Evaluating Internal Control : Sections 404 Assessment1. Assessments Of Internal Controls After The Sarbanes-Oxley ActEvaluasi internal control telah menjadi sebuah tugas fundamental internal audit sejak awal adanya internal audit. Meskipun pendekatan bahasa dan audit yang disarankan telah berubah, evaluasi internal control telah menjadi sebuah topik dalam dekade terakhir. Banyak kelompok internal audit mulai untuk bereksperimen dengan menggunakan COSO sebagai alat evaluasi internal control yang baik setelah COSO di terbitkan.Evaluasi internal control yang dilakukan external auditor mendapat kritikan yang banyak selama Sarbanes-Oxley Act dipakai. Kekhawatirannya adalah external auditor akan mengevaluasi dan menilai internal control dalam lingkungan sebuah sistem milik klien atau proses dan kemudian akan kembali untuk melakukan prosedur audit mereka berdasarkan hasil evaluasi internal control tersebut. Jika evaluasi internal control tidak menemukan masalah yang signifikan dalam beberapa prosesnya, external auditor dapat mengurangi tingkat pengujian mereka melalui keandalan pada evaluasi internal control tersebut. Dalam rangka tidak menggali terlalu dalam, auditor sering memberi sebuah jalan yang tidak pasti pada evaluasi internal control itu dalam rangja membuat proses audit menjadi agak mudah. Praktik menjadi sebuah masalah yang besar karena kekhawatiran atas indepedensi ketika konsultannya berasal dari perusahaan yang sama dengan auditor eksternalnya dalam mengevaluasi internal controlnya, diikuti juga dengan proses auditing mereka. Semua masalah ini dipecahkan dan diubah secara signifikan sebagai bagian dari SOA Section 404. Ini section yang penting karena secara esensi menyatakan bahwa external auditor tidah dapa t mengevaluasi internal control pada sistem dan proses yang sama yang sedang mereka audit. Pihak lain (Seperti manajemen) harus melakukan evaluasi internal control yang aktual dan external audtior kemudia secara beurutan mengevaluasi dan membuktikan terhadap hasil dari evaluasi independen dari internal control tersebut.

2. SOA Section 404Setelah banyak spekulasi pada bagaimana sesuatu akan berakhir, the Public Company Accounting Oversight Boards (PCAOB) mengeluarkan aturan akhir pada audit internal control terhdapa pelaporan keuangan yang diterbitkan pada Maret 2004. SOA 404 membutuhkan sebuah laporan internal control tahunan untuk perusahaan terdaftar, sebagai bagian dari pelaporan keuangan SEC, yang mana:1. Menyatakan pertangunggjawaban manajemen untuk membangun dan menjaga sebuah struktur internal control dan prosedur yang memadai untuk pelaporan keuangan2. Berisikan sebuah penilaian, sebagai akhir tahun fiskal yang terbaru, efektifitas struktur internal control dan prosedure dari pelaporan keuanganSebagai tambahan, perusahaan akuntansi publik yang menerbitkan laporan pendukung audit (Supporting report) di butuhkan untuk mengaudit dan laporan prose yang mengarah kepada penilaian manajemen terhadap internal financial control. Sebuah pembuktian dibuat dibawah pasal ini akan dibuat berdasarkan dengan standar untuk pembuktian penerbitan perjanjian.Manajemen sekarang diminta untuk melaporkan kualitas dari internal control mereka, dan perusahaan akuntansi publik bertanggung jawab atas audit financial statement harus membuktikan terhadap laporan internal accounting control.Sekarang dengan adanya SOA Section 404, manajemen bertanggung jawab untuk mendokumentasi dan menguji internal financial control mereka dalam rangka untuk mnyiapkan sebuah laporan terhapad efektifitas mereka. External auditor sekarang akan mengevaluasi supporting materials yang mengarahkan kepada laporan internal financial control untuk menilai bahwa laporan adalah akurat.Kepada non-auditor, ini mungkin muncur menjadi sebuah ketidakjelasan atau persyaratan yang sepele. Bahkan beberapa internal auditor yang spesialisasi utamanya pada evaluasi operasional audit mungkin bertanya-tanya tentang perubahan dalam proses ini.a. Launching the Section 404 Compliance Review: Identifying Key ProcessesSetiap organisasi mengunakan sebuah rangkaian proses untuk menjalankan aktifitas normal bisnisnya. Beberapa mungkin ada yang menggunakan sistem otomatis, beberapa menggunakan prosedur manual yang dilakukan pada basis reguler, sedangkan diantaranya ada yang gabungan.Sebuah langkah awal dalam Section 404 review adalah untuk organisasi menentukan dan menjelaskan proses akuntansi nya. Sebuah langkah awal disini adalah membuat kepastian bahwa semua pihak mempunya sebuah pemahaman yang jelas tentang apa yang dimaksud oleh sebuah proses. Kita dapat mengartikan proses sebagai sebuah rangkaian tindakan yang rinci untuk mencapai sebuah hasil, seperti prosedur dalam memperoleh SIM.Untuk beberapa organisasi, internal audit telah menentukan key processes mereka melaui proses annual internal audit planning mereka. Setelah berdiskusi dengan manajemen dan dengan external auditor yang tahu tentang organisasi, daftar ini membentu sebuah dasar, atau titik awal untuk evaluasi internal control kedepannya.b. Launching the Section 404 Compliance Review: Internal Audits RolePeran internal audit dalam Section 404 review dalam sebuah organisasi dapat mengambil beberapa bentuk sebagai berikut:1. Internal audit dapat mengambil langkah dalam melaksanakan Section 404 revoews dengan mengidentifikasi key processes, mendokumnetasi internal control mereka, dan melaksanakan uji coba atas control tersebut. Internal audit akan diikuti sebuah format dokumentasi yang konsisten dengan external auditor mereka tetapi akan dilakukan perkerjaan ini secara terpisah.2. Internal audit dapat bertindak sebagai sebuah sumber untuk mendukung external auditor mereka dalam mengevaluasi hasil dari pekerjaan Section 404. Pendekatan in akan mengurangi biaya external audit.3. Internal audit dapat bekerja dengan dan membantu sumber daya perusahaan lain yang bertanggungjawab atas Section 404 reviews tetapi tidak secara langsung di ikut sertakan dengan melaksanakan evaluasi.Section 404 reviews adalah sebuah proses tahunan dan sebuah organisasi dan fungsi internal audit nya dapat mengubah strategi dimasa depan. Tidak ada aladan mengapa dtrategi dipilih akan menjadi sama disetiap tahun kedepan.c. Launching the Section 404 Compliance Review: Organizing the ProjectSebuah fungsi internal audit harus memulai Section 404 review nya dengan meluncurkan sebuah proyek yang formal dan khusus. Proyek tersebut diluncurkan dengan langkah-langkah berikut:1. Organize the Section 404 Compliance Project Approach. Menugaskan sebuah tim proyek untuk memimpin. Seorang eksekutif senior seperti CFO akan bertindak sebagai project sponsor dengan sebuah tim dengan internal dan eskternal.2. Develop a Project Plan. The internal financial controls compliance project harus baik dalam proses utama terhadap keuangan perusahaan akhir tahun. Ketika rencana yang ada dapat diperbaharui dalam tahun selanjutnya, akan ada sebuah tantangan besar pada awal tahunnya. Rencana harus fokus pada area yang signifikan dari operasional organisasi dengan melingkupi semua unit bisnis. Contoh tabel Hal 129.3. Select Key Processes for Review. Setiap perusahaan menggunakan atau bergantung pada sebuah prose keuangan dan operasional yang luas. Kita telah menggunakan bahawa proses sebagai lawan terhadap sistem karena yang terakhir sering digunakan hanya untuk proses otomatis.4. Document Selected Process Transaction Flows. Tahap selanjutnya, dan yang terpenting, adalah menyiapkan dokumentasi aliran transaksi (trasaction flow) untuk key processe. 5. Identify, Document, and Test Key Internal Controls. Ini dapat menjadi sebuah usaha yang besar. Menggunakan beberapa bentuk dari analisa yang kritis, proses key organizational internal financial controls akan di ketahui, perbedaan diuji dan hasil didokumentasi.6. Assess Selected Process Risks. Ketika sebuah organisasi telah menentukan dan mendokumentasikan key processes nya, tahap selanjutnya dalah menilai resiko untuk menentukan apa yang mungkin terjadi kesalahan.7. Assess Control Effectiveness through Approproate Test Procedures. Seorang internal auditor atau pengevaluasi lainnya terkadang dapat menentukan kontrol yang cocok yang tidak efektif. Dalam kasus ini, kesimpulan dari penilaian harus didokumentasikan, didiskusikan dengan pemilik dan sebuah rencana tindakan untuk memperbaikin tindakan untuk meningkatkan kontrol.8. Review Compliance Results with Key Stakeholders. Senior financial dan excecutive management akan bertangungg jawab untuk laporan Section 404.9. Complete Report on the Effectiveness of the Internal Control Structure. Ini adalah tahap terakhir dalam Section 404. Proses dokumentasi disini sama dengan proses audit keuangan, dimana hasil disalin ke kertas kerja.

3. Internal Control Review Process: Importance Of Financial AssertionsKonsep yang luas dari penilaian financial statement dipecah menjadi beberapa tingkatan. Konsep penilaian ini digunakan oleh external auditor adalah cara yang baik untuk mengetahui beberapa resiko sebagai berikut: Existence. Semua hal dalam laporan harus ada pada waktu dievaluasi. Contoh, melakukan sebuah physical inventory. Occurence. Mencatat transaksi harus pada terjadinya peristiwa tersebut. Completness. Semua peristiwa selama pelaporan harus telah di akui. Rights and Obligations. Pencatatan aset dan liability dapat dipercaya pada waktu itu. Valuations of Accounts. Semua transaksi harus dicatat dengan jumlah yang cocok dan akun yang tepat. Presentations and Disclosures. Item dalam financial statement di jelaskan dengan jelas.

4. Control Objective And Risks Under Section 404a. Developing an Internal Controls MatrixSebuah matrik tabel yang mendukung diagram grafik adalah sebuah cara yang efektif untuk kontrol proses dokumentasi sebagaimana untuk meluruskan tahapan yang dibutuhkan untuk mengelompokan dan menilai kontrol yang berhubungan dengan proses. Contoh matrix hal 140.Berikut sebuah contoh dari proses yang berhubungan dengan akuntansi, seperti bagan dapat diatur berdasarkan kolom sebagai berikut:1. Summarized Control Points. Sebuah paragraf yang menceritakan setiap control points. Penjelasan setiapnya harus ringkas dengan informasi yang cukup.2. Associated Risks. Sebuah kolom tentang risiko yang berhunbungan denga tiap-tiap kontrol.3. Related Assertions. Penilaian financial dan internal control adalah yang didiskusikan sebelumnya. Dalam penilaian Existence dan Completeness, manajemen biasanya mengharapkan semua transaksi telah dicatat.4. Control Type. Untuk tujuan dokumentasi dan pemahaman, setiap tipe dari kontrol harus diketahui. Contoh:a. Manual. Kontrol di telaah secara manual oleh seorang atau sebuah grup individu, seperti rekonsiliasi bulanan.b. Application. Kontrol ini mungkin berisikan program yang khusus untuk proses atau mengedit sebuah transaksi.c. Preventive. Tipe ini biasanya digunakan untuk setiap transaksi selama aliran normal untuk mencegah errord. Detective. Tipe ini digunakan diluar dari aliran normal transaksi.5. Control critically. Berdasarkan sifat setiap kontrol, hubungan risiko dan tipe kontrol. Pembagiannya:a. High. Ini adalah desain kontrol yang signifikan untuk mencegah atau mendeteksi risiko dari tidak terdeteksi.b. Medium. Kontrol ini tidak signifikan dan tidak mencegah risiko dari tidak terdeteksi.b. Testing Section 404 Internal Controls.Pengujian Internal control, atau disebut juga dnegan audit sampling, dibahas pada chapter 16. Apakah untuk SOA Section 404 atau untuk tugas internal audit lainnya, pengujian adalah keahlian yang penting dalam internal audit. Hasil dari pengujian adalah perlu untuk memastikan internal control berjalan dengan efektif seperti yang diceritakan.5. Disclosure Committee And Keeping Section 404 CurrentSEC telah merekomendasikan perusahaan yang memakasi SOA untuk membuat sebuah komite pengungkapan untuk menimbang informasi yang ditemukan material, untuk mengetahui masalah pengungkapan yang relevan, dan untuk memastikan bahwa material diungkap kepada investor.Tugas besar dari komite ini adalah untuk menimbang materialitas dari informasi yang ada. Kelompok ini mencari lewat data yang di tampilkan kepada external auditor untuk evaluasi dan laporan mereka.Secara keseluruhan, kebutuhan SOA Section 404 adalah semua dokumen dan pekerjaan lainnya ditelaah selama sebuah evaluasi harus di jaga, setidaknya dalam sebuah periode dalam 7 tahun sekali. Contoh beberapa pedoman untuk menjaga Section 404 review dokumen dan terbaru (Hal 143)MATERI DARI IBUKLahirnya coso krn praktisi kesulitan siapa yg harus bertanggung jawab,sementara dlm perusahaan yang yang berkepentingan seperti komisaris,shareholder,dll pengen tahu Apakah perusahaan sudah bagus internal controlnya,krn IC yang efektif melihat bagaimana perusahaan bisa bertahan ke depan.Jadi tidak jelas siapa yg melaporkan IC sementara semua pihak butuh informasi internal control Perusahaan,shg organisasi membentuk treadway commisiion sehngga dijelaskan Internal control gmn elemen2nya dan bgmn pelaporannya,apa pedoman melaporkannya shg lahir COSO framework.Di dalam dunia nyata byk std2 acc,kasus2 acc seperti Enrolll,Adelphia,yang muncul.Berarti internal control yang berjalan di suatu institusi masih ada peluang muncul standard-standar keuangan.Sudah ada aturan kerangka COSO tetapi tidak jalan.Dimana salahnya shg lahir SOA.Ada aturan untuk komite audit seperti SOA 381,audit 407,manajemen misalnya bertanggung jawab terhadap pelaporan IC SOA 404,jadi semacam UU untuk antisipasi standard-standar keuangan.Semua pihak ditinjau.Itu harus dilaporkan manajemen terhadap Internal control Perusahaan.Sehingga IC diaplikasikan dan bertanggung jawab melaporkannya.Jika Internal Auditor tidak independen,dan eksternal auditor juga evaluasi agar Perusahaan efektif dalam internal controlnya.Bentuk baku audit US,tambahan menceritakan mengenai kondisi Internal Control,Opini Auditor terhadap Internal Control.Indonesia masih 3 nyata.Auditor Eksternal melaporkan opini terhadap internal auditor.Kesinambungan COSO dengan SOA?COSO FRAMEWORK khusus utk Internal Control,tetapi SOA bukan hanya Internal Control saja.Ada juga merotasi partner utk jaga independensi.DARI BERBAGAI KASUS SEHINGGA DIBUAT ATURAN AGAR TIDAK SEMAKIN MENJADI-JADI.TAHAP AWAL : manajemen harus melaporkan hasil IC karena dia yang melaporkan,kmd Internal Auditor melaporkan kepada Eksternal Auditor.Bisa dibilang saling melengkapi antara COSO Framework dengan SOA.Karena ada celah.

Apa itu SOA 404?Jadi SOA merupakan standar hukum federal AS,berfungsi sbg tanggapan dari masalah Perusahaan besar.Jadi UU SOA meletakkan standard baru dari std yang ditetapkan sebelumnya utk semua pihak terkait.SOA merupakan aturan yg dibuat utk internal control,COSO utk menyusun dan menerbitkan Internal Control.Identifikasi key process langkah awal section 404,evaluasi IC diawali identifikasi key process dengan menyajikan tahapan yang dilalui dari awal sampi akhir untk suatu fungsi tertentu,seperti payroll application.Dari awal proses kompensasi,skedul pembayaran,perhitungan gaji,atau benefit(bonus) masuk dalam aplikasi payroll.Jadi system gaji dirancang,dimulai dari kalau pegawai harian tentu diawali jam masuk kerja.Samapai nanti menghitung jumlah tunjangan kinerja,atau pemotongan gaji.Kemudian baru menyiapakan daftar pembayaran seperti system gaji didasarka pada jamnya.Kemudian pembayarannya apakah lewat tunai atau tidak.Kemudian system lain ada rancangannya.Apakah proses secara otomatis seperti lewat rekening.INTINYA TAHAPAN DIRANCANG DARI AWAL SAMPAI AKHIR.Key ada pada proses besaran pemotongan gaji sesuai jam kerja*Beda Internal auditor dengan komite pengungkapan?Semacam tim khusus yang mengkaji masalah ditemukannya suatu penyimoangan,terus dikaji seberapa material dia.Apakah isu berpengaruh terhadap Perusahaan yg material,kapan dilakukan.Seseorang yg bertanggung jwb mereview utk internal control yg disajikan material,... dan itu penting bagi investor.Auditor internal mengkaji lebih luas ttp jika ada sesuatu yang perlu dikaji lebih dalam maka ada special audit/tim khusus.Jadi intinya BERBEDA.Dampak SOA 404 terhadap kualitas Laporan Keuangan ?SOA muncul karena adanya skandal Laporan Keuangan.Sehingga investor cemas menanamkan modalnya,shg SOA menjamin Investor untuk tetap berinveastasi ke Perusahaan2.Jadi dengan adanya SOA 404 membuat item2 Laporan/Kualitas keuangan lebih baik,karena penyajiannya lebih teratur/ketat,pengungkapannya

EVALUASI INTERNAL KONTROL SECTION 404Untuk melengkapi kekurangan COSO,juga mengantisipasi celah accounting,salah satunga 404 khusus utk internal control.MGT harus melaporkan internal control karena itu bagian dari tugas manajemen.Ada hal-hal yang perlu diperhatikan dalam evaluasi ICIdentifikasi Key process.Key process tahapan yang dirancanag untuk suatu fungsi.Titik kritisnya itulah yang menjadi key nya.Mengetahui peran internal auditor apa : bertanggung jawab utk indetifikasi key proses,dokumentasi atas IC,menguji atas IC yang dijalankna Perusahaan,aplikasi internal process.Key process diidentifikasi akan lebih terarah focus pengujian karena keynya jelas,jadi akar permasalahannya bias diselesaikan.Peran lainnya mendukung Eksternal auditor dalam mereview hasil pekerjaaan sesuai dengan SOA 404.Membantu Korporat lainnya untuk penyelesaian kasus.Organizing the project : Internal audit yang efektif harus siap membantu organisasi perusahaan dalam menjalankan atau menerapkan SOA 404.Sebagai partner manajemen(yg bertanggung jwb menerapkan SOA 404),maka Internal auditor sebagai partner utk membantu manajemen dalam menerapkan SOA 404.Dalam konteks sekitar manajemen.Auditor harus masuk menjalankanproses dengan baik sampai akhir tahun karena malaporkan keuangan itu di akhir tahun.Select key proses to review : jadi seluruh staff internal dipilih siapa yang identifikasiMendokumentasikan proses : kegiatan yang dilakukan didokumentasikan dengan baik.Detect key process :Pengjuan dilakukan itu didokumentasikan dgn baik,:kemudian untuk menentukan apa yang salah.Menaksir Kontrol efektifness : apa prosedur pengendalian yang tepat (utk internal auditor)Review kesesuain hasil dgn key stakeholder : mengkomunikasikan ke senior financial executive manajemen karena dia yg bertanggung jwb terhadap keuangan.Semua dilakuakn utk mendukung tanggung jwb manajemen dalam aplikasi SOA 404.

Pentingnya asersi Keuangan :Boleh digunakan oleh auditor internal,seperti kelengkapan,keberadaan,hak dan kewajiban.Semua bias direkrut dari eksternal auditor karena kerjanya sama.Pekerjaan melakukan review,evaluasi IC yang dilakukan manajemen,melaporkan itu harus dilakuakn secara terus menerus(continuous motoring,evaluation,improvement)Pengembangan IC Matrix : membantu Internal auditor dan manajemen utk evaluasi kontro manajemen.ada tipe manual preventif,detektif,manual.Ada tipe control manual,elektronik.level IC ada high dan medium.Apa yg harus betul2 fokus itu adalah high. Membantu evaluasi Internal Control

Masalah komite karena da isu/temuan material yang ditemukan.Dibentuk tim khusus utk menangani lebih lanjut dan seberapa besar pengaruhnya bagi Perusahaan.Orangnya bias berasal dari internal auditor ttp bukan tugas inti internal auditor bias jadi tugas tambahan.