Resume Internal Audit Pertemuan 3

Ch 5. Sarbanes-Oxley (SOx) and Beyond

Sarbanes Oxley Act (SOx) merupakan undang-undang AS yang disahkan pada tahun
2002 yang bertujuan untuk meningkatkan proses audit pelaporan keuangan dan untuk
memperbaiki serangkaian dewan direktur, akuntan publik, dan praktik lainnya. SOx menjadi
undang-undang di Amerika Serikat sebagai respons terhadap serangkaian kesalahan akuntansi
dan kegagalan keuangan di beberapa perusahaan besar.

A) Elemen Kunci Sarbanes-Oxley Act (SOx)

Title I: Public Company Accounting Oversight Board
Title I mengatur tentang Dewan Pengawas Perusahaan Akuntan Publik (PCAOB) yang
bertugas mengawasi aktivitas jasa audit yang dilakukan oleh kantor akuntan publik (KAP).
Selain mengawasi, juga bertanggung jawab mengatur, menetapkan standar audit, dan melakukan
quality control apakah telah sesuai dengan aturan SOx dan standar keprofesian.
Title II : Independensi Auditor
Title II mengatur standar untuk independensi auditor eksternal guna membatasi konflik
kepentingan. Title II juga membahas persyaratan baru yang disetujui auditor, rotasi audit partner,
dan persyaratan pelaporan auditor. Hal tersebut membatasi perusahaan yang memberikan jasa
audit untuk tidak menyediakan jasa non-audit (misalnya konsultasi) pada klien yang sama.
Title III : Tanggung Jawab Perusahaan
Title III menjelaskan perubahan peraturan baru yang besar untuk komite audit. SOx
memperkenalkan berbagai aturan tata kelola yang mencakup dewan perusahaan dan komite audit
mereka.
Title IV: Enhanced Financial Disclosures
Title IV Sox dirancang untuk memperbaiki beberapa masalah pengungkapan pelaporan
keuangan, diantaranya untuk memperketat konflik kepentingan bagi pejabat perusahaan dan
direktur, untuk penilaian manajemen pengendalian internal, untuk meminta kode etik pegawai
senior, dan hal-hal lainnya. Sox mengetatkan banyak peraturan dan membuat beberapa taktik
pengungkapan keuangan yang sulit atau illegal.

Title V: Analyst Conflicts of Interest

 Title V dirancang untuk memperbaiki beberapa penyalahgunaan analis sekuritas. SOx
telah mereformasi dan mengatur praktik analis sekuritas sehingga investor mendapat informasi
yang lebih baik.

Title VI through X: Fraud Accountability and White‐Collar Crime

Title ini mencakup serangkaian masalah mulai dari pendanaan alokasi SEC ke rencana
untuk studi di masa depan, dan mereka memasukkan aturan baru untuk memperketat apa yang
sebelumnya dianggap sebagai celah peraturan. Title VIII Section 807 menetapkan hukuman
pidana bagi pemegang saham perusahaan publik yang melakukan atau mencoba penipuan terkait
sekuritas perusahaan.
Section 906 dari SOx Title IX berisi persyaratan bahwa CEO dan CFO harus
menandatangani pernyataan yang menyatakan bahwa informasi yang terkandung dalam laporan
keuangan tersebut “secara adil mewakili, dalam semua hal yang material, kondisi keuangan dan
hasil operasi.”
Title X adalah makna komentar "sense of the Senate" bahwa pengembalian pajak
penghasilan perusahaan harus ditandatangani oleh CEO.
Title XI: Corporate Fraud Accountability
Title 11 mengenakan hukuman kriminal untuk tindakan merubah atau menghancurkan
dokumen atau aktifitas yang mempengaruhi tindakan hukum.

B) Performing Section 404 Reviews Under AS5

Pada section 404, suatu perusahaan bertanggung jawab untuk mengkaji,
mendokumentasikan, dan menguji pengendalian internalnya. Pada tahun 2007, peraturan audit
section 404 ini berubah dengan dikeluarkannya AS5, pendekatan audit berbasis risiko yang juga
memungkinkan auditor eksternal untuk lebih baik menggunakan pekerjaan auditor internal dalam
penilaian mereka.
C) Peraturan AS5 dan Internal Audit
AS 5 memperkenalkan aturan-aturan berbasis risiko dengan penekanan pada efektivitas
pengendalian tingkat perusahaan yang lebih berorientasi pada fakta perusahaan dan keadaan.
Selain itu, standar auditing panggilan untuk auditor eksternal untuk mempertimbangkan
termasuk kajian terhadap sesuai dengan laporan audit internal di review audit laporan keuangan
mereka. AS 5 memungkinkan auditor eksternal untuk lebih menekankan pada kemampuan
manajemen untuk membangun dan mendokumentasikan kunci pengendalian internal. Auditor
keuangan internal managemen perlu memahami risiko dan aturan baru berdasarkan scalable
untuk audit keuangan perusahaan mereka.
D) Dampak Sarbanes-Oxley Act
 Ketika SOx pertama menjadi hukum, Bagian 404 ulasan adalah kesulitan utama bagi
banyak perusahaan karena auditor eksternal diharuskan untuk mengikuti serangkaian prosedur
audit akuntansi keuangan AS2 yang sangat rinci. SOx telah menyebabkan banyak perubahan
pada perusahaan, terutama di Amerika Serikat, dan juga di seluruh dunia. Peran dan tanggung
jawab auditor eksternal dan internal telah berubah, dan perusahaan tentu saja melihat kontrol
internal dan etika bisnis dari perspektif yang jauh berbeda.

Ch 6. COBIT and Other ISACA Guidance

A) Introduction to COBIT (Control Objectives for Information and related Technology)
COBIT adalah kerangka kerja pengendalian internal yang penting yang dapat berdiri
sendiri, tetapi juga penting alat pendukung untuk mendokumentasikan dan memahami kontrol
internal COSO dan SOx.
Konsep inti : Strategic alignment, Value Delivery, Risk Management, Resource
Management,Performance Measurement,
B) Kerangka Framework
COBIT memberikan pendekatan alternatif untuk mendefinisikan dan menggambarkan
kontrol internal yang dimiliki lebih dari penekanan TI kerangka kontrol internal COSO yang
baru saja direvisi. Sementara COBIT memiliki tujuan untuk mencakup semua kontrol internal
operasi perusahaan, ini terutama menyediakan kerangka kerja komprehensif yang dirancang
untuk membantu perusahaan dalam mencapai tujuan mereka untuk tata kelola dan manajemen TI
perusahaan.
C) Prinsip 1: Memenuhi Kebutuhan Pemangku Kepentingan
Prinsip pertama COBIT hampir jelas, yang menyatakan bahwa suatu perusahaan dan
manajemen utamanya harus mengakui bahwa perusahaan mereka ada untuk menciptakan nilai
bagi para pemangku kepentingan mereka, apakah mereka investor, pelanggan, karyawan,
pengguna, atau orang lain. enciptaan nilai, sebagaimana didefinisikan dalam COBIT, berarti
mewujudkan berbagai manfaat di biaya sumber daya yang optimal, risiko, dan pemanfaatan
sumber daya.
D) Prinsip 2: Penutupan Usaha Akhir Untuk Akhir
COBIT menyatakan bahwa ini membahas tata kelola dan manajemen informasi dan yang
terkait teknologi dari perspektif ujung ke ujung perusahaan, bukan ungkapan yang sangat umum
untuk sebagian besar auditor internal. Ini berarti bahwa COBIT memerlukan integrasi tata kelola
TI perusahaan, dan bahwa sistem tata kelola TI perusahaan diajukan oleh COBIT.
E) Prinsip 3: Kerangka Terintegrasi Tunggal
 COBIT adalah kerangka kerja tunggal dan terintegrasi karena sejalan dengan relevan
lainnya saat ini standar dan kerangka kerja, seperti ITIL, dan memungkinkan perusahaan untuk
menggunakan COBIT sebagai kerangka tata kelola dan manajemen yang menyeluruh integrator.
F) Prinsip 4: Mengungkapkan Pendekatan Holistik
Enabler adalah faktor-faktor yang, secara individu dan kolektif, mempengaruhi apakah
sesuatu akan berfungsi — dalam hal ini, tata kelola dan manajemen atas perusahaan IT.
G) Prinsip 5: Memisahkan Tata Kelola Dari Pengelolaan
COBIT Kerangka kerja membuat perbedaan yang jelas antara tata kelola dan manajemen.
Ini dua disiplin ilmu meliputi berbagai jenis kegiatan, memerlukan organisasi yang berbeda
struktur, dan melayani tujuan yang berbeda. Perbedaan ini adalah kunci dari pandangan COBIT
tentang pemerintahan dan manajemen.
H) Menggunakan Cobit Untuk Menilai Kontrol Internal
COBIT membagi langkah-langkah yang diperlukan untuk mengevaluasi kontrol dan proses TI
menjadi :
1. Mengevaluasi, Mengarahkan, dan Memantau (EDM)
2. Menyelaraskan, Merencanakan, dan Mengatur (APO)
3. Build, Acquire, and Implement (BAI)
4. Memberikan, Layanan, dan Dukungan (DSS)
5. Monitor, Evaluate, dan Menilai (MEA)
Serangkaian kategori proses tujuan kontrol yang serupa telah ditetapkan untuk
masing-masing Kategori proses COBIT. Tujuan dari proses kontrol yang terperinci tetapi
cukup spesifik adalah untuk membantu membuat kasus bisnis untuk implementasi dan
peningkatan tata kelola dan manajemen TI.
I) Pemetaan COBIT ke Pengendalian Internal Coso
Tujuan pengendalian COSO mencakup keefektifan, efisiensi operasi, pelaporan keuangan
yang andal, dan kepatuhan terhadap hukum dan peraturan. Peran utamanya adalah untuk kontrol
internal keuangan. Di sisi lain, sementara ISACA dan ITGI mengakui dan membuat referensi
eksplisit ke peran kontrol internal keuangan COSO, mereka memperluas peran COBIT untuk
mencakup persyaratan kualitas dan keamanan dalam tumpang tindih kategori efektivitas,
efisiensi, kerahasiaan, integritas, ketersediaan, kepatuhan, dan keandalan informasi.

Ch 7. COSO ERM : Enterprise Risk Management

 Perusahaan membutuhkan identifikasi setiap resiko yang mungkin mereka hadapi setelah
memanage sebuah resiko, resiko tersebut masuk kedalam tingkatan yang wajar atau dapat
dikendalikan. Pemahaman mengenai resiko merupakan komponen utama dalam pencapaian
Sarbanes-Oxley (SOX) dalam Auditing Standards No. 5
Pengertian dari Manajemen Resiko itu sendiri adalah konsep dimana individu ataupun
kelompok menggunakan suatu mekanisme untuk menyediakan suatu perlindungan dari
timbulnya sebuah resiko.
A) RISK MANAGEMENT FUNDAMENTAL
Dalam mengurangi bahaya dari suatu resiko, maka harus ada suatu hal yang dapat
meminimalkan resiko dari setiap aktifitas oganisasi. Suatu proses manajemen resiko yang efektif
memerlukan tiga langkah:
1. Identifikasi Resiko
Pendekatan yang disengaja untuk melihat potensi resiko dan kemudian
mengidentifikasi lebih daerah resiko yang signifikan dapat mempengaruhi setiap
operasi dalam jangka waktu yang wajar. Umumnya, model risiko tingkat tinggi ini
dapat berfungsi sebagai dasar untuk menentukan resiko spesifik yang dihadapi
berbagai unit perusahaan.
2. Penilaian Resiko Kunci
Langkah berikutnya adalah menilai kemungkinan relative yang signifikan. Berbagai
pendakatan yang dapat digunakan di sini, mulai dari analisis pendekatan kualitatif
hingga analisis pendekatam kuantitatif. Hal ini dapat membantu memutuskan mana
dari serangkaian resiko yang paling berpotensi terhadap peristiwa yang paling
mengkhawatirkan manajemen.
3. Analisis Resiko Kuantitatif
a. Expected Value and Response Planning
Ide pokoknya adalah untuk mengestimasi dampak biaya dari timbulnya
beberapa resiko yang teridentifikasi dan kemudian menerapkan biaya itu untuk
probabilitas factor resiko yang berasal dari nilai atau biaya yang di harapkan
dari resiko tersebut.
b. Risk Monitoring
Setelah salah satu resiko teridentifikasi, perusahaan harus mengawasi resiko tersebut dan
membuat penyesuaian berkala jika diperlukan. Pengawasan resiko dapat dilakukan oleh
pemilik perusahaan atau pihak independen.
B) COSO ERM: ENTREPRISE RISK MANAGEMENT
COSO ERM merupakan kerangka yang dapat membantu perusahaan dalam
mengidentifikasi dan mendefinisikan resiko yang dimiliki. Selain itu, COSO ERM juga berguna
dalam memahami dan mengembangkan pengendalian internal. Poin-poin penting yang
mendukung definisi kerangka kerja COSO ERM :
  ERM proses
 Proses ERM Diimplementasikan Oleh Orang-Orang di Perusahaan
 ERM diterapkan dalam Formulasi Strategi Perusahaan Secara
Keseluruhan
 ERM mempertimbangkan Konsep Risk Appetite
 ERM menyediakan Jaminan yang Wajar namun tidak positif terhadap
pencapaian tujuan
 ERM dirancang untuk mencapai tujuan
C) COSO ERM KEY ELEMENTS
Adapun komponen-komponen COSO ERM Framework terdiri dari :
a) 4 kolom dibagian atas menunjukan tujuan strategis resiko perusahaan
b) 8 baris horizontal mengenai komponen-komponen resiko
c) Di sisi kanan, terdapat 4 tingkatan yang ada di suatu perusahaan
Penjelasan :
1. Komponen Lingkungkan Internal
Tingkat komponen ini menetukan dasar model ERM perusahaan bagi seluruh
komponen lainnya.
2. Penentuan Tujuan
Penentuan tujuan penting untuk membantu manajemen menciptakan proses ERM
yang efektif. Karena elemen ini sekumpulan tujuan strategis yang ada selaras dengan
misi, termasuk aktivitas operasional, pelaporan, dan kepatuhan.
3. Identifikasi Kejadian
Peristiwa adalah kejadian di perusahaan baik di internal maupun eksternal yang
mempengaruhi implementasi strategi ERM dan pencapaian tujuannya.
4. Penilaian Resiko
Penilaian resiko memungkinkan perusahaan mempertimbangkan dampaknya.
Peristawa terkait resiko potensial mungkin secara keseluruhan mencapai pencapaian
tujuan perusahaan. Terdapat 2 risiko yaitu risiko inheren dan resiko residual.
5. Respon Resiko
Setelahnya proses respons resiko COSO ERM memerlukan tinjauan yang hati-hati
terhadap perkiraan kemungkinan resiko dan dampak potensial.
6. Aktifitas Kontrol
Kegiatan pengendalian ERM adalah kebijakan dan prosedur yang diperlukan untuk
memastikan tindakan terhadap respons resiko yang teridentifikasi.
7. Informasi Dan Komunikasi
Komunikasi ERM berbicara tentang komunikasi di luar aplikasi IT saja, seperti
kebutuhan akan mekanisme untuk memastikan semua pemangku kepentingan
menerima pesan terkait kepentingan perusahaan dalam mengelola resikonya.
 8. Monitoring
Ditempatkan di dasar komponen kerangka ERM, pemantauan ERM diperlukan untuk
menentukan bahwa semua merupakan komponen dari kerangka ERM itu sendiri.
D) OTHER DIMENSIONS OF COSO ERM: ENTERPRISE RISK OBJECTIVES
Setiap komponen COSO ERM beroperasi dalam ruang tiga dimensi di mana masing-
masing harus dipertimbangkan dalam hal kategori terkait lainnya. Komponen dari tujuan
strategis, operasi, pelaporan, dan risiko kepatuhan penting untuk memahami dan menerapkan
ERM COSO.
 Tujuan Manajemen Risiko Operasional
Mengikuti kerangka kerja ERM tiga dimensi, tujuan risiko tingkat operasi
memerlukan identifikasi risiko untuk setiap unit atau komponen perusahaan.
 Melaporkan Tujuan Manajemen Risiko
Tujuan ERM ini mencakup keakuratan pelaporan perusahaan, termasuk
pelaporan internal dan eksternal data keuangan dan nonkeuangan.
 Tujuan Resiko Kepatuhan Hukum dan Regulatory
COSO ERM merekomendasikan agar risiko terkait kepatuhan
dipertimbangkan untuk masing-masing komponen kerangka risiko, baik dalam
konteks lingkungan internal, penetapan tujuan, atau pemantauan risiko, serta di
seluruh perusahaan. Ini adalah elemen penting dari kerangka kerja manajemen
risiko yang perlu dikomunikasikan dan dipahami.
E) ENTITY LEVEL RISKS
Manajemen harus menentukan tingkat risiko organisasi pada tingkat detail yang
mencakup semua risiko yang signifikan serta dapat dikelola.
a. Risiko Meliputi Seluruh Organisasi
Resiko besar dan kecil dapat berdampak besar pada perusahaan. Karena risiko
diidentifikasi melalui penetapan tujuan organisasi secara keseluruhan, risiko
tersebut harus dipertimbangkan secara entitas luas maupun oleh masing-masing
unit operasi.
b. Resiko Tingkat Unit Bisnis
Risiko terjadi di semua tingkat perusahaan, baik divisi produksi utama dengan
banyak pabrik. Risiko harus dipertimbangkan dalam setiap unit organisasi yang
signifikan.

F) PUTTING IT ALL TOGETHER: AUDITING RISKS AND COSO ERM PROCESS

 Kerangka kerja COSO ERM menguraikan pendekatan manajemen risiko yang berlaku
untuk semua industri dan mencakup semua jenis risiko. COSO ERM menyediakan platform yang
sangat baik untuk mempertimbangkan keseluruhan lingkungan risiko perusahaan. Auditor
internal menghadapi masalah risiko dan manajemen risiko di banyak bidang tinjauan audit dan
analisis, dan auditor internal yang efektif harus memahami proses manajemen risiko. Selain itu,
setiap tinjauan audit internal terhadap proses ERM perusahaan harus direncanakan melalui
pendekatan perencanaan proyek audit internal dengan menggunakan beberapa alat berikut :
1) Proses flowcharting
2) Tinjauan bahan risiko dan pengendalian
3) Benchmarking
4) Kuesioner

Pertanyaan :
1. Apakah Apakah sarbanes oxley act dapat diimplementasikan secara menyeluruh di
indonesia?
2. Apakah penerapan COSO ERM sangat penting?
3. Mengapa COBIT dan panduan ISACA lainnya menjadi penting?