ICOFR Audit Checklist: Dokumen, Kontrol, dan Evidence yang Perlu Disiapkan

ICOFR Audit Checklist: Dokumen, Kontrol, dan Evidence yang Perlu Disiapkan
RB 8 Juni 2026
Rate this post

RWI Consulting – ICOFR audit checklist adalah daftar kerja yang membantu perusahaan menyiapkan dokumen, kontrol, dan evidence sebelum audit pengendalian internal atas pelaporan keuangan dimulai.

Dalam praktik internal RWI, dokumen SharePoint yang relevan menunjukkan bahwa implementasi ICOFR menuntut perusahaan untuk memutakhirkan kebijakan dan prosedur, menjalankan risk assessment, menentukan ruang lingkup proses signifikan, menyusun Business Process Mapping atau BPM, menyusun Risk Control Matrix atau RCM, melakukan Test of Design atau ToD, melakukan Test of Effectiveness atau ToE, menyiapkan remediasi, lalu menyusun laporan akhir efektivitas dan asesmen manajemen. Jadi, checklist ini harus mengarahkan tim ke persiapan yang benar, bukan hanya ke pengumpulan file secara acak.

Dalam dokumen SharePoint RWI, istilah yang paling sering muncul adalah ICOFR atau Internal Control over Financial Reporting. Namun, untuk kebutuhan artikel ini, istilah ICFR audit checklist tetap relevan karena pembahasannya tetap mengarah ke pengendalian internal atas pelaporan keuangan, pengujian kontrol, dan kesiapan audit. Dokumen internal juga menunjukkan bahwa perusahaan perlu menyiapkan toolkit Excel RCM dan sampling sheet, library flowchart dan narrative, checklist serta SOP pengujian kontrol, lalu memantau hasil pengujian dan remediasi sampai level Direksi, CFO, SPI, dan unit manajemen risiko. fileciteturn51file0

Mengapa Perusahaan Perlu ICFR Audit Checklist?

Perusahaan perlu ICFR audit checklist karena audit tidak hanya melihat apakah kontrol ada di atas kertas. Audit akan melihat apakah perusahaan punya ruang lingkup yang jelas, kontrol yang relevan, dokumentasi yang konsisten, dan evidence yang cukup. Proposal implementasi ICOFR untuk Bank DKI menunjukkan bahwa tahapan kerja yang sehat dimulai dari review kebijakan dan prosedur, risk assessment, penentuan proses signifikan, pengembangan BPM dan RCM, pengujian ToD, penyusunan rancangan pengendalian, pengujian ToE, analisis gap, remediasi, Degree of Deficiencies, lalu laporan efektivitas dan asesmen manajemen. Kalau perusahaan tidak menyiapkan checklist sejak awal, tim akan mudah kehilangan arah di tengah proses. fileciteturn56file0

Checklist juga penting karena audit ICOFR menuntut dokumentasi yang rapi dan siap telusur. Proposal pengembangan sistem CSA berbasis web untuk WIKA menegaskan bahwa aplikasi dan dokumentasi ICOFR harus menghasilkan BPM, RCM, blueprint sistem, modul CSA, konfigurasi struktur organisasi, hasil UAT, dokumentasi feedback, user manual, admin manual, dan SOP penggunaan. Dokumen yang sama juga menekankan pentingnya dokumentasi siap audit, pengumpulan bukti yang efisien, dan jejak audit yang terpusat. Artinya, checklist yang baik harus membantu perusahaan menjaga konsistensi dokumen dan evidence sejak awal. fileciteturn53file0

Dokumen yang Perlu Tim Siapkan

Dokumen adalah fondasi pertama dalam ICFR audit checklist. Tim audit atau tim implementasi akan sulit menguji kontrol jika perusahaan belum merapikan dokumen inti. Dari dokumen SharePoint RWI, daftar dokumen minimum yang perlu tim siapkan meliputi:

  • Kebijakan dan prosedur ICOFR yang sudah diperbarui.
  • Dokumen ruang lingkup ICOFR untuk akun, proses, dan sistem signifikan.
  • Risk assessment yang menjelaskan proses signifikan seperti FSCP, kredit korporasi, ECL, pajak, atau proses material lain sesuai bisnis perusahaan.
  • Business Process Mapping atau BPM untuk setiap proses signifikan.
  • Risk Control Matrix atau RCM untuk setiap risiko dan kontrol utama.
  • Dokumen blueprint sistem CSA atau workflow evaluasi kontrol bila perusahaan memakai aplikasi.
  • User manual, admin manual, dan SOP penggunaan sistem bila perusahaan memakai aplikasi.
  • Laporan hasil UAT, dokumentasi feedback, dan materi pelatihan.
  • Laporan hasil ToD, ToE, remediasi, dan asesmen manajemen.

Daftar ini bukan asumsi. Proposal Bank DKI menuliskan kebijakan dan ruang lingkup ICOFR, BPM, RCM, dokumentasi ToD, rancangan pengendalian, hasil ToE, rencana tindak lanjut, laporan efektivitas, dan asesmen manajemen sebagai deliverable utama. Proposal WIKA menambahkan blueprint CSA, konfigurasi struktur organisasi, UAT, feedback, user manual, admin manual, dan SOP penggunaan ke dalam deliverable yang harus tim hasilkan. fileciteturn56file0 fileciteturn53file0

Kontrol yang Perlu Tim Cek

ICFR audit checklist tidak akan berguna kalau tim hanya mengumpulkan dokumen tanpa memetakan kontrol. Tim harus memastikan setiap risiko pelaporan keuangan memiliki kontrol yang jelas, owner yang jelas, dan metode pengujian yang jelas. Dokumen SharePoint WIKA memecah fokus area pengendalian menjadi tiga kelompok besar, yaitu pengendalian proses bisnis umum berbasis COSO, pengendalian TI umum atau ITGC berbasis COBIT, dan integrasi keduanya dalam ICOFR. Area proses bisnis mencakup authorization and approval, segregation of duties, procurement process, transaction processing, serta monitoring and review. Area TI mencakup access to program and data, program development, program changes, dan computer operations. fileciteturn53file0

Karena itu, tim sebaiknya memeriksa checklist kontrol dalam tiga kelompok berikut:

1. Kontrol Proses Bisnis

  • Otorisasi dan persetujuan transaksi.
  • Pemisahan tugas antar fungsi pencatat, pemeriksa, dan penyetuju.
  • Rekonsiliasi berkala untuk akun signifikan.
  • Kontrol cut-off, klasifikasi, dan akurasi transaksi.
  • Kontrol review atas jurnal manual, estimasi, dan penyesuaian.
  • Kontrol monitoring atas transaksi tidak biasa atau bernilai material.

2. Kontrol TI atau ITGC

  • Kontrol akses program dan data.
  • Kontrol perubahan program dan konfigurasi.
  • Kontrol pengembangan sistem.
  • Kontrol operasional komputer, backup, dan recovery.
  • Audit trail untuk perubahan data dan aktivitas user.

3. Kontrol Monitoring dan Governance

  • CSA oleh process owner atau control owner.
  • Review lini kedua atau fungsi internal control.
  • Re-testing oleh SPI atau lini ketiga untuk kontrol kritikal.
  • Monitoring action plan remediasi.
  • Pelaporan periodik ke manajemen, CFO, Komite Audit, atau Direksi.

Dokumen pelatihan ICoFR Implementation & Testing juga menegaskan bahwa lini pertama harus menyelesaikan RCM, walkthrough, dan ToD, lini ketiga harus melakukan quality review dan re-testing independen, sedangkan unit manajemen risiko perlu menyelaraskan risiko pelaporan keuangan ke enterprise risk register dan memutakhirkan KRI atas kegagalan kontrol keuangan. Struktur ini memberi sinyal yang jelas tentang kontrol apa saja yang perlu tim cek. fileciteturn51file0

Evidence Kontrol yang Perlu Tim Kumpulkan

Audit tidak akan menerima kontrol hanya dalam bentuk pernyataan. Tim harus menunjukkan evidence yang cukup, relevan, dan mudah ditelusuri. Dokumen SharePoint WIKA menekankan pengujian dan pengumpulan bukti yang efisien, bukti yang tersimpan secara terpusat, serta dokumentasi siap audit. Materi pelatihan ICoFR juga menyebut sampling sheet, flowchart, narrative, checklist, dan SOP pengujian kontrol sebagai fasilitas inti untuk mendukung pengujian. Jadi, evidence kontrol harus mengikuti desain kontrol dan metode pengujiannya. fileciteturn53file0 fileciteturn51file0

Secara praktis, evidence kontrol yang perlu tim siapkan biasanya meliputi:

  • Dokumen approval atau persetujuan transaksi.
  • Rekonsiliasi bulanan lengkap dengan tanda review.
  • Jurnal manual dan bukti review atasan.
  • Sampling dokumen transaksi untuk walkthrough.
  • Flowchart proses dan narasi proses.
  • Screenshot sistem, log aktivitas user, dan bukti audit trail.
  • Hak akses user, form permintaan akses, dan approval akses.
  • Bukti perubahan program atau konfigurasi sistem.
  • Checklist CSA yang sudah diisi dan ditandatangani pihak terkait.
  • Kertas kerja ToD dan ToE.
  • Bukti remediasi dan hasil re-testing.
  • Laporan monitoring action plan dan status overdue.

Kalau tim ingin menyiapkan evidence kontrol dengan baik, tim harus mengaitkan setiap evidence ke control ID dalam RCM. Cara ini akan memudahkan penguji saat menelusuri kontrol dan menghindari pengumpulan file yang tidak relevan. Dokumen WIKA dan materi pelatihan ICoFR sama-sama mendorong penyimpanan bukti yang terpusat dan terstruktur. fileciteturn53file0 fileciteturn51file0

Checklist Audit per Tahap

ICFR audit checklist akan lebih berguna jika tim membaginya per tahap. Dengan cara ini, tim bisa menilai kesiapan secara lebih sistematis.

1. Tahap Perencanaan

  • Tim sudah meninjau dan memutakhirkan kebijakan dan prosedur ICOFR.
  • Tim sudah menjalankan risk assessment.
  • Tim sudah menetapkan proses signifikan dan akun signifikan.
  • Tim sudah menentukan ruang lingkup audit atau evaluasi ICOFR.
  • Tim sudah menyiapkan BPM dan RCM untuk proses material.

Baca juga:

Tahap ini muncul jelas dalam proposal Bank DKI sebagai fondasi implementasi. fileciteturn56file0

2. Tahap Dokumentasi dan Desain Kontrol

  • Tim sudah menyusun BPM yang menggambarkan proses aktual.
  • Tim sudah menyusun RCM yang menghubungkan risiko dengan kontrol utama.
  • Tim sudah menyiapkan control owner untuk setiap key control.
  • Tim sudah menyiapkan flowchart, narrative, dan sampling sheet.
  • Tim sudah menyiapkan checklist dan SOP pengujian kontrol.

Tahap ini didukung oleh dokumen SharePoint pelatihan ICoFR dan proposal WIKA. fileciteturn51file0 fileciteturn53file0

3. Tahap Test of Design

  • Tim sudah menentukan sampel pengujian.
  • Tim sudah menyiapkan bukti untuk walkthrough.
  • Tim sudah menilai apakah desain kontrol memadai.
  • Tim sudah mendokumentasikan hasil ToD.
  • Tim sudah menyiapkan rancangan kontrol baru untuk desain yang lemah.

Proposal Bank DKI menyebut dokumentasi hasil ToD dan dokumen rancangan pengendalian sebagai output utama. Materi pelatihan ICoFR juga menempatkan teknik sampling dan ToD sebagai modul inti. fileciteturn56file0 fileciteturn51file0

4. Tahap Test of Effectiveness

  • Tim sudah menguji pelaksanaan kontrol, bukan hanya desainnya.
  • Tim sudah menilai bukti operasional secara konsisten.
  • Tim sudah mengklasifikasikan temuan dan tingkat kelemahan kontrol.
  • Tim sudah menyusun laporan hasil ToE.

Bank DKI dan materi ICoFR Implementation & Testing sama-sama menempatkan ToE sebagai tahap wajib sebelum evaluasi efektivitas dan remediasi. fileciteturn56file0 fileciteturn51file0

5. Tahap Remediasi dan Pelaporan

  • Tim sudah menyusun action plan lengkap dengan PIC dan tenggat.
  • Tim sudah memantau progres remediasi.
  • Tim sudah menghitung degree of deficiencies bila kerangka menuntutnya.
  • Tim sudah menyusun laporan akhir efektivitas ICOFR.
  • Tim sudah menyiapkan asesmen manajemen.

Proposal Bank DKI menulis tahap ini secara sangat jelas, termasuk monitoring tenggat remediasi, DoD, laporan hasil evaluasi efektivitas ICOFR, dan laporan asesmen manajemen. fileciteturn56file0

ICFR Audit Checklist PDF dan Excel

Untuk kebutuhan kerja, tim sebaiknya memisahkan checklist ke dua format. Tim bisa memakai ICFR audit checklist PDF untuk kebutuhan approval, review manajemen, dan dokumentasi final. Sementara itu, tim bisa memakai ICFR audit checklist Excel untuk tracking harian, sampling, status evidence, dan monitoring remediasi. SharePoint RWI mendukung pendekatan ini. Materi pelatihan ICoFR menyebut toolkit Excel berupa RCM dan sampling sheet, sedangkan proposal WIKA mewajibkan user manual, admin manual, SOP penggunaan, dan dokumentasi UAT yang lebih cocok tim jadikan paket dokumen formal. fileciteturn51file0 fileciteturn53file0

Kalau tim ingin membangun versi Excel yang benar-benar berguna, minimal kolom yang perlu tim masukkan adalah process, risk, control ID, control description, owner, frequency, evidence, ToD status, ToE status, deficiency rating, action plan, PIC, due date, dan retest status. Struktur seperti ini akan memudahkan tim mengubah checklist menjadi alat kerja, bukan sekadar file administratif.

Siapa yang Harus Memakai Checklist Ini?

Checklist ini paling berguna untuk CFO, finance controller, kepala akuntansi, tim internal control, SPI, manajemen risiko, process owner, dan project team yang sedang menjalankan implementasi atau audit ICOFR. Dokumen pelatihan ICoFR dari SharePoint bahkan menyebut target peserta secara eksplisit, yaitu CFO dan finance controller, kepala akuntansi dan reporting, SPI atau internal audit, manajer risiko atau ICOFR, serta process owner proses keuangan utama. Ini menegaskan bahwa ICFR audit checklist harus menjadi alat lintas fungsi, bukan alat eksklusif satu departemen. fileciteturn51file0

FAQ

Apa itu ICFR audit checklist?

ICFR audit checklist adalah daftar kerja untuk menyiapkan dokumen, kontrol, dan evidence sebelum audit atau evaluasi pengendalian internal atas pelaporan keuangan berjalan. Dalam dokumen internal RWI, checklist ini terkait langsung dengan kebijakan ICOFR, risk assessment, BPM, RCM, ToD, ToE, remediasi, dan asesmen manajemen. fileciteturn56file0

Dokumen apa saja yang wajib masuk ke ICFR audit checklist?

Dokumen minimum yang perlu tim siapkan mencakup kebijakan dan prosedur ICOFR, ruang lingkup, risk assessment, BPM, RCM, hasil ToD, hasil ToE, action plan remediasi, laporan akhir efektivitas, dan asesmen manajemen. Untuk perusahaan yang memakai aplikasi, tim juga perlu menyiapkan blueprint sistem, UAT, manual penggunaan, admin manual, dan SOP. fileciteturn56file0 fileciteturn53file0

Evidence kontrol apa yang paling sering diminta saat audit?

Evidence yang paling sering diminta biasanya berupa approval transaksi, rekonsiliasi, jurnal manual dan review, flowchart, narrative, sampling dokumen, screenshot sistem, log akses, audit trail, hasil CSA, kertas kerja ToD dan ToE, serta bukti remediasi. Dokumen SharePoint RWI menekankan pengumpulan bukti yang terpusat, siap audit, dan mudah ditelusuri. fileciteturn53file0 fileciteturn51file0

Kenapa tim perlu checklist PDF dan Excel sekaligus?

Tim perlu PDF untuk approval, dokumentasi final, dan review formal. Tim perlu Excel untuk tracking operasional, RCM, sampling, dan monitoring status evidence atau remediasi. Materi pelatihan ICoFR dari SharePoint secara eksplisit menyebut toolkit Excel RCM dan sampling sheet, sementara proposal implementasi menegaskan pentingnya dokumen manual, SOP, dan dokumentasi formal lainnya.

ICFR audit checklist akan membantu tim bergerak lebih rapi, lebih cepat, dan lebih siap saat audit dimulai. Tim tidak perlu menebak-nebak dokumen apa yang perlu dikumpulkan, kontrol apa yang perlu diuji, atau evidence apa yang perlu ditelusuri. Saat perusahaan menyusun checklist berbasis kebijakan, risk assessment, BPM, RCM, ToD, ToE, remediasi, dan asesmen manajemen, audit akan berjalan lebih terarah dan hasilnya akan jauh lebih kuat.

Baca juga:

About RWI
RWI Consulting adalah perusahaan konsultan manajemen risiko yang berdiri sejak tahun 2005. Selama belasan tahun ini, kami telah berkomitmen untuk memberikan layanan terbaik kepada ratusan klien dari berbagai sektor industri baik BUMN maupun swasta untuk memberikan solusi yang tepat dalam mengidentifikasi, mengelola, dan mengatasi risiko yang dihadapi perusahaan.
Services Client Story

Related posts

fitur aplikasi icofr_11zonFitur Aplikasi ICOFR yang Wajib Ada untuk CSA, RCM, Eviden, Audit Trail, dan Monitoring Kontrol RCM ICOFR_11zonRCM ICOFR: Panduan Risk Control Matrix untuk Pengendalian Internal atas Pelaporan Keuangan Manfaat Aplikasi ICOFR untuk Memperkuat Kontrol, Eviden, dan Keandalan Laporan Keuangan
View All

Our Services

Enterprise Risk Management Implementation Business Continuity Management System Risk Maturity Index Assessment Risk Dashboard Risk Assessment & Profiling Risk Early Warning System Risk Awareness & Competency Building

Butuh Bantuan?

Hubungi konsultan profesional kami di:

+62 811 939 118

atau

info@rwi.co.id
Call Us
[sp_pages] Top