14 si pi, jemmy esrom serang, hapzi ali, internal control over financial reporting, universitas mercu buana, 2017

1. INTERNAL CONTROL OVER FINANCIAL REPORTING
Implementasi dan desain ICoFR 1. Definisi ICoFR. 2. Inherent limitation dari
ICoFR. 3. COSO Integrated Framework. 4. Entity level control (ELC) and
transactional level control (TLC). 5. Siklus dalam desain dan implementasi ICoFR.
Paper Untuk memenuhi
Tugas SISTEM INFORMASI DAN PENGENDALIAN INTERNAL
Disusun Oleh : Jemmy Esrom Serang
NIM : 55516120030
Dosen Pengampu : Prof. Dr. Ir. Hapzi Ali, MM, CMA
Program Studi Magister Akuntansi
FAKULTAS PASCA SARJANA
UNIVERSITAS MERCUBUANA
JAKARTA
2017

2. Tanggapi dan Jawab Forum minggu ini dengan baik dan benar :
Bagaimanakah Internal control over financial reporting pada perusahaan
saudara atau pada perusahaan lain yang saudara ketahui apakah
menggunakan kosep atau disain ICoFR dan bagaimana dengan Entity level
control (ELC) dan Transactional Level Control (TLC), apakah di terapkan ?,
Jelakankan !
JAWABAN
Berikut tanggapan saya terkait forum kita minggu ini tentang Implementasi
Internal Control Over Financial Reporting pada PT Semen Padang.
Sukses berkelanjutan bisnis sangat dipengaruhi oleh kekuatan system
internal control over financial reporting (ICOFR). Abad 21 peranan financial
reporting makin relevan dan penting. Financial reporting sebagai peta perjalanan
kinerja bisnis yang mencerminkan sukses tidaknya bisnis.
Takdipungkiri bahwa kegagalan perusahaan baik global maupun local
banyak disebabkan kelemahan ICOFR.Kebangkrutan perusahaan raksasa seperti
Enron di Amerika adalah contoh nyata. Bank Century di Indonesia da nada banyak
contoh lain juga akibat kelemahan ICOFR. Apakah para pimpinan,manajer dan
pelaku bisnis lain sadar akan hal itu?.
Jika Good Corporate Governance ingin dicapai, maka kebutuhan ICOR
yang kuat menjadi kebutuhan semua pihak. Namun inilah masalahnya, kurangnya
pengertian dan kesadaran kita akan hal itu. Lantas bagaimana solusinya?.Tanpa

3. learning tidak ada understanding, dan tanpa understanding tidak ada
consciousness.Untuk membantu kebutuhan tersebut, maka training ICOFR ini akan
menjawab kebutuhan tersebut bagi pemegang saham, komisaris, internal auditor,
dan manajer, sehingga mampu melakukan fungsinya dengan proaktif dan
professional untuk membangun bisnis kuat , sehat, dan kompetitif serta sustainable.
Pengendalian Internal atas Pelaporan Keuangan (Internal Control over
Financial Reporting – ICoFR) merupakan suatu proses yang dirancang dan
dilaksanakan oleh manajemen perusahaan dalam rangka mencapai keandalan
laporan keuangan, efisiensi, dan efektivitas operasi, serta kepatuhan terhadap
peraturan yang berlaku untuk memberikan keyakinan yang memadai. Pelaksanaan
ICoFR ini diatur dalam SOX Section 404 yang berjudul “Management Assessment
of Internal Control.” Section ini mengatur bahwasanya manajemen dari perusahaan
yang terdaftar di pasar modal Amerika Serikat (NYSE) wajib melakukan pelaporan
atas efektivitas ICoFR serta wajib menyertakan atestasi auditor pula atas efektivitas
ICoFR – nya.
SOX 404 mengharuskan manajemen membuat pernyataan mengenai
tanggung jawabnya terhadap pengendalian internal dan pelaporan keuangan ICoFR
yang dibuat oleh pelakunya. Diikuti dengan management assessment atas
efektivitas pengendalian internal yang telah dilakukannya dengan membuat
pengujian – pengujian. Selanjutnya adapula auditor eksternal yang diminta untuk
melakukan atestasi atas management assessment tersebut untuk menjamin
keefektifan pengendalian internalnya. Seksi ini secara terperinci diatur di dalam

4. PCAOB Auditing Standard No. 5 yang berjudul An Audit of Internal ControlOver
Financial Reproting That is Integrated with An Audit of Financial Statements.
ICoFR bertujuan untuk memastikan pencatatan yang terperinci, akurat, dan
wajar atas transaksi dan pengelolaan transaksi perusahaan. Tujuan ini selanjutnya
akan memberikan keyakinan yang memadai bahwa transaksi telah dicatat dengan
benar prinsip akuntansi yang berlaku umum serta keyakinan yang memadai akan
upaya pencegahan atau identifikasi perolehan, penggunaan, atau pengelolaan aset
perusahaan tanpa otorisasi yang berdampak material atas laporan keuangan.
ICoFR tidak dapat menjanjikan bahwa perusahaan akan mutlak tidak akan
mengalami kesalahan dalam penyajian laporan keuangannya yang bebas dari salah
saji material yang merupakan tujuan pengendalian secara tepat waktu oleh
manajemen. Desain dan pelaksanaan yang secermat apapun tidak mampu
meniadakan kesalahan – kesalahan yang akan terjadi.
Keterbatasan ICoFR akan tetap ada karena dala pelaksanaannya ICoFR
merupakan suatu proses yang sangat melibatkan campur tangan manusia yang
rentan terhadap kecurangan atau kesalahan. ICoFR hanya dapat meminimalkan itu
semua. Oleh karena itu, terdapat konsep yang disebut dengan “keyakinan yang
memadai”.
Dalam rangka mewujudkan pengendalian internal yang efektif, sesuai
dengan rekomendasi US SEC, perusahaan harus menggunakan dan mengacu pada
suatu kerangka dasar pengendalian internal yang telah diakui secara global sebagai
best practice untuk menjamin efektivitasnya. Tujuan COSO adalah menjadi

5. panduan bagi manajemen eksekutif dan para pengelola perusahaan dalam
pengelolaan organisasi, pengendalian internal, manajemen resiko, dan penyusunan
pelaporan keuangan.
ICOFR di Indonesia telah diatur dalam SPAP (Standar Audit Akuntan
Publik) yang diterbitkan oleh IAI (Ikatan Akuntan Indonesia) yaitu standar yang
mewajibkan auditor untuk melaksanakan pekerjaan sesuai dengan standar
pekerjaan lapangan No.2, SPAP 1994 – PSA No.06, 23, 24, 35, 60 & 69 , SPAP
2001-SAT Seksi 400 & SA Seksi 314, dalam implementasinya pengendalian
internal menggunakan COSO, namun kewajiban audit atau memberi opini atas
pengendalian internal belum diterapkan. Bagi BUMN keharusan penyelenggaraan
pengendalian internal berbasis COSO tertuang dalam pasal 22 Keputusan Menteri
BUMN Nomor Kep-117/M-MBU/2002 tentang penerapan good governance pada
Badan Usaha Milik Negara (BUMN). Dalam keputusan tersebut dinyatakan bahwa
manajemen BUMN harus memelihara pengendalian internal bagi perusahaan yang
meliputi. Keputusan Ketua Badan Pengawas Pasar Modal nomor: Kep-40/PM/2003
atau peraturan nomor VIII.G.11 tentang tanggung jawab direksi atas laporan
keuangan, yaitu:
1. Laporan Keuangan dalam rangka kewajiban penyampaian laporan
keuangan kepada Bapepam.
2. Direksi Emiten atau Perusahaan Publik wajib membuat surat pernyataan.
3. Surat pernyataan sebagaimana wajib ditandatangani oleh Direktur Utama
dan seorang Direktur yang membawahi bidang akuntansi atau keuangan,
dan bermeterai cukup.

6. 4. Direksi Emiten atau Perusahaan Publik secara tanggung renteng
bertanggung jawab atas pernyataan yang dibuat termasuk kerugian yang
mungkin ditimbulkan.
5. Surat pernyataan wajib dilekatkan pada laporan keuangan yang
disampaikan kepada Bapepam.
6. Dalam hal laporan keuangan yang disampaikan telah diaudit atau ditelaah
secara terbatas, maka tanggung jawab Direksi atas pernyataan sebagaimana
dimaksud berlaku sampai dengan tanggal pendapat akuntan.
7. Laporan keuangan interim yang disampaikan tidak diaudit, maka tanggung
jawab Direksi atas pernyataan berlaku sampai dengan tanggal
disampaikannya surat pernyataan dimaksud kepada Bapepam.
8. Dengan tidak mengurangi ketentuan pidana di bidang Pasar Modal,
Bapepam berwenang mengenakan sanksi terhadap setiap pelanggaran
ketentuan peraturan ini, termasuk pihakpihakyang menyebabkan terjadinya
pelanggaran tersebut.
Perusahaan Indonesia yang listing di bursa efek di Amerika Serikat (NYSE) dan
hanya satu-satunya Badan Usaha Milik Negara (BUMN) di Indonesia yang
terdaftar di NYSE sehingga PT Telkom harus patuh terhadap SOA section 404
seperti yang disyaratkan oleh SEC (Securities and Exchange Commission).
PT Pelabuhan Indonesia III (Persero) merupakan pemerintah yang perlu diaudit
oleh auditor atas laporan keuangan menerapkan standar SPAP dan harus melakukan
review intern control atas laporan keuangan. Berdasarkan informasi hingga saat ini

7. PT Pelabuhan Indonesia III (Persero) belum melakukan reviu pengendalian internal
dan belum membuat pernyataan Direksi atas penerapan pengendalian internal.
Pelajaran yang harus dipetik adalah bahwa dengan globalisasi ini maka kita mau
tidak mau baik akuntan, perusahan, manajemen, analis, pemerintah selaku regulator
dan juga dunia kampus harus selalu mengikuti atau kalau bisa didepan untuk
menerapkan “good governance” disemua bidang bukan saja di dunia swasta, tetapi
juga di dunia birokrasi dan dunia akademis. Status kita yang selalu dianggap
memiliki risiko tinggi tidak lepas dari aspek penerapan “good governance” ini. Kita
akan selalu menjadi bulan bulanan para professional dan penentu kebijakan tingkat
internasional. Sebenarnya dengan sifat budaya kita yang religius sudah cukup
menjadi modal awal untuk menerapkan good governance itu, namun modal
perasaan religius tidak cukup karena harus ditopang oleh penegakan aturan aturan
yang baik dan benar sesuai dengan ukuran baik dan buruk yang ditetapkan oleh
nilai nilai akhlak dan agama yang kita anut. Upaya meningkatkan peran agama
menurut saya masih relevan untuk menegakkan moral bangsa, moral birokrat,
moral pengusaha, yang terpuruk ini.
Doylea, Geb, dan McVay (2006) menemukan bahwa salah satu penyebab
kelemahan material pengendalian internal menurut section 302 dan 404 Sarbanex-
Oxley Act adalah kompleksitas proses operasi. Sementara Namiri dan Stojanovic
(2007) mengemukakan bahwa rancangan pengendalian harus mengendalikan ke
arah mana sebuah proses bisnis dilaksanakan. Sebuah perancangan ulang proses
bisnis pun (business process reengineering), menyebabkan pemutakhiran kembali
penilaian risiko pada proses bisnis, yang menggiring ke sebuah pengendalian yang

8. baru atau terbaharui, termasuk pengujiannya. Proses bisnis merupakan fokus utama
dalam menilai perancangan dan pengelolaan pengendalian internal.
Proses bisnis adalah serangkaian atau sekumpulan aktifitas yang dirancang
untuk menyelesaikan tujuan strategik sebuah organisasi, seperti pelanggan dan
pasar (Hollander, Denna, dan Cherrington, 2000). Proses bisnis memiliki beberapa
karakteristik antara lain (Sparx System, 2004)
1. memiliki tujuan,
2. memiliki input tertentu,
3. memiliki output tertentu,
4. menggunakan sumberdaya,
5. memiliki sejumlah aktifitas yang dilakukan dalam suatu urutan,
6. dapat mempengaruhi lebih dari satu unit organisasional, dan
7. mnciptakan suatu nilai untuk konsumen. pelanggan dapat berupa internal
atau eksternal.
IMPLEMENTASI ICOFR PADA PT.SEMEN PADANG
Arah perencanaan jangka panjang Perseroan senantiasa berorientasi pada
pertumbuhan laba, pengembangan lingkungan yang bersih dan sehat serta
kesejahteraan masyarakat terutama di sekitar pabrik, dengan berlandaskan nilai
Tata Kelola Perusahaan yang Baik (GCG).

9. Kerangka Kerja dan Roadmap Tata Kelola Perusahaan yang Baik (GCG)
Kerangka Kerja
Secara umum, pelaksanaan GCG di Perseroan mengacu kepada Keputusan
Menteri BUMN No. 117/M-MBU/2002 tentang Penerapan Praktek Good
Corporate Governance pada BUMN, yang diperbaharui dengan Peraturan Menteri
Negara BUMN No. PER-01/MBU/2011 tentang Penerapan Tata Kelola Perseroan
yang Baik Pada Badan Usaha Milik Negara. “Pedoman Umum Good Corporate
Governance Indonesia” yang dikeluarkan oleh Komite Nasional Kebijakan
Governance, Undang-Undang No. 40 Tahun 2007 tentang Perseroan Terbatas dan
praktik-praktik GCG yang lazim digunakan.
Arah perencanaan jangka panjang Perseroan senantiasa berorientasi pada
pertumbuhan profit, pengembangan lingkungan yang bersih dan sehat serta
kesejahteraan masyarakat terutama di sekitar pabrik dengan berlandaskan nilai Tata
Kelola Perusahaan yang Baik.
Komitmen
“Penaatan peraturan perundang-undangan yang berlaku dan persyaratan
lainnya, serta pelaksanaan GCG” merupakan bukti dan bagian dari Komitmen
Perseroan dalam menjalankan GCG.
Kebijakan Perseroan disosialisasikan kepada semua insan Perseroan dengan
pendistribusian ke semua jajaran dengan tujuan agar setiap insan Perseroan dapat
mengetahui dan memahami Kebijakan Perseroan yang telah dirumuskan dan agar
dapat dipedomani dalam menjalankan aktifitas sehari-hari.

10. Untuk mengetahui efektifitas penerapan GCG di Perseroan, maka pada
tahun 2011 telah dilaksanakan Assesment terhadap penerapan GCG yang dilakukan
dengan bekerjasama dengan BPKP Sumatera Barat.
Struktur
Infrastruktur GCG terdiri dari Organ Utama dan Organ Pendukung.
1. Organ Utama terdiri dari Rapat Umum Pemegang Saham (RUPS), Dewan
Komisaris dan Direksi.
2. Organ Pendukung berupa Komite Pembantu Dewan Komisaris yang
dibentuk sesuai karakteristik dan kebutuhan Perseroan, terdiri dari : Komite
Audit, Komite Hukum & Lingkungan, Komite Nominasi & Remunerasi,
Komite Strategi, Manajemen Risiko & Investasi (fungsi Komite Nominasi
& Remunerasi serta Komite Strategi, Manajemen Risiko & Investasi
terpusat dalam group), Sekretaris Perseroan, Satuan Pengawasan Intern
(SPI), Unit GCG & Manajemen Risiko, Perwakilan Manajemen
(Management Representative) serta Auditor Eksternal.
Mekanisme
Mekanisme Tata Kelola Perseroan diatur dalam berbagai perangkat kebijakan
yang disahkan oleh Direksi bersama Dewan Komisaris, diantaranya adalah:
1. Pedoman GCG, yang mengatur mekanisme tata kelola antar organ GCG,
Kode Etik, Manajemen Risiko, Tanggung Jawab Sosial Perseroan dan
Sistem Manajemen Semen Padang.

11. 2. Manual dan Prosedur, terintegrasi dalam Sistem Manajemen Semen Padang
(SMSP), yang meliputi: Manual (level 1), Prosedur (level 2), Instruksi Kerja
(level 3), Data/ catatan (level 4) dan Whistleblowing System.
3. Charter
a. Komite Audit Charter
b. Internal Audit Charter
4. Culture, melalui penerapan Kode Etik Perseroan (code of conduct).
Pengendalian
Perseroan secara berkesinambungan melakukan evaluasi dan penilaian
terhadap implementasi GCG baik secara mandiri ataupun bekerjasama dengan
pihak independen.
Salah satu bentuk monitoring dan evaluasi implementasi Tata Kelola
Perseroan adalah melalui assessment GCG. Perseroan melakukan assessment
pelaksanaan praktik GCG dengan tujuan mengukur kedalaman implementasi
praktik GCG sekaligus mendapatkan umpan balik bagi perbaikan di masa
mendatang.
Roadmap Penerapan
Berdasarkan hasil assessment GCG, Perseroan telah menetapkan gambaran
tahapan penerapan GCG menuju ke best practice .

12. Pelaksanaan kegiatan usaha berlandaskan prinsip GCG diterapkan secara konsisten,
menyeluruh dan terpadu melalui 4 (empat) inisiatif GCG Perseroan yang
dikeluarkan oleh Direksi pada tanggal 1 Agustus 2006.
1. Pengelolaan Perseroan secara jujur, adil dan amanah serta senantiasa
menjunjung tinggi etos kerja;
2. Pengembangan prinsip keterbukaan, kewajaran, kemandirian, akuntabilitas
dan bertanggung jawab dalam pengelolaan Perseroan;
3. Peningkatan Nilai dan budaya Perseroan secara berkelanjutan melalui
penerapan Manajemen Risiko dan Manajemen Pengelolaan secara berhati-
hati (prudent) sesuai dengan asas kelangsungan usaha, kode etik serta
peraturan perundangan yang berlaku;
4. Penempatan semua pihak yang berkepentingan dengan Perseroan sebagai
mitra kerja yang harmonis.
Perseroan memastikan bahwa prinsip dasar GCG diterapkan pada setiap aspek
bisnis dan di semua jajaran. Prinsip dasar Tata Kelola Perseroan meliputi
keterbukaan (transparency), akuntabilitas (accountability), responsibilitas
(responsibility), independensi (independency) serta kewajaran dan kesetaraan
(fairness).
1. Penerapan azaz transparansi dilakukan mealui pelaksanaan berbagai
kegiatan dan media komunikasi yang intensif dan dikelola secara
professional, sehingga pemegang saham, kreditur, masyarakat serta seluruh

13. pemangku kepentingan dapat mengetahui kinerja dan kegiatan pengelolaan
Perseroan secara merata.
2. Perseroan melaksanakan prinsip akuntabilitas dengan menitikberatkan
pada peningkatan fungsi dan peran setiap Organ Perseroan dan Manajemen
sehingga pengelolaan usaha Perseroan dapat berjalan dengan baik.
Perseroan menerapkan sistim pengendalian internal dengan sebagian
tugasnya adalah melakukan pengawasan internal.
3. Perseroan menerapkan azas tangung jawab dengan senantiasa berpegang
teguh pada prinsip kehati-hatian dan memastikan kepatuhan terhadap
ketentuan dan peraturan perundang-undangan yang berlaku.
4. Penerapan prinsip kemandirian atau indepedency dilaksanakan dengan
proses pengambilan keputusan yang bebas dari benturan kepentingan
(conflict of interest) serta pengaruh/ tekanan dari pihak manapun yang tidak
sesuai dengan peraturan perundang-undanan yang berlaku dan prinsip
korporasi yang sehat.
5. Perseroan menerapkan azas kesetaraan dengan memperlakukan seluruh
stakeholder secara berimbang (equal treatment) antara hak dan kewajiban
yang diberikan kepada dan oleh Perseroan. Perseroan membuka akses
informasi kepada seluruh pemangku kepentingan untuk memberikan
sumbang-saran bagi kemajuan Perseroan, namun Perseroan juga
menetapkan aturan kerahasiaan informasi yang membatasi akses informasi
oleh pihak yang berkepentingan.
Implementasi & Assessment GCG Tahun 2011

14. Beberapa program yang dilaksanakan ditahun 2011 sebagai bukti komitmen
manajemen Perseroan dalam penerapan GCG diantaranya adalah :
1. Penandatangan pernyataan tahunan (Pakta Integritas) oleh Komisaris,
Direksi, seluruh karyawan dan rekanan bisnis pada awal tahun 2011.
2. Memberikan Pembekalan GCG dan Manajemen Risiko bagi Direksi dan
Dewan Komisaris baru setelah penetapan sebagai Pengurus pada tahun
2011.
3. Workshop GCG dan Manajemen Risiko ke seluruh Jajaran Staff dan
Pimpinan Perseroan.
4. Penandatanganan Memorandum of Undestanding (MoU) peningkatan
efektivitas implementasi GCG dengan BPKP Provinsi Sumatera Barat.
5. Pelaksanaan assessment GCG oleh BPKP Perwakilan Sumatera Barat dan
Penyusunan Rekomendasi Perbaikan/ area of improvements (AOI).
6. Penyelesaian penyempurnaan Pedoman Kode Etik.
Assessment Implementasi GCG
Menindaklanjuti MoU Perseroan dengan BPKP Propinsi Sumatera Barat No.
499/PJJ/DIRUT/06-2011 dan No. KKS-2961/PW03/4/2011 tanggal 21 Juni 2011,
Perseroan melakukan assessment penerapan implementasi GCG untuk mengetahui
kedalaman penerapan GCG dan peluang perbaikan (area of improvement).
 Tujuan
Kegiatan assessment bertujuan untuk memperoleh gambaran mengenai
kesesuaian praktik-praktik GCG yang telah diterapkan di Perseroan dibandingkan

15. dengan best practice, dan sekaligus mengidentifikasi praktik-praktik GCG yang
masih perlu ditingkatkan atau diperbaiki Area of Improvement (AOI) sehingga
dapat dicapai suatu kondisi penerapan GCG yang ideal.
 Ruang Lingkup
Lingkup assessment adalah semua aspek kegiatan tatakelola yang mendukung
pelaksanaan GCG di Perseroan. Aspek-aspek tersebut mencakup komitmen,
struktur, dan proses yang mendukung pengelolaan Perseroan berdasarkan prinsip-
prinsip GCG.
Kegiatan diagnostic assessment akan menilai hal-hal berikut:
a) Peran Pemegang Saham/RUPS, Dewan Komisaris, dan Direksi dalam
penerapan corporate governance di Perseroan.
b) Peran manajemen (corporate management) dan Komite-Komite Komisaris
Perseroan dalam mendukung penerapan corporate governance; dan
c) Pengelolaan hubungan dengan stakeholders lainnya.
 Metodologi
Kegiatan assessment dilakukan dengan cara mengevaluasi capaian aktual
kualitas penerapan GCG pada lingkup Perseroan. Karakteristik dari kualitas
penerapan tersebut dalam hal ini dikaitkan dengan prinsip-prinsip GCG sesuai SK
Menteri BUMN No. Kep-117/M-MBU/2002 yaitu transparansi, akuntabilitas,
responsibilitas, independensi,dan fairness (kewajaran). Selanjutnya, prinsip-prinsip
tersebut dielaborasi dan diterjemahkan ke dalam instrument assessment berupa
indikator-indikator dan parameter-parameter yang menggunakan skor. Indikator

16. dan parameter GCG tersebut menjadi alat ukur utama dalam menguji tingkat
penerapan GCG , yang mencakup:
a) Partisipasi Pemegang Saham/RUPS
b) Kebijakan GCG
c) Penerapan di lingkup : a. Komisaris; b. Direksi; c. Komite Penunjang
(Komite Audit dan Komite lainnya)
d) Disclosure Kebijakan dan praktik GCG
e) Komitmen Perseroan untuk menerapkan GCG
 Capaian Hasil
Capaian hasil assessment bekerjasama dengan BPKP Sumbar yang dilakukan
pada tahun 2011, dapat disimpulkan bahwa kondisi penerapan GCG di Perseroan
mendapatkan predikat CUKUP, dengan skor capaian actual 70,13 dari skor
maksimal 100 (sebagaimana tercantum pada Roadmap penerapan GCG diatas).
Dari assessmentGCG tersebut diperoleh 44 rekomendasi perbaikan, yang
selanjutnya dijadikan acuan untuk perbaikan penerapan GCG di Perseroan.
Rencana & Strategi Implementasi GCG Tahun 2012
Sebagai tindak lanjut dan komitmen yang tinggi atas kesinambungan
peningkatkan praktik GCG pada seluruh level operasional, serta dengan mengacu
pada hasil assesment Penerapan GCG di Perseroan (berupa Rekomendasi & Area
of Improvement/AOI dari BPKP Perwakilan Sumatera Barat), Perseroan
mencanangkan beberapa kegiatan penting terkait praktik GCG dan peningkatannya
selama tahun 2012.

17. Kegiatan dimaksud mencakup diantaranya :
 Melengkapi seluruh soft structure yang belum ada dan melakukan kajian
bagi penyempurnaan yang sudah ada demi meningkatkan kualitas
penerapan GCG.
 Perseroan akan melakukan monitoring, pelaporan secara regular dan review
atas penerapan GCG serta memfasilitasi assessment oleh pihak independen
terhadap implementasi GCG di Perseroan untuk mendapatkan feed-back
penerapan GCG.
Sejalan dengan implementasi GCG, Program kerja kedepan manajemen risiko
tahun 2012 adalah mengetahui tingkat maturity level penerapan manajemen risiko
saat ini dan kemudian secara bertahap meningkatkan tingkat maturity level menuju
level terbaik. Perseroan juga menyelesaikan set up proyek manajemen risiko pada
pelaporan keuangan melalui Internal Control over Financial Reporting (ICoFR)
bersama dengan Group (SGG).

18. Quiz :
Apa yang saudara ketahui tentang 3 point di bawah ini dan kaitannya dengan
Internal control over financial reporting: implementasi dan desain ICoFR :
1. COSO Integrated Framework.
2. Entity level control (ELC) and Transactional level control (TLC).
3. Siklus dalam desain dan implementasi ICoFR.
JAWABAN
Sukses berkelanjutan bisnis sangat dipengaruhi oleh kekuatan system
internal control over financial reporting (ICOFR). Abad 21 peranan financial
reporting makin relevan dan penting. Financial reporting sebagai peta perjalanan
kinerja bisnis yang mencerminkan sukses tidaknya bisnis. Tak dipungkiri bahwa
kegagalan perusahaan baik global maupun local banyak disebabkan kelemahan
ICOFR. Kebangkrutan perusahaan raksasa seperti Enron di Amerika adalah contoh
nyata. Bank Century di Indonesia dan ada banyak contoh lain juga akibat
kelemahan ICOFR. Jika Good Corporate Governance ingin dicapai, maka
kebutuhan ICOFR yang kuat menjadi kebutuhan semua pihak.
BUMN merupakan salah satu perusahaan milik negara yang diwajibkan
menyelenggarakan pengendalian internal berbasis COSO, tertuang dalam pasal 22
Keputusan Menteri BUMN Nomor Kep-117/M-MBU/2002 tentang penerapan
good governance pada Badan Usaha Milik Negara (BUMN). Dalam keputusan
tersebut dinyatakan bahwa manajemen BUMN harus memelihara pengendalian

19. internal bagi perusahaan yang meliputi. Keputusan Ketua Badan Pengawas Pasar
Modal nomor: Kep-40/PM/2003 atau peraturan nomor VIII.G.11 tentang tanggung
jawab direksi atas laporan keuangan, yaitu:
a. Laporan Keuangan dalam rangka kewajiban penyampaian laporan
keuangan kepada Bapepam.
b. Direksi Emiten atau Perusahaan Publik wajib membuat surat pernyataan.
c. Surat pernyataan sebagaimana wajib ditandatangani oleh Direktur Utama
dan seorang Direktur yang membawahi bidang akuntansi atau keuangan,
dan bermeterai cukup.
d. Direksi Emiten atau Perusahaan Publik secara tanggung renteng
bertanggung jawab atas pernyataan yang dibuat termasuk kerugian yang
mungkin ditimbulkan.
e. Surat pernyataan wajib dilekatkan pada laporan keuangan yang
disampaikan kepada Bapepam.
f. Dalam hal laporan keuangan yang disampaikan telah diaudit atau ditelaah
secara terbatas, maka tanggung jawab Direksi atas pernyataan sebagaimana
dimaksud berlaku sampai dengan tanggal pendapat akuntan.
g. Laporan keuangan interim yang disampaikan tidak diaudit, maka tanggung
jawab Direksi atas pernyataan berlaku sampai dengan tanggal
disampaikannya surat pernyataan dimaksud kepada Bapepam.
h. Dengan tidak mengurangi ketentuan pidana di bidang Pasar Modal,
Bapepam berwenang mengenakan sanksi terhadap setiap pelanggaran

20. ketentuan peraturan ini, termasuk pihakpihakyang menyebabkan terjadinya
pelanggaran tersebut.
Perusahaan Indonesia yang listing di bursa efek di Amerika Serikat (NYSE) dan
hanya satu- satunya Badan Usaha Milik Negara (BUMN) di Indonesia yang
terdaftar di NYSE sehingga PT Telkom harus patuh terhadap SOA section 404
seperti yang disyaratkan oleh SEC (Securities and Exchange Commission).
1. COSO Integrated Framework
Sistem pengendalian intern yang dianut pemerintah Indonesia salah satunya
diadopsi dari COSO (Commitee of Sponsoring Organization of Treadway
Commision) yaitu komisi yang bergerak di bidang manajemen organisasi. Tujuan
dari Sistem Pengendalian Intern secara umum akan membantu suatu organisasi
mencapai tujuan operasional yaitu efektifitas dan efisiensi kegiatan, keterandalan
laporan keuangan, dan kepatuhan pada peraturan yang berlaku. Sistem Pengendaian
Intern perlu diketahui oleh seluruh komponen organisasi karena sistem ini
merupakan sistem yang terintegrasi dan merupakan tanggung jawab bersama untuk
mewujudkan tujuan organisasi.
Kerangka Pengendalian Internal-Terpadu COSO 2013 diterbitkan pada
tahun 1992 oleh COSO. Kemudian pada tanggal 14 Mei 2013, COSO merilis versi
terbaru dari Kerangka Pengendalian Internal-Terpadu. Kerangka baru COSO
adalah hasil dari proyek multitahunan yang signifikan, termasuk dua putaran
paparan publik untuk meninjau, menyegarkan, dan memodernisasi kerangka asli
dengan memastikannya tetap relevan.

21. Para regulator dan stakeholder mempunyai ekspektasi tinggi mengenai
pengawasan tata kelola, manajemen risiko, dan pendeteksian serta pencegahan
penyelewengan (fraud). Sementara kemajuan telah dibuat dalam menghubungkan
manajemen risiko dan praktik pengendalian internal dalam mengejar tujuan
strategis organisasi. Banyak perubahan sejak tahun 1992, peningkatan risiko bisnis
secara signifikan, sehingga kebutuhan akan kompetensi dan akuntabilitas jauh lebih
besar dari sebelumnya. Perbedaan dari kerangka tahun 1992 :
a) Kerangka asli termasuk diskusi panjang konsep pengendalian internal, yang
sekarang pengetahuan institusional.
b) Meskipun konsep prinsip-prinsip pengendalian internal telah tertanam
dalam kerangka asli, prinsip tersebut belum terinci.
c) Praktisi telah menggunakan kerangka pengendalian internal atas pelaporan
keuangan eksternal, namun kerangka ini meliputi tiga kategori utama, yaitu:
tujuan termasuk operasi, pelaporan secara keseluruhan, dan tujuan
kepatuhan.
Dengan demikian, prinsip-prinsip yang mendasari perampingan kerangka asli yaitu:
a. meningkatkan fokus pada operasi,
b. pelaporan keuangan noneksternal, dan
c. tujuan kepatuhan.
Menurut COSO, “Pengendalian internal adalah suatu proses yang dilakukan
oleh dewan entitas direksi, manajemen, dan personil lainnya; dirancang untuk

22. memberikan keyakinan memadai tentang pencapaian tujuan yang berkaitan dengan
operasi, pelaporan, dan kepatuhan.”
Kerangka pengendalian internal tahun 2013 masih menggunakan tiga
kategori tujuan tersebut, dan terdiri dari lima komponen terpadu : lingkungan
pengendalian, penilaian risiko, aktivitas pengendalian, informasi dan komunikasi,
serta pemantauan. Kerangka tersebut terus beradaptasi, dan memungkinkan kita
untuk mempertimbangkan pengendalian internal dari entitas, divisi, unit operasi,
dan/atau tingkat fungsional, misalnya pusat layanan bersama.
Komponen Pengendalian Internal dalam Kerangka COSO 2013
Ada 17 prinsip-prinsip pengendalian internal dalam komponen
pengendalian internal, yaitu:
Lingkungan Pengendalian
Lingkungan pengendalian adalah kondisi yang dibangun dan diciptakan
dalam suatu organisasi yang akan mempengaruhi efektivitas pengendalian. Kondisi
lingkungan kerja dipengaruhi oleh beberapa hal, yaitu adanya penegakan integritas
dan etika seluruh anggota organisasi, omitmen pimpinan manajemen atas
kometensi, kepemimpinan manajemen yang kondusif, pembentukan struktur
organisasi yang sesuai dengan kebutuhan, pendelegasian wewenang dan tanggung
jawab yang tepat, penyusunan dan penerapan kebijakan yang sehat tentang
pembinaan sumber daya manusia, perwujudan peran aparat pengawasan yang
efektif, dan hubungan kerja yang baik dengan pihak ekstern.

23. a) Menunjukkan komitmen terhadap integritas dan etika nilai-nilai.
b) Tanggung jawab pengawasan pelatihan.
c) Menetapkan struktur, wewenang, dan tanggung jawab.
d) Menunjukkan komitmen untuk berkompetensi
e) Meningkatkan akuntabilitas
Penilaian Risiko
Risiko merupakan hal-hal yang berpotensi menghambat tercapainya tujuan.
Identifikasi terhadap risiko (risk identification) diperlukan untuk mengetahui
potensi-potensi kejadian yang dapat menghambat dan menghalangi terwujudnya
tujuan organisasi. Setelah dilakukan identifikasi maka dilakukan analisis terhadap
risiko meliputi analisis secara kuantitatif (quantitative risk analysis) dan kualitatif
(qualitative risk analysis). Analisis risiko akan menentukan dampak kejadian, serta
merupakan input untuk mendapatkan cara mengelola risiko tersebut.
a. Menentukan tujuan yang sesuai.
b. Mengidentifikasi dan menganalisis risiko.
c. Menilai risiko penyelewengan (fraud)
d. Mengidentifikasi dan menganalisis perubahan yang signifikan.
Aktivitas Pengendalian
Kegiatan pengendalian adalah tindakan yang diperlukan untuk mengatasi
risiko, menetapkan dan melaksanakan kebijakan serta prosedur, serta memastikan
bahwa tindakan tersebut telah dilaksanakan secara efektif. Tindakan-tindakan yang
dilakukan untuk mengatasi risiko dapat dibagi menjadi 2 jenis tindakan yaitu

24. tindakan preventif dan tindakan mitigasi. Tindakan preventif adalah tindakan yang
dilakukan sebelum kejadian yang berisiko berlangsung, sedangkan tindakan
mitigasi adalah tindakan yang dilakukan setelah kejadian berisiko berlangsung,
dalam hal ini tindakan mitigasi berfungsi untuk mengurangi dampak yang terjadi.
Tindakan-tindakan tersebut juga harus dilakukan evaluasi sehingga dapat dinilai
keefektifan serta keefisienan tindakan tersebut.
a) Memilih dan mengembangkan kegiatan pengendalian
b) Memilih dan mengembangkan kontrol umum atas teknologi.
c) Menyebarkan melalui kebijakan dan prosedur.
Informasi dan Komunikasi
Informasi adalah data yang sudah diolah yang digunakan untuk
pengambilan keputusan dalam rangka penyelenggaraan tugas dan fungsi organisasi.
Informasi yang berkualitas tentunya harus dikomunikasikan kepada pihak-pihak
yang terkait. Penyampaian informasi yang tidak baik dapat mengakibatkan
kesalahan interpretasi penerima informasi.
a. Menggunakan informasi yang relevan.
b. Berkomunikasi secara internal
c. Berkomunikasi eksternal
Monitoring
Pemantauan (monitoring) adalah tindakan pengawasan yang dilakukan oleh
pimpinan manajemen dan pegawai lain yang ditunjuk dan bertanggung jawab
dalam pelaksanaan tugas sebagai penilai terhadap kualitas dan efektivitas sistem

25. pengendalian intern. Pemantauan dapat dilakukan dengan 3 cara yaitu pemantauan
berkelanjutan (on going monitoring), evaluasi yang terpisah (separate evaluation),
dan tindak lanjut atas temuan audit.
a) Melakukan evaluasi berkelanjutan dan/atau terpisah.
b) Mengevaluasi dan mengkomunikasikan kelemahan.
Lima Langkah Transisi Dari Kerangka COSO 1992 Ke Kerangka COSO 2013
1) Mengembangkan Kesadaran, Keahlian, dan Keselarasan
Langkah pertama dalam transisi ke Kerangka COSO 2013 adalah dengan
membangun kesadaran internal, keahlian pengguna COSO, dan keselarasan
kepemimpinan di perusahaan. Untuk itu kita harus memahami Kerangka COSO
2013.
2) Penilaian Dampak Awal
Setelah memahami kerangka COSO 2013, kita perlu melakukan penilaian
bagaimana dampak transisi itu. Mungkin faktor paling signifikan yang
mempengaruhi transisi dari versi 1992 sampai versi 2013 adalah bagaimana
manajemen yang sesungguhnya diterapkan dengan baik.
3) Memfasilitasi Kesadaran, Pelatihan, dan Penilaian Komprehensif
Langkah 1 dan 2 terbatas hanya pada perusahaan. Langkah ketiga ini
mensyaratkan terlibat organisasi yang lebih luas untuk membangun kesadaran dan
melakukan pressure test penilaian dampak awal yang dilakukan pada langkah ke
dua. Kita harus memfasilitasi kesadaran untuk memperbarui Kerangka Kerja

26. COSO. Kita juga harus mendiskusikan dampak kerangka kerja COSO 2013 dengan
auditor eksternal perusahaan, selain itu pelatihan mendalam mungkin diperlukan.
4) Mengembangkan dan Menjalankan Rencana Transisi COSO
Setelah kita membangun kesadaran yang luas mengenai pembaharuan kerangka
COSO, memperoleh keselarasan kepemimpinan dan dukungan pada waktu transisi,
serta menyelesaikan penilaian dampak komprehensif, maka kemudian kita
mengembangkan dan melaksanakan rencana transisi perusahaan kita. Harus
realistis antara harapan dan rencana. Ketika kita mengeksekusi rencana transisi, kita
akan melewati tiga tahap, yaitu:
a. Dokumentasi dan Evaluasi
Kita perlu memperbarui format dari dokumen yang mendasari perusahaan,
menyelaraskan ke pemetaan baru yang diciptakan dalam langkah dua.
Dokumentasi yang mendasari harus mendukung manajemen dalam
membuat suatu keputusan. Kita juga harus mengevaluasi desain kontrol
yang mendasari dan meningkatkan desain sesuai kebutuhan.
b. Validasi Pengujian dan Gap (Kesenjangan) Remidiasi
Setelah kontrol perusahaan mengenai pelaporan keuangan eksternal dan
pengungkapan efektif, kita perlu melakukan pengujian validasi untuk
memastikan kontrol ini telah diimplementasikan dan beroperasi seperti yang
diharapkan.

27. c. Review Eksternal dan Pengujian
Di beberapa titik, auditor eksternal perlu menilai dan mendapatkan
kenyamanan dengan program COSO 2013 dan dokumentasi pendukung.
5) Memacu Peningkatan Berkelanjutan
Setelah transisi untuk Kerangka COSO 2013 selesai, kita harus terus-menerus
mendorong perbaikan setelah transisi tersebut. Mereka yang saat ini masih
menggunakan COSO versi 1992 harus menyelesaikan transisi mereka ke versi 2013
paling lambat 15 Desember 2014, di mana kerangka asli akan dianggap digantikan.
2. Entity level control (ELC) and Transactional level control (TLC)
Ruang lingkup pengendalian terbagi dalam dua level, yaitu entity level control
(pengendalian tingkat entitas) dan activity/transactional level control (pengendalian
tingkat aktivitas/transaksi).
Perbandingan antara kedua level tersebut ialah sebagai berikut :
 Entity level control (ELC)
Kegiatan pengendalian ini umumnya beroperasi pada tingkat perusahaan
atau manajemen puncak pengambil keputusan strategis. Level ini memiliki
jangkauan atau kewenangan pengendalian yang lebih tinggi dari activity
level, dan bisa mempengaruhi kegiatan pada activity level, misalnya
kebijakan perusahaan. Proses identifikasi yang relevan entitas-tingkat
kontrol dapat dimulai dengan pemantauan, dan informasi dan
komunikasi).diskusi antara auditor dan karyawan yang sesuai untuk atas
pelaporan keuangan (yaitu, lingkungan pengendalian, penilaian risiko,

28. aktivitas pengendalian,pemantauan, dan informasi dan komunikasi).
Sementara mengevaluasi entitas tingkat kontrol, auditor mungkin
mengidentifikasi kontrol yang mampu mencegah atau mendeteksi salah saji
dalam laporan keuangan. Itu periode- end proses pelaporan keuangan dan
pemantauan manajemen terhadap hasil operasi merupakan sumber potensial
dari kontrol tersebut.
Contoh dalam DJP:
Kegiatan pengendalian atas pelaksanaan salah satu program DJP, yaitu
“Knowing Your Tax Payer” dimana ini merupakan kebijakan DJP dalam
mengintensifkan penerimaan pajak, sehingga munculnya satu fungsi baru
yaitu account representative.
 Pengaruh Entity-Level Controls pada Pengujian Kontrol Lain
Evaluasi auditor entitas tingkat kontrol dapat menghasilkan peningkatan
atau mengurangi pengujian bahwa auditor jika tidak mungkin dilakukan
pada lain kontrol.
Sebagai contoh, jika auditor telah merancang pendekatan audit dengan
harapan tertentu entitas tingkat kontrol (misalnya, kontrol dalam lingkungan
pengendalian) akan efektif dan mereka kontrol tidak efektif, auditor dapat
mengevaluasi kembali merencanakan pendekatan audit dan memutuskan
untuk memperluas prosedur audit nya. Di sisi lain, evaluasi auditor dari
beberapa entitas tingkat kontrol dapat menghasilkan pengurangan nya atau
pengujian nya kontrol lain, seperti kontrol lebih sesuai pernyataan yang

29. relevan. Tingkat dimana auditor mungkin dapat mengurangi pengujian
kontrol atas pernyataan yang relevan dalam kasus tersebut tergantung
padapresisi dari entitas-tingkat control.
 Activity/transactional level control (TLC)
Kegiatan pengendalian pada level ini lebih berhubungan dengan
pelaksanaan proses bisnis atau transaksi dari bagian dalam suatu organisasi.
Level ini memiliki kewenangan yang lebih rendah dari entity level control,
dan dapat dipengaruhi kebijakan dalam entity level control.
Contoh dalam DJP:
Pemantauan atas kinerja account representative dalam mengintensifkan
penerimaan perpajakan.
3. Siklus dalam desain dan implementasi IcoFR
1. Adjusting financial reporting risk
Tahap pertama dalam siklus IcoFR adalah penyesuaian atau penelaahan
terhadap risiko pelaporan keuangan. Dalam tahap ini, pihak manajemen akan
mengidentifikasi risiko-risiko apa saja yang mungkin akan timbul dalam pelaporan
keuangan sebuah perusahaan.
2. Adjust & implementat controls
Tahap kedua dalam siklus IcoFR adalah implementasi dan penyesuaian
terhadap pengendalian. Dalam tahap ini, pihak manajemen akan melakukan
penyesuaian antara risiko dan pengendaliannya. Dari risiko-risiko yang telah

30. diidentifikasi oleh pihak manajemen dalam tahap pertama, maka pihak manajemen
akan membuat suatu pengendalian yang sesuai dengan risiko yang telah
diidentifikasi. Selanjutnya, pengendalian tersebut akan diterapkan dalam
perusahaan tersebut.
3. Control remediation
Tahap selanjutnya dalam siklus ICoFR adalah pengendalian. Tahap ini juga
dapat dikatakan sebagai tahap monitoring. Pihak manajemen akan melakukan
pengawasan dan pengendalian terhadap pengendalian-pengendalian apa saja yang
telah diterapkan di dalam perusahaan tersebut.
4. Identifikasi & manage changes
Tahap terakhir dalam siklus ICoFR adalah identifikasi perubahan. Setelah
ICoFR diterapkan dalam perusahaan tersebut, maka pihak manajemen akan
mengidentifikasi perubahan-perubahan apa saja yang terjadi. Tahap ini juga dapat
dikatakan sebagai tahapan review.
Desain, implementasi, dan evaluasi pengendalian harus disesuaikan dengan
ukuran dan pelaporan risiko perusahaan. Merancang dan memelihara ICFR secara
efektif menjadi lebih menantang karena ukuran bisnis dan ruang lingkup
kegiatannya meningkat. Pada saat yang sama, perusahaan-perusahaan yang lebih
kecil juga mungkin menghadapi beberapa masalah kesulitan pengendalian/kontrol.
Sebagai contoh, risiko manajemen dapat lebih besar dalam sebuah organisasi yang
lebih kecil di mana pejabat-pejabat perusahaan memiliki keterlibatan langsung
dengan operasi dan dengan pencatatan transaksi. Selain itu, perusahaan kecil

31. mungkin tidak memiliki personel yang cukup untuk sepenuhnya melaksanakan
pemisahan tugas di semua proses. Namun demikian, perusahaan publik yang lebih
kecil masih harus menerapkan system kontrol yang akan menyediakan keyakinan
yang memadai bahwa laporan keuangan yang disusun sesuai dengan GAAP dan
bebas dari salah saji material.
Manajemen Pelaporan pada Efektivitas ICFR
Pasal 404 dari Undang-Undang Sarbanes-Oxley membutuhkan (dengan
pengecualian tertentu) semua perusahaan public setiap tahunnya menilai efektivitas
ICFR dan melaporkan hasilnya. Manajemen juga memiliki tanggung jawab untuk
mengungkapkan perubahan yang signifikan untuk sistem ICFR dalam laporan
kuartalannya. Disiplin melakukan penilaian ICFR, ditambah dengan persyaratan
untuk melaporkan hasil dalam pengajuan publik, membuat investor meningkatkan
kepercayaan keandalan laporan keuangan. Dalam melakukan penilaian, manajemen
harus menentukan apakah telah menerapkan kontrol yang memadai, mengatasi
risiko bahwa salah saji material dalam laporan keuangan perusahaan apakah dapat
dicegah atau dideteksi secara tepat waktu dan apakah control terkait operasi secara
efektif. Penilaian manajemen terhadap ICFR bias mengambil secara top-down,
pendekatan berbasis risiko. Dalam pendekatan itu, manajemen pertama-tama
berfokus pada control entitas dan kemudian pada pos penting dan proses yang
signifikandan, akhirnya, pada kegiatan pengendalian. Sementara penilaian
manajemen harus mencakup ICFR perusahaan secara keseluruhan, harus
mencurahkan perhatian terbesar bagi area-area yang menimbulkan risiko tertinggi
untuk pelaporan keuangan yang dapat diandalkan.

32. ICFR dan Auditor
Pasal 404 dari Undang-Undang Sarbanes-Oxley mensyaratkan perusahaan
public memiliki laporan auditor independen pada efektivitas ICFR.Di bawah
standar PCAOB, audit ICFR dan audit keuangan yang terintegrasi - yaitu, baik audit
dilakukan sebagai tunggal, maupun proses saling menguatkan,.Karena
kekhawatiran tentang biaya audit ICFR bagi perusahaan dengan sumber daya yang
terbatas, hasil. Kongres telah membebaskan (perusahaan publik yang lebih kecil,
dan perusahaan publik yang baru) dari persyaratan bahwa auditor perusahaan itu
menyatakan pendapat atas efektivitas ICFR. Namun, dalam audit laporan keuangan
auditor masih memerlukan sebagai bagian dari penilaian risiko audit, untuk
mendapatkan pemahaman masing-masing komponen ICFR perusahaan.Sementara
auditor tidak memerlukan untuk menguji internal control dalam audit tersebut, jika
auditor menyimpulkan bahwa ada kelemahan secara material atau kekurangan yang
signifikan dalam kontrol, kelemahan atau kekurangan harus dilaporkan secara
tertulis kepada manajemen dan komite audit.