ICOFR Audit: Proses, Bukti yang Diminta, dan Timeline

ICOFR Audit: Proses, Bukti yang Diminta, dan Timeline
RB 22 September 2025
Rate this post

RWI Consulting – Setiap organisasi yang benar-benar serius menjaga keandalan laporan keuangan akan segera menyadari bahwa memiliki kontrol yang baik saja tidak cukup. Kontrol tersebut juga harus bisa dibuktikan berjalan efektif.

Di sinilah ICOFR audit (Internal Control over Financial Reporting audit) berperan. Auditor menilai apakah pengendalian internal atas pelaporan keuangan berfungsi sebagaimana mestinya, sehingga manajemen maupun pemangku kepentingan bisa yakin bahwa laporan disusun dengan andal.

Baca: ICOFR

Tulisan ini akan memandu Anda memahami:

  • Apa itu ICOFR audit.
  • Bagaimana alur kerjanya, dari tahap awal hingga rilis opini.
  • Jenis bukti yang biasanya diminta auditor.
  • Cara auditor menentukan ICOFR audit samples.
  • Contoh timeline realistis untuk satu tahun buku.

Dengan memahami hal-hal ini, organisasi dapat lebih siap menghadapi audit dan memastikan sistem pengendaliannya tidak hanya ada di atas kertas, tetapi benar-benar dijalankan secara konsisten.

Apa itu ICOFR Audit dan Mengapa Penting

Secara sederhana, ICOFR audit (Internal Control over Financial Reporting audit) berfokus pada dua hal utama. Pertama, apakah desain kontrol kunci cukup memadai untuk mencegah atau mendeteksi salah saji material. Kedua, apakah kontrol tersebut benar-benar dijalankan secara konsisten sepanjang periode laporan keuangan.

Hasil audit ini memberi keyakinan bagi dewan, investor, dan regulator bahwa laporan keuangan tidak bergantung pada keberuntungan atau kebiasaan individu, melainkan pada sistem pengendalian yang dapat diandalkan.

Di luar aspek formal kepatuhan, ICOFR audit juga memaksa organisasi menyatukan cara kerja lintas fungsi. Bagian keuangan, TI, unit bisnis, hingga audit internal terdorong untuk menyepakati istilah, berbagi bukti, dan memperbaiki kelemahan lebih cepat. Dengan begitu, manfaat audit ini tidak berhenti pada kepatuhan, tetapi juga menjadi sarana pembelajaran dan katalis perbaikan proses.

Peta Besar Proses ICOFR Audit

  1. Perencanaan dan Scoping
    Tahap pertama dimulai dengan menentukan ruang lingkup berdasarkan materialitas dan risiko. Akun-akun signifikan dipetakan ke proses bisnis terkait, lalu sistem aplikasi dan interface yang berpengaruh terhadap pelaporan keuangan diidentifikasi. Pada tahap ini, manajemen menyiapkan narasi proses, Business Process Map (BPM), serta Risk and Control Matrix (RCM) sebagai “peta awal” bagi auditor.
  2. Walkthrough dan Penilaian Desain
    Auditor kemudian melakukan walkthrough dengan memilih sampel transaksi yang mewakili alur end-to-end untuk setiap proses signifikan. Tujuannya memastikan jalur transaksi, titik rawan salah saji, dan kontrol kunci benar-benar ada serta dirancang dengan memadai. Hasil umum dari tahap ini berupa catatan walkthrough dan evaluasi desain untuk setiap kontrol.
  3. Pengujian Efektivitas Operasional
    Jika desain dinilai cukup, langkah berikutnya adalah menguji operating effectiveness. Bukti yang diminta berbeda tergantung jenis kontrol:
  • Untuk kontrol manual, auditor mencari bukti pelaksanaan seperti tanda persetujuan, checklist, atau dokumen rekonsiliasi.
  • Untuk kontrol otomatis, auditor memeriksa efektivitas IT General Controls dan memastikan konfigurasi aplikasi tidak berubah tanpa otorisasi.

Di tahap inilah topik ICOFR audit samples mulai menjadi fokus utama.

  1. Evaluasi Defisiensi dan Remediasi
    Setiap kelemahan desain atau pelaksanaan diklasifikasikan berdasarkan kemungkinan dan dampaknya. Manajemen lalu menyiapkan rencana perbaikan. Jika perbaikan selesai tepat waktu dan diuji ulang dengan bukti memadai, auditor dapat menilai kontrol tersebut efektif kembali.
  2. Pelaporan dan Komunikasi
    Tahap akhir adalah penyampaian hasil dalam rapat penutupan. Auditor menyimpulkan apakah ICOFR efektif atau tidak. Manajemen biasanya menyiapkan representasi tertulis, ringkasan perbaikan yang sudah dilakukan, serta rencana tindak lanjut untuk kelemahan yang masih berlangsung.

Bukti yang Diminta Auditor

Selama ICOFR audit, auditor biasanya meminta sejumlah dokumen dan bukti pelaksanaan kontrol. Semakin cepat perusahaan menyiapkan bukti-bukti ini, semakin singkat siklus audit bisa dijalankan.

Berikut daftar bukti yang umum diminta:

  • Narasi proses dan flowchart yang menunjukkan alur transaksi sampai ke tahap pelaporan.
  • Risk and Control Matrix (RCM) berisi pemetaan risiko, kontrol kunci, frekuensi, pemilik kontrol, dan jenis bukti pendukung.
  • Daftar aplikasi, interface, dan laporan kunci yang digunakan dalam pelaporan keuangan.
  • Populasi transaksi untuk akun-akun signifikan dalam periode yang diuji. Populasi harus lengkap, akurat, dan disertai bukti information produced by entity (IPE).
  • ICOFR audit samples beserta bukti pendukung, misalnya tanda persetujuan rekonsiliasi, tiga dokumen utama dalam siklus pembelian, atau laporan exception yang telah ditindaklanjuti.

IT General Controls (ITGC):

  • Access management: daftar user aktif, role, segregation of duties (SoD), bukti provisioning dan termination, serta hasil review berkala.
  • Change management: daftar perubahan, tiket, bukti persetujuan, hasil testing, dan bukti migrasi ke produksi.
  • IT operations: job schedule, incident log, backup, serta bukti pemantauan proses batch atau interface.
  • Kontrol spreadsheet dan end-user computing (EUC) bila digunakan.

Dokumen governance:

  • Charter komite.
  • Kebijakan akuntansi dan closing.
  • Manual akuntansi.

Pelaksanaan kontrol level entitas:

  • Review laporan manajemen.
  • Analitik kinerja.
  • Pengawasan oleh dewan komisaris.

Bagaimana Auditor Memilih ICOFR Audit Samples

Memahami cara auditor memilih sampel akan membantu tim menyiapkan tanggapan lebih cepat. Secara garis besar, prosesnya meliputi:

  1. Menentukan populasi
    Auditor meminta populasi transaksi atau pelaksanaan kontrol yang lengkap untuk periode uji. Misalnya, untuk kontrol bulanan populasi terdiri dari 12 pelaksanaan, sementara untuk kontrol harian populasi mencakup semua hari kerja selama periode laporan.
  2. Memastikan kualitas populasi
    Auditor menguji apakah populasi benar-benar lengkap dan akurat, biasanya dengan merekonsiliasi ke buku besar atau log sistem.
  3. Memilih metode sampling
    Auditor bisa menggunakan pendekatan statistik maupun nonstatistik. Pemilihan metode tergantung pada ukuran populasi, frekuensi kontrol, serta tingkat bukti yang dibutuhkan.
  4. Menetapkan ukuran sampel
    Semakin sering kontrol dilakukan atau semakin tinggi risikonya, semakin banyak sampel yang perlu diuji. Kontrol dengan dampak material biasanya juga memerlukan ukuran sampel lebih besar.
  5. Menilai hasil sampel
    Jika ditemukan penyimpangan, auditor menilai apakah masalah tersebut bersifat menyeluruh atau masih dalam batas terkendali. Dalam beberapa kasus, auditor bisa menambah ukuran sampel atau meminta uji ulang setelah perbaikan dilakukan.

Timeline Audit ICOFR yang Realistis

Baca: ICOFR: Integrasi COSO & COBIT untuk ITGC

Setiap perusahaan unik, namun pola berikut membantu merencanakan sumber daya.

FasePeriode contohFokusOutput utama
Perencanaan dan scopingMinggu 1 sampai 4Materialitas, pemetaan proses dan sistem, permintaan dokumen awalDaftar proses signifikan, jadwal walkthrough, PBC list
Walkthrough dan uji desainMinggu 5 sampai 10Walkthrough end to end, validasi desain kontrol, penilaian ITGC desainMemo walkthrough, temuan desain, rencana perbaikan
Pengujian interimMinggu 11 sampai 20Uji efektivitas kontrol untuk periode awal tahun, konfirmasi populasi dan IPEKertas kerja pengujian, daftar sampel, isu operasional
Remediasi dan uji ulangMinggu 21 sampai 28Menutup kelemahan desain atau operasional yang dapat diperbaiki sebelum year endBukti remediasi, hasil uji ulang
Year end testingMinggu 29 sampai 36Uji pelaksanaan sisa periode, roll forward, penilaian kontrol otomatisKertas kerja akhir, ringkasan defisiensi
Wrap up dan laporanMinggu 37 sampai 40Evaluasi defisiensi, pembahasan dengan manajemen, representasi tertulisDraft laporan, management representation letter

Timeline di atas membantu memastikan remediasi masih sempat diuji ulang. Sangat krusial untuk menutup isu ITGC sebelum pengujian kontrol aplikasi otomatis di akhir tahun.

Checklist Kesiapan Tim ICOFR

Gunakan daftar ini untuk mempercepat respons terhadap permintaan auditor.

  • Daftar proses signifikan lengkap dengan pemilik proses.
  • Narasi dan BPM, RCM terbaru, serta kebijakan akuntansi yang relevan.
  • Inventaris aplikasi keuangan, interface, dan laporan kunci beserta pemiliknya.
  • Bukti desain kontrol otomatis, misalnya konfigurasi system rules yang diekstrak dari sistem.
  • Populasi transaksi yang dapat direkonsiliasi ke buku besar dan log sistem.
  • Arsip bukti pelaksanaan kontrol, disusun per periode dan per kontrol.
  • Artefak ITGC: user listing, SoD analysis, request dan approval, tiket perubahan, log batch, dan hasil monitoring.
  • Rencana remediasi cepat untuk isu kritikal beserta tenggat dan PIC.

Peran TI dan ITGC dalam ICOFR Audit

Auditor jarang langsung menerima kontrol aplikasi otomatis tanpa terlebih dahulu memastikan bahwa IT General Controls (ITGC) berjalan efektif. Alasannya sederhana: kontrol otomatis hanya bisa diandalkan bila program dan data yang mendukungnya aman serta dikelola secara disiplin.

Jika akses pengguna terlalu longgar, perubahan program tidak terkendali, atau operasi batch tidak dipantau dengan baik, auditor biasanya akan menambah pengujian atau bahkan menyimpulkan bahwa kontrol aplikasi tidak dapat dipercaya. Dampaknya, auditor akan beralih ke kontrol manual dengan ukuran sampel lebih besar, sehingga waktu audit menjadi lebih panjang.

Baca: 5 Komponen Utama ICOFR Berdasarkan Kerangka COSO 2013

Implikasinya jelas: libatkan tim TI sejak tahap awal, tetapkan standar bukti yang harus tersedia, dan lakukan review akses serta rekap perubahan secara berkala. Dengan begitu, perusahaan selalu siap saat ITGC diuji dan tidak perlu menghadapi kejutan di tengah audit.

Kesimpulan

Mulailah dengan membereskan dokumentasi inti. Pastikan Risk and Control Matrix (RCM) selalu mutakhir, setiap kontrol aplikasi dapat dijelaskan dengan jelas, dan artefak ITGC tersedia tanpa harus menggali dari banyak sistem.

Jika Anda membutuhkan dukungan, kami dapat membantu menyiapkan:

  • Template Risk and Control Matrix.
  • Contoh Prepared by Client (PBC) list.
  • Paket ICOFR audit samples yang siap diisi sesuai kebutuhan.

Semua format ini disusun selaras dengan praktik umum audit, sehingga tim Anda bisa lebih siap dan efisien saat menghadapi pemeriksaan.

About RWI
RWI Consulting adalah perusahaan konsultan manajemen risiko yang berdiri sejak tahun 2005. Selama belasan tahun ini, kami telah berkomitmen untuk memberikan layanan terbaik kepada ratusan klien dari berbagai sektor industri baik BUMN maupun swasta untuk memberikan solusi yang tepat dalam mengidentifikasi, mengelola, dan mengatasi risiko yang dihadapi perusahaan.
Services Client Story

Related posts

Pengertian SK8 dalam PERMEN 02 BUMNPengertian SK8 dalam PERMEN 02 BUMN Business Continuity Plan (BCP)5 Alasan Perusahaan Butuh Business Continuity Plan (BCP)  Tahapan Implementasi ICOFRTahapan Implementasi ICOFR: Membangun Pengendalian Internal yang Andal
View All

Our Services

Enterprise Risk Management Implementation Business Continuity Management System Risk Maturity Index Assessment Risk Dashboard Risk Assessment & Profiling Risk Early Warning System Risk Awareness & Competency Building

Butuh Bantuan?

Hubungi konsultan profesional kami di:

+62 811 939 118

atau

[email protected]
Call Us
Popup Image
Top