makalah icofr
DESCRIPTION
Internal Control Over Financial ReportingTRANSCRIPT
INTERNAL CONTROL OVER FINANCIAL REPORTING
Untuk Memenuhi Tugas Matakuliah Sistem Informasi dan Pengendalian Internal
Disusun oleh :
Akhmad Nurhadi Putranto
Annisa Sabrina Djunaedy
Irmayunita Dewi Aulia
UNIVERSITAS BRAWIJAYA
FAKULTAS EKONOMI DAN BISNIS
PROGRAM PENDIDIKAN PROFESI AKUNTANSI
DESEMBER 2014
INTERNAL CONTROL OVER FINANCIAL REPORTING
A. Definisi Internal Control over Financial Reporting
Sistem pengendalian internal (internal control system) adalah
Internal control yang berkaitan dengan pelaporan keuangan disebut denga internal
control over financial reporting (IcoFR). ICoFR didefinisikan sebagai kebijakan-kebijakan
dan rangkaian prosedur serta tata kerja terkait proses pelaporan keuangan untuk menjamin
tersusunnya laporan keuangan yang akurat, andal dan tepat waktu. Tujuan dari IcoFR ini
adalah agar memiliki keyakinan yang memadai bahwa proses pencatatan pada laporan
keuangan telah didukung dengan internal control yang efektif berdasarkan ketentuan yang
berlaku.
Dalam Exchange Act Rules 13a-15(f) dan 15d-15(f), Pengendalian Internal atas
pelaporan keuangan didefinisi sebagai suatu proses yang dirancang oleh, atau di bawah
pengawasan Direktur Utama dan Direktur Keuangan, dan dilakukan oleh Direksi,
manajemen, dan personel lainnya untuk memberikan keyakinan yang memadai mengenai
keandalan pelaporan keuangan dan penyusunan laporan keuangan konsolidasian untuk
keperluan eksternal sesuai dengan prinsip akuntansi yang berlaku umum dan termasuk
kebijakan dan prosedur yang, (1) berkaitan dengan pengelolaan pencatatan secara rinci,
akurat dan wajar yang mencerminkan transaksi dan pelepasan aset Perusahaan, (2)
memberikan keyakinan yang memadai bahwa transaksi dicatat secara semestinya untuk
memungkinkan penyusunan Laporan Keuangan Konsolidasian berdasarkan prinsip akuntansi
yang berlaku umum, dan bahwa pendapatan dan biaya Perusahaan diterima dan dikeluarkan
hanya berdasarkan kewenangan manajemen dan Direksi Perusahaan, dan (3) memberikan
keyakinan yang memadai mengenai pencegahan atau deteksi secara tepat waktu dalam hal
perolehan, penggunaan atau pelepasan aset Perusahaan yang tidak sah yang dapat
memberikan dampak material terhadap Laporan Keuangan Konsolidasian.
Munculnya IcoFR ini bermula dari adanya skandal akuntansi dan audit yang
meruntuhkan korporasi besar di Amerika Serikat : Enron Corp Wordcom, membuat
pemerintah Amerika Serikat mengeluarkan regulasi atas praktek akuntansi dan audit pada
tanggal 30 Juli 2002 bernama The Public Company Accounting Reform and Investor
Protection Act. Kemudian sejalan dengan perkembangan usaha dan bisnis khususnya bagi
perusahaan yang menuju kelas dunia dan yang akan listed di pasar internasional, investir
sangat concern mengenai hasil audit independen atas efektivitas internal cotrol dalam
pelaporan keuangan.
Di Indonesia, hal lain yang menyebabkan mengapa perlu ICoFR adalah sebagai berikut:
1. Peraturan BPK RI no 1 tahun 2007, PSP 03 telah mengatur standar pelaporan pemeriksaan
keuangan, yang berkaitan pelaporan terhadap pengendalian internal, sehinga efektivitas
atas internal control pelaporan keuangan menjadi suatu keharusan bagi perusahaan
2. Untuk dapat mencegah kemungkinan adanya fraud
3. Adanya konvergensi IFRS, menyebabkan perlunya pengembangan internal control ini,
karena kebijakan akuntansi dan control, pengungkapan prosedur menjadi dasar pembuatan
rancangan risiko dan kontrol yang menyeluruh yang menggambarkan bagaimana setiap
hambatan dimitigasi, diotorisasi, dicatat, diproses, dan dilaporkan dalam laporan
keuangan.
B. Tanggung Jawab Manajemen, Dewan Direksi, dan Komite Audit dalam ICoFR
1. Manajemen Memiliki Tanggung jawab untuk ICFR
Seorang Chief Executive Officer (CEO) perusahaan memiliki tanggung jawab
keseluruhan untuk pengelolaan perusahaan, termasuk desain, implementasi, dan monitoring
dari ICFR dan pengendalian internal yang lebih luas. Sementara di banyak perusahaan
struktur manajemen bervariasi, Chief Financial Officer atauChief Accounting Officer dan
staf-nya memiliki tanggung jawab sehari-hari untuk ICFR. Sebagai masalah praktis, ICFR
sesungguhnya dilaksanakan oleh individu di seluruh perusahaan, dan yang penting bahwa
kompetensi dari individu terlatih pada keterlibatan desain dan pengawasan ICFR. Manajer di
semua tingkat perusahaan harus bertanggung jawab untuk operasi yang efektif dari kontrol di
area tanggung jawabnya masing-masing manajer. Setiap proses bisnis, seperti penjualan,
pembelian, dan proses manufaktur, harus tunduk pada kontrol/pengendalian yang dirancang
untuk memberikan keyakinan memadai bahwa proses beroperasi secara efektif dan catatan
secara akurat mencerminkan transaksi individual. Manajer unit bisnis juga bertanggungjawab
untuk menanamkan pada karyawan tentang pemahaman, dan menghormati,
kontrol/pengendalian yang terkait dengan kegiatan unit. Sebuah rincian control dalam satu
proses atau kegiatan dapat mengakibatkan terdeteksinya salah saji material, terlepas dari
efektivitas seluruh system kontrol.
2. Komite Audit, Dewan Direksi Memiliki Tanggung jawab Pengawasan terhadap ICoFR
Dewan direksi memiliki tanggung jawab pengawasan secara umum untuk semua
kegiatan perusahaan, termasuk penyusunan laporan keuangan dan desain serta pengendalian
operasi. Pengawasan dewan direksi untuk ICFR didelegasikan kepada komite audit, yang
memiliki tanggungjawab khusus untuk mengawasi pelaporan keuangan. Kegiatan komite
audit biasanya meliputi tinjauan terhadap penilaian risiko pelaporan keuangan; diskusi
dengan manajemen terkait kekurangan pengendalian yang signifikan dan dampak potensial
mereka pada pelaporan keuangan; dan evaluasi terhadap kualitas pelaporan keuangan dan
pengungkapan terkait. Para pejabat manajemen dengan tanggungjawabnya untuk ICFR
diharapkan untuk menjaga komite audit dengan memberitahu tentang operasi dan efektivitas
pengendalian. Jika perusahaan memiliki staf audit internal, pekerjaannya termasuk control
pengujian dan menginformasikan komite audit mengenai temuan terhadap ICFR. Komite
audit juga bertanggungjawab untuk mempekerjakan dan mengawasi kegiatan auditor
independen. Komunikasi auditor dengan komite audit merupakan sumber informasi yang
penting yang berkaitan dengan ICFR perusahaan. StandarThe Public Company Accounting
Oversight Board’s(PCAOB) yang mengharuskan auditor berkomunikasi dengan komite audit
mengenai gambaran dari strategi audit, yang biasanya juga mencakup diskusi tentang ICFR,
berdasarkan perencanaan audit kerja auditor.
C. Inherent Limitation of ICoFR
Berikut ini adalah keterbatasan bawaan yang melekat dalam setiap pengendalian
interal:
1. Kesalahan dalam pertimbangan
Terkadang, manajemen dan personel lainnya dapat melakukan pertimbangan yang buruk
dalam membuat keputusan bisnis atau dalam melaksanakan tugas rutin karena informasi
yang tidak mencukupi, keterbatasan waktu, atau prosedur lainnya.
2. Gangguan
Hambatan dalam melaksanakan pengendalian dapat terjadi karena adanya gangguan ketika
personel salah memahami instruksi atau membuat kekeliruan akibat kecerobohan,
kebingungan, atau kelelahan. Perubahan sementara atau permanen dalam personel atau
dalam sistem atau prosedur juga dapat berkontribusi pada teradinya hambatan dalam
pelaksanaan pengendalian internal.
3. Kolusi
Kolusi merupakan sikap dan perbuatan tidak jujur dengan membuat kesepakatan secara
tersembunyi dalam melakukan perjanjian yang disertai dengan pemberian uang atau
fasilitas tertentu sebagai pelicin agar segala urusannya menjadi lancar. Individu yang
bertindak bersama, seperti karyawan yang melaksanakan suatu pengendalian penting
bertindak bersama dengan karyawan lain, konsumen atau pemasok, dapat melakukan
sekaligus menutupi kecurangan sehingga tidak dapat dideteksi oleh pengendalian internal.
4. Pengabaian dalam manajemen
Manajemen dapat mengesampingkan kebijakan atau prosedur tertulis untuk tujuan tidak
sah seperti keuntungan pribadi atau presentasi mengenai kondisi keuangan suatu entitas
yang dinaikkan ( misal, menaikkan laba yang dilaporkan untuk menaikkan pembayaran
bonus atau nilai pasar dari saham entitas ). Praktik pengabaian termasuk membuat
penyajian yang salah dengan sengaja kepada auditor dan lainnya seperti menerbitkan
dokumen palsu untuk mendukung pencatatan transaksi penjualan fiktif
5. Biaya vs manfaat
Biaya pengendalian internal suatu entitas seharusnya tidak melebihi manfaat yang
diharapkan untuk diperoleh. Karena pengukuran yang tepat baik dari biaya dan manfaat
biasanya tidak memungkinkan, manajemen harus membuat baik estimasi kuantitatif
maupun kualitatif dalam mengevaluasi hubungan antara biaya dan manfaat.
D. COSO Integrated Framework
Sistem pengendalian intern yang dianut pemerintah Indonesia salah satunya diadopsi
dari COSO (Commitee of Sponsoring Organization of Treadway Commision) yaitu komisi
yang bergerak di bidang manajemen organisasi. Tujuan dari Sistem Pengendalian Intern
secara umum akan membantu suatu organisasi mencapai tujuan operasional yaitu efektifitas
dan efisiensi kegiatan, keterandalan laporan keuangan, dan kepatuhan pada peraturan yang
berlaku. Sistem Pengendaian Intern perlu diketahui oleh seluruh komponen organisasi karena
sistem ini merupakan sistem yang terintegrasi dan merupakan tanggung jawab bersama untuk
mewujudkan tujuan organisasi.
Kerangka Pengendalian Internal-Terpadu COSO 2013 diterbitkan pada tahun 1992 oleh
COSO. Kemudian pada tanggal 14 Mei 2013, COSO merilis versi terbaru dari Kerangka
Pengendalian Internal-Terpadu. Kerangka baru COSO adalah hasil dari proyek multitahunan
yang signifikan, termasuk dua putaran paparan publik untuk meninjau, menyegarkan, dan
memodernisasi kerangka asli dengan memastikannya tetap relevan.
Para regulator dan stakeholder mempunyai ekspektasi tinggi mengenai pengawasan tata
kelola, manajemen risiko, dan pendeteksian serta pencegahan penyelewengan (fraud).
Sementara kemajuan telah dibuat dalam menghubungkan manajemen risiko dan praktik
pengendalian internal dalam mengejar tujuan strategis organisasi. Banyak perubahan sejak
tahun 1992, peningkatan risiko bisnis secara signifikan, sehingga kebutuhan akan kompetensi
dan akuntabilitas jauh lebih besar dari sebelumnya. Perbedaan dari kerangka tahun 1992 :
Kerangka asli termasuk diskusi panjang konsep pengendalian internal, yang sekarang
pengetahuan institusional.
Meskipun konsep prinsip-prinsip pengendalian internal telah tertanam dalam kerangka
asli, prinsip tersebut belum terinci.
Praktisi telah menggunakan kerangka pengendalian internal atas pelaporan keuangan
eksternal, namun kerangka ini meliputi tiga kategori utama, yaitu : tujuan termasuk
operasi, pelaporan secara keseluruhan, dan tujuan kepatuhan.
Dengan demikian, prinsip-prinsip yang mendasari perampingan kerangka asli yaitu:
1. meningkatkan fokus pada operasi,
2. pelaporan keuangan noneksternal, dan
3. tujuan kepatuhan.
Menurut COSO, “Pengendalian internal adalah suatu proses yang dilakukan oleh dewan
entitas direksi, manajemen, dan personil lainnya; dirancang untuk memberikan keyakinan
memadai tentang pencapaian tujuan yang berkaitan dengan operasi, pelaporan, dan
kepatuhan.”
Kerangka pengendalian internal tahun 2013 masih menggunakan tiga kategori tujuan
tersebut, dan terdiri dari lima komponen terpadu : lingkungan pengendalian, penilaian risiko,
aktivitas pengendalian, informasi dan komunikasi, serta pemantauan. Kerangka tersebut terus
beradaptasi, dan memungkinkan kita untuk mempertimbangkan pengendalian internal dari
entitas, divisi, unit operasi, dan/atau tingkat fungsional, misalnya pusat layanan bersama.
Komponen Pengendalian Internal dalam Kerangka COSO 2013
Ada 17 prinsip-prinsip pengendalian internal dalam komponen pengendalian internal,
yaitu:
Lingkungan Pengendalian
Lingkungan pengendalian adalah kondisi yang dibangun dan diciptakan dalam suatu
organisasi yang akan mempengaruhi efektivitas pengendalian. Kondisi lingkungan kerja
dipengaruhi oleh beberapa hal, yaitu adanya penegakan integritas dan etika seluruh
anggota organisasi, omitmen pimpinan manajemen atas kometensi, kepemimpinan
manajemen yang kondusif, pembentukan struktur organisasi yang sesuai dengan
kebutuhan, pendelegasian wewenang dan tanggung jawab yang tepat, penyusunan dan
penerapan kebijakan yang sehat tentang pembinaan sumber daya manusia, perwujudan
peran aparat pengawasan yang efektif, dan hubungan kerja yang baik dengan pihak
ekstern.
1. Menunjukkan komitmen terhadap integritas dan etika nilai-nilai.
2. Tanggung jawab pengawasan pelatihan.
3. Menetapkan struktur, wewenang, dan tanggung jawab.
4. Menunjukkan komitmen untuk berkompetensi
5. Meningkatkan akuntabilitas
Penilaian Risiko
Risiko merupakan hal-hal yang berpotensi menghambat tercapainya tujuan.
Identifikasi terhadap risiko (risk identification) diperlukan untuk mengetahui potensi-
potensi kejadian yang dapat menghambat dan menghalangi terwujudnya tujuan
organisasi. Setelah dilakukan identifikasi maka dilakukan analisis terhadap risiko meliputi
analisis secara kuantitatif (quantitative risk analysis) dan kualitatif (qualitative risk
analysis). Analisis risiko akan menentukan dampak kejadian, serta merupakan input untuk
mendapatkan cara mengelola risiko tersebut.
6. Menentukan tujuan yang sesuai.
7. Mengidentifikasi dan menganalisis risiko.
8. Menilai risiko penyelewengan (fraud)
9. Mengidentifikasi dan menganalisis perubahan yang signifikan.
Aktivitas Pengendalian
Kegiatan pengendalian adalah tindakan yang diperlukan untuk mengatasi risiko,
menetapkan dan melaksanakan kebijakan serta prosedur, serta memastikan bahwa tindakan
tersebut telah dilaksanakan secara efektif. Tindakan-tindakan yang dilakukan untuk
mengatasi risiko dapat dibagi menjadi 2 jenis tindakan yaitu tindakan preventif dan tindakan
mitigasi. Tindakan preventif adalah tindakan yang dilakukan sebelum kejadian yang berisiko
berlangsung, sedangkan tindakan mitigasi adalah tindakan yang dilakukan setelah kejadian
berisiko berlangsung, dalam hal ini tindakan mitigasi berfungsi untuk mengurangi dampak
yang terjadi. Tindakan-tindakan tersebut juga harus dilakukan evaluasi sehingga dapat dinilai
keefektifan serta keefisienan tindakan tersebut.
10. Memilih dan mengembangkan kegiatan pengendalian
11. Memilih dan mengembangkan kontrol umum atas teknologi.
12. Menyebarkan melalui kebijakan dan prosedur.
Informasi dan Komunikasi
Informasi adalah data yang sudah diolah yang digunakan untuk pengambilan keputusan
dalam rangka penyelenggaraan tugas dan fungsi organisasi. Informasi yang berkualitas
tentunya harus dikomunikasikan kepada pihak-pihak yang terkait. Penyampaian informasi
yang tidak baik dapat mengakibatkan kesalahan interpretasi penerima informasi.
13. Menggunakan informasi yang relevan.
14. Berkomunikasi secara internal
15. Berkomunikasi eksternal
Monitoring
Pemantauan (monitoring) adalah tindakan pengawasan yang dilakukan oleh pimpinan
manajemen dan pegawai lain yang ditunjuk dan bertanggung jawab dalam pelaksanaan tugas
sebagai penilai terhadap kualitas dan efektivitas sistem pengendalian intern. Pemantauan
dapat dilakukan dengan 3 cara yaitu pemantauan berkelanjutan (on going monitoring),
evaluasi yang terpisah (separate evaluation), dan tindak lanjut atas temuan audit.
16. Melakukan evaluasi berkelanjutan dan/atau terpisah.
17. Mengevaluasi dan mengkomunikasikan kelemahan.
Lima Langkah Transisi Dari Kerangka COSO 1992 Ke Kerangka COSO 2013
1. Mengembangkan Kesadaran, Keahlian, dan Keselarasan
Langkah pertama dalam transisi ke Kerangka COSO 2013 adalah dengan membangun
kesadaran internal, keahlian pengguna COSO, dan keselarasan kepemimpinan di perusahaan.
Untuk itu kita harus memahami Kerangka COSO 2013.
2. Penilaian Dampak Awal
Setelah memahami kerangka COSO 2013, kita perlu melakukan penilaian bagaimana
dampak transisi itu. Mungkin faktor paling signifikan yang mempengaruhi transisi dari versi
1992 sampai versi 2013 adalah bagaimana manajemen yang sesungguhnya diterapkan dengan
baik.
3. Memfasilitasi Kesadaran, Pelatihan, dan Penilaian Komprehensif
Langkah 1 dan 2 terbatas hanya pada perusahaan. Langkah ketiga ini mensyaratkan
terlibat organisasi yang lebih luas untuk membangun kesadaran dan melakukan pressure test
penilaian dampak awal yang dilakukan pada langkah ke dua. Kita harus memfasilitasi
kesadaran untuk memperbarui Kerangka Kerja COSO. Kita juga harus mendiskusikan
dampak kerangka kerja COSO 2013 dengan auditor eksternal perusahaan, selain itu pelatihan
mendalam mungkin diperlukan.
4. Mengembangkan dan Menjalankan Rencana Transisi COSO
Setelah kita membangun kesadaran yang luas mengenai pembaharuan kerangka COSO,
memperoleh keselarasan kepemimpinan dan dukungan pada waktu transisi, serta
menyelesaikan penilaian dampak komprehensif, maka kemudian kita mengembangkan dan
melaksanakan rencana transisi perusahaan kita. Harus realistis antara harapan dan rencana.
Ketika kita mengeksekusi rencana transisi, kita akan melewati tiga tahap, yaitu:
a. Dokumentasi dan Evaluasi
Kita perlu memperbarui format dari dokumen yang mendasari perusahaan,
menyelaraskan ke pemetaan baru yang diciptakan dalam langkah dua. Dokumentasi
yang mendasari harus mendukung manajemen dalam membuat suatu keputusan.
Kita juga harus mengevaluasi desain kontrol yang mendasari dan meningkatkan
desain sesuai kebutuhan.
b. Validasi Pengujian dan Gap (Kesenjangan) Remidiasi
Setelah kontrol perusahaan mengenai pelaporan keuangan eksternal dan
pengungkapan efektif, kita perlu melakukan pengujian validasi untuk memastikan
kontrol ini telah diimplementasikan dan beroperasi seperti yang diharapkan.
c. Review Eksternal dan Pengujian
Di beberapa titik, auditor eksternal perlu menilai dan mendapatkan kenyamanan
dengan program COSO 2013 dan dokumentasi pendukung.
5. Memacu Peningkatan Berkelanjutan
Setelah transisi untuk Kerangka COSO 2013 selesai, kita harus terus-menerus
mendorong perbaikan setelah transisi tersebut. Mereka yang saat ini masih menggunakan
COSO versi 1992 harus menyelesaikan transisi mereka ke versi 2013 paling lambat 15
Desember 2014, di mana kerangka asli akan dianggap digantikan.
E. Entity Level Control (ELC) and Transactional Level Control (TLC)
Ruang lingkup pengendalian terbagi dalam dua level, yaitu entity level control
(pengendalian tingkat entitas) dan activity/transactional level control (pengendalian tingkat
aktivitas/transaksi). Perbandingan antara kedua level tersebut ialah sebagai berikut :
Entity level control (ELC)
Kegiatan pengendalian ini umumnya beroperasi pada tingkat perusahaan atau
manajemen puncak pengambil keputusan strategis. Level ini memiliki jangkauan atau
kewenangan pengendalian yang lebih tinggi dari activity level, dan bisa mempengaruhi
kegiatan pada activity level, misalnya kebijakan perusahaan.
Proses identifikasi yang relevan entitas-tingkat kontrol dapat dimulai dengan
pemantauan, dan informasi dan komunikasi).diskusi antara auditor dan karyawan yang
sesuai untuk atas pelaporan keuangan (yaitu, lingkungan pengendalian, penilaian risiko,
aktivitas pengendalian,pemantauan, dan informasi dan komunikasi). Sementara
mengevaluasi entitas tingkat kontrol, auditor mungkin mengidentifikasi kontrol yang
mampu mencegah atau mendeteksi salah saji dalam laporan keuangan. Itu periode-end
proses pelaporan keuangan dan pemantauan manajemen terhadap hasil operasi merupakan
sumber potensial dari kontrol tersebut.
Contoh dalam DJP:
Kegiatan pengendalian atas pelaksanaan salah satu program DJP, yaitu “Knowing Your
Tax Payer” dimana ini merupakan kebijakan DJP dalam mengintensifkan penerimaan
pajak, sehingga munculnya satu fungsi baru yaitu account representative.
Pengaruh Entity-Level Controls pada Pengujian Kontrol Lain
Evaluasi auditor entitas tingkat kontrol dapat menghasilkan peningkatan atau mengurangi
pengujian bahwa auditor jika tidak mungkin dilakukan pada lain kontrol. Sebagai contoh,
jika auditor telah merancang pendekatan audit dengan harapan tertentu entitas tingkat
kontrol (misalnya, kontrol dalam lingkungan pengendalian) akan efektif dan mereka
kontrol tidak efektif, auditor dapat mengevaluasi kembali merencanakan pendekatan audit
dan memutuskan untuk memperluas prosedur audit nya.
Di sisi lain, evaluasi auditor dari beberapa entitas tingkat kontrol dapat
menghasilkan pengurangan nya atau pengujian nya kontrol lain, seperti kontrol lebih
sesuai pernyataan yang relevan. Tingkat dimana auditor mungkin dapat mengurangi
pengujian kontrol atas pernyataan yang relevan dalam kasus tersebut tergantung
padapresisi dari entitas-tingkat control.
Activity/transactional level control (TLC)
Kegiatan pengendalian pada level ini lebih berhubungan dengan pelaksanaan proses
bisnis atau transaksi dari bagian dalam suatu organisasi. Level ini memiliki kewenangan
yang lebih rendah dari entity level control, dan dapat dipengaruhi kebijakan dalam entity
level control.
Contoh dalam DJP:
Pemantauan atas kinerja account representative dalam mengintensifkan penerimaan
perpajakan.
G. Siklus Desain dan Implementasi ICoFR
1. Adjusting financial reporting risk
ICoFR Cycle
Tahap pertama dalam siklus IcoFR adalah penyesuaian atau penelaahan terhadap risiko
pelaporan keuangan. Dalam tahap ini, pihak manajemen akan mengidentifikasi risiko-
risiko apa saja yang mungkin akan timbul dalam pelaporan keuangan sebuah perusahaan.
2. Adjust & implementat controls
Tahap kedua dalam siklus IcoFR adalah implementasi dan penyesuaian terhadap
pengendalian. Dalam tahap ini, pihak manajemen akan melakukan penyesuaian antara
risiko dan pengendaliannya. Dari risiko-risiko yang telah diidentifikasi oleh pihak
manajemen dalam tahap pertama, maka pihak manajemen akan membuat suatu
pengendalian yang sesuai dengan risiko yang telah diidentifikasi. Selanjutnya,
pengendalian tersebut akan diterapkan dalam perusahaan tersebut.
3. Control remediation
Tahap selanjutnya dalam siklus ICoFR adalah pengendalian. Tahap ini juga dapat
dikatakan sebagai tahap monitoring. Pihak manajemen akan melakukan pengawasan dan
pengendalian terhadap pengendalian-pengendalian apa saja yang telah diterapkan di
dalam perusahaan tersebut.
4. Identifikasi & manage changes
Tahap terakhir dalam siklus ICoFR adalah identifikasi perubahan. Setelah ICoFR
diterapkan dalam perusahaan tersebut, maka pihak manajemen akan mengidentifikasi
perubahan-perubahan apa saja yang terjadi. Tahap ini juga dapat dikatakan sebagai
tahapan review.
Desain, implementasi, dan evaluasi pengendalian harus disesuaikan dengan ukuran
dan pelaporan risiko perusahaan. Merancang dan memelihara ICFR secara efektif menjadi
lebih menantang karena ukuran bisnis dan ruang lingkup kegiatannya meningkat. Pada saat
yang sama, perusahaan-perusahaan yang lebih kecil juga mungkin menghadapi beberapa
masalah kesulitan pengendalian/kontrol. Sebagai contoh, risiko manajemen dapat lebih besar
dalam sebuah organisasi yang lebih kecil di mana pejabat-pejabat perusahaan memiliki
keterlibatan langsung dengan operasi dan dengan pencatatan transaksi. Selain itu, perusahaan
kecil mungkin tidak memiliki personel yang cukup untuk sepenuhnya melaksanakan
pemisahan tugas di semua proses. Namun demikian, perusahaan publik yang lebih kecil
masih harus menerapkan system kontrol yang akan menyediakan keyakinan yang memadai
bahwa laporan keuangan yang disusun sesuai dengan GAAP dan bebas dari salah saji
material.
Manajemen Pelaporan pada Efektivitas ICFR
Pasal 404 dari Undang-Undang Sarbanes-Oxley membutuhkan (dengan pengecualian
tertentu) semua perusahaan public setiap tahunnya menilai efektivitas ICFR dan melaporkan
hasilnya. Manajemen juga memiliki tanggung jawab untuk mengungkapkan perubahan yang
signifikan untuk sistem ICFR dalam laporan kuartalannya. Disiplin melakukan penilaian
ICFR, ditambah dengan persyaratan untuk melaporkan hasil dalam pengajuan publik,
membuat investor meningkatkan kepercayaan keandalan laporan keuangan. Dalam
melakukan penilaian, manajemen harus menentukan apakah telah menerapkan kontrol yang
memadai, mengatasi risiko bahwa salah saji material dalam laporan keuangan perusahaan
apakah dapat dicegah atau dideteksi secara tepat waktu dan apakah control terkait operasi
secara efektif. Penilaian manajemen terhadap ICFR bias mengambil secara top-down,
pendekatan berbasis risiko. Dalam pendekatan itu, manajemen pertama-tama berfokus pada
control entitas dan kemudian pada pos penting dan proses yang signifikandan, akhirnya, pada
kegiatan pengendalian. Sementara penilaian manajemen harus mencakup ICFR perusahaan
secara keseluruhan, harus mencurahkan perhatian terbesar bagi area-area yang menimbulkan
risiko tertinggi untuk pelaporan keuangan yang dapat diandalkan.
ICFR dan Auditor
Pasal 404 dari Undang-Undang Sarbanes-Oxley mensyaratkan perusahaan public
memiliki laporan auditor independen pada efektivitas ICFR.Di bawah standar PCAOB, audit
ICFR dan audit keuangan yang terintegrasi - yaitu, baik audit dilakukan sebagai tunggal,
maupun proses saling menguatkan,.Karena kekhawatiran tentang biaya audit ICFR bagi
perusahaan dengan sumber daya yang terbatas, hasil. Kongres telah membebaskan
(perusahaan publik yang lebih kecil, dan perusahaan publik yang baru) dari persyaratan
bahwa auditor perusahaan itu menyatakan pendapat atas efektivitas ICFR. Namun, dalam
audit laporan keuangan auditor masih memerlukan sebagai bagian dari penilaian risiko audit,
untuk mendapatkan pemahaman masing-masing komponen ICFR perusahaan.Sementara
auditor tidak memerlukan untuk menguji internal control dalam audit tersebut, jika auditor
menyimpulkan bahwa ada kelemahan secara material atau kekurangan yang signifikan dalam
kontrol, kelemahan atau kekurangan harus dilaporkan secara tertulis kepada manajemen dan
komite audit.
DAFTAR PUSTAKA
Center For Audit Quality.2004. Guide to Internal Control Over Financial Reporting.
Washington DC