Jumat, 18 November 2011

PANDUAN PRAKTIS PEMERIKSAAN INTERNAL KONTROL BERDASARKAN METODOLOGI SOX SEKSI 404

I. Pengantar
Pelaksanaan pemeriksaan/audit terhadap internal kontrol perusahaan atas laporan keuangannya menurut metodologi SOX adalah barang baru di Indonesia. Hal ini disebabkan karena komisi pasar bursa Indonesia belum mengadopsi peraturan ini untuk diterapkan pada perusahaan yang sahamnya sudah diperdagangkan di pasar bursa dalam negeri. Di Indonesia, praktek pemeriksaan internal kontrol dengan metodologi SOX 404 ini hanya dilakukan segelintir perusahaan yang umumnya adalah perusahaan multinasional yang sahamnya diperdagangkan di pasar bursa AS dan yang beroperasi di Indonesia. Hanya sedikit jumlah orang yang mengetahui bagaimana pemeriksaan dan penilaian internal kontrol atas laporan keuangan menurut metodologi SOX 404 ini. Melihat kenyataan ini, kami berniat untuk membagikan pengetahuan tersebut kepada berbagai kalangan agar kiranya pengetahuan ini dapat dimiliki oleh semua pihak.

Panduan praktis ini kami susun berdasarkan peraturan Sarbanes-Oxely seksi 404, standard audit yang dikeluarkan oleh PCAOB (Public Company Accounting Oversight Board), dan pengalaman kami selama melakukan pemeriksaan internal kontrol dengan metodologi Sarbanes-Oxely seksi 404.
II. Sekilas Mengenai SOX (Sarbanes-Oxely) Act 2002
    SOX adalah sebuah peraturan yang mempengaruhi banyak pihak. Untuk auditor (ekternal dan internal), SOX merupakan sistem baru dalam proses audit perusahaan swasta, sebuah revisi atas independensi dan level baru dari proses pelaporan audit pada perusahaan publik. Untuk manajemen perusahaan diwajibkan untuk meningkatkan jaminan terhadap konflik kepentingan, sertifikasi yang jelas atas penyimpanan dokumen penting, pelaporan internal kontrol atas laporan keuangan dan perbaikan atas kriteria pengungkapan. Untuk audit komite, SOX merupakan sebuah lanjutan dari peraturan bagi perusahaan-perusahaan publik termasuk tanggung-jawab langsung untuk memantau proses audit eksternal, persetujuan awal atas seluruh jasa audit ataupun jasa bukan audit, revisi peraturan mengenai independensi dan keahlian keuangan dan pengawasan, menerima dan mencari pemecahan yang mungkin atas keluhan mengenai pelaporan keuangan perusahaan dan isu yang berasal dari hasil audit.
    SOX’s Act terdiri dari banyak bagian yang mempengaruhi banyak pihak; auditor, audit komite, dan manajemen perusahaan. Bagi perusahaan public, terdapat tiga bagian penting yang harus diperhatikan manajemen, yaitu ; seksi 404, 906, dan 302. Peraturan ini sudah mulai dilaksanakan oleh perusahaan-perusahaan publik di AS sejak dikeluarkannya peraturan tersebut, Juli 2002, namun yang menjadi penekanan adalah seksi 302 dan seksi 404.
    Seksi 404 berisi peraturan yang mewajibkan manajemen untuk menilai internal kontrol yang sudah dilaksanakan atas laporan keuangannya serta pengesahan dari auditor eksternal. Seksi 906 berisi peraturan yang mewajibkan manajemen perusahaan secara periodik untuk melaporkan segala sesuatu menyangkut informasi keuangan yang juga tunduk kepada peraturan bursa saham, serta menyatakan dengan benar kondisi laporan keuangan dan hasil operasi perusahaan. SOX’s act seksi 302 berisi peraturan yang hampir sama dengan seksi 906, tetapi seksi 302 berisi tambahan atas pengungkapan yang berhubungan dengan pengungkapan internal kontrol dan prosedurnya, serta internal kontrol dan penipuan/kecurangan.
    Seksi 404 secara khusus memberikan perhatian kepada internal kontrol perusahaan atas laporan keuangannya. Lebih lanjut, seksi 404 merupakan penilaian internal kontrol yang sudah dilaksanakan oleh manajamen perusahaan yang dilakukan oleh divisi internal kontrol atau divisi internal audit perusahaan atau bahkan auditor eksternal yang disewa perusahaan untuk mem-validasi internal kontrol yang ada di perusahaan.
    Dalam mengevaluasi internal kontrol yang dilaksanakan perusahaan, manajemen melalui departemen internal kontrol/audit, serta evaluasi yang dilakukan oleh auditor eksternal, perlu mempertimbangkan untuk menggunakan krangka yang disusun oleh COSO (Committee of Sponsoring Organization of the Tradeway Commission).
    Krangka COSO terdiri dari 3 dimensi , yaitu:
    1. Operasi;
    2. Laporan Keuangan;
    3. Kepatuhan;
    Ketiga dimensi tersebut memiliki beberapa kriteria untuk mengevaluasi internal kontrol perusahaan, yaitu:
    1. Pengawasan (monitoring);
    2. Informasi dan komunikasi (information and communication);
    3. Aktivitas Kontrol (control activities);
    4. Penaksiran Resiko (risk assessment);
    5. Lingkungan pengendalian (control environment);
    Pengawasan (monitoring)
    Beberapa atribut yang perlu diperhatikan auditor dalam kriteria informasi dan komunikasi:
    1. Penaksiran kinerja sistem kontrol yang ada;
    2. Kombinasi evaluasi secara terus menerus dan evaluasi terpisah;
    3. Defisiensi atas internal kontrol harus dilaporkan kepada top manajemen;
    4. Kombinasi antara evaluasi terus menerus dan evaluasi terpisah akan menjamin efektifitas sistem internal kontrol yang dirancang;
    Informasi dan komunikasi (information and communication)
    Beberapa atribut yang perlu diperhatikan auditor untuk memenuhi kriteria informasi dan komunikasi:
    1. Identifikasi informasi yang berhubungan, rekam dan komunikasikan dalam bentuk yang memungkinkan setiap orang dalam perusahaan untuk menjalankan tanggungjawabnya;
    2. Masukkan informasi yang berasal dari dalam dan dari luar perusahaan mengenai suatu kejadian, kondisi yang mungkin dibutuhkan dalam pembuatan keputusan bisnis atau bahkan laporan perusahaan kepada pihak luar;
    3. Aliran informasi yang mendukung kesuksesan kontrol; dari instruksi pada tanggungjawab manajemen sampai kepada perangkuman temuan yang perlu ditindaklanjuti oleh manajemen perusahaan;
    Aktifitas Kontrol (control activities)
    Atribut yang perlu diperhatikan auditor dalam aktifitas kontrol ini adalah kebijakan dan prosedur (policies and procedures) dalam setiap aktifitas perusahaan. Hal ini bertujuan untuk mengidentifikasi resiko-resiko yang akan dihadapi untuk mencapai tujuan yang telah ditetapkan
    Penaksiran Resiko (risk assessment)
    Beberapa atribut  yang perlu diperhatikan auditor dalam penaksiran resiko adalah:
    1. Prediksi ataupun penaksiran resiko atas tujuan yang telah ditetapkan, hubungan-hubungan resiko tersebut kepada bagian-bagian yang ada dalam perusahaan;
    2. Identifikasi dan analisis atas resiko yang relevan atas tujuan (objectives) yang telah ditetapkan;
    3. Bentuk dasar atas penentuan bagaimana seharusnya penanganan resiko yang ada;
    4. Mekanisme yang dibutuhkan untuk mengidentifikasi resiko khusus yang tidak terlepas dari perubahan yang ada;
    Lingkungan pengendalian (Control environment)
    Hal-hal yang perlu diperhatikan oleh auditor yang mencakup dalam lingkungan pengendalian adalah:
    1. Intergritas dan nilai-nilai etika;
    2. Kompetensi dari orang-orang yang ada di perusahaan;
    3. Filosofi perusahaan;
    4. Pelaksanaan tanggung jawab atas tugas yang dibebankan;
    5. Perhatian dan bimbingan yang diberikan oleh komisi perusahaan;
    III. Tahapan Audit berdasarkan pendekatan Sarbanes-Oxely Seksi 404
    1. Tahap Perencanaan Implementasi
    Dalam tahap perencanaan untuk implementasi SOX, departemen internal kontrol/audit harus bekerja sama dengan pemilik proses bisnis/manajemen terkait (Business Process Owner). Hal ini disebabkan karena pemilik proses bisnislah yang merupakan pemilik atas pengendalian internal/internal kontrol dalam proses bisnis yang menjadi tanggungjawabnya. Pemilik proses bisnis ini nantinya harus mengesahkan kontrol yang sudah dipetakan oleh auditor. Lebih lanjut, pada tahapan ini auditor harus menentukan sumber daya yang dibutuhkan untuk me-review proses bisnis yang kegiatannya mempengaruhi laporan keuangan perusahaan.
    Pada tahap perencanaan, auditor harus menentukan cakupan atas pemeriksaan yang dilakukan. Sesuai dengan standard audit (PCAOB; Public Company Accounting Oversight Board) No. 2, cakupan pemeriksaan SOX’s harus memperhatikan:
    1)    Lokasi-lokasi atas unit-unit bisnis dalam perusahaan yang memiliki porsi besar dari aktifitas perusahaan secara keseluruhan. Menurut PCAOB unit-unit bisnis yang besar operasinya 60 sampai 75% dari total operasi perusahaan dan dipertimbangkan mempengaruhi posisi keuangan perusahan untuk hal-hal berikut:
    -       Pendapatan (Revenue);
    -       Laba operasi;
    -       Pendapatan bersih (Net Income);
    -       Total Assets;
    -       Ekuitas pemegang saham;
    2)    Lokasi unit-unit bisnis yang memiliki resiko signifikan (misalnya; unit bisnis yang baru diakuisisi, pusat jasa layanan, dsb.)
    Contoh ruang lingkup pemeriksaan SOX 404, sebagai berikut:
    Siklus utama
    -       Aktiva tetap (Fixed Assets);
    -       Pembelian;
    -       Pendapatan;
    -       Pajak Penghasilan;
    -       Persediaan;
    -       Pelaporan Keuangan;
    -       Dana pensiun, dsb.
    Siklus Teknologi Informasi
    Merupakan kontrol umum atas penggunaan komputer perusahaan:
    -       Pengembangan dan implementasi sistem
    -       Pengelolaan atas perubahaan sistem
    -       Keamanan
    -       Operasi sistem
    Siklus lain juga dapat ditambahkan sesuai dengan kondisi bisnis perusahaan (besar perusahaan dan tingkat kompleksitas operasi perusahaan); misalnya: Royalti, ekuitas perusahaan, dsb.
    2. Tahap Dokumentasi Proses Bisnis (Walktrhough)
    Dalam tahap dokumentasi proses bisnis yang sudah termasuk dalam cakupan evaluasi SOX 404, tahapan yang perlu dilakukan adalah:
    1) Berdasarkan cakupan review (review scope) auditor mulai menjadwalkan pertemuan dengan manajemen yang bertanggungjawab atas proses atau siklus yang akan direview (Business Process Owner/BPO);
    2) Dalam pertemuan dengan manajemen terkait, auditor harus menjelaskan tujuan dan latar belakang serta apa yang akan diperlukan dalam review internal kontrol berdasarkan metodologi SOX Act seksi 404. Tujuannya adalah agar manajemen mengetahui dengan jelas apa itu review SOX seksi 404, apa hubungan antara aktifitas operasi mereka dengan laporan keuangan, dan apa dampaknya jika mereka tidak melaksanakan kontrol atau tidak memiliki kontrol atas proses produksi yang mereka lakukan. Lebih lanjut, agar pihak manajemen terkait mengetahui apa saja yang perlu mereka persiapkan untuk mendukung proses pelaksanaan pemeriksaan SOX, misalnya Standar Operasional, dokumen yang dibutuhkan, serta apa yang perlu dilakukan selama proses review internal kontrol oleh SOX auditor. Dalam proses ini, auditor harus menjadi partner dan konsultan bagi manajemen agar manajemen terbuka dalam mengungkapkan proses bisnis yang berada di bawah tanggung-jawabnya. Auditor juga harus membantu manajemen untuk memecahkan masalah yang dihadapi manajemen sehubungan dengan internal kontrol yang mereka laksanakan agar sesuai dengan kriteria Sarbanes-Oxely seksi 404. Perlu diperhatikan juga bahwa auditor kemungkinan perlu bertemu dengan berbagai pihak yang berhubungan dengan proses bisnis yang akan direview oleh auditor. Misalnya jika auditor ingin mereview persediaan, maka auditor harus bertemu dengan manajemen persediaan yang bertugas untuk menerima, mencatatkan persediaan pada buku persediaan gudang, dan mengeluarkan barang, serta akunting yang bertanggungjawab untuk mencatatkan pergerakan persediaan pada sistem akuntansi perusahaan, memantau pergerakan persediaan, serta bagian umum yang mungkin ikut ambil bagian untuk proses disposal persediaan;
    3) Auditor memetakan dan menggambarkan proses bisnis yang berada di bawah tanggungjawab manajemen bersangkutan. Pada tahapan ini auditor harus mendapatkan gambaran proses bisnis yang berada di bawah manajemen bersangkutan secara rinci, mulai dari proses operasi bisnisnya sampai dengan proses akuntansi (proses pencatatan dan jurnal) yang berhubungan dengan proses bisnis tersebut.
    Misalnya: Auditor ingin mereview internal control terhadap Aktiva Tetap perusahaan. Maka auditor perlu menangkap dan menggambarkan proses pencatatan aktiva tetap tersebut. Dimulai dari awal proses pencatatan aktiva tetap pada system akuntansi perusahaan (buku besar aktiva tetap), jurnal pengakuan aktiva tetap pada buku umum perusahaan (general ledger), metode perhitungan dan pencatatan penyusutan setiap bulannya, proses rekonsiliasi bulanan atas buku besar aktiva tetap dengan buku umum perusahaan, profisi dari aktiva tetap perusahaan (proses perhitungan sampai hirarki persetujuan atas besarnya profisi tersebut), proses disposal aktiva tetap (pengajuan sampai persetujuan dan pencatatan pada system akuntansi perusahaan);
    4) Auditor harus menerjemahkan proses bisnis yang sudah dipetakan berdasarkan penjelasan manajemen ke dalam bentuk bagan (flowchart) dan narasi. Bagan yang dibuat harus bisa mencerminkan proses bisnis secara lengkap, mudah dimengerti oleh siapa saja;
    5) Auditor juga perlu membuat narasi atas bagan dari proses bisnis yang sudah dipetakan. Isi narasi dari proses bisnis ini tergantung pada pertimbangan auditor. Jika auditor merasa perlu untuk menceritakan, menjelaskan proses bisnis yang dipetakannya secara jelas, lengkap, maka auditor dapat menyusun narasi tersebut dengan menggambarkan proses bisnisnya dengan lengkap. Tapi, jika auditor memiliki pertimbangan lain, demi penyederhanaan, maka narasi proses bisnis tersebut dapat disusun sesingkat mungkin, tanpa perlu menerangkan proses bisnis secara terperinci (hingga ke praktek teknis dilapangan. Namun apapun bentuk narasi yang diinginkan oleh auditor, auditor perlu menggambarkan proses akuntasi (jurnal akuntansi) untuk aktifitas tersebut secara terperinci. Hal ini juga sebagai analisa awal apakah proses pencatatan atas transaksi pada proses yang bersangkutan sudah dilakukan dengan benar atau tidak. Hal ini juga sebagai masukan awal bagi auditor terhadap kebenaran penyajian data pada laporan keuangan perusahaan;
    6) Dalam penggambaran proses ini, auditor perlu mendokumentasikan seluruh proses yang dilakukan oleh auditor dalam memetakan proses dan kontrol yang dilaksanakan oleh manajemen serta dokumen yang digunakan pada masing-masing proses atau kontrol tersebut sebagai bukti proses dokumentasi proses bisnis yang dilakukan oleh auditor sebagai bagian dari proses pelaksanaan audit SOX 404. Hal ini diperlukan untuk evaluasi berkelanjutan atas pelaksanaan pemeriksaan internal kontrol berdasarkan metodologi SOX, sehingga mutu dari pelaksaannya dapat diperbaiki seiring dengan perkembagangan waktu. Lampiran berikut adalah contoh dari dokumentasi atas proses yang dilakukan oleh auditor – dokumentasi pendahuluan (walkthrough documentation);
    7) Dari proses bisnis yang digambarkan oleh auditor, auditor harus mendeskripsikan kontrol yang berhubungan dengan masing-masing proses yang dilaksanakan oleh manajemen bersangkutan dan mencocokkan kontrol tersebut dengan panduan kontrol (key control) yang dimiliki perusahaan. Panduan kontrol ini dapat dibentuk oleh departemen internal kontrol sesuai dengan kebutuhan dan kompleksitas perusahaan namun tetap mengacu pada kebutuhan untuk memenuhi permintaan SOX seksi 404. Di bawa ini adalah contoh panduan kontrol dalam proses audit persediaan; (double click icon excel bila table tidak terlihat)
    Panduan KontrolAtribut Kontrol
    MAY
    1.      Penerimaan bahan baku langsung hanya dapat dilakukan jika terdapat dokumen atau order pembelian yang sudah diotorisasi. (Keterjadian)
    2.      Perhitungan fisik persediaan dilakukan secara periodic oleh pihak independent, dimana hasilnya harus direkonsiliasi dengan buku umum (general ledger). Jika terdapat penyesuaian terhadap persediaan, maka penyesuaian itu harus ditinjau dan disetuji oleh pihak yang berwenang (Keberadaan)ÖÖ
    3.      Semua penghapusan persediaan harus ditinjau dan disetujui oleh pihak yang berwenangÖ
    4.      Jika ada, rekonsiliasi antara buku besar persediaan dengan buku umum (general ledger) disiapkan secara periodic dan disetujui oleh pihak yang berwenang [Kelengkapan]ÖÖ
    5.      Persediaan disimpan di lokasi yang aman dan dapat dipantau (Keberadaan)Ö
    6.      Akses ke dalam sistem informasi dibatasi hanya kepada pihak yang berkepentingan saja (Pembagian tugas dan tanggung-jawab)ÖÖ
    Catatan: M: Kontrol utama, K: Kontrol, Y: kontrol yang aktifitasnya terjadi secara tahunan
    8) Kontrol yang sudah dideskripsikan dan dipetakan oleh auditor dan yang sudah dicocokkan dengan panduan kontrol yang dimiliki auditor sebaiknya dikumpulkan dalam satu data base atau kertas kerja (jika perusahaan belum memiliki data base kontrol keuangan);
    9) Sesuai dengan kontrol yang sudah dipetakan oleh auditor dan panduan kontrol yang dimiliki auditor, auditor harus membuat rencana testing (testing plan) untuk menguji keberadaan kontrol tersebut (apakah kontrol tersebut sudah benar-benar dilaksanakan, sudah konsisten dan sudah tepat guna).
    10) Dalam rencana pengujian itu harus ditentukan besarnya sampel dokumen yang dibutuhkan. Besarnya sampel ini berdasarkan pertimbangan auditor di mana harus mempertimbangkan frekwensi dari keterjadian kontrol atas kegiatan bisnis yang sedang dievaluasi. Sebaiknya departemen internal kontrol sudah memiliki standard atas jumlah sampel yang dibutuhkan untuk masing-masing tingkat keterjadian kontrol (transaksi). Jenis kontrol atas transaksi ini dapat digolongkan ke dalam kontrol transaksi harian (daily transaction), kontrol transaksi mingguan (weekly), kontrol transaksi bulanan (monthly), kontrol transaksi kuartalan, kontrol transaksi tahunan. Berikut ini adalah contoh penggolongan keterjadian kontrol atas transaksi dan jumlah dokumen sampel yang dibutuhkan untuk pengujian. 
    Tingkat Keterjadian KontrolKontrol Utama (Major Key Control)Kontrol (Key Control)
    Terjadi berkali-kali dalam sehari5025
    Terjadi setiap hari3015
    Terjadi setiap minggu (weekly)2010
    Terjadi setiap bulan (monthly)63
    Terjadi setiap kuartal (quarterly)22
    Terjadi setiap tahun (yearly)1
    11)  Alur proses bisnis (bagan dan narasi), dokumentasi kontrol, rencana testing harus disetujui oleh manajemen yang terkait dengan proses bisnis yang ditinjau (review). Hal ini digunakan sebagai bukti bahwa manajemen bersangkutan sudah menyetujui dan mengesahkan proses dan kontrol yang digambarkan auditor, serta bukti persetujuan dari manajemen untuk melakukan pengujian atas kontrol yang sudah mereka jalankan atas proses bisnis yang menjadi tanggung-jawab mereka.
    Lampiran berikut adalah contoh lengkap dokumentasi kontrol yang disusun auditor atas kontrol yang sudah dijalankan oleh manajemen dan kecocokannya dengan panduan kontrol yang ada serta rencana pengujian yang akan dilakukan oleh auditor;
    3. Tahap Pengujian
    a) Tujuan dari pengujian kontrol atas laporan keungan adalah untuk menyediakan bukti atas efektifitas kontrol serta untuk mendukung pendapat auditor atas penilaian manajemen terhadap internal kontrol atas laporan keuangan perusahaan.
    b) Untuk menggambarkan pendapatnya auditor mengenai efektifitas internal kontrol perusahaan atas laporan keuangannya, auditor harus menyertakan bukti bahwa internal kontrol atas laporan keuangan perusahaan sudah berjalan secara efektif untuk periode waktu tertetntu (biasanya untuk satu tahun)
    c) Sebelum memberikan pendapat atas efektifitas internal kontrol perusahaan atas laporan keuangannya, maka auditor harus melakukan pengujian atas kontrol tersebut. Tujuan utama dari pengujian ini adalah untuk mengukur resiko dari masing-masing kontrol dan meyakinkan bahwa kontrol yang sudah dirancang oleh manajemen dilaksanakan secara benar, efektif, dan konsisten. Untuk itu, auditor harus menyertakan bukti yang relevan terhadap kontrol yang diuji selama periode pemeriksaan.
    d) Auditor melakukan pengujian kontrol berdasarkan dokumen-dokumen yang sudah diambil auditor berdasarkan rencana pengujian yang sudah ditetapkan auditor dan yang sudah disetujui oleh manajemen terkait. Auditor sebaiknya mempunyai standard, atau ketentuan untuk menyatakan apakah kontrol tersebut efektif atau tidak. Standard ini dapat disusun oleh auditor berdasarkan pertimbangan profesionalnya, kompleksitas aktifitas bisnis, dan lain sebagainya. Misalnya untuk transaksi harian, maka auditor menentukan dari sejumlah dokumen yang diuji jika ditemukan 2 dokumen yang tidak sesuai dengan kontrol yang dijalankan manajemen dan divalidasi manajemen pada saat penggambaran proses dan kontrol, maka auditor dapat menyimpulkan bahwa kontrol atas transaksi tersebut gagal (failed atau), atau disebut penyimpangan kontrol (control deficiency).
    e) Berdasarkan standard/pedoman yang sudah disusun oleh auditor, maka auditor dapat memberikan pendapat apakah kontrol yang disusun dan dijalankan oleh manajemen sudah berjalan dengan baik, efektif, dan konsisten. Ketidakcukupan kontrol, ketidakefektifan kontrol, dan ketidakkonsistenan kontrol dapat membawa auditor ke dalam kesimpulan bahwa kontrol yang dilaksanakan manajemen perusahaan atas laporan keuangannya tidak efektif karena terdapat defisiensi atas kontrol tersebut. Jika hal ini terjadi, maka auditor harus menentukan efek dari defisiensi kontrol yang ada, waktu, dan prosedur substantif yang akan dilakukan untuk mengurangi resiko atas salah saji material pada laporan keuangan hingga ke level terendah. Defisiensi kontrol akan signifikan jika keterjadian defisiensi tersebut disadari lebih dari sekedar pemicu atas salah saji material pada laporan keuangan. Dampak dari defisiensi kontrol inipun perlu dievaluasi secara terpisah dan secara menyeluruh terhadap salah saji pada laporan keuangan perusahaan
    f) Auditor harus menyampaikan hasil pengujian kontrolnya kepada manajemen sesegera mungkin. Hal ini bertujuan untuk memberikan waktu cukup bagi manajemen untuk memperbaiki pelaksanaan kontrol, jika terjadi defisiensi kontrol, sehingga pada saat pengujian kembali (remediation), auditor tidak lagi menemukan adanya penyimpangan kontrol (open issue). Dari sisi kertas kerja (working paper), sebaiknya departemen internal kontrol memiliki standard supaya seluruh auditor yang mereview proses kontrol dengan metodologi SOX untuk masing-masing siklus (mis: siklus persediaan, aktiva tetap, pembelian) menyajikan kertas kerja dengan bentuk yang seragam;
    4. Tahap Perbaikan (Remediation)
    a) Tujuan dari tahap perbaikan ini adalah untuk memberikan kesempatan kepada manajemen memperbaiki penyimpangan kontrol yang ada;
    b) Untuk itu, auditor perlu mengkomunikasikan hasil pengujiannya kepada manajemen dan mengembangkan rencana perbaikan (penentuan batas waktu perbaikan). Untuk penentuan batas waktu perbaikan kontrol, sebaiknya departemen internal kontrol memiliki pedoman baku yang dapat digunakan seluruh internal kontrol/auditor pada saat melakukan review SOX. Misalnya untuk penyimpangan atas kontrol untuk transaksi yang terjadi secara harian ditentukan lama perbaikan adalah 1 bulan. Penentuan ini dapat dilakukan atas pertimbangan auditor sesuai dengan kondisi perusahaan;
    c) Pada tahap perbaikan ini, auditor perlu mengingatkan manajemen terkait untuk melaksanakan kontrolnya secara benar, konsisten, dan dampaknya jika kontrol tersebut tidak dilaksanakan secara benar dan konsisten terhadap laporan keuangan perusahaan;
    5. Tahap Pengujian Kembali
    a) Setelah melalui masa perbaikan, auditor harus menguji kembali kontrol yang ada melalui contoh dokumen (sampel) untuk memastikan bahwa manajemen sudah melakukan perbaikan atas pelaksanaan kontrol yang ada;
    b) Jumlah dokumen (jumlah sampel) yang akan diuji tidak sama dengan jumlah sampel seperti pada waktu auditor melakukan pengujian sebelumnya
    c) Departemen internal kontrol/audit harus menentukan standard terhadap besarnya jumlah sampel yang diperlukan untuk tahap pengujian kembali ini. Jumlah sampel didasarkan atas pertimbangan auditor terhadap kondisi perusahaan (jumlah transaksi, kompleksitas perusahaan)
    d) Auditor harus menyiapkan kertas kerja terpisah untuk tahap pengujian kembali
    e) Jika dari hasil pengujian kembali ini, auditor menemukan bahwa pelaksanaan kontrol sudah diperbaiki dan dilakukan secara konsisten, maka auditor dapat menyimpulkan bahwa internal kontrol atas aktifitas tersebut sudah berjalan dengan baik (isu yang ada bisa ditutup). Tetapi jika dari hasil pengujian kembali tersebut auditor menemukan bahwa manajemen masih melaksanakan kontrol tersebut dengan tidak konsisten, maka auditor dapat menyimpulkan bahwa pelaksanaan kontrol untuk aktifitas tersebut tidak berjalan dengan baik. Hal ini sering dianggap sebagai issue yang masih belum terpecahkan (open issue). Apapun hasil dan kesimpulan auditor terhadap pelaksanaan internal kontrol atas aktifitas yang dievaluasinya harus dilaporkan kepada manajemen perusahaan, Top Manajemen (Direktrur Internal Kontrol, Direktur Keuangan, dan Direktur Utama perusahaan).
    6. Tahap Pelaporan
    Hasil evaluasi auditor sebaiknya didokumentasikan ke dalam data base manajemen pengendalian keuangan (Financial Control Management). Atau jika perusahaan masih belum memilikinya, manajemen bisa membuat laporan tersebut ke dalam bentuk manual (format excel).
    Top manajemen akan mereview hasil pengujian kontrol yang dilakukan oleh Departemen Internal Kontrol, menyetujuinya dan menyampaikannya kepada Komisi pasar bursa (Stock Exchange Commission). Sebelum menyampaikan hasil evaluasi kepada top manajemen, departemen internal kontrol biasanya menyampaikan hasil evaluasinya kepada auditor eksternal untuk mendapatkan persetujuan atau menyampaikan kesimpulan atas pelaksanaa internal kontrol di perusahaan. Berikut ini adalah contoh laporan/kertas kerja pelaporan atas hasil pemeriksaan internal control/auditor terhadap efektifitas internal control yang dilakukan manajemen atas laporan keuangannya (khusus untuk seksi 404) 
    Demikianlah panduan praktis ini kami susun. Kami berharap semoga panduan praktis ini bisa bermanfaat bagi berbagai kalangan. Kami menyadari bahwa panduan praktis ini masih jauh dari sempurna, untuk itu kami sangat berharap atas masukannya demi penyempurnaan panduan ini ke depannya. Seperti tujuan kami, kami ingin membagikan ilmu pengetahuan di bidan bisnis dan ekonomi kepada seluruh lapisan masyarakat, demi perkembangan dan kemajuan bangsa.
    Daftar Bacaan
    1. Sarbanes-Oxely Act seksi 404
    2. Standard Audit no 2 oleh PCAOB (Public Company Accounting Oversight Board)

    0 komentar:

    Posting Komentar

    Share

    Twitter Delicious Facebook Digg Stumbleupon Favorites More