INTERNAL CONTROL OVER FINANCIAL REPORTING

Transkripsi

1 1 INTERNAL CONTROL OVER FINANCIAL REPORTING Untuk Memenuhi Tugas Matakuliah Audit Khusus Disusun oleh : Suryaningsi ( ) Jeremia auditia UNIVERSITAS PADJAJARAN FAKULTAS EKONOMI DAN BISNIS JURUSAN AKUNTANSI 2016

2 2 DAFTAR ISI JUDUL...1 DAFTAR ISI...2 BAB 1 PENDAHULUAN A. Latar Belakang...3 BAB II PEMBAHASAN A. Definisi...5 B. Tanggungjawab manajemen, dewan direksi, dan komite audit dalam ICOFR...6 C. Inherent limitation of ICOFR...8 D. COSO integrated framework...10 E. Entity level control (ELC) and transactional level control (TLC)...15 F. Siklus desain dan implementasi ICOFR...17 G. ICOFR dan Auditor...18 DAFTAR PUSTAKA...24 BAB 1 PENDAHULUAN

3 3 A. Latar belakang Bermula dengan banyaknya temuan kecurangan pada profesi akuntansi global yang merugikan stakeholder terutama sejak kasus Enron, Worldcom, Xerox, Tyco, Global Crossing dan lainnya di tahun Oleh karena itu pemerintah Amerika Serikat menerbitkan undang-undang yang dapat melindungi stakeholder yaitu Sarbanes-Oxley (Sarbanes-Oxley Act of 2002, Public Company Accounting Reform and Investor Protection Act of 2002) atau kadang disingkat SOX atau Sarbox. Sarbaness-Oxley Act (SOX) diterbitkan untuk memproteksi kepentingan investor dengan cara menciptakan tata kelola perusahaan yang baik, full disclosure, dan akuntabilitas dalam perusahaan. Pasal yang berkatian dengan Internal Control Over Financial Reporting (ICOFR) adalah 304 dan 404. Pasal 304 mewajibkan manajemen membuat pernyataan dalam laporan keuangan sedangkan pasal 404 mensyaratkan adanya laporan manajemen tahunan (annual management report) tentang pengendalian intern perusahaan atas pelaporan keuangan dan laporan manajemen tersebut merupakan subjek yang akan diaudit. SOX mewajibkan perusahaan yang listing di AS untuk membuat dokumentasi pengendalian kunci dan melaporkan kondisi pengendalian internnya secara periodik. SOX Section 302 tentang Corporate Responsibility for Financial Reports menetapkan bahwa pejabat eksekutif perusahaan (CEO & CFO) harus bertanggung jawab secara pribadi terhadap pernyataan prosedur pengendalian, internal control, dan jaminan atas kecurangan (fraud). SOX section 404 tentang Management Assessment of Internal Controls mengatur ketentuan yang mewajibkan terselenggaranya audit SOA tahunan yang menunjukkan laporan pengendalian internal (internal control report).

4 4 Jadi, selain adanya laporan auditor yang dilampirkan dalam laporan keuangan, juga terdapat laporan manajemen tentang keefektifan pengendalian intern yang diimplementasikan dalam perusahaan untuk mendukung reliabilitas laporan keuangan. Aturan pelaksanaannya bagi auditor dam manajemen telah diatur dalam PCAOB Auditing Standard No. 2 an audit of internal control over financial reporting performed in conjunction with an audit of financial statements dan AS No. 5 an audit of internal control over financial reporting that is integrated with an audit of financial statements. SEC dan PCAOB menganjurkan mengunakan kerangka acuan pengendalian internal COSO (Committee of Sponsoring Organizations of the Treadway Commission) dan untuk pengendalian internal teknologi informasi disarankan menggunakan COBIT (Control Objectives for Information and related Technology), yang dikebangkan oleh ISACA (Information Systems Audit and Control Association) sekarang versi 4.1 ICOFR di Indonesia telah diatur dalam SPAP (Standar Audit Akuntan Publik) yang diterbitkan oleh IAI (Ikatan Akuntan Indonesia) yaitu standar yang mewajibkan auditor untuk melaksanakan pekerjaan sesuai dengan standar pekerjaan lapangan No.2, SPAP 1994 PSA No.06, 23, 24, 35, 60 & 69, SPAP 2001-SAT Seksi 400 & SA Seksi 314, dalam implementasinya pengendalian internal menggunakan COSO, namun kewajiban audit atau memberi opini atas pengendalian internal belum diterapkan. Bagi BUMN keharusan penyelenggaraan pengendalian internal berbasis COSO tertuang dalam pasal 22 Keputusan Menteri BUMN Nomor Kep-117/M-MBU/2002 tentang penerapan good governance pada Badan Usaha Milik Negara (BUMN). Dalam keputusan tersebut dinyatakan bahwa manajemen BUMN harus memelihara pengendalian internal bagi perusahaan yang meliputi. BAB II PEMBAHASAN

5 5 A. Definisi Internal control yang berkaitan dengan pelaporan keuangan disebut dengan internal control over financial reporting (IcoFR). ICoFR didefinisikan sebagai kebijakan-kebijakan dan rangkaian prosedur serta tata kerja terkait proses pelaporan keuangan untuk menjamin tersusunnya laporan keuangan yang akurat, andal dan tepat waktu. Tujuan dari IcoFR ini adalah agar memiliki keyakinan yang memadai bahwa proses pencatatan pada laporan keuangan telah didukung dengan internal control yang efektif berdasarkan ketentuan yang berlaku. Dalam Exchange Act Rules 13a-15(f) dan 15d-15(f), Pengendalian Internal atas pelaporan keuangan didefinisi sebagai suatu proses yang dirancang oleh, atau di bawah pengawasan Direktur Utama dan Direktur Keuangan, dan dilakukan oleh Direksi, manajemen, dan personel lainnya untuk memberikan keyakinan yang memadai mengenai keandalan pelaporan keuangan dan penyusunan laporan keuangan konsolidasian untuk keperluan eksternal sesuai dengan prinsip akuntansi yang berlaku umum dan termasuk kebijakan dan prosedur yang, (1) berkaitan dengan pengelolaan pencatatan secara rinci, akurat dan wajar yang mencerminkan transaksi dan pelepasan aset Perusahaan, (2) memberikan keyakinan yang memadai bahwa transaksi dicatat secara semestinya untuk memungkinkan penyusunan Laporan Keuangan Konsolidasian berdasarkan prinsip akuntansi yang berlaku umum, dan bahwa pendapatan dan biaya Perusahaan diterima dan dikeluarkan hanya berdasarkan kewenangan manajemen dan Direksi Perusahaan, dan (3) memberikan keyakinan yang memadai mengenai pencegahan atau deteksi secara tepat waktu dalam hal perolehan, penggunaan atau pelepasan aset Perusahaan yang tidak sah yang dapat memberikan dampak material terhadap Laporan Keuangan Konsolidasian. Di Indonesia, hal lain yang menyebabkan mengapa perlu ICoFR adalah sebagai berikut:

6 6 1. Peraturan BPK RI no 1 tahun 2007, PSP 03 telah mengatur standar pelaporan pemeriksaan keuangan, yang berkaitan pelaporan terhadap pengendalian internal, sehinga efektivitas atas internal control pelaporan keuangan menjadi suatu keharusan bagi perusahaan 2. Untuk dapat mencegah kemungkinan adanya fraud 3. Adanya konvergensi IFRS, menyebabkan perlunya pengembangan internal control ini, karena kebijakan akuntansi dan control, pengungkapan prosedur menjadi dasar pembuatan rancangan risiko dan kontrol yang menyeluruh yang menggambarkan bagaimana setiap hambatan dimitigasi, diotorisasi, dicatat, diproses, dan dilaporkan dalam laporan keuangan. B. Tanggung Jawab Manajemen, Dewan Direksi, dan Komite Audit dalam ICoFR 1. Manajemen Memiliki Tanggung jawab untuk ICOFR Seorang Chief Executive Officer (CEO) perusahaan memiliki tanggung jawab keseluruhan untuk pengelolaan perusahaan, termasuk desain, implementasi, dan monitoring dari ICOFR dan pengendalian internal yang lebih luas. Sementara di banyak perusahaan struktur manajemen bervariasi, Chief Financial Officer atauchief Accounting Officer dan staf-nya memiliki tanggung jawab sehari-hari untuk ICOFR. Sebagai masalah praktis, ICOFR sesungguhnya dilaksanakan oleh individu di seluruh perusahaan, dan yang penting bahwa kompetensi dari individu terlatih pada keterlibatan desain dan pengawasan ICOFR.Manajer di semua tingkat perusahaan harus bertanggung jawab untuk operasi yang efektif dari kontrol di area tanggung jawabnya masing-masing manajer. Setiap proses bisnis, seperti penjualan, pembelian, dan proses manufaktur, harus tunduk pada kontrol/pengendalian yang dirancang untuk memberikan keyakinan memadai bahwa proses beroperasi secara efektif dan catatan secara akurat mencerminkan transaksi individual. Manajer unit bisnis juga bertanggungjawab untuk menanamkan pada karyawan tentang pemahaman, dan menghormati, kontrol/pengendalian yang terkait dengan kegiatan unit. Sebuah rincian control dalam satu proses atau kegiatan dapat mengakibatkan terdeteksinya salah saji material, terlepas dari efektivitas seluruh system kontrol. 2. Manajemen Pelaporan pada Efektivitas ICOFR

7 7 Pasal 404 dari Undang-Undang Sarbanes-Oxley membutuhkan (dengan pengecualian tertentu) semua perusahaan public setiap tahunnya menilai efektivitas ICOFR dan melaporkan hasilnya. Manajemen jug amemiliki tanggung jawab untuk mengungkapkan perubahan yang signifikan untuk sistem ICOFR dalam laporan kuartalannya. Disiplin melakukan penilaian ICOFR, ditambah dengan persyaratan untuk melaporkan hasil dalam pengajuan publik, membuat investor meningkatkan kepercayaan keandalan laporan keuangan. Dalam melakukan penilaian, manajemen harus menentukan apakah telah menerapkan kontrol yang memadai, mengatasi risiko bahwa salah saji material dalam laporan keuangan perusahaan apakah dapat dicegah atau dideteksi secara tepat waktu dan apakah control terkait operasi secara efektif. Penilaian manajemen terhadap ICOFR bias mengambil secara top-down, pendekatan berbasis risiko. Dalam pendekatan itu, manajemen pertamatama berfokus pada control entitas dan kemudian pada pos penting dan proses yang signifikan dan, akhirnya, pada kegiatan pengendalian. Sementara penilaian manajemen harus mencakup ICOFR perusahaan secara keseluruhan, harus mencurahkan perhatian terbesar bagi area-area yang menimbulkan risiko tertinggi untuk pelaporan keuangan yang dapat diandalkan. 3. Komite Audit, DewanDireksiMemiliki Tanggung jawab Pengawasan terhadap ICoFR Dewan direksi memiliki tanggung jawab pengawasan secara umum untuk semua kegiatan perusahaan, termasuk penyusunan laporan keuangan dan desain serta pengendalian operasi. Pengawasan dewan direksi untuk ICOFR didelegasikan kepada komite audit, yang memiliki tanggungjawab khusus untuk mengawasi pelaporan keuangan. Kegiatan komite audit biasanya meliputi tinjauan terhadap penilaian risiko pelaporan keuangan; diskusi

8 8 dengan manajemen terkait kekurangan pengendalian yang signifikan dan dampak potensial mereka pada pelaporan keuangan; dan evaluasi terhadap kualitas pelaporan keuangan dan pengungkapan terkait. Para pejabat manajemen dengan tanggungjawabnya untuk ICOFR diharapkan untuk menjaga komite audit dengan memberitahu tentang operasi dan efektivitas pengendalian. Jika perusahaan memiliki staf audit internal, pekerjaannya termasuk control pengujian dan menginformasikan komite audit mengenai temuan terhadap ICOFR. Komite audit juga bertanggungjawab untuk mempekerjakan dan mengawasi kegiatan auditor independen. Komunikasi auditor dengan komite audit merupakan sumber informasi yang penting yang berkaitan dengan ICOFR perusahaan. StandarThe Public Company Accounting Oversight Board s(pcaob) yang mengharuskan auditor berkomunikasi dengan komite audit mengenai gambaran dari strategi audit, yang biasanya juga mencakup diskusi tentang ICOFR, berdasarkan perencanaan audit kerja auditor. C. Inherent Limitation of ICoFR Berikut ini adalah keterbatasan bawaan yang melekat dalam setiap pengendalian interal: 1. Kesalahan dalam pertimbangan Terkadang, manajemen dan personel lainnya dapat melakukan pertimbangan yang buruk dalam membuat keputusan bisnis atau dalam melaksanakan tugas rutin karena informasi yang tidak mencukupi, keterbatasan waktu, atau prosedur lainnya. 2. Gangguan Hambatan dalam melaksanakan pengendalian dapat terjadi karena adanya gangguan ketika personel salah memahami instruksi atau membuat kekeliruan akibat kecerobohan,

9 9 kebingungan, atau kelelahan. Perubahan sementara atau permanen dalam personel atau dalam sistem atau prosedur juga dapat berkontribusi pada teradinya hambatan dalam pelaksanaan pengendalian internal. 1. Kolusi Kolusi merupakan sikap dan perbuatan tidak jujur dengan membuat kesepakatan secara tersembunyi dalam melakukan perjanjian yang disertai dengan pemberian uang atau fasilitas tertentu sebagai pelicin agar segala urusannya menjadi lancar.individu yang bertindak bersama, seperti karyawan yang melaksanakan suatu pengendalian penting bertindak bersama dengan karyawan lain, konsumen atau pemasok, dapat melakukan sekaligus menutupi kecurangan sehingga tidak dapat dideteksi oleh pengendalian internal. 2. Pengabaian dalam manajemen Manajemen dapat mengesampingkan kebijakan atau prosedur tertulis untuk tujuan tidak sah seperti keuntungan pribadi atau presentasi mengenai kondisi keuangan suatu entitas yang dinaikkan ( misal, menaikkan laba yang dilaporkan untuk menaikkan pembayaran bonus atau nilai pasar dari saham entitas ). Praktik pengabaian termasuk membuat penyajian yang salah dengan sengaja kepada auditor dan lainnya seperti menerbitkan dokumen palsu untuk mendukung pencatatan transaksi penjualan fiktif 3. Biaya vs manfaat Biaya pengendalian internal suatu entitas seharusnya tidak melebihi manfaat yang diharapkan untuk diperoleh. Karena pengukuran yang tepat baik dari biaya dan manfaat biasanya tidak memungkinkan, manajemen harus membuat baik estimasi kuantitatif maupun kualitatif dalam mengevaluasi hubungan antara biaya dan manfaat. D. COSO Integrated Framework Sistem pengendalian intern yang dianut pemerintah Indonesia salah satunya diadopsi dari COSO (Commitee of Sponsoring Organization of Treadway Commision) yaitu komisi yang bergerak di bidang manajemen organisasi. Tujuan dari Sistem Pengendalian Intern secara umum akan membantu suatu organisasi mencapai tujuan operasional yaitu efektifitas

10 10 dan efisiensi kegiatan, keterandalan laporan keuangan, dan kepatuhan pada peraturan yang berlaku. Sistem Pengendaian Intern perlu diketahui oleh seluruh komponen organisasi karena sistem ini merupakan sistem yang terintegrasi dan merupakan tanggung jawab bersama untuk mewujudkan tujuan organisasi. Tujuan pengendalian internal ini dapat dijelaskan sebagai berikut: 1) Efektivitas dan Efisiensi Operasi Pengendalian internal dimaksudkan untuk menghindarkan pengulangan kerjasama yang tidak perlu dan pemborosan dalam seluruh aspek usaha serta mencegah penggunaan sumber daya yang tidak efisien. 2) Keandalan Laporan Keuangan Agar dapat menyelenggarakan operasi usahanya, manajemen memerlukan informasi yang akurat. Oleh karena itu dengan adanya pengendalian internal diharapkan dapat menyediakan data yang dapat dipercaya, sebab dengan adanya data atau catatan yang andal memungkinkan akan tersusunnya laporan keuangan yang dapat diandalkan. 3) Kepatuhan terhadap Hukum dan Peraturan Pengendalian internal dimaksudkan untuk memastikan bahwa segala peraturan dan kebijakan yang telah ditetapkan manajemen untuk mencapai tujuan perusahaan dapat ditaati oleh karyawan perusahaan. Pengendalian internal mengarah pada sebuah proses karena pengendalian internal menyatu ke dalam kegiatan operasi organisasi dan merupakan bagian integral kegiatan utama manajemen yaitu perencanaan, pelaksanaan, dan pengawasan. Kerangka Pengendalian Internal-Terpadu COSO 2013 diterbitkan pada tahun 1992 oleh COSO. Kemudian pada tanggal 14 Mei 2013, COSO merilis versi terbaru dari Kerangka Pengendalian Internal-Terpadu. Kerangka baru COSO adalah hasil dari proyek multitahunan

11 11 yang signifikan, termasuk dua putaran paparan publik untuk meninjau, menyegarkan, dan memodernisasi kerangka asli dengan memastikannya tetap relevan. Para regulator dan stakeholder mempunyai ekspektasi tinggi mengenai pengawasan tata kelola, manajemen risiko, dan pendeteksian serta pencegahan penyelewengan (fraud). Sementara kemajuan telah dibuat dalam menghubungkan manajemen risiko dan praktik pengendalian internal dalam mengejar tujuan strategis organisasi. Banyak perubahan sejak tahun 1992, peningkatan risiko bisnis secara signifikan, sehingga kebutuhan akan kompetensi dan akuntabilitas jauh lebih besar dari sebelumnya.perbedaan dari kerangka tahun 1992 : Kerangka asli termasuk diskusi panjang konsep pengendalian internal, yang sekarang pengetahuan institusional. Meskipun konsep prinsip-prinsip pengendalian internal telah tertanam dalam kerangka asli, prinsip tersebut belum terinci. Praktisi telah menggunakan kerangka pengendalian internal atas pelaporan keuangan eksternal, namun kerangka ini meliputi tiga kategori utama, yaitu : tujuan termasuk operasi, pelaporan secara keseluruhan, dan tujuan kepatuhan. Dengan demikian, prinsip-prinsip yang mendasari perampingan kerangka asli yaitu: 1. meningkatkan fokus pada operasi, 2. pelaporan keuangan noneksternal, dan 3. tujuan kepatuhan. Menurut COSO, Pengendalian internal adalah suatu proses yang dilakukan oleh dewan entitas direksi, manajemen, dan personil lainnya; dirancang untuk memberikan keyakinan memadai tentang pencapaian tujuan yang berkaitan dengan operasi, pelaporan, dan kepatuhan. Kerangka pengendalian internal tahun 2013 masih menggunakan tiga kategori tujuan tersebut, dan terdiri dari lima komponen terpadu : lingkungan pengendalian, penilaian risiko,

12 12 aktivitas pengendalian, informasi dan komunikasi, serta pemantauan. Kerangka tersebut terus beradaptasi, dan memungkinkan kita untuk mempertimbangkan pengendalian internal dari entitas, divisi, unit operasi, dan/atau tingkat fungsional, misalnya pusat layanan bersama. Komponen Pengendalian Internal dalam Kerangka COSO 2013 yaitu: Ada 17 prinsip-prinsip pengendalian internal dalam komponen pengendalian internal, Lingkungan Pengendalian Lingkungan pengendalian adalah kondisi yang dibangun dan diciptakan dalam suatu organisasi yang akan mempengaruhi efektivitas pengendalian. Kondisi lingkungan kerja dipengaruhi oleh beberapa hal, yaitu adanya penegakan integritas dan etika seluruh anggota organisasi, komitmen pimpinan manajemen atas kometensi, kepemimpinan manajemen yang kondusif, pembentukan struktur organisasi yang sesuai dengan kebutuhan, pendelegasian wewenang dan tanggung jawab yang tepat, penyusunan dan penerapan kebijakan yang sehat tentang pembinaan sumber daya manusia, perwujudan

13 13 peran aparat pengawasan yang efektif, dan hubungan kerja yang baik dengan pihak ekstern. 1. Menunjukkan komitmen terhadap integritas dan etika nilai-nilai. 2. Tanggung jawab pengawasan pelatihan. 3. Menetapkan struktur, wewenang, dan tanggung jawab. 4. Menunjukkan komitmen untuk berkompetensi 5. Meningkatkan akuntabilitas Penilaian Risiko Risiko merupakan hal-hal yang berpotensi menghambat tercapainya tujuan. Identifikasi terhadap risiko (risk identification) diperlukan untuk mengetahui potensipotensi kejadian yang dapat menghambat dan menghalangi terwujudnya tujuan organisasi. Setelah dilakukan identifikasi maka dilakukan analisis terhadap risiko meliputi analisis secara kuantitatif (quantitative risk analysis) dan kualitatif (qualitative risk analysis). Analisis risiko akan menentukan dampak kejadian, serta merupakan input untuk mendapatkan cara mengelola risiko tersebut. 1. Menentukan tujuan yang sesuai. 2. Mengidentifikasi dan menganalisis risiko. 3. Menilai risiko penyelewengan (fraud) 4. Mengidentifikasi dan menganalisis perubahan yang signifikan. Aktivitas Pengendalian Kegiatan pengendalian adalah tindakan yang diperlukan untuk mengatasi risiko, menetapkan dan melaksanakan kebijakan serta prosedur, serta memastikan bahwa tindakan tersebut telah dilaksanakan secara efektif. Tindakan-tindakan yang dilakukan untuk mengatasi risiko dapat dibagi menjadi 2 jenis tindakan yaitu tindakan preventif dan tindakan mitigasi. Tindakan preventif adalah tindakan yang dilakukan sebelum kejadian yang berisiko

14 14 berlangsung, sedangkan tindakan mitigasi adalah tindakan yang dilakukan setelah kejadian berisiko berlangsung, dalam hal ini tindakan mitigasi berfungsi untuk mengurangi dampak yang terjadi. Tindakan-tindakan tersebut juga harus dilakukan evaluasi sehingga dapat dinilai keefektifan serta keefisienan tindakan tersebut. 1. Memilih dan mengembangkan kegiatan pengendalian 2. Memilih dan mengembangkan kontrol umum atas teknologi. 3. Menyebarkan melalui kebijakan dan prosedur. Informasi dan Komunikasi Informasi adalah data yang sudah diolah yang digunakan untuk pengambilan keputusan dalam rangka penyelenggaraan tugas dan fungsi organisasi. Informasi yang berkualitas tentunya harus dikomunikasikan kepada pihak-pihak yang terkait. Penyampaian informasi yang tidak baik dapat mengakibatkan kesalahan interpretasi penerima informasi. 1. Menggunakan informasi yang relevan. 2. Berkomunikasi secara internal 3. Berkomunikasi eksternal Monitoring Pemantauan (monitoring) adalah tindakan pengawasan yang dilakukan oleh pimpinan manajemen dan pegawai lain yang ditunjuk dan bertanggung jawab dalam pelaksanaan tugas sebagai penilai terhadap kualitas dan efektivitas sistem pengendalian intern. Pemantauan dapat dilakukan dengan 3 cara yaitu pemantauan berkelanjutan (on going monitoring), evaluasi yang terpisah (separate evaluation), dan tindak lanjut atas temuan audit. 1. Melakukan evaluasi berkelanjutan dan/atau terpisah. 2. Mengevaluasi dan mengkomunikasikan kelemahan. E. Entity Level Control (ELC) and Transactional Level Control (TLC)

15 15 Ruang lingkup pengendalian terbagi dalam dua level, yaitu entity level control (pengendalian tingkat entitas) dan activity/transactional level control (pengendalian tingkat aktivitas/transaksi). Perbandingan antara kedua level tersebut ialah sebagai berikut : Entity level control (ELC) Kegiatan pengendalian ini umumnya beroperasi pada tingkat perusahaan atau manajemen puncak pengambil keputusan strategis. Level ini memiliki jangkauan atau kewenangan pengendalian yang lebih tinggi dari activity level, dan bisa mempengaruhi kegiatan pada activity level, misalnya kebijakan perusahaan. Proses identifikasi yang relevan entitas-tingkat kontrol dapat dimulai dengan pemantauan, dan informasi dan komunikasi).diskusi antara auditor dan karyawan yang sesuai untuk atas pelaporan keuangan (yaitu, lingkungan pengendalian, penilaian risiko, aktivitas pengendalian,pemantauan, dan informasi dan komunikasi). Sementara mengevaluasi entitas tingkat kontrol, auditor mungkin mengidentifikasi kontrol yang mampu mencegah atau mendeteksi salah saji dalam laporan keuangan. Itu periode-end proses pelaporan keuangan dan pemantauan manajemen terhadap hasil operasi merupakan sumber potensial dari kontrol tersebut. Contoh dalam DJP: Kegiatan pengendalian atas pelaksanaan salah satu program DJP, yaitu Knowing Your Tax Payer dimana ini merupakan kebijakan DJP dalam mengintensifkan penerimaan pajak, sehingga munculnya satu fungsi baru yaitu account representative. Pengaruh Entity-Level Controls pada Pengujian Kontrol Lain Evaluasi auditor entitas tingkat kontrol dapat menghasilkan peningkatan atau mengurangi pengujian bahwa auditor jika tidak mungkin dilakukan pada lain kontrol. Sebagai contoh, jika auditor telah merancang pendekatan audit dengan harapan tertentu entitas tingkat kontrol (misalnya, kontrol dalam lingkungan pengendalian) akan efektif dan mereka

16 16 kontrol tidak efektif, auditor dapat mengevaluasi kembali merencanakan pendekatan audit dan memutuskan untuk memperluas prosedur audit nya. Di sisi lain, evaluasi auditor dari beberapa entitas tingkat kontrol dapat menghasilkan pengurangan nya atau pengujian nya kontrol lain, seperti kontrol lebih sesuai pernyataan yang relevan. Tingkat dimana auditor mungkin dapat mengurangi pengujian kontrol atas pernyataan yang relevan dalam kasus tersebut tergantung padapresisi dari entitas-tingkat control. Activity/transactional level control (TLC) Kegiatan pengendalian pada level ini lebih berhubungan dengan pelaksanaan proses bisnis atau transaksi dari bagian dalam suatu organisasi. Level ini memiliki kewenangan yang lebih rendah dari entity level control, dan dapat dipengaruhi kebijakan dalam entity level control. Contoh dalam DJP: Pemantauan atas kinerja account representative dalam mengintensifkan penerimaan perpajakan. F. Siklus Desain dan Implementasi ICoFR ICoFR Cycle

17 17 1. Adjusting financial reporting risk Tahap pertama dalam siklus IcoFR adalah penyesuaian atau penelaahan terhadap risiko pelaporan keuangan. Dalam tahap ini, pihak manajemen akan mengidentifikasi risikorisiko apa saja yang mungkin akan timbul dalam pelaporan keuangan sebuah perusahaan. 2. Adjust & implementat controls Tahap kedua dalam siklus IcoFR adalah implementasi dan penyesuaian terhadap pengendalian. Dalam tahap ini, pihak manajemen akan melakukan penyesuaian antara risiko dan pengendaliannya. Dari risiko-risiko yang telah diidentifikasi oleh pihak manajemen dalam tahap pertama, maka pihak manajemen akan membuat suatu pengendalian yang sesuai dengan risiko yang telah diidentifikasi. Selanjutnya, pengendalian tersebut akan diterapkan dalam perusahaan tersebut. 3. Control remediation Tahap selanjutnya dalam siklus ICoFR adalah pengendalian. Tahap ini juga dapat dikatakan sebagai tahap monitoring. Pihak manajemen akan melakukan pengawasan dan pengendalian terhadap pengendalian-pengendalian apa saja yang telah diterapkan di dalam perusahaan tersebut. 4. Identifikasi & manage changes Tahap terakhir dalam siklus ICoFR adalah identifikasi perubahan. Setelah ICoFR diterapkan dalam perusahaan tersebut, maka pihak manajemen akan mengidentifikasi perubahan-perubahan apa saja yang terjadi. Tahap ini juga dapat dikatakan sebagai tahapan review. Desain, implementasi, dan evaluasi pengendalian harus disesuaikan dengan ukuran dan pelaporan risiko perusahaan. Merancang dan memelihara ICOFR secara efektif menjadi lebih menantang karena ukuran bisnis dan ruang lingkup kegiatannya meningkat.pada saat yang sama, perusahaan-perusahaan yang lebih kecil juga mungkin menghadapi beberapa

18 18 masalah kesulitan pengendalian/kontrol. Sebagai contoh, risiko manajemen dapat lebih besar dalam sebuah organisasi yang lebih kecil di mana pejabat-pejabat perusahaan memiliki keterlibatan langsung dengan operasi dan dengan pencatatan transaksi. Selain itu, perusahaan kecil mungkin tidak memiliki personel yang cukup untuk sepenuhny amelaksanakan pemisahantugas di semua proses. Namun demikian, perusahaan publik yang lebih kecil masih harus menerapkan system kontrol yang akan menyediakan keyakinan yang memadai bahwa laporan keuangan yang disusun sesuaidengan GAAP dan bebas dari salah saji material. G. ICOFR dan Auditor Pasal 404 dari Undang-Undang Sarbanes-Oxley mensyaratkan perusahaan public memiliki laporan auditor independen pada efektivitas ICOFR. Di bawah standar PCAOB, audit ICOFR dan audit keuangan yang terintegrasi - yaitu, baik audit dilakukan sebagai tunggal, maupun proses saling menguatkan,.karena kekhawatiran tentang biaya audit ICOFR bagi perusahaan dengan sumber daya yang terbatas. Kongres telah membebaskan (perusahaan publik yang lebih kecil, dan perusahaan publik yang baru) dari persyaratan bahwa auditor perusahaan itu menyatakan pendapat atas efektivitas ICOFR. Namun, dalam audit laporan keuangan auditor masih memerlukan sebagai bagian dari penilaian risiko audit, untuk mendapatkan pemahaman masing-masing komponen ICOFR perusahaan. Sementara auditor tidak memerlukan untuk menguji internal control dalam audit tersebut, jika auditor menyimpulkan bahwa ada kelemahan secara material atau kekurangan yang signifikan dalam kontrol, kelemahan atau kekurangan harus dilaporkan secara tertulis kepada manajemen dan komite audit. Performing an Audit of Internal Control over Financial Reporting

19 19 a. Plan the engagement b. Evaluate the management s assessment process Auditor biasanya memperoleh pemahamannyaatas proses penilaian manajemen melalui penyelidikan manajemen dan lain-lain. c. Obtain and document an understanding of internal control Untuk dapat memahami internal control perusahaanmaka auditor harus : - Memahami dan menilai kontrol - Mengevaluasi efektivitas komite audit - Mengidentifikasi akun yang signifikan - Mengidentifikasi asersi laporan keuangan yang relevan - Mengidentifikasi proses yang signifikan dan transaksi-transaksi yang terjadi - Memahami proses pelaporan keuangan - Melakukan penelusuran - Identifikasi kontrol untuk diuji d. Evaluate the design effectiveness of internal control Kontrol dapat dikatakan telah efektif jika dapat mencegah atau mendeteksi kesalahan atau kecurangan yang dapat mengakibatkan salah saji material dalam laporan keuangan. e. Test and evaluate the operating effectiveness of internal control Dalam pengujian efektivitas dari kontrol, auditor perlu mempertimbangkan karakter, waktu dan lingkup pengujian. f. Form an opinion of the effectiveness of internal control Auditorharus mengevaluasi semua bukti sebelum menyatakan pendapat atas pengendalian internal, termasuk (1) kecukupan penilaian manajemen, (2) hasil evaluasi auditor, (3) hasil negatif dari prosedur substantif dilakukan, (4) kontrol kekurangan. Audit ICoFR sangat dipengaruhi oleh besar dan kompleksitas perusahaan unit bisnis, dan proses yang dijalankan oleh perusahaan. Dalam pelaksanaan audit ICoFR, auditor akan merancang dan melaksanakan program pengujian untuk mengetahui efektifitas perancangan dan pelaksanaan pengendalian internal di perusahaan. Auditor juga akan mengidentifikasi faktor faktor yang mempengaruhi industri perusahaan, misalnya kondisi ekonomi, hukum, dan regulasi. Hal ini sesuai dengan prisnip top down risk based assessment, yang berarti resiko ICoFR melekat sifatnya dengan resiko bisnis yang dihadapi oleh perusahaan. Judgment awal terkait materialitas, resiko, dan faktor signifikan terkait audit ICoFR ditetapkan oleh auditor. Kemudian, auditor akan mengidentifikasi dan mengevaluasi control

20 20 deficiency (CD) dari hasil audit sebelumnya. Selanjutnya auditor akan memahami resiko perusahaan. Reporting on Internal Control 1. Sebuah pernyataan tanggung jawab manajemen untuk membangun dan memelihara pengendalian internal yang memadai. 2. Sebuah pernyataan yang mengidentifikasi kerangka yang digunakan oleh manajemen untuk melakukan penilaian yang diperlukan atas efektivitas pengendalian internal perusahaan. 3. Penilaian terhadap efektivitas pengendalian internal perusahaan pada akhir tahun fiskal, termasuk pernyataan eksplisit apakah pengendalian internal yang efektif. 4. Pernyataan dalam laporan tahunan bahwa KAP yang mengaudit laporan keuangan perusahaan juga telah mengeluarkan laporan atestasi pada penilaian manajemen terhadap pengendalian internal. Persyaratan Dokumentasi auditor Auditor harus benar mendokumentasikan proses, prosedur, penilaian, dan hasil yang berkaitan dengan audit pengendalian internal. Ketika entitas memiliki pengendalian internal yang efektif atas pelaporan keuangan, auditor harus dapat melakukan pengujian yang cukup kontrol untuk menilai risiko kontrol untuk semua pernyataan yang relevan pada tingkat yang rendah. Laporan Pengendalian Internal auditor atas Pelaporan Keuangan Setelah auditor telah menyelesaikan audit pengendalian internal, ia harus mengeluarkan laporan yang tepat untuk menemani penilaian manajemen, diterbitkan dalam laporan tahunan perusahaan. Jenis Laporan Terkait dengan Audit Internal Control yakni laporan auditor mengandung opini yang objektif tentang dua item yang terpisah: (1) penilaian manajemen terhadap efektivitas pengendalian internal atas pelaporan keuangan, dan (2) efektivitas

21 21 pengendalian internal atas pelaporan keuangan berdasarkan pekerjaan audit independen auditor, dimana Opininya terdiri dari : - Pendapat wajar tanpa pengecualian menandakan bahwa pengendalian internal klien dirancang dan beroperasi secara efektif. - Keterbatasan ruang lingkup yang serius membutuhkan auditor untuk menolak pendapat. - Sebuah opini yang berkualitas dikeluarkan ketika ada pembatasan lingkup pekerjaan auditor. - Sebuah opini yang merugikan diperlukan jika kelemahan bahan diidentifikasi Elements of the Auditor s Report 1. Ada judul dan ada kata Independen. 2. Identifikasi atas kesimpulan dari manajemen mengenai keefektivitasan atas pengendalian internal perusahaan atas pelaporan keuangan 3. Definisi pengendalian internal atas pelaporan keuangan 4. Pernyataan bahwa auditor telah merencanakan dan melalakukan audit untuk memperoleh keyakinan memadai mengenai pengendalian internal. 5. Sebuah paragaf yang menyatakan bahwa pengendalian internal tidak dapat mencegah atau mendeteksi salah saji karena adanya keterbatasan. 6. Opini auditor pada penilaian manajemen terhadap efektivitas pengendalian internal disajikan secara wajar 7. Opini auditor apakah perusahaan memelihara kontrol internal yang efektif. Effect of the Audit of Internal Control on the Financial Statement Audit Jika auditor melakukan audit terpadu, ia akan memiliki akses ke sejumlah besar informasi tentang kontrol klien. Informasi ini dapat membuat audit laporan keuangan yang lebih efisien dan juga mengakibatkan pengurangan prosedur yang bersifat subtantif. Efektivitas atas audit pengendalian internal harus mengarahkan auditor untuk menentukan dampak dari temuan-temuan tersebut pada audit laporan keuangan. Evaluasi auditor harus mencakup:

22 22 1. Salah saji yang terdeteksi 2. evaluasi atas risiko sehubungan dengan pemilihan dan penerapan prosedur substantif, terutama yang berhubungan dengan fraud. 3. Temuan-temuan sehubungan dengan tindakan-tindakan yang ilegal dan transaksi yang berhubungan dengan pihak istimewa. 4. Indikasi bias manajemen dalam membuat estimasi akuntansi, dan dalam memilih prinsip akuntansi. NAMA-NAMA YANG BERTANYA: 1. NASTITI RIZKY SHIYAMMURTI ANNA KANIA PAK SEPKY 4. NURMALA M.GHIFARI A.M DAFTAR PUSTAKA Center For Audit Quality Guide to Internal Control Over Financial Reporting. Washington DC.