melakukan pengujian terkait
pengendalian internal perusahaan atas laporan keuangan berlandaskan peraturan
Sarbanes-Oxley s. 404. Dengan jasa ini, PT ABC bekerja sama dengan RSM AAJ
dapat mengetahui apakah struktur pengendalian internal perusahaan terkait
laporan keuangan telah berjalan dengan baik dan efektif dengan memastikan
bahwa:
1. Pemeliharaan pencatatan telah dilakukan secara rinci, wajar, akurat serta

adil mencerminkan transaksi dan disposisi aset perusahaan.
2. Transaksi telah dicatat sebagaimana diperlukan agar laporan keuangan
dapat disusun sesuai dengan GAAP dan segala penerimaan dan
pengeluaran perusahaan dibuat hanya melalui otorisasi manajemen dan
direksi perusahaan.

3. Terdapat pencegahan dan deteksi yang tepat waktu bila terdapat
penggunaan atau pelepasan aset perusahaan yang tidak semestinya yang
dapat berdampak secara material terhadap laporan keuangan.
Dengan tujuan di atas, maka tujuan utama program pengujian

pengendalian internal perusahaan dapat tercapai, yakni memberikan keyakinan
yang memadai bahwa laporan keuangan yang diterbitkan PT ABC dapat
diandalkan tanpa adanya salah saji yang material.
1.6. Ruang Lingkup Penulisan Laporan Magang
Laporan magang ini akan membahas mengenai proses pengujian

pengendalian internal atas siklus pendapatan pada salah satu perusahaan
telekomunikasi di Indonesia. Pengujian pengendalian internal pada laporan ini
hanya terbatas pada aktivitas-aktivitas terkait dengan transactional level control
yang mempunyai risiko pelaporan keuangan dalam klasifikasi high risk dan
moderate risk yang telah ditentukan oleh pihak internal audit PT ABC. Dalam
laporan ini akan khusus membahas siklus pendapatan PT ABC dari produk pre-
paid atau prabayar yang dapat dibagi ke dalam empat proses: penjualan kartu,
voucher, e-voucher, dan device pra-bayar; recharging; prepaid usage calculation,
dan month-end.
Proses pengujian ICoFR yang dilakukan RSM AAJ dibagi ke dalam tiga
fase periode pengujian. Dalam laporan magang ini akan lebih ditekankan pada
proses pengujian di fase terakhir atau fase III yang menguji ICoFR untuk periode
transaksi September sampai dengan Desember 2013.
1.7 Metode Penulisan Laporan Magang
Laporan magang ini berisi tentang laporan kegiatan yang dilakukan oleh
penulis selama 3 bulan masa magang berlangsung. Laporan magang ini
menggunakan data-data yang berasal dari hasil studi literatur, hasil pelatihan yang

diberikan oleh RSM AAJ, hasil wawancara dengan klien serta para senior dan
manajer, dan hasil analisis dan inspeksi dokumen-dokumen pendukung yang
didapatkan dari klien. Laporan ini menggunakan kode etik untuk menjaga
kerahasiaan data dari pihak RSM AAJ Associates dan data dari pihak klien yang
digunakan dalam penulisan laporan.
1.8 Sistematika Penulisan
Laporan magang ini terbagi menjadi lima bab disertai dengan lampiran
sebagai penjelas laporan dengan urutan sebagai berikut:
Bab 1 Pendahuluan
Bab ini menjelaskan tentang latar belakang tema, rumusan masalah, tujuan
penulisan laporan magang, tempat dan waktu pelaksanaan magang, pelaksanaan
kegiatan magang, ruang lingkup penulisan laporan magang, metode penulisan
laporan magang, dan sistematika penulisan laporan magang.
Bab 2 Landasan Teori
Bab ini menjelaskan landasan teori mengenai pengendalian internal secara umum,
pengertian pengendalian internal, tujuan pengendalian internal, fungsi
pengendalian internal, kerangka pengendalian internal berdasarkan COSO, COSO
Monitoring Guidance 2009, penjelasan umum mengenai Sarbanes-Oxley Act,
termasuk di dalamnya SOA 302, 404, dan pedoman PCAOB, pengertian internal
control over financial reporting (ICoFR), pedoman ICoFR menurut IIA, prosedur
audit menurut IIA, implementasi ICoFR pada perusahaan, penjelasan secara
umum mengenai siklus pendapatan, dan aktivitas dasar pada siklus pendapatan.
Bab 3 Profil Perusahaan
Bab ini menjelaskan tentang RSM AAJ Associates, jasa profesional yang
disediakan RSM AAJ Associates, struktur organisasi RSM AAJ Associates, profil
perusahaan klien: PT ABC, visi dan misi PT ABC, jenis-jenis produk dan jasa
yang ditawarkan PT ABC, overview performa perusahaan tahun 2013, struktur

organisasi PT ABC, penjelasan tentang Internal Audit PT ABC, dan SOA Testing
PT ABC Tahun 2013.
Bab 4 Pembahasan dan Analisis
Bab ini menjelaskan tentang implementasi prosedur ICoFR PT ABC dan

pengendalian internal atas pelaporan keuangan untuk siklus pendapatan prepaid
PT ABC pada subproses penjualan kartu, voucher, e-voucher, dan device pra-
bayar; recharging (pengisian pulsa); prepaid usage calculation; dan month-end.
Bab ini menjelaskan pula tentang Risk Control Matrix yang menjadi landasan
dalam menguji ICoFR mencakup risiko, kontrol, atribut kontrol, objektif audit,
beserta dokumen yang diperlukan terkait akun-akun yang signifikan pada siklus
pendapatan pre-paid untuk empat subproses tersebut. Hasil pengujian berdasarkan
RCM tersebut akan menentukan apakah ICoFR PT ABC telah berjalan dengan
efektif atau tidak. Terakhir, bab ini akan mengevaluasi implementasi komponen
monitoring berdasarkan kerangka pengendalian internal COSO dan COSO
Monitoring Guidance.
Bab 5 Kesimpulan dan Saran
Bab ini berisi kesimpulan dari penulisan laporan magang ini dan saran kepada PT
ABC dan RSM AAJ Associates atas dasar pengetahuan dan pengalaman penulis
selama dilaksanakannya kegiatan magang.

BAB 2
LANDASAN TEORI
2.1 Pengendalian Internal
Menurut IIA dalam buku Internal Auditing: Assurance & Consulting

Services, risiko dalam perusahaan merupakan suatu hal yang tidak dapat dihindari
dalam pencapaian objektif suatu perusahaan. Dengan demikian, perusahaan perlu
membentuk suatu pengendalian internal yang baik untuk memitigasi dan
mengelola risiko-risiko tersebut. Pengendalian internal yang baik ini tidak hanya
diperuntukan untuk kepentingan internal perusahaan saja tetapi juga untuk pihak
eksternal seperti investor, pemerintah, regulator, dan konsumen sebagai bukti
bahwa perusahaan tersebut telah berjalan sesuai dengan ketentuan yang berlaku
baik dari segi operasional, pelaporan keuangan, dan ketaatannya terhadap
regulasi. Hal ini merupakan hal yang fundamental bagi keberlangsungan sistem
usaha perusahaan karena pengendalian internal merupakan komponen utama yang
diperhatikan untuk memastikan bahwa perusahaan telah secara efektif mengelola
risikonya dengan baik.
2.1.1 Pengertian Pengendalian Internal
Moeller (2009), dalam bukunya Brink’s Modern Internal Auditing,

menyatakan bahwa AICPA melalui Statement on Auditing Standards (SAS No.1)
menyatakan secara umum definisi dari pengendalian internal.
“Internal control comprises the plan of enterprise and all of the

coordinate methods and measures adopted with a business to safeguard
its assets, check the accuracy and reliability of its accounting data,
provide operational efficiency, and encourage adherence to prescribed
managerial policies.”

Pengendalian internal merupakan hal yang penting untuk mendukung
seluruh aspek pada perusahaan. Pengendalian internal membantu perusahaan
dalam mencapai objektif utamanya serta menopang dan meningkatkan performa
perusahaan. Tanpa adanya pengendalian internal yang efektif tujuan perusahaan
tidak akan tercapai. Untuk itu, setiap anggota dalam perusahaan perlu memahami
pengertian, peran, dan pentingnya pengendalian internal.
Committee of Sponsoring Organizations of the Treadway Commission

(COSO) (2009) mendefinisikan pengendalian internal sebagai sebuah proses yang
melibatkan BOD, manajemen, dan pihak lain dalam perusahaan, yang dirancang
untuk memberikan keyakinan yang memadai (reasonable assurance) terkait
pencapaian objektif perusahaan. Terdapat tiga objektif yang disebutkan, antara
lain:
 Efektivitas dan efisiensi operasional perusahaan.

 Keandalan pelaporan keuangan.
 Kepatuhan terhadap hukum dan regulasi yang berlaku.
Dengan definisi COSO di atas, dapat disimpulkan bahwa pengendalian

internal merupakan sebuah proses yang dilakukan secara berkelanjutan oleh setiap
tingkatan dalam perusahaan yang bertujuan untuk memberikan keyakinan yang
memadai (reasonable assurance) namun tidak absolut kepada board dan
manajemen yang digunakan dalam pencapaian tujuan perusahaan.
2.1.2 Tujuan Pengendalian Internal
Menurut Standards for the Professional Practice of Internal Auditing

(standar 300), tujuan pengendalian internal antara lain:
1. Keandalan dan integritas informasi

Dengan pengendalian internal yang baik perusahaan mendapatkan
informasi yang relevan dan tepat waktu dan dapat digunakan secara efektif
untuk mendukung keberlangsungan usaha, pengendalian internal juga

dapat memeriksa ketelitian dan kebenaran data yang akan menghasilkan
informasi yang dapat diandalkan.
2. Ketataan dengan kebijakan, perencanaan, prosedur, hukum, regulasi dan
kontrak
Pengendalian internal dapat menilai apakah sistem dalam perusahaan
sudah patuh terhadap regulasi yang berlaku karena ketidakpatuhan akan
mempengaruhi keberlangsungan usaha secara signifikan.
3. Pemeliharaan aset
Pengendalian internal dapat membantu mengamankan harta dan aset
perusahaan, termasuk data yang tersedia.
4. Penggunaan sumber daya yang ekonomis dan efisien
Pengendalian internal dapat mengevaluasi efektivitas dan efisiensi dalam
operasi, termasuk pengunaan sumber daya yang tersedia.
5. Pencapaian objektif dan tujuan
Dengan penggunan sumber daya yang efisien dan sistem perusahaan yang
efektif dan optimal, pengendalian internal bertujuan membantu pencapaian
objektif dan tujuan perusahaan.
2.1.3 Fungsi Pengendalian Internal
Menurut Institute of Internal Auditors (IIA) (2009), pengendalian dalam

perusahaan dapat dibedakan berdasarkan fungsinya. Empat fungsi pengendalian
internal antara lain:
1. Preventive Control (Pencegahan)

Pengendalian untuk pencegahan dilakukan untuk mencegah suatu
peristiwa muncul. Contoh pengendalian preventif antara lain adanya
kontrol atas akses fisik dan logistik, seperti pintu yang dikunci atau
penggunaan user ID dengan password untuk mengakses aset.
2. Detective Control (Pemeriksaan)
Pengendalian dalam bentuk pemeriksaan dilakukan untuk menemukan dan
mendeteksi peristiwa tidak diingankan yang telah terjadi. Pengendalian
detektif harus dilakukan secara tepat waktu sebelum efek dari

peristiwa/kejadian tersebut berpengaruh negatif terhadap perusahaan.
Penggunaan CCTV untuk mengidentifikasi akses terhadap aset yang tidak
sesuai merupakan contoh pengendalian detektif.
3. Corrective Control (Perbaikan)
Pengendalian secara korektif dilakukan untuk mendeteksi kelalaian dan
mengoreksi kesalahan. Penandaan untuk pembayaran yang dilakukan
secara duplikat dalam sistem pengeluaran kas merupakan contoh
pengendalian korektif.
4. Directive Control (Petunjuk)
Pengendalian ini memberikan arahan atau petunjuk terkait aktivitas dan
tindakan yang dilakukan untuk mendapatkan hasil dan kejadian yang
diinginkan. Sebagai contoh, adanya instruksi perakitan produk yang
memberikan arahan kepada individu yang terlibat dalam proses produksi.
2.1.4 Kerangka Pengendalian Internal
Kerangka pengendalian internal dibentuk sebagai pedoman perusahaan

dalam mengevaluasi praktik bisnisnya. Pedoman ini terdiri dari berbagai konsep,
nilai, asumsi, dan praktik yang memberikan acuan untuk setiap perusahaan dalam
menilai dan mengevaluasi struktur, proses, lingkungan, praktik, dan prosedur
yang diterapkan dalam perusahaan mereka. Beberapa kerangka pengendalian
internal telah digunakan dalam menilai perencanaan dan efektivitas pengendalian
perusahaan.
Terdapat tiga kerangka pengendalian internal yang dikenal secara global

oleh manajemen, akuntan publik/auditor, dan profesional internal audit, antara
lain Internal Control – Integrated Framework, yang diterbitkan oleh COSO pada
tahun 1992; Guidance on Control (CoCo Framework), diterbitkan pada tahun
1995 oleh Canadian Institute of Chartered Accountants (CICA), dan Internal
Control: Revised Guide for Directors on the Combined Code (Turnbull Report)
yang diterbitkan oleh Financial Reporting Council pada tahun 1999 dan
diperbarui tahun 2005. Dengan ketiga framework ini, dapat dibentuk suatu standar
dalam mengukur kualitas laporan pengendalian internal suatu perusahaan serta

meningkatkan komparibilitas laporan pengendalian pada masing-masing
perusahaan. SEC menyatakan bahwa kerangka atau framework pengendalian
internal yang baik harus bebas dari bias; dapat memberikan pengukuran kualitatif
dan kuantitatif yang wajar serta konsisten atas pengendalian internal perusahaan;
cukup lengkap sehingga faktor-faktor relevan yang dapat mengubah kesimpulan
atau pendapat tentang efektivitas pengendalian internal perusahaan tidak
dihilangkan; dan relevan dengan evaluasi ICoFR.
Pada dasarnya, tidak terdapat perbedaan konsep yang mendasar pada

COSO, CoCo, dan Turnbull karena ketiga kerangka tersebut sama-sama
menjelaskan definisi dan proses untuk mendapatkan keyakinan yang memadai
terkait pengendalian internal dalam rangka mencapai objektif perusahaan yang
mencakup efektivitas dan efisiensi operasional perusahaan, keandalan pelaporan,
dan kepatuhan terhadap regulasi. Ketiga kerangka tersebut juga sama-sama
menjelaskan bahwa tanggung jawab atas pengendalian internal di sebuah
perusahaan tidak hanya jatuh kepada BOD, manajemen senior, dan auditor saja
melainkan kepada setiap anggota perusahaan. Walaupun terdapat tiga kerangka
pengendalian internal yang berbeda, namun komponen-komponen pada setiap
framework tersebut dapat dijelaskan dengan menggunakan kerangka pengendalian
COSO (COSO Framework).
2.2 COSO Internal Control - Integrated Framework
Committee of Sponsoring Organizations of the Treadway Commission

(COSO) pertama kali mempublikasikan Internal Control – Integrated Framework
pada tahun 1992 yang diinisiasikan untuk meningkatkan performa perusahaan dan
tatakelolanya menggunakan pengendalian internal, enterprise risk management,
dan pencegahan fraud yang efektif. Lima perusahaan nonprofits mensponsori
framework ini: AAA (American Accounting Association), AICPA (American
Institute of Certified Public Accountants), FEI (Financial Executives
International), IIA (Insitute of Internal Auditors), dan IMA (Institute of
Management Accountants).

Pada tanggal 14 Mei 2013, COSO mempublikasikan Internal Control –
Integrated Framework yang telah diperbarui. Pada dasarnya, definisi dan konsep
dari kerangka COSO yang baru masih sama namun lebih diperluas. Perubahan
yang paling signifikan dalam framework 2013 ini adalah adanya 17 prinsip yang
mendukung lima komponen COSO. Selain itu, dijelaskan pula bahwa
pengendalian internal yang efektif dapat terjadi ketika (1) masing-masing dari
lima komponen dan 17 prinsip selalu hadir (present) dan berfungsi (functioning);
dan (2) lima komponen tersebut harus berjalan secara berkesinambungan. Hadir
(present) berarti bahwa semua komponen dan prinsip ada dalam perancangan dan
pengimplementasian sistem pengendalian internal, dan berfungsi (functioning)
berarti semua komponen dan prinsip akan terus hadir/berada dalam sistem
pengendalian internal. Namun, PT ABC sendiri dalam pengimplementasian
pengendalian internal atas pelaporan keuangan periode tahun 2013 masih
memakai kerangka COSO 1992.
Pada dasarnya, COSO framework membantu manajemen, BOD,

pemangku kepentingan, dan pihak lainnya dalam pengimplementasian
pengendalian internal. Framework ini juga memberikan pemahaman tentang
sistem pengendalian internal yang efektif. COSO framework dapat diaplikasikan
kepada semua entitas: besar, menengah, kecil, nirlaba dan non-profit, dan badan-
badan pemerintah.

Gambar 2.1: COSO Framework
Sumber: www.coso.org (diakses tanggal 13 Mei 2014)
COSO Framework dapat dijelaskan dengan menggunakan kubus COSO

pada gambar 2.1 di atas. Dari kubus tersebut, dapat dilihat bahwa terdapat tiga
objektif pengendalian internal yang ingin dicapai perusahaan sebagai bukti bahwa
sistem pengendalian internal perusahaan telah dilakukan dengan efektif, tiga
objektif tersebut antara antara lain:
a. Operations
Objektif ini terkait dengan efektivitas dan efisiensi operasi perusahaan, termasuk
di dalamnya untuk tujuan operasional dan finansial, serta penjagaan aset
perusahaan. Dalam framework 1992, objektif ini hanya sebatas penggunaan yang
efektif dan efisien atas sumber daya perusahaan.
b. Reporting
Objektif ini terkait dengan pelaporan keuangan internal dan eksternal, serta
pelaporan non keuangan yang ditujukan kepada stakeholders secara andal, tepat
waktu, dan transparan serta sesuai dengan yang telah ditentukan oleh regulator,
standard setter, dan kebijaksanaan perusahaan. Dalam framework 1992 objektif

ini disebut dengan objektif financial reporting yang hanya terbatas pada
penyusunan pelaporan keuangan yang dapat diandalkan.
c. Compliance
Objektif ini terkait dengan kepatuhan terhadap hukum dan regulasi yang mana
perusahaan terlibat. COSO framework 2013 memperhatikan perkembangan dan
semakin meningkatnya kompleksitas dan permintaan terkait hukum, peraturan,
dan standar akuntansi sejak tahun 1992.
Dimensi kedua dari COSO framework adalah fokus. Fokus berarti

pengendalian internal dapat dikonsentrasikan untuk mengevaluasi dua level dalam
perusahaan, yakni pada:
 Level entitas (entity-level)

Pengendalian pada level entitas dirancang untuk memitigasi risiko yang
ada pada tahap lingkungan perusahaan yang lebih luas. U.S. Public
Company Accounting Oversight Board (PCAOB) menyatakan dalam
Auditing Standard No. 5 bahwa pengendalian pada level entitas
mencakup: pengendalian terkait control environment; pengendalian atas
pengambilalihan manajemen; proses penilaian risiko; pengendalian untuk
memonitor hasil operasi; dan pengendalian atas proses pelaporan
keuangan periode akhir.
 Level aktivitas atau proses (activity or process level yang meliputi divisi,
unit operasi, dan fungsi)
Pengendalian pada level aktivitas dibagi ke dalam pengendalian pada level
proses (process-level controls) dan level transaksi (transaction-level
controls). Process level control berfokus proses dan pengendalian untuk
mengurangi risiko pencapaian objektif proses tersebut. Verifikasi fisik atas
aset, supervisi pegawai dan evaluasi kinerja, serta rekonsiliasi akun-akun
tertentu merupakan contoh process-level controls. Sedangkan, transaction-
level control lebih mendetik dan berfokus kepada transaksi dan aktivitas
tertentu. Sebagai contoh, otorisasi, dokumentasi, dan pemisahan tugas.

Di dalam COSO framework 1992 dan 2013 sama-sama menjelaskan bahwa
terdapat lima komponen pengendalian internal namun dengan definisi yang lebih
diperluas pada tahun 2013. Lima komponen tersebut antara lain control
environment, risk assessment, information & communication, dan monitoring
yang akan dijelaskan lebih khusus.
a. Lingkungan Pengendalian (Control Environment)
Pada dasarnya objektif ini merupakan objektif yang fundamental karena

dapat mempengaruhi empat komponen lainnya. Dalam COSO framework 1992
dijelaskan bahwa control environment meliputi integritas, nilai-nilai, dan
kompetensi yang dimiliki orang-orang dalam perusahaan; filosofi manajemen dan
gaya operasional perusahaan; cara perusahaan dalam memberikan tanggung jawab
dan wewenang; pengembangan dan pengelolaan sumber daya manusia; dan
arahan dari BOD perusahaan. Dalam COSO Framework 2013, dinyatakan bahwa
control environment merupakan sekumpulan standar, proses, dan struktur yang
memberikan dasar untuk mendapatkan pengendalian internal yang baik dalam
perusahaan. BOD dan manajemen senior dalam perusahaan menentukan “tone at
the top” terkait pentingnya pengendalian internal dan standar yang akan
digunakan untuk mencapai pengendalian internal yang efektif. Pada akhirnya
objektif ini mempunyai pengaruh yang besar kepada sistem pengendalian internal
secara keseluruhan. Framework 2013 menyebutkan bahwa terdapat 5 prinsip yang
mendukung komponen ini, antara lain:
1. Perusahaan berkomitmen atas integritas dan nilai etik.

2. BOD memiliki independensi dari manajemen dan bertindak mengawasi
pengembangan dan performa pengendalian internal.
3. Manajemen, dengan pengawasan dewan, membentuk struktur, alur
pelaporan, wewenang dan tanggung jawab untuk mendukung pencapaian
objektif.
4. Perusahaan memiliki komitmen untuk menarik, mengembangkan, dan
mempertahankan individu yang kompeten dengan objektif perusahaan.
5. Perusahaan memiliki individu-individu yang akuntabel dengan
pengendalian internal yang ditujukan untuk mencapai objektif perusahaan.

b. Penilaian Risiko (Risk Assessment)
Setiap perusahaan akan menghadapi berbagai risiko yang timbul dari

internal maupun eksternal perusahaan. Risiko didefinisikan sebagai kemungkinan
bahwa suatu hal yang dapat mempengaruhi pencapaian objektif akan terjadi.
Komponen risk assessment ini meliputi proses untuk mengidentifikasi dan
menganalisis risiko dalam perusahaan dan bagaimana caranya mengelola risiko
tersebut. Manajemen juga harus memperhatikan perubahan yang mungkin terjadi
pada lingkungan eksternal dan model bisnis perusahaan yang dapat
mempengaruhi pencapaian objektif sehingga terlebih dahulu perusahaan harus
menentukan objektif yang ingin dicapai menggunakan kubus COSO, yakni
operations, reporting, dan compliance, dimulai dengan menentukan objektif
entitiy-level diikuti dengan penentuan objektif yang lebih spesifik untuk aktivitas
yang berbeda-beda dalam perusahaan. Dalam COSO framework 2013, komponen
risk assessment memiliki 4 prinsip khusus, antara lain:
1. Perusahaan menetapkan objektifnya secara jelas untuk memudahkan

proses mengidentifikasi dan menilai risiko terkait objektif tersebut.
2. Perusahaan mengidentifikasi risiko usahanya terkait pencapaian objektif
seluruh entitas dan menganalisis risiko tersebut untuk menentukan cara
yang tepat untuk mengelolanya.
3. Perusahaan harus memperhatikan potensi adanya kecurangan dalam
menganalisis risiko pencapaian objektif.
4. Perusahaan mengidentifikasi dan menilai perubahaan-perubahaan dalam
organisasi yang dapat mempengaruhi sistem pengendalian internal secara
signifikan.
c. Aktivitas Pengendalian (Control Activities)
Aktivitas pengendalian terdiri dari tindakan-tindakan yang dilakukan

berdasarkan prosedur dan ketentuan yang berlaku guna memitigasi risiko yang
mempengaruhi pencapaian objektif. Aktivitas pengendalian ini ada dalam setiap
level dalam perusahaan, setiap tahap tingkatan dalam proses bisnis, dan dalam
lingkungan teknologi. Dikarenakan setiap perusahaan dikelola oleh orang yang

berbeda-beda dengan pertimbangan dan penilaian yang berbeda-beda pula maka
antar perusahaan akan selalu memiliki aktivitas pengendalian yang berbeda,
walaupun perusahaan tersebut mempunyai strategi bisnis yang serupa. Aktivitas
pengendalian dapat bersifat preventif maupun detektif. Umumnya perusahaan
menggunakan sistem segregation of duties untuk meminimalisir risiko tindakan
yang tidak sesuai yang dapat dilakukan oleh individu. Pada dasarnya, framework
2013 memiliki konsep yang sama terkait komponen control activities, namun
general information technology control (GITC) lebih ditekankan pada COSO
framework yang telah diperbarui ini. Terdapat 3 prinsip aktivitas pengendalian,
antara lain:
1. Perusahaan memilih dan mengembangkan aktivitas pengendalian yang

berkontribusi dalam memitigasi risiko terkait pencapaian objektif sampai
tingkatan yang dapat diterima (acceptable levels).
2. Perusahaan memilih dan mengembangkan aktivitas pengendalian umum
terkait teknologi untuk mendukung pencapaian objektif.
3. Perusahaan menyebarkan aktivitas pengendalian melalui ketentuan yang
dibentuk untuk menentukan target dan ekspetasi serta prosedur untuk
merealisasikan ketentuan tersebut.
d. Informasi dan Komunikasi (Information and Communication)
Informasi sangat penting bagi perusahaan untuk mengkomunikasikan

tanggung jawab pengendalian dan kontrol terkait pencapaian objektif perusahaan.
Selain itu, informasi yang akurat dan tepat waktu dapat memudahkan perusahaan
dalam menjalankan bisnis secara efektif. Informasi yang relevan dan berkualitas
dapat bersumber dari dalam maupun luar perusahaan dan berfungsi mendukung
komponen pengendalian internal yang lain. Komunikasi yang baik dalam
perusahaan penting dilakukan untuk mengkomunikasikan pentingnya
pengendalian internal kepada seluruh individu dalam perusahaan. Di lain pihak,
komunikasi kepada pihak di luar perusahaan dapat bersifat resiprokal karena
perusahaan mendapatkan informasi yang relevan untuk mendukung
keberlangsungan perusahaan dan dalam waktu yang bersamaan memberikan
informasi sebagai respon atas ekspektasi pihak eksternal perusahaan. Dalam

COSO framework 2013, dijelaskan 3 prinsip komponen Informasi dan
Komunikasi, antara lain:
1. Perusahaan menggunakan informasi yang relevan dan berkualitas untuk

mendukung fungsi pengendalian internal.
2. Perusahaan mengkomunikasikan informasi tersebut kepada pihak internal
perusahaan terkait objektif dan tanggung jawab pengendalian internal
untuk mendukung fungsi pengendalian internal perusahaan.
3. Perusahaan berkomunikasi dengan pihak eksternal tentang hal-hal yang
berhubungan dan mempengaruhi fungsi pengendalian internal.
e. Pengawasan (Monitoring)
Komponen pengawasan ini berfungsi untuk memastikan dan mengevaluasi

bahwa sistem pengendalian internal secara keseluruhan sudah berjalan dengan
efisien dan efektif. Komponen ini merupakan komponen yang mengawasi dan
mengevaluasi keempat komponen lainnya. Pengawasan ini dilakukan untuk
menumbuhkan keyakinan manajemen bahwa prosedur yang dilakukan perusahaan
telah berjalan dengan baik dan dapat mendukung keberlangsungan usaha
perusahaan.
Dalam COSO framework 1992 dan 2013 dijelaskan bahwa terdapat dua
jenis evaluasi yang dapat dilakukan perusahaan, yakni evaluasi berkala (ongoing
evaluation) dan evaluasi terpisah (separate evaluation). Ongoing evaluation
dilakukan sepanjang berjalannya proses bisnis perusahaan dan diaplikasikan untuk
setiap level dalam perusahaan sedangkan separate evaluation dilakukan secara
periodik dengan ruang lingkup yang disesuaikan dengan penilaian risiko,
efektivitas ongoing evaluations, dan pertimbangan manajemen. Kedua jenis
evaluasi ini dapat dilakukan secara terpisah maupun bergabungan dan berfungsi
untuk menentukan apakah seluruh komponen pengendalian internal yang ada
telah berfungsi secara terus menerus. Bila diidentifikasi bahwa terdapat defisiensi
pada proses evaluasi, maka harus dikomunikasikan kepada pihak-pihak
bersangkutan seperti manajemen dan BOD untuk ditindaklanjuti. Dua prinsip
komponen monitoring antara lain:

1. Perusahaan memilih, mengembangkan, dan melakukan evaluasi berkala
(ongoing evaluation) dan/atau evaluasi terpisah (separate evaluation)
untuk memastikan bahwa komponen-komponen pengendalian internal
hadir (present) dan berfungsi (functioning).
2. Perusahaan mengevaluasi dan mengkomunikasikan defisiensi
pengendalian internal secara tepat waktu kepada pihak-pihak yang
bertanggung jawab untuk menindaklanjuti, termasuk manajemen dan
BOD.
2.2.1 Guidance on Monitoring Internal Control Systems
Pada Januari 2009, COSO mempublikasikan Guidance on Monitoring

Internal Control System yang menekankan pembahasan pada komponen terakhir
COSO yaitu monitoring. COSO mengajukan pedoman ini berdasarkan hasil
observasi bahwa banyak perusahaan yang tidak menggunakan secara optimal
peran komponen monitoring dalam sistem pengendalian internal perusahaan
mereka. Banyak perusahaan tidak menggunakan hasil monitoring-nya untuk
menyimpulkan efektivitas pengendalian internal perusahaan, khususnya
pengendalian internal atas pelaporan keuangan (ICoFR). Terdapat dua objektif
COSO Monitoring Guidance, antara lain:
 Membantu perusahaan dalam meningkatkan efektivitas dan efisiensi

sistem pengendalian internal perusahaan.
 Memberikan pedoman praktis yang mengilustrasikan bagaimana
pemantauan (monitoring) dapat digabungkan ke dalam proses
pengendalian internal perusahaan.
COSO framework menyatakan bahwa pemantauan (monitoring) dapat

memastikan bahwa pengendalian internal terus berjalan secara efektif.

Gambar 2.2 Monitoring dalam sistem pengendalian internal
Sumber: COSO’s Monitoring Guidance (2009)
Dari gambar 2.2 di atas dapat disimpulkan bahwa monitoring berhubungan

dengan objektif perusahaan secara keseluruhan, tidak hanya untuk objektif
pelaporan saja. Selain itu, monitoring berjalan sepanjang sistem pengendalian dan
berfungsi sebagai pemantau keseluruhan sistem pengendalian internal dari awal
sampai akhir untuk mengevaluasi kemampuan sistem pengendalian dalam
memitigasi risiko terhadap objektif perusahaan.
Gambar 2.3: Proses monitoring
Sumber: COSO’s Monitoring Guidance (2009)

Menurut COSO, pendekatan monitoring yang efektif melibatkan (1)
pembentukan dasar pemantauan, (2) merancang dan mengeksekusi prosedur
pemantauan yang diprioritaskan untuk risiko-risiko terkait pencapaian objektif
perusahaan, dan (3) menilai dan melaporkan hasilnya, termasuk penindaklanjutan
untuk perbaikan. Ketiga hal ini dapat dilihat pada gambar 2.3 di atas.
2.3 Sarbanes-Oxley Act
Sarbanes-Oxley Act atau biasa disebut SOX, SOA, maupun Sarbox

muncul sebagai respon atas kasus penyimpangan akuntansi dan kegagalan
finansial yang terjadi pada perusahaan-perusahaan besar di Amerika Serikat,
yakni Enron dan WorldCom. SOA memiliki nama resmi Public Accounting
Reform and Investor Protection Act yang diberlakukan pada tahun 2002 untuk
perusahaan publik dan kantor akuntan publik di Amerika Serikat, termasuk di
dalamnya perusahaan asing yang sahamnya diperdagangkan di NYSE. Nama
Sarbanes-Oxley Act berasal dari nama anggota legislator yang mensponsorinya,
yaitu senator Amerika Serikat Paul Sarbanes, dan U.S. Representative Michael G.
Oxley. Pada dasarnya, SOA bertujuan “to protect investors by improving the
accuracy and reliability of corporate disclosures made pursuant to the securities
laws, and for other purposes”. Dari pernyataan tersebut, dapat disimpulkan
bahwa SOA ingin melindungi hak-hak pemegang saham dan menumbuhkan
kepercayaan investor dengan memberikan arahan kepada perusahaan publik
tentang pentingnya pengendalian internal dan tatakelola yang baik sehingga
menghasilkan pengungkapan laporan keuangan perusahaan yang dapat
diandalkan. Komponen utama SOA adalah Public Company Accounting
Oversight Board (PCAOB), sebuah entitas independen yang menetapkan standard
dan regulasi terkait audit eksternal dan akuntan publik. Terkait dengan
pengendalian internal terhadap pelaporan keuangan (ICoFR), SOA mengeluarkan
ketentuan 302 dan 404 untuk mengaturnya (Brinks, 2009, p. 53-54 & Sonnelitter,
2010, p. 1.01).

2.3.1 Sarbanes-Oxley Section 302
SOA 302 tentang “Corporate Responsibility for Financial Reports”

mengharuskan perusahaan untuk merancang prosedur internal yang baik agar
tercipta pengungkapan finansial yang akurat. Ketentuan ini menekankan tanggung
jawab pejabat eksekutif perusahaan untuk membangun merancang, dan
memelihara pengendalian internal agar dapat terus berjalan dengan efektif agar
tercipta pengungkapan yang transparan dan wajar. SOA 302 ini mengharuskan
pejabat eksekutif dan pihak-pihak yang setara menyatakan dalam laporan tahunan
maupun kuartal bahwa mereka telah meninjau ulang laporan sehingga laporan
bebas dari informasi yang secara material tidak akurat dan menyesatkan dan
laporan keuangan perusahaan telah merepresentasikan kondisi keungan
perusahaan dengan benar. Pejabat eksekutif perusahaan juga bertanggung jawab
mengevaluasi pengendalian internal perusahaan 90 hari sebelum laporan
diterbitkan. Bila ditemukan defisiensi maupun perubahan atas pengendalian
internal perusahaan maka harus diungkapakan kepada eksternal auditor, komite
audir, dan pihak-pihak terkait lainnya.
2.3.2 Sarbanes-Oxley Section 404
SOA 404 tentang “Management Assessment of Internal Controls”

mengharuskan perusahaan publik untuk melaporkan pengendalian internal
perusahaan khususnya terhadap pelaporan keuangan (ICoFR) pada laporan
tahunannya dan memberikan tanggung jawab kepada manajemen untuk
membangun dan memelihara sistem pengendalian internal yang memadai serta
melakukan penilaian secara berkelanjutan terkait efektivitas ICoFR perusahaan.
Internal auditor, konsultan independen, serta manajemen bertanggung jawab
untuk meninjau ulang, mendokumentasi, menguji, menilai, dan melaporkan
efektivitas pengendalian internal perusahaan, selanjutnya eksternal auditor
bertanggung jawab untuk membuktikan/melakukan atestasi hasil evaluasi
pengendalian internal yang telah dilakukan manajemen tersebut.

2.3.3 Pedoman PCAOB (Auditing Standard No. 2 dan Auditing Standard No.
5)
Pada tahun 2004, PCAOB mengeluarkan Auditing Standard No. 2 (AS-2),

An Audit of Internal Control Over Financial Reporting Performed in Conjunction
With an Audit of Financial Statements yang merupakan pedoman untuk auditor
eksternal dalam melakukan audit laporan keuangan. AS-2 memiliki pendekatan
audit yang sangat detil sehingga pada masa itu biaya atas jasa audit sangat tinggi
dan memberatkan banyak perusahaan. Pada tahun 2007, PCAOB mengeluarkan
Auditing Standard No. 5, An Audit of Internal Control over Financial Reporting
That Is Integrated with An Audit of Financial Statements (AS-5) untuk
menggantikan AS-2. AS-5 menekankan kewajiban auditor eksternal perusahaan
dalam membuktikan penilaian atas pengendalian internal atas pelaporan keuangan
perusahaan yang dilakukan oleh manajemen dan memperhatikan kemampuan
manajemen dalam membentuk dan mendokumentasi pengendalian internal
tersebut. Standar PCAOB dapat dijadikan pedoman untuk manajemen tentang
informasi dan dokumentasi yang dibutuhkan oleh auditor untuk membuktikan
(attest) bahwa penilaian ICoFR dilakukan secara benar. Standar ini menggunakan
pendekatan risk-based yang memberikan kewenangan pada auditor eksternal
untuk memfokuskan atestasi pada efektivitas pengendalian terkait risiko-risiko
yang ada pada level enterprise.
2.4 Internal Control over Financial Reporting (ICoFR)
Internal Control over Financial Reporting (ICoFR) merupakan suatu

bentuk pengendalian internal pada perusahaan yang ditujukan untuk menyediakan
keyakinan yang memadai (reasonable assurance) bahwa laporan keuangan yang
akan digunakan oleh pihak eksternal perusahaan telah disajikan secara wajar dan
andal. ICoFR yang baik menjadi suatu kewajiban untuk perusahaan publik yang
sahamnya terdaftar di bursa efek Amerika (NYSE). ICoFR merupakan komponen
utama dalam peraturan Sarbanes-Oxley Act section 404 yang diterbitkan oleh
United States Securities and Exchange Commission (U.S. SEC).

2.4.1 Pengertian ICoFR
SEC mendefinisikan pengendalian internal atas pelaporan keuangan

(ICoFR) sebagai:
“A process designed by, or under the supervision of, the registrant’s

principal executive and principal financial officers, or persons
performing similar functions, and effected by the registrant’s board of
directors, management and other personnel, to provide reasonable
assurance regarding the reliability of financial reporting and the
preparation of financial statements for external purposes in accordance
with generally accepted accounting principles and includes those
policies and procedures that:
(1) Pertain to the maintenance of records that in reasonable detail

accurately and fairly reflect the transactions and dispositions of the
assets of the registrant;
(2) Provide reasonable assurance that transactions are recorded as

necessary to permit preparation of financial statements in accordance
with generally accepted accounting principles, and that receipts and
expenditures of the registrant are being made only in accordance with
authorizations of management and directors of the registrant; and
(3) Provide reasonable assurance regarding prevention or timely

detection of unauthorized acquisition, use, or disposition of the
registrant’s assets that could have a material effect on the financial
statements.
COSO framework 2013 menyatakan bahwa:
“A system of internal control over financial reporting is designed and

implemented to prevent or detect, in a timely manner, a material
omission from or a misstatement of the financial statements due to error
or fraud.”

ICoFR didefinisikan sebagai suatu proses yang dirancang dan
dilaksanakan oleh manajemen perusahaan untuk memberikan keyakinan yang
memadai (reasonable assurance) berkaitan dengan keandalan laporan keuangan.
Hal ini mencakup penyusunan laporan keuangan yang andal untuk diterbitkan,
termasuk laporan keuangan interim dan ringkasannya, serta data keuangan
tertentu yang berasal dari laporan keuangan tersebut. Dalam konteks ini,
“keandalan” berarti bebas dari salah saji yang material. Keandalan laporan
keuangan secara implisit membutuhkan catatan akuntansi yang akurat, klasifikasi,
dan waktu yang tepat, serta seluruh aspek lainnya dari pengendalian pelaporan
keuangan yang secara tradisional telah dilaksanakan. Pengujian yang dilakukan
bertujuan untuk memastikan efektivitas dan pelaksanaan dari pengendalian
internal dalam rangka memberikan keyakinan yang memadai terhadap keandalan
pelaporan keuangan.
2.4.2 Pedoman ICoFR menurut IIA
Dalam memenuhi SOA 404, perlu dilakukan implementasi ICoFR yang

efektif. Untuk mempermudah perusahaan dalam melakukan ICoFR, IIA
menerbitkan Sarbanes-Oxley Section 404: A Guide for Management by Internal
Controls Practitioners untuk dijadikan panduan manajemen dalam melakukan
ICoFR. Panduan ini memiliki 4 tahapan utama dalam melakukan ICoFR. Tahapan
tersebut antara lain:
1. Defining the Detailed Scope for Section 404
Suatu pengendalian internal atas pelaporan keuangan yang efisien adalah

ketika manajemen dapat memperhatikan area-area yang paling berisiko dan
dianggap material terhadap laporan keuangan perusahaan. Tidak semua proses
bisnis tercakup dalam kerangka ICoFR perusahaan karena akan memakan waktu
dan berisiko terhadap pencapaian objektif pengendalian yang sebenarnya. Untuk
itu, terdapat beberapa tahap dalam menentukan ruang lingkup pengendalian
internal terhadap pelaporan keuangan:

(a) Top-Down and Risk-based Approach / Top Down Risk Assessment (TDRA)
TDRA dilakukan untuk membantu menentukan ruang lingkup dan bukti

yang mendukung pengujian pengendalian internal yang dilakukan manajemen
untuk mematuhi ketentuan SOA 404. Pendekatan TDRA dimulai di tingkat
laporan keuangan dan memahami keseluruhan atas ICoFR. Pendekatan ini
memusatkan perhatian pada akun, pengungkapan, dan asersi yang
menggambarkan kemungkinan yang wajar atas salah saji yang material pada
laporan keuangan dan pengungkapan terkait. Prinsip utama dalam TDRA adalah
berfokus pada risiko dan materialitas terhadap keseluruhan proses dan
memberikan perhatian yang lebih pada area dengan risiko besar.
(b) The Detailed Process for Defining the Scope
Setelah TDRA, perlu dilakukan analisis mendalam atas proses dan unit
bisnis terkait akun-akun signifikan yang telah ditentukan untuk menentukan ruang
lingkup ICoFR.
(c) Materiality
Pertimbangan atas penentuan materialitas hanya dapat dilakukan oleh

pihak yang memiliki semua fakta dan pengetahuan terkait pelaporan keuangan
atas masing-masing perusahaan, dan pertimbangan tersebut berdasarkan
persetujuan auditor eksternal. Dalam melakukan analisis dan menentukan batasan
atau nilai materialitas, pihak manajemen perusahaan dan auditor harus
mempertimbangkan baik faktor kuantitatif maupun kualitatif.
(d) Significant Accounts and Disclosures
Proses identifikasi laporan keuangan perusahaan dapat menghasilkan

akun-akun signifikan di mana terdapat kemungkinan terjadinya kesalahan yang
material pada pelaporan keuangan. Akun signifikan muncul ketika akun tersebut
berada di atas level materialitas yang telah ditentukan. Setelah risiko terkait akun
signifikan diidentifikasi, pengendalian harus segera dirancang untuk memitigasi
risiko dari akun-akun signifikan tersebut. Tingkat materialitas dan akun signifikan
harus dinilai minimal tiga bulan sekali, atau ketika terjadi perubahan yang

material dalam bisnis, untuk memastikan bahwa setiap area yang perlu
diperhatikan telah tercakup dalam ruang lingkup.
(e) Financial Statement Assertions
Profesi eksternal audit telah mengidentifikasi asersi laporan keuangan

yang dapat digunakan manajemen untuk akun-akun signifikan yang memiliki
kemungkinan salah saji material. Asersi laporan keuangan yang disarankan oleh
AS-5 antara lain: Existence/Occurence, Completeness, Valuation/Allocation,
Rights and Obligations, dan Presentation and Disclosure.
(f) Significant Locations, Business Processes, and Major Classes of Transactions
Penentuan cakupan unit bisnis/lokasi yang memiliki pengaruh terhadap

laporan keuangan mengacu pada ketentuan PCAOB AS-5 tentang pengambilan
keputusan atas penentuan cakupan unit bisnis dengan memperhatikan beberapa
faktor (1) apakah unit bisnis terkait merupakan unit bisnis yang signifikan secara
individu (single entity); (2) apakah unit bisnis terkait memiliki risiko yang
signifikan; (3) apakah suatu unit bisnis merupakan unit bisnis yang signifikan
apabila dikonsolidasikan dengan unit bisnis lainnya, dan; (4) apakah terdapat
tingkat pengendalian secara entitas pada unit bisnis tersebut.
(g) Key Control
PCAOB dan SEC menyatakan bahwa pengendalian utama (key control)

merupakan pengendalian yang dapat memberikan keyakinan yang memadai
(reasonable assurance) bahwa salah saji material dapat dicegah dan dideteksi
dengan tepat waktu. Penentuan pengendalian utama merupakan faktor penting
yang mempengaruhi efektivitas dan efisiensi pengendalian internal perusahaan.
Pengendalian utama harus bersifat preventif dan detektif, dan dapat secara
signifikan memitigasi risiko terjadinya salah saji material, dan secara signifikan
mengendalikan proses bisnis, baik pada level entitas maupun aktivitas.

 Identifying Key Controls Within Business Process
Manajemen perlu menentukan pengendalian-pengendalian utama yang
dilakukan pada proses bisnis tertentu, untuk memitigasi risiko yang ada
sehingga perusahaan secara keseluruhan dapat berjalan dengan efektif.
 Identifying Key ITGCs
ITGC (Information Technology General Control) memberikan keyakinan
bahwa aplikasi yang ada dalam perusahaan telah dikembangkan dan
dipelihara dengan baik sehingga berfungsi secara optimal dalam
memproses transaksi dan melakukan pengendalian otomatis (automated
controls). ITGC juga dapat meyakinkan penggunaan aplikasi yang tepat
dan perlindungan terhadap data dan program dari tindakan yang tidak
terotorisasi.
 Other Entity-Level Controls
Manajemen harus memperhatikan pengendalian lain yang secara langsung
maupun tidak secara langsung mempengaruhi risiko kemungkinan
terjadinya salah saji.
 Spreadsheets and Other End-user Computing Issues
Risiko salah saji karena kesalahan dalam menggunakan aplikasi dan
software tidak dapat dihindari, misalnya pada saat menggunakan
Microsoft Access dan software pelaporan lainnya. Karena kesalahan ini
memungkinkan terjadinya salah saji yang material, perusahaan harus
memperhatikan risiko ini.
 Controls Performed by Third-party Organizations
Perusahaan seringkali melakukan outsourcing untuk menekan biaya
perusahaan secara keseluruhan. Ketika fungsi pengendalian dilakukan oleh
pihak ketiga, manajemen harus melakukan penilaian dan menguji apakah
pengendalian telah dirancang dengan baik dan apakah pihak ketiga
tersebut telah mengoperasikan pengendalian sesuai dengan apa yang telah
dirancang.

(h) Fraud Risk Assessment
AS-5 menyatakan bahwa auditor harus mengevaluasi apakah pengendalian

dalam perusahaan dapat mengidentifikasi salah saji yang disebabkan oleh
penipuan (fraud) atau tidak. Manajemen dapat menimbang peluang dan
memitigasi terjadi fraud dengan melakukan pemisahan tugas maupun pembatasan
akses yang bersifat preventif.
(i) Process and Control Documentation
Bisnis proses utama, khususnya transaksi-transaksi material dan

pengendalian terkait harus didokumentasikan. Manajemen harus membentuk
suatu manajemen perubahan (change management) bilamana terdapat perubahan
proses dan pengendalian dalam perusahaan sehingga proses dokumentasi dapat
disesuaikan dengan perubahan tersebut.
2. Testing Key Controls
Evaluasi dalam bentuk pengujian perlu dilakukan manajemen untuk

memastikan bahwa pengendalian telah beroperasi sesuai rancangan dan orang-
orang yang melakukan pengendalian mempunyai kompetensi untuk itu. Untuk itu,
agar pengujian berjalan dengan efisien, manajemen harus menekankan evaluasi
pada pengendalian terkait risiko-risiko ICoFR yang cenderung tinggi (highest
ICoFR risks). Pada umumnya, karena mempunyai sistem manajemen yang
kompleks, perusahaan besar menggunakan pengujian langsung (direct testing) dan
on-going monitoring untuk mendapatkan keyakinan yang mendukung penilaian
mereka terkait pengendalian internal. Terdapat beberapa teknik pengujian yang
dapat digunakan perusahaan, namun harus dipastikan bahwa:
 Suatu teknik pengujian harus memberikan keyakinan yang memadai

bahwa pengendalian dalam perusahaan telah berjalan dengan efektif.
 Bila menggunakan teknik self-assessment, harus terdapat konfirmasi
tingkat keyakinan atas independensi dari self-assessment tersebut.
 Pengujian harus memberikan keyakinan bahwa pengendalian berjalan
dengan efektif pada akhir tahun (tanggal akhir pelaporan). Bila pengujian

dilakukan di awal tahun, harus terdapat tahapan-tahapan. Misalnya,
dengan melakukan reperformance pengujian sebelumnya dengan
menggunakan transaksi kuartal empat.
 Pengujian harus dilakukan oleh individu-individu berkompeten dan
terlatih. Banyak perusahaan yang menggunakan pihak ketiga untuk
melakukan pengujian, sehingga manajemen harus melakukan peninjauan
ulang untuk meyakinkan bahwa pengujian telah dilakukan sesuai dengan
standar kualitas perusahaan dan hasilnya aktual.
 Manajemen harus mempertimbangkan biaya keseluruhan dalam
melakukan pengujian dan penggunaan sumber daya yang paling efisien
untuk dilibatkan dalam proses pengujian.
 Manajemen harus memilih pendekatan yang sesuai dengan perusahaan,
dan dengan mempertimbangkan pendapat internal auditor. Beberapa
teknik pengujian antara lain:
- Testing of Control secara umum, seperti:
 Walkthroughs, yang mengkonfirmasi kecukupan dokumentasi serta
disain kontrol untuk memenuhi tujuan pengendalian.
 Tanya-jawab (inquiry), pemeriksaan (examination), dan inspeksi
(inspection) atas dokumen terkait untuk mengkonfirmasi bahwa
kontrol dilakukan secara konsisten seperti yang didokumentasikan.
 Perhitungan ulang (reperformance) atas sampel transaksi untuk
mengkonfirmasi bahwa pengendalian telah dilakukan dengan
efektif.
- Continuous auditing, yang mencakup pengujian transaksi dalam periode

yang berkelanjutan. Pada umumnya teknik ini dibantu dengan software
khusus untuk memilih transaksi yang akan diperiksa.
- Continuous monitoring, teknik ini umumnya menggunakan software

untuk memonitor transaksi dan tidak hanya mengidentifikasi transaksi
untuk pengujian, namun terutama untuk menguji keseluruhan transaksi
yang diproses agar sesuai dengan parameter yang dipilih.

- Management self-assessment. Manajemen perlu berkonsultasi dengan
testing experts untuk memastikan bahwa hasil self-assessment
memberikan bukti yang wajar dan objektif bahwa kontrol beroperasi
sebagaimana yang dinilai.
Untuk mematuhi peraturan SOA 404, perusahaan harus memperhatikan

pula biaya keseluruhan yang dikeluarkan untuk melakukan program internal audit
terkait SOA 404 ini, khususnya biaya atas jasa auditor eksternal. Manajemen
dapat meminimalisir biaya total dengan melakukan proses pengujian ICoFR yang
efektif dan efisien agar eksternal auditor dapat mengurangi beban kerja mereka
melalui pengujian ICoFR manajemen yang dilakukan dengan baik.
(a) Testing Automated Controls
Pengujian ini dilakukan terhadap pengendalian yang dilakukan dalam

sistem IT. Pengujian dapat dilakukan oleh staf IT perusahaan atau auditor
spesialis IT.
(b) Testing Indirect Entity-level Controls
Indirect Entity-level Controls adalah pengendalian tidak langsung seperti

nilai-nilai etika organisasi dan efektivitas pengawasan komite audit, sehingga IIA
menyarankan manajemen untuk melakukan pengujian ini karena manajemen
merupakan pihak yang memahami secara dalam tentang sifat perusahaan dan
pengendalian yang dijalankan dalam perusahaan.
3. Assessing the Adequacy of Controls, Including Assessing Deficiencies
Bila kontrol utama telah diidentifikasi dengan baik, dan dinilai telah
cukup, dan hasil pengujian mengindikasikan bahwa keseluruhan kontrol telah
berjalan dengan efektif maka manajemen dapat menilai bahwa keseluruhan sistem
ICoFR perusahaan telah berjalan dengan efektif. Namun ternyata, beberapa
kemungkinan dapat teridentifikasi dalam proses pengujian. Sejumlah kontrol
utama dapat dikatakan hilang, terdapat kekurangan/defisiensi dalam rancangan,
atau sistem pengendalian ternyata tidak beroperasi secara efektif. Terkait hal ini,
manajemen perlu memutuskan apakah kekurangan/defisiensi tersebut mengartikan

bahwa sistem pengendalian internal tidak dapat memberikan keyakinan yang
memadai bahwa tidak akan terjadi salah saji material dalam pelaporan keuangan
yang akan diterbitkan.
4. Management’s Report on Internal Controls – the End Product
Manajemen harus menyimpulkan kinerja ICoFR yang sebenarnya dan

melaporkan hasil akhirnya pada perusahaan. Bila ditemukan defisiensi harus
dikomunikasikan beserta dengan informasi terkait yang disediakan agar investor
dapat memahami makna dan risikonya, dan bagaimana manajemen akan
memastikan integritas laporan keuangan ke depannya.
2.4.3 Prosedur Audit menurut IIA
Berdasarkan buku Internal Auditing: Assurance & Consulting Services

yang dipublikasikan oleh The Institute of Internal Auditors, prosedur audit adalah
suatu aktivitas yang dilakukan oleh internal auditor untuk mengumpulkan bukti
yang diperlukan dalam mencapai objektif audit. Prosedur audit dilakukan dalam
proses audit untuk:
 Mendapatkan pemahaman terkait pihak yang diaudit (auditee), termasuk

objektif, risiko, dan pengendalian pada auditee.
 Menguji kecukupan disain dan efektivitas operasi pada suatu area dalam
sistem pengendalian internal.
 Menganalisis hubungan antara elemen-elemen berbeda dalam suatu data.
 Secara langsung menguji informasi finansial dan non-finansial dan
kemungkinannya terhadap salah saji dan kecurangan.
Mendapatkan bukti yang cukup dalam rangka pencapaian objektif audit

dipengaruhi oleh sifat (nature), lingkup (extent), dan waktu (timing) dari prosedur
audit yang ingin dilakukan.

1. Nature of audit procedures
Nature prosedur audit berkaitan dengan jenis pengujian yang dilakukan

internal auditor untuk mencapai objektifnya. Jenis pengujian yang berbeda-beda
memberikan tingkat keyakinan dan membutuhkan waktu yang berbeda-beda pula.
Namun secara umum, dalam melakukan prosedur audit, auditor dapat
menggunakan prosedur audit manual ataupun dengan bantuan komputer
(Computer-Assisted Audit Techniques/CAATs). Di dalam Auditing Standard No.5
dinyatakan bahwa, untuk mendapatkan bukti yang memadai dalam pengujian
pengendalian internal perusahaan, internal auditor dapat menggunakan empat
prosedur pengujian manual, yakni:
 Inquiry. Proses tanya-jawab yang dilakukan antara auditor dan auditee

atau pihak terkait lainnya untuk mendapatkan respon secara tertulis
maupun oral.
 Observation. Observasi yang dilakukan auditor terhadap individu,
prosedur, dan proses dalam perusahaan.
 Inspection. Auditor mempelajari dokumen, dan arsip perusahaan yang
relevan dengan objektif audit.
 Reperformance. Melakukan kembali prosedur pengendalian perusahaan
untuk memeriksa tingkat efektivitasnya. Reperforming juga dilakukan
untuk mendapatkan bukti bahwa perhitungan yang dilakukan dan estimasi
yang ditentukan perusahaan sudah benar dan wajar.
 Confirmation. Dilakukan untuk mendapatkan verifikasi secara langsung
dan tertulis terkait keakuratann informasi dari pihak ketiga yang
independen.
2. Extent of audit procedures
Lingkup prosedur audit berkenaan dengan berapa banyak bukti audit yang
harus diperoleh internal auditor dalam mencapai objektif auditnya, sehingga
internal auditor harus menentukan prosedur yang sesuai (misalnya terkait dengan
penentuan Audit Sampling).

3. Timing of audit procedures
Pemilihan waktu dalam melakukan prosedur audit dilakukan untuk

menentukan kapan pengujian dilakukan dan berapa lama periode pengujian
tersebut. Pernyataan manajemen (management’s assessment) atas pengendalian
internal dalam rangka pelaporan keuangan berisi tentang efektivitas pengendalian
internal pada akhir periode. Namun demikian, pengujian atas pengendalian
internal, sebagai dasar bagi pernyataan manajemen, menjadi tidak praktis bila
dilakukan seluruhnya pada akhir periode. Dengan pertimbangan tersebut,
berdasarkan waktu pelaksanaan, secara umum pengujian pengendalian internal
dapat dikelompokkan menjadi dua, yaitu:
 Pengujian interim
Pengujian interim dilakukan untuk mengukur efektivitas pengendalian
internal yang dilaksanakan sepanjang tahun. Pengujian ini dapat
dilakukan pada suatu waktu tertentu atau beberapa waktu selama tahun
buku bersangkutan.
 Pengujian yang dilakukan pada akhir tahun (Update Testing)
Pengujian akhir tahun dilakukan untuk mendapatkan bukti efektivitas
pengendalian internal yang dilaksanakan pada akhir tahun, dan/atau
meng-update hasil pengujian interim, untuk memperoleh keyakinan
bahwa pengendalian internal masih efektif pada akhir periode/tahun.
2.4.4 Implementasi ICoFR pada Perusahaan
Moeller, Robert (2009) menyatakan bahwa perusahaan harus membangun

sistem pengendalian internal atas pelaporan keuangan dengan baik. Terdapat lima
langkah pengimplementasian ICoFR yang dapat dilakukan perusahaan sebagai
bentuk kepatuhan terhadap SOA 404. Langkah-langkah tersebut antara lain:
a. Organize the Section 404 compliance project approach.
Tahap pertama adalah membuat tim khusus untuk melakukan proyek

kepatuhan terhadap SOA 404. Eksekutif senior, seperti CFO, dapat mengarahkan

tim kepatuhan SOA yang berasal dari internal maupun eksternal perusahaan untuk
berpartisipasi dalam proyek. Peran, tanggung jawab, dan kebijakan sumber daya
harus direncakan tim SOA bersama dengan eksekutif senior pada tahap ini.
b. Develop a project plan.
Proyek kepatuhan SOA harus disusun dengan memperhatikan area-area

signifikan pada operasi perusahaan dan mencakup seluruh unit bisnis yang
signifikan pada perusahaan.
c. Identify, document, and test key internal controls.
Dengan menggunakan beberapa bentuk analisis, proses pengendalian

finansial internal perusahaan utama harus diidentifikasi, kepatuhan terhadap
prosedur pengendalian harus diuji, dan hasil pengujian harus didokumentasikan.
Proses dokumentasi sangat penting, karena ketika auditor eksternal melakukan
peninjauan ulang atas proses pengujian yang dilakukan manajemen, mereka harus
memeriksa dokumentasi yang telah dilakukan untuk membuktikan bahwa
pengendalian telah berjalan dengan dengan sesuai dan efektif. Pada tahap ini,
internal audit memiliki peran sangat penting dalam memberikan masukan kepada
tim SOA (project team) perusahaan.
d. Review compliance results with key stakeholders.
Eksekutif senior perusahaan bertanggung jawab atas pelaporan akhir

kepatuhan SOA 404 perusahaan. Tim SOA harus melakukan peninjauan ulang
atas perkembangan proyek yang dilakukan dengan manajemen senior secara
berkala, termasuk peninjauan ulang terkait pendekatan yang digunakan dan
tindakan korektif yang diajukan. Eksternal auditor perusahaan juga harus terus
diinformasikan tentang perkembangan dan isu-isu yang terjadi sepanjang proyek
yang dilakukan oleh Tim SOA perusahaan.
e. Complete report on the effectiveness of the internal control structure.
Merupakan tahap terakhir dari proses implementasi SOA 404. Setiap

pengerjaan dan pengujian yang dilakukan oleh tim harus didokumentasikan agar

dapat ditinjau ulang. Proses dokumentasi ini serupa dengan proses audit yang
hasil ujinya didokumentasikan pada beberapa kertas kerja untuk periode yang
berlanjut. Laporan akhir efektivitas ICoFR perusahaan beserta laporan atesti yang
dilakukan eksternal auditor akan diajukan kepada SEC sebagai salah satu bagian
dari laporan tahunan perusahaan.
2.5 Siklus Pendapatan
Siklus pendapatan merupakan suatu aktivitas bisnis dan pengolahan

informasi terkait penyediaan barang dan jasa kepada konsumen dan
pengumpulan/penerimaan kas sebagai pembayaran atas barang dan jasa yang telah
diberikan tersebut. Pertukaran informasi pada siklus ini lebih banyak antara
perusahaan dan konsumen. Namun, informasi dalam siklus pendapatan ini juga
akan mengalir ke siklus lainnya dalam perusahaan. Objektif utama siklus
pendapatan adalah memberikan produk yang tepat di tempat yang sesuai pada
waktu yang tepat dengan harga yang sesuai.
2.5.1 Definisi Pendapatan
Berdasarkan PSAK 23 revisi 19 Februari 2010, pendapatan adalah

penghasilan yang timbul dari pelaksanaan aktivitas entitas yang normal dan
dikenal dengan sebutan berbeda, seperti penjualan, penghasilan jasa, bunga,
dividen, royalti, dan sewa. Dengan kata lain, pendapatan adalah arus masuk bruto
dari manfaat ekonomi yang timbul dari aktivitas normal entitas selama suatu
periode jika arus masuk tersebut mengakibatkan kenaikan ekuitas yang tidak
berasal dari kontribusi penanam modal.
2.5.2 Aktivitas Dasar pada Siklus Pendapatan
Menurut Romney & Steinbart (2012), terdapat empat aktivitas dasar pada
siklus pendapatan, antara lain:

1. Entry order penjualan (sales order entry)
Aktivitas ini dimulai dengan menerima pesanan/order dari konsumen

(taking customer orders), pada proses ini terdapat risiko pencatatan order
konsumen yang tidak akurat maupun order yang tidak dicatat, sehingga pihak
yang menginput data harus secara seksama mencatat order konsumen agar sesuai
dengan customer order sebenarnya. Perusahaan kemudian menyetujui pesanan
tersebut (credit approval), dan memeriksa ketersediaan barang (checking
inventory availability), pada tahap ini perusahaan harus memastikan bahwa
terdapat persediaan barang untuk memenuhi permintaan konsumen. Proses
terakhir adalah merespon permintaan konsumen tersebut (responding to customer
inquiries).
2. Pengiriman/Penyerahan (shipping)
Aktivitas ini meliputi pengambilan dan pengepakan barang dari gudang

(pick and pack the order). Tahap ini mengharuskan pihak terkait untuk
mengidentifikasi jenis dan kuantitas barang yang akan diambil agar sesuai dengan
pesanan. Pihak yang mengambil dapat mencatat jumlah barang yang diambil
secara manual atau otomatis (melalui suatu sistem). Barang kemudian ditransfer
ke bagian pengiriman. Terdapat beberapa risiko dalam proses ini, risiko pertama
adalah risiko terjadinya pengambilan barang yang tidak sesuai dengan pesanan,
berkaitan dengan jenis maupun kuantitas barang. Risiko kedua adalah terjadinya
pencurian barang yang menyebabkan hilangnya aset perusahaan dan pencatatan
persediaan yang tidak akurat. Proses selanjutnya adalah pengiriman/penyerahan
pesanan (ship the order). Pada proses ini, bagian pengiriman harus
membandingkan perhitungan fisik barang dengan kuantitas barang yang terdapat
pada laporan status persediaan dalam gudang yang dimiliki perusahaan dan juga
kuantitas yang terdapat dalam sales order.
3. Penagihan (billing)
Aktivitas ini meliputi pemberian tagihan kepada konsumen (invoice) dan

penyesuaian akun piutang (maintain accounts receivable). Kedua aktivitas ini
biasanya dilakukan oleh individu yang berbeda agar terciptanya pemisahan tugas

(segregation of duties). Pada proses invoicing, pihak terkait perlu mengetahui
informasi dari bagian pengiriman (shipping department) tentang item-item dan
kuantitas barang yang dikirim, dan juga informasi tentang harga barang dan ada
tidaknya diskon/sales term khusus untuk barang tersebut dari bagian penjualan.
Dokumen standar yang ada dalam proses penagihan adalah sales invoice yang
melaporkan jumlah total pembayaran dan tujuan pengiriman pembayaran kepada
konsumen. Invoice tersebut juga melaporkan kuantitas barang yang dijual beserta
harga yang dikenakan atas barang tersebut. Risiko pertama yang ada dalam proses
penagihan adalah gagalnya menagih konsumen, yang menyebabkan hilangnya
aset perusahaan dan tidak akuratnya data penjualan, persediaan, dan akun piutang.
Pemisahan tanggung jawab pada fungsi penyerahan (shipping) dan penagihan
(billing) adalah bentuk pengendalian yang penting dilakukan untuk meminimalisir
risiko tersebut. Tidak akuratnya jumlah yang ditagihkan karena penetapan harga
yang tidak sesuai, dan penagihan barang yang sebenarnya tidak diterima
konsumen merupakan risiko kedua dalam proses ini. Kesalahan penetapan harga
dapat dihindari dengan penggunaan sistem pricing master file yang dapat
mencatat data-data terkait harga barang dan membatasi akses karyawan untuk
melakukan perubahan data tersebut. Setelah proses penagihan berhasil,
dilanjutkan dengan proses penyesuaian akun piutang (maintain accounts
receivable). Untuk memverifikasi bahwa penyesuaian telah dilakukan dengan
akurat, pihak terkait dapat melakukan rekonsiliasi pencatatan akun piutang
individual dengan total akun piutang pada general ledger.
3. Penerimaan kas (cash collection)
Dalam aktivitas ini, pihak yang menerima/meng-collect kas tidak boleh

sama dengan pihak yang mengontrol dan merubah akun piutang perusahaan.
Sehingga pihak yang bertanggung jawab atas akun piutang perusahaan tidak
mempunyai akses fisik terhadap kas maupun checks. Pengendalian dengan
segregation of duties ini merupakan prosedur pengendalian yang efektif untuk
meminimalisir risiko terjadinya pencurian. Salah satu pengendalian detektif yang
dapat dilakukan perusahaan adalah melakukan rekonsiliasi bank account
statement dengan saldo pencatatan kas yang ada dalam sistem IT perusahaan.

Dengan rekonsiliasi yang dilakukan oleh pihak yang tidak mempunyai akses
terhadap kas, pengendalian ini dapat memberikan hasil pemeriksaan yang
independen dan dapat mencegah terjadinya manipulasi bank statements yang
dilakukan untuk menutupi pencurian terhadap kas perusahaan.

BAB 3
GAMBARAN UMUM PERUSAHAAN
3.1 RSM AAJ Associates
Kantor Akuntan Publik Aryanto, Amir Jusuf, Mawar & Saptoto

merupakan afiliasi dari RSM International yang lebih dikenal dengan sebutan
RSM AAJ Associates. RSM AAJ Associates merupakan firma internasional
dengan keberadaan lokal yang kuat di Indonesia, menjadikannya sebagai kantor
akuntan publik big five di Indonesia dengan RSM International sendiri menempati
posisi big six di dunia. KAP ini didirikan di Jakarta pada taun 1985 oleh Amir
Abadi Jusuf dengan memberikan jasa auditing dan assurance yang terpercaya
untuk perusahaan-perusahaan. Pada tahun 1992, kantor akuntan publik ini
berubah nama menjadi AAJ Associates dan mulai berafiliasi dengan RSM
International yang merupakan sebuah jaringan organisasi/firma audit dan
konsultasi independen keenam peringkat dunia. Terdapat lima jenis jasa yang
diberikan oleh RSM AAJ Associates, antara lain, Audit Assurance; Corporate
Finance & Transaction Support; Outsourcing; Tax; dan Governance, Risk &
Control. Dalam rangka mendukung kegiatan operasionalnya, RSM AAJ
Associates memiliki unit pendukung meliputi Finance & Administration Unit,
Marketing Unit, Business Relationship Unit, dan Technical & QA Unit. Finance
& Administration Unit yang membawahi beberapa fungsi seperti Information
Technology, Human Resources, Finance & Accounting, Office Administration,
Production, dan Library.
RSM AAJ Associates berlokasi di dua kota, Jakarta dan Surabaya,

memberikan berbagai jasa profesional di berbagai area. Penulis melaksanakan
kegiatan magang di RSM AAJ Associates Jakarta yang beralamat di Plaza Asia
lantai 10, Jl. Jenderal Sudirman Kav. 59 Jakarta.

3.1.1 Jasa Profesional yang Disediakan RSM AAJ Associates
RSM AAJ Associates menawarkan lima line of business, yaitu Audit

Assurance, Corporate Finance & Transaction Support, Outsourcing, Tax, dan
Governance, Risk & Control. Jasa-jasa spesifik dari setiap line of business
tersebut dapat dilihat pada tabel 3.1 di bawah ini.
Tabel 3.1: Line of businesses RSM AAJ Associates
Line of Business Services

Audit Assurance  General Audit on Financial Statements
 Financial Information Review
 IFRS
Corporate Finance & Transaction  Corporate Finance
Support  Transaction Support
Outsourcing  Company Incorporation and

Representative Office Establishment
 Corporate Secretarial
 Accounting
 Payroll
 Executive Search and Recruitment
Tax  Tax Litigation and Tax Disputes
 Tax Audits
 Tax Consulting
 International Tax Structuring
 Transfer Pricing Reviews and
Documentation
 Tax Compliance (Corporate and
Individual)
Governance, Risk & Control  Governance Advisory and Assurance
 Internal Audit
 Information Systems Advisory and
Assurance
 Risk Management and Internal Control
Advisory
Sumber: Employee Handbook RSM AAJ Associates (telah diolah kembali)

Selanjutnya RSM AAJ mengklasifikasikan line of business tersebut ke
dalam 8 divisi. Divisi Blue, Green, Red, Tosca, dan Brown memberikan jasa audit
assurance dengan konsentrasi industri yang berbeda-beda. Divisi White
memberikan jasa Risk Advisory. Divisi Orange memberikan jasa Corporate
Finance & Transaction Support. Divisi Purple memberikan jasa Tax &
Outsourcing. Setiap divisi mempunyai satu Managing Partner dengan didukung
oleh Chief Operating Officer, di mana selama kegiatan magang berlangsung
penulis ditempatkan sebagai Junior Associate pada divisi White dengan Mbak
Angela Indirawati Simatupang sebagai Managing Partner LOB Risk Advisory dan
Mas Syahraki Syahrir Musin sebagai White Division Chief Operating Officer.
Delapan divisi tersebut dapat dilihat dalam tabel 3.2 di bawah ini.
Tabel 3.2: Divisi-divisi RSM AAJ Associates
Division Line of Business Industry Focus

Blue Audit Assurance  Trading, Service
& Investment
 Not for Profit
Green Audit Assurance  Manufacturing
 Mining
Red Audit Assurance  Financial Services
 Agriculture
Tosca Audit Assurance  Property & Real
Estate
 Infrastucture,
Utilities &
Transportation
Brown Audit Assurance N/A
White Risk Advisory N/A
Orange Corporate Finance & N/A
Transaction Support
Purple Tax & Outsourcing N/A

3.1.2 Struktur Organisasi RSM AAJ
RSM AAJ dipimpin oleh Board of Partners (BOP) yang bertanggung

jawab dalam memelihara keberlanjutan perusahaan. Setiap anggota BOP
mempunyai satu visi, misi, dan nilai terkait perusahaan. BOP lalu memilih satu
anggotanya untuk memenuhi tanggung jawab sebagai Chief Executive Partner
(CEP) yang mengatur operasional perusahaan berdasarkan strategi dan arahan
yang ditentukan oleh BOP, dan segala hasilnya akan dilaporkan kepada para BOP.
Amir Abadi Jusuf dipilih oleh BOP untuk menduduki posisi sebagai Chief of
Executive Partner. CEP membawahi RSM Related Function seperti Partner in-
Charge (PIC), Head of Service, International Contact Partner, dan Anti-Bribery
Officer dan juga membawahi Managing Partner dari berbagai line of business
seperti audit assurance, tax & outsourcing, corporate finance & transaction
support, risk advisory serta operation support. Struktur organisasi RSM AAJ
Associates dapat dilihat pada Gambar 3.1 di bawah ini.
Gambar 3.1: Struktur Organisasi RSM AAJ Associates

3.2 Profil Perusahaan Klien: PT ABC
PT ABC merupakan salah satu operator telekomunikasi seluler terbesar di

Indonesia yang berdiri tahun 1995. Pada tanggal 1 November 1997, PT ABC
menjadi operator seluler pertama di Asia yang menawarkan layanan GSM
prabayar. Dengan perusahaan induk yang besar, PT ABC dapat dianggap sebagai
perusahaan telekomunikasi yang inovatif dan terus menawarkan berbagai servis di
seluruh Indonesia dan responsif terhadap perkembangan kebutuhan gaya hidup
digital dengan kerap menawarkan produk dan jasa yang berkualitas untuk
berbagai segmen pasar. PT ABC memiliki 81,644 juta pelanggan per 31
Desember 2007 dan telah memiliki lebih dari 130 juta pelanggan pada tahun
2013. Jaringan PT ABC telah mencakup 288 jaringan roaming internasional di
155 negara pada akhir tahun 2007.
PT ABC menjadi pelopor untuk berbagai teknologi telekomunikasi selular

di Indonesia, termasuk yang pertama meluncurkan layanan roaming internasional
dan layanan 3G di Indonesia. PT ABC merupakan operator yang pertama kali
melakukan ujicoba teknologi jaringan pita lebar LTE. Di kawasan Asia, PT ABC
menjadi pelopor penggunaan energi terbarukan untuk menara-menara Base
Transceiver Station (BTS).
PT ABC merupakan anak perusahaan dari PT XYZ (65% kepemilikan)

dan PT X (35% kepemilikan) yang berbasis di Singapura. Saham PT XYZ
terdaftar dalam New York Stock Exchange., sehingga PT XYZ diharuskan
mengikuti peraturan Securities Exchange Commision (SEC), termasuk Sarbanes-
Oxley Act (SOA) khususnya seksi 302 dan 404 terkait efektivitas pengendalian
internal atas laporan keuangan (Internal Control over Financial Reporting
(IcoFR)).
Kini PT ABC mengembangkan jaringan broadband di 100 kota besar di

Indonesia. Untuk membantu pelayanan kebutuhan pelanggan, PT ABC kini
didukung akses call center 24 jam dan 430 pusat layanan yang tersebar di seluruh
Indonesia.

3.2.1 Visi dan Misi PT ABC
Visinya menjadi “a world-class, trusted provider of mobile digital lifestyle

services and solutions” membuat PT ABC siap melakukan lompatan besar dalam
evolusi telekomunikasi selular yang sejalan dengan perubahan gaya hidup.
Jaringan PT ABC menghadirkan dunia dengan konektivitas tanpa batas, ragam
aplikasi untuk memfasilitasi gaya hidup modern serta rangkaian produk untuk
meningkatkan kualitas hidup manusia. Dengan visi tersebut, PT ABC berusaha
memberikan layanan dan solusi mobile digital yang melebihi ekspektasi
pelanggan, memberikan nilai tambah kepada para stakeholders, dan mendukung
pertumbuhan ekonomi bangsa.
3.2.2 Jenis-jenis Produk dan Jasa yang Ditawarkan PT ABC
PT ABC menawarkan berbagai jenis produk dan jasa yang terdiri dari:
1. Main Products & Services
Produk dan jasa utama yang ditawarkan PT ABC meliputi layanan

postpaid (pascabayar) yang lebih ditujukan untuk segmen pasar dengan
pendapatan lebih tinggi serta segmen korporat, dan dua layanan prepaid
(prabayar) yang terdiri dari dua jenis, yakni premium prepaid yang dikemas dan
ditujukan untuk para konsumen yang lebih muda dan dinamis dan juga prepaid
yang ditujukan untuk segmen pasar dengan pendapatan lebih rendah sampai
menengah dan bersifat lebih ekonomis dari dua produk yang lain.
2. Mobile Broadband Services
Produk ini menawarkan data broadband yang dapat diakses menggunakan

USB, ruter Wi-Fi portabel, smartphone, modem, serta tablet untuk layanan
internet. Selain itu, PT ABC juga menawarkan berbagai paket layanan internet
browsing, instant messaging, e-mail, dan akses social media untuk para konsumen
yang menggunakan device tertentu. PT ABC juga memiliki Smartphone Data

Plans yang merupakan hasil kemitraan dengan berbagai perusahaan manufaktur
alat komunikasi, menawarkan paket data untuk banyak jenis smartphone.
3. Digital Services
Produk digital services ini mencakup 3 jenis layanan:
a. Digital Lifestyle
Layanan ini menawarkan berbagai produk aplikasi entertainment, social

media, dan messaging serta aplikasi yang memudahkan konsumen dalam
mengakses informasi yang bersifat ril.
b. Digital Payment and Mobile Banking
Layanan ini menawarkan 3 produk utama. Pertama adalah produk Mobile

Banking yang tersedia agar para konsumen dapat melakukan transaksi perbankan
dari telepon genggam mereka. Kedua adalah T-Cash yang memudahkan transaksi
pembelian antar dua ponsel, dan Tap Izy yang menjadikan ponsel konsumen
sebagai dompet elektronik (electronic wallet).
c. Digital Advertising
Layanan ini terdiri dari Interactive Services yang merupakan jasa interaktif
yang memudahkan para advertisers untuk mengakses para pelanggan PT ABC,
Bulk Services di mana iklan ditargetkan sesuai dengan komunitas masing-masing
konsumen, dan Location Based Advertising (LBA) di mana iklan-iklan
ditargetkan sesuai dengan lokasi di mana konsumen berada.
4. Corporate Business Solution
Merupakan layanan pribadi yang ditujukan untuk perusahaan-perusahaan,

di mana kontribusi pendapatan terbesar berasal dari sektor manufaktur (18%).
Target layanan ini adalah Perusahaan sampai Unit Kecil dan Menengah (UKM).
PT ABC dapat memberikan solusi komunikasi yang stabil dan komunikasi end-to-
end untuk membantu perusahaan meningkatkan efisiensi, produktivitas, dan daya
saing.

5. Interconnection and International Roaming
Merupakan layanan internasional untuk melayani para pelanggan yang

ingin lebih mudah berkomunikasi di luar negeri, menggunakan strategi afiliasi PT
ABC dengan operator telekomunikasi di masing-masing negara tersebut.
3.2.3 Overview Performa Perusahaan Tahun 2013
Dilihat dari laporan keuangannya, pendapatan PT ABC meningkat sebesar

10% (sepuluh persen) dari Rp. 54.531 miliar pada tahun 2012 menjadi Rp. 60.031
miliar pada tahun 2013. EBITDA tahun 2013 juga meningkat menjadi Rp. 33.869
miliar dengan laba bersih mencapai Rp. 17.347 miliar di mana kontribusi terbesar
berasal dari layanan percakapan dan SMS. Peningkatan pendapatan PT ABC
tersebut juga dikarenakan pendapatan produk layanan prabayar yang mengalami
pertumbuhan sebesar 9,4% (sembilan koma empat persen) dari Rp. 45.363 triliun
pada tahun 2012 menjadi Rp. 49.6 triliun pada tahun 2013. Hal ini terjadi karena
peningkatan penggunaan pada layanan percakapan dan SMS serta peningkatan
ARPU dan peningkatan pendapatan pada layanan data, sehingga pendapatan
produk prabayar ini terus memberikan kontribusi terbesar terhadap peningkatan
pendapatan PT ABC sebesar 82,7% (delapan dua koma tujuh persen) dari total
pendapatan. Pendaparan dari produk layanan pascabayar juga meningkat sebesar
9,3% (sembilan koma tigas persen) dari Rp. 4.272 triliun menjadi Rp. 4.7 triliun
karena didorong oleh pertumbuhan pelanggan kartu pascabayar. Pendapatan
international roaming dan interconnection mengalami peningkatan sebesar 9,7%
(sembilan koma tujuh persen) dikarenakan dampak dari SMS interconnection
tariff yang diberlakukan sepanjang tahun. Pendapatan dari aktivitas bisnis lain
mengalami peningkatan sebesar 76.5% menjadi Rp. 0,95 triliun. Kontribusi utama
untuk peningkatan pendapatan dari aktivitas bisnis lain adalah network leasing
dan pendapatan insentif dari USO.
Pertumbuhan pendapatan dari digital business seperti broadband dan

digital services pada tahun 2013 melaju pesat dengan tingkat pertumbuhan
sebesar 35% (tiga puluh lima persen) menjadi Rp. 11.7 triliun. Hal ini

dikarenakan terdapat peningkatan jumlah pengguna broadband sehingga
pendapatan ini memberikan kontribusi sekitar 20% (dua puluh persen) dari total
pendapatan pada tahun 2013.
Dilihat dari jumlah pelanggannya, pada tahun 2013, PT ABC berhasil

menambah 6.4 juta pelanggan baru sehingga meningkat sebesar 5,1% (lima koma
satu persen) menjadi 131.5 juta pelanggan dari tahun 2012. Pada akhir tahun
2013, pelanggan layanan pascabayar mencapai 2.5 juta pelanggan dan pelanggan
layanan prabayar mencapai 129 juta pelanggan menjadikan PT ABC dapat
mendominasi pasar sebesar 60% (enam puluh persen) di antara 3 operator selular
terbesar di Indonesia. Khusus untuk layanan kartu pascabayar, PT ABC berfokus
kepada segmen korporat dan profesional yang cenderung memiliki tingkat
pemakaian yang tinggi. Sedangkan untuk layanan kartu prabayar mempunyai
segmen yang lebih luas, khususnya masyarakat kalangan muda.
Adanya segmentasi pasar, optimasi harga, zonal marking, dan pendekatan

berbasis klaster menyebabkan terjadinya peningkatan ARPU (Average Revenue
per User) yang merupakan ukuran yang menunjukkan berapa banyak pendapatan
yang diperoleh perusahaan dari rata-rata pengguna layanan. ARPU PT ABC
meningkat dari sekitar Rp. 37.000 pada tahun 2012 menjadi Rp. 37.500 pada
tahun 2013.
3.2.4 Struktur Organisasi PT ABC
PT ABC dipimpin oleh President Director. Terdapat tujuh direktorat yang

dibawahi oleh President Director yaitu Finance, Marketing, Sales, Network,
Information Technology, Planning and Transformation, dan Human Capital
Management. Selain itu, terdapat tiga unit yang secara langsung berkomunikasi
dengan President Director, yakni Corporate Secretary, Internal Audit, dan
Program Management Office. Struktur organisasi PT ABC dapat dilihat pada
Gambar 3.2.

Gambar 3.2: Struktur Organisasi PT ABC
Sumber: Laporan Tahunan 2013 PT ABC

3.2.5 Internal Audit PT ABC
Internal Audit (IA) PT ABC berperan sangat penting dalam mendukung

operasional perusahaan. IA bertanggung jawab untuk memantau dan menilai
bisnis proses perusahaan serta implementasi tatakelola perusahaan untuk
memastikan keberlangsungan usaha terus berjalan. Internal Audit PT ABC
melakukan fungsinya berdasarkan Internal Audit Charter yang menentukan visi,
objektif, dan lingkup pekerjaan IA serta mendefinisikan akuntabilitas,
independensi, tanggung jawab, wewenang, dan ketentuan pelaporan. Secara
spesifik, IA PT ABC bertanggung jawab untuk:
a. Memberikan keyakinan yang independen dan objektif serta aktivitas konsulasi

yang dapat meningkatkan nilai dan performa perusahaan;
b. Membantu perusahaan mencapai objektif bisnis dengan menggunakan

pendekatan yang sistematis dan disiplin untuk mengevaluasi dan meningkatkan
efektivitas manajemen risiko serta proses pengendalian dan tatakelola perusahaan;
c. Memberikan analisis, rekomendasi, masukan, dan informasi terkait aktivitas

yang sedang ditinjau dan melaporkannya kepada manajemen dan Dewan
Komisaris, melalui Komite Audit.
d. Membangun hubungan dengan institusi audit yang relevan, pada level nasional
maupun internasional, untuk meningkatkan profesionalisme Internal Audit Group
(IAG).
Pada tahun 2013, IA telah melakukan aktivitas internal audit yang

bertujuan untuk mendukung pencapaian objektif strategis perusahaan yakni
memperkuat infrastruktur broadband pada era gaya hidup digital. Beberapa objek
audit yang dilakukan antara lain:
 Mobile Broadband dan Revenue Assurance,

 Broadband Network Performance, dan
 ISO 27001 Surveillance Audit Expanded

Selain itu, IA secara aktif mendukung manajemen dalam pengendalian
defisiensi terkait kepatuhan (compliance). IA melakukan peninjauan ulang secara
kuartal dengan auditor eksternal dan komite audit untuk meninjau ulang laporan
IA. Terdapat pula proyek audit tambahan yakni operational audit; financial audit
(yang bertujuan untuk melakukan analytical review atas pergerakan laporan
keuangan); dan SOA Audit yang salah satu fungsinya adalah menguji apakah
financial audit perusahaan telah dilakukan dengan efektif. Proyek audit tambahan
tersebut termasuk di dalamnya adalah Billing & Collection CAM, Quarterly
Limited Review, external audit assistance, dan pengendalian general IT serta
beberapa jasa konsultasi lainnya dan whistleblower channel.
Pada tahun 2013, IA PT ABC melakukan beberapa perbaikan internal seperti

pembentukan struktur Internal Audit Group untuk mendukung proses audit dan
implementasi atas Audit Management System (AMS) yang dibentuk untuk
mengakomodasi konsep audit berbasis risiko (risk-based audit concept).
Dalam struktur organisasi PT ABC, fungsi internal audit berada di bawah

Direktorat CEO Office dan di bawah langsung Dewan Komisaris dan Presiden
Direktur. Jumlah anggota keseluruhan Internal Audit PT ABC adalah sebanyak 28
orang, 5 pegawai di antaranya merupakan SOA Audit. Karena keterbatasan
sumber daya inilah menyebabkan PT ABC menggunakan jasa co-sourcing RSM
AAJ untuk melakukan SOA testing.
3.3 SOA Testing PT ABC Tahun 2013
SOA Testing (Test of Control) yang dilaksanakan di Kantor Pusat PT ABC

tahun 2013 dilakukan berdasarkan Program Kerja Internal Audit Tahun 2013 yang
telah disetujui oleh Komite Audit PT ABC melalui surat No.
144/K.AUDIT/I/2013 tanggal 30 Januari 2013 perihal Persetujuan Program Kerja
Audit Tahunan (PKAT) 2013. Tujuan dari pelaksanaan assessment ini antara lain
untuk:

 Menilai tingkat kepatuhan, efektivitas pengendalian internal dan efisiensi
operasi terkait dengan SOA 404 pada Fungsi Sub Direktorat Kantor Pusat.
 Menilai keandalan pelaporan keuangan.
 Menilai kepatuhan terhadap hukum dan peraturan yang berlaku.
 Memperoleh gambaran mengenai tingkat pemahaman atas pedoman
pengendalian internal yang telah didisain serta faktor penyebab terjadinya
ketidakpatuhan.
 Mengkomunikasikan hasil TOC pengendalian internal di Fungsi Sub
Direktorat di Kantor Pusat kepada seluruh jajaran manajemen terkait
sehubungan dengan butir a dan butir b di atas.
 Mendapatkan komitmen dari seluruh jajaran dalam perusahaan dalam
meningkatkan tingkat kepatuhan dalam mengimplementasikan
pengendalian internal yang berkaitan dengan SOA 404.
Cakupan test of control Kantor Pusat tahun 2013 ini adalah aktivitas-aktivitas
terkait dengan transactional level control, application control, end user
computing, dan IT general control yang mempunyai risiko pelaporan keuangan
dalam klasifikasi high risk dan moderate risk.
Perkembangan bisnis dan organisasi yang pesat menyebabkan PT ABC

kerap menyesuaikan struktur organisasinya dengan perkembangan dan perubahan
bisnis yang terjadi. Sehingga, ketika evaluasi pengendalian internal perusahaan
dilakukan, proses pengujian disesuaikan dengan struktur organisasi PT ABC yang
cenderung berubah-ubah. Untuk itu, proses pengujian pengendalian internal dalam
rangka memenuhi ketentuan SOA 404 (SOA Testing) PT ABC tahun 2013 dibagi
ke dalam tiga fase (dapat dilihat di tabel 3.3).

Tabel 3.3: Pengujian Pengendalian Internal PT ABC Tahun 2013
Fase I Fase II Fase III

Period to be Januari – Mei Juni – Agustus September –
Tested 2013 2013 Desember 2013
Testing Schedule Akhir Juli – Pertengahan Desember 2013 –
Pertengahan September – Akhir Februari 2014
September 2013 November 2013
Scope TLC, ITGC, dan TLC dan ITGC TLC, ITGC, dan
IT ELC updated IT ELC
Deliverables Kertas kerja, draft Kertas kerja, draft Kertas kerja, draft
fakta/temuan, fakta/temuan, fakta/temuan,
scoring, dan scoring, dan scoring, dan
laporan pengujian laporan pengujian laporan pengujian
konsolidasi
Sumber: RSM AAJ Associates (telah diolah kembali)
Dalam melakukan jasa co-sourcing, tim Internal Audit RSM AAJ bekerja
sama dengan Tim IA PT ABC untuk memastikan terjalinnya komunikasi yang
tepat waktu serta untuk memastikan bahwa seluruh pekerjaan terfasilitasi dengan
baik.
3.3.1 Pengujian ICoFR Fase III PT ABC
ICoFR Fase III memiliki pembahasan khusus dikarenakan penulis

melaksanakan magang pada pertengahan pengujian ICoFR Fase III yang telah
dilaksanakan dari periode Desember 2013 hingga Februari 2014. Adapun
perbedaan Fase III dengan fase lainnya terletak pada Risk Control Matrix
perusahaan, karena RCM pada setiap fase disesuaikan dengan perubahan proses
bisnis yang terjadi sehingga risiko dan pengendalian setiap fase akan disesuaikan
pula dengan perubahan tersebut. Hal-hal terkait ICoFR Fase III PT ABC dapat
dijelaskan berdasarkan metode dan cakupan pengujiannya.

3.3.1.1 Metodologi
Test of control atau pengujian pengendalian internal dilaksanakan dengan

menggunakan metodologi:
a. Berdasarkan Standar PCAOB, yaitu standar pengujian yang umum digunakan

oleh auditor eksternal dalam melaksanakan pengujian pengendalian internal.
b. Menggunakan Statistical dan Non Statistical Sampling, yang dilakukan
dengan ketentuan:
Tabel 3.4: SOA Sampling PT ABC
Panel A: Risiko Pelaporan Keuangan
Risiko Pelaporan Keuangan

Asumsi
Frekuensi High Risk Medium Risk
Populasi dari
Pengendalian
Pengendalian* Non Non
Key Key
Key Key
Tahunan 1 1 1
Triwulanan 4 2 2
Bulanan 12 3 2 3 2
Mingguan 52 10 5 10 5
Harian 250 30 20 30 20
Multiple Times per
> 250 45 30 45 30
Day
Sumber: Internal Audit PT ABC
Panel B: Periode
Frekuensi
Periode
Pengendalian
September – November 2013: Proportionate 40 sampel
Multiple times
untuk 3 bulan
per day
Desember 2013: 5 sampel
Daily September – Desember 2013
Weekly September – Desember 2013
Monthly September, Oktober, dan November 2013
Quarterly September dan Desember 2013
Yearly Tahun 2013
Sumber: Internal Audit PT ABC (telah diolah kembali)

Keterangan:
 *Populasi dari jumlah pengendalian yang disetahunkan.

 Jika jumlah populasi dalam periode yang diuji tidak memenuhi jumlah
sampel, maka seluruh populasi transaksi tersebut akan diambil sebagai
sampel pengujian.
 Untuk transaksi Event-based, pengambilan sampel mengikuti transaksi
Multiple Times Per Day.
 Pengujian dilakukan untuk kontrol ”Financial Reporting Reliability”
dengan tingkat risiko “High” dan selected “Moderate”.
 Penggunaan Statistical/Non Statistical Sampling ditentukan berdasarkan
professional judgment dari divisi Internal Audit PT ABC yang disesuaikan
dengan best practice yang berlaku umum, yaitu untuk frekuensi
pengendalian Tahunan (Yearly/Annually), Triwulanan (Quarterly),
Bulanan (Monthly), dan Mingguan (Weekly) metode yang digunakan
adalah Non Statistical Sampling, sedangkan untuk frekuensi pengendalian
Harian (Daily), Transaksional (Multiple times per day), dan Event-based
menggunakan metode Statistical Sampling.
 Key: Aktivitas Pengendalian Utama (Key Controls); Non Key: Aktivitas
Pengendalian Non-Utama (Non Key Controls).
c. Pendekatan dalam menentukan ketaatan auditee dalam melaksanakan

pengendalian internal yang berkaitan dengan SOA 404, adalah:
 Expected Error Rate 0%, yaitu apabila satu saja dari seluruh sampel yang
diambil ditemukan tidak sesuai dengan disain pengendalian internal, maka
implementasi pengendalian internal dinyatakan tidak patuh (not comply).
 Kelengkapan dokumentasi dan bukti pelaksanaan, yaitu jika tidak
ditemukan dokumentasi sebagai bukti pelaksanaan pengendalian internal
yang dipersyaratkan, maka implementasi pengendalian internal dinyatakan
tidak patuh (not comply).

e. Strategi Pengujian:
Untuk pengujian pengendalian internal Fase III tahun 2013, strategi

pengujian adalah Full Testing, di mana prosedur pengujian dilakukan dengan
menggunakan jumlah sampel yang penuh sesuai dengan ketentuan pada Tabel 3.4,
dan prosedur pengujian mencakup prosedur reperformance, inspeksi, tanya jawab,
dan observasi. Tidak ada penambahan sampel jika ditemukan ketidakpatuhan, dan
pengendalian disimpulkan not comply.
3.3.1.2 Cakupan Pengujian Aktivitas Pengendalian Tingkat Transaksi

(Transactional Level Control)
a. Siklus yang Diuji
Aktivitas pengendalian yang diuji adalah aktivitas-aktivitas pengendalian manual

yang mempunyai risiko pelaporan keuangan dalam klasifikasi high risk dan
moderate risk, yang dilaksanakan oleh fungsi-fungsi di Kantor Pusat, yang
mencakup siklus sebagai berikut:
1) Siklus Inventory
2) Siklus Postpaid Revenue
3) Siklus Prepaid Revenue
4) Siklus Interconnection Revenue
5) Siklus International Roaming Revenue
6) Siklus Fixed Asset
7) Siklus Operational Expenses
8) Siklus Taxation
9) Siklus Financial Reporting
10) Siklus Funding and Investment
b. Lokasi Pengujian
Pengujian Fase III Tahun 2013 di Kantor Pusat mencakup Departemen, Divisi dan
Sub Direktorat di:

1) Direktorat Finance
2) Direktorat Marketing
3) Direktorat Sales
4) Direktorat Planning & Transformation
5) Direktorat Network
6) Direktorat Information Technology
7) Direktorat CEO Office
8) Direktorat Human Capital Management
c. Periode Pengujian
Periode transaksi yang diambil sebagai populasi yang diuji adalah transaksi
tanggal 1 September 2013 sampai dengan 31 Desember 2013.
d. Pemeringkatan Hasil Pengujian

Hasil pengujian dapat disajikan dengan peringkat dan kriteria sebagai berikut:
a. Sangat Baik jika kondisi atas hasil pengujian mempunyai kriteria sebagai
berikut:
1) Tidak terdapat temuan signifikan, disertai dengan sedikitnya pelanggaran
teknis maupun catatan pelanggaran
2) Temuan dalam laporan tidak membutuhkan tanggapan maupun saran
untuk memperbaiki tingkat efisiensi
b. Baik jika kondisi atas hasil pengujian mempunyai kriteria sebagai berikut:
1) Sedikit temuan dengan risiko sedang dan pada hakekatnya tidak
signifikan
2) Terdapat satu atau mungkin dua temuan dengan risiko tinggi (high), di
mana telah dikoreksi selama berlangsungnya audit dan tidak
mengakibatkan kewajiban atau kerugian bagi perseroan
3) Relatif terdapat sedikit temuan terkait pelanggaran teknis dimana temuan
tersebut dengan mudah dapat dikoreksi dengan waktu singkat, serta
adanya sedikit temuan dengan risiko sedang (medium)

c. Cukup Baik jika kondisi atas hasil pengujian mempunyai kriteria sebagai
berikut:
1) Terdapat beberapa temuan dengan risiko sedang (medium)
2) Terdapat temuan dalam jumlah yang relatif normal terkait dengan
pelanggaran teknis
3) Kombinasi angka 1 dan 2 diatas
4) Terdapat maksimal dua temuan dengan risiko tinggi
5) Terdapat temuan yang membutuhkan upaya rutin (reorganisasi, waktu
dan sumberdaya) untuk melakukan koreksi pada kegiatan usaha normal
d. Kurang jika kondisi atas hasil pengujian mempunyai kriteria sebagai berikut:
1) Terdapat tiga atau lebih temuan dengan risiko tinggi (high)
2) Terdapat pelanggaran teknis dalam jumlah relatif diatas normal disertai
dengan beberapa catatan temuan
3) Terdapat kelemahan pengendalian internal yang menimbulkan eksposur
diatas normal
4) Terdapat temuan yang membutuhkan upaya substansial (reorganisasi,
waktu atau sumberdaya) untuk koreksinya
5) Terdapat beberapa temuan yang dampaknya luas pada perseroan
6) Terdapat sejumlah pelanggaran teknis dan/atau temuan audit yang tidak
dapat diterima
7) Terdapat temuan yang tidak terselesaikan dalam laporan audit terdahulu
8) Terdapat pelanggaran signifikan terhadap hukum, peraturan atau
kebujakan yang berlaku
9) Terdapat kelemahan pengendalian internal atau kondisi lain yang
menimbulkan kerugian atau kewajiban bagi perseroan
10) Terdapat temuan signifikan seperti kecurangan, pencurian,
penyalahgunaan keuangan

BAB 4
PEMBAHASAN DAN ANALISIS
Bab ini berisi pembahasan mengenai implementasi ICoFR pada PT ABC,

pemahaman siklus pendapatan prepaid PT ABC, gambaran pengujian ICoFR PT
ABC yang mencakup Risk Control Matrix yang telah dibentuk divisi Internal
Audit PT ABC, pengujian ICoFR pada Siklus Pendapatan Prepaid PT ABC,
analisis implementasi monitoring PT ABC berdasarkan COSO Framework dan
COSO Monitoring Guidance 2009, dan analisis pengujian ICoFR pada Siklus
Pendapatan Prepaid PT ABC.
4.1 Implementasi Pengendalian Internal atas Pelaporan Keuangan

(ICoFR) pada PT ABC
Pendekatan yang dilakukan pihak Internal Audit perusahaan dan RSM

AAJ dalam memenuhi ketentuan Sarbanes-Oxley Act 404 terkait keefektifan
pengendalian internal atas pelaporan keuangan PT ABC telah sesuai dengan
langkah-langkah yang dikemukakan Moeller (2009) pada bukunya Sarbanes-
Oxley and the New Internal Auditing Rules, yakni:
- Organize the Section 404 compliance project approach

- Develop a project plan
- Identify, document, and test key internal controls
- Review compliance results with key stakeholders
- Complete report on the effectiveness of the internal control
structure
Organize the Section 404 compliance project approach
Pihak Internal Audit PT ABC membentuk divisi SOA khusus (Tim SOA
Testing) yang bekerja sama dengan RSM AAJ Associates untuk menilai
pengendalian internal atas pelaporan keuangan dalam perusahaan. Kerja sama
antara Tim RSM AAJ dan Tim PT ABC diperlukan untuk memastikan terjalinnya

komunikasi yang tepat waktu serta memastikan bahwa seluruh pekerjaan
terfasilitasi dengan baik. Dalam tim ini terdapat Steering Commitee khusus dari
PT ABC yang berfungsi sebagai Project Sponsor. Struktur tim SOA Sampling
dapat dilihat pada Gambar 4.1 di bawah ini.
Gambar 4.1: Struktur Tim SOA Testing PT ABC 2013
Sumber: RSM AAJ Associates (telah diolah kembali)
Develop a project plan
Sebelum proses pengujian ICoFR PT ABC dilakukan, IA PT ABC

menentukan timeline pengujian dan metodologi pengujian yang dijadikan
pedoman pelaksanaan pengujian ICoFR yang dilakukan oleh RSM AAJ. RSM
AAJ sebagai pihak yang melakukan pengujian ICoFR juga memiliki tahapan
perencanaan. Tahapan perencanaan yang dimiliki kedua pihak dirangkum dalam
Tabel 4.1 di bawah ini.

Tabel 4.1: Project Plan SOA Testing PT ABC & RSM AAJ
PT ABC RSM AAJ

• Periode Pengujian • Memahami sifat transaksi, proses
Periode transaksi yang diambil sebagai bisnis, jenis kontrol, dan lokasi
populasi yang diuji adalah transaksi pengujian serta pemilik proses bisnis.
tanggal 1 September 2013 s.d 31 • Memperoleh dan memahami
Desember 2013 metodologi pengujian PT ABC termasuk
• Testing Schedule kertas kerja audit, Format Pelaporan,
Desember 2013 - Februari 2014 untuk memastikan pendekatan standar
• Scope dengan PT ABC serta untuk memperoleh
TLC, ITGC, dan IT ELC pemahaman yang jelas tentang
• Deliverables ekspektasi perusahaan terhadap
Kertas kerja, draft fakta/temuan, pengujian ICoFR ini.
scoring, dan laporan pengujian • Mendapatkan versi RCM terbaru yang
konsolidasi akan digunakan sebagai dasar untuk
• Cakupan Test of Control memahami kontrol yang akan diuji dan
Risiko pelaporan keuangan dalam sebagai dasar untuk pengujian.
klasifikasi high risk dan moderate risk. • Mengembangkan dan menyelesaikan
• Prosedur Pengujian strategi dan rencana untuk pengujian
Reperformance, inspeksi, tanya jawab, SOA.
observasi, konfirmasi • Melakukan komunikasi dan koordinasi
• COSO Objective dengan Counterpart Team.
Financial Reporting Reliability • Menyepakati jadwal dan
• Review Team mengalokasikan sumber daya untuk
Team Leader RSM AAJ (Reviewer 1), keterlibatan.
Project Director RSM AAJ (Reviewer • Mengirimkan permintaan data awal dan
2), IA PT ABC (Final Reviewer). memperoleh data yang diminta.
Sumber: Diolah oleh Penulis
Terdapat standar format kertas kerja yang bertujuan untuk membantu

pemeriksa dalam melakukan pengujian dan mendokumentasikan pengujian.
Format kertas kerja terdiri dari:
 Kertas Kerja A, merupakan panduan pengerjaan kertas kerja, penentuan

sampel, dan menggambarkan pengujian secara keseluruhan.
 Kertas Kerja B, merupakan kertas kerja utama yang menampilkan
kesimpulan pengujian.
 Kertas Kerja C, merupakan hasil konfirmasi temuan dengan auditee.
 Kertas Kerja D, merupakan paparan hasil inspeksi/observasi/tanya jawab
untuk pengujian yang telah dilakukan.
 Kertas Kerja E, merupakan rincian hasil pengujian atas sampel transaksi.

 Kertas Kerja F, merupakan pencatatan hasil diskusi dan pertemuan dengan
auditee (Minutes of Meeting).
Format kertas kerja ini dapat dilihat pada lampiran 1.
Identify, document, and test key internal controls
RSM AAJ melakukan proses pengumpulan dan evaluasi pengendalian

internal perusahaan. Evaluasi pengendalian internal ditekankan pada risiko-risiko
yang cenderung tinggi (Moderate to High Risks) berdasarkan ketentuan yang
diterbitkan IIA. Teknik Evaluasi/Pengujian Pengendalian Internal yang digunakan
mencakup:
1. Tanya jawab/inquiry, pengujian dengan memberikan pertanyaan atas

kegiatan pengendalian yang dilakukan oleh pemilik proses pengendalian.
2. Observasi, pengujian dengan melakukan physical sighting atas efektivitas

atau progress pengendalian.
3. Inspeksi dokumen, pengujian terhadap dokumentasi dan otorisasi.
4. Reperformance, perhitungan ulang atas sampel transaksi untuk

mengkonfirmasi bahwa pengendalian telah dilakukan dengan efektif.
Setiap pengujian aktivitas pengendalian internal didokumentasikan dalam

sebuah Kertas Kerja Audit. Format kertas kerja audit telah dijelaskan pada bagian
sebelumnya.
Review compliance results with key stakeholders
Bila terjadi ketidaksesuaian antara atribut pengendalian dalam RCM

dengan praktik sebenarnya, terdapat langkah-langkah yang dapat dilakukan
assessor:
1. Mendokumentasikan bukti ketidaksesuaian yang terjadi.

2. Melakukan tanya jawab dengan pejabat yang berwenang untuk
mengidentifikasi penyebab terjadinya ketidaksesuaian.

3. Menentukan upaya perbaikan yang disarankan.
4. Mendapatkan tanggapan auditee terhadap ketidaksesuaian yang terjadi,
penyebab, upaya perbaikan, target penyelesaian, dan PIC untuk melakukan
perbaikan yang disarankan.
5. Menyiapkan tanggapan auditor terhadap tanggapan auditee.
6. Melakukan analisis lebih lanjut terhadap penyebab dan tanggapan auditee
atas terjadinya ketidaksesuaian aktivitas pengendalian intern dan membuat
kesimpulan atas efektivitas pengendalian intern pada keseluruhan proses
yang diuji.
7. Mengidentifikasi adanya compensating control dan melakukan pengujian
atas compensating control tersebut untuk memperoleh keyakinan bahwa
compensating control telah beroperasi secara efektif.
8. Mengidentifikasi akun-akun yang terpengaruh oleh ketidaksesuaian
tersebut berikut dengan saldonya.
Complete report on the effectiveness of the internal control structure
Setiap penilaian pada satu aktivitas pengendalian yang dilakukan oleh

assessor dilaporkan dalam bentuk Kertas Kerja dan di-review oleh pihak Internal
Audit PT ABC. Dari hasil pengujian yang dilakukan assessor dari konsultan RSM
AAJ, Tim SOA Audit PT ABC membuat Laporan Hasil Test of Control (TOC)
Head Office untuk setiap fase pada Tahun 2013 yang ditandatangani oleh General
Manager Financial Audit PT ABC yang berisi kesimpulan terkait tingkat
kepatuhan antara kebijakan pengendalian internal di Kantor Pusat untuk Fase 1, 2,
dan 3 Tahun 2013 dengan kriteria yang ada pada KD Standar Pemeringkatan
Hasil Audit (dapat dilihat pada Bab 3). Laporan akhir ini menyimpulkan tingkat
efektivitas struktur pengendalian internal atas pelaporan keuangan yang dilakukan
oleh perusahaan pada periode September – Desember 2013 dan dilaporkan kepada
Komite Audit PT ABC.

4.2 Pemahaman Siklus Pendapatan Prepaid PT ABC
Siklus pendapatan PT ABC pada dasarnya dapat dibagi berdasarkan

empat sumber: prabayar, pascabayar, interkoneksi, dan international roaming.
Pembahasan hanya dibatasi pada siklus pendapatan prabayar. Dari empat sumber
pendapatan tersebut, pendapatan dari produk prabayar memberikan kontribusi
terbesar, yakni sebesar 82,7% terhadap keseluruhan pendapatan PT ABC. Dalam
siklus pendapatan prabayar ini terdapat empat proses penting yang dapat dilihat
pada Gambar 4.2 di bawah, antara lain:
1. Penjualan Kartu/Voucher/E-voucher/Device prabayar
Penjualan Kartu/Voucher/E-voucher/Device prabayar dapat dilakukan

secara langsung (direct) maupun tidak langsung (indirect). Penjualan prabayar
secara indirect merupakan penjualan ke pelanggan yang bukan end-user langsung
melainkan melalui perantara, yakni Ritel Nasional, Authorized Dealer, Gerai dan
Multibanking. Penjualan ke Ritel Nasional, Authorized Dealer dan Gerai akan
dilakukan setelah mitra tersebut telah menyelesaikan pembayaran ke Perseroan.
Penjualan indirect dapat dikoordinasikan oleh Channel Management Kantor Pusat
dan Kantor Area. Penjualan prabayar secara direct merupakan penjualan ke
pelanggan yang merupakan end-user langsung, melalui cabang-cabang resmi
(Branch/Metro) di seluruh Indonesia.
2. Recharging
Recharging adalah proses penambahan atau pengurangan pulsa pelanggan.

Recharging dapat bersifat otomatis (automatic recharging), yang umumnya
berhubungan dengan pengisian pulsa pelanggan (Top Up) yang dapat dilakukan
melalui voucher fisik maupun e-voucher, dan juga bersifat manual (manual
recharging) yang merupakan pengesekusian penambahan/pengurangan pulsa
pelanggan prabayar yang diakibatkan oleh pengaduan pelanggan dan juga
diakibatkan oleh masalah yang berpengaruh pada pelanggan secara massal.

3. Prepaid Usage Calculation
Prepaid Usage Calculation merupakan proses penghitungan pemakaian

produk prabayar, serta memonitor penggunaan tarif agar sesuai dengan yang telah
ditetapkan. Prepaid Usage Calculation terdiri dari rating dan pemrosesan file
extract untuk pemakaian (usage), penambahan/pengurangan pulsa (recharge), dan
saldo (balance); Inject Value Tambahan (Bonus Tambahan); Point (setting
parameter, create point, dan penukaran poin), serta Mass Add/Offering yang
merupakan permintaan perubahan konfigurasi tarif dan penambahan parameter
(bonus spesial untuk nomor-nomor tertentu).
4. Month-End
Proses ini merupakan proses terakhir dalam siklus pendapatan prabayar

yang biasanya dilakukan pada akhir bulan dan mencakup pencatatan jurnal dan
analisis kewajaran jurnal yang tercatat.
Gambar 4.2: Siklus Pendapatan Prepaid PT ABC (Kantor Pusat)
Sumber: PT ABC (telah diolah kembali)
4.3 Gambaran Pengujian ICoFR PT ABC
Sebagai suatu bentuk pengawasan (monitoring), yang merupakan

komponen penting dalam kerangka pengendalian internal suatu perusahaan, divisi

SOA PT ABC yang terletak di bawah naungan Unit Internal Audit melakukan
pengujian kepatuhan atas SOA 404 untuk memeriksa efektivitas pengendalian
internal perusahaan terhadap pelaporan keuangan. Pengujian dilakukan untuk
mencapai objektif keandalan pelaporan keuangan (Financial Reporting
Reliability). Adapun aktivitas pengendalian yang diuji adalah aktivitas-aktvitas
pengendalian manual yang mempunyai risiko pelaporan keuangan dalam
klasifikasi high risk dan moderate risk, yang dilaksanakan oleh fungsi-fungsi di
Kantor Pusat, yang salah satunya mencakup siklus pendapatan prepaid (prabayar).
Pengawasan yang dilakukan oleh PT ABC untuk tahun 2013 terkait

pelaporan keuangan meliputi evaluasi dan prosedur pengujian yang
diimplementasikan secara ongoing ke dalam tiga fase dalam satu tahun dalam
rangka mengikuti perkembangan proses bisnis dan perubahan struktur organisasi.
Evaluasi kepatuhan terhadap peraturan SOA 404 dilakukan berlandaskan Risk
Control Matrix (RCM) yang telah disusun oleh Internal Audit dan manajemen PT
ABC dan dilakukan sepanjang berjalannya proses bisnis perusahaan dan
diaplikasikan untuk setiap level dalam perusahaan. Evaluasi/pengujian
pengendalian internal atas pelaporan keuangan perusahaan dilakukan oleh divisi
SOA PT ABC bekerjasama (co-sourcing) dengan RSM AAJ. Dalam proses
pengujian ICoFR, terdapat satu assessor (penguji), dan tiga orang yang bertugas
melakukan review atas pekerjaan yang telah dilakukan assessor. Dua di antaranya
adalah dari pihak RSM AAJ (Team Leader sebagai reviewer 1 & Project Director
sebagai reviewer 2) dan satu di antaranya dari pihak IA PT ABC yakni Pj.
Manajer Financial Compliance Audit (sebagai reviewer akhir). IA melakukan
peninjauan ulang akhir untuk meyakinkan bahwa pengujian telah dilakukan sesuai
dengan standar kualitas perusahaan dengan hasil yang aktual.
4.3.1 Risk Control Matrix (RCM) PT ABC
Setelah memahami struktur, standar, dan proses bisnis perusahaan secara

keseluruhan, Internal Audit PT ABC meninjau kemungkinan risiko yang terjadi
pada setiap aktivitas yang dilakukan dalam proses bisnis tersebut. Untuk menilai
risiko yang mungkin terjadi, Internal Audit PT ABC pertama-tama

mengidentifikasi akun-akun signifikan yang terdapat dalam laporan keuangan
perusahaan dan melakukan pemetaan proses bisnis utama dalam perusahaan. Dari
akun-akun signifikan yang berhubungan dengan proses bisnis utama tersebut,
pihak IA PT ABC menganalisis risiko yang mungkin terjadi untuk selanjutnya
digunakan dalam membangun disain pengendalian internal. Risiko-risiko yang
menjadi fokus utama PT ABC dalam menguji pengendalian internal terhadap
laporan keuangan adalah risiko-risiko menengah (moderate risk) dan tinggi (high
risk).
Penilaian risiko perusahaan beserta aktivitas pengendaliannya dijabarkan

oleh Internal Control Design & Monitoring Division (di bawah divisi Internal
Audit) dalam sebuah Risk Control Matrix (RCM). RCM merupakan dokumen
yang memuat seluruh aktivitas pengendalian di setiap unit operasi yang
teridentifikasi selama proses pemetaan, dokumentasi-dokumentasi terkait yang
menunjang aktivitas pengendalian, asersi laporan keuangan, pihak-pihak yang
bertanggung jawab pada setiap aktivitas pengendalian, frekuensi aktivitas
pengendalian, sistem IT penunjang dan risiko-risiko atas setiap aktivitas
pengendalian. RCM PT ABC dibuat dan disusun oleh pihak Internal Audit PT
ABC dengan bantuan konsultan dari luar, dan telah disetujui oleh manajemen
termasuk Business Process Owner dalam perusahaan. Pada dasarnya, RCM
merupakan sebuah tabel yang terdiri dari 3 elemen utama, yaitu Risiko (Risk),
Aktivitas Pengendalian (Control Activities), dan Atribut Pengendalian (Control
Attributes).
Elemen risiko meliputi i) risk description yang merupakan penjelasan atau

deskripsi atas risiko pada aktivitas bisnis, ii) risk caused yang merupakan kondisi
atau aktivitas pada suatu proses bisnis sebagai penyebab risiko, iii) risk level yang
merupakan tingkat keterjadian risiko dan dampaknya pada laporan keuangan,
dalam kasus ini risiko yang diuji adalah risiko High dan Moderate, iv) fraud risk
yang merupakan identifikasi atas risiko fraud dari sebuah risiko atau aktivitas,
untuk siklus pendapatan prepaid, seluruh risiko yang diidentifikasi memiliki
risiko fraud, dan v) COSO objectives yang merupakan dampak dari risiko
terhadap pencapaian COSO objectives.

Perusahaan kemudian menyusun disain pengendalian internal terkait
pelaporan keuangan dengan tujuan memitigasi risiko-risiko tersebut yang
mungkin terjadi pada saat pelaporan keuangan, khususnya risiko-risiko pada level
moderate to high. Elemen Aktivitas Pengendalian, terdiri dari i) description of
control activities yang merupakan penjelasan atau deskripsi atas aktivitas
pengendalian, ii) related financial statement assertions yang merupakan asersi-
asersi laporan keuangan terkait setiap aktivitas pengendalian:
Existence/Occurence (E/O), Completeness (C), Valuation/Allocation (V/A),
Rights & Obligation (RO), Presentation & Disclosure (PD), iii) type of control
yang merupakan jenis aktivitas pengendalian terkait: Manual, Automatic, dan IT
Dependent Manual, iv) nature of control yang merupakan sifat aktivitas
pengendalian terkait: Preventive, Detective, v) fraud control yang merupakan
identifikasi apakah aktivitas pengendalian terkait dapat memitigasi risiko fraud,
dan vi) key control yang merupakan identifikasi apakah aktivitas pengendalian
terkait merupakan aktivitas pengendalian inti atau tidak.
Sedangkan elemen Atribut Pengendalian terdiri dari i) description of

control attributes yang merupakan atribut-atribut pengendalian yang terdapat
dalam aktivitas pengendalian dan frekuensi aktivitas pengendalian dilakukan:
harian; mingguan; bulanan; tahunan; dst., ii) person in-charge yang merupakan
pemilik/penanggung jawab aktivitas pengendalian, iii) IT supporting application
yang merupakan sistem aplikasi yang digunakan untuk menunjang aktivitas
pengendalian terkait, dan iv) identification of compensating control yang
merupakan aktivitas pengendalian lainnya yang dapat memitigasi aktivitas
pengendalian.
Hal-hal yang perlu diketahui terkait aktivitas-aktivitas pengendalian pada

RCM Fase III untuk pengujian Siklus Pendapatan Prepaid PT ABC antara lain:
1. Objektif COSO yang ingin dicapai adalah Financial Reporting Reliability

(keandalan pelaporan keuangan).
2. Tipe pengendalian adalah IT Dependent Manual, yaitu pengendalian yang

membutuhkan beberapa tingkat keterlibatan sistem. Pengendalian ini

dilakukan secara manual oleh manusia dengan menggunakan informasi
yang dihasilkan oleh teknologi informasi.
3. Seluruh aktivitas pengendalian merupakan key control (aktivitas

pengendalian inti).
4. Tidak ada compensating control (aktivitas pengendalian lainnya yang

dapat mendukung aktivitas pengendalian utama). Hal ini terjadi karena
seluruh aktivitas pengendalian yang ada pada siklus pendapatan prepaid
merupakan aktivitas pengendalian utama (key controls), sehingga tidak
dibutuhkan aktivitas pengendalian pendukung.
5. Pemilik/penanggung jawab aktivitas pengendalian adalah Manager dari

masing-masing Departemen terkait.
4.4 Pengujian ICoFR pada Siklus Pendapatan Prepaid PT ABC
Pengujian ICoFR ini merupakan pengujian kepatuhan aktivitas

pengendalian internal yang dilakukan oleh manajemen dengan atribut
pengendalian yang tertera dalam RCM yang telah disesuaikan dengan risiko bisnis
yang dinilai dapat mempengaruhi pelaporan keuangan perusahaan secara
signifikan. Pengujian ICoFR pada Siklus Pendapatan Prabayar PT ABC
mencakup empat proses, penjualan Kartu/Voucher/E-voucher/Device prabayar,
Recharging, Prepaid Usage Calculation, dan Month-End, Recharging, Prepaid
Usage Calculation, dan Month-End. Pada siklus ini, terdapat sebanyak 29 kontrol
yang akan diuji kesesuaiannya berdasarkan RCM Fase III PT ABC.
4.4.1 Proses Penjualan Kartu/Voucher/E-voucher/Device prabayar
4.4.1.1 Penjualan Indirect (Penjualan Kartu/Voucher/e-Voucher kepada

Retail Nasional)
Dept. Retail Distribution Management di Kantor Pusat menerima

perencanaan (forecast) dan menghitung kuota penjualan ke Mitra. Dari proses

perhitungan tersebut, Dept. Retail Distribution Management bertanggung jawab
membuat Nota Dinas Quota Distribusi yang berisikan informasi mengenai jumlah
alokasi produk yang kemudian digunakan untuk membuat Surat Alokasi Produk
yang akan dikirimkan kepada Mitra Retail Nasional. Nota Dinas adalah alat
komunikasi tertulis internal antar pejabat satuan unit bisnis dalam suatu
perusahaan yang memuat pemberitahuan, permintaan, penjelasan, laporan dan
sebagainya mengenai hal-hal yang berhubungan dengan proses penggarisan atau
pematangan suatu kebijaksanaan atau proses penyesuaian persoalan/masalah.
Setelah Mitra Retail Nasional menerima Surat Alokasi Produk tersebut, Mitra
melakukan pembayaran ke rekening masing-masing regional dan menyerahkan
bukti pembayaran kepada Dept. Retail Distribution Management. Bukti transfer
tersebut kemudian digunakan untuk membuat Nota Dinas Alokasi Produk. Dept.
Cash Collection Control di Kantor Pusat menerima Nota Dinas Alokasi Produk
tersebut beserta bukti transfer untuk dibuat Nota Dinas Persetujuan Pengeluaran
E-Voucher. Kemudian Dept. Cash Collection Control melakukan verifikasi
kesesuaian antara Rekening Koran, bukti transfer, data penjualan dari
Paradise, dan Nota Dinas Persetujuan Pengeluaran e-voucher. Setelah proses
verifikasi dilakukan, Dept. Cash Collection Control membuat Nota Dinas Info
Pembayaran dan mendistribusikannya kepada Dept. Finance Regional.
Berdasarkan Nota Dinas Quota Distribusi, Sales Order dibuat dalam

sistem Paradise. Paradise merupakan sistem yang digunakan dalam end-to-end
Management SIM Card dan Voucher yang meliputi perencanaan, pengadaan,
produksi, distribusi, dan penjualan ke end user dan dealer yang dikelola oleh
Dept. Supply & Resource Management sebagai penanggung jawab dan
application developer serta Dept. Channel Capacity & Distribution Management
sebagai application owner. Setelah dibuat dalam sistem Paradise, dilakukan
release SO berdasarkan Nota Dinas Quota Distribusi kemudian Formulir
Permintaan Produk PT ABC yang disetujui didistribusikan kepada Dept. Finance
Regional. Proses ini dapat dilihat pada flowchart Lampiran 2.
Dalam melakukan verifikasi kesesuaian antara Rekening Koran, bukti

transfer, data penjualan dari Paradise, dan Nota Dinas Persetujuan Pengeluaran e-
voucher, terdapat risiko ketidaksesuaian yang mungkin terjadi dan berdampak

signifikan pada pelaporan keuangan. Pada sistem Paradise juga terdapat risiko
yang berdampak pada pelaporan keuangan perusahaan. Risiko beserta aktivitas
pengendaliannya dirangkum dalam Tabel 4.2 di bawah.
Tabel 4.2: RCM penjualan indirect kepada Retail Nasional
Panel A: Risiko pada subproses penjualan indirect kepada Retail Nasional
Risiko Pelaporan Risk Fraud

Penyebab Risiko
Keuangan Level Risk
[PRE-01] A. Jumlah penerimaan atas
Penerimaan tunai dan penjualan kartu/voucher/e-
proses transfer rekening voucher dan device yang
atas penjualan didistribusikan (input stock)
kartu/voucher/e- kepada Retail Nasional tidak
voucher/device (termasuk sesuai dengan pencatatan dan
PSB (Pemasangan pembayaran yang diterima.
Sambungan Baru) kartu
postpaid) serta B. Penetapan harga dan diskon Moderate Yes
penerimaan piutang kartu penjualan kartu/voucher/e-
postpaid (tunai dan non- voucher/device tidak sesuai
H2H) dan pencatatannya dengan penetapan harga/diskon
tidak lengkap/tidak yang dikeluarkan oleh perusahaan
akurat. dan PKS (Perjanjian Kerja Sama)
yang telah disetujui sebelumnya.
Panel B: Aktivitas pengendalian pada subproses penjualan indirect kepada Retail

Nasional
No.
Kontrol Atribut Kontrol Status
Kontrol
PRE-01- A1. Melakukan verifikasi 1. Terdapat Nota Dinas
A-01 atas jumlah penerimaan Persetujuan Pengeluaran E-
penjualan e-voucher serta Voucher dari Dept. Cash
jumlah e-voucher yang akan Collection Control kepada Dept. Comply
didistribusikan kepada Retail Card and Voucher Inventory
Nasional dengan pencatatan and Distribution untuk
transaksi penjualannya dalam melakukan distribusi.
sistem Paradise. 2. Terdapat tanda tangan pejabat
berwenang pada Nota Dinas
Asersi: C, E/O, A Comply
Persetujuan Pengeluaran E-
Nature of Control: Detective Voucher.

No.
Kontrol
Frequency: 3. Nilai dan jumlah penjualan e-
Transactional/Multiple Times Voucher pada Sales Order dari
per Day Paradise sesuai dengan:
Fraud Control: Yes - jumlah penerimaan uang pada
IT Supporting Application:
rekening koran dan bukti
Paradise Comply
setornya.
- jumlah e-voucher yang
didistribusikan pada Nota Dinas
Persetujuan Pengeluaran E-
Voucher.
4. Terdapat tanda tangan
pejabat berwenang pada Sales Comply
Order.
PRE-01- B1.Memeriksa kesesuaian 1. Terdapat Nota Dinas atau
A-09 harga dan diskon untuk Justifikasi untuk penetapan
Comply
penjualan kartu/voucher/e- harga dan diskon penjualan
voucher/device yang di- kartu/voucher/e-voucher.
setting dalam Sistem 2. Parameter Sales Price,
Paradise terhadap Nota Dinas parameter Sales Component dan
atau Justifikasi setiap tabel Price & Discount List di-
terjadinya perubahan set sesuai dengan Nota Dinas Comply
kebijakan. atau Justifikasi perubahan/
penambahan/ pengurangan
Asersi: C, E/O, A harga/diskon.
Nature of Control: Preventive 3. Terdapat tanda tangan pejabat
Frequency:
berwenang sebagai bukti review
Transactional/Multiple Times
per Day bahwa harga dan diskon yang
Fraud Control: Yes di-setting dalam Paradise telah
sesuai dengan kebijakan yang Comply
Paradise berlaku. Note: Proses ini
meliputi seluruh aktivitas di
siklus Postpaid dan Prepaid.
PRE-01- B2. Memeriksa kesesuaian 1. Terdapat Nota Dinas atau
A-10 harga dan diskon atas Justifikasi untuk penetapan
penjualan kartu/voucher/e- harga dan diskon atas penjualan Comply
voucher/device yang kartu/voucher/e-voucher/device.
ditetapkan dalam sistem
Paradise terhadap Nota Dinas 2. Parameter Sales Price,
atau Justifikasi yang berlaku parameter Sales Component dan
secara periodik. tabel Price & Discount List di-
set sesuai dengan Nota Dinas Comply
Asersi: C, E/O, A atau Justifikasi perubahan/
Nature of Control: Detective penambahan/ pengurangan
Frequency: Monthly harga/diskon.
Fraud Control: Yes 3. Terdapat tanda tangan Pejabat
IT Supporting Application: berwenang sebagai bukti review
Paradise
atas pemeriksaan yang
Comply
dilakukan. Note: Proses ini
meliputi seluruh kegiatan di
siklus Postpaid dan Prepaid.
Sumber: PT ABC (diolah kembali)

Untuk kontrol PRE-01-A-01, dari 162 populasi yang merupakan seluruh
transaksi penjualan e-voucher ke Retail Nasional oleh Kantor Pusat selama
periode September – Desember 2013, hanya diambil 45 sampel berdasarkan
ketentuan sampling untuk frekuensi transaksional yang ditentukan oleh divisi
SOA PT ABC (dapat dilihat pada Tabel 3.4). Adapun dokumen pendukung yang
diinspeksi adalah Nota Dinas Pengiriman e-voucher, rekening koran, dan bukti
setor/giro. Untuk kontrol PRE-01-A-09, dari 32 populasi yang merupakan seluruh
Nota Dinas Justifikasi Harga & Diskon Periode September – Desember 2013,
diambil seluruh 32 menjadi sampel. Adapun dokumen pendukung yang diinspeksi
adalah Nota Dinas Justifikasi Harga & Diskon, Tabel Harga Penjualan & Diskon,
dan Nota Dinas yang menyatakan setting harga dan diskon telah sesuai Nota
Dinas Justifikasi Harga & Diskon.
Untuk kontrol PRE-01-A-10, dari 4 populasi yang merupakan seluruh

Nota Dinas Justifikasi Harga & Diskon selama periode September – Desember
2013, hanya diambil 3 sampel dari periode September, Oktober, dan November
2013 berdasarkan ketentuan sampling untuk frekuensi transaksi bulanan (dapat
dilihat pada Tabel 3.4). Adapun unit sampling yang digunakan antara lain Nota
Dinas Justifikasi Harga & Diskon, Tabel Harga Penjualan & Diskon, Nota Dinas
yang menyatakan setting harga dan diskon telah sesuai Nota Dinas Justifikasi
Harga & Diskon, dan Kertas Kerja Pemeriksaan Setting Harga/Diskon di Sistem
Paradise.
Berdasarkan hasil pengujian, aktivitas pengendalian beserta atributnya

untuk proses penjualan indirect kepada Retail Nasional telah dijalankan dengan
baik dan sesuai dengan Risk Control Matrix PT ABC untuk periode September –
Desember 2013.
4.4.1.2 Penjualan Indirect (Penjualan Kartu/Voucher/e-Voucher kepada

Authorized Dealer)
Dept. Distributor Management melakukan perencanaan (forecast) untuk

penjualan kartu/voucher/e-voucher yang merupakan salah satu proses dalam
siklus persediaan. Proses perencanaan tersebut menghasilkan Nota Dinas Quota

Distribusi yang merupakan kuota penjualan ke Authorized Dealer. Nota Dinas ini
kemudian disampaikan kepada dua pihak, yakni Dept. General Affair Area untuk
tujuan proses distribusi dan kepada masing-masing Authorized Dealer (AD).
Setelah Nota Dinas Quota Distribusi disampaikan kepada masing-masing AD,
pejabat berwenang membuat Sales Order untuk Dealer dan menginput jumlah
penjualan dalam sistem Paradise. Setelah diinput, pejabat berwenang mencetak
SO Released (rekap) berdasarkan Nodin Quota Distribusi kepada Dept. Treasury
Area/ Dept. Finance Regional.
Setelah Dept. Treasury Area menerima Nodin Quota Distribusi & SO

Released Report dari Channel Management Area, dilakukan pembandingan
kecukupan dana pada Saldo Rekening Koran Dealer dengan Rekap SO Released.
Bila dana tidak cukup, dilakukan konfirmasi Channel Management Area bahwa
dana tidak cukup untuk auto collection (autodebit pendapatan dari setiap Bank
yang digunakan Dealer). Bila dana mencukupi, dilakukan approval 1 pada sistem
e-Bank (pendebitan) sesuai Nodin SO Released dari Rekening Dealer ke
Rekening Koran PT ABC, dan selanjutnya membuat dan mengirimkan Daftar
Persetujuan Pendebitan Auto Collection ke Dept. Cash Management untuk
dilakukan approval 2 (final). Approval 2 (final) dilakukan dengan melihat
kecukupan dana pada Rekening Koran Dealer dengan Daftar Persetujuan Auto
Collection dari Area dan menginformasikan ke Area bahwa telah di-approve.
Setelah Approval 2, Dept. Treasury Area di Kantor Area membuat dan
mengirimkan Daftar Persetujuan Auto Collection yang telah didisain oleh pejabat
berwenang ke Cash Collection Control. Dept. Cash Collection Control di Kantor
Pusat kemudian melakukan verifikasi atas kesesuaian jumlah uang yang
masuk lewat autocollection dengan pencatatan di Paradise dan melakukan
SO ‘Paid’. Selanjutnya Nodin SO Paid dibuat untuk disampaikan ke Dept.
Treasury Area/Dept. Finance Regional untuk mencetak kuitansi. Aktivitas ini
dapat dilihat pada flowchart Lampiran 3.
Risiko tidak sesuainya jumlah uang yang masuk lewat autocollection

dengan pencatatan di Paradise dan aktivitas pengenadalian yang telah ditetapkan
dapat diuji berdasarkan Tabel 4.3 di bawah ini.

Tabel 4.3: RCM penjualan indirect kepada Authorized Dealer
Panel A: Risiko pada subproses penjualan indirect kepada Authorized Dealer
Fraud
Risiko Pelaporan Keuangan Penyebab Risiko Risk Level
Risk
[PRE-01]
Penerimaan tunai dan proses
transfer rekening atas
penjualan kartu/voucher/e-
voucher/device (termasuk PSB
kartu postpaid) serta
-*
penerimaan piutang kartu Moderate Yes
postpaid (tunai dan non-H2H)
dan pencatatannya tidak
lengkap/tidak akurat.
*PT ABC tidak memaparkan penyebab risiko pada RCM-nya.
Panel B: Aktivitas pengendalian pada subproses penjualan indirect kepada Authorized

Dealer
No.
Kontrol
PRE- Melakukan verifikasi 1. Terdapat Laporan Status
01-A-07 kesesuaian atas Autocollection Mitra AD (berisi
kesesuaian jumlah uang informasi terkait dengan nama Mitra
Comply
yang masuk rekening PT AD, Data Bank, Jumlah Collection
ABC berdasarkan proses dan Status Autocollection.
autocollection dengan
pencatatan di Paradise. 2. Jumlah penerimaan uang yang
masuk ke rekening perusahaan telah
sesuai dengan:
Asersi: V/M - Jumlah Sales Order "Released"
Nature of Control: - Jumlah uang dari rekening Comply
Detective Authorized Dealer yang terpotong
Frequency: dalam proses autocollection.
Transactional/Multiple
Times per Day
Fraud Control: Yes 3. SO "Paid" dilakukan setelah
IT Supporting pembayaran/uang Autocollection
Application: Paradise Comply
efektif berada pada rekening
perusahaan.
4. Nota Dinas Autocollection dibuat
setelah proses SO "Paid" dilakukan. Comply
5. Terdapat bukti review pejabat
berwenang pada SO "Paid" dan Comply
Laporan Status Collection Mitra AD.

No.
Kontrol
6. Terdapat bukti penyampaian Nota
Dinas Autocollection kepada regional
sebagai instruksi bahwa uang telah
Comply
masuk ke rekening perusahaan dan
proses distribusi dapat dilakukan.
Dari jumlah total 64 populasi yang merupakan seluruh transaksi

penjualan e-voucher ke Authorized Dealer oleh Kantor Pusat selama periode
September – Desember 2013, diambil 45 sampel untuk diuji berdasarkan
ketentuan sampling untuk frekuensi Transaksional (dapat dilihat pada Tabel 3.4).
Adapun dokumen pendukung yang dijadikan unit sampling adalah Laporan Status
AutoCollection Mitra AD, Sales Order, dan Rekening Koran.
Berdasarkan hasil pengujian kontrol PRE-01-A-07 terkait verifikasi

kesesuaian jumlah uang yang masuk lewat autocollection dengan pencatatan di
Paradise, aktivitas pengendalian beserta atributnya telah sesuai dengan Risk
Control Matrix PT ABC.
4.4.1.3 Penjualan Indirect (Multibanking)
Setelah Dept. Workflow, Provisioning & Dept. Product Management

melakukan distribusi e-Voucher dan proses penambahan stok untuk multibanking
pada siklus persediaan, dilakukanlah penjualan dan pencatatan transaksi penjualan
e-voucher secara otomatis yang akan dimasukkan ke dalam database bank/
switching provider. Dari database bank/switching provider tersebut, terdapat dua
aktivitas yang harus dilakukan: (1) menerbitkan rekening koran atas penerimaan
penjualan e-voucher, dan (2) menghasilkan data detail dan summary transaksi
penjualan harian e-voucher. Dari aktivitas (2), Dept. Collection Assurance di
Kantor Pusat melakukan rekonsiliasi penjualan secara harian antara data
penjualan e-voucher dari bank dengan data recharging di URP yang
merupakan aplikasi penjualan voucher isi ulang PT ABC menggunakan kartu fisik
dan yang melalui bank; dan OCS yang merupakan Billing System yang dimiliki

PT ABC. Selanjutnya, rekonsiliasi penjualan antara URP dan data bank tersebut
beserta Rekening Koran yang diterbitkan dari aktivitas (1) digunakan Dept. Cash
Collection Control di Kantor Pusat untuk melakukan rekonsiliasi antara data
transaksi penjualan e-voucher dengan penerimaan di Bank (rekening koran).
Proses ini dapat dilihat pada flowchart Lampiran 4. Risiko pada proses ini beserta
aktivitas pengendaliannya dirangkum pada Tabel 4.4 di bawah.
Tabel 4.4: RCM penjualan indirect (multibanking)
Panel A: Risiko pada subproses penjualan indirect (multibanking)
Risiko Pelaporan Risk

Penyebab Risiko Fraud Risk
Keuangan Level
[PRE-01] A. Pencatatan penerimaan atas
Penerimaan tunai dan transaksi penjualan e-voucher
proses transfer dari Multibanking tidak sesuai
rekening atas dengan pencatatan penggunaan
penjualan e-voucher (dengan status
kartu/voucher/e- "used") pada URP-Elektronik.
voucher/device B. Terdapat perbedaan antara
(termasuk PSB kartu data penjualan e-voucher
postpaid) serta (multibanking) dengan nilai Moderate Yes
penerimaan piutang penerimaannya pada rekening
kartu postpaid (tunai koran.
dan non-H2H) dan
pencatatannya tidak
lengkap/tidak akurat.
Panel B: Aktivitas pengendalian pada subproses penjualan indirect (multibanking)
No.
Kontrol
PRE- A1. Melakukan verifikasi 1. Jumlah serial number e-voucher
01-A-02 atas jumlah transaksi yang telah digunakan (status
penjualan e-voucher \'used\') di URP-Elektronik sama
multibanking (dari dengan jumlah e-voucher yang
Switching Provider*) terjual berdasarkan data dari
dalam satu periode dengan switching provider. Selisih yang Comply
jumlah e-voucher yang terjadi harus diidentifikasi, dengan
telah digunakan (dengan didokumentasikan secara memadai MoM
status "used") di URP- dan diinformasikan kepada Dept.
Elektronik Payment System Management, ERP
Management, Cash Collection
Control untuk ditindaklanjuti.

No.
Kontrol
Asersi: C, E/O, A 2. Terdapat tanda tangan pejabat
Nature of Control: Detective berwenang sebagai bukti
Frequency: Daily persetujuan pada Laporan
Fraud Control: Yes
Comply
Rekonsiliasi (secara bulanan).
URP Elektronik
PRE- B1. Melakukan verifikasi 1. Jumlah penerimaan di rekening
01-A-03 atas data penerimaan koran sesuai dengan hasil
penjualan e-voucher rekonsiliasi recharging
multibanking dengan multibanking dari Dept. Collection
rekening koran. Selisih Assurance setelah
yang terjadi telah mempertimbangkan faktor komisi
ditindaklanjuti. penjualan/fee yang telah disepakati
oleh pejabat yang berwenang. Comply
Selisih yang terjadi telah
Asersi: C, E/O, A diidentifikasi, ditindaklanjuti dan
Nature of Control: Detective didokumentasikan secara memadai.
Frequency: Daily
Fraud Control: Yes
IT Supporting Application: -
Keterangan:
*PT ABC telah bekerjasama dengan swtiching provider (Artajasa) yang telah memiliki jaringan
ATM Bersama yang bekerjasama dengan lebih dari 67 Bank.
Untuk kontrol PRE-01-A-02, dari total 122 populasi yang merupakan

seluruh Kertas Kerja Rekonsiliasi Transaksi e-voucher selama periode September
– Desember 2013, hanya diambil 30 sampel berdasarkan ketentuan sampling
untuk frekuensi harian yang ditentukan oleh divisi SOA PT ABC (dapat dilihat
pada Tabel 3.4). Adapun dokumen pendukung yang menjadi unit sampling adalah
Kertas Kerja Rekonsiliasi Transaksi e-voucher. Begitu juga dengan kontrol PRE-
01-A-03, dari total 122 populasi yang merupakan seluruh Kertas Kerja
Rekonsiliasi transaksi penjualan e-voucher multibanking selama periode
September – Desember 2013, hanya diambil 30 sampel (berdasarkan Tabel 3.4).
Dokumen pendukung yang menjadi unit sampling pengujian pengendalian ini
adalah Laporan Penjualan e-voucher (dari Switching Provider), Laporan
Rekapitulasi Penjualan e-voucher Autorefill, dan Rekening Koran.

Setelah pengujian atribut kontrol nomor 1 dilakukan melalui inspeksi
dokumen untuk pengendalian PRE-01-A-02 terkait proses rekonsiliasi penjualan
secara harian antara data penjualan e-voucher dari bank dengan data recharging di
URP dan OCS, ditemukan bahwa terdapat ketidaksesuaian antara deskripsi atribut
pengendalian pada RCM dengan praktik yang dilakukan selama periode pengujian
September hingga Desember 2013. Berdasarkan RCM di atas, atribut
pengendalian nomor 1, selisih yang terjadi harus diidentifikasi, didokumentasikan
secara memadai dan diinformasikan kepada: Dept. Payment System Management,
Dept. ERP Management dan Dept. Cash Collection Control; untuk
ditindaklanjuti. Namun, berdasarkan hasil pengujian pada periode September –
Desember 2013, tidak terdapat bukti selisih yang diinformasikan kepada Dept.
ERP Management.
Menindaklanjuti hal tersebut, penguji melakukan tanya jawab (inquiry)

kepada pihak terkait. Berdasarkan hasil wawancara dengan Head of Non
Subscriber AR Control and Collection Assurance Section, penyebabnya adalah
Dept. ERP Mgt. tidak terlibat dalam proses verifikasi maupun tindak lanjut atas
jumlah transaksi recharge e-voucher untuk channel bank dan non-bank melalui
URP. Fungsi Departemen ERP Management adalah sebagai penanggung jawab
untuk aplikasi Redbrick, yaitu sistem aplikasi yang digunakan untuk proses
rekonsiliasi transaksi recharge. Sampai dengan tanggal pengujian, pihak yang
perlu diinformasikan terkait selisih adalah: GM Accounting Controller &
Reporting Treasury Division, GM. Channel Partnership Management Division,
GM. Corporate and Community Service & Operation Division, GM. Digital
Business Marketing Communications Division, GM. IT Mission Critical VAS
Aplication Mgt. Division (Divisi dari Dept. Payment System Management), GM.
IT Charging and Billing Application Mgt. Division, GM. Remote Payment and
Banking Division, GM. Service and Customer Care Operation Division, GM.
Treasury Division (Divisi dari Dept. Cash Collection Control).
Berdasarkan hasil pengujian, nama Departemen Fraud Monitoring &

Collection Assurance juga belum disesuaikan dengan nama pada struktur
organisasi terbaru dan RCM untuk Fase III yaitu Departemen Collection
Assurance selama periode pengujian September – Oktober 2013. Klarifikasi dan

keterangan dari Head of Non Subscriber AR Control and Collection Assurance
Section ini untuk kontrol PRE-01-A-02 didokumentasikan dalam Minutes of
Meeting pada Kertas Kerja F dan ditandatangani oleh pihak yang diwawancara
dan pihak yang mengetahui, Manager Collection Assurance Department, dan
dilaporkan kepada Pj. Manajer Financial Compliance Audit PT ABC.
Sedangkan, untuk kontrol PRE-01-A-03, jumlah penerimaan di rekening

koran telah sesuai dengan hasil rekonsiliasi recharging multibanking dari Dept.
Collection Assurance, dan tidak terdapat selisih yang perlu ditindaklanjuti selama
periode September – Desember 2013, sehingga atribut pengendalian pada kontrol
ini terpenuhi.
4.4.1.4 Penjualan Direct – Branch/Metro
Proses ini mencakup siklus Postpaid. Pelanggan melakukan pembelian

dan pembayaran kartu/voucher/e-voucher/device secara tunai/debit card/credit
card. Selanjutnya, cabang/branch tersebut mencatat penjualan, melakukan “paid”
dan mencetak kuitansi dalam/dari Paradise serta melakukan verifikasi yang
sebagian masuk ke dalam Siklus Postpaid sebagai penerimaan penjualan
kartu/device (termasuk PSB kartupostpaid, fitur, atau layanan postpaid) serta
penerimaan piutang kartu postpaid. Branch tersebut kemudian menyiapkan
kartu/voucher/e-voucher/device atau melakukan eksekusi penjualan e-voucher.
Pada akhir hari, branch mencetak Selling Report dari Sistem Paradise dan
membandingkannya dengan kuitansi dan fisik uang yang diterima.
Dari Selling Report, kuitansi, dan uang yang diterima, cabang lalu
mencetak Daily Cashier Report dari Sistem Paradise. Kasir melakukan serah
terima dan perhitungan uang hasil penjualan dengan Supervisor Shop ditandai
dengan adanya Berita Acara Perhitungan Uang (BAPU). Pejabat berwenang
kemudian memeriksa kesesuaian jumlah penjualan antara Daily Cashier Report
Paradise, BAPU yang ditandatangani, dan jumlah uang yang diterima. Setelah
sesuai, Branch/Metro menyiapkan slip setoran dan menyetorkan uang hasil
penjualan kartu/voucher/e-voucher/device ke bank regional. Dept. Finance

Regional kemudian menarik data transaksi setoran Branch/Metro dan memonitor
setoran atas penerimaan prepaid dari Branch/Metro ke rekening bank kantor
regional secara harian.
Dept. Treasury Area selanjutnya melakukan transfer otomatis atas

penerimaan penjualan direct Branch/Metro ke rekening bank kantor pusat. Pejabat
berwenang kemudian membuat Laporan Pengendali Rekening Koran secara
harian berdasarkan data dari Rekening Koran. Lalu Dept. Cash Collection Control
di Kantor Pusat melakukan monitoring atas pemindahan dana otomatis dari
Regional ke rekening bank pooling Kantor Pusat. Aktivitas ini dapat dilihat
pada flowchart Lampiran 5. Risiko pada proses ini beserta aktivitas
pengendaliannya dirangkum dalam Tabel 4.5 di bawah ini.
Tabel 4.5: RCM penjualan direct melalui Branch/Metro
Panel A: Risiko pada subproses penjualan direct melalui Branch/Metro
Risiko Pelaporan Risk

Penyebab Risiko Fraud Risk
Keuangan Level
[PRE-01] Terdapat kesalahan
Penerimaan tunai dan jumlah transfer atau
proses transfer rekening nomer rekening pada
atas penjualan proses pemindahan
kartu/voucher/e- dana otomatis dari
voucher/device (termasuk rekening bank kantor
PSB kartu postpaid) serta Regional ke rekening Moderate Yes
penerimaan piutang kartu bank Kantor Pusat .
postpaid (tunai dan non-
H2H) dan pencatatannya
tidak lengkap/tidak akurat.

Panel B: Aktivitas pengendalian pada subproses penjualan direct melalui Branch/Metro
No.
Kontrol
PRE-01- Melakukan rekonsiliasi atas 1. Jumlah penerimaan piutang
A-06 penerimaan Piutang Kartu Kartu Postpaid (H2H) yang
Postpaid (H2H) di rekening masuk ke rekening Collection
Collection Kantor Pusat Kantor Pusat sesuai dengan:
serta memonitor - Cash Book Report (OCS)
pemindahan dana dari - Rekening Koran Collection
rekening Collection Kantor Kantor Pusat
Regional (Prepaid dan - Data penerimaan piutang
Comply
Postpaid) ke rekening Cookies (OCS) H2H hasil validasi
dengan
Pooling Kantor Pusat. Dept. Collection Assurance.
MoM
Selisih yang terjadi telah
Asersi: V/M diidentifikasi, ditindaklanjuti dan
Nature of Control: Detective didokumentasikan secara
Frequency: Monthly memadai. Terdapat bukti review
Fraud Control: Yes dan tanda tangan Pejabat
IT Supporting Application: -
Berwenang atas Dokumen
Rekonsiliasi Penerimaan Piutang
H2H.
2. Jumlah pemindahan dana ke
rekening Pooling Kantor Pusat
sesuai dengan dana yang diterima
dari rekening Kantor Regional
dan rekening Collection Kantor
Pusat atas seluruh penerimaan
Postpaid dan Prepaid. Selisih
yang terjadi telah diidentifikasi, Comply
ditindaklanjuti dan
didokumentasikan secara
memadai. Terdapat bukti review
dan tanda tangan Pejabat
Berwenang atas Dokumen
Validasi Bank Pooling Kantor
Pusat.
3. Mengirimkan Dokumen
Rekonsiliasi Penerimaan Piutang
H2H dan Dokumen Validasi Bank
Pooling Kantor Pusat ke Dept.
Prepaid Revenue Accounting dan
Dept Postpaid & Other Revenue
Accounting serta Dept. Financial Comply
Reporting.
Note: Proses ini meliputi seluruh
kegiatan di siklus Postpaid dan
Prepaid.

Dikarenakan populasi yang merupakan seluruh daftar dokumen
rekonsiliasi penerimaan piutang H2H (host to host) selama periode September –
Desember 2013 berjumlah tiga, keseluruhan populasi dijadikan unit sampel untuk
diuji (berdasarkan Tabel 3.4). Adapun dokumen pendukung yang diinspeksi
antara lain Dokumen Rekonsiliasi Penerimaan Piutang H2H, Cash Book Report
Cookies (OCS), Rekening Koran Collection Kantor Pusat, Rekening Koran
Collection Kantor Regional, Rekening Koran Pooling Kantor Pusat, Data
penerimaan piutang Cookies (OCS) H2H hasil validasi Dept. Fraud Monitoring &
Collection Assurance, dan Dokumen Validasi Bank Pooling Kantor Pusat.
Setelah pengujian pengendalian nomor PRE-01-A-06 melalui inspeksi

dokumen terkait monitoring atas pemindahan dana otomatis dari Regional ke
rekening bank pooling Kantor Pusat, ditemukan bahwa terdapat ketidaksesuaian
antara deskripsi pada atribut 1 pada RCM dengan praktik yang dilakukan selama
periode pengujian September – Desember 2013. Berdasarkan RCM Fase III PT
ABC, atribut nomor 1 menyebutkan bahwa jumlah penerimaan piutang kartu
Postpaid (H2H) yang masuk ke rekening Collection Kantor Pusat sesuai dengan:
a. Cash Book Report (OCS)

b. Rekening Koran Collection Kantor Pusat
c. Data penerimaan piutang Cookies (OCS) H2H hasil validasi Dept. Fraud
Monitoring & Collection Assurance
Namun, berdasarkan praktik yang dilakukan, tidak terdapat Cash Book Report
sehingga atribut pengendalian nomor 1 tidak bisa dilakukan oleh penguji.
Menindaklanjuti hal tersebut, penguji melakukan tanya jawab (inquiry) kepada
pejabat berwenang. Berdasarkan hasil wawancara dengan Head of Cash
Collection Control Dept., dan Head of Postpaid and Others Cash Collection
Control Section, diperoleh informasi bahwa:
1. Nama dokumen pada (i) seharusnya adalah “Log data enter payment OCS”
bukan “Cash Book Report”.
2. Data penerimaan piutang hasil validasi Dept. Collection Assurance tidak
dapat dibandingkan dengan data penerimaan piutang pada Log data enter
payment OCS dikarenakan data penerimaan piutang yang diterima dari Dept.

Collection Assurance bukan merupakan data yang dibutuhkan oleh Dept.
Cash Colletion untuk melakukan rekonsiliasi rekening koran. Akan tetapi,
jumlah penerimaan piutang kartu Postpaid (H2H) yang masuk ke rekening
Collection Kantor Pusat telah sesuai dengan data penerimaan piutang Log
data enter payment OCS untuk 3 sampel pengujian selama periode September
– Desember 2013.
Kondisi di atas telah didiskusikan dengan Tim Internal Audit PT ABC.

Penguji (assessor) kemudian mendokumentasikan ketidaksesuaian antara
deskripsi atribut pengendalian pada RCM tersebut dengan praktik yang dilakukan
selama periode pengujian September – Desember 2013 pada MoM, untuk
selanjutnya ditandatangani oleh Head of Postpaid and Others Cash Collection
Control Section dan Head of Cash Collection Control Department, dan dilaporkan
kepada Pj. Manajer Financial Compliance Audit PT ABC.
4.4.2 Proses Recharging
4.4.2.1 Automatic Recharging (Voucher Fisik)
Saat dilakukan recharging atau pengisian ulang pulsa dengan

memasukkan nomor HRN dari voucher, sistem IVR pada Dept. Channel System
Management di Kantor Pusat akan menerima informasi dari pelanggan atas
recharging yang dilakukan. IVR kemudian menyampaikan informasi HRN ke
URP melalui ORECS. ORECS adalah aplikasi yang digunakan sebagai gateway
recharge dari channel internal PT ABC dan juga dari kerjasama recharge dengan
operator luar negeri. URP kemudian melakukan verifikasi otomatis nomor HRN
dan update otomatis status nomor HRN dari active menjadi used. Bagi transaksi
recharging yang berhasil divalidasi oleh sistem URP, maka informasi terkait
transaksi recharging yang telah berhasil divalidasi tersebut akan dikirimkan ke
sistem Online Charging System (OCS) untuk dilakukan penambahan pulsa
prepaid ke nomor yang bersangkutan sesuai dengan nilai voucher. Proses ini
dapat dilihat pada flowchart Lampiran 6.

Dalam sistem ORECS, terdapat risiko-risiko yang berdampak signifikan
terdapat pelaporan keuangan. Risiko beserta aktivitas pengendaliannya terangkum
dalam Tabel 4.6 di bawah ini.
Tabel 4.6: RCM Automatic Recharging (Voucher Fisik)
Panel A: Risiko pada subproses Automatic Recharging Voucher Fisik
Risiko Pelaporan
Penyebab Risiko Risk Level Fraud Risk
Keuangan
[PRE-03] Terdapat proses
Pengakuan unearned recharging yang
revenue* dan usage tidak dilakukan oleh pihak
lengkap dan tidak akurat yang tidak berwenang
akibat penyalahgunaan akibat kesalahan Moderate Yes
recharging atau kesalahan parameter/konfigurasi
setting parameter. di ORECS
Panel B: Aktivitas pengendalian pada subproses Automatic Recharging Voucher Fisik
No.
Kontrol
PRE-03- Melakukan proses 1. Terdapat Nota Dinas:
B-10 UAT**/testing proses serta - permintaan update
verifikasi atas kesesuaian parameter/konfigurasi program di
parameter/konfigurasi di ORECS dan URP (termasuk
ORECS dan URP permintaan pembuatan dan/atau
(termasuk pembuatan perubahan dan/atau penghapusan Comply
dan/atau Penghapusan Bucket Recharge URP, jika ada) dengan
Bucket Recharge URP, jika - Pengajuan loading data inject MoM
ada) serta pengajuan discount tambahan (bagi pelanggan
loading data inject discount tertentu) di URP Fisik-Elektronik
tambahan berdasarkan oleh pejabat berwenang Dept.
kebijakan berlaku dengan Channel System Management
yang diupdate di sistem. sesuai kebijakan perusahaan.

No.
Kontrol
Asersi: C, E/O, A 2. Eksekusi:
Nature of Control: Preventive - setting perubahan parameter di
Frequency: Event-based ORECS dan URP (termasuk
Fraud Control: Yes pembuatan dan/atau perubahan
IT Supporting Control:
dan/atau penghapusan Bucket
ORECS, URP (Fisik &
Elektronik) Recharge) telah diset up unit
terkait sesuai NODIN permintaan
update Parameter dari Dept.
Channel System Management.
Comply
- Jumlah Data loading Inject
discount tambahan bagi pelanggan
tertentu di URP Fisik-Elektronik
sesuai pengajuan dari Dept.
Channel System Management.
Apabila terdapat ketidaksesuaian
maka harus didokumentasikan dan
ditindaklanjuti kepada pihak
terkait.
3. Terdapat tanda tangan pejabat
berwenang Dept. Channel System
Management, Dept. Payment
System Management dan Dept.
Customer Profile & Inventory
Comply
Assurance serta Dept terkait
dengan
lainnya pada dokumentasi hasil
MoM
perubahan/penambahan parameter,
pembuatan dan/atau penghapusan
Bucket Recharge URP serta BA
loading data inject discount
tambahan (jika ada).
4. Mengirimkan dokumen terkait
disertai lampiran Nodin request
dari business user kepada Dept. Comply
Assurance.
Sumber PT ABC (telah diolah kembali)
Keterangan:
*Pendapatan diterima dimuka (unearned revenue) adalah penerimaan kas atau bentuk
penerimaan lainnya yang menyebabkan bertambahnya kekayaan Perseroan dan atas penerimaan
tersebut Perseroan mempunyai kewajiban untuk memberikan layanan jasa telekomunikasi kepada
pemakai.
**UAT (User Acceptance Test) adalah aktivitas pengujian yang dilakukan untuk memastikan
bahwa perubahan atau modifikasi yang dilakukan telah sesuai dengan kebutuhan dan spesifikasi
yang ditentukan (Proses testing perubahan parameter/tarif sebelum dilempar ke pasar).

Dari total 5 populasi yang merupakan seluruh Nota Dinas permintaan
perubahan dan/atau penambahan parameter ORECS atau URP dan/atau
pembuatan dan/atau penghapusan Bucket Recharge URP selama periode
September – Desember 2013, diambil keseluruhan lima sampel untuk diuji.
Adapun dokumen pendukung yang menjadi unit sampling adalah Nota Dinas
permintaan perubahan dan/atau penambahan parameter ORECS atau URP
dan/atau pembuatan dan/atau penghapusan bucket recharge URP,
dokumentasi/Berita Acara Perubahan Parameter ORECS/URP, dokumentasi hasil
pembuatan/update/penghapusan bucket recharge URP, dan dokumen konfirmasi
ke Customer Profile & Inventory Assurance.
Setelah pengujian atribut kontrol nomor 1 dan 2 dilakukan melalui

inspeksi dokumen untuk pengendalian PRE-03-B-10, ditemukan bahwa terdapat
ketidaksesuaian antara deskripsi atribut pengendalian pada RCM dengan praktik
yang dilakukan selama periode pengujian September hingga Desember 2013.
Ditemukan bahwa tidak terdapat Nota Dinas Pengajuan loading data inject
discount tambahan (bagi pelanggan tertentu) di URP Fisik - Elektronik oleh
pejabat berwenang Dept. Channel System Management sesuai kebijakan
perusahaan (terkait atribut 1) dan tidak terdapat tanda tangan pejabat berwenang
Dept. Channel System Management, Dept. Payment System Management dan
Dept. Customer Profile & Inventory Assurance serta departemen terkait lainnya
pada dokumentasi hasil perubahan/penambahan parameter, pembuatan dan/atau
penghapusan Bucket Recharge URP serta BA loading data inject discount
tambahan (jika ada).
Menindaklanjuti hal ini, penguji melakukan wawancara dengan Pj.

Manager Channel System Management Departement. Berdasarkan wawancara
tersebut diperoleh keterangan sebagai berikut:
1. Tidak terdapat pengajuan loading data inject discount tambahan (bagi

pelanggan tertentu) di URP Fisik - Elektronik oleh pejabat berwenang Dept.
Channel System Management sesuai kebijakan perusahaan selama periode.
2. Tidak diperlukan tanda tangan pejabat berwenang dari Departemen Customer

Profile & Inventory Assurance untuk dokumentasi hasil

perubahan/penambahan parameter, pembuatan bucket URP. Bukti persetujuan
pejabat berwenang tersebut hanya diperlukan pada saat dilakukan validasi
terhadap sisa stock/saldo pada bucket yang akan ditutup.
Loading data inject discount tambahan dilakukan bila ada perubahan

parameter program bonus untuk pelanggan tertentu. Untuk periode ini tidak ada
perubahan parameter program bonus, sehingga tidak terdapat Nota Dinas
Pengajuan loading data inject discount tambahan (bagi pelanggan tertentu) di
URP Fisik - Elektronik oleh pejabat berwenang Dept. Channel System
Management yang diminta pada atribut 1. Dari hasil wawancara pada poin 2 juga
diketahui bahwa terdapat perubahan prosedur dari fase sebelumnya, sehingga
atribut pengendalian pada RCM berbeda dengan praktik yang dilakukan selama
periode pengujian fase III. Kedua kondisi di atas telah didiskusikan dengan Tim
Internal Audit PT ABC dan assessor mendokumentasikan ketidaksesuaian antara
deskripsi atribut pengendalian pada RCM dengan praktik yang dilakukan selama
periode pengujian September – Desember 2013 ini pada MoM (Kertas Kerja F).
4.4.2.2 Automatic Recharge (E-Voucher)
Recharging e-voucher dapat dilakukan melalui dua aplikasi, aplikasi

distribusi e-voucher dealer dan Aplikasi X. Aplikasi X merupakan aplikasi
penjualan voucher isi ulang PT ABC menggunakan USSD (Unstructured
Supplementary Service Data), fungsinya adalah melayani dan mengatur seluruh
aktivitas voucher isi ulang secara elektronik yang menggunakan USSD. Bila
proses recharge e-voucher dilakukan melalui aplikasi distribusi e-voucher dealer,
Dept. Payment System Management bertanggung jawab memeriksa kecukupan
persediaan e-voucher yang telah dialokasikan ke dalam URP. Bila persediaan e-
voucher cukup, Dept. Channel System Management di Kantor Pusat mengubah
status e-voucher di URP dari pending menjadi used dan menambah saldo prepaid
pelanggan di OCS. Proses ini dapat dilihat pada flowchart Lampiran 7.
Dalam sistem URP, khususnya URP Elektronik untuk penjualan e-

voucher, terdapat risiko-risiko yang dapat terjadi dan berpengaruh terhadap

pelaporan keuangan perusahaan. Risiko beserta aktivitas pengendaliannya dapat
dilihat pada Tabel 4.7 di bawah ini.
Tabel 4.7: RCM Automatic Recharging (e-voucher)
Panel A: Risiko pada subproses Automatic Recharge (e-voucher)
Risiko Pelaporan Fraud

Penyebab Risiko Risk Level
Keuangan Risk
[PRE-03] Terdapat penggunaan bucket
Pengakuan unearned revenue recharge URP oleh pihak yang
dan usage tidak lengkap dan tidak berwenang.
tidak akurat akibat
penyalahgunaan recharging Moderate Yes
atau kesalahan setting
parameter.
Panel B: Aktivitas pengendalian pada subproses Automatic Recharge (e-voucher)
No.
Kontrol
PRE-03- Melakukan monitoring 1. Terdapat kertas kerja review
B-11 secara periodik atas bucket atas Bucket Owner dan Stok
recharge URP yang telah Recharge URP terhadap kebijakan Comply
berjalan agar sesuai dengan perusahaan.
kebijakan perusahaan dan
menginformasikan 2. Penambahan dan/atau
ketidaksesuaian yang perubahan Bucket owner maupun
terjadi (jika ada) ke stok Recharge sesuai dengan Nota
departmen terkait untuk Dinas permintaan, Jika terdapat
ditindaklanjuti. ketidaksesuaian harus Comply
ditindaklanjuti dan
Asersi: C, E/O, A memadai.
Nature of Control: Detective
Frequency: Quarterly
Fraud Control: Yes 3. Terdapat bukti review yang
IT Supporting Control: URP ditandatangani oleh pejabat
berwenang Dept. Channel System
Management dan Dept. Payment
System Mgt. serta departemen Comply
terkait lainnya pada kertas kerja
selama 1 kuartal.

No.
Kontrol
4. Mengirimkan dokumen review
disertai lampiran Nodin request
Dept. Channel System
Comply
Management, kepada Dept.
Assurance.
Dari total 2 populasi yang merupakan seluruh dokumen kertas kerja

review bucket owner dan stock recharge URP selama periode September –
Desember 2013, diambil keseluruhan 2 sampel dari periode September dan
Desember 2013 berdasarkan ketentuan Tabel 3.4 untuk frekuensi quarterly.
Dokumen pendukung yang menjadi unit sampling pengujian pengendalian ini
adalah Nota Dinas permintaan pembuatan bucket recharge URP dan Kertas Kerja
Review bucket owner dan stock recharge URP.
Berdasarkan hasil pengujian, aktivitas pengendalian beserta atributnya

untuk proses recharging untuk e-voucher telah dijalankan dengan baik dan sesuai
dengan Risk Control Matrix PT ABC untuk periode September – Desember 2013.
4.4.2.3 Manual Recharging (Komplain Pelanggan)
Komplain/pengaduan pelanggan diajukan kepada customer service bila

terjadi “drop pulsa” atau kegagalan proses recharging. Komplain tersebut lalu
diterima dan dicatat ke dalam log book oleh Customer Service Staff. Logbook
tersebut langsung disambungkan kepada Dept. Call Center Operation Bandung
yang merupakan pusat pengaduan pelanggan PT ABC. Dept. Call Center
Operation Bandung dan Dept. Self Care lalu melakukan proses filtering atas
nomor MSISDN pelanggan yang lolos untuk dilakukan recharge. Selanjutnya,
nomor MSISDN yang telah divalidasi diberikan status approve atau reject yang
akan diserahkan kepada departemen eksekutor terkait.
Dept. Call Center Management kemudian menerima seluruh data nomor

MSISDN dari requestor yang telah di-approve untuk dilakukan manual
recharging. Namun sebelumnya, dilakukan verifikasi kembali apakah memang

benar nomor MSISDN tersebut layak untuk dilakukan manual recharging. Setelah
proses verifikasi dilakukan, Dept. Call Center Management membuat dan
mencetak Berita Acara Eksekusi Manual Recharging dan melakukan eksekusi
manual recharging di sistem OCS. Proses ini dapat dilihat pada Lampiran 8.
Dalam melakukan eksekusi manual recharging tersebut, terdapat risiko-

risiko yang berdampak signifikan terdapat pelaporan keuangan. Risiko beserta
aktivitas pengendaliannya terangkum dalam Tabel 4.8 di bawah ini.
Tabel 4.8: RCM Manual Recharging berdasarkan komplain pelanggan
Panel A: Risiko pada subproses Manual Recharging berdasarkan komplain pelanggan
Risiko Pelaporan
Keuangan
[PRE-03] Jumlah manual
Pengakuan unearned recharging yang
revenue dan usage tidak dilakukan tidak sesuai
lengkap dan tidak akurat dengan complaint
akibat penyalahgunaan pelanggan atau terdapat Moderate Yes
recharging atau kesalahan manual recharging yang
setting parameter. tidak diotorisasi oleh
pihak yang berwenang.
Panel B: Aktivitas pengendalian pada subproses Manual Recharging berdasarkan

komplain pelanggan
No.
Kontrol
PRE- Memeriksa validitas data 1. Melakukan pemeriksaan
03-B-05 atas seluruh permintaan terhadap Log Book Info
manual recharge (manual Complaint beserta dokumen
refund) dari unit berwenang pendukungnya atas komplain
sebelum dieksekusi di OCS. kegagalan recharge yang berasal
Comply
dari Dept. Call Center Operation
Asersi: C, E/O, A Bandung dan Dept. Self Care
Nature of Control: Preventive sebelum melakukan manual
Frequency: recharge (manual refund) di
Transactional/Multiple Times OCS.
per Day
Fraud Control: Yes
2. Tidak terdapat duplikasi record
IT Supporting Control: OCS, atas pengajuan manual Recharge Comply
(manual refund).

No.
Kontrol
INDIRA, Tool RUBI 3. Jika terdapat hasil investigasi
yang membutuhkan tindak lanjut,
ditujukan kepada Dept. Rating &
Charging Mgmt. dan harus Comply
memadai.
4. Terdapat bukti review dan
tandatangan pejabat berwenang
atas Laporan Eksekusi Manual Comply
Recharge (manual refund) secara
bulanan.
Dari total 56.306 populasi yang merupakan seluruh kegagalan recharge

pada Logbook Info Complaint selama periode September – Desember 2013,
diambil keseluruhan 45 sampel untuk diuji mengkuti ketentuan SOA Sampling
frekuensi Transaksional pada Tabel 3.4. Adapun dokumen pendukung yang
menjadi unit sampling antara lain Logbook Info Complaint (yang berisi screenshot
aplikasi Rubi meliputi nomor transaksi, deskripsi permasalahan, nomor komplain,
tanggal eksekusi, dan tanggal deadline.), Laporan Eksekusi Manual Recharging di
OCS, dan Dokumen Pendukung atas kegagalan recharging.
Berdasarkan hasil observasi, inspeksi dokumen, dan wawancara dengan

Manager Call Center Management Department, diperoleh informasi bahwa:
1. Laporan Eksekusi Manual Recharging dibuat secara harian, yaitu pada atribut
4 bukti review dan tandatangan pejabat berwenang yang diminta atas
dokumen tersebut adalah secara bulanan.
2. Mekanisme untuk memastikan tidak terdapatnya duplikasi record atas

pengajuan manual recharge (atribut 2) adalah sebagai berikut:
o Departemen Call Center Operation Bandung dan Departemen Self Care

melakukan input data Komplain Pelanggan pada sistem aplikasi Ruby, jika
terdapat data Komplain pelanggan yang sama, maka akan dilakukan reject
secara otomatis oleh sistem aplikasi tersebut. Dengan demikian tidak

terdapat duplikasi data komplain pelanggan sebelum data tersebut
dikirimkan kepada Call Center Management melalui sistem Aplikasi Ruby.
o Departemen Call Center Management menerima log-book info complaint

pelanggan dari Departemen Call Center Operation Bandung dan
Departemen Self Care melalui sistem aplikasi Ruby dan mengunduh
informasi komplain pelanggan tersebut ke dalam bentuk file excel.
o Untuk memastikan kembali tidak terdapat duplikasi record dari informasi

komplain pelanggan tersebut, eksekutor dari Departemen Call Center
Management akan melakukan sortir secara manual pada file excel.
Berdasarkan hasil pengujian tersebut, aktivitas pengendalian beserta

atribut untuk proses manual recharging berdasarkan komplain pelanggan telah
dijalankan dengan baik dan sesuai dengan Risk Control Matrix PT ABC untuk
periode September – Desember 2013.
4.4.2.4 Manual Recharge
Dept. Prepaid, Postpaid, dan Broadband Internet Development

menyeleksi dan mendokumentasikan progam bonus atau promosi yang akan
diimplementasikan. Selanjutnya Dept. Analytical and Micro Segment
Development di Kantor Pusat melakukan feasibility analysis yaitu business
assessment dan secara bersamaan Dept. Rating and Charging Management juga
melakukan feasibility analysis yang mencakup market analysis dan technical
assessment. Bersama marketing dan tim teknis, detil spesifikasi disusun dalam
Nota Dinas implementasi program bonus/promosi. Dept. Collection Assurance
menerima Nota Dinas Mass Manual Recharging di OCS untuk implementasi
program bonus/promosi dari product owner terkait. Selanjutnya Dept. Collection
Assurance melakukan verifikasi kesesuaian manual recharging (dimulai dari
modul channel penjualan sampai ke OCS) yang akan menghasilkan sebuah
data rekonsiliasi recharge. Proses tersebut dapat dilihat pada Lampiran 9.
Dalam melakukan verifikasi kesesuaian manual recharging, terdapat

risiko-risiko yang berdampak signifikan terdapat pelaporan keuangan. Risiko

beserta aktivitas pengendaliannya terangkum dalam RCM pada Tabel 4.9 di di
bawah ini.
Tabel 4.9: RCM Manual Recharging
Panel A: Risiko pada subproses Manual Recharging
Risiko Pelaporan
Keuangan
[PRE-03] Terdapat penambahan
Pengakuan unearned revenue saldo kredit
dan usage tidak lengkap dan pelanggan di OCS
tidak akurat akibat yang tidak sesuai
penyalahgunaan recharging dengan yang Moderate Yes
atau kesalahan setting seharusnya.
parameter.
Panel B: Aktivitas pengendalian pada subproses Manual Recharging
No.
Kontrol
PRE- Melakukan verifikasi atas 1. Terdapat dokumentasi hasil
03-B-02 manual recharging serta verifikasi kesesuaian manual
menginformasikan ke recharging berdasarkan data log Comply
departemen terkait untuk OCS.
ditindaklanjuti.
2. Jumlah manual recharging
Asersi: A, V/M OCS sesuai dengan:
Nature of Control: Detective - Permintaan manual recharging
Frequency: Monthly
karena delay recharge dan
Fraud Control: Yes
IT Supporting Control: OCS
kesalahan pengurangan saldo
pelanggan berdasarkan komplain
pelanggan yang terdapat dalam
Berita Acara Manual Recharging
dari Dept. Problem and Mass
Escalation Solution.
-Top up pulsa prepaid yang akan
ditagihkan dalam Billing
Comply
postpaid pelanggan corporate,
berdasarkan Berita Acara Dept.
Corporate and Community
Operation Support.
-Jumlah yang harus direcharge
ke OCS berdasarkan Nota Dinas
Program Manual Recharging
(program bonus, dll) dari pejabat
yang berwenang (jika ada).
Selisih yang terjadi harus
diidentifikasi, didokumentasikan
secara memadai dan

No.
Kontrol
ditindaklanjuti ke Dept. Rating
& Charging, Dept. Problem and
Mass Escalation Solution serta
unit terkait lainnya.
berwenang sebagai bukti review
pada dokumentasi hasil
verifikasi kesesuaian manual Comply
recharging dengan data log OCS
dan mengirimkan ke departemen
terkait untuk ditindaklanjuti.
Dari total 3 populasi yang merupakan seluruh Berita Acara Manual

Recharge (Manual Recharge karena Delay Recharge dan Manual Recharge Top
Up Pulsa Pelanggan Corporate) selama periode September – Desember 2013,
diambil keseluruhan 3 sampel untuk diuji mengikuti ketentuan SOA Sampling PT
ABC pada Tabel 3.4. Adapun dokumen pendukung yang menjadi unit sampling
antara lain Log Manual Recharging OCS, Laporan Manual Recharging OCS
(Dept. IT Rating & Charging), Berita Acara Manual Recharge (Dept. Problem
Escalation), Berita Acara Top Up Pulsa pelanggan corporate (Dept. Operational
Support), Nota Dinas Program Manual Recharging (Program Bonus, dll.), dan
Dokumentasi Hasil Verifikasi kesesuaian manual recharging.
Berdasarkan wawancara dengan Head of Non Subscriber AR Control and

Collection Assurance Section, tidak terdapat Nota Dinas Program Manual
Recharging (program bonus, dll.) dari pejabat yang berwenang selama periode
September - Desember 2013. Namun secara umum, aktivitas pengendalian beserta
atribut untuk proses manual recharging telah dijalankan dengan baik dan sesuai
dengan Risk Control Matrix PT ABC untuk periode September – Desember 2013.
4.4.2.5 Recharging (Monitoring)
Setelah proses recharging sukses dilakukan, proses monitoring atas

manual recharging telah dilakukan, dan data rekonsiliasi recharge telah dibuat,
Dept. Collection Assurance melakukan verifikasi kesesuaian seluruh

recharging secara end-to-end dan melakukan validasi komplain pelanggan.
Dari proses verifikasi tersebut dibuat sebuah Kertas Kerja Verifikasi OCS, URP,
dan Aplikasi X (aplikasi penjualan voucher isi ulang PT ABC menggunakan
USSD. Fungsinya adalah melayani dan mengatur seluruh aktivitas voucher isi
ulang secara elektronik yang menggunakan USSD). Kertas Kerja ini kemudian
disampaikan kepada departemen terkait untuk dilakukan perbaikan. Dept.
Collection Assurance wajib membuat Summary Hasil Laporan Kinerja Bulanan
sebagai hasil akhir dari verifikasi bulanan kepada Divisi Revenue Assurance.
Kertas Kerja ini juga digunakan oleh Dept. Payment System Management, Dept.
Billing & Customer Management, dan Dept. Rating & Charging Management
untuk menindaklanjuti temuan Dept. Collection Assurance atas
ketidaksesuaian jumlah recharging antara OCS, URP, dan Aplikasi X. Proses
ini dapat dilihat pada Lampiran 10.
Dalam melakukan verifikasi kesesuaian seluruh recharging secara end-

to-end dan melakukan validasi komplain pelanggan dan menindaklanjuti temuan
Dept. Collection Assurance atas ketidaksesuaian jumlah recharging antara OCS,
URP, dan Aplikasi X, terdapat risiko-risiko yang berdampak signifikan terdapat
pelaporan keuangan. Risiko beserta aktivitas pengendaliannya terangkum dalam
RCM pada Tabel 4.10 di bawah ini.
Tabel 4.10: RCM Recharging (Monitoring)
Panel A: Risiko pada subproses Recharging (Monitoring)
Risiko Pelaporan
Keuangan
[PRE-03] A. Terdapat
Pengakuan unearned revenue ketidaksesuaian
dan usage tidak lengkap dan antara jumlah
tidak akurat akibat recharging OCS
penyalahgunaan recharging dengan jumlah
atau kesalahan setting voucher dan e- Moderate Yes
parameter. voucher yang menjadi
used pada modul
channel penjualan.

Risiko Pelaporan
Keuangan
B. Terdapat proses
recharging yang
dilakukan oleh pihak
yang tidak
berwenang.
Panel B: Aktivitas pengendalian pada subproses Recharging (Monitoring)
No.
Kontrol
PRE-03- A1. Melakukan verifikasi 1. Melakukan verifikasi kesesuaian
B-03 kesesuaian seluruh data Recharging INDIRA, yang
recharging secara end to bersumber dari OCS, URP, dan
end (dimulai dari modul Aplikasi X secara End to End.
Comply
channel penjualan sampai Selisih yang terjadi harus
ke OCS) ditindaklanjuti dan
memadai.
Asersi: A, V/M 2. Jumlah transaksi recharging dari
Nature of Control: Detective OCS telah dibandingkan dengan:
Frequency: Monthly - transaksi recharging voucher dan
Fraud Control: Yes e-voucher dari URP(Fisik
IT Supporting Control: URP
Fisik, URP Elektronik,
&Elektronik)
Aplikasi X, OCS INDIRA - transaksi recharging e-voucher
dari aplikasi X. Comply
Apabila terdapat transaksi
recharging OCS, yang tidak
teridentifikasi, maka harus
didokumentasikan secara memadai
dan ditindaklanjuti kepada
departemen terkait.
3. Terdapat bukti review oleh
pejabat berwenang terhadap Kertas
Kerja Verifikasi Recharging End Comply
to End.
4. Terdapat bukti tindak lanjut

(dalam bentuk NODIN konfirmasi)
atas selisih yang terjadi di:
- OCS: dikirimkan ke Dept. Rating
& Charging Management dan
Dept. Billing & Customer Mgmt. Comply
- URP (Fisik & Elektronik) dan
Aplikasi X: dikirimkan ke Dept.
Payment System Management

No.
Kontrol
PRE-03- B1. Menindaklanjuti 1. Terdapat nota dinas dari
B-04 temuan Dept. Collection Collection Assurance mengenai
Assurance atas ketidaksesuaian jumlah recharging
ketidaksesuaian jumlah secara end to end (dimulai dari
Comply
recharging di modul modul channel penjualan sampai
channel penjualan. ke OCS) terkait Recharging di
aplikasi URP (Fisik & Elektronik)
dan Aplikasi X.
Asersi: A, V/M 2. Terdapat dokumentasi atas
Nature of Control: Detective tindak-lanjut mengenai
Frequency: Monthly ketidaksesuaian jumlah recharging
Fraud Control: Yes Comply
di URP (Fisik & Elektronik) &
IT Supporting Control: OCS,
Aplikasi X.
URP (Fisik & Elektronik),
Aplikasi X
3. Terdapat bukti review pejabat
berwenang atas hasil
investigasi/tindak lanjut yang Comply
dilakukan.
4. Mengirimkan Nota dinas

sebagai bukti tindak-lanjut temuan
ke Dept. Collection Assurance. Comply
PRE-03- A2. Menindaklanjuti 1. Terdapat nota dinas dari

B-07 temuan Dept. Collection Collection Assurance mengenai
Assurance atas ketidaksesuaian jumlah recharging Not
ketidaksesuaian jumlah secara end to end (dimulai dari Applica
recharging secara end to modul channel penjualan sampai ble
end (dimulai dari modul ke OCS). (N/A)
channel penjualan sampai
ke OCS).
2. Terdapat dokumentasi atas Not
Asersi: E/O, V/M tindak-lanjut mengenai Applica
Nature of Control: Detective ketidaksesuaian jumlah ble
Frequency: Event-based recharging. (N/A)
Fraud Control: No
IT Supporting Control: URP 3. Terdapat bukti review pejabat Not
Fisik, URP Elektronik, berwenang atas hasil Applica
Aplikasi X, OCS investigasi/tindak lanjut yang ble
dilakukan. (N/A)
4. Terdapat nota dinas sebagai Not
bukti tindak lanjut temuan ke Dept. Applica
Collection Assurance. ble
(N/A)

Untuk kontrol PRE-03-B-03, dari total 4 populasi yang merupakan
seluruh Kertas Kerja Rekonsiliasi Recharging End-to-End selama periode
September – Desember 2013, diambil 3 sampel dari periode September, Oktober,
dan November 2013 untuk diuji mengikuti ketentuan SOA Sampling PT ABC
pada Tabel 3.4. Adapun dokumen pendukung yang menjadi unit sampling antara
lain Log Recharging OCS (dari INDIRA), Log Recharging URP Fisik &
Elektronik (dari INDIRA), Log Recharging Aplikasi X (dari INDIRA), Kertas
Kerja Verifikasi Recharging End to End, dan Nota Dinas Konfirmasi atas Selisih.
Untuk kontrol PRE-03-B-04, dari total 4 populasi yang merupakan seluruh Nota
Dinas tindak lanjut atas hasil ketidaksesuaian jumlah recharging dari Fraud
Monitoring & Collection Assurance selama periode September – Desember 2013,
diambil 3 sampel dari periode September, Oktober, dan November untuk diuji
mengikuti ketentuan SOA Sampling PT ABC pada Tabel 3.4. Adapun dokumen
pendukung yang menjadi unit sampling antara lain Nota Dinas tindak lanjut atas
hasil ketidaksesuaian jumlah recharging dari Fraud Monitoring & Collection
Assurance dan dokumentasi tindak lanjut temuan (Berita Acara Tindak Lanjut
Ketidaksesuaian Recharge).
Untuk kontrol PRE-03-B-07, tidak terdapat temuan Dept. Collection

Assurance atas ketidaksesuaian jumlah recharging secara end to end (dimulai
dari modul channel penjualan sampai ke OCS) pada periode pengujian September
- Desember 2013, sehingga kontrol ini tidak dapat diuji karena tidak adanya
populasi, hal ini telah dikonfirmasi oleh Manager Rating & Charging
Management Dept. dan Manager Billing & Customer Management Dept. dan
telah dicatat dalam MoM oleh penguji. Atas dasar ini, kedua pengendalian ini
dinyatakan N/A atau Not Applicable.

atribut untuk proses manual recharging (monitoring) telah dijalankan dengan baik
dan sesuai dengan Risk Control Matrix PT ABC untuk periode September –
Desember 2013.

4.4.2.6 Sistem OCS
Selain risiko-risiko di atas, terdapat risiko khusus terkait ketidakakuratan

saldo unused dan outpayment dari produk prepaid yang disebabkan oleh
ketidaksesuaian eksekusi perpanjangan masa berlaku kartu dalam sistem OCS.
Pengakuan pendapatan unused (outpayment) adalah pengakuan pendapatan
Perseroan yang disebabkan telah berakhirnya masa berlaku penggunaan voucher
atau voucherless sesuai dengan informasi yang telah diketahui oleh pemakai.
Risiko beserta aktivitas pengendaliannya dapat dilihat pada RCM Tabel 4.11 di
bawah ini.
Tabel 4.11: RCM Perpanjangan Masa Berlaku Kartu
Panel A: Risiko pada proses perpanjangan masa berlaku kartu
Risiko Pelaporan
Keuangan
[PRE-06] Terdapat
Saldo unused dan perpanjangan masa
outpayment dari produk berlaku kartu yang
prepaid tidak akurat. tidak sesuai dengan Moderate Yes
permintaan dari pihak
yang berwenang.
Panel B: Aktivitas pengendalian pada proses perpanjangan masa berlaku kartu
No.
Kontrol
PRE-06- Melakukan verifikasi 1. Terdapat Berita Acara Hasil
B-19 atas kesesuaian eksekusi Eksekusi Perpanjangan Masa
perpanjangan masa Berlaku Kartu di sistem OCS
berlaku kartu di Sistem sebagai bukti bahwa verifikasi atas
OCS. kesesuaian eksekusi perpanjangan Comply
masa berlaku kartu sesuai dengan
Asersi: E/O Nota Dinas permintaan dari
Nature of Control: pejabat yang berwenang telah
Detective dilakukan.

No.
Kontrol
Frequency: Event-based 2. Terdapat tanda tangan pejabat
Fraud Control: Yes berwenang dari Dept.Cust.Profile
IT Supporting Control: & Inventory Assurance dan
OCS Dept.Rating & Charging pada Comply
Berita Acara Hasil Eksekusi
Perpanjangan Masa Berlaku Kartu
di OCS.
Dari total 50 populasi yang merupakan seluruh Nota Dinas Permintaan

Perpanjangan Masa Berlaku Kartu dari pejabat berwenang selama periode
September – Desember 2013, diambil sejumlah 45 untuk diuji (sesuai Tabel 3.4).
Untuk kontrol ini, dokumen pendukung yang menjadi unit sampling antara lain
Berita Acara Hasil Eksekusi Perpanjangan Masa Berlaku Kartu di sistem OCS
dan Nota Dinas Permintaan Perpanjangan Masa Berlaku Kartu dari pejabat
berwenang.

atribut untuk eksekusi perpanjangan masa berlaku kartu di sistem OCS telah
dijalankan dengan baik dan sesuai dengan Risk Control Matrix PT ABC untuk
periode September – Desember 2013.
4.4.3 Proses Prepaid Usage Calculation
4.4.3.1 Rating
Untuk menginiasikan produk atau nomor baru yang akan dijual, Dept.
Prepaid Development membuat Nota Dinas Peluncuran Produk Baru/pengeluaran
nomor baru. Nota Dinas tersebut kemudian disampaikan kepada tim tarif dan
Dept. Service Control and Recharging System Operation Support untuk proses
loading. Selanjutnya Dept. Service Control and Recharging System Operation
Support dan tim tarif melakukan test call untuk setiap peluncuran produk baru
maupun pengeluaran nomor baru. Dept. Billing Assurance dan Prepaid

Development akan memeriksa kesesuaian paramater tarif dari sistem dengan
kebijakan untuk setiap peluncuran produk baru. Sedangkan untuk produk
yang sudah ada, Dept. Billing Assurance dan Prepaid Development memeriksa
kesesuaian parameter rating lainnya (cell ID, prefix, IDN) dengan kebijakan
Perusahaan dan menginformasikan ketidaksesuaian yang terjadi (jika ada) ke
departemen terkait untuk ditindaklanjuti. Proses ini dapat dilihat pada flowchart
Lampiran 11.
Dalam melakukan pemeriksaan kesesuaian parameter tarif untuk produk

baru dan parameter rating lainnya untuk produk yang ada, terdapat risiko-risiko
yang berdampak pada pelaporan keuangan PT ABC. Risiko beserta aktivitas
pengendaliannya dapat dilihat pada Tabel 4.12.
Tabel 4.12: RCM Rating
Panel A: Risiko pada subproses rating

Penyebab Risiko
Keuangan Level Risk
[PRE-03] A. Terdapat kesalahan pengurangan saldo
Pengakuan kredit pelanggan prepaid di OCS maupun
unearned revenue kesalahan rating dan/atau reject call
dan usage tidak pelanggan postpaid karena kesalahan
lengkap dan tidak parameter tarif.
akurat akibat
B. Terdapat kesalahan pengurangan saldo Moderate Yes
penyalahgunaan
kredit pelanggan di OCS maupun
recharging atau
kesalahan rating dan/atau reject call
kesalahan setting
karena kesalahan parameter atau
parameter.
konfigurasi Program atau inject discount
tambahan (bonus).
Panel B: Aktivitas pengendalian pada subproses rating
No.
Kontrol
PRE-03-C- A1. Melakukan verifikasi 1. Terdapat kertas kerja
04 atas kesesuaian parameter verifikasi tabel parameter tarif
tarif di OCS dengan prepaid maupun postpaid di Comply
kebijakan Perusahaan OCS terhadap kebijakan
secara periodik dan Perusahaan.

No.
Kontrol
menginformasikan 2. Setting tarif pada OCS sesuai
ketidaksesuaian yang dengan kebijakan perusahaan
terjadi (jika ada) ke yang berlaku. Apabila terdapat
departemen terkait untuk perbedaan setting parameter
ditindaklanjuti. antara Sistem dengan kebijakan Comply
maka harus terdapat
Asersi: C, E/O, A dokumentasi tertulis atas tindak
Nature of Control: lanjut yang dilakukan.
Detective
Frequency: Quarterly 3. Terdapat bukti review pejabat
Fraud Control: No berwenang pada Kertas Kerja
IT Supporting Control: Verifikasi Parameter Tarif.
OCS, Tools MORISA NOTE: Proses ini meliputi Comply
seluruh kegiatan di Siklus
Postpaid dan Prepaid.
PRE-03-C- B1. Melakukan 1. Terdapat kertas kerja
08 monitoring secara verifikasi tabel parameter tarif Comply
periodik atas parameter terhadap kebijakan perusahaan.
tarif produk atau program 2. Penambahan dan/atau
yang telah berjalan agar perubahan parameter tarif sesuai
sesuai dengan kebijakan dengan kebijakan perusahaan
perusahaan dan atau Nota Dinas permintaan
menginformasikan penambahan/perubahan
ketidaksesuaian yang Comply
parameter. Jika terdapat
terjadi (jika ada) ke ketidaksesuaian harus
departmen terkait untuk ditindaklanjuti dan
ditindaklanjuti. didokumentasikan secara
memadai.
Asersi: C, A
Nature of Control: 3. Terdapat bukti review yang
Detective ditandatangani oleh pejabat
Frequency: Quarterly berwenang Dept. Prepaid
Fraud Control: No Development, Dept. Rating &
IT Supporting Control: Charging Mgmt., Dept. VAS Comply
OCS, REFLEX, Charging Data Service Mgmt. dan Dept. dengan
Gateway, Content Gateway, ESB Mgmt. serta departemen MoM
I-Charming, FLASH, dan terkait lainnya pada kertas kerja
sistem terkait lainnya untuk
parameter tarif produk atau
mendukung proses bonus
program selama 1 kuartal.
Kontrol nomor PRE-03-C-04 memiliki 2 sampel yang merupakan seluruh

verifikasi atas kesesuaian parameter tarif di OCS dengan kebijakan Perusahaan
selama periode September dan Desember 2013 (sesuai ketentuan sampling pada
Tabel 3.4, dokumen pendukung yang digunakan dalam pengujian adalah
Kebijakan Perusahaan terkait dengan Perubahan Parameter Tarif (postpaid

maupun prepaid). Kontrol PRE-03-C-08 juga memiliki 2 sampel yang merupakan
seluruh kertas kerja penambahan/perubahan parameter tarif produk atau program
selama periode September dan Desember 2013. Dokumen pendukung yang
digunakan dalam pengujian antara lain Kertas Kerja Verifikasi Project Perubahan
Standard Reflex & Regression Test OCS dan Nota Dinas permintaan
penambahan/perubahan parameter.
Dari hasil pengujian untuk kontrol PRE-03-C-04, diketahui bahwa atribut

pengendalian telah dilakukan dengan baik dan sesuai dengan RCM PT ABC tanpa
adanya temuan untuk periode September – Desember 2013. Namun untuk kontrol
nomor PRE-03-C-08, ditemukan ketidaksesuaian terkait atribut pengendalian
nomor 3. Pada atribut ke-3 tersebut dinyatakan bahwa harus terdapat bukti review
yang ditandatangani oleh pejabat berwenang berikut pada kertas kerja parameter
tarif produk atau program selama 1 kuartal:
1. Dept. Prepaid Development,

2. Dept. Rating & Charging Mgmt.,
3. Dept. VAS Data Service Mgmt.,
4. Dept. ESB Mgmt. dan
5. Departemen terkait lainnya.
Namun berdasarkan hasil pengujian selama periode pengujian September

- Desember 2013, tidak terdapat tanda tangan pejabat berwenang dari Departemen
berikut VAS Data Service Mgmt pada kertas kerja parameter tarif produk atau
program selama 1 kuartal. Penguji lalu melakukan wawancara dengan Manager
Departemen Prepaid Development, dan diperoleh keterangan bahwa Departemen
VAS Data Service Mgmt tidak terlibat dalam proses perubahan/penambahan
parameter produk atau program sehingga bukan merupakan pihak yang
melakukan review pada kertas kerja parameter tarif produk atau program selama 1
kuartal. Keterangan tersebut menandakan bahwa terdapat perbedaan prosedur
antara RCM dan praktik yang dilakukan pada periode ini sehingga menyebabkan
ketidaksesuaian. Keterangan tersebut telah didiskusikan dengan Tim Internal
Audit PT ABC, penguji lalu mendokumentasikan kondisi ini pada MoM.

4.4.3.2 Inject Value Tambahan (Bonus Tambahan)
Business User (requestor) mengusulkan untuk program retention kepada

pelanggan dengan kriteria tertentu dalam bentuk proposal atau Nodin ke Dept.
Marketing Analytics & Campaign Support. Program retention merupakan
program PT ABC di mana para pelanggan mendapatkan poin atas pengisian pulsa
yang dilakukan, dan poin tersebut dapat ditukarkan dengan hadiah langsung.
Program retention juga terdiri dari bonus tambahan pulsa Rp 5 ribu bila pelanggan
mengisi pulsa sebanyak Rp 50 ribu untuk periode tertentu. Dari proposal/Nodin
tersebut, Dept. Marketing Analytics & Campaign Support. Melakukan review dan
analisis atas usulan dari business user tersebut. Bila usulan diterima, mereka
mulai menyiapkan program campaign untuk retention kepada pelanggan.
Sebelum eksekusi, Departemen terkait harus memastikan bahwa parameter pada
CDDS sesuai dengan program campaign yang disiapkan. CDDS adalah aplikasi
yang digunakan sebagai single gateway untuk melakukan inject bonus produk
kepada pelanggan. Jika parameter telah sesuai, Dept. Marketing Analytics &
Campaign Support dapat meng-create campaign dengan memberi value (bonus)
tambahan kepada konsumen sesuai dengan kriteria pada CDDS. CDDS kemudian
akan menambahkan nilai (inject bonus) sesuai dengan parameter yang ada pada
Charging Gateway (sistem yang berfungsi melakukan charging ke OCS,
termasuk inject bucket bonus). Proses ini dapat dilihat pada flowchart Lampiran
12.
Dalam aplikasi CDDS dan sistem Charging Gateway, terdapat risiko

yang dapat mempengaruhi keandalan pelaporan keuangan perusahaan.
Pengendalian beserta atributnya dapat dilihat pada Tabel 4.13 di bawah ini.

Tabel 4.13: RCM Inject Value Tambahan (Bonus Tambahan)
Panel A: Risiko pada subproses Inject Value Tambahan (Bonus Tambahan)

Penyebab Risiko
Keuangan Level Risk
[PRE-04] A. Perhitungan discount tambahan tidak
Pengakuan discount akurat karena kesalahan parameter/
usage tidak sesuai konfigurasi Program dan/atau kesalahan
dengan keadaan nomor yang di-loading inject discount
yang sebenarnya. tambahan. High Yes
B. Terdapat proses inject discount
tambahan USO* yang dilakukan tidak
sesuai dengan dokumen pendukungnya.
Panel B: Aktivitas pengendalian pada subproses Inject Value Tambahan (Bonus

Tambahan)
No.
Kontrol
PRE-04- A1. Melakukan 1. Terdapat:
C-15 proses UAT/testing - Nota Dinas dari Div.Marketing Analytics
proses serta & Campaign Support mengenai
verifikasi atas permintaan update parameter/konfigurasi
kesesuaian program, dan/atau Comply
parameter program - Pengajuan loading data inject discount
dan/atau pengajuan tambahan (bagi pelanggan tertentu) di
loading data inject CDDS/REFLEX** oleh pejabat
discount tambahan berwenang sesuai kebijakan perusahaan.
berdasarkan 2. Eksekusi:
kebijakan berlaku - Setting Parameter program inject
dengan yang di- discount tambahan telah di-set up unit
update di aplikasi terkait sesuai NODIN permintaan update
oleh unit terkait, parameter.
serta mengirimkan - Jumlah Data loading Inject discount
Comply
konfirmasi kepada tambahan bagi pelanggan tertentu sesuai
Billing Assurance. dengan pengajuan dari Divisi Marketing
Analytics and Campaign Support.
Asersi: C, E/O, A, Apabila terdapat ketidaksesuaian maka
V/M harus didokumentasikan dan
Nature of Control: ditindaklanjuti kepada pihak terkait.
Preventive
Frequency: Event 3. Terdapat tanda tangan pejabat
Based berwenang dari Divisi Marketing
Fraud Control: Yes Analytics and Campaign Support, Dept.
IT Supporting Analytical and Micro Segment
Control: CDDS, Development serta Dept. Billing Comply
REFLEX Assurance, pada dokumentasi hasil
perubahan/penambahan parameter
dan/atau BA loading data inject discount
tambahan.

No.
Kontrol
4. Mengirimkan dokumen hasil
perubahan/penambahan parameter
dan/atau BA loading data inject discount
tambahan yang disertai lampiran Nodin
request/ Dokumen pengajuan loading
Comply
data inject discount tambahan dari
business user kepada Dept. Billing
Assurance. Note: Proses ini meliputi
seluruh kegiatan di siklus Postpaid dan
Prepaid.
PRE-04- A2. Melakukan 1. Terdapat kertas kerja verifikasi tabel
C-12 monitoring secara parameter program inject discount
Not
periodik atas tambahan dan/atau pengajuan loading
Applica
parameter program data inject discount tambahan (bagi
ble
dan/atau pengajuan pelanggan tertentu) di URP Fisik-
(N/A)
loading data inject Elektronik terhadap kebijakan
discount tambahan Perusahaan.
yang telah berjalan 2. Penambahan/perubahan parameter
agar sesuai dengan program dan/atau pengajuan loading data
kebijakan inject discount tambahan sesuai dengan Not
perusahaan dan kebijakan perusahaan. Jika terdapat Applica
menginformasikan ketidaksesuaian harus ditindaklanjuti dan ble
ketidaksesuaian didokumentasikan secara memadai (N/A)
yang terjadi (jika kepada pihak terkait.
ada) ke departemen 3. Terdapat bukti review yang
terkait untuk ditandatangani oleh pejabat berwenang
ditindaklanjuti. Dept. Channel System Management dan
Dept. Payment System Management serta
Asersi: C, A, V/M
departemen terkait lainnya pada kertas
Nature of Control: Not
Detective
kerja parameter program inject discount
tambahan dan/atau pengajuan loading Applica
Frequency: ble
Quarterly data inject discount tambahan di URP
Fisik-Elektronik. (N/A)
Fraud Control: Yes
IT Supporting Note: Proses ini meliputi seluruh kegiatan
Control: URP Fisik, di siklus Postpaid dan Prepaid.
URP Elektronik
PRE-04- B1. Melakukan 1. Terdapat Nota Dinas mengenai

C-13 Monitoring atas permintaan Inject Diskon Tambahan
inject discount terkait dengan program USO di OCS dan Comply
tambahan USO mengirimkan kepada bagian terkait.
sesuai dengan 2. Terdapat bukti review dan tanda tangan
kebijakan pejabat berwenang dari Dept. Business
perusahaan. Control & Assurance of STS dan Dept Comply
Rating & Charging Mgmt. pada dengan
Asersi: C, A, V/M MoM
dokumentasi Berita Acara Inject Diskon
Nature of Control:
Tambahan USO.

No.
Kontrol
Detective 3. Mengirimkan Dokumen Berita Acara
Frequency: Monthly Inject Diskon Tambahan USO yang
Fraud Control: Yes disertai lampiran NODIN Request kepada
IT Supporting Dept. Billing Assurance. Comply
Control: OCS
NOTE: Proses ini meliputi seluruh
kegiatan di siklus Postpaid dan Prepaid.
Keterangan:
* Proyek USO (Universal Service Obligation) Desa Dering merupakan Program Pemerintah
untuk penggelaran layanan akses telekomunikasi dan informatika dengan layanan dasar (basic
service) yaitu suara dan teks di lebih dari 25.000 desa pada tahun 2009 dengan masa kontrak
hingga 2014. Wilayah layanan USO PT ABC meliputi Sumatera, Jawa, Bali, Nusa Tenggara, dan
Kalimantan.
** REFLEX: Aplikasi yang digunakan sebagai gateway provisioning service VAS dan paket
produk.
Untuk kontrol PRE-04-C-15, total sampel yang uji adalah sebanyak 2

sampel yang merupakan seluruh permintaan update parameter/konfigurasi
program dan/atau pengajuan loading data inject discount tambahan (bagi
pelanggan tertentu) di CDDS/REFLEX selama periode September – Desember
2013. Dokumen pendukung yang menjadi unit sampling antara lain Nota Dinas
Program Inject Tambahan (setiap perubahan parameter), dokumentasi Hasil
Perubahan Parameter Inject Discount Tambahan (UAT), dan dokumen
Konfirmasi ke Billing Assurance.
Berdasarkan hasil pengujian untuk pengendalian PRE-04-C-15, tidak

terdapat temuan dan aktivitas pengendalian beserta atributnya telah sesuai dengan
RCM PT ABC untuk periode September – Desember 2013.
Namun untuk kontrol PRE-04-C-12, berdasarkan wawancara dengan Pj.

Channel System Management Dept. diperoleh keterangan bahwa setting
mekanisme bonus tidak boleh dieksekusi di sistem aplikasi URP/Mkios,
melainkan di sistem aplikasi lain seperti: OMS atau CDDS, dengan demikian
yang seharusnya melakukan monitoring secara periodik atas parameter program
dan/atau pengajuan loading data inject discount tambahan adalah Departemen
yang menangani sistem aplikasi CDDS yaitu Analytical and Segment

Development Department. Sehingga pengendalian ini tidak dapat diuji (not
applicable).
Kontrol PRE-04-C-13, dari sejumlah 4 populasi yang merupakan seluruh

aktivitas monitoring atas inject discount tambahan USO pada periode September –
Desember 2013, diambil 3 sampel dari bulan September, Oktober, dan November
2013 berdasarkan ketentuan SOA Sampling pada Tabel 3.4. Adapun unit sampling
yang digunakan dalam pengujian adalah Nota Dinas Inject Diskon Tambahan
USO dan Berita Acara Inject Diskon Tambahan USO.
Berdasarkan RCM pada Tabel 4.13, atribut pengendalian nomor 2 untuk

kontrol PRE-04-C-13, terdapat bukti review dan tanda tangan pejabat berwenang
dari Dept. Business Control & Assurance STS dan Dept. Rating & Charging
Mgmt. pada dokumentasi Berita Acara Inject Diskon Tambahan USO. Namun
berdasarkan hasil pengujian melalui inspeksi dokumen, Berita Acara Inject
Diskon Tambahan USO tidak ditandatangani oleh pejabat berwenang dari Dept.
Rating & Charging Mgt. Untuk menindaklanjuti hal ini, penguji melakukan
wawancara dengan Staf dari Dept. Business Control & Assurance STS, Manager
Business Control & Assurance STS Dept., Manager Sales, Campaign, and
Marketing Mgt. Dept., dan Staf dari Department Analytical & Micro Segment
Dev. Dept. Dari wawancara tersebut diperoleh informasi bahwa:
1. Penyebabnya adalah Dept. Rating & Charging Mgt. tidak terlibat dalam
proses inject discount tambahan USO.
2. Sistem aplikasi OCS tidak dapat menerbitkan Berita Acara Inject Pulsa
sehingga dibentuklah sistem aplikasi khusus yang melakukan trigger inject
pulsa, yakni sistem aplikasi CDDS. Dept. Analytical & Micro Segment Dev.
akan mengirimkan Nota Dinas kepada Dept. Sales, Campaign, and Marketing
Mgt untuk melakukan eksekusi trigger inject pulsa USO. Setelah itu, Dept.
Sales, Campaign, and Marketing Mgt. akan melakukan trigger inject pulsa
berdasarkan Nota Dinas tersebut.
3. Setelah melakukan trigger inject pulsa, Dept. Sales, Campaign, and
Marketing Mgt. akan menerbitkan Berita Acara Eksekusi Batch Provisioning
Inject Pulsa USO Bulanan yang berisi informasi terkait pelaksanaan Eksekusi

Batch Provisioning Inject Pulsa USO Bulanan menggunakan sistem aplikasi
CDDS dan menampilkan summary hasil eksekusi yang telah dilaksanakan,
berupa jumlah eksekusi yang failed dan jumlah eksekusi yang success. Berita
acara ini akan diinformasikan kepada Dept. Analytical & Micro Segment Dev.
dan Dept. Business Control & Assurance of STS sebagai pihak yang
melakukan inisiasi agar dapat melakukan pengecekan apakah proses Eksekusi
Batch Provisioning Inject Pulsa USO Bulanan telah dilaksanakan sesuai
dengan summary yang terdapat pada Berita Acara Eksekusi yang dikirimkan
oleh Dept. Sales, Campaign, and Marketing Mgt. Selanjutnya, jika telah
sesuai, Dept. Analytical & Micro Segment Dev. dan Dept. Business Control &
Assurance of STS akan menandatangani Berita Acara tersebut sebagai bukti
bahwa Dept. Analytical & Micro Segment Dev. dan Dept. Business Control &
Assurance of STS telah melakukan review atas pelaksanaan proses eksekusi
tersebut.
4.4.3.3 Mass Add/Offering
Dept. Core Billing & Broadband Strategic Projects Development

menyiapkan Nota Dinas permintaan Mass Add/Offering OCS. Sesuai Nota Dinas
tersebut, Dept. Rating & Charging Management melakukan eksekusi Mass
Add/Offering OCS dan membuat dokumen Eksekusi Mass Add/Offering dan
mengirimkannya kepada requestor dan Dept. Billing Assurance. Dept. Problem
Escalation Management kemudian memeriksa dan menandatangani Dokumen
Eksekusi Mass Add/Offering OCS dan mengirimkan konfirmasi kepada Dept.
Billing Assurance. Proses ini dapat dilihat pada flowchart Lampiran 13.
Dalam melakukan pemeriksaan dan penandatanganan Dokumen

Eksekusi Mass Add/Offering OCS terdapat risiko yang dapat menyebabkan
pengakuan pemakaian diskon (discount usage) tidak sesuai dengan yang
sebenarnya. Penyebab risiko beserta aktivitas pengendaliannya dapat dilihat pada
RCM Tabel 4.14 di bawah ini.

Tabel 4.14: RCM Mass Add/Offering
Panel A: Risiko pada subproses Mass Add/Offering
Risk Fraud
Risiko Pelaporan Keuangan Penyebab Risiko
Level Risk
[PRE-04] Terdapat proses pemberian
Pengakuan discount usage Add/offering di OCS yang
tidak sesuai dengan keadaan dilakukan oleh unit tidak
yang sebenarnya. berwenang dan/atau tidak High Yes
sesuai dengan dokumen
pendukungnya.
Panel B: Aktivitas pengendalian pada subproses Mass Add/Offering
No.
Kontrol
PRE-04- Melakukan verifikasi 1. Terdapat Nodin permintaan mass
C-18 atas kesesuaian add/offering OCS yang diajukan
eksekusi Mass kepada Dept. Rating & Charging Comply
Add/offering OCS Management oleh pejabat berwenang
terhadap kebijakan sesuai kebijakan perusahaan.
perusahaan serta
2. Eksekusi Mass Add/Offering OCS
mengirimkan
oleh Dept. Rating & Charging
konfirmasi ke Dep.
Management sesuai Nodin permintaan
Billing Assurance.
dari Dept. Problem Escalation
Comply
Management serta lampiran daftar
Asersi: C, A, V/M
Nature of Control:
pelanggan yang diberikan
Preventive Add/Offering OCS.
Frequency: Event Based
Fraud Control: Yes 3. Terdapat tanda tangan pejabat dari
IT Supporting Control: Dept. Problem Escalation
OCS Management dan Dept. Rating &
Charging Mgmt. serta unit terkait Comply
lainnya pada Dokumen Eksekusi Mass
Add/Offering OCS.
4. Dokumen Eksekusi Mass
Add/Offering OCS serta dokumen
pendukungnya dikirimkan kepada Comply
Departemen Billing Assurance secara dengan
bulanan Note: Proses ini meliputi MoM
seluruh kegiatan di siklus Postpaid dan
Prepaid.
Sumber:
Sumber: PT ABC
PT ABC (telah(diolah
diolahkembali)
kembali)

Dari total tiga populasi yang merupakan seluruh Nodin Permintaan Mass
Add/Offering OCS dari pejabat berwenang selama periode September – Desember
2013, diambil keseluruhan tiga populasi dari bulan untuk dijadikan sampel yang
diuji. Adapun dokumen pendukung yang menjadi unit sampling adalah Nodin
Permintaan Mass Add/Offering OCS dari pejabat berwenang, daftar pelanggan
yang diberikan Mass Add/Offering OCS, dokumen/BA Eksekusi Mass
Add/Offering OCS, dan dokumen konfirmasi ke Billing Assurance.
Berdasarkan atribut pengendalian nomor 4 untuk kontrol PRE-04-C-18

dijelaskan bahwa “Dokumen Eksekusi Mass/Add Offering OCS serta dokumen
pendukungnya dikirimkan kepada Departemen Billing Assurance secara bulanan.”
Namun berdasarkan pengujian yang dilakukan, tidak semua dokumen eksekusi
dikirimkan kepada Dept. Billing Assurance.
Untuk menindaklanjuti hal ini, penguji melakukan wawancara dengan

Officer bidang Problem Escalation. Berdasarkan wawancara tersebut, diperoleh
keterangan bahwa Dokumen Eksekusi Mass Add/Offering OCS serta dokumen
pendukungnya dikirimkan kepada pihak yang terkait untuk ditindaklanjuti. Pihak
yang akan menindaklanjuti Eksekusi Mass Add/Offering OCS disesuaikan dengan
setiap kasus yang terjadi. Dengan demikian, Dokumen Eksekusi Mass
Add/Offering OCS serta dokumen pendukungnya tidak selalu dikirimkan kepada
Dept. Billing Assurance setiap bulannya.
Berdasarkan hasil pengujian selama periode September - Desember 2013,

Dokumen Eksekusi Mass Add/Offering OCS serta dokumen pendukungnya
dikirimkan kepada Manager Rating and Charging Management, Head of Fraud
Monitoring and Collection Assurance Department, Manager Broadband and
Loyalty Service Quality Management, Head of Analytical and Micro Segment
Development Department, Manager Kartu A Regional Pricing, Manager Area
SMS Campaign Planning and Performance, Manager Internet Package
Application, Head of ESB Management Department, dan Manager Area SMS
Campaign Planning and Performance, dan tidak hanya kepada Dept. Billing
Assurance.

Kondisi ini telah didiskusikan dengan Tim Internal Audit PT ABC.
Assessor telah mendokumentasikan ketidaksesuaian antara deskripsi atribut
pengendalian pada RCM dengan praktik yang dilakukan selama periode pengujian
September – Desember 2013 ini pada MoM.
4.4.4 Month-End
Setiap akhir bulan, terdapat aktivitas pengendalian yang dilakukan dalam

mendeteksi adanya kecurangan dan penyimpangan yang dapat berdampak
signifikan terhadap pelaporan keuangan perusahaan. Tiga risiko pelaporan
keuangan beserta penyebab risikonya dan aktivitas pengendaliannya dalam
subproses Month-End dapat dilihat pada Tabel 4.15 di bawah.
Tabel 4.15: RCM Proses Month-End
Panel A: Risiko pada subproses Month End
Risk Fraud
Level Risk
[PRE-01] A. Terdapat
Penerimaan tunai dan proses transfer kesalahan/keterlambatan
rekening atas penjualan pencatatan transaksi
kartu/voucher/e-voucher/device penjualan dan
(termasuk PSB kartu postpaid) serta penerimaan kas.
penerimaan piutang kartu postpaid B. Pencatatan
(tunai dan non-H2H) dan penerimaan penjualan
pencatatannya tidak lengkap/tidak ke GL Oracle tidak
akurat. Moderate Yes
lengkap dan tidak
akurat.
C. Pencatatan atas
penerimaan penjualan
kartu/voucher tidak
sesuai dengan
penerimaannya di
rekening koran.
[PRE-03] A. Hasil interface data
Pengakuan unearned revenue dan unearned revenue used
usage tidak lengkap dan tidak akurat ke GL Oracle (melalui
akibat penyalahgunaan recharging BEA Middleware*)
atau kesalahan setting parameter. tidak lengkap dan tidak
akurat.

Risk Fraud
Level Risk
B. Adanya
ketidakwajaran jumlah
usage (pemakaian) atas Moderate Yes
produk prabayar
dibandingkan dengan
jumlah penjualan yang
dilakukan.
C. Adanya perbedaan
antara data dari
INDIRA** dengan data
yg masuk dalam proses
interface ke GL Oracle
melalui BEA
Middleware.
[PRE-06] A. Data yang di-upload
Saldo unused dan outpayment dari dari sistem OCS dan
produk prepaid tidak akurat. URP-Fisik untuk
perhitungan Unused
prepaid tidak lengkap. Moderate Yes
B. Data yang di-upload
dari OCS ke GL Oracle
untuk perhitungan
Outpayment prepaid
tidak lengkap.
Panel B: Aktivitas pengendalian pada subproses Month End
No.
Kontrol
PRE-01- A1. Melakukan 1. Jumlah penerimaan penjualan
D-03 verifikasi nilai kartu/voucher/e-voucher pada akun
pendapatan bank di GL Oracle selama satu bulan
penjualan, sesuai dengan jumlah penerimaan pada
penerimaannya dan Validasi Bank dari Treasury Comply
saldo advance from Area/Finance Regional dan Cash
dealer serta Collection Control. Selisih yang terjadi
menindaklanjuti harus diidentifikasi, ditindaklanjuti dan
selisih yang terjadi. didokumentasikan secara memadai.

No.
Kontrol
2. Jumlah pendapatan penjualan
Asersi: C, E/O, A kartu/voucher/e-voucher di GL Oracle
Nature of Control: selama satu bulan sesuai dengan
Detective jumlah penjualan dan penerimaannya
Frequency: Monthly pada data hasil interface ke GL Oracle
Fraud Control: No
dan jumlah penjualan e-voucher (yang Comply
IT Supporting
Control: Paradise, GL bersifat konsinyasi) pada Laporan
Oracle Penjualan dari Cash Collection
Control. Selisih yang terjadi harus
diidentifikasi, ditindaklanjuti dan
didokumentasikan secara memadai.
3. Saldo Advance from Dealer di GL
Oracle sesuai dengan daftar advance
from Dealer (SO yang belum ada DO
nya) ditambah penerimaan yang belum
tercatat di Paradise (SO yang belum di
paid, namun uang sudah diterima) dari Comply
seluruh Treasury Area/Finance
Regional dan Cash Collection Control
Kantor Pusat. Selisih yang terjadi
harus diidentifikasi, ditindaklanjuti dan
berwenang sebagai bukti review pada
Daftar Advance from Dealer dan Comply
Laporan Hasil Interface data
Penjualan.
PRE-01- B1. Memeriksa 1. Saldo bank yang telah direkonsiliasi
D-05 rekonsiliasi bank (reconciled balance) pada rekonsiliasi
penerimaan bank sesuai dengan saldo bank
penjualan dan penerimaan di GL Oracle. Selisih yang Comply
menindaklanjuti bila terjadi harus diidentifikasi,
terdapat kesalahan. ditindaklanjuti dan didokumentasikan
secara memadai.
Asersi: C, E/O, A 2. Terdapat tanda tangan pejabat
Nature of Control:
berwenang sebagai bukti review pada
Detective
Frequency: Monthly
Rekonsiliasi Bank.
Comply
Fraud Control: No
IT Supporting
Control: GL Oracle
PRE-01- C1. Melakukan 1. Terdapat kertas kerja rekonsiliasi
D-04 rekonsiliasi atas penjualan kartu/voucher/e-voucher
pencatatan penjualan kepada Authorized Dealer berdasarkan Comply
kartu/voucher/e- Paradise dengan penerimaan uang pada
voucher kepada rekening koran.

No.
Kontrol
Authorized Dealer 2. Jumlah penjualan kartu/voucher/e-
dengan penerimaan voucher kepada Authorized Dealer
uang pada rekening berdasarkan pencatatan di Paradise
koran. sesuai dengan jumlah penerimaan uang
Comply
pada rekening koran. Selisih yang
Asersi: C, E/O, A terjadi harus diidentifikasi,
Nature of Control: ditindaklanjuti dan didokumentasikan
Detective secara memadai.
Frequency: Monthly 3. Terdapat bukti review pejabat
Fraud Control: Yes
berwenang pada Kertas Kerja Comply
IT Supporting
Control: Paradise Rekonsiliasi.
PRE-03- A1. Memeriksa 1. Jumlah mutasi tambahan unearned
D-08 akurasi pencatatan revenue used yang tercatat pada GL
unearned revenue Oracle sesuai dengan jumlah usage
used di GL Oracle. revenue yang terdapat pada Berita
Acara Interface Data Summary Usage
Asersi: C, E/O, A, Prepaid - GL Oracle, yang
V/M ditandatangani oleh pejabat berwenang Comply
Nature of Control: dari Dept. FSOM, dan Dept. Prepaid
Detective Revenue Accounting. Selisih yang
Frequency: Monthly
terjadi telah diidentifikasi,
Fraud Control: No
IT Supporting
ditindaklanjuti dan didokumentasikan
Control: GL Oracle, secara memadai.
INDIRA, OCS
PRE-03- B1. Melakukan 1. Pengujian atas kewajaran saldo
D-09 pengujian atas unearned revenue (net) dilakukan
kewajaran saldo secara bulanan dan didokumentasikan Comply
unearned revenue di dalam Kertas Kerja Pengujian Saldo
(net) di GL pada Unearned Revenue.
akhir periode 2. Saldo Unearned Revenue (net) di
terhadap saldo GL telah diuji kewajarannya dengan
pelanggan OCS data saldo pelanggan OCS, nilai Comply
ditambah nilai voucher dan e-voucher yang telah
voucher aktif di terjual serta faktor-faktor lainnya.
modul recharging. 3. Terdapat kesimpulan atas kewajaran
saldo unearned revenue (net) dan
Asersi: C, E/O, V/M justifikasi yang memadai atas selisih
Nature of Control: yang terjadi pada Kertas Kerja
Detective Not
Pengujian Saldo Unearned Revenue
Frequency: Monthly Applicable
Fraud Control: Yes
(net).
(N/A)
IT Supporting Catatan: Selisih dikatakan wajar
Control: URP Fisik, apabila tidak melebihi batas yaitu
URP Elektronik, sebesar 5% dari net unearned revenue
Aplikasi X, OCS di GL Oracle.
4. Terdapat bukti persetujuan pejabat Not
berwenang atas selisih yang terjadi. Applicable
(N/A)

No.
Kontrol
berwenang sebagai bukti review atas
Kertas Kerja Pengujian Saldo Comply
Unearned Revenue (net).
PRE-03- C1. Memeriksa 1. Terdapat dokumentasi Berita Acara
D-13 kelengkapan dan Interface Data Prepaid - GL Oracle
kebenaran data yang menyatakan Summary Usage
summary usage Prepaid dan Outpayment sesuai
prepaid dan data dengan:
outpayment hasil - Berita Acara Report Revenue Prepaid
proses transfer dari dan Berita Acara Report Outpayment
INDIRA ke GL Prepaid yang ditandatangani oleh
Oracle melalui BEA pejabat berwenang dari Dept Billing &
Middleware serta Cust.Mgmt, Dept Billing Assurance
menindaklanjuti dan Dept FSOM.
kesalahan-kesalahan - Journal Interface Report yang Comply
yang ditemukan. ditandatangani oleh pejabat berwenang
dari Dept FSOM dan Dept Prepaid
Asersi: C, E/O, A Revenue Accounting. Selisih Interface
Nature of Control: dari INDIRA ke GL Oracle melalui
Detective BEA Middleware telah diidentifikasi,
Frequency: Monthly ditindaklanjuti dan didokumentasi
Fraud Control: No
secara memadai.
IT Supporting
Control: INDIRA,
BEA Middleware, GL
Oracle
PRE-06- A1. Melakukan 1. Terdapat verifikasi atas jumlah
D-16 verifikasi voucher dengan status expired di Comply
kelengkapan data URP-Fisik tetapi sudah terjual.
Voucher Expired 2. Hasil verifikasi atas nilai Unused
untuk pencatatan Voucher sesuai dengan jumlah voucher
Unused Prepaid. yang statusnya berubah dari enable Comply
menjadi expired di URP-Fisik.
Asersi: C, A
Nature of Control: 3. Terdapat bukti review pejabat
Detective berwenang pada Laporan Unused
Frequency: Monthly Prepaid - Voucher expired sebagai Comply
Fraud Control: No bukti bahwa nilai unused voucher telah
IT Supporting sesuai dengan yang seharusnya.
Control: URP Fisik
4. Terdapat bukti pelaporan nilai
Unused Voucher kepada Dept. Pre- Comply
Paid Revenue Accounting.
PRE-06- B1. Melakukan 1. Terdapat verifikasi atas nilai
D-15 verifikasi outpayment dari OCS. Comply
kelengkapan data 2. Hasil verifikasi atas nilai
outpayment untuk outpayment sesuai dengan saldo
pencatatan Comply
pelanggan yang sudah 'expired' di
Outpayment Prepaid. OCS.

No.
Kontrol
3. Data hasil verifikasi Outpayment
Asersi: C, A OCS di-interface ke GL Oracle, dan
Nature of Control: terdapat tanda tangan pejabat
Detective berwenang dari Dept.Billing
Frequency: Monthly Assurance, Dept. Billing & Customer
Fraud Control: No
Management dan Dept. FSOM atas Comply
IT Supporting
Control: INDIRA, Berita Acara Report Outpayment
OCS Prepaid. Selisih yang terjadi telah
diidentifikasi, ditindaklanjuti dan
Keterangan:
*BEA Middleware adalah aplikasi middleware antara aplikasi penyedia data subledger dan
aplikasi OASIS (aplikasi berbasis database Oracle yang menyediakan data Finance & Accounting
dan memproses data untuk modul-modul di dalamnya, seperti modul finance, modul purchasing,
modul project dll.). Aplikasi ini berfungsi untuk reformat dan mapping field data dari aplikasi data
provider ke dalam format data di aplikasi OASIS.
**INDIRA adalah aplikasi yang berfungsi untuk reporting revenue prepaid dan complain
handling pelanggan prepaid.
Seluruh aktivitas pengendalian yang terdapat pada siklus Month End

memiliki frekuensi pengendalian bulanan (monthly), sehingga sampel yang
digunakan adalah sebanyak 3 (tiga) yang merupakan sampel transaksi dari periode
bulan September, Oktober, dan November 2013 sesuai ketentuan SOA Sampling
pada Tabel 3.4.
Kontrol PRE-01-D-03 memiliki populasi yang merupakan semua

transaksi yang berkaitan dengan penjualan kartu/voucher/e-voucher dan
penerimaan kantor regional di GL Oracle selama periode September – Desember
2013. Dokumen pendukung yang dijadikan unit sampling antara lain Rekonsiliasi
Bank Penerimaan Penjualan Prepaid untuk Regional & Kantor Pusat (validasi
Bank) selama periode September - Desember 2013, Daftar Advance from Dealer
selama periode September - Desember 2013, Laporan Hasil Interface Data
Penjualan selama periode September - Desember 2013, dan Kertas Kerja Validasi
Data Sales selama periode September - Desember 2013. Kontrol PRE-01-D-05,
memiliki populasi yang merupakan seluruh Rekonsiliasi bank penerimaan atas
penjualan kartu/voucher prabayar selama periode September - Desember 2013.
Dokumen pendukung yang dijadikan unit sampling adalah Rekonsiliasi Bank

Penerimaan Penjualan BNI, BCA, BRI, dan Mandiri. Untuk kontrol PRE-D-04,
populasinya adalah seluruh Kertas Kerja Rekonsiliasi Penjualan Kartu/Voucher/e-
Voucher Kepada Authorized Dealer (Paradise) vs Rekening Koran selama periode
September - Desember 2013. Adapun dokumen pendukung yang dijadikan unit
sampling adalah Kertas Kerja Rekonsiliasi Penjualan Kartu/Voucher/e-Voucher
Kepada Authorized Dealer (Paradise) vs Rekening Koran, Rekening Koran, dan
Laporan Penjualan AD (Paradise).
Kontrol PRE-03-D-08 memiliki populasi yang merupakan seluruh Berita

Acara Interface Data Summary Usage Prepaid selama periode September -
Desember 2013. Dokumen pendukung yang digunakan dalam pengujian antara
lain Berita Acara Interface Data Prepaid - GL Oracle, Kertas Kerja Unearned
Used, dan Trial Balance. Sedangkan, kontrol PRE-03-D-09 memiliki populasi
yang merupakan semua kertas kerja pengujian saldo unearned revenue selama
periode September - Desember 2013. Dokumen pendukung yang digunakan
adalah Kertas kerja pengujian saldo unearned revenue dan Trial balance. Untuk
kontrol PRE-03-D-13, populasi yang dimiliki adalah seluruh Berita Acara Report
Revenue Prepaid secara bulanan selama bulan September - Desember 2013
dengan dokumen pendukung Berita Acara Report Revenue Prepaid, Berita Acara
Report Outpayment Prepaid, Journal Interface Report, dan Berita Acara Interface
Data Prepaid-GL Oracle.
Kontrol PRE-06-D-16 memiliki populasi yang merupakan seluruh Kertas

Kerja Rekonsiliasi Expired dengan DO Paradise selama periode September -
Desember 2013 dengan dokumen pendukung Log Unused Voucher dan Kertas
Kerja Rekonsiliasi Expired dengan DO Paradise. Sedangkan untuk kontrol PRE-
06-D-15, terdapat populasi yang merupakan seluruh Berita Acara Report
Outpayment Prepaid (interface) selama periode September - Desember 2013, di
mana dokumen pendukung yang digunakan dalam pengujian adalah Log atas
Outpayment, dan Berita Acara Report Outpayment Prepaid (interface).
Dari pengujian yang telah dilakukan melalui inspeksi dokumen dan

wawancara dengan pejabat terkait, tidak ditemukan ketidaksesuaian antara praktik
yang dilakukan oleh manajemen dengan RCM yang ada pada Tabel 4.14,

sehingga disimpulkan bahwa aktivitas pengendalian pada subproses Month End
telah berjalan efektif dan patuh (comply) dengan RCM ICoFR Fase III PT ABC
untuk periode September – Desember 2013.
4.5 Analisis
4.5.1 Implementasi Monitoring PT ABC berdasarkan COSO Framework

dan COSO Monitoring Guidance 2009
Untuk memenuhi komponen terakhir COSO, PT ABC melakukan

pengawasan atas ICoFR dengan melakukan evaluasi berkala (ongoing evaluation)
yang dilakukan sepanjang berjalannya proses bisnis perusahaan.
Evaluasi/pengujian ini dilakukan dalam tiga fase, mengikuti perkembangan bisnis
dan perubahan struktur organisasi perusahaan. Ongoing evaluation ini dilakukan
untuk memastikan bahwa komponen-komponen pengendalian internal yang telah
ditentukan dalam RCM PT ABC kerap hadir (present) dan berfungsi (functioning)
selama berjalannya proses bisnis perusahaan.
Bila ditemukan defisiensi pengendalian atau ketidaksesuaian antara Risk

Control Matrix dan praktik yang dijalankan, RSM AAJ sebagai assessor langsung
mengkomunikasikan hal tersebut kepada pihak-pihak yang bertanggung jawab
untuk dilakukan proses penindaklanjutan, dalam hal ini pihak yang bertanggung
jawab adalah Manajemen. Proses komunikasi tersebut lalu didokumentasikan ke
dalam sebuah Minutes of Meeting yang ditandantangani oleh Manajer dan Officer
departemen terkait. Mengacu pada pendekatan monitoring berdasarkan COSO’s
Monitoring Guidance pada Gambar 2.3, PT ABC telah:
1. Membentuk dasar pemantauan (Establish a Foundation), dengan memahami

struktur, lingkungan, dan budaya organisasi, serta memahami efektivitas
pengendalian internal secara keseluruhan sebagai landasan dalam melakukan
penilaian risiko dan mendisain aktivitas pengendalian internal perusahaan.
Tahap ini dilakukan oleh pihak Internal Audit dan berdasarkan persetujuan
manajemen PT ABC.

2. Merancang dan mengeksekusi prosedur pemantauan yang diprioritaskan
untuk risiko-risiko terkait pencapaian objektif perusahaan (Design & Execute)
di mana objektif yang ingin dicapai perusahaan untuk pengujian ICoFR ini
adalah Keandalan Pelaporan Keuangan (Financial Reporting Reliability).
Perancangan dilakukan oleh pihak Internal Audit PT ABC dan konsultan luar
perusahaan dan setujui oleh Manajemen dan disampaikan dalam bentuk Risk
Control Matrix, sedangkan pengeksekusian prosedur pemantauan dilakukan
oleh RSM AAJ.
3. Menilai keefektifan pengendalian internal atas pelaporan keuangan
perusahaan dan melaporkan hasilnya (Assess & Report). Tahap ini dilakukan
oleh RSM AAJ berdasarkan RCM yang telah dibentuk dan untuk pengujian
ICoFR ini, RSM AAJ memiliki tiga langkah pendekatan dalam melakukan
jasa konsultasi kepada PT ABC. Pendekatan ini dapat dilihat pada Gambar
4.3 di bawah ini.
Communicate
Plan • Menentukan sifat dan
bentuk komunikasi dengan
Lihat Tabel 4.1 klien
• Memberikan saran kepada
klien
• Menentukan bentuk
komunikasi akhir kepada
klien
• Mengkomunikasikan laporan
Perform final kepada klien
• Melakukan monitoring dan
Mengumpulkan dan follow-up (bila ada, sesuai
mengevaluasi bukti audit dengan ruang lingkup
keterlibatan)
Gambar 4.3: Pendekatan jasa konsultasi RSM AAJ Associates
Sumber: RSM AAJ Associates (diolah kembali)

Perform
Berdasarkan Tabel 4.1 Project Plan SOA Testing PT ABC, disebutkan

bahwa periode pengujian (Testing Schedule) untuk pengujian Fase III ini adalah
dari bulan Desember 2013 hingga Februari 2014. Namun pada praktik
sebenarnya, proses mengumpulkan dan mengevaluasi bukti audit dilakukan RSM
AAJ hingga awal Maret 2014. Hal ini disebabkan oleh kurang responsifnya pihak-
pihak terkait pada departemen yang sedang diuji sehingga pada saat proses
implementasi pengujian, banyak dokumen-dokumen dan data yang masih pending
pada akhir Februari 2014, sehingga tim penguji tidak dapat mengikuti timeline
pengujian dengan tepat waktu.
Communicate
Setiap penilaian pada setiap pengendalian yang diuji didokumentasikan

pada sebuah Kertas Kerja. Kertas Kerja Hasil Pengujian harus ditandatangani oleh
penguji dan reviewer sebagai bukti bahwa kertas kerja pengujian telah diperiksa
keakuratannya. Reviewer harus memastikan bahwa informasi kertas kerja hasil
pengujian telah mencakup informasi/kondisi di lapangan sehingga dapat
dilakukan pengujian ulang apabila diperlukan oleh Auditor Eksternal. Kertas
Kerja tersebut selanjutnya dikomunikasikan oleh manajer terkait, dan Pj. Manager
Financial Compliance Audit. Pada akhir periode pengujian, RSM AAJ
melaporkan kepada pihak Internal Audit terkait jumlah aktivitas pengendalian
yang terpenuhi, terpenuhi dengan catatan (MoM), tidak terpenuhi, dan non
applicable. Dari informasi ini, pihak SOA Audit PT ABC membuat Laporan
Akhir Test of Control untuk menyimpulkan efektivitas pengendalian internal atas
pelaporan keuangan tahun 2013 yang ditandatangani oleh General Manager
Financial Audit PT ABC dan dilaporkan kepada Komite Audit PT ABC.

4.5.2 Analisis Pengujian ICoFR pada Siklus Pendapatan Prepaid PT ABC
Dari keseluruhan empat proses dalam siklus pendapatan prepaid, yaitu

Penjualan Kartu/Voucher/E-voucher/Device prabayar, Recharging, Prepaid
Usage Calculation, dan Month-End, terdapat 29 (dua puluh sembilan) aktivitas
pengendalian internal atas pelaporan keuangan yang diuji. Dari 29 aktivitas
pengendalian tersebut, 2 di antaranya tidak dapat diuji (Not Applicable) karena
tidak adanya transaksi/kejadian yang diminta untuk periode September –
Desember 2013. Aktivitas pengendalian yang diklasifikasikan N/A antara lain:
a. PRE-03-B-07 (dari subproses Monitoring pada Proses Recharging)

Tidak terdapat temuan Dept. Collection Assurance atas ketidaksesuaian
jumlah recharging secara end to end (dimulai dari modul channel
penjualan sampai ke OCS), sedangkan pengendalian internal yang diminta
adalah “Menindaklanjuti temuan Dept. Collection Assurance atas
ketidaksesuaian jumlah recharging secara end to end (dimulai dari modul
channel penjualan sampai ke OCS)”.
b. PRE-04-C-12 (dari subproses Inject Value Tambahan pada Proses Prepaid
Usage Calculation)
Setting mekanisme bonus tidak boleh dieksekusi di sistem aplikasi
URP/Aplikasi X, melainkan di sistem aplikasi lain seperti: OMS atau
CDDS, sedangkan salah satu atribut pengendalian kontrol ini
menyebutkan “Terdapat kertas kerja verifikasi tabel parameter program
inject discount tambahan dan/atau pengajuan loading data inject discount
tambahan (bagi pelanggan tertentu) di URP Fisik-Elektronik terhadap
kebijakan Perusahaan.”
Selain itu, terdapat 6 aktivitas pengendalian yang memiliki atribut

pengendalian yang diklasifikasikan sebagai Comply dengan MoM, karena terdapat
ketidaksesuaian antara aplikasi dan atribut dengan RCM. Keenam aktivitas
pengendalian tersebut antara lain:
Dari Proses Penjualan Kartu/Voucher/E-voucher/Device prabayar (2 kontrol)
a. PRE-01-A-02 (subproses Penjualan indirect melalui multibanking)

Tidak ada bukti selisih yang diinformasikan kepada Dept. ERP
Management yang seharusnya dilakukan menurut atribut nomor 1 “selisih
yang terjadi harus diidentifikasi, didokumentasikan secara memadai dan
diinformasikan kepada Dept. Payment System Management, Dept. ERP
Management, Dept. Cash Collection Control untuk ditindaklanjuti”.
Penyebab: Dept. ERP Mgt. memang tidak terlibat dalam proses verifikasi
maupun tindak lanjut atas jumlah transaksi recharge e-voucher untuk
channel bank dan non-bank melalui URP. Fungsi Departemen ERP
Management adalah sebagai penanggung jawab untuk aplikasi Redbrick,
yaitu sistem aplikasi yang digunakan untuk proses rekonsiliasi transaksi
recharge.
b. PRE-01-A-06 (dari subproses penjualan direct melalui Branch/Metro)
Pada saat dilakukan pengujian untuk kontrol ini, tidak ditemukan Cash
Book Report (OCS) untuk memenuhi atribut 1 yang menyebutkan bahwa
“Jumlah penerimaan piutang KartuPostpaid (H2H) yang masuk ke
rekening Collection Kantor Pusat sesuai dengan (i) Cash Book Report
(OCS), (ii) Rekening Koran Collection Kantor Pusat, dan (iii) Data
penerimaan piutang Cookies (OCS) H2H hasil validasi Dept. Fraud
Monitoring & Collection Assurance”.
Penyebab: nama dokumen pada poin (i) seharusnya adalah "Log data
enter payment OCS" bukan "Cash Book Report".
Dari Proses Recharging (1 kontrol)
a. PRE-03-B-10 (subproses Automatic Recharge Voucher Fisik)

Tidak terdapat Nota Dinas Pengajuan loading data inject discount
tambahan untuk memenuhi atribut 1 yang menyebutkan “Terdapat Nota
Dinas Pengajuan loading data inject discount tambahan (bagi pelanggan
tertentu) di URP Fisik - Elektronik oleh pejabat berwenang Dept. Channel
System Management sesuai kebijakan perusahaan”.
Penyebab: Memang tidak terdapat pengajuan loading data inject discount
tambahan (bagi pelanggan tertentu) di URP Fisik - Elektronik oleh pejabat

berwenang Dept. Channel System Management selama periode pengujian
September - Desember 2013.
Tidak terdapat tanda tangan pejabat berwenang dari Departemen Customer
Profile & Inventory Assurance untuk memenuji atribut 3 yang
menyebutkan bahwa "Terdapat tanda tangan pejabat berwenang Dept.
Channel System Management, Dept. Payment System Management dan
Dept. Customer Profile & Inventory Assurance serta Dept terkait lainnya
pada dokumentasi hasil perubahan/penambahan parameter, pembuatan
dan/atau penghapusan Bucket Recharge URP serta BA loading data inject
discount tambahan (jika ada)."
Penyebab: Tidak diperlukan tanda tangan pejabat berwenang dari
Departemen Customer Profile & Inventory Assurance untuk dokumentasi
hasil perubahan/penambahan parameter, pembuatan bucket URP. Bukti
persetujuan pejabat berwenang tersebut hanya diperlukan pada saat
dilakukan validasi terhadap sisa stock/saldo pada bucket yang akan
ditutup.
Dari Proses Prepaid Usage Calculation (3 kontrol)
a. PRE-03-C-08 (dari subproses Rating)

Tidak terdapat tandatangan pejabat berwenang dari Dept. VAS Data
Service Management, di mana dalam atribut 3 disebutkan bahwa
“Terdapat bukti review yang ditandatangani oleh pejabat berwenang
berikut pada kertas kerja parameter tarif produk atau program selama 1
kuartal: Dept. Prepaid Development, Dept. Rating & Charging Mgmt.,
Dept. VAS Data Service Mgmt., Dept. ESB Mgmt. dan Departemen terkait
lainnya.”
Penyebab: Departemen VAS Data Service Management memang tidak
terlibat dalam proses perubahan/penambahan parameter produk atau
program sehingga bukan merupakan pihak yang melakukan review pada
kertas kerja parameter tarif produk atau program selama 1 kuartal.
b. PRE-04-C-13 (dari subproses Inject Value Tambahan)

Berita Acara Inject Diskon Tambahan USO tidak ditandatangani oleh
pejabat berwenang dari Dept. Rating & Charging Mgt, di mana pada
atribut nomor disebutkan bahwa “Terdapat bukti review dan tanda tangan
pejabat berwenang dari Dept. Business Control & Assurance of STS dan
Dept Rating & Charging Mgmt. pada dokumentasi Berita Acara Inject
Diskon Tambahan USO.”
Penyebab: Dept. Rating & Charging Management memang tidak terlibat
dalam proses inject discount tambahan USO.
c. PRE-04-C-18 (dari subproses Mass Add/Offering)
Terdapat Dokumen Eksekusi Mass Add/Offering OCS yang tidak
dikirimkan kepada Dept. Billing Assurance. Hal ini tidak memenuhi
atribut 4 yang menyebutkan bahwa "Dokumen Eksekusi Mass
Add/Offering OCS serta dokumen pendukungnya dikirimkan kepada
Departemen Billing Assurance secara bulanan."
Penyebab: Dokumen Eksekusi Mass Add/Offering OCS serta dokumen
pendukungnya dikirimkan kepada pihak yang terkait untuk ditindaklanjuti.
Pihak yang akan menindaklanjuti Eksekusi Mass Add/Offering OCS
disesuaikan dengan setiap kasus yang terjadi. Sehingga, Dokumen
Eksekusi Mass Add/Offering OCS serta dokumen pendukungnya tidak
selalu dikirimkan kepada Dept. Billing Assurance setiap bulannya.
Dari hasil pengujian yang dilakukan oleh RSM AAJ Associates, kondisi di
atas dianggap sebagai temuan yang tidak signifikan oleh pihak SOA Audit PT
ABC. Yang termasuk temuan signifikan berdasarkan kriteria IA PT ABC adalah:
1. Temuan yang tidak dapat dikoreksi dalam waktu singkat, mengakibatkan

kewajiban atau kerugian bagi perseroan
2. Membutuhkan upaya rutin (reorganisasi, waktu, dan sumberdaya) untuk
melakukan koreksi terhadap temuan tersebut
3. Pelanggaran signifikan terhadap hukum, peraturan, atau kebijakan yang
berlaku
4. Kecurangan, pencurian, dan penyalahgunaan keuangan

Dikarenakan ketidaksesuaian pada beberapa aktivitas pengendalian di atas
disebabkan oleh perbedaan penggunaan nama departemen, fungsi departemen,
dan prosedur yang dilakukan antara RCM yang dibuat oleh pihak Internal Audit
dengan kondisi pada proses bisnis terkini, temuan tersebut tidak dianggap sebagai
sebuah pelanggaran dan tidak memenuhi kriteria temuan signifikan yang ada.
Dalam hal ini, permasalahan/ketidaksesuaian muncul karena RCM yang
dirancang oleh Internal Control Design and Monitoring Division belum
diperbarui sesuai dengan proses bisnis yang berjalan pada periode yang diuji. Hal
ini terjadi karena perubahan proses bisnis perusahaan yang kerap berganti selama
tahun 2013, sehingga terdapat kemungkinan bahwa perubahan proses bisnis
terbaru belum sepenuhnya dikomunikasikan kepada seluruh pihak (termasuk
Internal Audit) dalam perusahaan.
Setiap ketidaksesuaian antara praktik yang ada dan aktivitas pengendalian

dalam RCM yang ditemukan oleh assessor telah diklarifikasi oleh pejabat
berwenang terkait dan didokumentasikan oleh RSM AAJ Associates pada Minutes
of Meeting. MoM tersebut dijadikan sebagai catatan untuk pihak internal
perusahaan agar mengkomunikasikan proses bisnis terbaru sehingga Internal
Audit dapat merancang RCM sesuai dengan proses bisnis terkini. Meskipun
begitu, aktivitas-aktivitas pengendalian yang bersangkutan tetap berjalan dengan
efektif sehingga diklasifikasikan sesuai dan comply dengan RCM PT ABC untuk
periode September – Desember 2013. Rangkuman hasil pengujian ICoFR Fase III
untuk pengendalian pada Siklus Pendapatan Prepaid PT ABC dapat dilihat pada
Tabel 4.16 di bawah ini.

Tabel 4.16: Hasil Pengujian ICoFR Fase III untuk Siklus Pendapatan
Prepaid PT ABC
Keterangan Prepaid
Σ Pengendalian Intern 29
Comply 27
Not Comply 0
Not Applicable 2
Σ Pengendalian Intern
29
Diuji
% Tingkat Kepatuhan
100%
Fase 3 Tahun 2013
Sumber: Laporan TOC Fase III PT ABC (telah diolah kembali)
Dari hasil di atas, dapat disimpulkan bahwa pengendalian internal untuk

Siklus Pendapatan Prepaid di perusahaan PT ABC telah berjalan dengan efektif
untuk periode September hingga Desember tahun 2013 ini. Bila dikaitkan dengan
prinsip komponen monitoring pada kerangka pengendalian COSO, maka
komponen pengendalian internal perusahaan untuk siklus pendapatan prepaid,
telah secara efektif telah hadir (present), dan berfungsi (functioning) dengan baik.
Kelengkapan dokumentasi sebagai bukti pelaksanaan pengendalian internal yang
dipersyaratkan juga dilakukan dengan baik oleh manajemen PT ABC.
Dari hasil pengujian ICoFR yang telah dilakukan AAJ tersebut, SOA
Audit PT ABC menyimpulkan bahwa tingkat kepatuhan terhadap kebijakan
pengendalian internal Siklus Pendapatan Prepaid di Kantor Pusat untuk Fase III
(periode September – Desember) Tahun 2013 sesuai dengan kriteria Sangat Baik
berdasarkan KD No. 020/IA.01/PD-00/VII/2011 tentang Standar Pemeringkatan
Hasil Audit PT ABC. Menurut KD No. 020/IA.01/PD-00/VII/2011, kriteria
Sangat Baik ini dipenuhi jika kondisi atas hasil pengujian mempunyai kriteria
sebagai berikut:

1) Tidak terdapat temuan signifikan, disertai dengan sedikitnya pelanggaran
teknis maupun catatan pelanggaran
2) Temuan dalam laporan tidak membutuhkan tanggapan maupun saran untuk
memperbaiki tingkat efisiensi.
Terkait dengan poin (2) di atas, tanggapan dan saran yang dimaksud adalah
saran untuk memperbaiki temuan yang bersifat signifikan. Dalam hal ini,
rekomendasi yang disarankan oleh RSM AAJ dalam Minutes of Meeting
merupakan saran yang ditujukan kepada Internal Control Design & Monitoring
Division dan manajemen PT ABC untuk memperbaiki perbedaan pemahaman
prosedur dan alur proses bisnis antara kedua belah pihak yang menyebabkan
adanya ketidaksesuaian yang tidak signifikan. Perbedaan yang ditemukan pada
pengendalian internal tidak bersifat signifikan (tidak terkait pencapaian objektif
pengendalian). Perbedaan tersebut merupakan area untuk perbaikan (opportunity
for improvement) dan bukan merupakan kelemahan pengendalian internal
perusahaan, sehingga, kondisi pada poin (1) dan (2) untuk kriteria ini tetap
terpenuhi.

BAB 5
KESIMPULAN DAN SARAN
5.1 Kesimpulan
Berdasarkan pembahasan dan analisis yang dikemukakan pada Bab 4,
dapat ditarik beberapa kesimpulan, antara lain:
1. Secara umum, implementasi ICoFR perusahaan telah dilakukan dengan
baik dan sejalan dengan pendekatan ICoFR yang dikemukakan oleh
Robert Moeller (2009): Organize the Section 404 compliance project
approach, develop a project plan, identify, document, and test key internal
controls, review compliance results with key stakeholders, dan complete
report on the effectiveness of the internal control structure. Dengan
implementasi ICoFR yang baik ini, pengendalian internal atas pelaporan
keuangan PT ABC telah berhasil memitigasi risiko yang ada.
2. RSM AAJ sebagai pihak yang melakukan fungsi pengawasan (monitoring)
dalam bentuk pengujian ICoFR telah melakukan fungsinya sesuai dengan
COSO Monitoring Guidance. Dalam melakukan pengujian, RSM AAJ
memiliki 3 pendekatan yakni plan, perform, dan communicate. Pengujian
yang dilakukan RSM AAJ memberikan perusahaan keyakinan yang
memadai (reasonable assurance) bahwa pengendalian berjalan dengan
efektif pada akhir tahun (tanggal akhir pelaporan) sehingga tidak akan
terjadi salah saji material dalam pelaporan keuangan yang akan
diterbitkan. Dengan jasa co-sourcing ini, perusahaan mendapatkan
keyakinan yang mendukung penilaian mereka tentang efektivitas
pengendalian internal atas pelaporan keuangan dalam perusahaan dan
mendukung pencapaian objektif perusahaan terkait keandalan pelaporan
keuangan.
3. PT ABC memiliki siklus pendapatan prepaid yang terdiri dari empat
proses, yaitu Penjualan Kartu/Voucher/E-voucher/Device prabayar,
Recharging, Prepaid Usage Calculation, dan Month-End. Dari
keseluruhan proses tersebut, terdapat 29 kontrol yang diuji. Dari 29
kontrol, 2 di antaranya merupakan kontrol yang Not Applicable (tidak

dapat diuji) karena tidak adanya kejadian/transaksi yang diminta untuk
periode September – Desember 2013 (Fase III). 6 di antara kontrol
tersebut ditemukan ketidaksesuaian namun tidak signifikan, sehingga 6
kontrol tersebut tetap diklasifikasikan sebagai comply. Dengan demikian,
SOA Audit PT ABC menyimpulkan bahwa berdasarkan hasil pengujian
yang dilakukan kepada 29 kontrol, pengendalian internal pada siklus
pendapatan prepaid PT ABC telah berjalan dengan efektif dan beroperasi
sesuai dengan rancangan pada Risk Control Matrix PT ABC sehingga
memenuhi ketentuan Sarbanes-Oxley Act 404 dan tingkat kepatuhannya
memenuhi kriteria Sangat Baik.
4. Terdapat perbedaan pemahaman atas pedoman pengendalian internal yang
telah didisain pihak Internal Audit dan pemahaman manajemen
berdasarkan praktik yang dilakukan. Perbedaan pemahaman inilah yang
menjadi faktor penyebab terjadinya ketidaksesuaian antara RCM dan
praktik yang dilakukan walaupun bersifat tidak signifikan. Mengetahui
fakta bahwa Risk Control Matrix PT ABC dirancang oleh pihak Internal
Audit PT ABC dengan persetujuan dari Manajemen, dapat disimpulkan
bahwa pihak manajemen kurang teliti dalam menyetujui RCM yang
dirancang oleh pihak Internal Audit PT ABC untuk periode September –
Desember 2013 ini dan masih kurangnya komunikasi yang dilakukan antar
kedua belah pihak. Sehingga, masih banyak prosedur dalam RCM Fase III
ini yang belum disesuaikan dengan prosedur terbaru.
5.2 Saran
5.2.1 PT ABC
Berdasarkan pengalaman selama melaksanakan fieldwork di PT ABC,
penulis memiliki beberapa saran untuk perusahaan, yaitu:
1. Manajemen departemen terkait seharusnya menyampaikan perubahan
proses bisnis pengendalian terkait kepada Internal Audit secepatnya
sehingga dapat dilakukan perubahan/pemutakhiran RCM sesuai kondisi
terkini.

2. PT ABC sebaiknya lebih memperhatikan aspek komunikasi agar informasi
yang ada dalam perusahaan dapat dikomunikasikan secara penuh pada
seluruh pihak dalam perusahaan, karena pada saat pengujian dilakukan
beberapa karyawan merasa tidak pernah disosialisasikan tentang pengujian
ICoFR yang akan dilakukan dalam tiga fase oleh Tim RSM AAJ.
3. Pada saat proses awal perancangan Risk Control Matrix untuk Fase III ini,
manajemen PT ABC seharusnya lebih teliti dalam menyetujui RCM, agar
menghindari ketidaksesuaian yang disebabkan oleh perbedaan aspek
fungsional dan prosedur yang dilakukan antara yang dirancang dalam
RCM dengan kondisi proses bisnis yang terbaru.
4. Pihak-pihak pada departemen-departemen dan divisi terkait yang diuji
sebaiknya dapat bersikap lebih responsif dan bertindak lebih cepat untuk
membantu pihak AAJ dalam menyelesaikan pengujian ICoFR dengan
tepat waktu.
5. PT ABC seharusnya memperbarui SOP Keuangan untuk siklus pendapatan
(dan siklus lainnya) sehingga memudahkan Internal Audit dalam
menyusun RCM dengan tepat dan sesuai dengan kondisi terkini.
5.2.2 RSM AAJ Associates

Berdasarkan pengalaman selama melaksanakan fieldwork di PT ABC,
penulis memiliki beberapa saran untuk RSM AAJ Associates, yaitu:
1. Dengan banyaknya atribut pengendalian yang harus diuji kembali dan
kertas kerja yang harus ditinjau ulang, RSM AAJ seharusnya
mendelegasikan posisi Team Leader (yang merangkap menjadi reviewer
pertama) kepada dua orang, sehingga proses review menjadi lebih efisien
dan efektif.
2. Terkait kontrol nomor PRE-01-A-07 dalam subproses penjualan indirect
melalui Authorized Dealer, RSM AAJ seharusnya mengklarifikasi
penyebab risiko yang tidak dijabarkan perusahaan dalam Risk Control
Mapping pada saat melakukan assessment.

DAFTAR REFERENSI
Arryman, Arif, et al. (2010). Mengurai Benang Kusut, Merajut Masa Depan:
Transformasi Tata Kelola Pelaporan Keuangan PT X Pasca Sarbanes-
Oxley Act. Jakarta: PT X Indonesia.
Committee of Sponsoring Organization of the Treadway Commision. (June,
2006). Internal Control over Financial Reporting – Guidance for Smaller
Public Companies. United States: COSO.
Committee of Sponsoring Organization of the Treadway Commision. (January,
2009). Internal Control – Integrated Framework: Guidance on Monitoring
Internal Control Systems. United States: COSO.
Committee of Sponsoring Organization of the Treadway Commision. (May,
2013). Internal Control – Integrated Framework: Executive Summary.
United States: COSO.
KPMG. (2013). COSO Internal Control – Integrated Framework (2013).
https://www.kpmg.com/Ca/en/External%20Documents/Final-New-COSO-
2013-Framework-WHITEPAPER-web.pdf.
Moeller, Robert. (2004). Sarbanes-Oxley and the New Internal Auditing Rules.
New Jersey: John Wiley & Sons, Inc.
Moeller, Robert. (2009). Brink’s Modern Internal Auditing: a Common Body of
Knowledge. New Jersey: John Wiley & Sons, Inc.
Romney, M.B., & Steinbart, P.J. (2012). Accounting Information Systems (12th
ed.). England: Pearson Education Limited.
RSM AAJ Associates. (2013). Draft Technical Proposal Jasa Co-Source Testing
Internal Control Tahun 2013 PT ABC. Jakarta: RSM AAJ Associates.
Sonnelitter, Robert. (2010). SOX 404 For Small, Publicly Held Companies.
Chicago: CCH.
The Institute of Internal Auditors. (2008). Sarbanes-Oxley Section 404: A Guide
for Management by Internal Controls Practitioners, 2nd edition. United
States: The Institute of Internal Auditors.
The Institute of Internal Auditors. (2009). Internal Auditing: Assurance &
Consulting Services. Florida: The Institute of Internal Auditors.
Laporan Tahunan 2013 PT ABC.

Lampiran 1: Kertas Kerja Pengujian
PT ABC
PROGRAM AUDIT PENGUJIAN PENGENDALIAN INTERN Kertas Kerja A
No. Ref. PRE-01-A-01-HO.Cash Matriks
Audit Program No. Ref. Matriks 2013.2
Collect Versi
A-PRE-01-A-01- PENDAPATAN -
HO.Cash Siklus Proses
PREPAID
Collect Error!
Unknown
document
Pusat
Kantor Pusat – Cash Collection Control Dept.
property name. Pertanggungjawaban
Error! Unknown
document Lokasi Pengujian Error! Unknown document property name.
property name.
Asersi / Control Objective:

Akun:
Risiko PRE-01
1.
Penyebab Risiko Jumlah penerimaan atas penjualan kartu/voucher/e-voucher dan e-voucher yang di-distribusikan (input stock) kepada
1.
Retail Nasional tidak sesuai dengan pencatatan dan pembayaran yang diterima.
Control Reff
No Aktivitas Pengendalian Intern Penanggungjawab
PRE-01-A
Melakukan verifikasi atas jumlah penerimaan penjualan e-Voucher serta jumlah e-voucher yang
Control Respon Reff 1. akan didistribusikan kepada Retail Nasional dengan pencatatan transaksi penjualannya dalam Manager
PRE-01-A-01-HO.Cash Collect
sistem Paradise.
Control Key/ Non

COSO Objective Risk Level Type of Control Anti Fraud Flag Control Frequency
Key
Transactional /
Financial Reporting Reliability Moderate Key Control IT Dependent Manual Yes
Multiple Times per
136
(lanjutan)
Day
PROGRAM AUDIT
Tujuan Pengujian Memperoleh bukti pengujian bahwa telah dilakukan verifikasi atas jumlah penerimaan penjualan e-Voucher serta jumlah e-voucher
yang akan didistribusikan kepada Retail Nasional dengan pencatatan transaksi penjualannya dalam sistem Paradise.
Pendekatan Pengujian  Full Testing  Update Testing Dokumen Pendukung:
Jenis Pengujian Direct Testing (Inquiry, Inspeksi dokumen) 1. Nota Dinas Persetujuan Pengeluaran E- 3. Rekening Koran
Voucher
Periode Pengujian September – Desember 2013
2. Sales Order
Metode Sampling Statistical Sampling
Diselesaikan
Atribut Kontrol Prosedur Audit WP Ref.
Oleh Tgl
1. Terdapat Nota Dinas 1. Melakukan inspeksi terhadap Nota Dinas Persetujuan
Persetujuan Pengeluaran E- Pengeluaran E-Voucher dari Dept. Cash Collection Control
Voucher dari Dept. Cash kepada Dept. Card and Voucher Inventory and Distribution untuk
Collection Control kepada melakukan distribusi.
Dept. Card and Voucher
Inventory and Distribution
untuk melakukan distribusi.
2. Terdapat tanda tangan 1. Melakukan inspeksi terhadap bukti tanda tangan pejabat
pejabat berwenang pada berwenang pada Nota Dinas Persetujuan Pengeluaran E-
Nota Dinas Persetujuan Voucher.
Pengeluaran E-Voucher.
3. Nilai dan jumlah penjualan e- 1. Melakukan inspeksi terhadap kesesuaian atas nilai dan jumlah
Voucher pada Sales Order penjualan e-Voucher pada Sales Order dari Paradise dengan:
dari Paradise sesuai dengan: - jumlah penerimaan uang pada rekening koran dan bukti
setornya
- jumlah penerimaan uang
- jumlah e-voucher yang didistribusikan pada Nota Dinas
pada rekening koran dan
Persetujuan Pengeluaran E-Voucher.
137
(lanjutan)
Diselesaikan
Atribut Kontrol Prosedur Audit WP Ref.
Oleh Tgl
bukti setornya
- jumlah e-voucher yang
didistribusikan pada Nota
Dinas Persetujuan
Pengeluaran E-Voucher.
4. Terdapat tanda tangan 1. Melakukan inspeksi terhadap bukti tanda tangan pejabat
pejabat berwenang pada berwenang pada Sales Order.
Sales Order.
Disiapkan oleh: Disetujui oleh:

Tanggal: 1 November 2013 Tanggal:
XXX XXX
Assessor Head of Financial Audit Division
138
(lanjutan)
139
(lanjutan)
140
(lanjutan)
141
(lanjutan)
PT. ABC
Data Sampel
: E-PRE-13-C-17-HO.Area 3
Ref. No Segment
Pusat Pertanggungjawaban :
Lokasi :
Siklus :
Proses :
Control Respon Reff : PRE-13-C-17-HO.Area 3 Segment
Atribut :
Gambar 1
(1.b.1)
Accounting period yang dibuka di dalam sistem sesuai dengan accounting period yang sedang berjalan
142
(lanjutan)
PT ABC
MINUTES OF MEETING
WP Ref : F-PRE-01-A-06-HO.Cash Collect

Pusat
: Kantor Pusat - Cash Collection Control Dept.
Pertanggungjawaban
Hari/Tanggal : Kamis/30 Januari 2013
Tempat : Kantor Pusat PT ABC - Cash Collection Control Dept.
Topik : Terdapat ketidaksesuaian antara deskripsi atribut pengendalian pada RCM 2013.1 dengan praktik yang dilakukan
selama periode pengujian September - Desember 2013.
AUDITEE TEAM ASSESSMENT

XXX
XXX XXX
Head of Postpaid and Others
Head of Cash Collection Control Department Assessor
Cash Collection Control Section
No. Control: Reference:
Control
Description:
Terdapat ketidaksesuaian antara deskripsi atribut pengendalian pada RCM 2013.2 dengan praktik yang
dilakukan selama periode pengujian September - Desember 2013.
Issue:
Proposed Action/
Recommendation:
143
(lanjutan)
Dibuat Oleh : Mengetahui:
XXX
Head of Cash
XXX XXX
Collection
Assessor Head of Postpaid and Others Cash Collection Control Section
Control
Department
Tanggal : 30 Januari 2014 Tanggal : 30 Januari 2014
144
145
Lampiran 2: Diagram Alir penjualan indirect kepada Retail Nasional

146
Lampiran 3: Diagram Alir penjualan indirect kepada Authorized Dealer

147

148
Lampiran 5: Diagram Alir penjualan direct melalui Branch/Metro

149

150

151
Lampiran 8: Diagram Alir manual recharging (komplain pelanggan)

152

153
Lampiran 10: Diagram Alir Recharging (Monitoring)

154

155
Lampiran 12: Diagram Alir Inject Value Tambahan (Bonus Tambahan)

156

Universitas Indonesia Penilaian Atas Internal Control Over Financial Reporting Sesuai Sarbanes-Oxley 404 Pada Siklus Pendapatan Prepaid PT Abc PDF

Diunggah oleh

Informasi Dokumen

Deskripsi Asli:

Judul Asli

Hak Cipta

Format Tersedia

Bagikan dokumen Ini

Bagikan atau Tanam Dokumen

Opsi Berbagi

Apakah menurut Anda dokumen ini bermanfaat?

Apakah konten ini tidak pantas?

Hak Cipta:

Format Tersedia

Universitas Indonesia Penilaian Atas Internal Control Over Financial Reporting Sesuai Sarbanes-Oxley 404 Pada Siklus Pendapatan Prepaid PT Abc PDF

Diunggah oleh

Hak Cipta:

Format Tersedia

UNIVERSITAS INDONESIA

PENILAIAN ATAS INTERNAL CONTROL OVER FINANCIAL

AFINA KHAIRANA DJAKMAN

Penilaian atas..., Afina Khairana Djakman, FE UI, 2014

Jakarta, 12 Juni 2014

Nama : Afina Khairana Djakman

Laporan magang ini membahas tentang penilaian atas Internal Control

Name : Afina Khairana Djakman

This internship report discusses about the assessment of PT ABC’s

Penilaian atas..., Afina Khairana Djakman, FE UI, 2014

3. GAMBARAN UMUM PERUSAHAAN .........................................................42

4. PEMBAHASAN DAN ANALISIS ..................................................................61

DAFTAR REFERENSI .....................................................................................135

Tabel 3.1 Line of businesses RSM AAJ Associates ..................................... 43

Gambar 2.1 COSO Framework ........................................................................15

Lampiran 1 Kertas Kerja Pengujian................................................................136

1.1. Latar Belakang Tema

Peran teknologi informasi dalam kehidupan manusia sangatlah besar.

Perusahaan-perusahaan yang bergelut dalam bidang informasi dan

Untuk menciptakan pengendalian internal yang efektif, banyak

Dikarenakan terbatasnya sumber daya dalam divisi Audit SOA PT ABC

Penilaian atas..., Afina Khairana Djakman, FE UI, 2014

Di dalam proposal yang diajukan oleh RSM AAJ kepada PT ABC

1.2 Rumusan Masalah

Berdasarkan latar belakang tema yang telah diuraikan di atas, beberapa

1. Bagaimanakah proses implementasi ICoFR yang dilakukan perusahaan?

Penilaian atas..., Afina Khairana Djakman, FE UI, 2014

Berdasarkan masalah yang telah diuraikan di atas, tujuan dari penulisan

1. Menilai implementasi ICoFR yang dilakukan oleh PT ABC.

1.4 Tempat dan Waktu Pelaksanaan Magang

Penulis melakukan pogram magang ini sebagai Junior Associate (intern)

1.5. Pelaksanaan Kegiatan Magang

Selama 3 bulan kegiatan magang berlangsung, penulis memperoleh

Penilaian atas..., Afina Khairana Djakman, FE UI, 2014

1. Berperan sebagai assessor dalam proses pengujian pengendalian internal

Proyek ini dilaksanakan dengan tujuan memberikan jasa co-sourcing

1. Pemeliharaan pencatatan telah dilakukan secara rinci, wajar, akurat serta

Penilaian atas..., Afina Khairana Djakman, FE UI, 2014

Dengan tujuan di atas, maka tujuan utama program pengujian

1.6. Ruang Lingkup Penulisan Laporan Magang

Laporan magang ini akan membahas mengenai proses pengujian

1.7 Metode Penulisan Laporan Magang

Penilaian atas..., Afina Khairana Djakman, FE UI, 2014

1.8 Sistematika Penulisan

Bab 2 Landasan Teori

Bab 3 Profil Perusahaan

Penilaian atas..., Afina Khairana Djakman, FE UI, 2014

Bab 4 Pembahasan dan Analisis

Bab ini menjelaskan tentang implementasi prosedur ICoFR PT ABC dan

Bab 5 Kesimpulan dan Saran

Penilaian atas..., Afina Khairana Djakman, FE UI, 2014

2.1 Pengendalian Internal

Menurut IIA dalam buku Internal Auditing: Assurance & Consulting

2.1.1 Pengertian Pengendalian Internal

Moeller (2009), dalam bukunya Brink’s Modern Internal Auditing,

“Internal control comprises the plan of enterprise and all of the

Penilaian atas..., Afina Khairana Djakman, FE UI, 2014

Committee of Sponsoring Organizations of the Treadway Commission

 Efektivitas dan efisiensi operasional perusahaan.

Dengan definisi COSO di atas, dapat disimpulkan bahwa pengendalian

2.1.2 Tujuan Pengendalian Internal

Menurut Standards for the Professional Practice of Internal Auditing