Global
Compliance
PCAOB
SEC
SOX
Government Regulation R l ti Other Compliance
COSO COBIT
NIST IFRS
SEC (Securities and Exchange Commission) g Cikal Bakal Munculnya Kesadaran Audit Internal Kontrol
Sampai tahun 1930-an internal audit dipandang sebagai hal yang tidak perlu Kesadaran muncul dengan dibentuknya SEC (Securities and Exchange Commission) pada 1934 dan perubahan eksternal pada teknik dan tujuan audit SEC mengharuskan perusahaan yang terdaftar untuk memberikan pernyataan finansial yang dijamin oleh auditor independen Persyaratan ini mengharuskan perusahaan untuk membuat divisi audit internal sendiri yang bertujuan untuk membantu auditor independen Pada dasarnya audit internal merupakan bayangan atau gaung dari audit independen Sekarang, Sekarang auditor independen lebih ditekankan untuk memberikan opini mengenai kewajaran pernyataan finansial klien daripada mendeteksi fraud dan error penulisan. Sedangkan internal auditor lebih ditekankan kepada pemeriksaan accounting record dan pendeteksian error dan ketidakwajaran finansial
Source: http://findarticles.com/p/articles/mi_m4153/is_n3_v48/ai_10819174
Standard&Compliance:SOX,COSO,PCAOB,COBIT,IFRS,NIST
3 /48
Internal Control C t l
Global Compliance
PCAOB SOX
Government Regulation R l ti
Other Compliance IFRS
COSO COBIT
NIST
SEC
Audit Internal Tidak Mencukupi, Skandal Skandal Skandal-Skandal Perusahaan Beberapa Tahun Terakhir Mendorong Perlunya Compliance Yang Handal Dalam Level Global
Enron (US) 1990-an, Parmalat (Eropa) tahun 2003 WorldCom (US) 2002 dll
Standard&Compliance:SOX,COSO,PCAOB,COBIT,IFRS,NIST
5 /48
Penipuan akutansi secara sistematis, terlembaga dan direncanakan secara efektif Laporan keuangan tidak masuk akal Suap dan tekanan politik dalam kontrak Hanya mementingkan profit yang diperoleh saat ini Indikasi korupsi
6 /48
Balance sheet tid k masuk akal B l h t tidak k k l Pembelian aset yang tidak penting dan hutang sebesar 14.5 milyar euro Dijualnya aset di beberapa negara Penjualan obligasi sebesar 500 milyar euro Terjadi korupsi sebesar 8 milyar euro
7 /48
Juni 2002, internal audit menemukan i i l di k adanya kesalahan hitung sebesar US$3,8 Miliar Agustus 2002, d ditemukan tambahan k b h kesalahan perhitungan sebesar US$3,3 Miliar Akhir tahun 2003, aset perusahaan mengalami inflasi sebesar $12 miliar
Standard&Compliance:SOX,COSO,PCAOB,COBIT,IFRS,NIST
8 /48
Public Company Accounting Oversight Board (PCAOB) dibuat untuk mengawasi kegiatan audit.
9 /48
Tahun 2002 : Amerika Membangun SOX, Namun Mendapat Reaksi Negatif Perusahaan Asing
Perusahaan asing yang menanam modal di Amerika harus compliance dengan SOX Tantangan bagi perusahaan asing: Perusahaan asing tidak memahami SOX 404 (Internal Control) dan IFSR (International Financial Reporting Standards) Biaya comply yang tinggi
At least 60 European companies, including 25 from UK, are set to withdraw their US listing because of Sarbanes-Oxley ( (Business Week, december, 15, 2004) , , 5, 4)
Standard&Compliance:SOX,COSO,PCAOB,COBIT,IFRS,NIST
10 /48
Tahun 1998 : Uni Eropa Telah Mengembangkan Kontrol Internal ( i i O C) l (Prinsip OEDC)
OEDC (Organization for Economic Cooperation and Development) merupakan gabungan 30 negara untuk saling komitmen ke arah pemerintahan yang demokratis dan ekonomi pasar
Efficient corporate governnance 3 Main area OEDC principles i i l Effective exercise of ownership Deal with conflict of interest
Benchmark dan governance metric (Corporate Ggovernance Scoring~CGS)
Standard&Compliance:SOX,COSO,PCAOB,COBIT,IFRS,NIST
11 /48
Setelah Lahirnya SOX : Australia, Canada, dan UK Berusaha Mengembangkan A h b k Aturan Kontrol Internal l l
Australia~ASX
Australia Stock Exchange (ASX), dibentuk Agustus 2002 Panduan best practice untuk 10 key process area yang bersifat fleksibel: Perusahaan boleh tidak mengadopsi namun harus menjelaskan alasannya
UK ~ Turnbull Guidance
Efektif januari 2006 Menjelaskan requirement SOX section 404 dan mengidentifikasi bagian Turnbull guidance yang paling relevan saat comply dengan section tersebut Terminologi yang digunakan konsisten dengan framework COSO/SOX
Standard&Compliance:SOX,COSO,PCAOB,COBIT,IFRS,NIST
12 /48
Setelah Lahirnya SOX : Lahirnya Basel II dan Solvency II untuk Perusahaan Finansial
Basel II meningkatkan kontrol internal perbankan
Pada April 2005, Mexico meningkatkan transparansi l i laporan k keuangan pada b k b k d bank bank di Mexico dan penyedia layanan kredit lainnya
Basel II dan Solvency II mengharuskan perusahaan untuk meningkatkan kontrol internal termasuk manajemen risiko yang bermaksud untuk meningkatkan transparansi dalam pelaporan keuangan
Standard&Compliance:SOX,COSO,PCAOB,COBIT,IFRS,NIST
13 /48
2000-01
Kejadian pendorong:
Kegagalan model bisnis menyebabkan kebangkrutan Ketidakseimba ngan revenue dan pengeluaran menyebabkan restatement atau kebangkrutan
2002
SarbanesOxley dijadikan undang undangundang 30 Juli 2002 Terbentuk Public Company Accounting Oversight Board (PCAOB) 28 Okt 2002, efektif 26 April 2003
2003
Section 404 final rule 18 Juni 2003
2004
Section 404 berlaku efektif (Accelerated filer) 15 Juni 2004
2005
Section 404 berlaku efektif ( (Nonaccelerated filer) 15 April 2005
Standard&Compliance:SOX,COSO,PCAOB,COBIT,IFRS,NIST
14 /48
Government
DOD 5015.2 UK-Pro Gov. Paperwork Elimination Act
Distribution
UCC net RFID Bar code Bar-code modification GCI (Global Commerce Init) Chip and Pin
Industrial
Tread Act Security Standards Motor Vehicle Block Exemption Act
National Government Regulation Sarbanes-Oxley International Accounting Standards Data Protection Act Freedom of Information Act California State Bill SB 1386 Several Privacy regulations
Standard&Compliance:SOX,COSO,PCAOB,COBIT,IFRS,NIST
15 /48
Internal Control C t l
Global Compliance
PCAOB
(SarbanesOxley)
SOX SOX
COSO COBIT
NIST IFRS
SEC
SOX Compliance p
Lingkungan Berdampak pada kontrol IT yang kuat hampir sama dengan laporan keuangan Aplikasi Identifikasi dan pengujian dilakukan dengan proses otomatis Data b best practice, menganjurkan COSO Internal Control k l l Integrated Framework sebagai framework secara umum Manajemen dan auditor independen harus memutuskan j p apa yang akan dicapai
Standard&Compliance:SOX,COSO,PCAOB,COBIT,IFRS,NIST
17 /48
Manfaat Sarbanes-Oxley y
Perhitungan y ang lebih tepat Mem astikan akuntabilitas indiv idual y ang terlibat dalam laporan keuangan Meningkatkan nilai pem egang saham Menciptakan b b M i t k beban biay a y ang m enekan harga bi k h saham Mengurangi risiko penggelapan dana Mengurangi kekeliruan operasi keuangan Meningkatkan akurasi laporan keuangan Mem bangun kepercay aan pem egang saham Mem beri wewenang kom ite audit dgn m eny ediakan inform asi m endalam Menurunkan kem am puan untuk m enjual div iden 14% 37 % 33% 33% 31% 27 % 25% 25% 46%
54%
Source : The 2004 Oversight Systems Financial Executive Report on sarbanes O l December 2004 b Oxley, b
Standard&Compliance:SOX,COSO,PCAOB,COBIT,IFRS,NIST
18 /48
Standard&Compliance:SOX,COSO,PCAOB,COBIT,IFRS,NIST
19 /48
Market Risk
Compliance Sarbanes-Oxley
302 404 409
Integrated d solutions
Government Regulations HIPPA Quarterly Certification by C-Level Management Patriot Control Documentation and Testing Basel II GLBA Real-time Reporting FFIEC NRC
20 /48
Standard&Compliance:SOX,COSO,PCAOB,COBIT,IFRS,NIST
Section 409 SEC to consider rules providing for real-time disclosure of material events. New accelerated filing rules will go into effect over time ( Q 35 d / K 6 days) i ff i (10Qs days/10Ks 60 d ) Section 302 CEO and CFO must personally certify to the accuracy of financial statements and the efficacy of internal disclosure controls Section 401 Disclosure of off balance sheet transactions Section 802 Criminal penalties for failure to comply with record retention policies, including assurance of no destruction,alteration, or falsification of records
Standard&Compliance:SOX,COSO,PCAOB,COBIT,IFRS,NIST
Establishing and enforcing disclosure controls and procedures at all levels of the company Quarterly evaluation of the efficacy of controls by the company Disclosure to audit committee of all significant deficiencies, material weaknesses, and acts of fraud weaknesses Establishing and emphasizing a culture of integrity Establishing and enforcing disclosure controls and procedures at all levels of the company Strengthened document management and retention practices Supports the establishment of ethical behavior
21 /48
Section 302
Section 404
Section 409
Companies must provide realtime disclosure of material events that might affect performance
In Effect Now
Standard&Compliance:SOX,COSO,PCAOB,COBIT,IFRS,NIST
22 /48
Prosedur Audit Prosedur Pemberian Laporan Sistem Finansial Pelatihan ulang Anggota Frekuensi Pemberian Laporan Struktur Organisasi S k O i i Teknologi Pemberian Laporan 26,1% 21,7% 21,7% 21 7% 17,4% 52,2% 43,5%
78,3%
Standard&Compliance:SOX,COSO,PCAOB,COBIT,IFRS,NIST
23 /48
Frameworks
Best Practices
Future Standards
CobiT
COSO
Standard&Compliance:SOX,COSO,PCAOB,COBIT,IFRS,NIST
24 /48
CobiT
IT C t l Controls Framework
34 Detailed Control Objectives in 4 Domains Plan & Organize IT Acquire & Implement Deliver & Support Monitor & Evaluate
Section 404
Risk Assessment Control environment and activities Information and communication Monitoring
25 /48
Internal C t l Control
Global C Compliance li
PCAOB SOX
SEC
(PublicCompanyAccounting OversightBoard)
COSO
PCAOB
COBIT
NIST IFRS
PCAOB, dibuat untuk mengawasi kegiatan audit. Untuk memperkuat SOX sebagai Compliance
Existence
Apakah aset atau liability entitas hadir pada waktu yang ditentukan dan apakah catatan transaksi muncul selama periode yang ditentukan ?
Completeness
Apakah semua transaksi dan account telah dimasukkan ke dalam pernyataan finansial ? Apakah komponen aset, liability, pendapatan, dan biaya telah dimasukkan ke dalam pernyataan finansial dengan jumlah yang tepat ? Apakah aset merupakan hak entitas dan liability merupakan kewajiban entitas pada waktu yang ditentukan ? Apakah komponen komponen tertentu dari pernyataan pernyataan finansial telah diklasifikasi, dideskripsikan, dan ditutup dengan tepat ?
Valuation
Standard&Compliance:SOX,COSO,PCAOB,COBIT,IFRS,NIST
27 /48
Standard&Compliance:SOX,COSO,PCAOB,COBIT,IFRS,NIST
28 /48
Internal Control C t l
Global C Compliance li
SEC
COBIT NIST
Standard&Compliance:SOX,COSO,PCAOB,COBIT,IFRS,NIST
29 /48
Standard&Compliance:SOX,COSO,PCAOB,COBIT,IFRS,NIST
30 /48
Internal Control
Global Compliance
COBIT
NIST IFRS
IT Processes
IT Management Processes IT Governance Processes
INFORMATION
effectiveness efficiency confidentiality integrity avaliability compliance reliability
MONITORING
IT RESOURCES
Standard&Compliance:SOX,COSO,PCAOB,COBIT,IFRS,NIST
32 /48
Untuk pengimplementasian SOX diperlukan : COSO sebagai internal control framework COBIT sebagai IT control framework
Standard&Compliance:SOX,COSO,PCAOB,COBIT,IFRS,NIST
33 /48
Antara COSO, COBIT, dan PCAOB saling beririsan dalam hal memenuhi compliance risk management
CompanyLevel ActivityLevel
Description
PlanandOrganize(ITEnvironment)
1 2 2 3 4 5 6 7 8 9 10 X X X X X X X X X X X ITStrategicPlanning Informationarchitecture ITOrganizationandRelationships ManagementofhumanResource Managementofquality Assessmentofrisks Assessment of risks Acquireordevelopapplicationsoftware Acquiretechnologyinfrastructure Developandmaintainpoliciesandprocedures Installandtestapplicationsoftwareand Managechanges X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X
AcquireandImplement(ProgramDevelopmentandProgramChange
X X X
DeliverandSupport(ComputerOperationsandAccesstoProgramsandData li d ( i d d
11 X 12 X 13 X X 14 15 16 17 18 X X X X Defineandmanageservicelevels X X X Managethirdpartyservices X X X X X X Manageperformanceandcapacity X X X Ensuresystemssecurity MonitoringandEvaluate(ITEnvironment) Monitoring g X X Adequacyofinternalcontrol X Independentassurance X X InternalAudit X
X X
ComputerOperatio ons
InternalEnvironment
ControlEnvironmen nt
EventIdentification
ControlActivities1
Number
ProgramChanges
ObjectiveSetting
RiskAssessment
Monitoring
Standard&Compliance:SOX,COSO,PCAOB,COBIT,IFRS,NIST
34 /48
Internal Control C t l
Global Compliance C li
PCAOB SOX
SEC
COSO COBIT
NIST
IFRS
IFRS
Digunakan oleh 7000 perusahaan EU
standar regulasi untuk statement konsolidasi finansial Meningkatkan analisis performansi Pencarian sumber modal lebih mudah Lebih transparan dan lebih bersaing Memfasilitasi manajemen portofolio
Mulai 1 Januari 2005 semua 2005, perusahaan EU (European Union) yang memiliki saham di pasar EU diharuskan untuk mempersiapkan konsolidasi pernyataan finansial sesuai dengan I t International Financial d ti l Fi i l Reporting Standards (IFRS)
Standard&Compliance:SOX,COSO,PCAOB,COBIT,IFRS,NIST
36 /48
Internal Control C t l
Global Compliance
PCAOB SOX
SEC Government Regulation R l ti Other Compliance
COSO COBIT
NIST
(NationalInstituteof Standardsand St d IFRS d d Technology)
NIST
Standard&Compliance:SOX,COSO,PCAOB,COBIT,IFRS,NIST
37 /48
Standard&Compliance:SOX,COSO,PCAOB,COBIT,IFRS,NIST
38 /48
Acquisition q
Perancangan Pembelian
Pemrograman Pengembangan
Implementation
Konfigurasi Pengujian
Verifikasi
Pemindahan Pengarsipan
Disposal
Kinerja sistem mulai berfungsi menyebabkan perubahan terhadap proses, kebijakan, dan prosedur
Standard&Compliance:SOX,COSO,PCAOB,COBIT,IFRS,NIST
39 /48
Internal Control C t l
Global Compliance
PCAOB SOX
SEC
COSO COBIT
NIST
Internal IT
M Memeriksa matrik kontrol dan ik t ik k t l d proses dan dokumen aliran proses Membantu internal audit da a pengujian o t o dalam pe guj a kontrol
Internal Audit
Menyiapkan rencana pengujian dan melaksanakan pengujian Mengajukan hasil uji kepada manajemen
Standard&Compliance:SOX,COSO,PCAOB,COBIT,IFRS,NIST
41 /48
>$ 10 juta
22% T ahun 2004
47 %
T ahun 2005
Standard&Compliance:SOX,COSO,PCAOB,COBIT,IFRS,NIST
42 /48
Juli 2004
$3.14 $3 14 juta
Januari 2004
$1.93 $1 93 juta
Standard&Compliance:SOX,COSO,PCAOB,COBIT,IFRS,NIST
43 /48
Standard&Compliance:SOX,COSO,PCAOB,COBIT,IFRS,NIST
44 /48
Case C
Regulasi Federal dan State USA
Requirement R i t
Catatan bisnis : 7 tahun hingga permanen Kontrak : 7 tahun hingga permanen Catatan pegawai : 3 tahun Catatan payroll : 3 hingga 7 tahun Catatan yang relevan dengan audit atau review: 7 tahun Catatan broker dan dealer : 3 hingga 6 tahun atau lebih. Catatan harus diberi tanda waktu dan salinan disimpan di lokasi terpisah. Selain itu dipastikan otentikasi, otentikasi akurasi dan aksesibilitas catatan
Hukuman terhadap pelanggaran requirement dokumen, berupa denda hingga $5 juta dan atau p j j penjara hingga 20 tahun (-SEC Final Rule-) gg
Standard&Compliance:SOX,COSO,PCAOB,COBIT,IFRS,NIST
45 /48
Shareholders Concerned about value evaluation Customers Can I trust their services? Can I trust my data/information to them B i Business Partners P t Am I at risk in doing business with this company Community/Government Concerns about stability, jobs, etc.. Employees Loyalty
Business Partners
Community/ Government
Employees l
Standard&Compliance:SOX,COSO,PCAOB,COBIT,IFRS,NIST
46 /48
Penutup p
Compliance Standard Framework SOX COSO PCAOB COBIT* IFRS NIST
Process
Pr01 Pr02 Pp01
People
Pp02 Pp03 Pp04
Tech
Tc01
Riskmanagement
St01 St02 St03 St04
Pr01: Transfer risiko Pr02: Analisa risiko Pp01: Corporate governance Pp02: Line management Pp03: Manajemen portfolio Pp04: Manajemen stakeholder
Tc01: Data dan sumber daya teknologi St01: Identifikasi risiko St02: Analisa risiko St03: Mitigasi St04: Laporan dan monitoring : *: khusus IT