Pengaruh Undang-undang Sarbanes Oxley Terhadap Pengendalian Internal, Pengendalian Aplikasi, dan Laporan Keuangan Pada Perusahaan Jasa Telekomunikasi1

Setelah banyaknya fraud yang terungkap, dibuatlah perjanjian Sarbanes Oxley (SOX/SARBOX) yang menjadi mandatory di Amerika Serikat. SOX tersebut mencakup berbagai macam hal, termasuk di antaranya adalah pembuatan ICOFR. Perusahaan harus membuat ICOFR agar laporan keuangan yang disajikan sudah dilakukan dengan pengendalian-pengendalian yang memadai.

Sudah terdapat beberapa perusahaan yang melaksanakan ICOFR di Indonesia, yaitu PT Telkom yang telah terdaftar di NYSE. Sebagai perusahaan yang tercatat di NYSE, PT Telkom mematuhi ketentuan SOA (Sarbanes Oxley Act) Bab 302 dan Bab 404 mengenai pengendalian internal atas pelaporan keuangan atau Internal Control Over Financial Reporting (ICOFR) dan pengendalian dan prosedur pengungkapan.

A. UU Sarbanes Oxley Section 302 (Disclosures Controls and Procedures)

Bostelman (2005:12-14) dan TELKOM presentation to HCGA (2007:5) menyatakan bahwa Sarbanes Oxley Act Section 302 berisi kewajiban:

a. Sertifikasi terhadap laporan keuangan triwulanan oleh CEO dan CFO.b. CEO dan CFO melakukan sertifikasi kelengkapan dan keakuratan laporan yang

diserahkan kepada US SEC.c. CEO dan CFO melakukan sertifikasi terhadap efektivitas internal control.

Menurut Bostelman (2005:14), “Disclosure Controls and Procedures is defined under SEC rules as controls and other procedures of public company that are designed to ensure that both non-financial and financial information required to be disclosed by the company in its periodic reports is recorded, processed, summarized, and reported in a timely fashion.”

Berdasarkan definisi dari SEC, cakupan disclosure controls and procedures tidak terbatas pada pengendalian internal atas pelaporan keuangan, tetapi juga pengendalian untuk memberikan keyakinan atas kepatuhan (compliance) terhadap persyaratan SEC. Definisi dengan maksud yang sama juga dinyatakan oleh PT Telkom secara terperinci.

Menurut definisi yang dinyatakan oleh PT Telkom pada Keputusan Direksi No: KD76/PW000/PRO-IIC/2006 tanggal 22 Desember 2006, “Disclosure Controls and Procedures (pengendalian dan prosedur pengungkapan) adalah pengendalian dan prosedur yang dirancang dan dijalankan untuk memberikan keyakinan yang memadai bahwa semua informasi keuangan dan non-keuangan yang wajib diungkapkan dalam laporan perusahaan yang disampaikan atau diserahkan ke Otoritas Pasar Modal (stock exchange) telah dikumpulkan, diperiksa, dicatat, diproses, diikhtisarkan dan disampaikan

1 Sumber: Nahampun, Y. (2012). PENGARUH UNDANG-UNDANG SARBANES OXLEY TERHADAP PENGENDALIAN INTERNAL, PENGENDALIAN APLIKASI DAN LAPORAN KEUANGAN PADA PERUSAHAAN JASA TELEKOMUNIKASI. (download: http://publication.gunadarma.ac.id/bitstream/123456789/853/1/27208018.pdf)

secara tepat waktu, akurat dan dapat diandalkan sesuai dengan tenggang waktu yang telah ditetapkan di dalam peraturan Otoritas Pasar Modal.”

B. UU Sarbanes Oxley Section 404 (Internal Control Attest)Bostelman (2005:15-16) dan TELKOM presentation to HCGA (2007:5) menyatakan bahwa Sarbanes Oxley Act Section 404 berisi:

a. Tanggung jawab manajemen terhadap internal controls over financial reporting (ICOFR).

b. Atestasi manajemen terhadap efektifitas internal control over financial reporting (ICOFR) berdasarkan pengujian yang dilakukan.

c. Auditor harus melakukan atestasi dan melaporkan evaluasi atas laporan manajemen.

Menurut Bostelman (2005:31), “Internal control over financial reporting is a process designed to provide reasonable assurance regarding the reliability of financial reporting and the preparation of financial statements for external purposes in accordance with generally accepted accounting principles.”Bostelman (2005:15) menyatakan bahwa proses pengendalian internal atas pelaporan keuangan (internal controls over financial reporting) harus mencakup tiga elemen, yaitu:

a. Pemeliharaan dokumentasi yang akurat, wajar, dan dalam rincian yang memadai yang mencerminkan transaksi dan disposisi asset.

b. Keyakinan yang memadai atas pencatatan transaksi sesuai dengan prinsip akuntansi secara umum.

c. Keyakinan yang memadai terhadap tindakan prevention atau detection pada hak akuisisi, penggunaan, atau disposisi asset perusahaan.

TELKOM presentation to HCGA (2007:16) menyebutkan bahwa internal control perusahaan dilaksanakan pada beberapa level kontrol, yaitu:

a) Entity level controlSoft control, pengendalian yang dilakukan oleh top manajemen, seperti: komitmen dari pimpinan puncak, etika bisnis, dan corporate governance.

b) Transactional level controlHard control/physical control, pengendalian di dalam proses dan sistem untuk mengawali, mencatat, melaksanakan, dan melaporkan transaksi yang telah dilakukan. Dengan kata lain, pengendalian internal level transaksional melibatkan serangkaian aktivitas yang secara umum bertujuan untuk memastikan bahwa seluruh akun signifikan beserta risiko dan pengendalian terkait telah diidentifikasi, dilaksanakan, dan diuji secara memadai sehingga efektivitasnya dapat terukur.

c) IT General controlPengendalian atas aplikasi dan sistem pemeliharaan software dan keamanan akses dalam program aplikasi dan data perusahaan, yang disesuaikan dengan peran dan tanggung jawab karyawan.

Apa dan Mengapa Perlu ICOFR?2

Sistem Pengendalian Internal (internal control) adalah proses yang berkelanjutan (on going) yang dipengaruhi oleh tindakan komisaris, manajemen dan pekerja lainnya yang dirancang untuk memastikan secara rasional bahwa tujuan perusahaan tercapai dalam hal: (1) Efektivitas dan efisiensi operasi, (2) Kepatuhan terhadap undang – undang dan kebijakan yang berlaku, serta (3) Keandalan atas laporan keuangan. Definisi ini berasal dari kerangka internal control yang sudah berlaku umum di dunia bisnis, yaitu “COSO Framework”.

Audit Internal sudah menginisiasi dikeluarkannya pedoman umum internal control di PT Pertamina (Persero) dengan menggunakan COSO Framework (sedang proses penerbitan SK Direksi). Internal control yang berkaitan dengan pelaporan keuangan di atas disebut dengan Internal Control Over Financial Reporting (ICOFR).

ICOFR didefinisikan sebagai kebijakan – kebijakan dan rangkaian prosedur serta tata kerja terkait proses pelaporan keuangan untuk menjamin tersusunnya laporan keuangan yang akurat, andal dan tepat waktu. Tujuannya agar memiliki keyakinan yang memadai (reasonable assurance), bahwa proses pencatatan di laporan keuangan telah didukung dengan internal control yang efektif berdasarkan ketentuan yang berlaku.

Munculnya ICOFR bermula dari adanya skandal akuntansi dan audit yang meruntuhkan korporasi besar di Amerika Serikat: Enron, WorldCom, dan lain-lain. Dengan adanya skandal Enron, membuat pemerintah Amerika Serikat mengeluarkan regulasi atas praktik akuntansi dan audit pada tanggal 30 Juli 2002 bernama The Public Company Accounting Reform and Investor Protection Act (nama ini popular dengan nama SARBOX, karena pencetusnya adalah Sarbanes dan Oxley).

Kemudian sejalan dengan perkembangan usaha dan bisnis khususnya bagi perusahaan yang menuju kelas dunia dan yang akan listed di pasar internasional (Public Company), investor sangat concern mengenai hasil audit independen atas efektivitas internal control dalam pelaporan keuangan.

Hal lain yang menyebabkan mengapa perlu ICOFR adalah :

1. Peraturan BPK RI No.1 Tahun 2007 (PSP 03) telah mengatur standar pelaporan pemeriksaan keuangan, yang berkaitan Pelaporan Terhadap Pengendalian Intern, sehingga efektivitas atas internal control pelaporan keuangan menjadi keharusan bagi perusahaan;

2. Untuk dapat mendeteksi/mencegah kemungkinan adanya fraud seperti yang terjadi pada perusahaan di atas;

3. Pertamina sedang melaksanakan konvergensi IFRS. Berkaitan dengan itu, mutlak diperlukan pengembangan internal control ini, karena kebijakan akuntansi dan control, pengungkapan prosedur menjadi dasar pembuatan rancangan risiko dan kontrol yang menyeluruh yang menggambarkan bagaimana setiap hambatan dimitigasi, diotorisasi, dicatat, diproses dan dilaporkan dalam laporan keuangan.

2 Sumber: http://www.pertamina.com/media/4684249b-35d5-46b3-95d7-7d8ba7747e8e/sep1.pdf

Program Pengembangan ICOFR di PT Pertamina (Persero) sedang dilaksanakan dengan kerja sama antara Fungsi Audit Internal, Fungsi Dit Keu, Fungsi Dit PIMR (Cq ERM) dan Fungsi Dit. Umum (Cq CSS) dengan menggunakan konsultan kelas “Big Four”. Deliverables yang akan kita peroleh antara lain adalah :

a) Identifikasi dan dokumentasi atas ratusan control terkait dengan financial reporting yang diimplementasikan, dan di-maintain efektivitasnya oleh Business Owner terkait, dan pengujian/testing efektivitasnya oleh fungsi Auditor Internal setiap periodik (minimal sekali setahun). Proses dokumentasi kontrol ini nanti akan diupload kepada sistem yang sudah ada yaitu GRC Oracle;

b) Pedoman, TKO dan TKI yang berkaitan dengan ICOFR; c) Audit Program Pengujian Efektivitas Internal Control. Selain itu pula, Pertamina akan

mendapat Pedoman/Manual perbaikan atau modifikasi ICOFR apabila sudah tidak relevan lagi dengan kondisi yang ada.

Dalam mengidentifikasi dan mendokumentasi kontrol sebagaimana diuraikan di atas, pendekatan dilakukan berdasarkan Top Down Approach, dengan urutan tahapan sebagai berikut:

Financial Statement/ Consolidated Financial Statement – Penetapan Significant Account & Disclosures –Penetapan Business Process Cycle - Penetapan Business Control Matrix - terakhir penetapan Key Control yang akan di-maintain dan dimonitor oleh business owners untuk kemudian diuji oleh Audit Internal.

Setelah proyek ini berakhir, process owner berkewajiban untuk me-maintain key controls yang telah diimplementasikan tersebut dalam kegiatannya sehari-hari, serta secara berkala melakukan proses sertifikasi berjenjang terkait dengan efektivitas internal control yang berada dalam kewenangannya. SPI/ Audit Internal secara berkala akan melakukan testing/ pengujian untuk memastikan efektivitas dari control tersebut. Setelah testing oleh Internal Audit, kemudian akhir tahun President Director & CEO dan Finance Director menandatangani pernyataan efektivitas Internal Control yang menjadi bagian yang disampaikan bersamaan dengan Laporan Keuangan sebelum diaudit oleh KAP. Demikian seterusnya setiap tahun.

20 Prinsip Kunci ICFR3

3 Sumber: http://auditorinternal.com/2011/03/11/20-prinsip-kunci-icfr/

Setelah mempublikasikan “Internal Control — Integrated Framework” yang fenomenal pada tahun 1992 silam, COSO masih mempublikasikan beberapa turunan dari laporan awal tersebut. Sebut saja, misalnya “Guidance on Monitoring Internal Control Systems Internal Control Issues in Derivatives Usage” pada tahun 1996. Dan juga yang terakhir “Guidance on Monitoring Internal Control Systems” yang baru terbit pada 2009 lalu.

Namun sebetulnya, masih ada satu laporan lagi yang mungkin tidak terlalu populer di Indonesia karena lebih ditujukan kepada perusahaan publik skala kecil yang listing di Amerika Serikat. Judul publikasinya adalah “Internal Control over Financial Reporting — Guidance for Smaller Public Companies”, dan diterbitkan pada tahun 2006. Internal Control over Financial Reporting ini cukup lazim disingkat menjadi ICFR.

Dokumen terakhir tersebut memang ditujukan kepada perusahaan publik yang berukuran kecil, untuk membantu mereka mendesain dan mengimplementasikan konsep-konsep pengendalian internal yang ada dalam Internal Control – Integrated Framework 1992, dalam rangka pelaporan keuangannya. Dokumen ini menyarikan 20 prinsip kunci (key principles) pengendalian internal dalam rangka pelaporan keuangan.

Meskipun ditujukan kepada perusahaan publik yang berukuran kecil, namun sebetulnya prinsip-prinsip yang disarikan dalam publikasi COSO 2006 tersebut dapat pula diterapkan pada segala jenis dan ukuran perusahaan.

Karena ke-20 prinsip tersebut disarikan dari Internal Control – Integrated Framework 1992, maka diorganisasikan sesuai dengan komponen pengendalian internal dalam kerangka tersebut, sebagai berikut:

A. LINGKUNGAN PENGENDALIAN (Control Environment)1. Integritas dan Nilai Etika – Integritas dan nilai-nilai etika yang sehat, khususnya dari

manajemen puncak, dikembangkan dan dipahami serta menjadi standar perilaku dalam pelaporan keuangan.

2. Dewan – Dewan direksi memahami dan melaksanakan tanggung jawab pengawasan pelaporan keuangan serta pengendalian internal terkait.

3. Filosofi Manajemen dan Gaya Operasi – Filosofi manajemen dan gaya operasi membantu pencapaian pengendalian internal yang efektif terhadap pelaporan keuangan.

4. Struktur Organisasi – Struktur organisasi perusahaan mendukung pengendalian internal yang efektif dalam pelaporan keuangan.

5. Kompetensi Pelaporan Keuangan – Perusahaan memiliki individu-individu yang kompeten dalam pelaporan keuangan dan juga individu dalam pengawasannya.

6. Wewenang dan Tanggung Jawab – Manajemen dan karyawan diberikan wewenang dan tanggung jawab yang sesuai untuk memfasilitasi pengendalian internal yang efektif terhadap pelaporan keuangan.

7. Sumber Daya Manusia – Kebijakan dan praktik sumber daya manusia didesain dan diimplementasikan untuk memfasilitasi pengendalian internal yang efektif terhadap pelaporan keuangan.

B. PENILAIAN RISIKO (Risk Assessment)

8. Tujuan Pelaporan Keuangan – Manajemen menetapkan tujuan pelaporan keuangan dengan jelas serta menetapkan kriteria identifikasi risiko untuk pelaporan keuangan yang dapat diandalkan.

9. Risiko Pelaporan Keuangan – Perusahaan mengidentifikasi dan menganalisa risiko pencapaian tujuan pelaporan keuangan sebagai dasar untuk menentukan bagaimana risiko harus dikelola.

10. Risiko Kecurangan (Fraud) – Potensi salah saji secara material akibat kecurangan secara eksplisit dipertimbangkan dalam penilaian risiko pencapaian tujuan pelaporan keuangan.

 

C. AKTIVITAS PENGENDALIAN (Control Activities)11. Integrasi dengan Penilaian Risiko – Tindakan-tindakan perlu diambil untuk mengatasi

risiko pencapaian tujuan pelaporan keuangan.12. Pemilihan dan Pengembangan Aktivitas Kegiatan – Aktivitas pengendalian dipilih dan

dikembangkan dengan mempertimbangkan biaya dan potensi efektivitas mitigasi risiko pencapaian tujuan pelaporan keuangan.

13. Kebijakan dan Prosedur – Kebijakan terkait dengan pelaporan keuangan yang dapat diandalkan ditetapkan dan dikomunikasikan ke seluruh perusahaan, dengan prosedur yang sesuai sehingga arahan manajemen dilaksanakan.

14. Teknologi Informasi – Pengendalian teknologi informasi, bila memungkinkan, didesain dan diimplementasikan untuk mendukung pencapaian tujuan pelaporan keuangan.

D. INFORMASI DAN KOMUNIKASI15. Informasi Pelaporan Keuangan – Informasi terkait diidentifikasi, ditangkap, digunakan

pada semua tingkatan perusahaan, dan didistribusikan dalam bentuk dan jangka waktu yang mendukung pencapaian tujuan pelaporan keuangan.

16. Informasi Pengendalian Internal – Informasi yang dibutuhkan untuk memfasilitasi berfungsinya komponen pengendalian lainnya diidentifikasi, ditangkap, digunakan dan didistribusikan dalam bentuk dan jangka waktu yang memungkinkan personel untuk melaksanakan tanggung jawab pengendalian internal mereka.

17. Komunikasi Internal – Komunikasi memungkinkan dan mendukung pemahaman dan pelaksanaan tujuan pengendalian internal, proses dan tanggung jawab individual di semua tingkat organisasi.

18. Komunikasi Eksternal – Hal-hal yang mempengaruhi pencapaian tujuan pelaporan keuangan dikomunikasikan dengan pihak-pihak luar.

 

E. PEMANTAUAN (Monitoring)19. Pemantauan Berkelanjutan dan Evaluasi Terpisah – pemantauan yang terus menerus

(ongoing monitoring) dan/atau evaluasi terpisah (separatae evaluation) memungkinkan manajemen untuk menentukan apakah komponen lain dari pengendalian internal atas pelaporan keuangan terus berfungsi dari waktu ke waktu.

20. Pelaporan Kelemahan – Kelemahan pengendalian internal diidentifikasi dan dikomunikasikan secara tepat waktu kepada pihak-pihak yang bertanggung jawab untuk mengambil tindakan korektif, dan juga kepada manajemen serta dewan yang sesuai.

Referensi:

Internal Control over Financial Reporting — Guidance for Smaller Public Companies – Volume I : Executive Summary