Nama : Ana Novianti

NPM : 0511011027
P.S : Manajemen S1 Reguler
Mata Kuliah : Sistem Informasi Manajemen

Tugas Paper Akhir

SARBANES OXLEY DALAM AUDITING

TEKNOLOGI INFORMASI

Executive Sumarry

IT audit merupakan hal yang sangat penting dalam implementasi sebuah sistem informasi
bagi organisasi yang mengembangkannya.Terlebih pada saat ini pemanfaatan
teknologi/sistem informasi merupakan hal yang sangat penting bagi sebuah organisasi
dalam pencapaian tujuan/visi/misi lembaganya. Namun di sisi lain kepentingan tersebut
berimbas pada meningkatnya indeks kerawanan dari pengembangan/pembangunan sistem
informasi.

SARBOX tidak langsung mengatur teknologi informasi. Namun IT adalah tulang

punggung dari proses keuangan yang diatur oleh undang-undang bersejarah ini yang
tujuan utama nya adalah untuk menjamin integritas laporan keuangan.

Meskipun telah ada parameter yang dijadikan dasar dalam melakukan evalusi tetap
terdapat hambatan dalam pengimplementasiannya pada perusahaan/organisasi juga
kemungkinan kegagalan dalam penerapannya. Apa saja dan bagaimana akan coba
disajikan pada bagian isi dalam paper ini.

1
Perlukah Audit Teknologi Informasi.http://www.setiabudi.name/archives 1
 DAFTAR ISI

Executive Sumarry ………………………………………………………… 1

Daftar Isi ……………………………………………………………………. 2
Isi ……………………………………………………………………………. 3
I. Pengertian Audit Teknologi Informasi ………………………………… 3
II. Sejarah SARBOX ……………………………..……………………...... 3
III. SARBOX bagi perusahaan di Indonesia …….……………………….. 4
IV. Pentingnya SARBOX ………….…………………………………........ 5
V. Hambatan Implementasi Penerapan SARBOX …………………………. 8
VI. Kemungkinan Kegagalan Implementasi SARBOX …………………….. 9
Daftar Pustaka ………………………………………………………………. 10

1
Perlukah Audit Teknologi Informasi.http://www.setiabudi.name/archives 2
I. PENGERTIAN AUDIT TEKNOLOGI INFORMASI

Audit teknologi informasi atau IT (information technology) audit atau juga dikenal
sebagai audit sistem informasi (information system audit) merupakan aktivitas pengujian
terhadap pengendalian dari kelompok-kelompok unit infrastruktur dari sebuah
sistem/teknologi informasi.

Pengujian/evaluasi terhadap kelompok-kelompok unit infrastruktur tersebut dapat

dilakukan atas audit keuangan, audit internal maupun obyek-obyek lain yang terkait
dengan pengembangan/pembangunan sebuah sistem informasi.

Sebelumnya IT audit dikenal sebagai EDP (electronic data processing) audit atau audit
pengolahan data secara elektronik. Dimana pada saat itu pengujian lebih menitikberatkan
pada pengumpulan dan evaluasi bukti-bukti pengembangan, penerapan serta operasional
sistem informasi.

Untuk menilai apakah perlu atau tidaknya dilakukan IT audit atau IS audit mungkin dapat
dilihat pada sejarah adanya kegiatan tersebut.

Sejak tahun 1977 beberapa aturan mengenai IT audit sudah disusun di Amerika Serikat
yang meliputi beberapa aturan penting seperti the Gramm Leach Bliley Act, the
Sarbanes-Oxley Act, the Health Insurance Portability and Accountability Act, the
London Stock Exchange Combined Code, King II serta the Foreign Corrupt Practices
Act.1

II. SEJARAH SARBOX

Sarbanes-Oxley (Sarbanes-Oxley Act of 2002, Public Company Accounting Reform and

Investor Protection Act of 2002) atau kadang disingkat SOx atau Sarbox adalah hukum
federal Amerika Serikat yang ditetapkan pada 30 Juli 2002 sebagai tanggapan terhadap
sejumlah skandal akuntansi perusahaan besar yang termasuk di antaranya melibatkan
Enron, Tyco International, Adelphia, Peregrine Systems dan WorldCom. Skandal-skandal
yang menyebabkan kerugian bilyunan dolar bagi investor karena runtuhnya harga saham

1
Perlukah Audit Teknologi Informasi.http://www.setiabudi.name/archives 3
perusahaan-perusahaan yang terpengaruh ini mengguncang kepercayaan masyarakat
terhadap pasar saham nasional. Akta yang diberi nama berdasarkan dua sponsornya,
Senator Paul Sarbanes (D-MD) and Representatif Michael G. Oxley (R-OH), ini disetujui
oleh Dewan dengan suara 423-3 dan oleh Senat dengan suara 99-0 serta disahkan
menjadi hukum oleh Presiden George W. Bush.2

Perdebatan mengenai untung rugi penerapan Sarbox masih terus terjadi. Para
pendukungnya merasa bahwa aturan ini diperlukan dan memegang peranan penting untuk
mengembalikan kepercayaan publik terhadap pasar modal nasional dengan antara lain
memperkuat pengawasan akuntansi perusahaan. Sementara para penentangnya berkilah
bahwa Sarbox tidak diperlukan dan campur tangan pemerintah dalam manajemen
perusahaan menempatkan perusahaan-perusahaan AS pada kerugian kompetitif terhadap
perusahaan asing.

Sarbox menetapkan suatu lembaga semi pemerintah, Public Company Accounting

Oversight Board (PCAOB), yang bertugas mengawasi, mengatur, memeriksa, dan
mendisiplinkan kantor-kantor akuntan dalam peranan mereka sebagai auditor perusahaan
publik. Sarbox juga mengatur masalah-masalah seperti kebebasan auditor, tata kelola
perusahaan, penilaian pengendalian internal, serta pengungkapan laporan keuangan yang
lebih dikembangkan.

III. SARBOX BAGI PERUSAHAAN DI INDONESIA

Sarbaness-Oxley Act (SOA) diterbitkan untuk memproteksi kepentingan investor

dengan cara menciptakan tata kelola perusahaan yang baik (good corporate governance),
full disclosure, dan akuntabilitas dalam perusahaan (Sarbanes dan Oxley, 2002). SOA
khususnya section 404 mensyaratkan adanya laporan manajemen tahunan (annual
management report) tentang pengendalian intern perusahaan atas pelaporan keuangan dan
laporan manajemen tersebut merupakan subjek yang akan diaudit. Jadi, selain adanya
laporan auditor yang dilampirkan dalam laporan keuangan, juga terdapat laporan
manajemen tentang keefektifan pengendalian intern yang diimplementasikan dalam
perusahaan untuk mendukung reliabilitas laporan keuangan. PT Telkom Tbk salah satu

2
Sarbanes-Oxley.http://lid.wikipedia.org/wiki/Sarbanes-Oxley 4
perusahaan Indonesia yang listing di bursa efek di Amerika Serikat (NYSE) dan hanya
satu-satunya Badan Usaha Milik Negara (BUMN) di Indonesia yang terdaftar di NYSE
sehingga PT Telkom harus patuh terhadap SOA section 404 seperti yang disyaratkan oleh
SEC (Sarbanes Oxley Act, 2002). Penelitian dilakukan dengan membandingkan teori atau
standar SOA Section 404 dengan praktik SOA Section 404 yang terjadi di PT Telkom,
Tbk. Hasil penelitian menunjukkan bahwa PT Telkom sudah melaksanakan ketentuan
SOA section 404, antara lain: membangun dan memelihara Internal Control over
Financial Report (ICOFR) perusahaan secara memadai dengan adanya Unit Pengelola
SOA yang disebut Proyek Integrasi Internal Control (PIIC) yang mengintegrasikan
rancangan dan pelaksanaan pengendalian dan prosedur pengungkapan untuk menjamin
ketaatan perusahaan terhadap peraturan dan perundangan; sudah adanya kerangka kerja
yang digunakan oleh manajemen untuk mengevaluasi keefektifan pengendalian intern
yaitu COSO; sudah adanyapenilaian manajemen mengenai keefektifan ICOFR pada akhir
tahun, termasuk pengungkapan kelemahan material mengenai ICOFR perusahaan yang
teridentifikasi oleh manajemen pada saat dilakukan penilaian; dan sudah adanya laporan
atestasi auditor.
Sebenarnya kalau dikaji lebih dalam inti permasalahannya adalah upaya
menerapkan lebih tajam tata kerja yang baik sesuai ketentuan yang berlaku yang sudah
dimiliki oleh semua professi termasuk professi akuntan. Dari situasi ini muncul istilah
baru yang sangat populer yaitu istilah “GCG” atau Good Corporate Governance. Isitlah
baru ini hanya merajut kembali berbagai konsep yang sudah ada selama ini seperti istilah
akuntabilitas, transparansi, independensi, objektivitas. Apa sebenarnya yang disajikan.3

IV. PENTINGNYA SARBOX

Sebenarnya kalau dikaji lebih dalam inti permasalahannya adalah upaya

menerapkan lebih tajam tata kerja yang baik sesuai ketentuan yang berlaku yang sudah
dimiliki oleh semua professi termasuk professi akuntan. Dari situasi ini muncul istilah
baru yang sangat populer yaitu istilah “GCG” atau Good Corporate Governance. Isitlah

3
Manajemen Tentang Keefektifan ICOFR.http://lib.feb.ugm.ac.id 5
baru ini hanya merajut kembali berbagai konsep yang sudah ada selama ini seperti istilah
akuntabilitas, transparansi, independensi, objektivitas. Apa sebenarnya yang disajikan
oleh UU Sarbanes Oxley itu? Berikut ini kita sajikan beberapa hal penting.

Pertama: Tanggungjawab Perusahaan

Dengan adanya UU ini maka tanggungjawab semua terafiliasi dalam perusahaan semakin
diminta dan diatekankan. Koamite Audit harus aktif, pengawasan auditor diperketat,
pemisahan yang lebih jelas antara audit service dengan non-audit service, dan perlunya
persetujuan dan pengungkapan atas semua jasa non-audit. Direktur Utama perusahaan
serta Direktur keuangan harus membuat pernytaan bahwa laporan keuangan yang
disajikannya adalah akurat dan tidak menimbulkan salah tafsir dan telah menerapkan
sistem pengawasan internal yang sehat dan tidak ada keterkaitan pinjaman mereka
kepada perusahaan.

Kedua: Auditor

Walaupun selama ini sudah diatur tentang independensi akuntan publik tetapi dalam UU
ini diperketat lagi kewajiban mempertahankan independensi akuntan dan membentuk
Dewan Pengawas Akuntan Publik. UU inio melarang pemberian jasa non audit diluar
jasa perpajakan dan adanya kewajiban untuk menggilir pelaksana dan penanggungjawab
audit.

Ketiga: Pengungkapan diperluas

Beberapa hal yang wajib diungkapkan adalah: manajemen adan auditor setiap tahun
harus menol;ai sistem pengawasan internalnya. Seperti halnya di industri perbankan
maka semua pembiayaan yang bersifat off-balance sheet dan pembiayaan yang bersifat
kontingensi harus diungkapkan. Laporan proforma wajib disajikan. Transaksi saham
intern harus dilaporkan dalam jangkawa waktu dua hari. Beberapa informasi tertentu
yang dianggap penting harus di laporkan dalam “real time”.

Keempat: Analis

6
Analis saham harus dapat mengungkapkan kemungkinan konflik kepentingan.

Kelima: SEC

SEC memperluas objek reviewnya terhadap laporan keuangan perusahaan, meningkatkan

kekuasaan untuk memaksa perusahaan melaksanakan peraturannnya dan menaikkan
biaya hukuman terhadap setiap pelanggaran UU pasar modal.

Semua ketentuan baru itu berlaku bagi perusahaan Amerika dan juga perusahaan
Non Amerika. Baik yang mengeluarkan saham atau obligasi di pasar modal Amerika
seperti tentu di New Yorks Stock Exchange. Tentu saja UU ini akan berpengaruh juga
pada perusahaan Indonesia yang mendaftarkan sahamnya di pasar modal Amerika seperti
PT Telkom, PT Indosat dan sebagainya. Jika hal ini berpengaruh maka sudah otomatis
akan mempengaruhi professi akuntan di Tanah Air khususnya yang mengadit perusahaan
yang dipengaruhi oleh Sarbanes Oxley Act itu.4

Pelajaran yang harus dipetik adalah bahwa dengan globalisasi ini maka kita mau
tidak mau baik akuntan, perusahan, manajemen, analis, pemerintah selaku regulator dan
juga dunia kampus harus selalu mengikuti atau kalau bisa didepan untuk menerapkan
“good governance” disemua bidang bukan saja di dunia swasta, tetapi juga di dunia
birokrasi dan dunia akademis. Status kita yang selalu dianggap memiliki risiko tinggi
tidak lepas dari aspek penerapan “good governance” ini. Peringkat korupsi Indonesia
sebagai nomor satu di Asia dan selalu top 5 di Dunia harus segera kita tinggalkan dengan
berupaya sekuat tenaga menerapkan spirit dari UU Sarbanes Oxley Act ini. Jika tidak
maka kita akan selalu menjadi bulan bulanan para professional dan penentu kebijakan
tingkat internasional. Sebenarnya dengan sifat budaya kita yang religius sudah cukup
menjadi modal awal untuk menerapkan good governance itu, namun modal perasaan
religius tidak cukup karena harus ditopang oleh penegakan aturan aturan yang baik dan
benar sesuai dengan ukuran baik dan buruk yang ditetapkan oleh nilai nilai akhlak dan
agama yang kita anut. Upaya meningkatkan peran agama menurut saya masih relevan
untuk menegakkan moral bangsa, moral birokrat, moral pengusaha, yang terpuruk ini.

4
Sarbanes Oxley Act.http://sofyan.syafri.com/2008/07/03/Sarbanes-Oxley-act-apa-
pula-itu 7
Seperti tersebut di awal tulisan ini maka dapat dilihat bahwa IT audit merupakan hal yang
sangat penting dalam implementasi sebuah sistem informasi bagi organisasi yang
mengembangkannya. Untuk menekan titik-titik rawan tersebut diperlukan seperangkat
batasan-batasan dan tolok-ukur (parameter) yang dapat dijadikan dasar dalam melakukan
evaluasi terhadap kegiatan pembangunan/pengembangan sistem informasi. Dengan
dilakukannya IT audit yang dilakukan secara transparan dan dapat
dipertanggungjawabkan hasilnya maka pelaksanaan penerapan teknologi informasi di
dalam suatu institusi dapat memberikan hasil terbaiknya serta menyerap investasi yang
tepat guna dan berdaya guna.

V. HAMBATAN IMPLEMENTASI SARBOX

Beberapa hal yang merupakan resiko dari penerapan SARBOX dalam pengembangan
sistem aplikasi, seperti:

• Pengadopsian SARBOX yang tidak sesuai untuk sistem aplikasi

• Pengendalian yang kurang baik selama proses SARBOX itu sendiri
• Permintaan user dan tujuan pengembangan sistem tidak sejalan
• Keterlibatan stakeholder (termasuk internal auditor) yang kurang
• Kurangnya dukungan dari manajemen
• Manajemen proyek yang kurang baik
• Teknologi dan arsitektur yang digunakan tidak cocok
• Melebihi batasan waktu yang telah disepakati
• Melebihi anggaran yang ditetapkan
• Kualitas sistem kurang baik
• Kurangnya perhatian atas keamanan dan pengendalian (termasuk validasi dan audit
trail) dalam sistem aplikasi
• Kriteria kinerja tidak tercapai

8
• Manajemen SDM yang kurang baik

9
• Kemampuan staff yang terlibat kurang baik
• Dokumentasi tidak dilakukan dengan baik
• Perlindungan kontrak yang tidak sesuai dengan kondisi di lapangan
• Pemilihan SARBOX atau metode pengembangan sistem yang kurang sesuai
• Kurangnya perhatian atas interdependensi dengan aplikasi atau proses lain.5

VI. KEMUNGKINAN KEGAGALAN IMPLEMENTASI SARBOX

Risiko adalah kemungkinan timbulnya hasil negatif. Manager dan auditor berusaha untuk
menyeimbangkan risiko, bukannya menghilangkannya. Dalam beberapa kasus, TI
membuat bisnis lebih berisiko dan di kasus lain, TI membuat bisnis lebih aman. Risiko
terbagi menjadi :

1. Risiko Bisnis:
Kemungkinan bahwa organisasi tidak akan mencapai sasaran (goals) dan tujuan
organisasi (objectives), yang dipengaruhi oleh faktor eksternal dan internal perusahaan.
Untuk memahami risiko bisnis organisasi, pertama kali auditor harus familiar dengan
rencana strategis organisasi.

2. Risiko Audit:
Kemungkinan bahwa auditor eksternal organisasi membuat kesalahan ketika
mengeluarkan pendapat yang mendukung kewajaran laporan keuangan, atau bahwa
auditor TI gagal menemukan kesalahan atau kecurangan material. Contoh, auditor
mungkin berkata bahwa semua hal baik-baik saja padahal sebenarnya tidak. Saat auditor
menanggung risiko bisnis sendiri terkait dengan risiko audit, risiko audit tidak dibatasi
oleh mereka sendiri. Kegagalan Enron dan masalah laporan keuangan dari perusahaan
Fortune 500 seperti Xerox dan AOL menggambarkan bahwa shareholder, karyawan, dan
perekonomian secara keseluruhan akan menderita ketika perusahaan menerbitkan laporan

5
Audit Atas Pengembangan Sistem Informasi.http://devy-udin.web.ugm.ac.id 10
keuangan yang tidak mencerminkan situasi keuangan mereka.

3. Risiko Keamanan:
Termasuk risiko yang terkait dengan akses dan integritas data.
Akses data oleh pihak yang tidak berwenang dapat berbentuk fisik maupun logika.
Contoh akses fisik oleh pihak yang tidak berwenang:
Seorang pengguna lalai melakukan log off di akhir hari kerja, kemudian seorang petugas
kebersihan duduk di PC tersebut dan membaca e-mail rahasia.
Contoh akses logika oleh pihak yang tidak berwenang
Bila pengguna melakukan log off pada PC tersebut dan diperlukan password untuk log on
pada jaringan perusahaan, penjaga kebersihan akan ditolak oleh sistem akses logis
perusahaan, meskipun petugas tersebut punya akses fisik.

4. Risiko Keberlanjutan:
Termasuk risiko yang terkait dengan ketersediaan sistem back up dan didapatnya kembali
data (recovery). Ketersediaan mengacu pada keamanan yang memastikan bahwa sistem
informasi akan selalu tersedia bagi penggunanya.

11
11
 DAFTAR PUSTAKA

Perlukah Audit Teknologi Informasi.http://www.setiabudi.name/archives.

Sarbanes-Oxley.http://id.wikipedia.org/wiki/Sarbanes-Oxley.

Manajemen Tentang Keefektifan ICOFR.http://lib.feb.ugm.ac.id.

Sarbanes Oxley Act.http//sofyan.syafri.com/2008/07/03/Sarbanes-Oxley-Act-Apa

Pula-itu.

Audit Atas Pengembangan Sistem Informasi.http://devy-udin.web.ugm.ac.id

12