Undang-undang Sarbanes-Oxley (SOx) adalah undang-undang A.S.

yang diberlakukan pada tahun 2002

untuk memperbaiki proses audit pelaporan keuangan dan untuk mengamanatkan dewan direktur,
akuntansi publik, dan praktik tata kelola perusahaan lainnya. Ini memiliki dampak besar pada bisnis
pertama di Amerika Serikat dan sekarang di seluruh dunia. Sementara audit baru dan peraturan
pengendalian internal SOx telah mengubah banyak praktik auditor eksternal, SOx juga memiliki
dampak besar pada auditor internal. Pemahaman umum SOx, dengan penekanan pada peraturan
pengendalian akuntansi Bagian 404, harus menjadi persyaratan umum pengetahuan umum (CBOK)
untuk semua auditor internal.

SOx menjadi undang-undang di Amerika Serikat sebagai tanggapan terhadap serangkaian kesalahan
akuntansi dan kegagalan finansial di beberapa perusahaan besar seperti Enron dan WorldCom.
Komponen utama SOx adalah Dewan Pengawas Akuntansi Perusahaan Publik (PCAOB), entitas
independen yang sekarang menetapkan standar audit luar A.S. dan mengatur industri akuntansi publik.
SOx adalah seperangkat persyaratan yang telah didefinisikan ulang bagaimana kita berdua mengatur
perusahaan publik dan membuktikan bahwa hasil keuangan mereka dilaporkan cukup dinyatakan.

Meskipun SOx adalah seperangkat undang-undang komprehensif dengan banyak komponen, sebagian
besar perhatian bisnis dan auditor terhadap persyaratan SOx telah berfokus pada peraturan
pengesahan pengendalian Bagian 404. Auditor internal harus mengetahui secara khusus persyaratan
untuk SOx Section 404 review dan juga apa yang disebut dengan peraturan Section 302, yang membuat
manajemen bertanggung jawab atas laporan keuangan yang dilaporkan. Kedua bagian ini telah
menyebabkan sejumlah besar usaha dan perhatian karena perusahaan mulai menetapkan kepatuhan
SOx. Bagian lain dari undang-undang tersebut belum mendapat banyak perhatian atau menimbulkan
masalah kepatuhan utama. Contohnya adalah persyaratan SOx bahwa komite audit menetapkan apa
yang disebut program whistleblower untuk melaporkan akuntansi yang tidak benar secara anonim.
Meskipun ini pertama kali tampaknya menjadi persyaratan yang signifikan, namun saat ini belum banyak
mendapat perhatian atau aktivitas.

Bab ini memberikan gambaran umum tentang SOx hari ini, dengan penekanan pada Bagian 404 dan area
lain yang paling penting bagi auditor internal. Pemahaman SOX harus menjadi bagian dari CBOK auditor
internal, dan bab ini berfokus pada tiga aspek penting SOx:

1. Elemen kunci SOx: Ikhtisar legislasi. Kami meringkas peraturan SOx di area seperti prosedur komite
audit dan peraturan auditor eksternal yang baru. Gambaran ini akan membantu auditor internal untuk
lebih memahami beberapa aturan SOx ini.

2. Bagian 404 tinjauan pengendalian akuntansi internal. Persyaratan SOx untuk tinjauan kontrol
akuntansi internal telah menyebabkan banyak kerja keras dan kekacauan di perusahaan. Kami
menggambarkan proses peninjauan dan mengapa hal ini penting bagi auditor internal.

3. SOx's Auditing Standard No. 5 (AS 5) berbasis risiko pendekatan. Standar auditing PCAOB yang relatif
baru disebut AS 5, peraturan ini memerlukan pendekatan audit berbasis risiko. Yang lebih penting di sini,
AS 5 menekankan pentingnya kerja audit internal dalam melakukan tinjauan pengendalian internal
terhadap laporan keuangan.

Sebagian besar dampak SOx bergantung pada peraturan terperinci yang dikeluarkan oleh PCAOB untuk
menafsirkan undang-undang tersebut. Perundang-undangan SOx disusun dengan cara yang sangat
sesuai, menunjukkan bahwa peraturan SOx dan Securities and Exchange Commission (SEC) diterapkan
pada entitas manapun, terlepas dari ukuran atau negara asalnya, yang memiliki keamanan yang
terdaftar di SEC. Praktik tersebut berubah. Kami juga melihat bagaimana SOx berkembang menjadi
standar global di seluruh dunia.

4.1 Sarbanes-Oxley Act Elements

Nama resmi SOx adalah Reformasi Akuntansi Publik dan Undang-Undang Perlindungan Investor. Ini
menjadi undang-undang pada bulan Agustus 2002. Sebagian besar peraturan dan peraturan akhir dirilis
pada akhir tahun 2003. Karena judulnya panjang, para profesional bisnis menyebutnya sebagai
Sarbanes-Oxley Act, dari nama sponsor kongres utamanya. Masih terlalu panjang dari sebuah nama,
umumnya mengacu pada SOx, SOX, atau Sarbox, di antara banyak variasi lainnya.

SOx memperkenalkan serangkaian proses yang benar-benar berubah untuk audit eksternal dan
memberikan tanggung jawab tata kelola baru kepada eksekutif senior dan anggota dewan. SOx juga
membentuk PCAOB, otoritas penetapan aturan di bawah SEC yang mengeluarkan standar auditing
keuangan dan memantau tata kelola auditor eksternal. Seperti yang terjadi dengan semua undang-
undang federal dan sekuritas terkait peraturan, seperangkat peraturan dan peraturan administratif yang
ekstensif telah dikembangkan oleh SEC berdasarkan undang-undang SOx.

Undang-undang federal A.S. diatur dan dikeluarkan sebagai bagian terpisah dari undang-undang yang
disebut judul, dengan bagian dan subbagian bernomor di bawah masing-masing. Sebagian besar
peraturan SOx berisi peraturan yang tidak terlalu penting bagi sebagian besar auditor internal dan
profesional bisnis. Misalnya, Bagian 602 (d) Judul I menyatakan bahwa SEC "harus menetapkan" standar
perilaku minimum profesional atau peraturan untuk SEC yang melatih pengacara. Meski mungkin bagus
untuk diketahui, ini tidak berdampak internal audit. Gambar 4.1 meringkas judul utama SOx, dan bagian
yang akan datang menggambarkan judul SOX utama. Tujuan kami bukan untuk mereproduksi teks
lengkap undang-undang ini - dapat ditemukan di Web1 - namun untuk menyoroti bagian-bagian
undang-undang yang lebih penting bagi profesional audit internal dan profesional bisnis. Yang menarik,
walaupun proses pengendalian internal sangat bergantung pada auditor eksternal dan internal, undang-
undang SOX yang asli sama sekali tidak membuat referensi langsung mengenai peran dan tanggung
jawab penting auditor internal. Pentingnya audit internal dalam tinjauan internal SOx telah disorot
kemudian dalam peraturan AS 5, yang dirilis pada pertengahan tahun 2007 dan dibahas kemudian.
Penekanan di sepanjang bab ini adalah tentang peran audit internal di lingkungan SOx hari ini.

PILIHAN 4.1 Ringkasan Ketentuan Sabuk Bantu Sarbanes-Oxley

Bagian Perihal Aturan atau Persyaratan

101 Pembentukan PCAOB Keseluruhan peraturan untuk pembentukan PCAOB, termasuk
persyaratan keanggotaannya.
104 Inspeksi Kantor Jadwal pemeriksaan PCAOB dari kantor akuntan publik terdaftar.
Akuntan
108 Standar Audit PCAOB akan menerima arus tetapi akan mengeluarkan standar
auditing yang baru.
201 Out-of-Scope Practices Menguraikan praktik akuntansi perusahaan yang dilarang seperti audit
internal outsourcing, pembukuan, dan perancangan sistem keuangan.
 203 Rotasi Mitra Audit Mitra audit dan mitra peninjau harus memutar sebuah tugas setiap 5
tahun.
301 Komite Audit Independen Semua anggota komite audit harus direksi independen.
302 Tanggung Jawab CEO dan CFO harus secara pribadi memberikan laporan keuangan
Perusahaan atas berkala mereka.
Laporan Keuangan
305 Pejabat dan Direktur Jika kompensasi diterima sebagai bagian dari penipuan / pembatalan
Bar ilegal, petugas atau direktur yang diuntungkan diminta untuk secara
pribadi mengganti dana yang diterima.
404 Laporan Pengendalian Manajemen bertanggung jawab atas penilaian tahunan terhadap
Internal pengendalian internal.
407 Ahli Keuangan Salah satu direktur komite audit harus menjadi ahli keuangan yang
ditunjuk.
408 Kajian Pengungkapan SEC dapat menjadwalkan tinjauan ulang atas informasi yang
Keuangan yang dilaporkan berdasarkan beberapa faktor tertentu.
Disempurnakan
409 Pengungkapan Real- Laporan keuangan harus didistribusikan secara cepat dan lancar.
Time
1105 Pejabat atau Direktur SEC dapat melarang seorang petugas atau direktur yang bertugas di
Larangan perusahaan publik lain jika dinyatakan bersalah melakukan
pelanggaran.

(a) Judul I: Badan Pengawas Akuntansi Perusahaan Publik

Perundang-undangan SOx dimulai dengan peraturan baru yang signifikan untuk auditor eksternal.
Sebelum SOx, American Institute of Certified Public Accountants (AICPA) memiliki tanggung jawab untuk
menentukan semua auditor eksternal dan kantor akuntan publik mereka melalui administrasi uji
Certified Public Accountant (CPA) dan pembatasan keanggotaan AICPA terhadap CPA. Sementara dewan
akuntan negara bagian sebenarnya memiliki lisensi CPA, AICPA memiliki tanggung jawab keseluruhan
atas profesinya. Standar audit eksternal ditetapkan oleh AICPA's Auditing Standards Board (ASB).
Meskipun standar dasar-yang disebut standar auditing yang berlaku umum (GAAS) - sudah ada sejak
beberapa tahun, standar yang lebih baru dilepaskan sebagai standar auditing bernomor yang disebut
Standar Audit Pernyataan (SAS). Sebagian besar GAAS hanya praktik audit yang bagus, seperti bahwa
transaksi akuntansi harus didukung oleh dokumentasi yang sesuai. SAS mencakup area spesifik yang
memerlukan definisi yang lebih baik. SAS No. 79, misalnya, mendefinisikan standar pengendalian
internal, dan SAS No. 99 mencakup pertimbangan kecurangan dalam audit laporan keuangan. Kode etik
profesi AICPA mewajibkan CPA untuk mengikuti dan mematuhi semua standar auditing yang berlaku.

GAAS AICPA dan standar SAS bernomor telah diterima oleh SEC, dan peraturan auditing ini menetapkan
standar auditing dan pengujian yang diperlukan untuk laporan keuangan auditan yang telah diaudit.
Namun, skandal akuntansi yang menyebabkan berlalunya SOx memberi isyarat bahwa proses penetapan
standard auditing AICPA telah dipecahkan; SOx menghapus proses penetapan standar audit dari AICPA,
yang didominasi oleh perusahaan akuntan publik besar, dan menciptakan PCAOB, sebuah perusahaan
nirlaba, nirlaba yang bertanggung jawab untuk mengawasi semua audit perusahaan yang tunduk pada
SEC.
PCAOB tidak menggantikan AICPA namun bertanggung jawab atas praktik audit eksternal yang
sebelumnya dikelola oleh anggota AICPA. AICPA terus melaksanakan pemeriksaan BPA, dengan
sertifikatnya diberikan berdasarkan undang-undang dasar, dan menetapkan standar auditing untuk
organisasi swasta dan non-SEC AS. SOx Title I mendefinisikan praktik audit PCAOB untuk auditor
eksternal. Proses audit dan tata kelola perusahaan lainnya telah mengubah bagaimana auditor internal
mengkoordinasikan pekerjaan mereka dengan auditor eksternal. PCAOB juga mengeluarkan peraturan
dari waktu ke waktu untuk mendukung undang-undang dasar SOx. Seiring terbitnya buku ini, ada lima
standar melalui AS 5 yang sangat penting, yang dibahas di Bagian 4.3 (lihat www.pcaobus.org).

Paragraf berikut memberikan beberapa latar belakang tentang peraturan proses audit eksternal SOx
Title 1 dan asal usul SOx. Pemahaman tentang peraturan SOx ini akan membantu auditor internal dalam
berurusan dengan auditor eksternal dan manajemen bisnis mereka.

(i) ADMINISTRASI PCAOB DAN REGISTRASI PERUSAHAAN AKUNTANSI PUBLIK

PCAOB dikelola melalui dewan lima anggota yang ditunjuk oleh SEC dengan tiga anggota diharuskan
menjadi anggota publik non-CPA. SOx mensyaratkan bahwa PCAOB tidak didominasi oleh
kepentingan BPA dan kepentingan akuntan publik, dan ketuanya tidak boleh menjadi CPA praktik
setidaknya selama lima tahun terakhir. PCAOB be rtanggung jawab untuk mengawasi dan mengatur
semua firma akuntan publik yang berlatih di hadapan SEC, termasuk:

Pendaftaran kantor akuntan publik yang melakukan audit perusahaan. Yang lebih rinci
daripada hanya mengisi formulir aplikasi dan audit awal, sebuah perusahaan audit eksternal
yang mendaftar harus mengungkapkan biaya audit yang dikumpulkan, menggambarkan
standar audit dan kualitasnya, memberikan informasi terperinci mengenai CPA yang
melakukan audit, dan mengungkapkan setiap kasus pidana, perdata, atau tindakan
administratif. Perusahaan dapat ditolak haknya untuk mendaftar karena ada pertanyaan PCAOB
mengenai latar belakangnya.
Menetapkan standar auditing. Standar ini meliputi audit, quality control, etika, independensi,
dan area audit utama lainnya. Meski banyak yang terus mengikuti standar AICPA sebelumnya,
standar PCAOB baru secara bertahap dilepaskan. Mungkin yang paling penting sampai saat ini
adalah Standar Audit No. 5 (AS 5). Karena seringnya ada panggilan untuk audit auditing dan
pelaporan keberlanjutan keselamatan dan keselamatan kerja yang berkelanjutan, kita bisa
mengharapkan dimensi atau pendekatan yang berbeda untuk standar auditing di masa depan.
Melakukan inspeksi terhadap firma akuntan publik terdaftar AICPA memiliki proses peer review
di masa lalu, namun seringkali perusahaan akuntan publik hanya memiliki sedikit kritik terhadap
rekan-rekan mereka. PCAOB sekarang melakukan review terkait kualitas dari perusahaan yang
terdaftar.
Melakukan investigasi dan prosedur disipliner. Kesalahan yang ditemukan dalam penyelidikan
formal, baik oleh auditor individual atau keseluruhan perusahaan yang terdaftar, dapat
mengakibatkan sanksi yang akan melarang auditor atau firma melakukan audit berdasarkan
PCAOB.
Lakukan standar dan fungsi kualitas lainnya sesuai keputusan dewan. PCAOB telah
mengindikasikan bahwa mereka mungkin terlibat dalam area lain untuk melindungi investor
dan kepentingan umum. Ada sedikit aktivitas di sini, tapi karena kebutuhan akan layanan
auditing berkembang, standar ini pasti bisa berubah dan berkembang.
 Terapkan kepatuhan SOx. PCAOB bertanggung jawab untuk menegakkan kepatuhan terhadap
peraturan audit SEC di luar undang-undang SOx. Hal ini dapat mengakibatkan berbagai tindakan
hukum administratif atau prosedur lain yang sesuai.

Informasi dan hasil pada proses pendaftaran perusahaan akuntan publik ini dapat ditemukan di
www.pcaob.gov. Data registrasi yang diterbitkan ini mungkin bernilai khusus bagi perusahaan yang tidak
menggunakan salah satu firma akuntan publik besar. Banyak perusahaan akuntan publik berukuran
sedang dan kecil yang sangat kredibel dapat memberikan layanan yang berkualitas dan berkualitas tinggi
kepada perusahaan, namun selalu berhati-hati untuk memeriksa catatan pendaftaran PCAOB ini.

(ii) AUDITING, QUALITY CONTROL, AND INDEPENDENCE STANDARDS Judul I, Bagian 103, memberi
otoritas PCAOB untuk menetapkan standar pengesahan dan standar pengesahan, standar pengendalian
mutu, dan standar etika untuk kantor akuntan publik terdaftar. SOx menerima standar auditing AICPA
yang telah dikeluarkan sebelumnya dan menyatakan bahwa standar audit baru dapat didasarkan pada
"proposal dari satu atau lebih kelompok profesional akuntan atau kelompok penasihat." Ketika kita
beralih ke ekonomi global yang lebih besar dan karena SOx menjadi lebih dari standar di seluruh dunia ,
kita dapat mengharapkan untuk melihat standar audit internasional, seperti yang dibahas di Bab 33,
untuk memiliki pengaruh yang meningkat.

Standar Internasional untuk Praktik Profesional Auditor Internasioanal, yang dibahas di Bab 8, juga
termasuk dalam kategori "standar oleh kelompok profesional profesional" PCAOB. Standar IIA dirancang
untuk mendukung semua pekerjaan tinjauan auditor internal namun tidak untuk audit auditor eksternal
dan membuktikan pekerjaan. Ketika auditor internal bekerja untuk mendukung rekan audit eksternal
pada beberapa tugas audit, pekerjaan ini harus mengikuti pedoman audit PCAOB. Standar PCAOB
mencakup bidang-bidang ini:

Retakan kerja audit. The PCAOB Standard AS 3, Audit Dokumentasi, mengamanatkan bahwa
lembar kerja audit dan bahan pendukung lainnya harus dipelihara dalam jangka waktu tidak
kurang dari tujuh tahun. Persyaratan ini sebagai tanggapan atas kejadian yang tidak diketahui
tentang Enron dan auditornya, Arthur Andersen. Enron masih beroperasi namun mendapat
tekanan finansial saat SEC mengumumkan akan melakukan penyelidikan di tempat. Auditor
eksternal Enron, Arthur Andersen, menggunakan kebijakan internal perusahaan untuk
membenarkan penghancuran semua kecuali dokumentasi audit Enron yang terbaru. Ini adalah
faktor pendorong yang menyebabkan aturan SOx ini.
Persetujuan mitra yang disengaja. Meskipun standar audit eksternal mensyaratkan persetujuan
majemuk atau pihak kedua untuk setiap laporan audit yang dikeluarkan, hal ini sering dilakukan
lebih untuk tinjauan pengendalian kualitas after-the-fact. Berdasarkan peraturan SOx, mitra
audit eksternal kedua secara pribadi dan profesional melakukan temuan dan kesimpulan dalam
audit apapun. Pendapat bersamaan di sini mengacu pada opini formal auditor eksternal, pada
akhir audit, yang menyatakan bahwa laporan keuangan klien "cukup dinyatakan" sesuai dengan
prinsip akuntansi yang berlaku umum (GAAP).
Lingkup pengujian pengendalian internal. Aturan PCAOB mengharuskan auditor eksternal untuk
menjelaskan lingkup proses pengujian dan temuan uji. Sebelum SOx, auditor eksternal kadang-
kadang menggunakan kebijakan internal perusahaan untuk membenarkan ukuran tes yang
paling minimal, dan mereka sering menguji hanya sejumlah kecil barang meskipun menghadapi
populasi uji yang sangat besar. Jika tidak ada masalah ditemukan, mereka menyatakan
 pendapat untuk keseluruhan populasi berdasarkan hasil sampel terbatas itu. Auditor eksternal
sekarang harus lebih memperhatikan ruang lingkup dan kewajaran prosedur pengujian mereka,
dan dokumentasi pendukung harus secara jelas menggambarkan cakupan dan tingkat kegiatan
pengujian.
Evaluasi struktur dan prosedur pengendalian internal. Meskipun ada standar lain selama tahun-
tahun pertama SOx, PCAOB saat ini memerlukan penggunaan AS 5 untuk tinjauan dan evaluasi
pengendalian internal. Aturan SOx selanjutnya menentukan bahwa evaluasi auditor eksternal
harus berisi deskripsi kelemahan material dan juga masalah ketidakpatuhan material yang
ditemukan. Auditor eksternal diharuskan untuk mengevaluasi efektivitas pengendalian internal
suatu perusahaan. Tidak adanya dokumentasi ini harus dianggap sebagai kelemahan
pengendalian internal.
Standar pengendalian mutu audit. Sementara PCAOB belum mengeluarkan standar kualitas
spesifiknya sendiri, SOx mewajibkan setiap firma akuntan publik terdaftar memiliki standar
kualitas yang terkait dengan:

Pemantauan etika dan independensi profesional

Prosedur untuk menyelesaikan masalah akuntansi dan auditing dalam perusahaan

Pengawasan kerja audit

Mempekerjakan, pengembangan profesional, dan kemajuan personil

Penerimaan dan kelanjutan pertunangan

Inspeksi kualitas internal

Standar kualitas lainnya yang harus dilarang oleh PCAOB

Ini adalah standar kualitas yang sangat umum, dan seiring waktu, PCAOB akan merilis seperangkat
standar kualitas tertentu yang berlaku untuk semua kantor akuntan publik terdaftar. Demikian juga,
kami juga dapat mengharapkan IIA menetapkan standar kualitas yang berlaku untuk semua auditor
internal. Standar mutu berdasarkan ISO 9000 yang diakui secara internasional diperkenalkan pada Bab
31.

Beberapa auditor internal mungkin mempertanyakan penerapan standar PCAOB ini. Auditor internal
memiliki Standar Profesional IIA Internasional untuk Praktik Audit Internal dan mungkin merasa perlu
untuk khawatir di sini. Namun, standar auditing PCAOB mempengaruhi profesional bisnis dan auditor
internal maupun eksternal. Dengan auditor eksternal yang bekerja berdasarkan peraturan SOx, komite
audit akan mengharapkan auditor eksternal dan internal beroperasi secara konsisten. Ke depan,
peraturan PCAOB dapat menyebabkan perubahan yang signifikan dalam cara audit internal
direncanakan, dilakukan, dan dilaporkan. Apakah itu standar kualitas, pengujian pengendalian internal
yang efektif, atau persetujuan bersamaan, departemen audit internal harus mulai memodifikasi
prosedurnya agar sesuai dengan standar PCAOB.

(iii) INSPEKSI, INVESTIGASI, DAN PROSEDUR KEPATUHAN. PCAOB melakukan inspeksi perusahaan
perkantoran untuk menilai kepatuhan terhadap peraturan SOX dan standar profesional; ini terjadi
setiap tahun di kantor akuntan publik yang lebih besar dan setiap tiga tahun sekali jika perusahaan
yang terdaftar melakukan kurang dari 100 audit laporan keuangan setiap tahun. Tinjauan tersebut
mengevaluasi sistem pengendalian mutu dari perusahaan yang ditinjau serta standar dokumentasi dan
komunikasi mereka. Inspeksi didokumentasikan dalam laporan formal ke dewan tata usaha SEC dan
negara bagian. Bila sesuai, PCAOB dapat menginisiasi investigasi firma akuntan publik dan prosedur
disipliner dan dapat memaksa kesaksian, memerlukan produksi pekerjaan audit, dan melakukan proses
disipliner. Yang terakhir mungkin berkisar dari penghentian sementara individu atau perusahaan, denda
substansial, atau bahkan dilarang melakukan profesinya.

Satu paragraf singkat tentang perusahaan akuntan publik asing di Bagian I Bab 106 telah menghasilkan
banyak kontroversi. Dikatakan bahwa jika ada firma akuntan publik asing yang membuat laporan audit
untuk perusahaan yang terdaftar di SEC, maka perusahaan akuntan publik asing tunduk pada SOx,
PCAOB, dan peraturan SEC yang terkait, yang mewajibkan perusahaan asing tersebut harus mendaftar
berdasarkan peraturan SOx. Hal ini menyebabkan banyak masalah. Dunia multinasional kita dipenuhi
oleh banyak perusahaan akuntansi publik non-A.S., masing-masing diatur oleh standar akuntansi publik
nasionalnya sendiri. Sebagian besar mengikuti standar pelaporan standar internasional (IFRS) yang
serupa namun berbeda dengan peraturan A.S. Kita sekarang melihat beberapa konvergensi dalam
standar ini, dan seperti yang dibahas di Bab 30, peraturan tersebut berubah.

(iv) STANDAR AKUNTANSI Judul I menyimpulkan dengan menegaskan bahwa SEC memiliki kewenangan
atas PCAOB, termasuk persetujuan akhir peraturan, kemampuan untuk memodifikasi tindakan PCAOB,
dan pengangkatan anggota dewan. Sementara PCAOB adalah entitas independen yang bertanggung
jawab untuk mengatur industri akuntansi publik, SEC benar-benar otoritas akhir. SOx mengakui badan
penetapan standar akuntansi A.S., Dewan Standar Akuntansi Keuangan (FASB), dengan mengatakan
bahwa SEC dapat mengenali standar akuntansi "yang berlaku umum" yang ditetapkan oleh "entitas
pribadi" yang memenuhi kriteria tertentu. Tindakan tersebut selanjutnya mengacu pada kriteria umum
yang digunakan FASB untuk menetapkan standar akuntansi.

Ada dan selalu menjadi perbedaan utama antara standar akuntansi dan auditing. Yang pertama
mendefinisikan beberapa peraturan akuntansi yang sangat tepat, seperti mengatakan bahwa jenis aset
tertentu dapat dihapuskan atau disusutkan selama tidak lebih dari X tahun. Inilah prinsip-prinsip yang
disebut prinsip akuntansi yang berlaku umum. Standar auditing jauh lebih konseptual, menyoroti area
yang harus dipertimbangkan auditor saat mengevaluasi kontrol di beberapa area. Selama tahun 1990an,
standar audit ini ditafsirkan secara longgar, karena manajemen sering mendapat tekanan untuk
melaporkan pertumbuhan laba jangka pendek dan auditor eksternal sering menolak untuk mengatakan
tidak. Hasilnya adalah skandal keuangan Enron dan lainnya serta penghancuran dokumen audit Arthur
Andersen saat menerima kabar bahwa SEC akan datang. SOx dan PCAOB sekarang mengawasi
perusahaan akuntan publik.

b) Judul II: Independensi Auditor

Auditor internal dan eksternal adalah sumber daya yang terpisah dan independen, dengan auditor
eksternal bertanggung jawab untuk menilai kewajaran laporan keuangan perusahaan yang
dipublikasikan dan auditor internal yang melayani manajemen di berbagai wilayah lainnya. Pada awal
1990-an, pemisahan ini mulai berubah. Perusahaan audit eksternal juga bertanggung jawab atas
beberapa fungsi audit internal. Proses ini dimulai ketika perusahaan yang lebih besar mulai melakukan
outsourcing beberapa fungsi noncore mereka, seperti kafetaria karyawan atau fungsi kebersihan pabrik.
Pemikirannya adalah bahwa karyawan yang bekerja di bidang khusus ini tidak benar-benar merupakan
bagian dari operasi perusahaan inti, dan semuanya akan menguntungkan jika orang-orang yang
bertanggung jawab atas fungsi non-fungsi dioutsourcing ke perusahaan lain yang mengkhususkan diri
pada area tertentu. Petugas pembersih in-house sebelumnya akan dipindahkan ke perusahaan jasa
kebersihan dan, secara teori, semua orang akan diuntungkan. Perusahaan yang memprakarsai
outsourcing akan mengalami biaya lebih rendah dengan mentransfer fungsi noncore ke perusahaan
yang lebih memahaminya. Petugas kebersihan yang dioutsource, dalam contoh ini, juga mungkin
memiliki kemungkinan karir yang lebih baik dan pengawasan yang lebih baik.

Auditor internal outsourcing dimulai pada akhir tahun 1980an mengikuti jalur penalaran yang sama ini.
Perusahaan audit eksternal mulai menawarkan untuk mengambil alih fungsi audit internal klien yang
ada. Gagasan tersebut masuk akal bagi manajemen senior dan komite audit mereka, yang seringkali
tidak benar-benar memahami perbedaan antara dua fungsi audit dan terkadang lebih nyaman dengan
auditor eksternal. Manajemen senior dan komite audit mereka juga sering tertarik dengan biaya yang
dikeluarkan untuk pengendalian internal outsourcing. Meskipun awalnya IIA berjuang melawan konsep
tersebut, audit internal outsourcing terus berkembang sampai tahun 1990an. Beberapa perusahaan
independen mengadopsi outsourcing, namun auditor internal outsourcing terjadi terutama di
perusahaan akuntan publik besar.

Outsourcing audit internal menjadi masalah selama penyelidikan setelah kegagalan Enron. Fungsi
auditor internal Enron hampir sepenuhnya diserahkan ke perusahaan audit eksternal, Arthur Andersen,
dan kedua kelompok audit bekerja berdampingan di kantor Enron. Setelah kejatuhan Enron,
pertanyaan-pertanyaan fakta diajukan mengenai bagaimana departemen audit internal dari luar bisa
saja independen terhadap Andersen. Penyelidik merasa sangat sulit di lingkungan audit internal untuk
menyampaikan keprihatinan apapun kepada komite audit tentang auditor eksternal mereka. Konflik
potensial ini menjadi isu reformasi untuk SOx.

(i) BATASAN PADA LAYANAN AUDITOR EKSTERNAL SOx Bagian 201 melarang perusahaan akuntan publik
terdaftar untuk melakukan layanan audit dan nonaudit secara bersamaan dengan baik. Larangannya
meliputi audit internal, banyak bidang konsultasi, dan perencanaan keuangan perwira senior. Sekarang
ilegal bagi perusahaan akuntan publik yang terdaftar untuk menyediakan layanan audit internal jika juga
melakukan pekerjaan audit perusahaan. Dengan demikian, firma akuntan publik utama sekarang berada
di luar bisnis outsourcing audit internal untuk klien audit mereka. Perusahaan lain, termasuk spin-off
independen dari kantor akuntan publik, masih dapat memberikan outsourcing audit internal, namun era
auditor internal menjadi pegawai dari kantor akuntan publik mereka telah berakhir.

Selain larangan untuk menyediakan layanan audit internal dari luar, SOx melarang perusahaan akuntan
publik menyediakan layanan lain, termasuk:

Perancangan dan implementasi sistem informasi keuangan. Kantor akuntan publik telah
memasang sistem keuangan-sering kali dirancang sendiri-di klien selama bertahun-tahun.
Mereka kemudian kembali untuk meninjau kontrol internal sistem yang baru saja mereka
pasang - sebuah konflik kepentingan yang signifikan. Ini tidak lagi diizinkan
Jasa pembukuan dan laporan keuangan. Kantor akuntan publik sebelumnya menawarkan jasa
akuntansi kepada klien mereka selain melakukan audit. Bahkan untuk perusahaan besar, bukan
tidak biasa bagi tim yang bertanggung jawab atas audit laporan keuangan secara keseluruhan
juga untuk melakukan sebagian besar pekerjaan yang diperlukan untuk membangun laporan
 keuangan konsolidasi yang sama. Potensi konflik kepentingan ini juga sudah tidak
memungkinkan lagi.
Pengelolaan dan fungsi sumber daya manusia. Sebelum SOx, perusahaan audit eksternal sering
membantu profesional mereka sendiri untuk pindah ke posisi manajemen klien. Akibatnya,
manajer akuntansi di beberapa perusahaan sering menjadi alumni auditor eksternal mereka.
Situasi ini terkadang membuat frustrasi auditor internal atau pihak lain yang bukan berasal dari
firma akuntan publik yang sama, dan jalur promosi sepertinya terbatas karena koneksi jaringan
anak laki-laki dengan perusahaan audit eksternal.
Layanan terlarang lainnya. SOx juga secara khusus melarang perusahaan audit eksternal untuk
menawarkan jasa aktuaria, penasihat investasi, dan layanan hukum terkait audit.

Di bawah SOx, auditor eksternal mengaudit laporan keuangan perusahaan klien mereka; itu saja. Di luar
kegiatan yang dilarang, auditor eksternal dapat terlibat dalam layanan nonaudit lainnya hanya jika
layanan tersebut disetujui sebelumnya oleh komite audit. Dengan meningkatnya pengawasan komite
audit di bawah SOx, banyak yang khawatir menyetujui sesuatu yang tampaknya sama sekali tidak biasa.

Larangan layanan audit eksternal SOx juga memiliki dampak besar pada profesional audit internal.
Karena perusahaan audit eksternal hanya bisa menjadi auditor, profesional audit internal menemukan
peningkatan tingkat rasa hormat dan tanggung jawab atas peran mereka dalam menilai pengendalian
internal dan mempromosikan praktik tata kelola perusahaan yang baik. Hubungan audit internal dengan
komite audit juga telah diperkuat saat komite mencari bantuan untuk layanan yang terkadang
diasumsikan oleh perusahaan audit eksternal.

(ii) KOMITE AUDIT PREAPPROVAL LAYANAN Bagian 202 dari Judul SOx II menetapkan bahwa komite
audit harus menyetujui semua layanan audit eksternal dan nonaudit sebelumnya. Sementara
kebanyakan komite audit telah melakukan ini selama ini, sebelum SOx, persetujuan ini sering kali tidak
lebih dari sekedar formalitas. Di masa lalu, komite audit sering menerima sedikit laporan singkat dari
auditor eksternal mereka dan kemudian menyetujuinya dengan cara yang acuh tak acuh. SOx mengubah
ini. Anggota komite audit dapat mengekspos diri mereka terhadap kewajiban pidana atau litigasi
pemegang saham karena membiarkan tindakan terlarang dilakukan. Tentu saja, banyak kegiatan auditor
eksternal minor tidak harus melalui persetujuan komite audit formal. Dengan menggunakan terminologi
legal, SOx menetapkan persyaratan pengecualian untuk persyaratan izin komite audit, yang menyatakan
bahwa izin tersebut tidak diperlukan untuk layanan nonsen jika:

Nilai agregat dolar dari layanan ini tidak melebihi 5% dari total biaya audit eksternal yang
dibayarkan oleh perusahaan selama tahun buku.
Layanan tersebut tidak diakui sebagai layanan nonaudit oleh perusahaan pada saat keseluruhan
keterlibatan audit dimulai.
Layanan ini dibawa ke perhatian komite audit dan disetujui sebelum audit selesai.

Pengecualian ini memberi keleluasaan komite audit untuk fleksibilitas, namun sifat dan akumulasi nilai
dolar dari layanan nonaudit tambahan harus dipantau secara hati-hati sepanjang tahun anggaran untuk
mempertahankan tingkat kepatuhan. Audit internal dapat membantu komite audit untuk memastikan
bahwa semua layanan terus sesuai dengan peraturan SOx.

(iii) ROTASI RANTAI AUDIT EKSTERNAL Judul II menjadikannya melanggar hukum bagi mitra utama
akuntansi publik untuk memimpin pertunangan lebih dari lima tahun. Kantor akuntan publik utama
telah memperbaiki sumur ini sebelum SOx, dan rotasi mitra utama sudah umum terjadi. SOx,
bagaimanapun, membuat kegagalan perusahaan untuk tidak memutar tindakan kriminal. Rotasi mitra
audit terkadang menantang auditor internal yang bekerja dengan nyaman dengan mitra audit yang
ditunjuk selama periode yang panjang.

(iv) LAPORAN AUDITOR EKSTERNAL TERHADAP KOMITE AUDIT Sementara auditor eksternal selalu
berkomunikasi dengan komite audit mereka selama pelaksanaan audit, terkadang komunikasi ini sangat
terbatas. Manajemen dapat menegosiasikan "lulus" dari auditor eksternal mereka mengenai beberapa
perubahan akuntansi, namun masalah tersebut akan dilaporkan ke komite audit hanya dalam
persyaratan paling umum jika sama sekali. Auditor eksternal sekarang diwajibkan untuk melaporkan
secara tepat waktu semua kebijakan dan praktik akuntansi yang digunakan, perlakuan alternatif
terhadap informasi keuangan yang didiskusikan dengan manajemen, kemungkinan perlakuan alternatif,
dan pendekatan yang disukai oleh auditor eksternal. Jika ada perlakuan akuntansi yang diperselisihkan,
komite audit harus mengetahui tindakan yang dilakukan dengan benar.

(v) KONFLIK KEPENTINGAN DAN PEMERIKSAAN WAJIB DARI PERUSAHAAN EKSTERNAL AUDIT

SOx Judul II, Bagian 206, melarang auditor eksternal untuk memberikan layanan audit kepada firma di
mana chief executive officer (CEO), chief financial officer (CFO), atau chief accounting officer
berpartisipasi sebagai anggota dari perusahaan audit eksternal pada saat yang sama. audit dalam tahun
terakhir Dengan kata lain, mitra audit tidak dapat meninggalkan keterlibatan audit untuk mulai bekerja
sebagai eksekutif senior perusahaan yang baru diaudit. Ada beberapa contoh keterlaluan dari peralihan
peran ini di Enron. Larangannya sekarang terbatas pada mitra akuntan publik; anggota staf dan manajer
masih dapat pindah ke posisi di perusahaan auditee.

Jalur karir yang sama berlanjut di mana orang memulai karir mereka di bidang akuntansi publik dan
kemudian pindah ke posisi perusahaan sebagai anggota audit internal.

(c) SOx Judul III: Tanggung Jawab Perusahaan

Sementara SOx Title II menetapkan peraturan baru untuk independensi auditor eksternal, Judul III
menjelaskan perubahan peraturan baru yang utama bagi komite audit. Ini adalah area dimana auditor
internal harus memiliki tingkat kepentingan dan peran yang lebih tinggi. Meskipun komite audit
umumnya terdiri dari direktur independen, ada banyak pengecualian. SOx memperkenalkan berbagai
aturan tata kelola yang mencakup dewan direksi dan komite audit mereka.

(i) ATURAN TATA KELOLA AUDIT KOMITMEN Semua perusahaan yang terdaftar harus memiliki komite
audit yang hanya terdiri dari direksi independen. Perusahaan audit eksternal melapor langsung kepada
komite audit tersebut, yang bertanggung jawab atas kompensasi perusahaan, pengawasan terhadap
pekerjaan audit, dan resolusi dari setiap ketidaksetujuan audit. Sementara perusahaan besar di Amerika
Serikat memiliki komite audit selama beberapa tahun, SOx telah memperketat dan mengubah peraturan
ini secara besar-besaran. Selain itu, sementara audit internal terkadang hanya memiliki hubungan
pelaporan nominal dengan komite audit, SOx sekarang memerlukan hubungan audit internal yang kuat
dan langsung ke komite audit. Komunikasi komite audit dibahas pada Bab 23.
Aturan SOx juga meminta komite audit untuk menetapkan prosedur untuk menerima, menyimpan, dan
mengobati keluhan dan untuk menangani informasi whistleblower mengenai masalah akuntansi dan
audisi yang patut dipertanyakan. Selama bencana Enron, seorang karyawan mencoba menarik perhatian
auditor eksternal atau petugas keuangan Enron untuk mengungkapkan beberapa transaksi akuntansi
yang tidak tepat, namun kekhawatiran karyawan tersebut ditolak. Fungsi whistleblower etika pimpinan
komite audit bisa menjadi sumber untuk menanggapi jenis masalah ini. Meskipun bukan tanggung jawab
komite audit yang normal, audit internal berpotensi bertindak sebagai saluran untuk pelaporan laporan
whittleblower SOx dan auditing. Program etika dan whistleblower, dari perspektif audit internal, dibahas
di Bab 24.

(ii) BAGIAN 302: TANGGUNG JAWAB PERUSAHAAN UNTUK LAPORAN KEUANGAN Sebelum SOx,
perusahaan mengajukan laporan keuangan mereka kepada SEC dan investor namun, jika terjadi
kesalahan, petugas perusahaan yang bertanggung jawab yang menandatangani laporan tersebut dapat
membantah bahwa mereka tidak bertanggung jawab secara pribadi atas mereka . Mereka bisa
mengklaim bahwa mereka tidak mengerti rinciannya dan bahwa setiap kesalahan atau masalah adalah
tanggung jawab bawahan mereka. Bar kini telah dinaikkan. CEO, CFO, atau orang lain yang melakukan
fungsi serupa harus secara pribadi memberikan sertifikasi setiap laporan tahunan dan kuartalan yang
diajukan. Petugas penandatangan harus menyatakan bahwa:

Petugas penandatangan telah meninjau laporan tersebut.

Berdasarkan pengetahuan petugas penandatangan itu, laporan keuangan tidak mengandung
informasi material yang tidak benar atau menyesatkan.
Sekali lagi berdasarkan pengetahuan petugas penandatangan, laporan keuangan cukup mewakili
kondisi keuangan dan hasil usaha perusahaan.
Petugas penandatangan bertanggung jawab untuk:

Membentuk dan memelihara kontrol internal.

Setelah merancang pengendalian internal ini untuk memastikan bahwa informasi material
tentang perusahaan dan anak perusahaan diketahui oleh petugas penandatangan pada saat
laporan disiapkan.

Mengevaluasi pengendalian internal perusahaan dalam waktu 90 hari sebelum rilis laporan.

Menyajikan dalam laporan keuangan ini penilaian petugas penandatanganan efektivitas

pengendalian internal ini pada tanggal laporan tersebut.

Petugas penandatangan telah mengungkapkan kepada auditor eksternal, komite audit, dan
direksi lainnya:

Semua kekurangan signifikan dalam perancangan dan pengoperasian pengendalian internal

yang dapat mempengaruhi keandalan data keuangan yang dilaporkan dan, selanjutnya, telah
mengungkapkan kelemahan kontrol material ini kepada auditor perusahaan.

Setiap kecurangan, baik material maupun tidak, yang melibatkan manajemen atau karyawan
lain yang memiliki peran penting dalam pengendalian internal perusahaan.
 Telah ditunjukkan dalam laporan apakah ada pengendalian internal atau perubahan lainnya
yang dapat mempengaruhi secara signifikan kontrol tersebut, termasuk tindakan perbaikan,
setelah tanggal evaluasi pengendalian internal.

Mengingat bahwa SOX memberlakukan denda pidana potensial denda atau hukuman penjara bagi
pelaku pelanggaran undang-undang, persyaratan penandatangan menempatkan beban berat pada
petugas perusahaan yang bertanggung jawab. Perwira perusahaan harus mengambil semua langkah
yang wajar untuk memastikan bahwa mereka mematuhi.

Persyaratan sign-off pribadi ini menjadi perhatian utama CEO dan CFO. Perusahaan perlu membuat
prosedur pelepasan kertas rinci sehingga petugas penandatangan merasa nyaman sehingga proses yang
efektif telah digunakan dan perhitungan untuk membuat laporan semuanya terdokumentasi dengan
baik. Perusahaan mungkin ingin mempertimbangkan untuk menggunakan proses sign-off yang
diperpanjang di mana anggota staf mengirimkan laporan keuangan menandatangani pada apa yang
mereka kirimkan. Audit internal harus dapat bertindak sebagai konsultan internal dan membantu
perwira senior membuat proses yang efektif di sini. Model lembar kerja audit, dengan rujukan silang
yang luas, bisa menjadi pendekatan yang baik. Gambar 4.2 memberikan contoh pernyataan tanda
pengungkapan petugas perwira petugas senior. Pameran ini bukan formulir resmi PCAOB namun
menunjukkan jenis surat yang mungkin diminta petugas untuk diratifikasi dan dapat dianggap
bertanggung jawab secara kriminal jika tidak benar. Sementara petugas beresiko, staf pendukung -
termasuk audit internal - harus mengambil setiap langkah yang mungkin untuk memastikan paket yang
disampaikan kepada petugas senior benar.

Dengan adanya peraturan SOx, auditor internal harus memperhatikan secara khusus mengenai sifat dan
deskripsi dari temuan yang ditemui selama audit, mengenai pelaporan tindak lanjut mengenai status
tindakan perbaikan yang dilakukan, dan pada distribusi laporan audit ini. Banyak audit internal dapat
mengidentifikasi kelemahan yang signifikan di bidang perusahaan yang tidak material terhadap
keseluruhan operasi. Perincian dalam proses faktur di satu kantor penjualan regional mungkin penting
bagi kinerja wilayah penjualan tersebut untuk perusahaan, misalnya, namun tidak akan menjadi
kelemahan pengendalian internal yang signifikan secara material jika masalahnya adalah lokal dan tidak
mencerminkan yang lebih luas. , masalah yang lebih meresap, dan jika masalah itu diperbaiki setelah
ditemukan oleh audit internal. Eksekutif audit utama (CAE) harus menjalin hubungan komunikasi yang
baik dengan pejabat keuangan utama di perusahaan tersebut sehingga mereka mengetahui adanya
audit, temuan utama, dan tindakan perbaikan yang dilakukan. Audit internal juga harus memberikan
beberapa panduan mengenai apakah temuan audit yang dilaporkan material terhadap keseluruhan
sistem pengendalian intern perusahaan. Link komunikasi serupa harus ditetapkan dengan anggota
komite audit.

(iii) PENGARUH IMPROPER TERHADAP PERILAKU AUDIT SOx menjadikannya melanggar hukum bagi
perwira, direktur, atau orang bawahan yang terkait untuk mengambil tindakan apapun, yang
bertentangan dengan peraturan SEC, untuk "menipu, mempengaruhi, memaksa, memanipulasi, atau
menyesatkan" setiap auditor eksternal BPA yang melakukan audit untuk tujuan membuat laporan
keuangan menyesatkan secara material. Ini adalah kata-kata yang kuat di lingkungan di mana
sebelumnya hanya ada diskusi dan kompromi yang tinggi antara auditor dan manajemen senior ketika
ada masalah signifikan selama audit berlangsung.
Sebelum SOx, banyak diskusi "ramah" antara manajemen dan auditor eksternal mengenai sengketa
interpretasi keuangan atau penyesuaian yang diajukan menghasilkan beberapa tingkat kompromi. Ini
tidak berbeda dengan tim audit internal di lapangan yang mengedarkan draf laporan audit dengan
manajemen setempat sebelum berangkat. Setelah banyak diskusi dan kadang-kadang pekerjaan tindak
lanjut lainnya, draft laporan audit internal tersebut mungkin akan berubah sebelum diterbitkan. Hal
yang sama sering terjadi dalam laporan draft auditor eksternal yang mencakup hasil awal kuartalan atau
tahunan. Aturan SOx sekarang melarang praktik semacam itu. Aturan-aturan ini berkembang selama
audiensi kongres yang mengarah pada berlalunya SOx, di mana kesaksian termasuk kisah CEO yang kuat
pada dasarnya menuntut agar auditor eksternal menerima beberapa catatan akuntansi yang
dipertanyakan atau kehilangan bisnis audit. Meskipun masih ada perselisihan dan debat ramah, jika
keputusan SEC eksplisit dan jika auditor eksternal mengajukan penyesuaian laporan keuangan karena
peraturan SEC tersebut, manajemen harus menerimanya tanpa pertarungan tambahan.

Ada garis tegas antara manajemen yang tidak setuju dengan auditor eksternal mengenai beberapa
perkiraan atau interpretasi dan manajemen yang secara tidak benar mempengaruhi auditornya. Audit
eksternal mungkin telah melakukan beberapa pengujian terbatas di beberapa daerah dan kemudian
mengusulkan penyesuaian berdasarkan hasil pengujian tersebut. Skenario jenis ini dapat menyebabkan
manajemen tidak setuju dengan penyesuaian tersebut dan mengklaim bahwa hasil pengujiannya "tidak
representatif." Sementara auditor eksternal di bawah SOx memiliki kata terakhir dalam perselisihan
tersebut, audit internal terkadang dapat memainkan peran fasilitasi di sini sebagai baik. Sumber daya
audit internal, misalnya, dapat digunakan untuk memperluas populasi beberapa uji sampling audit,
melakukan pengamatan lanjutan lainnya, atau melakukan pengujian lain mengenai area yang
disengketakan. Melakukan hal ini, audit internal tidak membantu mempengaruhi secara tidak benar
pelaksanaan audit namun membantu menyelesaikan masalah tersebut. SEBAGAI 5 mendorong praktik
ini.

(iv) UNTUK FITRU, BAR, DAN HUKUM Judul III diakhiri dengan serangkaian peraturan dan denda yang
mencakup tata kelola perusahaan. Tujuan mereka adalah untuk memperketat peraturan yang ada yang
ada sebelum SOx atau menambahkan peraturan baru untuk apa yang sering tampak keterlaluan atau
setidaknya praktik bisnis yang sangat tidak tepat. Aturan baru ini, yang digariskan selanjutnya, tidak
berdampak pada komite audit atau auditor internal atau eksternal secara langsung. Mereka diarahkan
ke area lain yang diyakini kelebihan tata kelola perusahaan.

Penyitaan bonus yang tidak semestinya. Bagian 304 mensyaratkan bahwa jika perusahaan
diwajibkan untuk menyatakan kembali pembebanannya karena beberapa pelanggaran materi
hukum sekuritas, CEO dan CFO harus mengganti perusahaan untuk mendapatkan bonus atau
insentif yang diterima atas dasar pernyataan asli dan salah yang dikeluarkan selama 12 bulan.
Hal yang sama berlaku untuk setiap keuntungan yang diterima dari penjualan surat berharga
perusahaan selama periode yang sama. Selama dengar pendapat SOx, beberapa contoh dikutip
di mana perusahaan telah mengeluarkan pernyataan pendapatan yang agresif namun tidak
dapat didukung, perwira utamanya mendapat keuntungan dari bonus atau pelaksanaan opsi
saham dari kabar baik tersebut, dan kemudian perusahaan tersebut segera harus menyatakan
kembali pendapatannya. karena beberapa materi noncompliance matter. Di bawah revisi,
interpretasi yang benar, para CEO dan CFO tidak akan menerima bonus tersebut. SOx
menempatkan hukuman pribadi kepada perwira senior perusahaan yang mendapat keuntungan
dari laporan keuangan yang tidak memenuhi syarat.
 Bar ke kantor atau direktur layanan. Bagian 305 adalah contoh lain bagaimana SOx
memperketat peraturannya. Sebelum SOx, pengadilan federal diberdayakan untuk melarang
seseorang dari melayani sebagai pejabat perusahaan atau direktur jika tindakan orang tersebut
menunjukkan "ketidaksaksian substansial untuk melayani sebagai petugas atau direktur." SOx
mengubah standar di sini dengan menghilangkan kata substansial. Sekarang pengadilan dapat
melarang seseorang untuk melayani sebagai direktur atau petugas untuk melakukan
pelanggaran.
Periode pemecatan dana pensiun. Aturan standar untuk 401K dan rencana pensiun serupa
adalah bahwa administrator dana dapat menetapkan periode pemadaman untuk pemeliharaan
administrasi dana selama periode waktu yang terbatas. Sementara pemadaman ini digunakan
untuk membuat perubahan pada keseluruhan dana, mereka melarang peserta rencana
melakukan penyesuaian investasi terhadap rencananya selama periode terbatas ini. Peserta
rencana dengan sejumlah besar dana pensiun di saham perusahaan bisa, karena berita
perusahaan yang buruk, mentransfer dana dari saham perusahaan tersebut ke dana pasar uang
tunai atau beberapa pilihan investasi lainnya. Periode pemadaman listrik ini biasanya
dilembagakan karena alasan yang sah, seperti perubahan dalam rencana administrator. Keluhan
yang terkait dengan Enron selama dengar pendapat SOx adalah bahwa ada pemadaman listrik
yang terjadi selama minggu-minggu terakhir sebelum kebangkrutan Enron, mencegah karyawan
membuat perubahan pada rencana mereka. Namun, peraturan pemadaman yang sama tidak
berlaku bagi perwira perusahaan yang memiliki rencana terpisah sendiri dan yang, dalam
beberapa kasus, keluar dari rencana perusahaan sebelum semuanya benar-benar ambruk.
Aturan SOx sekarang menyatakan bahwa periode pemadaman listrik yang sama harus berlaku
untuk semua orang di perusahaan, dari staf hingga petugas perusahaan.
Tanggung jawab jaksa profesional. Bagian 307 mencakup peraturan yang direvisi untuk tindakan
profesional pengacara dan pada awalnya sangat kontroversial. Seorang pengacara diwajibkan
untuk melaporkan bukti pelanggaran materiil hukum sekuritas atau pelanggaran perusahaan
serupa dengan penasihat hukum atau CEO. Jika pihak-pihak tersebut tidak menanggapi, kuasa
hukum tersebut wajib melaporkan bukti naik tangga ke dewan komisaris audit. Aturan awal SOx
juga memungkinkan bahwa jika seorang pengacara menemukan pelanggaran hukum sekuritas
tersebut, pengacaranya harus menarik diri dari pertunangan tersebut dan melaporkan
pelanggaran tersebut kepada komite audit atau bahkan SEC, yang disebut pendekatan "noisy
withdrawal".

Kontroversi di sini adalah bahwa SOx secara efektif menuntut seorang pengacara untuk melanggar
peraturan hak istimewa pengacara-klien. Di bawah peraturan tradisional, jika seorang eksekutif anak
perusahaan bertemu dengan seorang pengacara untuk mendiskusikan beberapa masalah yang
merupakan pelanggaran potensial terhadap SOx, pengacara dan klien manajer anak perusahaan akan
menyelesaikan masalah tersebut. Perhatian awalnya adalah bahwa seorang pengacara seharusnya
meniup peluit pada diskusi semacam itu dan membawa masalah ini secara signifikan ke komite audit.
Aturan terakhir, bagaimanapun, melunakkan hal-hal untuk mempersempit cakupan tanggung jawab
pengacara dan jika tidak membatasi dampak peraturan.

Dana yang adil bagi investor. Bagian terakhir dari Judul III menyatakan bahwa jika seorang
individu atau kelompok didenda karena melakukan pelanggaran melalui tindakan administratif
atau hukum, dana yang terkumpul akan diserahkan ke dana "disgorgement" untuk
 didistribusikan kepada investor yang menderita karena kecurangan atau tindakan akurasinya
yang tidak benar. . Aturan yang sama berlaku untuk dana yang dikumpulkan melalui
penyelesaian sebelum proses pengadilan. Properti dan aset lainnya yang disita akan dijual dan
juga masuk ke dana disgorgement tersebut. Seluruh gagasan di sini adalah bahwa investor yang
kehilangan karena kesalahan perusahaan individual dapat dikenai beberapa penyelesaian
keuangan dari dana tersebut.

(d) Judul IV: Pengungkapan Keuangan yang Disempurnakan

Judul IV SOX dirancang untuk memperbaiki beberapa masalah pengungkapan pelaporan keuangan,
untuk memperketat peraturan benturan kepentingan bagi pejabat perusahaan dan direktur, untuk
mengamanatkan penilaian manajemen terhadap pengendalian internal, untuk meminta kode etik
perwira senior, dan hal-hal lain. Ada banyak materi disini. Banyak kebangkrutan yang tak terduga dan
kegagalan pendapatan mendadak sekitar waktu kegagalan Enron dikaitkan dengan pelaporan keuangan
yang sangat agresif, jika tidak dipertanyakan. Dengan persetujuan auditor eksternal mereka, banyak
perusahaan terdesak dan menggunakan taktik semacam itu untuk menerbitkan laporan pendapatan
proforma yang meragukan atau memindahkan kantor pusat perusahaan ke luar negeri untuk
meminimalkan pajak. Sementara taktik ini sesuai dengan GAAP dan kemudian undang-undang yang ada,
SOx memperketat banyak peraturan dan membuat beberapa taktik pengungkapan keuangan yang
ditingkatkan sulit atau ilegal.

Laporan keuangan pro forma sering digunakan untuk menyajikan gambaran tentang status keuangan
perusahaan yang tidak jelas dengan meninggalkan biaya pendapatan yang tidak berulang, seperti biaya
restrukturisasi atau biaya yang berkaitan dengan merger. Namun, karena tidak ada definisi standar dan
tidak ada format yang konsisten untuk melaporkan pendapatan proforma, tergantung pada asumsi yang
digunakan, kemungkinan kerugian operasional menjadi keuntungan dalam pelaporan pendapatan
proforma. Sebagai contoh, pada tahun fiskal 2001, Cisco Systems Inc., pembuat sistem jaringan
komputer berbasis San Jose, California, melaporkan laba bersih sebesar $ 3,09 miliar secara pro forma
namun secara bersamaan melaporkan kerugian bersih sebesar $ 1,01 miliar atas dasar GAAP .
Keuntungan pro forma Cisco secara khusus tidak termasuk biaya akuisisi, pajak penggajian atas
pelaksanaan opsi saham, biaya restrukturisasi dan biaya khusus lainnya, biaya persediaan berlebih, dan
keuntungan bersih atas investasi minoritas. Cisco tentu saja tidak sendirian disini; banyak perusahaan
telah melaporkan pendapatan pro forma yang menunjukkan pertumbuhan yang terus meningkat
sementara hasil GAAP mereka yang sebenarnya tidak begitu menguntungkan. Masalah dengan dua
rangkaian angka ini adalah bahwa investor dan pers sering mengabaikan nomor GAAP, dengan fokus
pada hasil pro forma yang lebih menguntungkan. Aturan SOx sekarang mengharuskan laporan keuangan
proforma yang diterbitkan tidak boleh mengandung pernyataan material yang tidak benar atau
menghilangkan fakta yang membuat laporan tersebut salah. Selanjutnya, hasil pro forma juga harus
disesuaikan dengan kondisi keuangan dan hasil operasi berdasarkan GAAP. Sebuah teknik pelaporan
umum sebelum SOx, hasil pro forma tidak umum saat ini.

Mungkin isu utama yang membawa Enron turun adalah sejumlah besar transaksi neraca yang
menyimpang, jika dikonsolidasikan dengan laporan keuangan biasa, akan menunjukkan masalah
keuangan yang besar. Begitu mereka diidentifikasi dan disertakan dengan hasil keuangan Enron yang
lain, pengungkapan tersebut mendorong Enron untuk kebangkrutan. SOx mensyaratkan bahwa laporan
keuangan triwulanan dan tahunan harus mengungkapkan semua transaksi off-balancesheet yang
mungkin memiliki dampak material terhadap laporan keuangan saat ini atau masa depan. Transaksi ini
dapat mencakup kewajiban kontinjensi, hubungan keuangan dengan entitas yang tidak dikonsolidasikan,
atau lainnya. Meskipun banyak peraturan pengungkapan keuangan SOx benar-benar merupakan
tanggung jawab auditor eksternal, ini adalah area di mana auditor internal dapat membantu. Seringkali
auditor internal, pada kunjungan ke unit jauh perusahaan, menemukan jenis pengaturan neraca di luar
ini dalam diskusi dengan petugas lapangan. Jika pengaturannya signifikan, audit internal harus
mengkomunikasikan rincian yang sesuai ke komite audit. SOx mewajibkan perusahaan untuk
memberikan penjelasan tentang pengaturan neraca di bawahnya secara terpisah dalam bagian Diskusi
dan Analisis Manajemen (MD & A) dari Formulir 10K tahunan mereka.

(i) MEMBATALKAN KONFLIK KETENTUAN BUNGA DAN PENGUNGKAPAN Rapat legislatif SOx sering
menggambarkan pejabat perusahaan dan direktur sebagai orang yang tamak. Dalam pengaturan yang
sering tampak sebagai konflik kepentingan, tunjangan relokasi yang besar atau pinjaman pribadi
eksekutif perusahaan diberikan dan kemudian diampuni oleh dewan direksi perusahaan. Seorang CEO,
misalnya, yang meminta dewan tersebut memberikan CFO pinjaman pribadi yang besar dengan
persyaratan pelunasan yang tidak jelas dan hak untuk menuntut pembayaran atau memaafkan tentu
menciptakan situasi konflik-kepentingan. Meskipun pengecualian diizinkan, SOx membuatnya secara
umum melanggar hukum bagi perusahaan manapun untuk secara langsung atau tidak langsung
memberikan kredit, dalam bentuk pinjaman pribadi, kepada pejabat atau direktur manapun.

Bagian lain dari Judul IV mensyaratkan bahwa semua pengungkapan di bawah SOx harus diajukan secara
elektronik dan diposting "mendekati waktu nyata" di situs Internet SEC. Hal ini membuat pengarsipan
informasi semacam itu jauh lebih lancar. Audit internal harus mempertimbangkan untuk mengevaluasi
sistem kontrol yang ada untuk menangani pelaporan online SEC tersebut. Pelaporan sering dilakukan
pada hard copy di masa lalu, dan tanpa prosedur pengendalian internal yang tepat, mungkin ada risiko
kebocoran data atau kebocoran keamanan yang tidak benar.

(ii) PENILAIAN MANAJEMEN INTERNAL: BAGIAN 404 SOx mensyaratkan bahwa semua laporan tahunan
10K harus memuat laporan pengendalian internal yang menyatakan tanggung jawab manajemen untuk
membangun dan memelihara sistem pengendalian internal dan penilaian manajemen yang memadai,
sampai dengan tanggal akhir tahun fiskal , tentang efektivitas prosedur pengendalian internal yang
terinstal. Persyaratan ini dikenal dengan aturan Bagian 404. Audit internal, konsultan dari luar, atau
bahkan tim manajemen - namun bukan auditor eksternal - memiliki tanggung jawab untuk meninjau dan
menilai keefektifan pengendalian internal mereka. Auditor eksternal kemudian membuktikan kecukupan
tinjauan pengendalian internal yang dibangun dan dikendalikan oleh manajemen.

Bagian ulasan 404 didukung oleh standar AS 5 yang baru dirilis yang dibahas di Bagian 4.3. Aturan AS 5
ini sangat penting bagi auditor internal karena standar sekarang menentukan bahwa auditor eksternal
dapat memilih untuk menggunakan pekerjaan auditor internal dalam tinjauan pengendalian internal
mereka. Pemahaman tentang SOx Bagian 404 merupakan elemen penting dalam setiap CBOK auditor
internal. Seperti yang dibahas di Bab 28, auditor internal dapat bertindak sebagai konsultan untuk
perusahaan mereka dalam membantu membangun kontrol akuntansi internal ini atau mereka dapat
mendukung auditor eksternal dengan mengaudit kontrol akuntansi internal tersebut.

(iii) ETIKA KODE OFFICER KEUANGAN .SOx mengharuskan perusahaan menerapkan kode etik untuk CEO,
CFO, dan pejabat senior lainnya yang mengungkapkan kepatuhan mereka terhadap kode ini sebagai
bagian dari pelaporan keuangan tahunan mereka. Sementara SOx telah membuat ini menjadi
persyaratan bagi perwira senior, kode etik karyawan atau perilaku telah dilakukan di beberapa
perusahaan selama bertahun-tahun. Mereka berevolusi menjadi fungsi etika yang lebih formal di
perusahaan yang lebih besar di awal 1990an, namun sering didirikan hanya untuk karyawan dan atasan
daripada untuk perwira perusahaan. Kode-kode ini mendefinisikan seperangkat kebijakan yang
dirancang untuk diterapkan bagi semua karyawan, dan mencakup hal-hal seperti kebijakan mengenai
perlindungan catatan perusahaan atau pemberian hadiah dan masalah manfaat lainnya. Gambar 4.3
menunjukkan daftar isi kode etik perusahaan sampel. Kode etik semacam itu harus dirancang untuk
semua pemangku kepentingan perusahaan dan bukan hanya untuk pejabat perusahaan senior yang
disingkat SOx.

Dengan semakin banyaknya perhatian publik akan perlunya praktik etika yang kuat, banyak perusahaan
telah menunjuk seorang perwira etika untuk memulai sebuah inisiatif bersama dengan kode etik sebagai
langkah awal. SOx telah membawa kode etik perusahaan ke tingkat yang baru. Ini tidak menentukan isi
kode etik perusahaan-lebar dan berfokus pada kebutuhan standar-standar ini untuk diajukan ke perwira
senior. SOx secara khusus mensyaratkan bahwa kode etik atau perilaku petugas senior perusahaan
harus dipromosikan secara wajar:

Perilaku jujur dan etis, termasuk penanganan konflik kepentingan aktual atau nyata antara
hubungan pribadi dan profesional
Pengungkapan penuh, adil, akurat, tepat waktu, dan mudah dimengerti dalam laporan
keuangan perusahaan
Kepatuhan terhadap peraturan dan peraturan pemerintah yang berlaku

Jika perusahaan memiliki kode etik, manajemen harus memastikan bahwa hal itu berlaku untuk semua
anggota perusahaan, konsisten dengan SOx, dan peraturan etis ini dikomunikasikan ke semua anggota
perusahaan, termasuk manajer senior. Suatu perusahaan harus memastikan bahwa kode etik yang ada
mencakup peraturan SOx, yang telah dikomunikasikan ke manajemen senior, dan bahwa petugas
tersebut telah setuju untuk menaatinya. Sementara peraturan kepatuhan SOx dibuat hanya untuk
perwira senior, ini adalah waktu yang ideal untuk meluncurkan fungsi etika (dibahas di Bab 24) di
seluruh perusahaan yang berlaku bagi manajemen senior dan semua karyawan. Fungsi etika yang kuat
harus dipromosikan di seluruh perusahaan dan tidak hanya sebagai persyaratan hukum SOx.

(iv) JUDUL LAIN IV DIPERLUKAN YANG DIPERLUKAN Semua entitas yang terdaftar SEC wajib mengajukan
Formulir 10K tahunan serta laporan keuangan SEC lainnya. Perusahaan penerbit mengajukan laporan
tersebut mengantisipasi tinjauan SEC secara terperinci; sidang yang mengarah ke SOx, bagaimanapun,
mengungkapkan bahwa ulasan SEC ini tidak selalu tepat waktu atau komprehensif. Bagian 408
mengamanatkan SEC untuk melakukan "ulasan yang disempurnakan" dari pengungkapan yang termasuk
dalam semua pengajuan perusahaan secara reguler dan sistematis, dan tidak kurang dari satu kali setiap
tiga tahun sekali. SEC dapat memutuskan untuk melakukan tinjauan pengungkapan yang disempurnakan
sesegera mungkin atau menunggu untuk menjadwalkan peninjauan melalui jendela tiga tahun. Tinjauan
yang disempurnakan ini dapat dipicu oleh salah satu dari situasi berikut:

Korporasi telah mengeluarkan penyajian ulang atas hasil finansialnya.

Telah terjadi volatilitas harga saham yang signifikan dibandingkan dengan yang lain.
Korporasi memiliki kapitalisasi pasar yang besar.
 Ini adalah perusahaan yang muncul dengan perbedaan yang signifikan dalam rasio harga saham
terhadap pendapatan.
Operasi perusahaan secara signifikan mempengaruhi sektor material ekonomi nasional.
Faktor lain yang mungkin dianggap penting oleh SEC.

Intinya, SEC dapat menjadwalkan review pengungkapan yang diperluas untuk perusahaan ukuran
Fortune 500 besar, pemimpin di beberapa sektor ekonomi, atau di mana harga saham berada di luar
rentang rata-rata. Tentu saja, dengan pertimbangan "faktor lain", hampir semua perusahaan berpotensi
beralih ke daftar teratas untuk tinjauan diperpanjang semacam itu.

Secara umum, peraturan ini mengatakan bahwa perusahaan harus siap untuk mengajukan pengajuan
publik mereka untuk ditinjau oleh SEC lebih teliti dan sering daripada di masa lalu. Pengungkapan
laporan keuangan ini termasuk dalam bagian MD & A dari laporan 10K perusahaan. Pelaporan ini
mencakup berbagai isu, termasuk transaksi dengan anak perusahaan yang tidak terafiliasi atau aktivitas
perdagangan derivatif.

Bagian Title IV terakhir, 409, mengamanatkan bahwa perusahaan harus mengungkapkan "secara cepat
dan terkini" setiap informasi tambahan yang berisi masalah laporan keuangan material. Suatu
perusahaan dapat mencakup pendekatan pelaporan tren dan kuantitatif serta grafis untuk
pengungkapan tersebut. Ini adalah perubahan dari format laporan SEC tradisional, yang hanya
mengizinkan teks dan logo perusahaan. Idenya adalah untuk mendapatkan data kunci kepada investor
sesegera mungkin, bukan melalui laporan berbasis kertas yang lambat. Bagian 409 menunjuk pada
konsep penutupan keuangan real-time yang segera bisa menjadi kenyataan bagi banyak perusahaan.

(e) Judul V: Analis Konflik Kepentingan

Judul SOx dan bagian selanjutnya lainnya tidak secara langsung mencakup pelaporan keuangan, tata
kelola perusahaan, komite audit, atau masalah audit eksternal atau internal namun dirancang untuk
memperbaiki kesalahan persepsi lainnya yang dihadapi selama audiensi kongres SOx. Judul V dirancang
untuk memperbaiki beberapa analis sekuritas. Investor mengandalkan rekomendasi analis sekuritas
selama bertahun-tahun, namun seringkali para analis ini terkait dengan rumah pialang besar, dan
menganalisa dan merekomendasikan sekuritas kepada investor dan pemberi kerja lembaga keuangan
mereka. Mengenai sekuritas dimana atasan mereka memiliki kepentingan, seharusnya ada pemisahan
tanggung jawab yang kuat antara orang-orang yang merekomendasikan saham untuk investasi dan yang
menjualnya kepada investor. Dalam hiruk-pikuk gelembung dot-com akhir dasawarsa 1990-an, analis
tradisional ini mengendalikan dan menerapkan praktik etis. Seiring dengan turunnya pasar, analis
terkadang merekomendasikan saham yang tampaknya hanya karena atasan bank investasi mereka
mengelola penawaran umum perdana (initial public offering / IPO). Selain itu, para peneliti menemukan
analis secara terbuka merekomendasikan saham kepada investor sebagai "peluang pertumbuhan yang
besar" sekaligus memberi tahu rekan-rekan investasi perbankan mereka bahwa investasinya sangat
buruk atau buruk.

Penyalahgunaan cara ini ada dalam banyak situasi. Sementara analis investasi pernah mengandalkan
standar profesional self-governing mereka sendiri yang kuat, audiensi SOx mengungkapkan bahwa analis
sekuritas terkemuka mengabaikan banyak standar yang sama ini. Judul V mencoba memperbaiki
kesalahan ini. SOx telah mereformasi dan mengatur praktik analis sekuritas. Aturan perilaku telah
ditetapkan dengan hukuman hukum atas pelanggaran. Hasilnya harus lebih baik diinformasikan para
investor.

(f) Judul VI sampai X: Akuntabilitas Penipuan dan Kejahatan Kerah Putih

Judul-judul SOx ini mencakup isu-isu mulai dari pendanaan alokasi SEC hingga rencana studi masa
depan, dan ini mencakup peraturan baru untuk memperketat apa yang telah dilihat sebagai celah
peraturan masa lalu. Di antaranya, SEC sekarang dapat melarang orang mempromosikan atau
memperdagangkan saham penny karena kesalahan SEC sebelumnya atau dapat menghalangi seseorang
untuk berlatih sebelum SEC karena perilaku profesional yang tidak benar. Aturan yang terakhir memberi
SEC wewenang untuk secara efektif melarang sebuah firma akuntan publik bertindak sebagai auditor
eksternal untuk perusahaan.

Larangan pelanggaran profesional SEC ini bisa menjadi hukuman besar bagi kantor akuntan publik atau
BPA individual yang ternyata telah melanggar standar akuntansi publik profesional atau etika. Meskipun
SOx menguraikan proses dengar pendapat sebelum tindakan diambil, CPA individual atau keseluruhan
perusahaan dapat dilarang untuk sementara atau selamanya. Proses pemantauan dan pemolisian telah
diambil dari proses peer review AICPA di masa lalu dan diberikan kepada SEC. Sementara CPA lalai
individu masih dapat bekerja di area praktik non-SEC, seperti akuntansi usaha kecil atau audit internal,
bahkan larangan sementara dapat menjadi ujian kematian bagi BPA praktik atau kantor akuntan publik.
Semua yang bersangkutan harus sadar dan mengikuti peraturan dan prosedur SEC, terutama perangkat
baru yang diberi wewenang oleh SOx ini.

Judul SOx VIII dan IX tampaknya sangat bereaksi terhadap kegagalan Enron dan kematian Arthur
Andersen berikutnya. Kami telah menyoroti beberapa peristiwa seputar keruntuhan Enron, termasuk
keyakinan awal Arthur Andersen karena penghancuran catatan akuntansi Enron. Pada saat itu, meskipun
Andersen tampak sangat bersalah atas usaha besar untuk memecahkan rekor akuntansi perusahaan,
Andersen pada awalnya berargumen bahwa ini hanya mengikuti prosedur yang telah ditetapkan dan
tidak melakukan kesalahan apapun. Pengadilan akhirnya menemukan Andersen tidak bersalah atas
persekongkolan kriminal, namun perusahaan tersebut sudah tidak ada lagi. Judul VIII dari SOx telah
menetapkan peraturan dan hukuman khusus untuk penghancuran catatan audit perusahaan.

Kata-kata dalam undang-undang berlaku untuk semua auditor dan akuntan, termasuk auditor internal.
Mereka sangat kuat mengenai penghancuran, perubahan, atau pemalsuan catatan yang terlibat dalam
penyelidikan federal atau kebangkrutan: "Barangsiapa dengan sengaja mengubah, menghancurkan,
memutilasi, menyembunyikan, menutupi, memalsukan atau membuat kesalahan masuk dalam
rekaman, dokumen, atau benda berwujud dengan maksud untuk menghalangi, menghalangi, atau
mempengaruhi penyelidikan ... harus didenda ... atau dipenjara tidak lebih dari 20 tahun, atau
keduanya. "Kata-kata yang kuat diambil langsung dari undang-undang tersebut! Dengan kata lain, setiap
perusahaan harus memiliki kebijakan penyimpanan catatan yang kuat. Meskipun catatan dapat
dihancurkan dalam siklus bisnis normal, beberapa petunjuk penyelidikan federal atau pengajuan surat-
surat kebangkrutan untuk beberapa unit afiliasi harus memicu aktivasi kebijakan penyimpanan catatan
tersebut.
Bagian terpisah dari bagian ini menetapkan peraturan untuk catatan audit perusahaan. Pekerjaan dan
bahan penunjang penunjang harus dipelihara untuk jangka waktu lima tahun sejak akhir tahun anggaran
audit. SOx dengan jelas menyatakan bahwa peraturan ini berlaku untuk "setiap akuntan yang melakukan
audit" dari perusahaan yang terdaftar di SEC. Dulu, auditor internal terkadang berpendapat bahwa
mereka hanya melakukan audit operasional yang tidak berlaku untuk proses audit keuangan formal;
Namun demikian, kelompok audit internal yang hati-hati harus menyelaraskan peraturan retensi catatan
amplasnya agar sesuai dengan mandat lima tahun SOx ini.

Beberapa bagian dari judul SOX yang tersisa di sini dirancang untuk memperketat beberapa peraturan
yang ada, kadang-kadang dipandang sebagai ekses. Salah satu kelebihan tersebut adalah perwira
perusahaan mendapatkan pinjaman besar dari dewan direksi berdasarkan manipulasi dan kinerja saham
yang kemudian dianggap tidak tepat. Dewan direksi secara teratur memaafkan pinjaman tersebut
setelah beberapa saat. Sekarang SOx menyatakan bahwa hutang yang terjadi dalam pelanggaran hukum
penipuan efek tidak dapat dimaafkan atau dilepaskan. Eksekutif-sekarang mungkin mantan eksekutif-
yang menerima pinjaman yang diampuni berkewajiban membayar perusahaan tersebut. Bagian lain
memperpanjang undang-undang pembatasan pelanggaran hukum sekuritas. Sekarang tindakan hukum
dapat diajukan paling lambat dua tahun setelah penemuan atau lima tahun setelah pelanggaran
tersebut. Karena kecurangan sekuritas bisa memakan waktu lama untuk menemukan, perubahan ini
memberi jaksa sedikit waktu lagi.

Pedoman Penghukuman Organisasional adalah daftar denda perusahaan yang diterbitkan karena
melanggar undang-undang federal tertentu. Jika suatu perusahaan dinyatakan bersalah, hukuman atau
hukuman dapat dikurangi jika ada program etika yang seharusnya mengurangi kemungkinan terjadinya
pelanggaran tersebut. Sementara konsep dasar pedoman hukuman masih berlaku, SOx memodifikasi
mereka untuk memasukkan penghancuran atau perubahan dokumen sebagai pelanggaran.

Bagian 806 menambahkan perlindungan whistleblower bagi karyawan perusahaan publik yang
mengamati dan mendeteksi beberapa tindakan penipuan dan kemudian melaporkannya secara
independen ke SEC atau beberapa pihak luar lainnya. Oleh karyawan, kami berarti petugas, kontraktor,
atau agen. Setiap orang yang melakukan tindakan ilegal dapat meniup peluit dan melaporkan tindakan
tersebut dengan perlindungan hukum dari pembalasan. Aturan whistleblower SOx mencakup
pelanggaran undang-undang sekuritas dan tidak memasukkan ketentuan dalam peraturan
whistleblower kontrak federal lainnya, di mana orang yang melaporkan pelanggaran dapat menerima
beberapa persentase dari pemulihan yang dilaporkan.

Bagian VIII Bagian 807 mendefinisikan hukuman pidana bagi pemegang saham perusahaan publik, yang
menyatakan bahwa siapa pun yang mengeksekusi atau mencoba menjalankan skema untuk menipu
setiap orang yang terkait dengan sekuritas perusahaan atau secara curang menerima uang atau harta
dari penjualan itu "harus didenda atau dipenjara lebih dari 25 tahun atau keduanya. "Ini adalah potensi
penalti yang kuat untuk kecurangan sekuritas. Judul IX kemudian melewati hukuman hukum pidana
kerah putih yang ada dan menimbulkan hukuman maksimal. Misalnya, pemenjaraan maksimal untuk
penipuan surat telah berkembang dari 5 tahun menjadi 20; denda maksimum untuk pelanggaran juga
meningkat. Tuduhan yang meningkat ini ditambah dengan ketentuan Pedoman Penghukuman
Organisasional menciptakan lingkungan di mana semakin banyak orang yang terbukti bersalah karena
kejahatan kerah putih mungkin harus menghabiskan waktu di penjara.
Akhirnya, Bagian 906 dari SOx Judul IX berisi persyaratan bahwa CEO dan CFO harus menandatangani
sebuah pernyataan tambahan dengan laporan keuangan tahunan mereka yang menyatakan bahwa
informasi yang terdapat dalam laporan "secara adil mewakili, dalam semua hal yang material, kondisi
keuangan dan hasil operasi . "Sertifikasi pribadi ini memiliki denda denda sampai $ 5 juta dan 10 tahun
penjara bagi siapa saja yang mengesahkan pernyataan tersebut saat mengetahui hal itu salah. Karena ini
adalah hukuman pribadi, CEO dan CFO yang berhati-hati harus sangat berhati-hati untuk memastikan
bahwa semua masalah teratasi dan bahwa laporan keuangan tahunan benar dan sepenuhnya mewakili
operasi. Judul X kemudian merupakan komentar "rasa senat" bahwa pengembalian pajak penghasilan
badan harus ditandatangani oleh CEO. Sekali lagi, tanggung jawab ditempatkan pada perwira individu,
bukan entitas perusahaan anonim.

(g) Judul XI: Akuntabilitas Penipuan Perusahaan

Sementara bagian SOx sebelumnya berfokus pada tanggung jawab masing-masing CEO, CFO, dan
lainnya, judul SOx terakhir ini mencakup tanggung jawab perusahaan atas pelaporan keuangan yang
tidak benar. Disini SEC diberi wewenang untuk memberlakukan pembekuan sementara atas pengalihan
dana perusahaan ke petugas dan pihak lain di perusahaan yang tunduk pada penyelidikan SEC. Gelar ini
diberlakukan untuk memperbaiki pelanggaran yang dilaporkan di mana beberapa perusahaan yang
diselidiki karena kecurangan finansial sekaligus memberikan pembayaran tunai yang besar kepada
individu. Korporasi yang bermasalah harus mempertahankan sejumlah dana sampai masalah teratasi.

Bagian 1105 juga memberi SEC wewenang untuk melarang orang-orang yang telah melanggar peraturan
SOX tertentu dari jabatan sebagai perwira dan direktur perusahaan. Sementara larangan itu tidak
otomatis, SEC memiliki wewenang untuk memaksanya bila sesuai. Idenya adalah untuk menghukum
pelaku korporasi yang terbukti melakukan pelanggaran hukum sekuritas di satu perusahaan dan
membiarkan perusahaan bermasalah tersebut untuk melayani perusahaan lain.

4.2 Melakukan Bagian 404 Tinjauan di bawah AS 5

Bagian 4.1 merangkum isi dan persyaratan peraturan SOx. Ini adalah undang-undang yang penting, dan
setiap auditor internal harus memiliki pemahaman umum tentang isinya, persyaratan CBOK. Melampaui
hanya pemahaman umum ini, SOX's Section 404 tentang tinjauan pengendalian akuntansi internal harus
mendapat perhatian dan pemahaman audit paling internal. Pada Bagian 404, perusahaan bertanggung
jawab untuk mengkaji, mendokumentasikan, dan menguji pengendalian akuntansi internalnya sendiri,
dengan hasil peninjauan tersebut disampaikan kepada auditor eksternal perusahaan yang dituntut
kemudian mengkaji dan membuktikan pekerjaan tersebut sebagai bagian dari audit mereka terhadap
laporan keuangan yang dilaporkan. Ketika SOx pertama kali menjadi undang-undang, Bagian 404 ulasan
merupakan titik tolak utama bagi banyak perusahaan karena auditor eksternal mengikuti prosedur audit
akuntansi keuangan yang ditetapkan dalam Standar Auditing PCAOB No. 2 (AS 2). Standar audit ini
memerlukan ulasan yang sangat rinci yang tidak memungkinkan terjadinya kesalahan atau kelalaian
kecil. Filosofi dalam panduan adalah bahwa kesalahan adalah kesalahan, tidak peduli seberapa besar
atau kecilnya.
Mulai pertengahan tahun 2007, peraturan audit Bagian 404 ini diubah dengan dikeluarkannya AS 5,
pendekatan audit berbasis risiko yang juga memungkinkan auditor eksternal untuk lebih menggunakan
pekerjaan auditor internal dalam penilaian mereka. Bagian ini memberikan ringkasan peraturan Bagian
404 dan membahas pendekatan untuk melakukan tinjauan dengan menggunakan pendekatan berbasis
risiko AS 5. Selain itu, kami melihat pendekatan untuk terus mendukung dokumentasi SOx Section 404
yang terbaru. Aturan SOx mengharuskan dokumentasi pengendalian internal harus diperbarui secara
berkelanjutan, namun persyaratan penting ini juga sering tergores di antara celah-celah. Proses bisnis
dan auditor internal perlu memahami peraturan Bagian 404 dan mengambil langkah-langkah untuk
menjaga kepatuhan perusahaan mereka. Aturan-aturan ini mempengaruhi kedua perusahaan yang telah
mencapai kepatuhan SOx pada periode sebelumnya dan peraturan yang sekarang hanya memenuhi
persyaratan pendaftaran.

(a) Bagian 404 Penilaian Pengendalian Internal Hari Ini

Manajemen memiliki tanggung jawab terus menerus untuk merancang dan menerapkan pengendalian
internal atas operasi perusahaan mereka. Meskipun standar untuk apa yang merupakan kontrol internal
yang baik tidak selalu didefinisikan dengan baik di masa lalu, namun tetap merupakan konsep
manajemen yang mendasar. SOx Bagian 404 mensyaratkan penyusunan laporan pengendalian internal
tahunan sebagai bagian dari laporan tahunan 10 perusahaan SEC yang dimandatkan. Selain laporan
keuangan dan pengungkapan 10K lainnya, Bagian 404 persyaratan meminta dua elemen informasi di
masing-masing 10K ini:

1. Pernyataan manajemen formal yang mengakui tanggung jawab perusahaan untuk menetapkan dan
memelihara struktur dan prosedur pengendalian internal yang memadai untuk pelaporan keuangan

2. Suatu penilaian, pada akhir tahun fiskal terakhir, efektivitas struktur pengendalian internal
perusahaan dan prosedur pelaporan keuangan

Selain itu, perusahaan audit eksternal yang mengeluarkan laporan audit pendukung wajib mengkaji dan
melaporkan penilaian manajemen terhadap pengendalian keuangan internal. Sederhananya,
manajemen diwajibkan untuk melaporkan kualitas pengendalian internnya, dan firma akuntan publiknya
harus melakukan audit atau membuktikan bahwa manajemen tersebut mengembangkan laporan
pengendalian internal disamping audit laporan keuangan normal. Manajemen selalu bertanggung jawab
untuk menyiapkan laporan keuangan berkala; Auditor eksternal mengaudit jumlah keuangan tersebut
dan bersertifikat bahwa mereka dinyatakan secara wajar. Dengan SOx Section 404, manajemen
sekarang bertanggung jawab untuk mendokumentasikan dan menguji pengendalian keuangan internal
serta melaporkan efektivitasnya. Auditor eksternal kemudian meninjau kembali materi pendukung yang
mengarah pada laporan kontrol keuangan internal untuk menyatakan bahwa laporan tersebut
merupakan deskripsi akurat tentang lingkungan pengendalian internal.

Bagi nonauditor, ini mungkin tampak sebagai persyaratan yang tidak jelas atau hampir sepele. Bahkan
beberapa auditor internal yang terutama melakukan audit operasional mungkin bertanya-tanya tentang
nuansa dalam proses ini. Namun, laporan audit mengenai status pengendalian internal telah menjadi isu
yang terus berlanjut dan mendidih di antara komunitas akuntan publik, SEC, dan pihak-pihak lain yang
berkepentingan akan kembali ke setidaknya 1974. Sebagian besar masalahnya adalah bahwa tidak ada
definisi yang diakui untuk istilah kontrol internal. Pelepasan kerangka kontrol internal Komite
Sponsoring Organizations (COSO) pada tahun 1992 menetapkan standar yang diterima untuk memahami
pengendalian internal. Di bawah SOx Bagian 404, manajemen diharuskan melaporkan kecukupan
pengendalian internalnya; auditor eksternal membuktikan laporan pengendalian internal yang
dikembangkan oleh manajemen.

Proses ini mengikuti pengendalian internal dasar mengenai pentingnya menjaga pemisahan tugas di
mana orang yang mengembangkan transaksi seharusnya bukan orang yang menyetujuinya. Berdasarkan
prosedur Bagian 404, perusahaan membangun dan mendokumentasikan proses pengendalian
internalnya sendiri; maka pihak independen, seperti audit internal, meninjau dan menguji kontrol
internal yang sama; dan akhirnya auditor eksternal meninjau dan membuktikan kecukupan keseluruhan
proses ini. Prosedur audit eksternal akan didasarkan pada pengendalian internal ini. Proses Bagian 404
memperbaiki hal-hal dari hari-hari pra-SOx ketika auditor eksternal sering membuat,
mendokumentasikan, dan kemudian mengaudit kontrol internal mereka sendiri - pemisahan tugas yang
gagal.

(b) Meluncurkan Kajian Kepatuhan Bagian 404

(i) MENGIDENTIFIKASI PROSES KUNCI Setiap perusahaan menggunakan serangkaian proses untuk
menjalankan kegiatan usahanya secara normal. Beberapa mungkin diwakili oleh sistem teknologi
otomatis atau teknologi informasi (TI), yang lain terutama prosedur manual yang dilakukan secara
reguler, sementara yang lain adalah kombinasi otomatis dan manual. Proses ini umumnya
dipertimbangkan dalam hal siklus akuntansi dasar dan mencakup:

Siklus pendapatan Proses yang berhubungan dengan penjualan atau pendapatan lainnya ke
perusahaan.
Siklus pengeluaran langsung Meliputi pengeluaran biaya produksi material atau langsung.
Siklus pengeluaran tidak langsung Meliputi biaya operasi yang tidak dapat dikaitkan langsung
dengan aktivitas produksi namun diperlukan untuk keseluruhan operasi bisnis.
Siklus penggajian Meliputi semua kompensasi personil.
Siklus persediaan Meskipun persediaan pada akhirnya akan diterapkan pada produksi sebagai
pengeluaran langsung, diperlukan proses khusus karena persediaan persediaan berbasis waktu
sampai diterapkan pada produksi.
Siklus aktiva tetap Properti dan peralatan memerlukan proses akuntansi yang terpisah, seperti
akuntansi penyusutan berkala dari waktu ke waktu.
Siklus TI Umum Meliputi kontrol TI yang umum atau berlaku untuk semua operasi TI.

Kami membahas proses yang sama di Bab 7 dalam konteks perencanaan dan pelaksanaan audit internal
yang efektif. Identifikasi proses kunci adalah langkah kepatuhan Bagian 404 awal. Gambar 4.4
menjelaskan serangkaian proses kunci untuk contoh perusahaan distribusi. Proses adalah istilah yang
sering digunakan tanpa terlalu memikirkan maknanya. Suatu proses adalah tindakan tertentu yang
dimaksudkan untuk mencapai suatu hasil, seperti proses individu untuk mendapatkan SIM. Ini adalah
serangkaian tindakan yang memiliki titik awal yang jelas, langkah operasional yang konsisten, dan titik
keluaran yang ditetapkan. Kami menyebut serangkaian tindakan ini sebagai proses karena merupakan
serangkaian langkah yang dapat diulang dan diikuti secara konsisten. Langkah kepatuhan pertama di sini
adalah mendokumentasikan, memahami, dan menguji proses kunci. Selama tahun-tahun pertama SOx,
banyak perusahaan - seringkali dengan dorongan dari auditor eksternal mereka - berusaha untuk
mendefinisikan setiap proses. Tidak ada panduan untuk menghilangkan yang kurang berisiko. AS 5 telah
menetapkan tingkat kewajaran di sini.

EXHIBIT 4.4 Proses Kunci untuk Sampel Perusahaan Distribusi

1. Manajemen pesanan pembelian. Proses harus ada untuk membeli atau membeli barang untuk
didistribusikan.

2. Manajemen persediaan. Setelah barang dibeli, proses dibutuhkan untuk mengelolanya dalam
persediaan sebelum didistribusikan ke pelanggan.

3. Manajemen gudang. Proses harus dilakukan untuk menyimpan persediaan produk di fasilitas yang
aman dan terorganisir dengan baik, dengan subproses untuk inspeksi dan penempatan barang.

4. Permintaan perencanaan. Suatu perusahaan membutuhkan proses untuk mengetahui bagaimana

pelanggan akan menuntut produk yang ada dan yang baru. Ini mungkin termasuk proses berbasis
pemasaran termasuk survei pelanggan.

5. Proses pemesanan. Apakah berbasis komputer atau berbasis kertas, proses harus ada untuk
menerima pesanan baru, menyetujui riwayat kredit pelanggan, dan memilih dan memenuhi pesanan
yang diterima.

6. Pengiriman dan penerimaan. Proses harus ada untuk dikirim ke pelanggan sekaligus untuk
memeriksa dan menerima barang pesanan masuk.

7. Manajemen logistik. Proses dibutuhkan untuk pengaturan pengiriman khusus, pergerakan barang
antar fasilitas gudang, dan pengaturan lainnya.

8. Penagihan dan faktur. Setelah pesanan diterima dan dikirim, proses diperlukan untuk menagih
pelanggan untuk pembayaran dan kemudian mengelola akun tersebut.

9. Sistem akuntansi. Di luar piutang, perusahaan memerlukan proses akuntansi dan keuangan untuk
semua fungsi akuntingnya.

10. Sistem informasi. Proses dibutuhkan untuk semua aspek operasi TI, termasuk perancangan layanan
TI, operasi layanan, penyampaian semua aspek layanan TI, dan proses perbaikan TI secara terus-
menerus.

11. Sumber daya manusia. Proses dibutuhkan untuk mengelola semua orang yang terkait dengan
perusahaan distribusi, termasuk kompensasi, tunjangan, pajak terkait, dan semua persyaratan hukum
legislatif berbasis sumber daya manusia.

12. Audit internal. Fungsi audit internal yang efektif sangat dibutuhkan.

Audit internal seringkali bisa menjadi bantuan utama di sini. Bagi banyak perusahaan, audit internal
mungkin sudah menentukan proses kunci melalui perencanaan dan dokumentasi audit tahunannya.
Daftar proses semacam itu harus dikembangkan untuk dijadikan dasar untuk meluncurkan serangkaian
tinjauan pengendalian internal untuk perusahaan tersebut.

(ii) PERAN AUDIT INTERNAL Kecuali larangan SOx terhadap perusahaan audit eksternal untuk melakukan
layanan audit internal untuk klien audit, undang-undang SOX asli hanya berisi sedikit referensi khusus
untuk audit internal. Namun demikian, audit internal telah menjadi sumber penting di banyak
perusahaan saat ini untuk menyelesaikan pemeriksaan pengendalian internal Bab 404. Di bawah SOx,
fungsi terpisah dan independen dalam audit internal perusahaan-seringkali internal-audit dan
mendokumentasikan kontrol internal yang mencakup proses kunci, mengidentifikasi titik kontrol kunci,
dan kemudian menguji kontrol yang diidentifikasi tersebut. Audit eksternal kemudian meninjau ulang
yang bekerja dan membuktikan kecukupannya. Bagi banyak perusahaan, audit internal telah menjadi
sumber utama untuk melakukan tinjauan pengendalian internal ini. Ketika SOx pertama kali menjadi
undang-undang, fungsi audit internal sering menjauhkan diri dari Bagian 404 ulasan karena konflik
independensi auditor internal namun sesuai dengan standar profesional IIA. Perubahan dalam standar
IIA (dibahas di Bab 8) sekarang memungkinkan auditor internal bertindak sebagai konsultan untuk
membantu mendokumentasikan dan menetapkan proses pengendalian internal yang efektif. Peran
audit internal dalam Bagian 404 ulasan dapat mengambil tiga bentuk:

1. Auditor internal dapat bertindak sebagai konsultan internal untuk perusahaan dengan
mengidentifikasi proses utama, mendokumentasikan pengendalian internal mereka, dan melakukan tes
kontrol yang sesuai. Pekerjaan peninjauan ini akan tunduk pada persetujuan manajemen untuk
pengesahan selanjutnya oleh audit eksternal.

2. Auditor internal dapat mengkaji dan menguji proses pengendalian internal yang serupa dengan
tinjauan audit internal normal mereka namun bertindak sebagai asisten atau kontraktor untuk auditor
eksternal. Perusahaan dapat menunjuk sumber konsultasi lain di dalam atau di luar untuk melakukan
tinjauan Bagian 404, dan audit internal akan bertindak sebagai sumber untuk mendukung auditor
eksternal dalam meninjau hasil kerja Bagian 404. Pendekatan ini diperbolehkan berdasarkan peraturan
AS 5 yang memungkinkan auditor eksternal mengandalkan materi audit internal.

3. Audit internal dapat bekerja dengan dan membantu sumber daya perusahaan lainnya, baik internal
maupun eksternal, yang melakukan tinjauan Bagian 404 namun tidak terlibat langsung dengan ulasan
tersebut, baik sebagai auditor internal independen atau sebagai agen untuk perusahaan audit eksternal.
Pendekatan ini memungkinkan audit internal mencurahkan lebih banyak waktu dan sumber daya ke
proyek audit internal lainnya. Ini mungkin juga satu-satunya alternatif untuk fungsi audit internal yang
sangat kecil.

CAE, manajemen keuangan, dan komite audit harus bekerja sama dengan auditor eksternal perusahaan
untuk menentukan tanggung jawab atas tinjauan pengendalian internal Bagian 404 ini. Dalam beberapa
kasus, dapat diputuskan bahwa hal itu paling efisien untuk sumber daya selain audit internal untuk
bertindak sebagai asisten auditor eksternal untuk melakukan Bagian 404 ini. Audit eksternal mungkin
membuat pengaturan dengan audit internal untuk meninjau dan menilai kecukupan pengendalian
internal. Dalam situasi ini, audit internal akan bekerja untuk audit eksternal dalam meninjau dan
membuktikan hasil tinjauan pengendalian internal namun tidak akan melakukan tinjauan sebenarnya.
Seperti disebutkan, jenis pengaturan ini akan memberi audit internal peran penting dalam membantu
audit eksternal dalam mencapai tujuan penelaahan Bagian 404. Sisi negatif dari pengaturan ini adalah
bahwa konsultan yang ditugaskan mungkin tidak memiliki waktu, sumber daya, atau pengetahuan
proses untuk melakukan penilaian ini.

Proses ini sering bekerja paling baik bila perusahaan memiliki fungsi audit internal lainnya, seperti fungsi
penjaminan mutu atau penilaian risiko yang kuat, yang dapat meninjau, mendokumentasikan, dan
menguji proses pengendalian internal.

Terkadang pendekatan pertama kita adalah yang terbaik. Audit internal melakukan pekerjaan
peninjauan untuk pengelolaan keuangan perusahaan untuk penilaian berikutnya namun terpisah dan
independen oleh auditor eksternal. Sisi positif dari pengaturan ini adalah bahwa audit internal seringkali
merupakan sumber daya perusahaan terbaik dan paling berkualitas untuk melakukan tinjauan ini. Ini
memahami kontrol internal dan teknik dokumentasi yang baik. Meskipun pengaturan ini melibatkan
lebih banyak sumber daya audit eksternal, ini mungkin cara yang efektif untuk menyelesaikan
persyaratan tinjauan Bagian 404 ini, namun semua pihak harus mengenali peran dan tanggung jawab
mereka.

Baik untuk pertama kalinya atau untuk pembaruan berkelanjutan, Bagian 404 ulasan merupakan proses
tahunan, dan audit internal dapat mengubah strategi peninjauannya selama bertahun-tahun.
Dokumentasi yang disiapkan dan diuji pada tahun pertama hanya perlu diperbaharui dan diuji ulang di
masa depan. Perusahaan tidak harus menggunakan strategi yang sama setiap tahun; Namun, perubahan
selalu menghasilkan peningkatan biaya dan pendekatan penghubung ulang waktu yang dihabiskan.
Semua pihak harus mengembangkan pendekatan biaya-efektif untuk mencapai persyaratan SOx ini.
Sementara kita sekarang mengambil pendekatan berbasis risiko lebih banyak di bawah AS 5, persyaratan
SOx Section 404 dasar tidak berubah.

(iii) MEMASUKKAN PROYEK Bagian 404 kepatuhan menempatkan tantangan besar pada perusahaan
yang terdaftar SOx. Meskipun perusahaan telah mengevaluasi pengendalian internalnya dengan
menggunakan kerangka pengendalian internal COSO, namun beberapa perusahaan harus
mendokumentasikan lingkungan pengendalian internalnya. Pendekatan AS 5 berbasis risiko yang lebih
ke SOx hari ini sering membuat proyek agak mudah. Entah di tahun pertama atau secara terus menerus,
audit internal dapat memainkan peran utama dalam membantu manajemen senior untuk siap
memenuhi kepatuhan Bagian 404. Berdasarkan standar audit internal yang dibahas di Bab 8, audit
internal harus merekomendasikan perbaikan pengendalian internal karena proses baru sedang
dikembangkan atau secara terpisah bertindak sebagai konsultan untuk menginstal proses pengendalian
internal yang baru.

Apakah dilakukan oleh audit internal atau pihak independen, Bagian 404 tinjauan kepatuhan
memerlukan proyek formal berdasarkan pendekatan manajemen proyek yang dibahas di Bab 14.
Perusahaan publik yang terdaftar SOx yang lebih besar saat ini telah melalui beberapa putaran
pekerjaan kepatuhan SOx. Banyak entitas yang lebih kecil atau asing tidak. Jumlah usaha yang
dibutuhkan untuk pendaftar baru didasarkan pada kekuatan dan kecanggihan proses pengendalian
internal suatu perusahaan namun harus mengikuti delapan langkah berikut:
Langkah 1: Mengatur pendekatan proyek kepatuhan Bagian 404. Tetapkan tim proyek untuk memimpin
usaha. Seorang eksekutif senior, seperti CFO, harus bertindak sebagai sponsor proyek dengan tim
sumber daya internal dan eksternal untuk berpartisipasi dalam usaha tersebut. Peran, tanggung jawab,
dan persyaratan sumber daya harus diestimasi juga. Audit internal sering kali mengambil tanggung
jawab utama di sini.

Langkah 2: Kembangkan rencana proyek. Proyek kepatuhan pengendalian internal harus berjalan
dengan baik sebelum akhir tahun keuangan. Sementara rencana yang ada bisa diperbaharui di tahun-
tahun berikutnya, akan ada tantangan besar dan krisis waktu untuk tahun-tahun sebelumnya. Rencana
tersebut harus berfokus pada area operasi perusahaan yang signifikan dan mencakup semua unit bisnis
yang signifikan. Meskipun ada banyak variasi rencana di sini, Exhibide 4.5 menguraikan pertimbangan
perencanaan untuk tinjauan kepatuhan Bagian 404. Langkah kerja yang dijelaskan di sini pada tingkat
tinggi. Tim harus mengembangkan dokumen rencana terperinci untuk memulai tinjauan kontrol
keuangan SOx Section 404.

Langkah 3: Pilih proses kunci untuk ditinjau. Setiap perusahaan bergantung pada berbagai macam
proses keuangan dan operasional, namun beberapa proses memiliki risiko lebih besar daripada yang
lainnya. Sistem penggajian, misalnya, hampir selalu merupakan serangkaian rutinitas otomatis dan
manual yang memerlukan waktu dan data kehadiran dan menghasilkan cek gaji atau transfer tunai ke
rekening giro pegawai. Total proses penggajian jauh lebih besar dan mencakup langkah-langkah yang
diperlukan untuk menambah karyawan, meningkatkan biaya proses, dan berkomunikasi dengan sistem
akuntansi dan tunjangan. Ada banyak arus transaksi dalam keseluruhan proses ini. Namun, dengan
setiap karyawan secara teratur memeriksa kompensasinya sendiri, sebagian besar gaji sangat terkendali.

Audit internal dan / atau tim kepatuhan Bagian 404 perlu meninjau semua proses perusahaan dan
memilih yang berisiko lebih tinggi atau signifikan secara finansial. Seleksi harus berfokus pada proses
dimana ada risiko bahwa kegagalan dapat menyebabkan risiko keuangan atau operasional yang besar
bagi perusahaan. Proses ini kemudian harus diberi peringkat berdasarkan ukuran aset yang dikendalikan
dan tindakan lainnya, dengan pertimbangan keseluruhan diberikan pada risiko kegagalan mereka. Bagan
4.6 berisi beberapa faktor alternatif yang perlu dipertimbangkan untuk pemilihan proses kunci ini.
Misalnya, dalam mengajukan pertanyaan apakah perangkat lunak aplikasi dibeli atau dibangun di
rumah, perusahaan mungkin-dan mungkin sebaiknya-memutuskan bahwa perangkat lunak yang dibeli
sering memiliki risiko lebih rendah. Audit internal dapat membantu dalam mengembangkan prosedur
terdokumentasi untuk membenarkan mengapa satu proses lebih layak atau signifikan untuk tinjauan
terperinci daripada yang lain. Namun, perusahaan harus mengembangkan beberapa kriteria berisiko
karena beberapa proses telah atau belum dipilih untuk ditinjau. Pendekatan tersebut kemudian harus
diterapkan secara konsisten.

Langkah 4: Mendokumentasikan arus proses transaksi yang dipilih Langkah berikutnya dan penting
adalah menyiapkan dokumentasi arus transaksi untuk proses kunci yang dipilih. Jika dokumentasi telah
disiapkan sebelumnya sebagai bagian dari tinjauan pengendalian internal COSO, sebaiknya
didokumentasikan untuk menentukan apakah masih akurat. Dokumentasi bisa menjadi tantangan yang
lebih besar jika ini merupakan tinjauan SOx 404 yang pertama kali dan jika perusahaan tersebut tidak
pernah mendokumentasikan prosesnya. Ada berbagai protokol dokumentasi yang diterima, dan sebuah
tujuan harus memilih beberapa notasi yang mudah disiapkan dan diperbaharui serta mudah dipahami
oleh semua pihak yang berkepentingan. Dokumentasi harus menunjukkan arus transaksi utama dan titik
kontrol dengan cara yang dapat mendukungnya secara berkelanjutan. Notebook tiga cincin yang penuh
dengan dokumentasi proses nilainya kecil jika tidak pernah diperbarui. Perusahaan harus menetapkan
prosedur untuk memastikan bahwa semua perubahan pada sistem terdokumentasi sebelumnya
diperbarui bila diperlukan. Kelompok atau fungsi yang pada awalnya mendokumentasikan proses SOx ini
harus diberi tanggung jawab untuk mempertahankannya.

Dokumentasi bisa dilakukan sebagai deskripsi lisan, tapi biasanya paling baik menggunakan beberapa
jenis teknik flowcharting. Idenya adalah untuk menunjukkan masukan, keluaran, langkah proses, dan
keputusan kunci untuk setiap proses. Banyak pendekatan yang berbeda dapat digunakan, dan Bab 16
berisi beberapa contoh.

PILIHAN 4.5 Merencanakan Pertimbangan untuk Bagian 404 Tinjauan Pengendalian Internal

1. Tentukan status review. Apakah ini putaran pertama dari Bagian 404 ulasan untuk entitas dan tindak
lanjut tahun berikutnya?

2. Jika ada tinjauan baru, ikuti langkah-langkah kerja untuk memahami, mendokumentasikan, dan
menguji proses-proses kunci. Jika tidak, rencanakan untuk review periode berikutnya.

3. Meninjau ulang dokumentasi terperinci yang mencakup tinjauan Bagian 404 sebelumnya, termasuk
diagram alir proses, celah pengendalian internal yang diidentifikasi dan diperbaiki, dan dokumentasi
perencanaan proyek secara keseluruhan untuk tinjauan sebelumnya.

4. Tinjau peraturan PCAOB yang baru dipublikasikan yang mencakup bagian 404 ulasan dan perubahan
audit terkait, dan sesuaikan prosedur peninjauan untuk mencerminkan perubahan tersebut.

5. Bertemu dengan perusahaan audit eksternal yang bertanggung jawab atas pengesahan Bagian 404
saat ini dan tentukan apakah ada perubahan dalam dokumentasi dan pengujian filsafat, dengan
penekanan pada peraturan AS 5, dari tinjauan sebelumnya.

6. Pertimbangkan setiap perubahan organisasi sejak tinjauan terakhir, termasuk akuisisi atau
reorganisasi utama, dan modifikasi cakupan tinjauan, jika perlu.

7. Melalui pertemuan dengan manajemen senior dan TI, tentukan apakah sistem atau proses baru telah
diinstal selama periode yang lalu dan jika perubahan baru tersebut tercermin dalam dokumentasi yang
diperbarui.

8. Tinjau kembali kelemahan pengendalian internal yang diidentifikasi dalam tinjauan sebelumnya dan
menilai apakah koreksi pengendalian internal yang dilaporkan terinstal tampaknya berjalan dengan baik.

9. Menilai status dokumentasi Bagian 404 yang ada dan menentukan tingkat persiapan dokumentasi
baru yang diperlukan.

10. Dengan asumsi sebelum Bagian 404 tinjauan dilakukan oleh audit internal, tentukan bahwa sumber
daya terlatih yang sesuai tersedia untuk melakukan tinjauan yang akan datang.

11. Wawancara semua pihak yang terlibat dalam latihan tinjauan Bagian 404 sebelumnya untuk menilai
pelajaran apa pun yang dipelajari dan mengembangkan rencana tindakan perbaikan dalam tinjauan yang
akan datang.
12. Berdasarkan diskusi dengan auditor eksternal dan manajemen senior, tentukan parameter cakupan
dan materialitas untuk tinjauan mendatang.

13. Tentukan bahwa perangkat lunak, jika ada, yang digunakan untuk mendokumentasikan tinjauan
sebelumnya masih berlaku, dan membuat perubahan yang diperlukan agar alat yang memadai tersedia
untuk melakukan tinjauan yang akan datang.

14. Siapkan rencana proyek rinci untuk tinjauan Bagian 404 yang akan datang, dengan pertimbangan
yang diberikan untuk koordinasi kegiatan peninjauan di unit bisnis entitas dan auditor eksternal.

15. Kirimkan rencana persetujuan oleh manajemen senior.

Langkah 5: Menilai risiko proses yang dipilih. Setelah proses kunci didefinisikan dan didokumentasikan,
langkah selanjutnya adalah menilai risiko melalui analisis jenis "apa yang salah?". Idenya adalah
mengajukan pertanyaan tentang potensi risiko seputar setiap proses yang ditinjau. Misalnya, dalam
proses pembayaran hutang, dapatkah seseorang mendapatkan akses ke sistem dan kemudian mengatur
untuk memotong cek yang tidak sah? Bisakah kontrol sistem cukup lemah sehingga beberapa
pembayaran mungkin dihasilkan ke vendor resmi yang sama? Mungkin ada banyak risiko semacam ini.
Tim peninjau SOx harus melalui setiap proses yang dipilih dan menyoroti potensi risiko menggunakan
serangkaian pertanyaan terbuka dan kemudian fokus pada kontrol pendukung yang diharapkan. Audit
internal dapat memainkan peran yang sangat berharga dalam analisis jenis ini.

EXHIBIT 4.6 Bagian 404 Pedoman Seleksi Review Proses

Pertanyaan berikut dapat menjadi panduan untuk memilih proses-proses kunci yang akan dibahas
sebagai bagian dari latihan tinjauan Sarbanes-Oxley Section 404. Meskipun tidak ada jawaban benar
atau salah dari semua ini, ini akan membantu tim memilih proses utama untuk mempertimbangkan
faktor-faktor utama.

I. Proses atau Status Sistem

A. Sifat proses atau sistem yang akan ditinjau:

- Apakah ini sistem atau proses baru yang dikembangkan di rumah?

- Apakah itu paket aplikasi yang baru dibeli?

- Apakah ada perubahan besar selama periode yang lalu yang mempengaruhi fungsi?

- Apakah perubahan masa lalu digambarkan hanya sebagai perubahan kecil?

- Apakah ada dokumentasi pendukung saat ini yang mendukung prosesnya? B. Riwayat proses atau
perubahan sistem di masa lalu:

- Apakah ada perubahan signifikan selama dua tahun terakhir?

- Apakah perubahannya kecil dalam dua tahun terakhir ini?

- Sudah dua tahun atau lebih sejak perubahan terakhir?

- Apakah ini sebuah proses baru atau tanpa perubahan terbaru?

- Apakah ada dokumen yang memadai untuk mengubah proses pengendalian di tempat? C. Tim
pengembangan proses atau sistem:

- Apakah pengembangan atau pengelolaan proses ditangani oleh kontraktor luar?

- Apakah kelompok in-house bertanggung jawab atas pengembangan dan pengelolaan proses?

- Apakah proses solusi kemasan yang dibeli dengan hanya sedikit perubahan lokal? D. Kepentingan
manajemen puncak dalam proses proyek:

- Apakah ini merupakan proses tingkat perusahaan yang diamanatkan oleh manajemen senior?

- Apakah tanggung jawab sistem atau proses berada pada tingkat unit operasi?

- Apakah ini sebuah proses yang diprakarsai oleh manajemen menengah?

- Apakah ini pengguna individual atau tanggung jawab departemen?

II. Audit dan Kontrol Significanc A. Jenis sistem atau proses:

- Apakah proses mendukung saldo laporan keuangan?

- Apakah itu mendukung operasi organisasi besar?

- Apakah ini terutama untuk dukungan logistik atau administratif?

Apakah ini statistik atau aplikasi penelitian yang kurang penting? B. Keterlibatan dalam audit internal
atau SOx review:

- Pernahkah ada tinjauan SOx sebelumnya, termasuk rekomendasi perbaikan pengendalian?

- Apakah ulasan sebelumnya diakhiri dengan hanya rekomendasi terbatas?

- Apakah sebelum Bagian 404 hasil tes tidak menemukan masalah pengendalian internal yang signifikan?

- Jika rekomendasi perbaikan kontrol telah dibuat dalam tinjauan sebelumnya, apakah masalah
tampaknya telah diperbaiki?

- Apakah ini sebuah proses yang tidak pernah ditinjau secara formal? C. Prosedur pengendalian sistem
atau proses:

- Apakah ada kontrol internal yang dihasilkan oleh proses?

- Apakah ada kontrol run-to-run dengan sistem atau proses lain?

- Apakah proses beroperasi terutama dalam mode batch atau dengan kontrol manual?

AKU AKU AKU. Dampak Kegagalan Proses

A. Dampak hasil laporan yang salah. Apakah akibat kegagalan proses:

- Kewajiban hukum yang potensial?

- Dampak laporan keuangan?

- Potensi untuk keputusan manajemen yang salah? - Risiko pendukung keputusan terbatas?

B. Dampak kegagalan aplikasi pada personil. Akankah sebuah proses gagal berakibat pada:

- Perlu waktu analisa manajemen ekstra?

- Perlu waktu pengguna ekstra klerikal?

- Kebutuhan akan berbagai sumber daya khusus?

Langkah 6: Kaji efektivitas pengendalian melalui prosedur uji yang tepat.

Sistem kontrol adalah nilai kecil jika mereka tidak bekerja secara efektif. Wawancara dan persiapan
dokumentasi proses terkadang dapat menentukan apakah kontrol yang tepat tidak dilakukan atau tidak
efektif. Jika demikian, kesimpulan dari penilaian harus didokumentasikan dan didiskusikan dengan
pemilik proses, dan rencana tindakan harus dikembangkan untuk mengambil tindakan perbaikan untuk
memperbaiki kontrol.

Dalam kebanyakan kasus, kontrol yang didokumentasikan harus diuji untuk menentukan apakah operasi
tersebut efektif. Pengujian audit ini telah menjadi proses yang umum selama bertahun-tahun baik untuk
tinjauan internal internal auditor eksternal maupun eksternal. Pada satu waktu tes audit ini sangat luas
dan mahal dengan ukuran transaksi sampel yang besar. Evaluasi hasil sampel ini memungkinkan auditor
internal atau eksternal untuk menentukan apakah hasil keuangan cukup dinyatakan atau pengendalian
internal tampaknya berjalan baik. Sampling audit berbasis statistik kurang umum saat ini karena tekanan
efisiensi audit serta kurangnya auditor dengan keterampilan ini. Bab 9 memberikan gambaran umum
sampling statistik untuk auditor internal.

Apakah sampel berbasis statistik digunakan atau tidak, reviewer proses SOx harus menggunakan satu
atau lebih transaksi sampel untuk menguji apakah kontrol dilakukan dan bekerja secara konsisten.
Gambar 4.7 berisi ukuran sampel yang disarankan, berdasarkan frekuensi kinerja kontrol. Jika sebuah
kontrol mencakup banyak item berulang, ukuran sampel untuk menentukan bahwa ia beroperasi secara
efektif harus lebih besar. Ukuran sampel dapat menghadirkan tantangan bagi beberapa proses, namun
dalam sistem berbasis kertas, dengan banyak langkah persetujuan berbasis masyarakat, reviewer SOx
mungkin meminjam dari teknik audit internal klasik lainnya dan mencoba jenis uji coba. Idenya di sini
adalah mengambil satu transaksi - seperti faktur vendor yang memerlukan persetujuan - dan secara
individu menjalankan transaksi tersebut melalui masing-masing langkah pemrosesan sebelum
memotong pembayaran hutang. Sekali lagi, ini adalah ujian untuk menilai pengendalian internal atas
sebuah proses. Jika hasil tesnya positif, proses reviewer bisa menentukan bahwa prosesnya tampaknya
bekerja dengan kontrol internal yang memadai. Latihan ini dibahas secara lebih rinci di Bab 9 dan harus
menjadi bagian dari CBOK auditor internal.

Langkah 7: Tinjau hasil kepatuhan dengan pemangku kepentingan utama. Manajemen senior
bertanggung jawab atas laporan terakhir Bagian 404 perusahaan. Tim proyek harus meninjau
kemajuannya dengan manajemen senior, menyoroti pendekatan tinjauan dan tindakan perbaikan
jangka pendek yang dimulai. Demikian pula, karena auditor eksternal harus secara formal membuktikan
hasil tinjauan pengendalian internal ini, mereka harus terus diberi tahu tentang kemajuan dan masalah
yang beredar.
Koordinasi dengan pemangku kepentingan utama penting disini. Terlalu sering, penilaian pengendalian
internal mengidentifikasi beberapa kelemahan potensial di fasilitas lokal, mendokumentasikannya
secara lokal dengan sedikit tindak lanjut, dan kemudian meningkatkannya sebagai kelemahan yang
berpotensi signifikan di markas besar. Dalam banyak kasus, kelemahan potensial memiliki dampak
minimal terhadap keseluruhan perusahaan dan dapat dipecahkan dan diperbaiki di tingkat lokal.
Komunikasi pemangku kepentingan di semua tingkatan penting di sini.

Langkah 8: Lengkapi laporan tentang efektivitas struktur pengendalian internal. Ini adalah langkah
terakhir dalam tinjauan kepatuhan Bagian 404, dan laporan ini, bersama dengan pekerjaan penguji
auditor eksternal, akan diajukan ke SEC sebagai bagian dari laporan tahunan 10K perusahaan. Semua
pekerjaan harus didokumentasikan serupa dengan pekerjaan audit internal yang dibahas di Bab 16.

Proyek kepatuhan pertama SOx Section 404 dapat menjadi usaha besar dan tentunya membutuhkan
lebih banyak waktu dan usaha daripada yang ditunjukkan pada daftar langkah kerja ini. Namun, AS 5
aturan telah membuat proses peninjauan ini sedikit lebih mudah. Tidak perlu kembali ke nol pada setiap
siklus tahun; Bekerja dari periode sebelumnya dapat diandalkan. Timer tua yang sekarang
berpengalaman dengan beberapa tahun ulasan ini, mungkin melihat AS 5 dan mengatakan sesuatu di
sepanjang baris "Anda harus melihat betapa buruknya keadaan di masa lalu!" AS 5 telah
menyederhanakan dan merasionalisasi ulasan internal SOx. , namun proses tinjauan pengendalian
internal entitas-entitas dasar harus tetap ada.

Seperti telah dibahas, SOx Section 404 reviews merupakan area kunci dimana audit internal dapat
memainkan peran yang sangat signifikan namun seringkali hanya sebagai penasehat. Upaya yang
dibutuhkan akan tergantung pada tingkat kerja pengendalian internal yang telah dilakukan sebelumnya
di perusahaan. Sebagian besar perusahaan besar telah melewati satu atau lebih siklus dari tinjauan
Bagian 404 ini dan sekarang dalam mode perawatan. Seringkali melalui kepemimpinan audit internal,
perusahaan-perusahaan ini telah meninjau, menguji, dan mendokumentasikan kontrol internal mereka
mengikuti standar kerangka kerja COSO dan sekarang menghadapi tugas untuk mencapai kepatuhan
Bagian 404 secara terus-menerus.

Juga, jika kontrol sistem otomatis terbukti efektif di tahun pertama dan jika tidak ada perubahan yang
diketahui pada proses ini, maka tidak perlu lagi kembali dan melakukan reduksi dan uji ulang pada
periode peninjauan berikutnya. Ini adalah contoh untuk melatih lebih banyak pendekatan berbasis
risiko. Sebagai perubahan besar lainnya, manajemen sekarang memiliki fleksibilitas untuk menerapkan
pertimbangan untuk menyesuaikan tinjauan tinjauan terhadap fakta dan keadaan perusahaan. Bagian
404 ulasan terus menjadi penting, namun peraturan AS 5 menawarkan fleksibilitas lebih. Kami sering
terlalu detail berorientasi selama tahun pertama SOx; tujuan di bawah AS 5 adalah untuk menetapkan
pendekatan penalaran berbasis risiko yang lebih berisiko terhadap penilaian ini ke depan.

4,3 AS 5 Aturan dan Internal Audit

Tak lama setelah SOx menjadi undang-undang di Amerika Serikat, PCAOB mengeluarkan Standar Audit
No. 2 (AS 2), panduan baru yang meminta auditor eksternal untuk mengambil pendekatan yang sangat
konservatif dan rinci dalam audit laporan keuangan mereka. AS 2 mengamanatkan pendekatan audit
terperinci yang mendetail, dan pada tahun-tahun pertama tagihan audit eksternal perusahaan jauh lebih
mahal. Sementara banyak perusahaan besar mengertakkan gigi mereka dan hidup dengan peraturan
baru, pemimpin industri, akademisi, dan yang lainnya dengan keras menyatakan bahwa AS 2
membutuhkan beberapa revisi. SEC dan PCAOB setuju untuk merevisi AS 2, dengan tujuan membuat
standar auditing lebih terukur untuk 6.000 atau lebih yang disebut pelacak nonaccelerated yang belum
mematuhi SOx pada tahun 2007. Perusahaan-perusahaan publik yang diperdagangkan dengan float
publik dari $ 75 juta atau kurang diminta agar laporan pengesahan auditor Bagian 404 diselesaikan pada
tahun fiskal mendatang, dan banyak yang merasa perlu beberapa bantuan dari peraturan audit AS 2.
Akibatnya, Standar Audit No. 5 (AS 5) diterbitkan pada akhir Mei 2007.

Sementara AS 5 benar-benar merupakan seperangkat standar bagi auditor eksternal yang meninjau dan
mengesahkan laporan keuangan yang diterbitkan, peraturan baru ini juga penting bagi auditor internal
dan manajer keuangan. AS 5 memperkenalkan peraturan berbasis risiko dengan penekanan pada
efektivitas kontrol tingkat perusahaan yang lebih berorientasi pada fakta dan keadaan perusahaan.
Sebagai tambahan, standar auditing ini meminta auditor eksternal untuk mempertimbangkan termasuk
review terhadap laporan audit internal yang sesuai dalam ulasan audit laporan keuangan mereka. AS 5
memungkinkan auditor eksternal untuk lebih menekankan pada kemampuan manajemen untuk
menetapkan dan mendokumentasikan kontrol internal utama. Baik manajemen keuangan maupun
auditor internal perlu memahami peraturan berbasis risiko dan skalabel baru ini untuk audit keuangan
perusahaan mereka.

Meskipun buku ini tidak memberikan gambaran menyeluruh mengenai peraturan AS 5, peraturan yang
sangat penting bagi auditor internal adalah bahwa auditor eksternal sekarang dapat mengandalkan
karya auditor internal dalam penilaian Bagian 404.3 Diterbitkan pada pertengahan tahun 2007 dan
hanya berlaku seperti ini. buku sedang diterbitkan, AS 5 memiliki empat tujuan yang luas :

1. Fokus audit pengendalian internal pada hal yang paling penting. SEBAGAI 5 panggilan pada auditor
eksternal untuk memfokuskan tinjauan mereka pada area yang menyajikan risiko terbesar bahwa
pengendalian internal akan gagal mencegah atau mendeteksi salah saji material dalam laporan
keuangan. Pendekatan ini meminta auditor eksternal untuk fokus pada identifikasi kelemahan material
dalam pengendalian internal dalam audit mereka, sebelum menghasilkan salah saji material atas laporan
keuangan. AS 5 juga menekankan pentingnya mengaudit area berisiko tinggi, seperti laporan akhir
akuntansi yang menutup proses dan kontrol yang dirancang untuk mencegah kecurangan oleh
manajemen. Pada saat yang sama, standar baru ini memberikan berbagai pilihan alternatif untuk
mengatasi area berisiko rendah, seperti dengan lebih jelasnya menunjukkan bagaimana mengkalibrasi
sifat, waktu, dan tingkat pengujian berdasarkan risiko, serta bagaimana menggabungkannya. akumulasi
pengetahuan dalam audit tahun-tahun sebelumnya ke dalam penilaian risiko auditor. Juga dan sangat
penting bagi CBOK auditor internal, AS 5 juga mengizinkan auditor eksternal untuk menggunakan
pekerjaan yang dilakukan oleh auditor internal perusahaan atau staf keuangan, jika sesuai.

2. Menghilangkan prosedur audit yang tidak perlu untuk mencapai manfaat yang diharapkan AS 5 tidak
mencakup persyaratan rinci standar AS 2 sebelumnya untuk mengevaluasi proses evaluasi manajemen
sendiri dan mengklarifikasi bahwa audit pengendalian internal tidak memerlukan pendapat mengenai
kecukupan proses manajemen. Sebagai contoh, AS 5 berfokus pada dimensi multilokasi risiko di
perusahaan dan mengurangi persyaratan bahwa auditor eksternal harus menguji "sebagian besar"
operasi perusahaan atau posisi keuangan. Ini harus mengurangi pekerjaan audit keuangan.
3. Buatlah audit jelas terukur sesuai ukuran dan kompleksitas perusahaan manapun. Untuk memberikan
panduan audit yang lebih kecil, kurang kompleks

perusahaan, AS 5 panggilan untuk menyesuaikan audit pengendalian internal agar sesuai dengan ukuran
dan kompleksitas perusahaan yang diaudit. Standar ini memiliki panduan bagaimana menerapkan
prinsip AS 5 kepada perusahaan yang lebih kecil dan kurang kompleks serta untuk unit usaha kecil yang
kurang kompleks.

4. Sederhanakan teks standar. AS 5 yang baru lebih pendek dan mudah dibaca daripada pendahulunya
AS 2, sebagian karena standarnya telah disederhanakan. Ini juga telah direorganisasi untuk memulai
audit itu sendiri, dengan definisi dan informasi latar belakang lainnya yang disajikan hanya sebagai
lampiran. Sebagai contoh, AS 5 menghilangkan pembahasan standar material AS 2 sebelumnya tentang
materialitas, menekankan bahwa evaluasi materialitas auditor didasarkan pada prinsip-prinsip lama
yang berlaku yang berlaku untuk audit laporan keuangan.

Dengan AS 5, auditor eksternal dapat mempertimbangkan untuk menggunakan karya orang lain untuk
membantu melaksanakan penilaian pengendalian intern dalam laporan keuangan SOx mereka. Praktik
ini tidak didefinisikan dengan baik dalam peraturan SOx sebelumnya, namun AS 5 menyatakan bahwa
auditor eksternal dapat menggunakan pekerjaan yang dilakukan oleh, atau menerima bantuan langsung
dari, auditor internal, personil perusahaan lain, atau pihak ketiga yang bekerja di bawah arahan
manajemen atau komite audit untuk memberikan bukti tentang efektivitas pengendalian intern
keuangan. Ini adalah perubahan besar bagi auditor internal.

Tentu saja, auditor eksternal menandatangani atau membuktikan hasil audit, dan mereka harus menilai
kompetensi dan objektivitas orang-orang yang melakukan pekerjaan untuk mereka. Semakin tinggi
tingkat kompetensi dan objektivitas orang lain yang membantu pekerjaan audit eksternal ini, semakin
besar kemungkinan auditor eksternal dapat menggunakan dan mengandalkan pekerjaan mereka. Secara
khusus, AS 5 menyerukan penilaian kompetensi dan objektivitas auditor internal. Kompetensi berarti
pencapaian dan pemeliharaan tingkat pemahaman dan pengetahuan yang memungkinkan orang untuk
melakukan tugas yang ditugaskan kepada mereka, dan objektivitas berarti kemampuan untuk
melakukan tugas tersebut secara tidak memihak dan dengan kejujuran intelektual. Untuk menilai
kompetensi, auditor eksternal harus mengevaluasi kualifikasi dan kemampuan auditor internal atau
pihak lain untuk melakukan pekerjaan yang akan digunakan oleh auditor eksternal. Untuk menilai
objektivitas, AS 5 meminta evaluasi auditor eksternal apakah ada faktor yang menghambat atau
mempromosikan kemampuan seseorang untuk melakukan dengan tingkat objektivitas yang diperlukan
pekerjaan yang akan digunakan auditor untuk menggunakan.

AS 5 selanjutnya menyatakan bahwa auditor eksternal seharusnya tidak menggunakan karya orang-
orang yang memiliki "tingkat objektivitas yang rendah, terlepas dari tingkat kompetensi mereka," dan
juga tidak boleh menggunakan karya orang-orang yang memiliki tingkat kompetensi rendah tanpa
memperhatikan tingkat objektivitas mereka. Personil yang fungsi utamanya berfungsi sebagai otoritas
pengujian atau kepatuhan pada suatu perusahaan, seperti auditor internal, biasanya diharapkan
memiliki kompetensi dan objektivitas yang lebih besar dalam melakukan jenis pekerjaan yang akan
berguna bagi auditor eksternal. CAE dan komite audit dan manajemen senior mungkin ingin menantang
auditor eksternal yang mereka tidak melihat adanya peran audit internal dalam proses perencanaan
audit laporan keuangan SOx ini.
Meskipun AS 5 berbicara tentang auditor internal dengan cara yang hampir generik, peran auditor
internal IIA profesional penting di sini. Berdasarkan Standar Profesional Internasional untuk Praktik
Audit Internal (yang dirangkum dalam Bab 8), auditor internal IIA dapat diharapkan memiliki kompetensi
dan objektivitas yang diperlukan untuk membantu mendukung tinjauan auditor eksternal terhadap
Bagian 404 pengendalian internal. Meskipun orang lain, seperti konsultan dari luar, dapat digunakan
untuk membantu auditor eksternal dalam ulasan pengendalian internal laporan keuangan mereka,

auditor internal harus memiliki peran utama dalam membantu kepatuhan auditor Bagian 404 dan AS 5
perusahaan.

Peran audit internal yang sedang berlangsung disini harus dilihat dengan hati-hati. Kami telah
membahas bagaimana auditor internal seringkali merupakan sumber yang bagus untuk
mengidentifikasi, mendokumentasikan, dan menguji kunci Bagian 404 proses. Mereka dapat melakukan
ini dalam peran pendukung untuk tinjauan pengesahan auditor eksternal. Namun, peraturan
independensi pemisahan tugas yang benar mengatakan bahwa auditor internal tidak dapat melakukan
ulasan ini di dalam perusahaan dan kemudian bertindak sebagai asisten pihak ketiga untuk auditor
eksternal untuk membantu membuktikan pekerjaan yang sama. Konflik tugas ini harus dipahami secara
jelas oleh semua pihak, dan perhatian harus dilakukan oleh auditor internal dan manajemen untuk
mencegahnya.

4.4 Dampak Tindakan Sarbanes-Oxley

Bagian sebelumnya telah memberikan gambaran umum tentang SOx. Meskipun diskusi ini tidak
mencakup semua bagian atau rincian undang-undang, maksud kami adalah untuk memberikan
pemahaman menyeluruh kepada auditor internal mengenai bagian-bagian kunci yang akan berdampak
pada audit tahunan audit terhadap perusahaan dan komite auditnya. Entah perusahaan besar yang
berbasis di Fortune 100, perusahaan kecil yang bahkan tidak diperdagangkan di NASDAQ, atau
perusahaan swasta yang menerbitkan obligasi yang terdaftar melalui SEC, semua akan sekarang atau
segera berada di bawah SOx dan badan pengatur akuntansi publiknya, PCAOB . Auditor internal akan
melihat perubahan ini dalam hubungan mereka dengan auditor eksternal mereka.

SOx telah menyebabkan banyak perubahan pada perusahaan, baik di Amerika Serikat maupun di seluruh
dunia. Peran dan tanggung jawab auditor eksternal dan internal telah berubah, dan perusahaan tentu
saja melihat pengendalian internal dan etika bisnis dari perspektif yang jauh berbeda. Pengetahuan
umum SOx dan prosedurnya untuk melakukan Bagian 404 tinjauan pengendalian internal adalah elemen
penting yang harus ada di setiap gudang CBOK auditor internal.