The Combined Code, theTurnbull Report andSarbanes–OxleyThe Combined CodeThe first version of the United Kingdom’s Combined Code, issued in1998,replaced, combined and refined the earlier requirements of theCadbury andGreenbury reports on corporate governance and directors’remuneration. Itcame into force for all listed companies for year-ends afterDecember 1998.Since then, UK corporate governance has been on a ‘comply orexplain’ basis;in other words, listed companies are expected to comply but are notstatutorilyrequired to do so. Simplistically, if they have good reason, theycanchoose not to comply with a particular provision of the CombinedCode aslong as they then explain, in their annual report, why that decisionwas taken.However, as the market nowadays punishes companies that choose nottocomply, any decision about non-compliance is not expected to betakenlightly. (In actual fact, the requirements are a bit more complexthan this.There is a full description of the evolution of the Combined Codeand theTurnbull Report in Chapters 5 and 6 of Corporate Governance: A manager’sguide, by Alan Calder (Kogan Page, 2008).)The Combined Code requirements were broadly similar to those of theearlier reports, but in one important respect – reporting oncontrols – therewas a major and significant development in 1999, prior to the mostrecent(2005) revision of the Code. While the Cadbury Report had envisagedcompanies reporting on controls generally, the original guidancethat was

issued at that time to clarify those requirements permitted, andindeedencouraged, companies to restrict their review of controls, and thedisclosuresrelating to that review, to financial controls. This meant thatpotentially more important issues relating to operational control were leftoutside thereporting framework.

Gabungan KodeVersi pertama dari Britania Raya Gabungan Code, yang diterbitkanpada tahun 1998,diganti, dikombinasikan dan disempurnakan persyaratan awal dariCadbury danGreenbury melaporkan tata kelola perusahaan dan remunerasi direksi.Saya Tmulai berlaku untuk semua perusahaan yang terdaftar untuk tahun-berakhir setelah Desember 1998.Sejak itu, Inggris tata kelola perusahaan telah di 'mematuhi ataumenjelaskan' dasar;dengan kata lain, perusahaan yang terdaftar diharapkan untukmematuhi tetapi tidak melalui undang-undangdiperlukan untuk melakukannya. Simplistically, jika mereka memilikialasan yang baik, mereka dapatmemilih untuk tidak mematuhi ketentuan tertentu dari Kode Gabungansebagaiselama mereka kemudian menjelaskan, dalam laporan tahunan mereka,mengapa keputusan itu diambil.Namun, karena pasar saat ini menghukum perusahaan yang memilih untuktidakmematuhi, keputusan tentang ketidakpatuhan diperkirakan tidak akandiambilringan. (Dalam kenyataannya, persyaratan yang sedikit lebih kompleksdari ini.Ada keterangan lengkap tentang evolusi Kode dan Gabungan yangLaporan Turnbull dalam Bab 5 dan 6 dari Corporate Governance:manajer Amembimbing, oleh Alan Calder (Kogan Page, 2008).)Gabungan Kode persyaratan yang secara umum mirip dengan orang-orangdarilaporan sebelumnya, tapi dalam satu hal penting - melaporkan kontrol- adaadalah perkembangan besar dan penting pada tahun 1999, sebelumterbaru(2005) revisi Code. Sementara Laporan Cadbury telah dipertimbangkan

perusahaan melaporkan kontrol umum, bimbingan asli yangdikeluarkan pada saat itu untuk memperjelas persyaratan diizinkan,dan memangdidorong, perusahaan untuk membatasi kajian mereka kontrol, danpengungkapanberkaitan dengan review, kontrol keuangan. Ini berarti bahwapotensialmasalah yang lebih penting yang berkaitan dengan pengendalianoperasional yang tersisa di luarpelaporan kerangka.The Turnbull ReportThe Turnbull Report – Internal Control: Guidance for directors on the CombinedCode, published by the Internal Control Working Party of theInstitute ofChartered Accountants in England and Wales – provided furtherguidance in1999 as to how directors of listed companies should tackle thisissue.Paragraph 20 of the Turnbull Report stated that a company’s‘internalcontrol system encompasses the policies, processes, tasks,behaviours andother aspects of a company that, taken together:_ ‘Facilitate its effective and efficient operation by enabling itto respondappropriately to significant business, operational, financial,complianceand other risks to achieving the company’s objectives. This includesthesafeguarding of assets from inappropriate use and from loss orfraud, andensuring that liabilities are identified and managed._ ‘Help ensure the quality of internal and external reporting. Thisrequiresthe maintenance of proper records and processes that generate a flowoftimely, relevant and reliable information from within and outsidetheorganization._ ‘Help ensure compliance with applicable laws and regulations.’Paragraph 21 recognized that ‘a company’s system of internalcontrol… willinclude… information and communications processes [emphasis added]’.Paragraph 28 was clear that ‘internal controls… should include alltypes of

controls including those of an operational and compliance nature, aswell asinternal financial controls’._ 24 IT GOVERNANCEIn short, the Turnbull Report for the first time made it clear tothe directorsof public companies that their internal control systems had toaddress allforms of information as well as the systems on which it resided.The Turnbull ReportThe Turnbull Report - Pengendalian Internal: Pedoman untuk direkturdi GabunganKode, diterbitkan oleh Partai Kerja Pengendalian Intern dariInstitutChartered Accountants di Inggris dan Wales - memberikan bimbinganlebih lanjut dalam1999 bagaimana direktur perusahaan yang terdaftar harus mengatasimasalah ini.Ayat 20 dari Laporan Turnbull menyatakan bahwa perusahaan 'internsistem kontrol meliputi kebijakan, proses, tugas, perilaku danaspek lain dari perusahaan itu, diambil bersama-sama:_ 'Memfasilitasi operasi yang efektif dan efisien denganmemungkinkan untuk merespontepat untuk signifikan bisnis, operasional, keuangan, kepatuhandan risiko lainnya untuk mencapai tujuan perusahaan. Ini termasukmelindungi aset dari penggunaan yang tidak pantas dan dari kerugianatau penipuan, danmemastikan bahwa kewajiban diidentifikasi dan dikelola._ 'Bantuan menjamin kualitas pelaporan internal dan eksternal. Halini memerlukanpemeliharaan catatan yang tepat dan proses yang menghasilkan aliraninformasi yang tepat waktu, relevan dan dapat diandalkan dari dalamdan luarorganisasi._ 'Bantuan memastikan kepatuhan terhadap hukum dan peraturan yangberlaku. "Ayat 21 mengakui bahwa 'sistem perusahaan pengendalian internal ...akantermasuk ... informasi dan komunikasi proses [penekanan ditambahkan]'.Ayat 28 jelas bahwa 'pengendalian internal ... harus mencakup semuajenisKontrol termasuk yang bersifat operasional dan kepatuhan, sertakontrol keuangan internal '._ 24 TATA

Singkatnya, Laporan Turnbull untuk pertama kalinya menegaskan kepadadireksiperusahaan publik bahwa sistem pengendalian internal mereka harusmengatasi semuabentuk informasi serta sistem yang menjadi tinggal.The Revised Combined CodeFollowing the work of the Smith and Higgs committees, the CombinedCodewas revised and reissued in 2003, 2006 and will be again in 2008,replacing theearlier versions. The Turnbull Report was renamed the TurnbullGuidance,was reviewed and updated, and re-published in 2005.In section 1, the revised Combined Code states that the ‘board’srole is toprovide entrepreneurial leadership of the company within a frameworkofprudent and effective controls which enables risk to be assessed andmanaged’. Risk management, in other words, is a key responsibilityof theboard. The non-executive directors are required to ‘satisfythemselves on theintegrity of financial information and that financial controls andsystems of riskmanagement are robust and defensible [emphasis added]’.Principle C.2 of the revised Combined Code deals with internalcontrol.The board is required to maintain a sound system of internal controlto safeguardshareholders’ investments and the assets of the company. Inpractice,directors are required ‘at least annually, to conduct a review ofthe effectivenessof the group’s system of internal controls and should report toshareholdersthat they have done so. The review should cover all materialcontrols,including financial, operational and compliance controls and risk managementsystems [emphasis added]’. The Code then refers the reader to theTurnbullReport for details on how to apply this provision.The Turnbull Report, retitled the ‘Turnbull Guidance’, as mentioned,isincluded unchanged in the revised Combined Code. Copies of theCombinedCode can be obtained from the United Kingdom’s Financial Reporting

Council (FRC) or downloaded from http://www.frc.org.uk/corporate/combinedcode.cfm.Paragraphs 17, 18 and 19 of the Turnbull Guidance provide anadmirablybrief and clear description of the principles of a risk treatmentplan and of theboard’s responsibility to set the policy around risk treatment, theexecutive’sto implement it, and that of all staff to comply with the system ofinternalcontrol. This sort of framework is often known as an Enterprise RiskManagement (ERM) Framework, and an organization’s ERM framework willreflect the overlap between regulatory risk management requirementsas wellas its specific internal control and information security managementneeds.While listed companies are not legally required to comply with theprovisionsof the revised Combined Code, the London Stock Exchange’s ListingTHE COMBINED CODE, THE TURNBULL REPORT AND SARBANES–OXLEY 25 _Rules (LR.9.8.6) require every Stock Exchange-listed (ie notAlternativeInvestment Market (AIM)-listed) company to include the followingitems inits annual report and accounts:‘(5) a statement of how the listed company has applied theprinciples set outin Section 1 of the Combined Code, in a manner that would enableshareholdersto evaluate how the principles have been applied;‘(6) a statement as to whether the listed company has:(a) complied throughout the accounting period with all relevantprovisionsset out in Section 1 of the Combined Code; or(b) not complied throughout the accounting period with all relevantprovisions set out in Section 1 of the Combined Code and if so,settingout:(i) those provisions, if any, it has not complied with;(ii) in the case of provisions whose requirements are of acontinuingnature, the period within which, if any, it did not comply withsome or all of those provisions; and(iii) the company’s reasons for non-compliance.’The company’s auditors must verify the statement made by thedirectors in

respect of the board’s compliance with the Code’s provisions. Ineffect, itcould be argued that compliance has become a fiduciary duty ofboards ofdirectors. This could mean that directors are held to be personallyliable forany negative results of failing to apply the Combined Code and theguidanceand principles of Turnbull in a reasonable manner.The United Kingdom’s Companies Act 2004 created a statutory duty fordirectors of companies, having made appropriate due and diligentinquiry, tomake auditors aware of any factors that might be relevant to theirassessmentof a company’s report and accounts, including all those statementswithin thedirectors’ report that auditors are required to comment on. Thisprovision hasbeen carried forward to the Companies Act 2006. (See Chapter 11 ofCorporateGovernance: A manager’s guide, by Alan Calder (Kogan Page, 2008) for fullinformation about the requirements on directors in respect ofaudits.) Thisleaves no ‘wiggle room’ for directors; all important risk issueshave to beidentified and disclosed.While the Combined Code is not, at first sight, relevant to anyother businesses,its impact is being felt increasingly throughout the United Kingdomand through the national and international supply chains of UK-listedcompanies. This means that Turnbull will impact all businesses inthosesupply chains, and all directors of them will need therefore to beaware of its_ 26 IT GOVERNANCErequirements and implications. It has particular relevance to themanagementand security of data assets.The UK government (through HM Treasury) adopted the principles ofinternal control set out by Turnbull and published its own ‘OrangeBook’, inwhich it adapted Turnbull’s recommendations to the public sector.All nongovernmentalorganizations (NGOs) and non-departmental public bodies

(NDPBs) are expected to conform to these requirements, and allgovernmentand government-controlled bodies were expected to ensureimplementationand integration of the processes by the end of 2003. The reality is,of course,that applying a corporate governance regime developed for theprivate sectoris challenging in a public-sector environment, given the absence ofmarketforces, and emerging best practice around these issues is addressedin AlanCalder’s book on corporate governance (published in March 2008 byKoganPage).The key questions that directors of listed companies and ‘OrangeBook’public-sector organizations seek to answer in respect of theirsupply chainsare the same questions that directors of companies in those supplychainstherefore need to be able to answer for themselves. These questions(whichare not meant to be exhaustive) are set out in Appendix 1 to theTurnbullGuidance and are quoted below. Key questions include the following:_ Are the significant internal and external operational, financial,compliance and other risks identified and assessed on an ongoingbasis?(Significant risks may, for example, include those related tomarket,credit, liquidity, technological, legal, health, safety andenvironmental,reputation, and business probity issues.)_ Does the board have clear strategies for dealing with thesignificant risksthat have been identified? Is there a policy on how to manage theserisks?_ Are information needs and related information systems reassessedasobjectives and related risks change or as reporting deficiencies areidentified?_ Are there specific arrangements for management monitoring andreporting to the board on risk and control matters of particularimportance?These could include, for example, actual or suspected fraud and

other illegal or irregular acts, or matters that could adverselyaffect thecompany’s reputation or financial position.The Turnbull Guidance does not specify which risks should beincluded inthe scope of the report and what can be left out. The Guidancesimply says, inparagraph 16, that ‘the board of directors is responsible for thecompany’sTHE COMBINED CODE, THE TURNBULL REPORT AND SARBANES–OXLEY 27 _system of internal control. It should set appropriate policies oninternalcontrol and seek regular assurance that will enable it to satisfyitself that thesystem is functioning effectively’. In paragraph 17, it goes on tosay that, indetermining its policies, the board should consider ‘the extent andcategoriesof risk which it regards as acceptable for the company to bear,[and] the likelihoodof the risks concerned materialising’.Given the absence of definitive guidance on what risks to include orexclude, the board of directors should seek to be as comprehensiveaspossible. This means that (among others, including health andsafety, environment,employment legislation as well as more obvious strategic risks)information risk (covered in Chapter 1 of this book) must beconsidered, andtherefore information security management will be critical to allorganizations.Equally, in assessing risks to the organization, directors will havetoassess the risks associated with their supply chains. Datainterdependence isa characteristic of supply chains, and therefore risks to datasecurityanywhere in the supply chain are a risk to the whole supply chain.Boardswill have to assess these risks, the scale of which were describedin Chapter 1,and implement appropriate control mechanisms to limit theirpotentialimpact.It is clear that systems designed to meet the requirements ofTurnbull

should be integrated into the organization. This means that thenecessaryinternal control systems should form part of the organizationalculture and bepart of the day-to-day management of the organization. Theycertainlyshould not be a separate structure designed solely for the purposeofcomplying with the Code, nor should they be introduced from outsidetheorganization without there being real ownership within – and fromthe top of– the organization. Implementation does require the entireorganization toembrace the principles of the Code; this can only happen if theprocess istaken sufficiently seriously for it to be embraced at board leveland to beowned by the chairperson, chief executive and the whole board.

Revisi Gabungan KodeSetelah pekerjaan Smith dan Higgs komite, Kode Gabungandirevisi dan diterbitkan kembali pada tahun 2003, 2006 dan akankembali pada tahun 2008, menggantikanversi sebelumnya. The Turnbull Report berganti nama menjadi TurnbullBimbingan,ditinjau dan diperbarui, dan re-diterbitkan pada tahun 2005.Pada bagian 1, revisi Gabungan Kode menyatakan bahwa peran 'dewanadalah untukmemberikan kepemimpinan kewirausahaan perusahaan dalam rangkakontrol bijaksana dan efektif yang memungkinkan risiko yang akandinilai danberhasil '. Manajemen risiko, dengan kata lain, adalah tanggungjawab utama daripapan. Para direktur non-eksekutif diminta untuk 'memuaskan diripadaintegritas informasi keuangan dan pengendalian keuangan dan sistemrisikomanajemen yang kuat dan dipertahankan [penekanan ditambahkan] '.C.2 Prinsip revisi Gabungan Kode berkaitan dengan pengendalianinternal.Dewan ini diperlukan untuk mempertahankan sistem pengendalianinternal untuk menjagainvestasi pemegang saham dan aset perusahaan. Dalam prakteknya,direksi diwajibkan 'setidaknya setiap tahun, untuk melakukanpeninjauan efektivitas

sistem kelompok kontrol internal dan harus melaporkan kepadapemegang sahambahwa mereka telah melakukannya. Tinjauan tersebut harus mencakupsemua kontrol material,termasuk keuangan, pengendalian operasional dan kepatuhan danmanajemen risikosistem [penekanan ditambahkan] '. Kode kemudian merujuk pembaca keTurnbullMelaporkan untuk rincian tentang bagaimana menerapkan ketentuan ini.The Turnbull Report, diberi judul yang 'Turnbull Bimbingan', sepertiyang disebutkan, adalahtermasuk tidak berubah dalam revisi Gabungan Kode. Salinan GabunganKode dapat diperoleh dari Britania Raya Pelaporan KeuanganCouncil (FRC) atau download dari http://www.frc.org.uk/corporate/combinedcode.cfm.Paragraf 17, 18 dan 19 dari Turnbull Bimbingan memberikanmengagumkandeskripsi singkat dan jelas tentang prinsip-prinsip rencanaperawatan risiko dan daritanggung jawab dewan untuk mengatur kebijakan di seluruh perlakuanresiko, eksekutifuntuk menerapkannya, dan semua staf untuk mematuhi sistem internalcontrol. Ini semacam kerangka sering dikenal sebagai Enterprise RiskManajemen (ERM) Framework, dan kerangka ERM organisasi akanmencerminkan tumpang tindih antara persyaratan manajemen risikoperaturan sertasebagai kontrol dan manajemen keamanan informasi kebutuhan internalspesifik.Sementara perusahaan yang terdaftar tidak secara hukum diwajibkanuntuk mematuhi ketentuanrevisi Gabungan Kode, Pencatatan Bursa Efek LondonTHE GABUNGAN KODE, LAPORAN DAN Turnbull Sarbanes-Oxley 25 _Aturan (LR.9.8.6) mewajibkan setiap Bursa Efek yang terdaftar (yaitutidak AlternatifInvestasi Pasar (AIM) -listed) perusahaan untuk menyertakan itemberikutlaporan tahunan dan rekening:(5) pernyataan tentang bagaimana perusahaan yang terdaftar telahmenerapkan prinsip-prinsip yang ditetapkandalam Bagian 1 dari Kode Gabungan, dengan cara yang akanmemungkinkan para pemegang sahamuntuk mengevaluasi bagaimana prinsip-prinsip telah diterapkan;(6) pernyataan apakah perusahaan terdaftar memiliki:(A) memenuhi sepanjang periode akuntansi dengan semua ketentuanterkaitditetapkan dalam Pasal 1 Kode Gabungan; atau

(B) tidak memenuhi sepanjang periode akuntansi dengan semua yangrelevanketentuan yang tercantum dalam Pasal 1 Kode Gabungan dan jikademikian, pengaturanout:(I) ketentuan-ketentuan, jika ada, belum dipenuhi;(Ii) dalam hal ketentuan yang persyaratan dari terusalam, periode di mana, jika ada, tidak sesuai denganbeberapa atau semua ketentuan-ketentuan; dan(Iii) alasan perusahaan untuk non-kepatuhan. "Auditor perusahaan harus memverifikasi pernyataan yang dibuat olehdireksi dihormat kepatuhan dewan dengan ketentuan Kode Etik. Akibatnya, halitudapat dikatakan bahwa kepatuhan telah menjadi kewajiban fidusia daridewandireksi. Ini bisa berarti bahwa direksi yang dianggap pribadibertanggung jawab untuksetiap hasil negatif gagal menerapkan Kode Gabungan dan bimbingandan prinsip-prinsip Turnbull dengan cara yang wajar.The Britania Raya Companies Act 2004 menciptakan kewajiban hukumuntukdirektur perusahaan, telah membuat jatuh tempo dan rajinpenyelidikan yang tepat, untukmembuat auditor menyadari faktor-faktor apa saja yang mungkinrelevan dengan penilaian merekalaporan dan rekening perusahaan, termasuk semua laporan keuangantersebut dalamLaporan direksi bahwa auditor diminta untuk mengomentari. Ketentuanini memilikitelah dilakukan ke depan untuk Companies Act 2006. (Lihat Bab 11dari PerusahaanGovernance: Sebuah panduan manajer, Alan Calder (Kogan Page, 2008)untuk penuhinformasi tentang persyaratan pada direksi dalam hal audit.) Initidak meninggalkan 'ruang gerak' untuk direksi; semua masalah risikoyang penting harusdiidentifikasi dan diungkapkan.Sementara Kode Gabungan tidak, pada pandangan pertama, relevandengan bisnis lain,dampaknya dirasakan semakin di seluruh Inggrisdan melalui rantai pasokan nasional dan internasional Inggris yangterdaftarperusahaan. Ini berarti bahwa Turnbull akan berdampak semua bisnispada mereka

rantai pasokan, dan semua direktur dari mereka karena itu perlumenyadari nya_ 26 TATApersyaratan dan implikasi. Memiliki relevansi khusus kepadamanajemendan keamanan aset data.Pemerintah Inggris (melalui HM Treasury) mengadopsi prinsip-prinsippengendalian intern yang ditetapkan oleh Turnbull dan diterbitkansendiri 'Orange Book', diyang diadaptasi rekomendasi Turnbull kepada sektor publik. Semuanon-pemerintahorganisasi (LSM) dan badan-badan publik non-departemen(NDPBs) diharapkan agar sesuai dengan persyaratan ini, dan semuapemerintahdan badan-badan yang dikendalikan pemerintah diharapkan untukmemastikan implementasidan integrasi proses pada akhir tahun 2003. Kenyataannya adalah,tentu saja,bahwa penerapan rezim tata kelola perusahaan yang dikembangkan untuksektor swastaadalah menantang di lingkungan sektor publik, mengingat tidak adanyapasarkekuatan, dan muncul praktik terbaik di sekitar isu-isu ini dibahasdalam AlanBuku Calder tentang tata kelola perusahaan (diterbitkan pada bulanMaret 2008 oleh KoganPage).Pertanyaan-pertanyaan kunci yang direktur perusahaan yang terdaftardan 'Orange Book'organisasi sektor publik berusaha untuk menjawab sehubungan rantaipasokan merekaadalah pertanyaan yang sama bahwa direktur perusahaan dalam rantaipasokanOleh karena itu harus mampu menjawab untuk diri mereka sendiri.Pertanyaan-pertanyaan ini (yangtidak dimaksudkan untuk menjadi lengkap) ditetapkan dalam Lampiran 1ke TurnbullBimbingan dan dikutip di bawah ini. Pertanyaan kunci adalah sebagaiberikut:_ Apakah signifikan internal dan eksternal operasional, keuangan,kepatuhan dan risiko lainnya diidentifikasi dan dinilai secaraberkelanjutan?(Risiko yang signifikan mungkin, misalnya, termasuk yang berkaitandengan pasar,kredit, likuiditas, teknologi, hukum, kesehatan, keselamatan danlingkungan,

reputasi, dan kejujuran bisnis masalah.)_ Apakah papan memiliki strategi yang jelas untuk menangani risikoyang signifikanyang telah diidentifikasi? Apakah ada kebijakan tentang bagaimanamengelola risiko-risiko tersebut?_ Apakah kebutuhan informasi dan sistem informasi terkait dinilaiulang sebagaitujuan dan risiko terkait perubahan atau kekurangan pelaporandiidentifikasi?_ Apakah ada pengaturan khusus untuk pemantauan manajemen danmelaporkan ke dewan pada risiko dan pengendalian masalah-masalahpenting?Ini dapat mencakup, misalnya, atau dugaan penipuan dantindakan lainnya ilegal atau tidak teratur, atau hal-hal yang dapatmempengaruhiPerusahaan reputasi atau posisi keuangan.The Turnbull Bimbingan tidak menentukan risiko harus dimasukkandalamlingkup laporan dan apa yang bisa ditinggalkan. Bimbingan hanyamengatakan, diparagraf 16, bahwa "dewan direksi bertanggung jawab untuk perusahaanTHE GABUNGAN KODE, LAPORAN DAN Turnbull Sarbanes-Oxley 27 _sistem pengendalian internal. Ini harus menetapkan kebijakan yangtepat pada internmengontrol dan mencari jaminan reguler yang akan memungkinkan untukmemuaskan dirinya sendiri bahwaSistem berfungsi secara efektif '. Dalam ayat 17, ia melanjutkandengan mengatakan bahwa, dalammenentukan kebijakannya, dewan harus mempertimbangkan 'tingkat dankategoririsiko yang mereka anggap sebagai diterima bagi perusahaan untukmenanggung, [dan] kemungkinanrisiko yang bersangkutan terwujudnya '.Mengingat tidak adanya bimbingan definitif tentang apa risiko untukmemasukkan ataumengecualikan, dewan direksi harus berusaha untuk menjadisekomprehensifmungkin. Ini berarti bahwa (antara lain, termasuk kesehatan dankeselamatan, lingkungan,undang-undang ketenagakerjaan serta risiko strategis yang lebihjelas)Risiko informasi (dibahas dalam Bab 1 dari buku ini) harusdipertimbangkan, danOleh karena itu manajemen keamanan informasi akan sangat pentinguntuk semua organisasi.Sama, dalam menilai risiko terhadap organisasi, direksi harus

menilai risiko yang terkait dengan rantai pasokan mereka. Datasaling ketergantungan adalahkarakteristik rantai pasokan, dan karena itu risiko untuk keamanandatadi mana saja dalam rantai pasokan risiko untuk seluruh rantaipasokan. Papanharus menilai risiko ini, skala yang digambarkan dalam Bab 1,dan menerapkan mekanisme kontrol yang tepat untuk membatasi potensimerekadampak.Jelas bahwa sistem yang dirancang untuk memenuhi persyaratanTurnbullharus diintegrasikan ke dalam organisasi. Ini berarti bahwadiperlukansistem pengendalian intern harus menjadi bagian dari budayaorganisasi dan menjadibagian dari manajemen sehari-hari organisasi. Mereka pastiseharusnya tidak menjadi struktur terpisah yang dirancang semata-mata untuk tujuansesuai dengan Kode Etik, atau mereka harus diperkenalkan dari luarorganisasi tanpa ada kepemilikan nyata dalam - dan dari atas- Organisasi. Pelaksanaan tidak memerlukan seluruh organisasi untukmerangkul prinsip-prinsip Code; ini hanya bisa terjadi jika prosesinidiambil cukup serius untuk itu untuk dipeluk di tingkat dewan danmenjadidimiliki oleh ketua, chief executive dan seluruh papan.Sarbanes–OxleyThe Sarbanes–Oxley Act of 2002 (SOX), introduced in the UnitedStates in theaftermath of Enron, has important IT governance implications forlisted UScompanies, their foreign subsidiaries, and foreign companies thathave USlistings. It applies to all Securities and Exchange Commission(SEC)-registeredorganizations, irrespective of where their trading activities aregeographically based. SOX is fundamentally different from theCombinedCode, and from codes of corporate governance adopted elsewhere inthe_ 28 IT GOVERNANCEOECD, in that compliance is mandatory, rather than ‘comply orexplain’. Thisaspect, combined with significant potential sanctions for individualdirectors,

is driving SOX compliance requirements through the supply chain.While the Act lays down detailed requirements for the governance oforganizations, the three highest-profile and most critical sections– whichwere implemented in phases – are 302, 404 and 409 (see Table 2.1).The SEC, which is responsible for implementation of SOX, hasrelevantinformation available at www.sec.gov/spotlight/sarbanes-oxley.htm,andthe Sarbanes–Oxley website itself is at www.sarbanes-oxley.com.Table 2.1Section302 404 409Requirement – Quarterly certification – Management’s annual – Monitor operationalof financial reports certification of risksinternal controls– Disclosure of all – Independent – Material eventknown control accountant must reportingdeficiencies attest report– Disclose acts of fraud – Quarterly reviews of – ‘Real-time’updates/changes implications – fourbusiness daysallowed for reportto be filedResponsibility – CEO – Management – Management– CFO – Independent – Independentaccountant/auditor accountant/auditor

Sarbanes-OxleySarbanes-Oxley Act of 2002 (SOX), diperkenalkan di Amerika Serikat padasetelah Enron, memiliki implikasi pengelolaan TI penting untuk tercatat di AmerikaSerikatperusahaan, anak perusahaan asing mereka, dan perusahaan-perusahaan asing yangmemiliki ASlisting. Ini berlaku untuk semua Securities and Exchange Commission (SEC) -registeredorganisasi, terlepas dari mana aktivitas perdagangan merekageografis berbasis. SOX secara fundamental berbeda dari GabunganKode, dan dari kode tata kelola perusahaan yang diadopsi di tempat lain di_ 28 TATAOECD, sesuai yang wajib, bukan 'mematuhi atau menjelaskan'. IniAspek, dikombinasikan dengan sanksi potensi yang signifikan untuk direkturindividu,mendorong persyaratan kepatuhan SOX melalui rantai pasokan.Sementara UU menetapkan persyaratan rinci untuk tata kelolaorganisasi, tiga tertinggi profil dan bagian yang paling penting - yangyang dilaksanakan secara bertahap - adalah 302, 404 dan 409 (lihat Tabel 2.1).SEC, yang bertanggung jawab untuk implementasi SOX, memiliki relevaninformasi yang tersedia di www.sec.gov/spotlight/sarbanes-oxley.htm, danwebsite Sarbanes-Oxley sendiri di www.sarbanes-oxley.com.Tabel 2.1Bagian302 404 409Kebutuhan - Triwulan sertifikasi - Manajemen tahunan - Memantau operasional

laporan keuangan sertifikasi risikopengendalian internal- Pengungkapan semua - Independent - acara Materialdikenal akuntan kontrol harus pelaporankekurangan membuktikan laporan- Mengungkapkan tindak penipuan - ulasan Triwulanan - 'Real-time'update / perubahan implikasi - empathari kerjadiperbolehkan untuk laporanyang akan diajukanTanggung Jawab - CEO - Manajemen - Manajemen- CFO - Independent - Independentakuntan / auditor akuntan / auditorInternal controls and auditUnder SOX, management is required to certify the company’s financialreports, and both management and an independent accountant arerequiredto certify the organization’s internal controls. In almost everyorganization,financial reporting depends on the IT infrastructure, whether it isfor therendering of an invoice, the effective operation of an ERP system,or an integrated,organization-wide management information and control system.Unless appropriate internal controls are built into thisinfrastructure,management will not be able to make the required certification.THE COMBINED CODE, THE TURNBULL REPORT AND SARBANES–OXLEY 29 _The SEC has mandated US companies to use a recognized internalcontrolframework that has been established by an organization thatdeveloped theframework through a due process, including the inviting of publiccomment.One widely used framework is known as the COSO framework or, to giveitits own title, the ‘Internal Control – Integrated Framework’, whichcontainsthe recommendations of the Committee of Sponsoring Organizations oftheTreadway Commission (www.coso.org). The sponsoring organizationsincluded the AICPA, the Institute of Internal Auditors, theInstitute ofManagement Accountants and the American Accounting Association. ThePCAOB (Public Company Accounting Oversight Board, at www.pcaobus.org, created under SOX to oversee the activity of the auditors ofpublic

companies in the United States) expects the majority of publiccompanies toadopt the COSO framework, and its Auditing Standard No 2, dealingwithaudit of internal control over financial reporting, assumes that theCOSOframework (or one substantially like it) will have been adopted.Auditing Standard No 2 contains, at paragraph 15, a statement thatdemonstrates close alignment with the Turnbull Guidance in theUnitedKingdom:Not all controls relevant to financial reporting are accounting controls.Accordingly, all controls that could materially affect financial reporting,including controls that focus primarily on the effectiveness and efficiencyofoperations or compliance with laws and regulations and also have a materialeffect on the reliability of financial reporting, are a part of internalcontrolover financial reporting.COSO identifies two broad groups of IT systems control activities:generalcontrols and application controls. General controls are thosecontrols thatensure that the financial information from a company’s applicationsystemscan be relied upon. General controls exist most commonly as part ofan informationsecurity management system (such as that identified in ISO/IEC27001). Application controls are embedded in the software to detectorprevent unauthorized transactions. Such controls can be used toensure thecompleteness, accuracy, validity and authorization of transactions.Paragraph 50 of Auditing Standard No 2 identifies the need for whatwecall an IT governance framework in maintaining the internal controlenvironment:‘information technology general controls over program development,program changes, computer operations, and access to programs anddata help ensure that specific controls over the processing oftransactions areoperating effectively’._ 30 IT GOVERNANCEAuditing Standard No 2 goes on, at paragraph 52, to evaluate theeffectivenessof company-level controls at the outset of the audit engagement, on

the basis that it is the company-level controls that have such a‘pervasiveimpact on controls at the process, transaction or applicationlevel’. Thesecompany-level controls include consistent policies and proceduresand codesof conduct – all of which are at the heart of ISO/IEC 27002. Theauditingstandard specifically cross-references the existing Consideration ofInternalControl in a Financial Statement Audit, issued by the AICPA in 1990, becauseitsets out clearly the effect of information technology on internalcontrol overfinancial reporting.IT governanceListed companies, in both the United Kingdom and the United States,areexpected to take proactive steps to identify and meet theircompliancerequirements. Continued pressure from governments, institutionalshareholdersand the general public will ensure that directors have little‘wiggleroom’; non-compliance is likely to have a terminal impact on thecareers ofthose directors who think that it is a viable option. The guidance,both fromTurnbull and as laid out in the PCAOB’s Auditing Standard No 5(whichreplaced AS No 2 in 2007), points inexorably at the need fororganizations tocreate and implement IT governance frameworks.There is an IT governance portal at www.itgovernance.co.uk. Itreflectsclearly the principles that have been set out above, as well as thebroaderbelief that organizations should integrate their IT strategies andtheirbusiness strategies, because it is mission-critical for mostorganizations toshare information efficiently with customers, partners, suppliersand a widerange of stakeholders. As organizations recognize that IT managementshould have a fundamental input to the development of businessobjectives

and business strategies, so IT is increasingly being seen as acritical enabler ofbusiness processes. At the same time, many of the management issuesaroundIT are changing from concerns about financial controls and otherthreats andvulnerabilities that also need to be controlled to responding to thechallengesand opportunities made possible by IT.The IT Governance website also has an appendix of web links to awiderange of the most important public and private sector websites thatarerelated to, or involved in, IT governance and information security.The most practical and effective way for directors to handle theirIT governanceobligations and, specifically, their information security risks, andto beseen to do so systematically and comprehensively, is to adopt andimplementTHE COMBINED CODE, THE TURNBULL REPORT AND SARBANES–OXLEY 31 _an information security policy and information security managementsystemthat is capable of being independently certified as complying withISO27001.The standard provides the only independently developed framework forthemanagement of information security. While compliance with thestandarddoes not of itself confer immunity from legal obligations, it doespoint clearlyto management’s implementation of best practice in regard toeffective ITgovernance, and can therefore help to develop competitive advantagein anorganization and be available as part of a potential legal defenceagainst anyof the threats identified above.

Pengendalian internal dan audit yang

Di bawah SOX, manajemen diperlukan untuk mengesahkan perusahaankeuangan

laporan, dan manajemen dan akuntan independen diperlukan

untuk mengesahkan kontrol internal organisasi. Di hampir setiaporganisasi,

pelaporan keuangan tergantung pada infrastruktur TI, apakah ituuntuk

render dari faktur, operasi yang efektif dari sistem ERP, atauterintegrasi,

organisasi-lebar informasi manajemen dan sistem kontrol.

Kecuali pengendalian internal yang tepat dibangun ke dalaminfrastruktur ini,

manajemen tidak akan mampu membuat sertifikasi yang diperlukan.

THE GABUNGAN KODE, LAPORAN DAN Turnbull Sarbanes-Oxley 29 _

SEC telah mengamanatkan perusahaan-perusahaan AS untuk menggunakanpengendalian internal yang diakui

kerangka kerja yang telah ditetapkan oleh organisasi yangmengembangkan

Kerangka melalui proses hukum, termasuk mengundang komentar publik.

Satu kerangka banyak digunakan dikenal sebagai kerangka COSO atau,untuk memberikan

judul sendiri, 'Pengendalian Intern - Terpadu Kerangka', yang berisi

rekomendasi dari Komite Sponsoring Organizations of the

Komisi Treadway (www.coso.org). Organisasi yang mensponsori

termasuk AICPA, Institut Auditor Internal, Institut

Akuntan Manajemen dan Asosiasi Akuntansi Amerika. Itu

PCAOB (Public Company Accounting Oversight Board, di www.pcaobus.

org, dibuat di bawah SOX untuk mengawasi aktivitas auditor publik

perusahaan di Amerika Serikat) mengharapkan sebagian besarperusahaan publik untuk

mengadopsi kerangka COSO, dan Standar Audit No 2, berurusan dengan

audit pengendalian internal atas pelaporan keuangan, mengasumsikanbahwa COSO

Kerangka (atau satu substansial seperti itu) akan diadopsi.

Standar Audit No 2 berisi, di paragraf 15, sebuah pernyataan yang

menunjukkan keselarasan dekat dengan Turnbull Bimbingan di Amerika

Kingdom:

Tidak semua kontrol yang relevan dengan pelaporan keuangan akuntansikontrol.

Oleh karena itu, semua kontrol yang secara material dapatmempengaruhi pelaporan keuangan,

termasuk kontrol yang berfokus terutama pada efektivitas danefisiensi

operasi atau kepatuhan terhadap hukum dan peraturan dan jugamemiliki material

efek pada keandalan pelaporan keuangan, adalah bagian daripengendalian internal

atas pelaporan keuangan.

COSO mengidentifikasi dua kelompok besar kegiatan pengendaliansistem TI: umum

kontrol dan pengendalian aplikasi. Kontrol umum adalah kontrol yang

memastikan bahwa informasi keuangan dari sistem aplikasi perusahaan

bisa diandalkan. Kontrol umum ada paling umum sebagai bagian dariinformasi

sistem manajemen keamanan (seperti yang diidentifikasi dalam ISO /IEC

27001). Kontrol aplikasi yang tertanam dalam perangkat lunak untukmendeteksi atau

mencegah transaksi yang tidak sah. Kontrol tersebut dapat digunakanuntuk memastikan

kelengkapan, akurasi, validitas dan otorisasi transaksi.

Ayat 50 dari Standar Audit No 2 mengidentifikasi kebutuhan untuk apayang kita

memanggil kerangka kerja tata kelola TI dalam menjaga lingkunganpengendalian internal:

'Teknologi informasi kontrol umum atas pengembangan program,

perubahan program, operasi komputer, dan akses ke program dan

Data membantu memastikan bahwa kontrol tertentu atas pengolahantransaksi

beroperasi secara efektif '.

_ 30 TATA

Standar Audit No 2 berlangsung, di ayat 52, untuk mengevaluasiefektivitas

kontrol perusahaan-tingkat pada awal perikatan audit, pada

dasar bahwa itu adalah kontrol perusahaan-tingkat yang memilikisebuah 'meresap

berdampak pada kontrol pada proses, transaksi atau aplikasi tingkat'. Ini

kontrol perusahaan-tingkat meliputi kebijakan dan prosedur yangkonsisten dan kode

perilaku - yang semuanya berada di jantung dari ISO / IEC 27002.audit The

standar khusus lintas-referensi yang ada Pertimbangan Internal

Kontrol dalam Audit Laporan Keuangan, yang dikeluarkan oleh AICPApada tahun 1990, karena

menetapkan dengan jelas pengaruh teknologi informasi padapengendalian internal atas

pelaporan keuangan.