MAKALAH

ENTERPRISE RISK MANAGEMENT DAN

SARBANNES OXLEY ACT

OLEH KELOMPOK 1 :

AYUNITA RIZKY MUIS A31114012

NUR RAHMA A31114034

INDHIRA MERIZKA PUTRI A31114309

ANDI ADIATI TENRIJAJA LATIF A31114515

FAKULTAS EKONOMI DAN BISNIS

UNIVERSITAS HASANUDDIN

2017

pg. 1
 KATA PENGANTAR

Puji dan syukur kita panjatkan kehadirat Tuhan Yang Maha Esa atas limpahan
rahmat dan karunia-Nya kepada kita semua, sehingga kami dapat menyelesaikan Makalah
yang berjudul ERM dan SOA. Penulisan Makalah ini bertujuan untuk memenuhi salah
satu tugas yang diberikan oleh dosen pengampu matakuliah Seminar Akuntansi.

Makalah ini ditulis dari hasil penyusunan data-data sekunder yang diperoleh dari
buku panduan yang berkaitan dengan materi, serta informasi dari media massa yang
berhubungan dengan ERM dan SOA itu sendiri. Terima kasih kepada pengajar mata kuliah
Seminar Akuntansi atas bimbingan dan arahan dalam penulisan Makalah ini. Juga rekan-
rekan mahasiswa yang telah mendukung sehingga Makalah ini dapat terselesaikan dengan
tepat waktu.

Kami berharap dengan membaca Makalah ini dapat memberi manfaat bagi kita
semua. Dalam hal ini dapat menambah wawasan kita tentang ERM dan SOA. Kami
menyadari bahwa Makalah ini masih jauh dari kesempurnaan, oleh karena itu kami selaku
penyusun mengharapkan kritik dan saran dari pembaca dami perbaikan menuju arah yang
lebih baik.

Selamat membaca dan terima kasih.

Makassar, April 2017

Penyusun

pg. 2
 DAFTAR ISI

Kata Pengantar................................................................................................. i

Daftar Isi .........................................................................................................ii

Bab I Pendahuluan ................................................................................. 1

1.1 Latar Belakang ......................................................................... 1

1.2 Rumusan Masalah .................................................................... 1

1.3 Tujuan ...................................................................................... 2

Bab II Pembahasan ................................................................................ 3

2.1 Sarbanes Oxley Act (SOA) ...................................................... 3

2.2 Enterprice Risk Management (ERM) .................................... 13

2.3 Hubungan antara SOA dan ERM ........................................... 21

Bab III Penutup .................................................................................... 25

3.1 Simpulan ................................................................................ 25

Daftar Pustaka ..................................................................................... 26

pg. 3
 BAB I

PENDAHULUAN

1.1 Latar Belakang

Pemahaman mengenai risiko merupakan komponen utama dalam pencapaian

Sarbanes-Oxley (Sox) atau SOA, dalam Auditing Standards No.5. Setiap manajer pada
satuan kerja, baik operasional ataupun non-operasional adalah manajer resiko.
Sebagaimana teori manajemen menjelaskan bahwa unsur inti manajemen adalah
planning,doing,dan controlling, maka sebagai pemilik dari risiko yang timbul dari
kegiatannya(planning,doing), manajer risiko haruslah sebagai pengendali(controlling) dari
risiko tersebut.

Yang perlu diketahui adalah pengertian dari manajemen risiko itu sendiri.
Manajemen risiko adalah konsep dimana individu ataupun kelompok menggunakan suatu
mekanisme untuk menyediakan suatu perlindungan dari timbulnya suatu resiko.

Mengapa ERM itu penting? Sikap orang ketika menghadapi resiko berbeda-beda.
Ada orang yang berusaha untuk menghindari resiko, namun ada juga yang sebaliknya
sangat senang menghadapi resiko sementara yang lain mungkin tidak terpengaruh dengan
adanya resiko. Pemahaman atas sikap orang terhadap resiko ini dapat membantu untuk
mengerti betapa resiko itu penting untuk ditangani dengan baik.

1.2 Rumusan Masalah

Adapun rumusan masalah yang akan dibahas dalam makalah ini berdasarkan latar
belakang di atas yaitu :

1. Apa pengertian dan konsep dari SOA ?

2. Apa pengertian dan konsep dari ERM ?

pg. 4
 3. Bagaimanakah hubungan antara SOA dengan ERM ?

1.3 Tujuan

Adapun tujuan dibuatnya makalah ini selain untuk memenuhi tugas matakuliah
Seminar Akuntansi yaitu agar kami sebagai mahasiswa mampu untuk memahami latar
belakang munculnya SOA dan bagaimana hubungannya dengan ERM.

pg. 5
 BAB II

PEMBAHASAN

2.1 Sarbanes Oxley Act (SOA)

2.1.1 Pengertian SOA

SOA adalah sebuah landasan yang disahkan pada 23 januari oleh kongres Amerika
Serikat. Undang-Undang tersebut dikenal sebagai Public Company Accounting and
Investor Protection Act of 2002 atau undang-undang perlindungan investor dan pengaturan
akuntansi perusahaan publik yang sering kali disebut SOX atau Arbox.

Untuk auditor (eksternal dan Internal), SOX merupakan sistem baru dalam proses
audit perusahaan swasta, sebuah revisi atau independensi dan level baru dari proses
pelaporan audit pada perusahaan publik. Untuk manajemen perusahaan diwajibkan untuk
meningkatkan jaminan terhadap konflik kepentingan, sertifikasi yang jelas atas
penyimpanan dokumen penting, pelaporan internal kontrol atas laporan keuangan dan
perbaikan atas kriteria pengungkapan. Untuk audit komite, SOX merupakan sebuah
lanjutan dari peraturan bagi perusahaan-perusahaan publik termasuk tanggung jawab
langsung untuk memantau proses audit eksternal, persetujuan awal atas seluruh jasa audit
ataupun jasa bukan audit, revisi peraturan mengenai independensi dan keahlian keuangan
dan pengawasan, menerima dan mencari pemecahan yang mungkin atas keluhan mengenai
pelaporan keuangan perusahaan dan isu yang berasal dari hasil audit.

2.1.2 Latar belakang Terbentuknya SOA

Sarbanes-Oxley atau kadang disingkat SOX atau SOA adalah hukum federal
Amerika Serikat yang ditetapkan pada 30 Juli 2002. Undang-undang ini merupakan suatu
terobosan dan sebagai reformasi terbesar di USA khususnya dan dunia pada umumnya bagi

pg. 6
penilaian corporate governance sejak diterbitkannya Securities Acts of 1933 and 1934,
diprakarsai oleh Senator Paul Sarbanes (Maryland) dan Representative Michael Oxley
(Ohio) yang disetujui oleh Dewan dengan suara 423-3dan oleh Senat dengan suara 99-0
serta disahkan menjadi hukum oleh Presiden George W. Bush.Undang-undang ini
dikeluarkan sebagai respons dari Kongres Amerika Serikat terhadap berbagai skandal pada
beberapa perusahaan besar seperti: Enron, Tyco International, Adelphia, PeregrineSystems,
WorldCom (MCI), AOL TimeWarner, Aura Systems, Citigroup, Computer Associates
International, CMS Energy, Global Crossing, HealthSouth, Quest Communication, Safety-
Kleen danXerox, yang juga melibatkan beberapa KAP yang termasuk dalam the big five
seperti: Arthur Andersen, KPMG dan PWC.

Skandal-skandal yang menyebabkan kerugian bilyunan dolar bagi investor karena

runtuhnya harga saham perusahaan-perusahaan yang terpengaruh ini mengguncang
kepercayaan masyarakat terhadap pasar saham. Semua skandal ini merupakan contoh tragis
bagaimana kecurangan (fraud schemes) berdampak sangat buruk terhadap pasar,
stakeholders dan para pegawai. Dengan diterbitkannya undang-undang ini, ditambah
dengan beberapa aturan pelaksanaan dari Securities Exchange Commision (SEC) dan
beberapa self regulatory bodies lainnya, diharapkan akan meningkatkan standar
akuntabilitas perusahaan, transparansi dalam pelaporan keuangan, memperkecil
kemungkinan bagi perusahaanatau organisasi untuk melakukan dan menyembunyikan
fraud , serta membuat perhatian padatingkat sangat tinggi terhadap corporate governance.

Perundang-undangan ini menetapkan suatu standar baru dan lebih baik bagi semua
dewan dan manajemen perusahaan publik serta kantor akuntan publik walaupun tidak
berlaku bagiperusahaan tertutup. Akta ini terdiri dari 11 bab atau bagian yang menetapkan
hal-hal mulai dari tanggung jawab tambahan Dewan Perusahaan hingga hukuman pidana.
Sarbox juga menuntut Securities and Exchange Commission (SEC) untuk menerapkan
aturan persyaratan baru untuk menaati hukum ini. Saat ini, corporate governance dan
pengendalian internal bukan lagi sesuatu yang mewah lagi karena kedua hal ini telah
disyaratkan oleh undang-undang. Dengan diberlakukannya undang-undang Sarbanes Oxley
2002 yang ditandatangani oleh Presiden George Walker Bush pada 30 Juli 2002 diharapkan

pg. 7
dapat membawa dampak positif bagi berbagai profesi, antara lain : akuntan publik
bersertifikat (CPA); kantor akuntan publik (KAP); perusahaan yang memperdagangkan
sahamnya (listed di bursa US (termasuk direksi, komisaris, karyawan, dan pemegang
saham); perantara (broker); penyalur (dealer); pengacara yang berpraktik untuk perusahaan
publik; investor perbankan serta para analis keuangan.

Selain itu SOA ini juga diharapkan mampu untuk :

1. Meningkatkan kepercayaan publik akan pasar modal

2. Menerapkan tata pemerintahan yang baik.
3. Menyediakan akuntabilitas yang lebih baik dengan membuatmanajemen dan direksi
bertanggung jawab akan laporan keuangan.
4. Meningkatkan kualitas audit.
5. Menempatkan penekanan yang lebih kuat pada struktur di sekitar dunia usaha untuk
mencegah, mendeteksi, menginvestigasi kecurangan dan perbuatan tidak baik.

2.1.3 Aktivitas SOA pada Perusahaan

Dalam Sarbanes Oxley Act diatur tentang akuntansi, pengungkapan dan

pembaharuan governance yang mensyaratkan adanya pengungkapan yang lebih banyak
mengenai informasi keuangan, keterangan tentang hasil-hasil yang dicapai manajemen,
kode etik bagi pejabat dibidang keuangan, pembatasan kompensasi eksekutif, dan
pembentukan komite audit yang independen. Selain itu diatur pula mengenai hal-hal
sebagai berikut:

a. Menetapkan beberapa tanggung jawab baru kepada dewan komisaris, komiteaudit,

dan pihak manajemen.
b. Mendirikan thePublic Company Accounting Oversight Board, sebuah dewanyang
independen dan bekerja full-time bagi pelaku pasar modal.
c. Penambahan tanggung jawab dan anggaran SEC (Securities Exchange Commision)
secara signifikand. Mendefinisikan jasa non audit yang tidak boleh diberikan
oleh KAP kepada klien.

pg. 8
 d. Memperbesar hukuman bagi terjadinya corporate fraud (manipulasi perusahaan).
e. Mensyaratkan adanya aturan mengenai cara menghadapi conflicts of interestf.
f. Menetapkan beberapa persyaratan pelaporan yang baru

Dalam hal pelaporan, Sarbanes-Oxley Act mewajibkan semua perusahaan publik

untukmembuat suatu sistem pelaporan yang memungkinkan bagi pegawai atau pengadu
untukmelaporkan terjadinya penyimpangan. Sistem pelaporan ini diselenggarakan oleh
komite audit. Perusahaan dapat menggunakan jasa pelaporan hotlines seperti ACFEs
EthicsLine. ACFE dapat membantu menyusun hotlines pengaduan yang akan menerima
dan merahasiakan pengaduan,dan memberikan informasi kepada perusahaan agar dapat
mengambil tindakan yang tepat. Sistemhotlines ini akan mendorong para pegawai untuk
melaporkan karena mereka merasa aman daritindakan pembalasan dari yang dilaporkan,
dan inilah elemen penting dan kritis bagi programpencegahan fraud yang kuat.

2.1.4 Isi Ringkas SOA

Secara keseluruhan SOA terdiri dari 11 Title dan 69 Section, yaitu :

TITLE IPUBLIC COMPANY ACCOUNTING OVERSIGHT BOARD

Sec. 101. Establishment; administrative provisions.
Sec. 102. Registration with the Board.
Sec. 103. Auditing, quality control, and independence standards and rules.
Sec. 104. Inspections of registered public accounting firms.
Sec. 105. Investigations and disciplinary proceedings.
Sec. 106. Foreign public accounting firms.
Sec. 107. Commission oversight of the Board.
Sec. 108. Accounting standards.
Sec. 109. Funding.
TITLE IIAUDITOR INDEPENDENCE
Sec. 201. Services outside the scope of practice of auditors.
Sec. 202. Preapproval requirements.
Sec. 203. Audit partner rotation.

pg. 9
Sec. 204. Auditor reports to audit committees.
Sec. 205. Conforming amendments.
Sec. 206. Conflicts of interest.
Sec. 207. Study of mandatory rotation of registered public accounting firms.
Sec. 208. Commission authority.
Sec. 209. Considerations by appropriate State regulatory authorities.
TITLE IIICORPORATE RESPONSIBILITY
Sec. 301. Public company audit committees.
Sec. 302. Corporate responsibility for financial reports.
Sec. 303. Improper influence on conduct of audits.
Sec. 304. Forfeiture of certain bonuses and profits.
Sec. 305. Officer and director bars and penalties.
Sec. 306. Insider trades during pension fund blackout periods.
Sec. 307. Rules of professional responsibility for attorneys.
Sec. 308. Fair funds for investors.
TITLE IVENHANCED FINANCIAL DISCLOSURES
Sec. 401. Disclosures in periodic reports.
Sec. 402. Enhanced conflict of interest provisions.
Sec. 403. Disclosures of transactions involving management and principal stockholders.
Sec. 404. Management assessment of internal controls.
Sec. 405. Exemption.
Sec. 406. Code of ethics for senior financial officers.
Sec. 407. Disclosure of audit committee financial expert.
Sec. 408. Enhanced review of periodic disclosures by issuers.
Sec. 409. Real time issuer disclosures.
TITLE VANALYST CONFLICTS OF INTEREST
Sec. 501. Treatment of securities analysts by registered securities associations and
national securities exchanges.
TITLE VICOMMISSION RESOURCES AND AUTHORITY
Sec. 601. Authorization of appropriations.

pg. 10
Sec. 602. Appearance and practice before the Commission.
Sec. 603. Federal court authority to impose penny stock bars.
Sec. 604. Qualifications of associated persons of brokers and dealers.
TITLE VIISTUDIES AND REPORTS
Sec. 701. GAO study and report regarding consolidation of public accounting firms.
Sec. 702. Commission study and report regarding credit rating agencies.
Sec. 703. Study and report on violators and violations
Sec. 704. Study of enforcement actions.
Sec. 705. Study of investment banks.
TITLE VIIICORPORATE AND CRIMINAL FRAUD ACCOUNTABILITY
Sec. 801. Short title.
Sec. 802. Criminal penalties for altering documents.
Sec. 803. Debts nondischargeable if incurred in violation of securities fraud laws.
Sec. 804. Statute of limitations for securities fraud.
Sec. 805. Review of Federal Sentencing Guidelines for obstruction of justice and extensive
criminal fraud.
Sec. 806. Protection for employees of publicly traded companies who provide evidence of
fraud.
Sec. 807. Criminal penalties for defrauding shareholders of publicly traded companies.
TITLE IXWHITE-COLLAR CRIME PENALTY ENHANCEMENTS
Sec. 901. Short title.
Sec. 902. Attempts and conspiracies to commit criminal fraud offenses.
Sec. 903. Criminal penalties for mail and wire fraud.
Sec. 904. Criminal penalties for violations of the Employee Retirement Income Security
Act of 1974.
Sec. 905. Amendment to sentencing guidelines relating to certain white-collar offenses.
Sec. 906. Corporate responsibility for financial reports.
TITLE XCORPORATE TAX RETURNS
Sec. 1001. Sense of the Senate regarding the signing of corporate tax returns by
chief executive officers.

pg. 11
TITLE XICORPORATE FRAUD AND ACCOUNTABILITY
Sec. 1101. Short title.
Sec. 1102. Tampering with a record or otherwise impeding an official proceeding.
Sec. 1103. Temporary freeze authority for the Securities and Exchange Commission.
Sec. 1104. Amendment to the Federal Sentencing Guidelines.
Sec. 1105. Authority of the Commission to prohibit persons from serving as officers
or directors.
Sec. 1106. Increased criminal penalties under Securities Exchange Act of 1934.
Sec. 1107. Retaliation against informants.

Secara umum SOXs Act terdiri dari tiga bagian penting yang harus diperhatikan
oleh manajemen perusahaan publik, yaitu: Seksi 404, 906, dan 302. Peraturan ini sudah
mulai dilaksanakan oleh perusahaan-perusahaan publik di AS sejak dikeluarkannya
peraturan tersebut, Juli 2002, namun yang menjadi penekanan adalah seksi 302 dan seksi
404.

Seksi 404 berisi peraturan yang mewajibkan manajemen untuk menilai internal
kontrol yang sudah dilaksanakan atas laporan keuangannya serta pengesahan dari auditor
eksternal. Seksi 906 berisi peraturan yang mewajibkan manajemen perusahaan secara
periodik untuk melaporkan segala sesuatu menyangkut informasi keuangan yang juga
tunduk kepada peraturan bursa saham, serta menyatakan dengan benar kondisi laporan
keuangan dan hasil operasi perusahaan. SOXs act seksi 302 berisi peraturan yang hampir
sama dengan seksi 906, tetapi seksi 302 berisi tambahan atas pengungkapan yang
berhubungan dengan pengungkapan internal kontrol dan prsodurnya, serta internal kontrol
dan penipuan/kecurangan.

Adapun ringkasan isi pokok dari Sarbanes-Oxley Act adalah sebagai berikut:
Membentuk public company board untuk melakukan pengawasan terhadap public
company.
Mensyaratkan salah seorang anggota komite audit adalah orang yang ahli dalam
bidang keuangan.

pg. 12
 Perusahaan harus melakukan full disclosure kepada para pemegang saham berkaitan
dengan transaksi keuangan yang bersifat kompleks.
Chief Executive Officer (CEO) dan Chief Financial Officer (CFO) harus melakukan
sertifikasi validitas pembuatan laporan keuangan perusahaan.
Kantor Akuntan Publik dilarang menerima tawaran jasa lainnya, seperti konsultasi,
ketika sedang melaksanakan audit pada perusahaan yang sama.
Perusahaan harus mempunyai kode etik yang terdaftar pada SEC.
Mutual Fund Professional harus menyampaikan suaranya kepada wakil pemegang
saham.
Memberikan perlindungan kepada individu yang melaporkan adanya tindakan
menyimpang kepada pihak berwenang.
Penasihat hukum perusahaan harus mengkap adanya penyimpangan kepada pejabat
senior dan kepada dewan komisaris.

2.1.5 Keunggulan dan Keterbatasan SOA

Keunggulan Penerapan SOA

1) Tanggung Jawab Perusahaan

Undang-undang ini menekankan dan meminta perusahaan untuk bertanggungjawab

secara terafiliasi. Manajemen harus membuat pernyataan bahwa laporan keuangan telah
disajikansecara akurat dan tidak menimbulkan salah tafsir. Selain itu, pernyataan
manajemen juga harusmencakupbahwa laporan keuangan yang disajikan telah menerapkan
sistem pengawasan internal yang sehat. Komite Audit harus berperan aktif antara lain
dengan melakukan pengawasan ketat terhadap auditor, melakukan pemisahan antara audit
servicedengannon-audit service, danmelakukan persetujuan dan pengungkapan atas semua
jasa non-audit.

pg. 13
 2) Auditor

Walaupun selama ini sudah diatur tentang independensi akuntan publik tetapi dalam
undang-undang ini diperketat lagi kewajiban mempertahankan independensi akuntan dan
membentuk Dewan Pengawas Akuntan Publik. Undang-undang ini melarang pemberian
jasa non-audit diluar jasa perpajakan dan juga mencantumkan adanya kewajiban untuk
melakukan tugas bergilir terhadap pelaksana dan penanggung jawab audit.

3) Perluasan Pengungkapan

Dalam undang-undang ini ada beberapa hal yang wajib diungkapkan, antara lain:
penilaian setiap tahun oleh manajemen dan auditor terhadap sistem pengawasan internal,
kewajiban untuk menyajikan laporan proforma, pelaporan transaksi saham internal dalam
jangka waktu dua hari, pengungkapan semua pembiayaan yang bersifat off-balance sheet
dan pembiayaan yang bersifat kontingensi (seperti pada industri perbankan), dan beberapa
informasi tertentu yang dianggap penting harus dilaporkansecara real time.

4) Analis Saham

Analis saham harus mendapatkan pengungkapan terhadap informasi yang berkenaan

dengan kemungkinan adanya konflik kepentingan (conflict of interest).

5) Securities Exchange Committee (SEC)

SEC memperluas objek reviewnya terhadap laporan keuangan perusahaan,

meningkatkan kekuasaan untuk memaksa perusahaan melaksanakan peraturannnya dan
menaikkan biaya hukuman terhadap setiap pelanggaran UU pasar modal.

Keterbatasan SOA

Sarbanes Oxley Act memberikan beberapa perhatian untuk pengendalian internal

terbukti dengan adanya jasa hotlines yang disediakan untuk proses pelaporan frauds yang
disaksikan oleh pegawai dan perlindungan terhadap pegawai tersebut atas pelaporannya.
Tapi sayangnya SOA memiliki beberapa kelemahan, yang pertama adalah memfokuskan

pg. 14
pada pemberian sanksi dan perlakuan terhadap subject, namun pada kenyataanya
kebanyakan kasus fraud yang terjadi bukan hanya terjadi karena individu yang
melakukannya (Moral Hazard) tapi lebih dikarenakan adanya permainan dalam sistem.

Olehkarena itu, terdapatlahlimitation of Internal Controls yangberarti kebanyakan

kegagalan yang terjadi dalaminternal controlsterjadi karena masing-masing individu, yang
seharusnya menerapkan prinsip internal controls ini dengan baik,dengan sengaja
melakukan pelanggaran dan bersepakat secara bersama-sama menyeleweng dan sampai
saat ini belum ada sistem yang dapat menakut-nakuti orang-orang yang memiliki peluang
untuk melakukan kecurangan baik dalam lingkup manajemen ataupun individu. Efek sanksi
dengan adanyaSOAnampaknya tidak terlalu ampuh untuk dipopulerkan. Ini terbukti
dengan terjadinya kasus frauds untuk kesekian kalinya di Amerika yang secara menyeluruh
mengadopsiSOA.Bahkanterjadi beberapakasus fraudlebih parahdan sampai-sampai
menyebabkan kerusakan ekonomi global.Ada komponen lain yang menyebabkan internal
controls tidak berjalan secara semestinya, yaitu ketika moral hazard atas individu yang
terjadi dalam sebuah perusahaansudahtersistem. Contoh kasusnya adalah AIG yang
merupakan salah satu perusahaan asuransi besar didunia.Hedge Fund danpeluang
pengendalian uang yang besar oleh manajemen menjadi daya tarik tersendiri untuk
melakukan skandal keuangan.

Pengendalian dan pengontrolan terhadapmanajemen perusahan tidak hanya

dilakukan oleh komite audit tapijugaharus sejalan dengan regulasi dan pengontrolan yang
dilakukan oleh pemerintah. Selain itu, daya pikir kritis terhadap kondisi sebuah perusahaan
yang sudah dianggap baik haruslah ditingkatkan.Inspeksi keuanganpadasebuah perusahaan
harus dilakukan secara berkala agarpendeteksian kecurangan bisa ditemukan lebih
awal.Pembuatan regulasi dan sanksi luar biasa dalam pengendalianmoral hazard harus
dilakukan agar tidak terjadi suatu kegagalan sistemik yang akan mengakibatkan semua
instrument pengendalian baik regulasi pemerintah, kode etik perusahaan, maupun nilai-
nilai/budaya dalam perusahaaan harus kembali diperbaiki lagidari awal.

pg. 15
2.1.6 Penerapan SOA di Indonesia

PT Telekomunikasi Indonesia, Tbk sebagai perusahaan yang telah tercatat di bursa

saham dalam negeri dan luar negeri berkomitmen penuh untuk mengembangkan dan
menerapkan kebijakan serta praktek tata kelola perusahaan dengan pembenahan internal
dan pemenuhan standard internasional. Standard internasional khususnya aturan yang
ditetapkan oleh US Securities and Exchange Commission (US SEC) yang harus diadopsi
oleh PT. Telekomunikasi Indonesia, Tbk, sebagai salah satu perusahaan yang telah listing
di New York Stock Exchange (NYSE), adalah Sarbanes Oxley Act (SOA). Sistem
pengendalian internal yang tercantum dalam Sarbanes Oxley Act merupakan unsur penting
dalam praktek Good Corporate Governance. PT Telekomunikasi Indonesia, Tbk saat ini
menerapkan tiga section Sarbanes Oxley Act, yaitu section 302, section404, dan section
906. Hal ini dilakukan dengan pertimbangan tiga section tersebut dapat diterapkan sebagai
langkah awal implementasi Sarbanes Oxley Act. Sedangkan untuk section lainnya,
kemungkinan dimasa mendatang juga akan diterapkan secara bertahap bila perusahaan
telah mampu menjalankan tiga section tersebut dengan lengkap dan benar, serta adanya
pertimbangan manajemen terhadap benefit yang diperoleh.

2.2 Enterprice Risk Manajemen (ERM)

2.2.1 Pengertian ERM

Enterprise Risk Management (ERM) adalah suatu proses yang dipengaruhi oleh
boardofdirector, dan personel lain dari suatu organisasi, diterapkan dalam setting strategi,
dan mencakuporganisasi secara keseluruhan, didesain untuk mengidentifikasi kejadian
potensial yangmempengaruhi suatu organisasi, untuk memberikan jaminan yang cukup
pantas berkaitan denganpencapaian tujuan organisasi (COSO ERP, 2004).

Enterprise manajemen risiko (ERM) dalam bisnis meliputi metode dan proses yang
digunakan oleh organisasi untuk mengelola risiko dan meraih peluang yang berkaitan
dengan pencapaian tujuan mereka. ERM menyediakan kerangka kerja manajemen risiko,
yang biasanya melibatkan identifikasi peristiwa tertentu atau keadaan relevan dengan

pg. 16
tujuan organisasi (risiko dan peluang), menilai mereka dalam hal kemungkinan dan
besarnya dampak, menentukan strategi respon, dan kemajuan pemantauan. Dengan
mengidentifikasi dan proaktif mengatasi risiko dan peluang, usaha usaha melindungi dan
menciptakan nilai bagi stakeholders, termasuk pemilik, karyawan, pelanggan, regulator,
dan masyarakat secara keseluruhan.

ERM juga dapat digambarkan sebagai pendekatan berbasis risiko untuk mengelola
perusahaan, mengintegrasikan konsep pengendalian internal, Sarbanes-Oxley Act, dan
perencanaan strategis. ERM berkembang untuk mengatasi kebutuhan dari berbagai pihak,
yang ingin memahami spektrum yang luas risiko yang dihadapi organisasi yang kompleks
untuk memastikan mereka tepat dikelola. Regulator dan lembaga rating utang telah
meningkatkan pengawasan mereka pada proses manajemen risiko perusahaan.

2.2.2 Sejarah Singkat ERM

Dunia bisnis di Amerika terguncang dengan adanya kasus Enron yang terkuak pada
akhir tahun 2001. Sebuah kasus rekayasa keuangan dan malpraktik akuntansi, yang
kemudian diikuti oleh terkuaknya kasus-kasus lain sejenis seperti kasus WorldCom, Merck,
dan sebagainya. Salah satu faktor penting yang menyebabkan itu semua, menurut Hamilton
dan Francis (2003) mengutip laporan William C. Powers, Dekan Law School University of
Texas, yang juga mengetuai Komite Investigasi Khusus Board of Directors Enron
Corporation, adalah kelemahan sistem pengendalian intern dan proses manajemen risiko
dalam memitigasi risiko.

Sebagai respons atas kasus-kasus tersebut, kongres Amerika Serikat (AS) pada
tanggal 23 Januari 2002 mengesahkan sebuah undang-undang perlindungan bagi para
investor yang secara singkat disebut Sarbanes-Oxley Act of 2002 (SOA). Undang-undang
ini merupakan reformasi pengaturan corporate governance terbesar setelah Securities Act
of 1933 dan Securities Exhange Act of 1934. SOA menjadi sangat penting karena sifatnya
yang mengikat sebagai hukum positif. Dengan adanya kewajiban tersebut, perhatian
berbagai kalangan terhadap pengendalian intern, manajemen risiko, dan good governance,
sesuai pengaturan Seksi 404 dari undang-undang tersebut, semakin meningkat (DeLoach,

pg. 17
2003). Meningkatnya perhatian terhadap pengendalian intern, manajemen risiko, dan good
governance tersebut direspons oleh The Committee of Sponsoring Organizations of the
Treadway Commission (COSO) dengan menerbitkan Enterprise Risk Management
(ERM) Integrated Framework pada bulan September 2004. Menyusul kemudian pada
November 2009, International Organization for Standardization (ISO) juga mengeluarkan
ISO31000: Risk Management Principles and Guidelines on Implementation.

2.2.3 Konsep ERM

Pada dasarnya konsep dari Enterprise Risk Management Integrated Framework

adalah mengembangkan konsep internal control yang bebas dari pengaruh dan semakin
memfokuskan pada aspek manajemen risiko perusahaan. Konsep ini tidak bermaksud untuk
menggantikan kerangka kerja internal control yang ada melainkan menjadi suatu kesatuan.
Para manajer dapat memanfaatkan Enterprise Risk Management Integrated Framework
baik untuk memenuhi dan memuaskan kebutuhan internal control maupun untuk
mendukung proses manajemen risiko. Jadi harus dapat diantisipasi dan dikendalikan oleh
para manajer adalah sampai seberapa jauh kemampun suatu entitas siap menghadapi dan
menerima risiko dalam upaya penciptaan nilai (creative value).

Premis yang mendasari enterprise risk management menyatakan bahwa setiap

entitas didirikan untuk menciptakan nilai yang diperuntukkan bagi para stakeholder. Setiap
entitas dalam menjalankan aktivitas operasional senantiasa menghadapi permasalahan
ketidakpastian.Para manajer yang profesional ditantang kompetensinya dalam bentuk
kemampuan untuk menentukan sampai seberapa besar ketridakpastian yang dihadapinya
dapat dikendalikan, sehingga usaha yang mengarah pada peningkatan stakeholder value
dapat terwujud.

Ketidakpastian yang kerap kali dihadapi para manajer dapat berupa risiko-risiko
atau peluang-peluang yang dapat diperoleh melalui suatu tindakan manajerial yang dapat
menurunkan atau meningkatkan penciptaan nilai. Melalui implementasi Enterprise Risk
Management Integrated Framework, manajer diharapkan mampu mengatasi secara

pg. 18
efektif permasalahan ketidak pastian yang berkaitan dengan risiko maupun peluang-
peluang yang dapat memberikan potensi peningkatan kapasitas pembentukan nilai.

Nilai (value) dikatakan maksimal bilamana manajer berhasil memformulasikan

strategi dan tujuan untuk mengoptimalkan keseimbangan pertumbuhan antara pendapatan
dan risiko, efisiensi dan efektivitaspenggunaansumber-sumberekonomisdalam
merealisasikan tujuan yang telah ditetapkan. Para pakar, lebih lanjut mengemukakan bahwa
konsep Enterprise Risk Management mencakup aspek:

Alligning risk appetite and strategy.

Enhancing risk response decisions.
Reducing operational surprises and losses.
Identifying and managing multiple and cros-enterprise risks.
Seizing opportunities.
Improving deployment of capital

Kapabiltas yang melekat dalam konsep Enterprise Risk Management sebetulnya

dapat membantu manajemen dalam hal:

Upaya mewujudkan kinerja atau performansi suatu entitas, target profitabilitas dan
membantu melakukan tindakan preventif atas kemungkinan kerugian yang timbul
dari penggunaan sember-suber ekonomis.
Efektivitas pelaporan dan kepatuhan terhadap aturan dan regulasi.
Menghindari dan mencegah serta memelihara reputasi sntitas dan konsekuensi yang
terkait.

2.2.4 Kerangka ERM

Model COSO

ERM versi COSO terdiri dari 8 komponen yang saling terkait. Kedelapan
komponen ini diturunkan dari bagaimana manajemen menjalankan perusahaan dan

pg. 19
diintegrasikan dengan proses manajemen. Kedelapan komponen ini diperlukan untuk
mencapai tujuan-tujuan perusahaan, baik tujuan strategis, operasional, pelaporan keuangan,
maupun kepatuhan terhadap ketentuan perundang-undangan. Komponen-komponen
tersebut adalah:

1. Lingkungan Internal(Internal Environment) Lingkungan internal sangat

menentukan warna dari sebuah organisasi dan memberi dasar bagi cara pandang
terhadap risiko dari setiap orang dalam organisasi tersebut. Di dalam lingkungan
internal ini termasuk, filosofi manajemen risiko dan risk appetite, nilai-nilai etika
dan integritas, dan lingkungan di mana kesemuanya tersebut berjalan.
2. Penentuan Tujuan(Objective Setting) Tujuan perusahaan harus ada terlebih
dahulu sebelum manajemen dapat menidentifikasi kejadian-kejadian yang
berpotensi mempengaruhi pencapaian tujuan tersebut. ERM memastikan bahwa
manajemen memiliki sebuah proses untuk menetapkan tujuan ddan bahwa tujuan
yang dipilih atau ditetapkan tersebut terkait dan mendukung misi perusahaan dan
konsisten dengan risk appetite-nya.
3. Identifikasi Kejadian(Event Identification) Kejadian internal dan eksternal yang
mempengaruhi pencapaian tujuan perusahaan harus diidentifikasi, dan dibedakan
antara risiko dan peluang. Peluang dikembalikan (channeledback) kepada proses
penetapan strategi atau tujuan manajemen.
4. Penilaian Risiko(Risk Assessment) Risiko dianalisis dengan memperhitungkan
kemungkinan terjadi (likelihood) dan dampaknya (impact), sebagai dasar bagi
penentuan bagaimana seharusnya risiko tersebut dikelola.
5. Respons Risiko(Risk Response) Manajemen memilih respons risiko menghindar
(avoiding), menerima (accepting), mengurangi (reducing), atau mengalihkan
(sharing risk) dan mengembangkan satu set kegiatan agar risiko tersebut sesuai
dengan toleransi (risk tolerance) dan risk appetite.
6. Kegiatan Pengendalian(Control Activities) Kebijakan dan prosedur yang
ditetapkan dan diimplementasikan untuk membantu memastikan respons risiko
berjalan dengan efektif.

pg. 20
 7. Informasi dan komunikasi(Information and Communication) Informasi yang
relevan diidentifikasi, ditangkap, dan dikomunikasikan dalam bentuk dan waktu
yang memungkinkan setiap orang menjalankan tanggung jawabnya.
8. Pengawasan(Monitoring) Keseluruhan proses ERM dimonitor dan modifikasi
dilakukan apabila perlu. Pengawasan dilakukan secara melekat pada kegiatan
manajemen yang berjalan terus-menerus, melalui eveluasi secara khusus, atau
dengan keduanya.

Penerapan komponen dalam berbagai tujuan tersebut dapat dilakukan pada entity-level,
divisional, unit bisnis, dan/atau subsidiary.

Model ISO

Sementara itu, ISO sebagaimana diterjemahkan secara bebas oleh Susilo et.al
(2010) membedakan kerangka manajemen risiko sendiri, dengan prinsip dan juga proses
manajemen risiko.

Menurut ISO, manajemen risiko suatu organisasi hanya dapat efektif bila mampu
menganut prinsip-prinsip bahwa manajemen risiko:

1. Harus memberi nilai tambah.

2. Merupakan bagian terpadu dari proses organisasi.
3. Merupakan bagian dari proses pengambilan keputusan.
4. Secara khusus menangani aspek ketidakpastian.
5. Bersifat sistematik, terstruktur, dan tepat waktu.
6. Berdasarkan pada informasi terbaik yang tersedia.
7. Khas untuk penggunaannya.
8. Mempertimbangkan faktor manusia dan budaya.
9. Harus transparan dan inklusif.
10. Bersifat dinamis, berulang, dan tanggap terhadap perubahan.
11. Harus memfasilitasi terjadinya perbaikan dan peningkatan organisasi secara
berlanjut.

pg. 21
 Selanjutnya, agar dapat berhasil baik, manajemen risiko harus diletakkan dalam
suatu kerangka manajemen risiko. Kerangka ini akan menjadi dasar dan penataan yang
mencakup seluruh kegiatan manajemen risiko di segala tingkatan organisasi. Kerangka
manajemen risiko ini disusun khas ISO yaitu berdasarkan siklus Plan (mendesain kerangka
manajemen risiko) Do (mengimplementasikan kerangka manajemen risiko) Check
(memonitor dan mereview kerangka manajemen risiko) Act (perbaikan terus menerus
kerangka manajemen risiko), dengan sebelumnya harus mendapatkan mandat dan
komitmen berlanjut dari manajemen organisasi.

Kerangka kerja ini akan membantu organisasi mengelola risiko secara efektif
melalui penerapan proses manajemen risiko. Proses manajemen risiko hendaknya
merupakan bagian yang tak terpisahkan dari proses manajemen umum. Manajemen risiko
harus masuk dan menjadi bagian dari budaya organisasi, praktik terbaik organisasi, dan
proses bisnis organisasi.

Proses manajemen risiko menurut ISO meliputi 5 kegiatan, yaitu:

1. Komunikasi dan konsultasi, yaitu komunikasi dan konsultasi di antara para

pemangku kepentingan, internal maupun eksternal, yang harus dilakukan
seekstensif mungkin sesuai dengan kebutuhan dan pada setiap tahapan proses
manajemen risiko.
2. Menentukan konteks, yaitu menentukan batasan atau parameter internal dan
eksternal yang akan dijadikan pertimbangan dalam manajemen risiko, menentukan
lingkup kerja, dan kriteria risiko untuk proses-proses selanjutnya.
3. Asesmen risiko, yaitu mengidentifikasi risiko, menganalisis risiko, serta
mengevaluasi risiko. Mengidentifikasi risiko dilakukan dengan mengidentifikasi
sumber risiko, area dampak risiko, peristiwa dan penyebabnya, serta potensi
penyebabnya, sehingga bisa didapatkan sebuah daftar risiko. Analisis risiko adalah
upaya memahami risiko yang sudah diidentifikasi secara lebih mendalam yang
hasilnya akan menjadi masukan bagi evaluasi risiko. Sedangkan evaluasi risiko

pg. 22
 adalah menentukan risiko-risiko mana yang memerlukan perlakuan dan bagaimana
prioritas implementasinya.
4. Perlakuan risiko, meliputi upaya untuk menyeleksi pilihan-pilihan yang dapat
mengurangi atau meniadakan dampak serta kemungkinan terjadinya risiko,
kemudian menerapkan pilihan tersebut.
5. Monitoring dan review, bisa berupa pemeriksaan biasa atau oengamatan terhadap
apa yang sudah ada, baik secara berkala atau secara khusus. Kedua bentuk ini harus
dilakukan secara terencana.

2.2.5 Peranan Audit Internal dalam ERM

Peran inti audit internal yang berkaitan dengan ERM adalah untuk memberikan
layanan pemastian yang objektif bagi Dewan mengenai efektivitas kegiatan ERM
organisasi. Pemastian ini membantu meyakinkan bahwa risiko bisnis kunci telah dikelola
dengan tepat, dan bahwa sistem pengendalian internal telah berjalan secara efektif. Faktor
utama yang harus dipertimbangkan oleh Kepala Eksekutif Audit saat menentukan peran
audit internal adalah apakah suatu kegiatan menimbulkan ancaman terhadap independensi
dan objektivitas auditor internal serta apakah memang terdapat kemungkinan untuk
meningkatkan proses manajemen risiko organisasi, kontrol, dan proses tata kelola.

Peran auditor internal bervariasi dalam proses ERM bergantung pada kematangan
proses ERM dalam organisasi. Sebelum auditor internal melaksanakan apapun peran yang
terkait dengan ERM, harus dipastikan terlebih dahulu bahwa seluruh organisasi sepenuhnya
memahami bahwa tanggung jawab manajemen risiko terutama berada pada manajemen.
Makalah posisi IIA ini memberikan pedoman peran internal audit mana yang harus, boleh,
dan tidak boleh dimainkan di dalam proses ERM organisasi.

Peran inti audit internal dalam ERM adalah kegiatan yang berhubungan dengan
layanan pemastian yang meliputi:

Memberikan keyakinan pada desain dan efektivitas proses manajemen risiko.

Memberikan keyakinan bahwa risiko dievaluasi dengan benar.

pg. 23
 Mengevaluasi proses manajemen risiko.
Mengevaluasi pelaporan mengenai status dari risiko-risiko kunci dan
pengendaliannya.
Meninjau pengelolaan risiko-risiko kunci, termasuk efektivitas dari pengendalian
dan respons lain terhadap risiko-risiko tersebut.

Peran tambahan lain yang boleh dilaksanakan dalam layanan konsultasi dengan
dibarengi pengamanan independensi dan objektivitas yang cukup, antara lain:

Memulai pembentukan ERM dalam organisasi.

Mengembangkan strategi manajemen risiko bagi persetujuan Dewan.
Memfasilitasi identifikasi dan evaluasi risiko.
Pelatihan manajemen tentang merespons risiko.
Mengoordinasikan kegiatan ERM.
Mengonsolidasi laporan mengenai risiko.
Memelihara dan mengembangkan kerangka ERM.

Peran dalam ERM yang tidak boleh dilakukan auditor internal adalah:

Mengatur minat risiko (risk appetite).

Menerapkan proses manajemen risiko.
Menjamin manajemen risiko.
Membuat keputusan pada respons risiko.
Menerapkan respons dan manajemen risiko atas nama manajemen.
Akuntabilitas manajemen risiko.

2.3 Hubungan antara SOA dengan ERM

2.3.1 SOA dan Lingkungan Pengendalian yang Berbasis ERM

SOA terdiri dari 11 bab atau bagian yang menetapkan hal-hal mulai dari tanggung
jawab tambahan Dewan Perusahaan hingga hukuman pidana. Sarbox juga menuntut

pg. 24
Securities Exchange Commission (SEC) untuk menerapkan aturan persyaratan baru untuk
menaati hukum ini. Saat ini, corporate governance dan pengendalian internal bukan lagi
sesuatu yang mewah lagi karena kedua hal ini telah disyaratkan oleh undang-undang.

Dengan diterapkannya Sarbanes-Oxley Act menuntut pengendalian internal untuk

menyajikan keyakinan yang memadai yang benar benar mencerminkan adanya proses
untuk menjaga aset perusahaan, menyajikan informasi yang diandalkan dan akurat,
mendukung dan meningkatkan efisiensi operasional, dan mendorong keselarasan dengan
kebijakan manajemen. Sejumlah kerangka acuan pengendalian telah diajukan dan
dikembangkan untuk membantu perusahaan dalam menciptakan sistem pengendalian
internal yang baik, diantaranya COBIT, COSO Internal Control Framework, dan COSO
Enterprise Risk Management.

COSO Enterprise Risk Management (ERM) Merupakan kerangka pengendalian

internal dan manajemen risiko yang dirancang COSO sebagai pengembangan dari kerangka
sebelumnya, COSO Internal Control Framework. Perbedaan mendasar dari COSO adalah
bahwa ERM mengintegrasikan keandalan kerangka pengendalian internal COSO ke arah
penilaian dan pengelolaan risiko.

ERM mengandung beberapa elemen utama menurut tingkat organisasi dan tingkat
tujuan:

1. lingkungan internal
2. Penentuan tujuan
3. Identifikasi peristiwa
4. Penilaian risiko
5. Tanggapan risiko
6. Aktifitas pengendalian
7. Informasi dan komunikasi
8. Pemantauan

pg. 25
 COSO memandang bahwa pengendalian internal secara umum adalah: Sebuah
proses, yang dilaksanakan oleh dewan direksi, manajemen, dan personil lainnya, yang
dirancang untuk menyajikan keyakinan memadai terkait dengan pencapaian tujuan-tujuan
dibawah ini:

(1) efektifitas dan efisiensi operasi

(2) keandalan pelaporan keuangan
(3) kepatuhan terhadap hukum dan peraturan

Kerangka COSO yang diterima secara de facto sebagai acuan dalam penilaian
internal organisasi terbatas penggunaannya pada penentuan tujuan pengendalian pelaporan
keuangan dalam konteks organisasi secara luas. Sementara dalam lingkungan yang semakin
bergerak ke lingkungan berbasis komputer, tujuan pengendalian internal dan audit terhadap
sistem informasi memiliki ruang lingkup yang lebih luas dibandingkan penilaian
pengendalian internal dan audit terhadap akuntansi.

pg. 26
 BAB III

PENUTUP

3.1 Simpulan

COSO dan produk-produk yang dihasilkannya merupakan pelindungbagi investor,

pegawai perusahaan, dan pihak-pihak yang berkepentinganlainnya dari mengalami
kerugian dari peristiwa-peritiwa skandal keuanganyang telah terjadi. COSO memberikan
kepastian kepada pihak-pihaktersebut sehingga mereka memperoleh bagian haknya dengan
sesuai.

Kerangka kerja COSO mendefinisikan pengendalian internal sebagaisebuah proses,

dipengaruhi oleh dewan direksi, manajemen, dan orang-orang lainnya dalam perusahaan.
Menurut COSO, komponen tersebutmenyediakan kerangka kerja yang efektif untuk
menggambarkan danmenganalisa sistem pengendalian internal yang diimplementasikan
dalamsebuah organisasi seperti yang disyaratkan oleh peraturan keuangan.

Tujuan utama Sarbox adalah meningkatkan kepercayaan publikterhadap

implementasi prinsip pertanggungjawaban keuangan perusahaan publik (good corporate
governance - GCG) bagi perusahaan yang telah go-public. Sarbox diharapkan akan
meningkatkan standar akuntabilitas korporasi, transparansi dalam pelaporan keuangan,
memperkecil kemungkinan bagi perusahaan atau organisasi untuk melakukan dan
menyembunyikan fraud, serta membuat perhatian pada tingkat sangat tinggi terhadap
corporate governance.

pg. 27
 DAFTAR PUSTAKA

Ritchi, Hamzah. 2009. identifikasi pengendalian aplikasi dalam analisis proses bisnis

COSO, 2004, Enterprise Risk Management Integrated Framework. the Committee of

Sponsoring Organizations of the Treadway Commission

Beasley, Mark., Clune, R., dan Hermanson, D. R. (2005). Enterprise Risk Management:
An Empirical Analysis of Factors Associated with the Extent of Implementation.
Journal of Accounting and Public Policy, 24.

Anonim (27 Oktober 2012). Sarbanes Oxley Act (SOA). Diakses pada tanggal 29 Maret
2017 dari https://ugaul.wordpress.com/2012/10/27/sarbanes-oxley-act-soa/

Munandar Asdar (Februari 2012). Penerapan Sarbanes-Oxley di Indonesia. Diakses

pada tanggal 29 Maret 2017 dari
https://asdarmunandar.blogspot.co.id/2012/02/penerapan-sarbanes-oxley-di-
indonesia.html

Anonim (15 Februari 2010). Mengenal ERM. Diakses pada tanggal 29 Maret 2017 dari
http://auditorinternal.com/2010/02/15/mengenal-erm/

S.Adrian Harry (16 Juni 2010). Enterprise Risk Management. Diakses pada tanggal 29
Maret 2017 dari https://akuntansiterapan.com/2010/06/16/enterprise-risk-
management/

Dhika (04 Januari 2011). Enterprise Risk Managemen. Diakses pada tanggal 29 Maret
2017 dari http://shinimonogurui.blogspot.co.id/2011/01/enterprise-risk-
management-erm.html

pg. 28