Penerapan Sarbanes Oxley di Indonesia

Audit Sistem Informasi Berbasis Komputer 1

AUDIT SISTEM INFORMASI BERBASIS KOMPUTER

PENERAPAN SARBANES-OXLEY DI INDONESIA

I. PENDAHULUAN

Audit sistem informasi merupakan proses pengumpulan dan evaluasi bukti-bukti untuk

menentukan apakah sistem komputer yang digunakan telah dapat melindungi aset milik organisasi,

mampu menjaga integritas data, dapat membantu pencapaian tujuan organisasi secara efektif, serta

menggunakan sumber daya yang dimiliki secara efisien. Audit SI/TI relative baru ditemukan

dibanding audit keuangan, seiring dengan meningkatnya penggunan TI untuk mensupport aktifitas

bisnis.

Ada beberapa aspek yang diperiksa pada audit sistem teknologi informasi: Audit secara

keseluruhan menyangkut efektifitas, efisiensi, availability system, reliability, confidentiality, dan

integrity, serta aspek security. Selanjutnya adalah audit atas proses, modifikasi program, audit atas

sumber data, dan data file.

Beberapa aturan mengenai IT audit sudah disusun di Amerika Serikat yang meliputi

beberapa aturan penting seperti Sarbanes Oxley Act. Sarbanes-Oxley Act (SOA) merupakan sebuah

produk hukum (Undang-Undang) di Amerika Serikat (AS) yang mengatur tentang akuntabilitas,

praktik akuntansi dan keterbukaan informasi, termasuk tata cara pengelolaan data di perusahaan

publik. Namun di Indonesia baru sebagian kecil yang baru menerapkan aturan tersebut.

A. Latar Belakang Munculnya Sarbanes – Oxley

Sarbanes-Oxley atau kadang disingkat SOx atau SOA adalah hukum federal Amerika Serikat

yang ditetapkan pada 30 Juli 2002. Undang-undang ini diprakarsai oleh Senator Paul Sarbanes

(Maryland) dan Representative Michael Oxley (Ohio) yang disetujui oleh Dewan dengan suara 423-3

dan oleh Senat dengan suara 99-0 serta disahkan menjadi hukum oleh Presiden George W. Bush.

Undang-undang ini dikeluarkan sebagai respons dari Kongres Amerika Serikat terhadap berbagai

skandal pada beberapa perusahaan besar seperti: Enron, Tyco International, Adelphia, Peregrine

Systems, WorldCom (MCI), AOL TimeWarner, Aura Systems, Citigroup, Computer Associates

International, CMS Energy, Global Crossing, HealthSouth, Quest Communication, Safety-Kleen dan

Xerox, yang juga melibatkan beberapa KAP yang termasuk dalam “the big five” seperti: Arthur

Andersen, KPMG dan PWC.


Skandal-skandal yang menyebabkan kerugian bilyunan dolar bagi investor karena runtuhnya

harga saham perusahaan-perusahaan yang terpengaruh ini mengguncang kepercayaan masyarakat

terhadap pasar saham. Semua skandal

ini merupakan contoh tragis

bagaimana kecurangan (fraud

schemes) berdampak sangat buruk

terhadap pasar, stakeholders dan para

pegawai.

Dengan diterbitkannya undang-

undang ini, ditambah dengan beberapa

aturan pelaksanaan dari Securities

Exchange Commision (SEC) dan

beberapa self regulatory bodies lainnya, diharapkan akan meningkatkan standar akuntabilitas

perusahaan, transparansi dalam pelaporan keuangan, memperkecil kemungkinan bagi perusahaan

atau organisasi untuk melakukan dan menyembunyikan fraud, serta membuat perhatian pada

tingkat sangat tinggi terhadap corporate governance.

Perundang-undangan ini menetapkan suatu standar baru dan lebih baik bagi semua dewan

dan manajemen perusahaan publik serta kantor akuntan publik walaupun tidak berlaku bagi

perusahaan tertutup. Akta ini terdiri dari 11 bab atau bagian yang menetapkan hal-hal mulai dari

tanggung jawab tambahan Dewan Perusahaan hingga hukuman pidana. Sarbox juga menuntut

Securities and Exchange Commission (SEC) untuk menerapkan aturan persyaratan baru untuk

menaati hukum ini. Saat ini, corporate governance dan pengendalian internal bukan lagi sesuatu

yang mewah lagi karena kedua hal ini telah disyaratkan oleh undang-undang.

B. Audit Sistem informasi

Audit pada dasarnya adalah sebuah proses yang sistematis dan objektif dalam mengevaluasi

kegiatan ekonomi serta memperolah bukti-bukti yang relevan, guna memberikan asersi dan menilai

sejauh apakah tindakan ekonomi yang dijalankan sesuai dengan kriteria yang berlaku dan

melaporkannya kepada pihak yang berkepentingan. Terdiri dari dua dimensi utama, yaitu Audit

keuangan dan Audit operasional terhadap sumber daya informasi, Audit TI dapat diartikan secara

harfiah menjadi dua. Yang pertama, audit keuangan bertujuan untuk memastikan tidak adanya salah

saji material pada laporan keuanggan dengan menggunakan sistem audit berbasis komputer.

Sementara pemahaman kedua mengaudit efektivitas, efisiensi, serta tepat guna atau tidaknya unit

fungsional sestem serta kinerja manajemen TI pada suatu perusahaan. Sehingga definisi yang


digunakan adalah: Audit sistem informasi (teknologi informasi) merupakan proses pengumpulan dan

evaluasi bukti-bukti untuk menentukan apakah sistem computer yang digunakan telah dapat

melindungi asset milik organisasi mampu menjaga integritas data, dapat membantu pencapaian

tujuan organisasi secara efektif, serta dapat menggunakan sumber daya yang dimiliki secara efektif,

serta dapat menggunakan sumber daya yang dimilki secara efisien

Audit TI dikelompokkan berdasarkan letak kendalinya yaitu :

Pengendalian umum (general kontrol).

Audit secara keseluruhan yang menyangkut availability sistem, reliability, confidentiality,

integrity dan security.

Audit proses meliputi modifikasi pada program audit, atas sumber data, audit file data, audit

storage, serta alur data dan infomasi dalam perusahaan.

Pada dasarnya, tahapan-tahapan dalam audit TI tidak berbeda dengan audit pada umumnya.

Perbedaan dengan audit biasa, seringkali auditor TI menerapakan teknik audit berbantuan

komputer. Teknik ini digunakan untuk menganalisis data. Secara garis besar terdapat 5 tahapan

utama dalam metodologi audit TI yaitu ;

Fase 1 : Perencanaan

Fase 2 : Indentifikasi Resiko dan Kendali

Fase 3 : Evaluasi Kendali dan Bukti

Fase 4 : Dokumentasi dan Rapat

Fase 5 : Laporan dan Presentasi

C. Aktivitas SOA pada perusahaan

Dalam Sarbanes Oxley Act diatur tentang akuntansi, pengungkapan dan pembaharuan

governance yang mensyaratkan adanya pengungkapan yang lebih banyak mengenai informasi

keuangan, keterangan tentang hasil-hasil yang dicapai manajemen, kode etik bagi pejabat di

bidang keuangan, pembatasan kompensasi eksekutif, dan pembentukan komite audit yang

independen. Selain itu diatur pula mengenai hal-hal sebagai berikut:

a. Menetapkan beberapa tanggung jawab baru kepada dewan komisaris, komite

audit, dan pihak manajemen

b. Mendirikan the Public Company Accounting Oversight Board, sebuah dewan

yang independen dan bekerja full-time bagi pelaku pasar modal


c. Penambahan tanggung jawab dan anggaran SEC (Securities Exchange

Commision) secara signifikand. Mendefinisikan jasa “non-audit” yang tidak boleh

diberikan oleh KAP kepada klien .

d. Memperbesar hukuman bagi terjadinya corporate fraud (manipulasi perusahaan)

e. Mensyaratkan adanya aturan mengenai cara menghadapi conflicts of interest

f. Menetapkan beberapa persyaratan pelaporan yang baru

Dalam hal pelaporan, Sarbanes-Oxley Act mewajibkan semua perusahaan publik untuk

membuat suatu sistem pelaporan yang memungkinkan bagi pegawai atau pengadu untuk

melaporkan terjadinya penyimpangan. Sistem pelaporan ini diselenggarakan oleh komite audit.

Perusahaan dapat menggunakan jasa pelaporan hotlines seperti ACFE’s EthicsLine. ACFE dapat

membantu menyusun hotlines pengaduan yang akan menerima dan merahasiakan pengaduan,

dan memberikan informasi kepada perusahaan agar dapat mengambil tindakan yang tepat. Sistem

hotlines ini akan mendorong para pegawai untuk melaporkan karena mereka merasa aman dari

tindakan pembalasan dari yang dilaporkan, dan inilah elemen penting dan kritis bagi program

pencegahan fraud yang kuat.

II. SOX’S ACT

Secara keseluruhan SOX’s Act terdiri dari 11 Title dan 69 Sections, yaitu:

Sec. 1. Short title; table of contents. Sec. 2. Definitions. Sec. 3. Commission rules and enforcement. TITLE I—PUBLIC COMPANY ACCOUNTING OVERSIGHT BOARD Sec. 101. Establishment; administrative provisions. Sec. 102. Registration with the Board. Sec. 103. Auditing, quality control, and independence standards and rules. Sec. 104. Inspections of registered public accounting firms. Sec. 105. Investigations and disciplinary proceedings. Sec. 106. Foreign public accounting firms. Sec. 107. Commission oversight of the Board. Sec. 108. Accounting standards. Sec. 109. Funding. TITLE II—AUDITOR INDEPENDENCE Sec. 201. Services outside the scope of practice of auditors. Sec. 202. Preapproval requirements. Sec. 203. Audit partner rotation. Sec. 204. Auditor reports to audit committees. Sec. 205. Conforming amendments. Sec. 206. Conflicts of interest. Sec. 207. Study of mandatory rotation of registered public accounting firms.


Sec. 208. Commission authority. Sec. 209. Considerations by appropriate State regulatory authorities. TITLE III—CORPORATE RESPONSIBILITY Sec. 301. Public company audit committees. Sec. 302. Corporate responsibility for financial reports. Sec. 303. Improper influence on conduct of audits. Sec. 304. Forfeiture of certain bonuses and profits. Sec. 305. Officer and director bars and penalties. Sec. 306. Insider trades during pension fund blackout periods. Sec. 307. Rules of professional responsibility for attorneys. Sec. 308. Fair funds for investors. TITLE IV—ENHANCED FINANCIAL DISCLOSURES Sec. 401. Disclosures in periodic reports. Sec. 402. Enhanced conflict of interest provisions. Sec. 403. Disclosures of transactions involving management and principal stockholders. Sec. 404. Management assessment of internal controls. Sec. 405. Exemption. Sec. 406. Code of ethics for senior financial officers. Sec. 407. Disclosure of audit committee financial expert. Sec. 408. Enhanced review of periodic disclosures by issuers. Sec. 409. Real time issuer disclosures. TITLE V—ANALYST CONFLICTS OF INTEREST Sec. 501. Treatment of securities analysts by registered securities associations and national securities exchanges. TITLE VI—COMMISSION RESOURCES AND AUTHORITY Sec. 601. Authorization of appropriations. Sec. 602. Appearance and practice before the Commission. Sec. 603. Federal court authority to impose penny stock bars. Sec. 604. Qualifications of associated persons of brokers and dealers. TITLE VII—STUDIES AND REPORTS Sec. 701. GAO study and report regarding consolidation of public accounting firms. Sec. 702. Commission study and report regarding credit rating agencies. Sec. 703. Study and report on violators and violations Sec. 704. Study of enforcement actions. Sec. 705. Study of investment banks. TITLE VIII—CORPORATE AND CRIMINAL FRAUD ACCOUNTABILITY Sec. 801. Short title. Sec. 802. Criminal penalties for altering documents. Sec. 803. Debts nondischargeable if incurred in violation of securities fraud laws. Sec. 804. Statute of limitations for securities fraud. Sec. 805. Review of Federal Sentencing Guidelines for obstruction of justice and extensive criminal

fraud. Sec. 806. Protection for employees of publicly traded companies who provide evidence of fraud. Sec. 807. Criminal penalties for defrauding shareholders of publicly traded companies. TITLE IX—WHITE-COLLAR CRIME PENALTY ENHANCEMENTS Sec. 901. Short title. Sec. 902. Attempts and conspiracies to commit criminal fraud offenses. Sec. 903. Criminal penalties for mail and wire fraud. Sec. 904. Criminal penalties for violations of the Employee Retirement Income Security Act of 1974. Sec. 905. Amendment to sentencing guidelines relating to certain white-collar offenses.


Sec. 906. Corporate responsibility for financial reports. TITLE X—CORPORATE TAX RETURNS Sec. 1001. Sense of the Senate regarding the signing of corporate tax returns by

chief executive officers. TITLE XI—CORPORATE FRAUD AND ACCOUNTABILITY Sec. 1101. Short title. Sec. 1102. Tampering with a record or otherwise impeding an official proceeding. Sec. 1103. Temporary freeze authority for the Securities and Exchange Commission. Sec. 1104. Amendment to the Federal Sentencing Guidelines. Sec. 1105. Authority of the Commission to prohibit persons from serving as officers

or directors. Sec. 1106. Increased criminal penalties under Securities Exchange Act of 1934. Sec. 1107. Retaliation against informants.

Secara umum SOX’s Act terdiri dari tiga bagian penting yang harus diperhatikan oleh

manajemen perusahaan publik, yaitu: Seksi 404, 906, dan 302. Peraturan ini sudah mulai

dilaksanakan oleh perusahaan-perusahaan publik di AS sejak dikeluarkannya peraturan

tersebut, Juli 2002, namun yang menjadi penekanan adalah seksi 302 dan seksi 404.

Seksi 404 berisi peraturan yang mewajibkan manajemen untuk menilai internal kontrol

yang sudah dilaksanakan atas laporan keuangannya serta pengesahan dari auditor eksternal.

Seksi 906 berisi peraturan yang mewajibkan manajemen perusahaan secara periodik untuk

melaporkan segala sesuatu menyangkut informasi keuangan yang juga tunduk kepada peraturan

bursa saham, serta menyatakan dengan benar kondisi laporan keuangan dan hasil operasi

perusahaan. SOX’s act seksi 302 berisi peraturan yang hampir sama dengan seksi 906, tetapi seksi

302 berisi tambahan atas pengungkapan yang berhubungan dengan pengungkapan internal

kontrol dan prsodurnya, serta internal kontrol dan penipuan/kecurangan.

Berikut ini dijelaskan beberapa bagian (section) dari Sarbanes-Oxley Act yang perlu

mendapat perhatian.

A. Seksi 101

Seksi 101 SOX mengatur tentang pembentukan dan ”administrative provisions” dari Public

Company Accounting Oversight Board (PCAOB). PCAOB memiliki 5 anggota yang menguasai

keuangan (financially-literate), menjabat selama 5 tahun. Dua anggota dari PCAOB harus CPA

(Certified Public Accountant), dan sisa tiga anggotanya tidak harus dan dapat bukan CPA.

B. Seksi 102

Seksi 102 SOX mengatur tentang pendaftaran atau registrasi dengan PCAOB. Kantor akuntan

publik (audit firms) yang terlibat dalam audit perusahaan publik harus terdaftar dalam audit

perusahaan publik harus terdaftar pada PCAOB.

C. Seksi 103

Seksi 103 SOX mengatur tentang auditing, pengendalian mutu, dan aturan, aturan dan

standar indenpendensi. PCAOB akan membuat standar auditing dan standar atestasi yang berkaitan,


standar pengendalian mutu, dan standar etik yang digunakan kantor akuntan publik dalam

penyusunan dan penerbitan laporan audit dari emiten (issuers) sebagaimana yang disyaratkan oleh

Sarbones-Oxley Act (SOX) dan peraturan SEC. PCAOB akan memasukkan standar auditing suatu

persyaratan bahwa kantor akuntan publik harus menyusun dan memelihara kertas kerja untuk

periode paling sedikit 7 tahun.

D. Seksi 104

Seksi 104 SOX mengatur tentang inspeksi kantor akuntan publik. Inspeksi pengendalian mutu

tahunan harus dilakukan setiap tahun untuk kantor akuntan publik yang melakukan audit lebih dari

100 emiten. Kantor akuntan publik yang lain harus diinspeksi paling sedikit 3 tahun sekali. Inspeksi

khusus dapat dilakukan berdasarkan permintaan SEC atau PCAOB.

E. Seksi 105

Seksi 105 SOX mengatur tentang investigasi dan tindakan disipliner (disciplinary procedings).

Apabila PCAOB telah menentukan bahwa sebuah kantor akuntan publik melakukan praktik yang

melanggar Sarbanes-Oxley Act (SOX), peraturan-peraturan PCAOB, atau peraturan pasar modal yang

berkaitan dengan penerbitan laporan audit, PCAOB dapat menjatuhkan sanksi, mencakup suspensi

sementara atau pencabutan (revocation) izin permanen atau dikeluarkan dsari asosiasi akuntan

publik, denda financial, pemberian hukuman (censure), pendidikan atau pelatihan tambahan, atau

sanksi lain yang diberikan berdasarkan peraturan PCAOB.

F. Seksi 201

Seksi 201 mengatur jasa di luar ruang lingkup praktik auditor. Adalah melanggar hukum bagi

sebuah kantor akuntan publik yang memberikan jasa non audit kepada emiten, yang mencakup:

a) Bookkeeping or other services related to the accounting records or financial statement

of the audit client;

b) Financial information systems design and implementation;

c) Appraisal or valuation services, fairness opinions, or contribution-in kind reports;

d) Actuarial services;

e) Internal audit outsourcing services;

f) Management functions or human resources;

g) Broker or dealer, investment adviser, or investment banking services;

h) Any other services that PCAOB determines, by regulation, is impermissible.

Jasa non-audit dapat diberikan apabila jasa tersebut disetujui terlebih dahulu oleh komite audit.

Komite audit akan mengungkapkan kepada investor dalam laporan berkala keputusannya dalam

pemberian persetujuan pendahuluan untuk jasa non-audit.

G. Seksi 203

Seksi 203 SOX mengatur rotasi partner audit. Partner yang mengepalai atau mengkoordinasi

dan partner penelaah (reviewing partner) harus dirotasikan setiap 5 tahun.

H. Seksi 204

Seksi 204 SOX mengatur tentang laporan auditor kepala komite audit. Kantor akuntan publik

harus melaporkan kepada komite audit semua:

a. Kebijakan dan praktik akuntansi kritikal yang digunakan;

b. Seluruh perlakuan alternatif dari informasi keuangan dalam prinsip-prinsip akuntansi yang

berlaku umum (Generally Accepted Accounting Principle/GAAP) yang telah didiskusikan

dengan manajemen.


I. Seksi 206

Seksi 206 SOX mengatur tentang benturan kepentingan (conflicts of interest) CEO, kontroler,

CFO, Chief Accounting Officer atau orang yang berada dalam posisi ekuivalen tidak boleh dijabat

oleh kantor akuntan publik perusahaan selam periode satu tahun setelah audit (1 years period

preceding audit).

J. Seksi 207

Seksi 207 SOX mengatur tentang studi keharusan rotasi akuntan publik terdaftar. GAO akan

melakukan studi atas pengaruh potensial dari mensyaratkan keharusan rotasi dari kantor akuntan

publik.

K. Seksi 301

Seksi 301 SOX mengatur tentang komite audit perusahaan publik. Setiap anggota dari komite

audit harus merupakan anggota independen dari board of directors emiten. Komite audit harus

secara langsung bertanggung jawab atas penunjukan, kompensasi, dan pengawasan dari pekerjaan

kantor akuntan publik yang ditunjuk oleh emiten.

L. Seksi 302

SOX’s Act 2002 seksi 302 ini merupakan dokumen penjelasan manajemen atas internal

kontrol yang ada pada perusahaan. Pihak manajemen yang bertanggungjawab dalam

pengungkapan ini adalah direktur utama dan direktur keuangan perusahaan.

Dibawa ini adalah contoh pernyataan manajemen:

“Kami sudah merancang internal kontrol atas laporan keungan perusahaan kami,dan kami

sudah memantau pelaksanaan internal kontrol tersebut, dengan tujuan untuk menyediakan

jaminan kepada pihak luar atas keandalan laporan keuangan perusahaan kami, dan memberikan

jaminan lebih lanjut bahwa laporan keuangan perusahaan kami sudah sesuai dengan prinsip

akuntansi berlaku umum di Amerika Serikat”.

M. Seksi 303

Seksi 303 SOX mengatur tentang pengaruh yang tidak tepat atas pelaksanaan audit. Adalah

melanggar hukum bagi setiap pejabat atau direktur dari emiten melakukan tindakan apapun untuk

secara curabg mempengaruhi, memaksakan, memanipulasi, atau menyesatkan siapapun auditornya

yang ditunjuk dalam pelaksanaan suatu audit dengan tujuan untuk membuat laporan keuangan

secara material menyesatkan.

N. Seksi 404

SOX’s Act seksi 404 ini berisi kewajiban bagi manajemen perusahaan untuk menilai internal

control yang sudah dilaksanakan atas laporan keuangannya;


1. Perusahaan harus mengevaluasi internal kontrol atas laporan keuangannya setiap

tahun. Manajemen harus menyimpulkan efektifitas dari internal kontrol setiap akhir

tahun. Pihak yang bertanggungjawab untuk mengevaluasi internal kontrol perusahaan

adalah departemen internal control/audit

2. Akuntan publik yang disewa perusahaan harus menegaskan dan melaporkan hasil

evaluasi atas internal kontrol atas laporan keuangan perusahaan.

Seksi 404 secara khusus memberikan perhatian kepada internal kontrol perusahaan

atas laporan keuangannya. Dalam mengevaluasi internal kontrol yang dilaksanakan perusahaan,

manajemen melalui departemen internal kontrol/audit perlu menggunakan kerangka yang disusun

oleh COSO (Committee of Sponsoring Organization of the Tradeway Commission).

O. Siklus SOX’s Act Seksi 404

1. Tahap Perencanaan Implementasi SOX’s Seksi 404

Dalam tahap perencanaan untuk implementasi SOX, departemen internal control/audit

harus bekerja sama dengan pemilik proses bisnis (Business Process Owner) sebab pemilik proses


bisnislah yang merupakan pemilik atas pengendalian internal dalam proses bisnis yang menjadi

tanggungjawabnya.

Pemilik proses bisnis ini nantinya harus mengesahkan kontrol yang sudah dipetakan oleh auditor.

Lebih lanjut, pada tahapan ini auditor harus menentukan sumber daya yang dibutuhkan untuk

me-review proses bisnis yang kegiatannya mempengaruhi laporan keuangan perusahaan.

Pada tahap perencanaan, auditor harus menentukan cakupan atas pemeriksaan yang

dilakukan. Sesuai dengan standard audit (PCAOB; Public Company Accounting Oversight Board),

cakupan pemeriksaan SOX’s harus memperhatikan:

1. Lokasi-lokasi atas unit-unit bisnis dalam perusahaan yang memiliki porsi besar dari aktifitas

perusahaan secara keseluruhan. Menurut PCAOB unit-unit bisnis yang besar operasinya 60

sampai 75% dari total operasi perusahaan dan dipertimbangkan mempengaruhi posisi

keuangan perusahan untuk hal-hal berikut:

Pendapatan (Revenue)

Laba operasi

Pendapatan bersih (Net Income)

Total Assets

Ekuitas pemegang saham

2. Lokasi unit-unit bisnis yang memiliki resiko signifikan (misalnya; unit bisnis yang baru

diakuisisi, pusat jasa layanan, dsb.)

Contoh ruang lingkup pemeriksaan SOX 404, sebagai berikut:

Siklus utama

- Aktiva tetap (Fixed Assets);

- Pembelian;

- Pendapatan;

- Pajak Penghasilan;

- Persediaan;

- Pelaporan Keuangan;

- Dana pensiun, dsb.

Siklus Teknologi Informasi

Merupakan kontrol umum atas penggunaan komputer perusahaan:


- Pengembangan dan implementasi sistem

- Pengelolaan atas perubahaan sistem

- Keamanan

- Operasi sistem

Siklus lain juga dapat ditambahkan sesuai dengan kondisi bisnis perusahaan (besar perusahaan dan

tingkat kompleksitas operasi perusahaan); misalnya: Royalti, ekuitas perusahaan, dsb.

2. Tahap Dokumentasi Proses Bisnis

Dalam tahap dokumentasi proses bisnis yang sudah termasuk dalam cakupan evaluasi

SOX 404, maka hal-hal yang harus diperhatikan adalah:

a. Tujuan dari pemeriksaan. Tujuan dari pemeriksaan SOX 404 adalah untuk mengevaluasi

dan mendokumentasi kontrol yang dilaksanakan manajemen dalam aktifitas

kesehariannya

b. Identifikasi dan dokumentasi pengendalian internal yang ada yang relevan dengan

proses bisnis dan sub-proses bisnis dari setiap siklus yang akan direview oleh

departemen internal kontrol

c. Pendokumentasian proses bisnis dalam bentuk bagan (flow chart), narasi yang

didukung oleh contoh dari dokumen yang digunakan dalam proses bisnis tersebut

d. Dokumentasi ketidakcukupan kontrol untuk proses yang bersangkutan

3. Tahap Pengujian

Dalam tahap ini, auditor perlu memperhatikan hal-hal berikut:

a. Tujuan dari evaluasi kontrol adalah untuk meyakinkan kesesuaian kontrol yang

dirancang manajemen terhadap operasi bisnis yang dilaksanakannya

b. Pemilihan sampel (besar sampel) untuk pengujian kontrol yang ada

c. Identifikasi dan dokumentasi kontrol yang tidak berjalan dengan sepenuhnya

(control deficiency)

d. Evaluasi dan melaporkan defisiensi kontrol untuk menentukan waktu dan area

perbaikan

e. Berdasarkan evaluasi dan hasil pengujian, evaluasi kembali kontrol yang dibutuhkan

untuk memperbaiki kontrol yang ada atau menciptakan kontrol yang baru

f. Pada tahapan testing ini, auditor perlu mendapatkan persetujuan dari pemilik

proses bisnis (manajemen bersangkutan) atas kontrol yang sudah diidentifikasi oleh

auditor serta rencana pengujian atas kontrol tersebut


4. Tahap Perbaikan

Tujuan dari tahap perbaikan ini adalah untuk memberikan kesempatan kepada

manajemen memperbaiki kontrol yang ada. Untuk itu, auditor perlu mengkomunikasikan hasil

pengujiannya kepada manajemen dan mengembangkan rencana perbaikan (penentuan waktu

perbaikan dan batas waktu perbaikan).

5. Tahap Pengujian Kembali

a. Setelah melalui masa perbaikan, auditor harus menguji kembali kontrol yang ada melalui contoh

dokumen (sampel) untuk memastikan bahwa manajemen sudah melakukan perbaikan atas

pelaksanaan kontrol yang ada;

b. Jumlah dokumen (jumlah sampel) yang akan diuji tidak sama dengan jumlah sampel seperti pada

waktu auditor melakukan pengujian sebelumnya

c. Departemen internal kontrol/audit harus menentukan standard terhadap besarnya jumlah

sampel yang diperlukan untuk tahap pengujian kembali ini. Jumlah sampel didasarkan atas

pertimbangan auditor terhadap kondisi perusahaan (jumlah transaksi, kompleksitas perusahaan)

d. Auditor harus menyiapkan kertas kerja terpisah untuk tahap pengujian kembali

e. Jika dari hasil pengujian kembali ini, auditor menemukan bahwa pelaksanaan kontrol sudah

diperbaiki dan dilakukan secara konsisten, maka auditor dapat menyimpulkan bahwa internal

kontrol atas aktifitas tersebut sudah berjalan dengan baik (isu yang ada bisa ditutup). Tetapi jika

dari hasil pengujian kembali tersebut auditor menemukan bahwa manajemen masih

melaksanakan kontrol tersebut dengan tidak konsisten, maka auditor dapat menyimpulkan

bahwa pelaksanaan kontrol untuk aktifitas tersebut tidak berjalan dengan baik. Hal ini sering

dianggap sebagai issue yang masih belum terpecahkan (open issue). Apapun hasil dan

kesimpulan auditor terhadap pelaksanaan internal kontrol atas aktifitas yang dievaluasinya

harus dilaporkan kepada manajemen perusahaan, Top Manajemen (Direktrur Internal Kontrol,

Direktur Keuangan, dan Direktur Utama perusahaan).

6. Tahap Pengelompokan Hasil

Pada tahap ini semaua hasil dikelompokkan dengan kriteria yang ditetapkan untuk

mempermudah menyusun laporan.

7. Tahap Pelaporan

Pada tahapan ini, manajemen harus melaporkan hasil evaluasi internal kontrol yang

ada pada perusahaan tersebut. Manajemen harus melaporkan defisiensi kontrol yang ada dan


masih ada dan rencana untuk penyelesaian defisiensi tersebut, serta isu-isu terkait dengan

defisiens kontrol yang ditemukan.

P. Seksi 407

Seksi 407 SOX mengatur tentang pengungkapan dari keahlian keuangan komite audit. SEC

akan menerbitkan peraturan yang mensyaratkan emiten mengungkapkan apakah paling sedikit satu

anggota dari komite audit adalah ahli keuangan seperti yang didefinisikan dalam seksi 407 SOX.

Q. Seksi 701

Seksi 701 SOX mengatur tentang studi GAO dan laporan yang berkaitan dengan konsolidasi

dari kantor akuntan publik. GAO akan melakukan studi untuk mengidentifikasi faktor-faktor yang

menuntun konsolidasi kantor akuntan sejak 1989, pengaruh dari konsolidasi atas pembentukan

modal dan pasar ekuitas, dan solusi terhadap setiap masalah yang diidentifikasi, mencakup cara-cara

untuk meningkatkan kompetensi dan jumlah perusahaan yang mampu untuk menyediakan jasa

audit kepada organisasi usaha besar yang bergantung pada peraturan sekuritas.

R. Seksi 802

Seksi 802 SOX mengatur tentang hukuman kriminal untuk mngubah dokumen. Adalah tindak

pidana yang tergolong berat (felony) secara sengaja merusak atau menciptakan dokumen untuk

menghalangi (impede/obstruct) atau mempengaruhi setiap investigasi federal yang sedang

berlangsung atau akan diadakan.

S. Seksi 806

Seksi 806 SOX mengatur tentang ”Employee Whistleblower Protection”. Seksi 806

memungkinkan suatu aksi sipil bagi pekerja perusahaan publik yang mendapatkan pembalasan

(retailiation) dari pemberi kerja karena mengungkapkan aktivitas illegal. Seksi 806 dari Sarbanes-

Oxley Act melarang perusahaan publik membebaskan (discharging), menurunkan jabatan

(threatening), mengganggu (harassing) atau dengan cara-cara lain melakukan diskriminasi terhadap

setiap pejabat, karyawan, kontraktor, subkontraktor, atau agen, karena suatu tindakan yang sesuai

dengan hukum (lawful act) yang dilakukan oleh orang tersebut, memberikan informasi,

menyebabkan informasi diberikan, ataupun membantu dalam menyelidiki setiap tindakan tersebut

yang melanggar hukum, seperti mail, Wire, bank dan securities fraud.

T. Seksi 906

Sarbanes Oxley Act section 906 berisi :

1. CEO dan CFO melakukan sertifikasi bahwa, laporan periodik ‘fully complies’ peraturan yang

dikeluarkan oleh US SEC, informasi yang terkandung pada laporan periodik tersebut disajikan secara

wajar, dalam keseluruhan hal yang material, terhadap kondisi keuangan dan hasil operasi

perusahaan.

2. Hukuman atas penyimpangan dalam section 906 bagi individu yang secara sadar melakukan

penyimpangan dikenakan denda sampai dengan $1 juta dan hukuman penjara sampai dengan 10

tahun. Dan, bagi individu yang dengan sengaja dan secara sadar melakukan penyimpangan, akan

dikenakan denda sampai dengan $5 juta dan hukuman penjara sampai dengan 20 tahun.


U. Seksi 1102

Seksi 1102 SOX mengatur tentang perusakan catatan ataupun penghilangan acara kerja (official

proceeding). Setiap orang yang secara korup mengubah, merusak (destroy/mutilate) atau

menyembunyikan setiap catatan, dokumen atau objek lain dengan maksud untuk merusak integritas

objek tersebut atau ketersediaanya untuk penggunaan dalam acara kerja pejabat atau merusak,

mempengaruhi atau menghalangi setiap acara kerja pejabat akan didenda dan/atau dipenjarakan

samapai dengan 20 tahun.

III. IMPLIKASI SARBANES-OXLEY ACT

A. Manfaat Sarbanes Oxley Act dalam Audit Sistem Informasi

Manfaat SOA dalam Audit Sistem Informasi adalah untuk meningkatkan program

perlindungan bagi pegawai yang menjadi pengadu atau pemberi informasi, yang mendapatkan

perlakuan buruk dari perusahaannya setelah membeberkan adanya fraud manipulasi dan membantu

investigasi seperti: dipecat, didemosikan, diskors, diancam, dilecehkan dan berbagai perlakuan

diskriminatif lainnya. Selain itu juga menuntut perusahaan untuk memahami, mendokumentasi, dan

menyempurnakan kontrol internal terkait pelaporan keuangan, dengan terus meningkatkan akurasi

proses bisnis dan informasi transaksionalnya, serta membangun perbaikan proses secara

berkelanjutan.

Dalam Sarbanes-Oxley Act diatur tentang akuntansi, pengungkapan dan pembaharuan

governance; yang mensyaratkan adanya pengungkapan yang lebih banyak mengenai informasi

keuangan, keterangan tentang hasil-hasilyang dicapai manajemen, kode etik bagi pejabat di bidang

keuangan, pembatasan kompensasi eksekutif, dan pembentukan komite audit yang independen.

Selain itu diatur pula mengenai hal-hal sebagai berikut:

Menetapkan beberapa tanggung jawab baru kepada dewan komisaris, komite audit dan pihak

manajemen

Mendirikan the Public Company Accounting Oversight Board, sebuah dewan yang independen

dan bekerja full-time bagi pelaku pasar modal

Penambahan tanggung jawab dan anggaran SEC secara signifikan

Mendefinisikan jasa “non-audit” yang tidak boleh diberikan oleh KAP kepada klien

Memperbesar hukuman bagi terjadinya corporate fraud

Mensyaratkan adanya aturan mengenai cara menghadapi conflicts of interest

Menetapkan beberapa persyaratan pelaporan yang baru.

Pengaturan yang ketat dalam Sarbanes Oxley akan memberikan manfaat bagi perusahaan

yang menerapkan Sarbanes Oxley dan bagi konsumen dalam perusahaan tersebut.


Manfaat Penerapan Sarbanes Oxley Bagi Perusahaan

Perusahaan publik akan memiliki sistem pengendalian intern yang lebih baik, sehingga

akuntabilitas dan integritas pelaporan keuangannya lebih dapat dipercaya dan diandalkan.

Kepercayaan investor lebih meningkat.

Memiliki citra (image) yang positif di mata publik dan pemangku kepentingan lainnya.

Membantu perusahaan untuk melakukan Good Governance Corporation dengan baik

Manfaat Penerapan Sarbanes Oxley Bagi Konsumen

Meningkatkan kepercayaan konsumen terhadap perusahaan

Menghindari adanya kebohongan publik oleh perusahaan

Konsumen dapat memastikan akurasi laporan keuangan perusahaan

B. Kebutuhan akan Penerapan Sarbanes – Oxley Act pada Perusahaan

Sarbaness-Oxley Act (SOA) diterbitkan untuk memproteksi kepentingan investor

dengan cara menciptakan tata kelola perusahaan yang baik (good corporate governance), full

disclosure, dan akuntabilitas dalam perusahaan (Sarbanes dan Oxley, 2002). SOA khususnya section

404 mensyaratkan adanya laporan manajemen tahunan (annual management report) tentang

pengendalian intern perusahaan atas pelaporan keuangan dan laporan manajemen tersebut

merupakan subjek yang akan diaudit.

Pada dasarnya SOA ditujukan kepada perusahaan publik yang terdaftar dalam bursa saham.

Namun juga dapat diterapkan pada perusahaan non-publik. Karena Dalam SOA diatur tentang

akuntansi, pengungkapan dan pembaharuan governance yang mensyaratkan adanya pengungkapan

yang lebih banyak mengenai informasi keuangan, keterangan tentang hasil-hasil yang dicapai

manajemen, kode etik bagi pejabat di bidang keuangan, pembatasan kompensasi eksekutif, dan

pembentukan komite audit yang independen.

Perusahaan sangat perlu Sarbanes Oxley untuk menunjukkan kepada masyarakat bahwa

perusahaan tersebut tidak ada unsur fraud (manipulasi) didalamnya khususnya pada perusahaan

publik yang harus mempunyai kepercayaan terhadap masyarakat. Sarbanes Oxley Act juga

meningkatkan perlindungan bagi pegawai karena SOA mewajibkan semua perusahaan publik untuk

membuat suatu sistem pelaporan yang memungkinkan bagi pegawai untuk melaporkan terjadinya

penyimpangan. Sistem pelaporan hotlines ini akan mendorong para pegawai untuk melaporkan


karena mereka merasa aman dari tindakan pembalasan dari yang dilaporkan, dan inilah elemen

penting dan kritis bagi program pencegahan frauds (manipulasi).

C. Resiko tidak Complience (mematuhi) terhadap SOA bagi Perusahaan

1. Dalam Financial

Resiko tidak complience (mematuhi) terhadap SOA bagi perusahaan dalam hal financial

adalah dapat menyebabkan kebangkrutan bagi perusahaan khususnya perusahaan publik jika

ternyata terdapat fraud (manipulasi) dalam perusahaan tersebut. Karena dapat mengakibatkan

hilangnya kepercayaan masyarakat dan menarik semua saham-sahamnya dan akan menyebabkan

kebangkrutan bagi perusahaan.

2. Dalam Non-Financial

Resiko tidak complience (mematuhi) terhadap SOA bagi perusahaan dalam hal non-

financial adalah dapat menyebabkan perlakuan buruk bagi pegawai jika terjadi

pengakuan/membeberkan dan memberi informasi jika terjadi fraud (manipulasi) dan membantu

investigasi di dalam perusahaan. seperti dipecat, didemosikan, dilecehkan dan berbagai

perlakuan diskrimatif lainnya.

IV. PENERAPAN SOA DI INDONESIA

PT Telekomunikasi Indonesia, Tbk sebagai perusahaan yang telah tercatat di bursa saham

dalam negeri dan luar negeri berkomitmen penuh untuk mengembangkan dan menerapkan

kebijakan serta praktek tata kelola perusahaan dengan pembenahan internal dan pemenuhan

standard internasional. Standard internasional khususnya aturan yang ditetapkan oleh US Securities

and Exchange Commission (US SEC) yang harus diadopsi oleh PT. Telekomunikasi Indonesia, Tbk,

sebagai salah satu perusahaan yang telah listing di New York Stock Exchange (NYSE), adalah

Sarbanes Oxley Act (SOA). Sistem pengendalian internal yang tercantum dalam Sarbanes Oxley Act

merupakan unsur penting dalam praktek Good Corporate Governance. PT Telekomunikasi Indonesia,

Tbk saat ini menerapkan tiga section Sarbanes Oxley Act, yaitu section 302, section 404, dan section

906. Hal ini dilakukan dengan pertimbangan tiga section tersebut dapat diterapkan sebagai langkah

awal implementasi Sarbanes Oxley Act. Sedangkan untuk section lainnya, kemungkinan di masa

mendatang juga akan diterapkan secara bertahap bila perusahaan telah mampu menjalankan tiga

section tersebut dengan lengkap dan benar, serta adanya pertimbangan manajemen terhadap

benefit yang diperoleh.


V. KEUNGGULAN DAN KETERBATASAN SOA

A. Keunggulan Penerapan SOA

1) Tanggung Jawab Perusahaan

Undang-undang ini menekankan dan meminta perusahaan untuk bertanggungjawab secara

terafiliasi. Manajemen harus membuat pernyataan bahwa laporan keuangan telah disajikan secara

akurat dan tidak menimbulkan salah tafsir. Selain itu, pernyataan manajemen juga harus mencakup

bahwa laporan keuangan yang disajikan telah menerapkan sistem pengawasan internal yang sehat.

Komite Audit harus berperan aktif antara lain dengan melakukan pengawasan ketat terhadap

auditor, melakukan pemisahan antara audit service dengan non-audit service, dan melakukan

persetujuan dan pengungkapan atas semua jasa non-audit.

2) Auditor

Walaupun selama ini sudah diatur tentang independensi akuntan publik tetapi dalam undang-

undang ini diperketat lagi kewajiban mempertahankan independensi akuntan dan membentuk

Dewan Pengawas Akuntan Publik. Undang-undang ini melarang pemberian jasa non-audit diluar jasa

perpajakan dan juga mencantumkan adanya kewajiban untuk melakukan tugas bergilir terhadap

pelaksana dan penanggung jawab audit.

3) Perluasan Pengungkapan

Dalam undang-undang ini ada beberapa hal yang wajib diungkapkan, antara lain: penilaian setiap

tahun oleh manajemen dan auditor terhadap sistem pengawasan internal, kewajiban untuk

menyajikan laporan proforma, pelaporan transaksi saham internal dalam jangka waktu dua hari,

pengungkapan semua pembiayaan yang bersifat off-balance sheet dan pembiayaan yang bersifat

kontingensi (seperti pada industri perbankan), dan beberapa informasi tertentu yang dianggap

penting harus di laporkan secara real time.

4) Analis Saham

Analis saham harus mendapatkan pengungkapan terhadap informasi yang berkenaan dengan

kemungkinan adanya konflik kepentingan (conflict of interest).

5) Securities Exchange Committee (SEC)

SEC memperluas objek reviewnya terhadap laporan keuangan perusahaan, meningkatkan kekuasaan

untuk memaksa perusahaan melaksanakan peraturannnya dan menaikkan biaya hukuman terhadap

setiap pelanggaran UU pasar modal.


B. Keterbatasan SOA

Sarbanes Oxley Act memberikan beberapa perhatian untuk pengendalian internal terbukti

dengan adanya jasa hotlines yang disediakan untuk proses pelaporan frauds yang disaksikan oleh

pegawai dan perlindungan terhadap pegawai tersebut atas pelaporannya. Tapi sayangnya SOA

memiliki beberapa kelemahan, yang pertama adalah memfokuskan pada pemberian sanksi dan

perlakuan terhadap subject, namun pada kenyataanya kebanyakan kasus fraud yang terjadi bukan

hanya terjadi karena individu yang melakukannya (Moral Hazard) tapi lebih dikarenakan adanya

permainan dalam sistem.

Oleh karena itu, terdapatlah limitation of Internal Controls yang berarti kebanyakan

kegagalan yang terjadi dalam internal controls terjadi karena masing-masing individu, yang

seharusnya menerapkan prinsip internal controls ini dengan baik, dengan sengaja melakukan

pelanggaran dan bersepakat secara bersama-sama menyeleweng. Dan sampai saat ini belum ada

sistem yang dapat menakut-nakuti orang-orang yang memiliki peluang untuk melakukan kecurangan

baik dalam lingkup manajemen ataupun individu.

Efek sanksi dengan adanya SOA nampaknya tidak terlalu ampuh untuk dipopulerkan. Ini

terbukti dengan terjadinya kasus frauds untuk kesekian kalinya di Amerika yang secara menyeluruh

mengadopsi SOA. Bahkan terjadi beberapa kasus fraud lebih parah dan sampai-sampai

menyebabkan kerusakan ekonomi global. Ada komponen lain yang menyebabkan internal controls

tidak berjalan secara semestinya, yaitu ketika moral hazard atas individu yang terjadi dalam sebuah

perusahaan sudah tersistem. Contoh kasusnya adalah AIG yang merupakan salah satu perusahaan

asuransi besar didunia. Hedge Fund dan peluang pengendalian uang yang besar oleh manajemen

menjadi daya tarik tersendiri untuk melakukan skandal keuangan.

Pengendalian dan pengontrolan terhadap manajemen perusahan tidak hanya dilakukan oleh

komite audit tapi juga harus sejalan dengan regulasi dan pengontrolan yang dilakukan oleh

pemerintah. Selain itu, daya pikir kritis terhadap kondisi sebuah perusahaan yang sudah dianggap

baik haruslah ditingkatkan. Inspeksi keuangan pada sebuah perusahaan harus dilakukan secara

berkala agar pendeteksian kecurangan bisa ditemukan lebih awal. Pembuatan regulasi dan sanksi

luar biasa dalam pengendalian moral hazard harus dilakukan agar tidak terjadi suatu kegagalan

sistemik yang akan mengakibatkan semua instrument pengendalian baik regulasi pemerintah, kode

etik perusahaan, maupun nilai-nilai/budaya dalam perusahaaan harus kembali diperbaiki lagi dari

awal.


VI. SIMPULAN

Sarbanes Oxley Act bertujuan untuk mengembalikan kepercayaan investor pasca skandal akuntansi

dan kebangkrutan perusahaan2 besar di Amerika. Secara umum SOA mengatur tentang Akuntansi,

pengungkapan dan pembaharuan governance, yang mensyaratkan adanya pengungkapan yang lebih

banyak mengenai informasi keuangan, keterangan tentang hasil-hasil yang dicapai manajemen, kode

etik bagi pejabat di bidang keuangan, pembatasan komite audit yang independen, pembatasan

kompensasi eksekutif dan lain-lain. Sehingga pada intinya SOA memberikan persyaratan bagi sebuah

perusahaan terhadap pengendalian internalnya.

Perdebatan mengenai untung rugi penerapan SOA masih terus terjadi. Para pendukungnya merasa

bahwa aturan ini diperlukan dan memegang peranan penting untuk mengembalikan kepercayaan

publik terhadap pasar modal nasional dengan antara lain memperkuat pengawasan akuntansi

perusahaan. Sementara para penentangnya berkilah bahwa SOA tidak diperlukan dan campur

tangan pemerintah dalam manajemen perusahaan menempatkan perusahaan-perusahaan pada

kerugian kompetitif terhadap perusahaan asing.

Penerapan Sarbanes Oxley di Indonesia

Documents

Transcript of Penerapan Sarbanes Oxley di Indonesia