Caroline 041711333216

Hayyu Rachma A. 041711333224

Nadhilah Fauziyah A. 041711333231
Vanindya Atsiilah 041711333233
Ichika Baby Zangayu 041711333273

CHAPTER 5
SARBANES OXLEY (Sox) AND BEYOND
Sarbanes Oxley Act (SOX) adalah hukum AS yang berlaku pada tahun 2002 untuk
memperbaiki proses pelaporan audit keuangan dan mandat dewan direktur yang baru,
akuntan publik, dan praktIk tata kelola perusahaan lainnya. Ini memiliki dampak besar pada
bisnis pertama di Amerika Serikat dan sekarang di seluruh dunia. Sementara audit baru SOx
dan aturan pengendalian internal telah banyak berubah dalam praktik auditor eksternal, SOx
juga berdampak besar pada auditor internal. Sebuah pemahaman umum tentang SOx, dengan
penekanan pada aturan 404 pengendalian akuntansi Bagian internal perusahaan, harus
menjadi kunci badan umum pengetahuan (CBOK) Persyaratan untuk semua auditor internal.

1. Elemen Kunci Sarbanes Oxley Act

Ox memperkenalkan serangkaian proses yang benar-benar berubah untuk audit eksternal dan
memberikan tanggung jawab pemerintahan baru untuk eksekutif senior dan anggota dewan.
SOx juga mendirikan PCAOB, aturan pengaturan kewenangan sesuai dengan SEC bahwa isu-
isu standar audit keuangan dan memantau tata auditor eksternal.

a. Title I : Public Company Accounting Oversight Board

Undang-undang Sox mulai dengan aturan baru yang signifikan untuk auditor ekternal.
Sebelum Sox, American Institute Akuntan Publik (AICPA) memiliki pedoman pengaturan
merespon untuk semua auditor ekternal dan perusahaan publik Akuntansi melalui
administrasi uji Akuntan Publik Bersertifikat (BPA) dan pembatasan atas keanggotaan
AICPA untuk CPA. Sedangkan negara dewan akuntansi sebenarnya berlisensi CPA. AICPA
memiliki tanggung jawab keseluruhan untuk profesi. Standar audit ekternal yang ditetapkan
oleh Dewan Standar Auditing AICPAs (ASB). Meskipun strandar dasar yang disebut dengan
standar audit yang berlaku umum (GaAs) telah berlaku selama bertahun-tahun. Standar yang
lebih baru dirilis sebagai standar auditing yang disebut nomor laporan audit Standar (SASS)
 i. PCAOB Administration and Public Accounting Firm Registration
ii. Auditing, Quality Control, and Independence Standards
iii. Inspections,investigations, and Disciplinary Procedures
iv. Accounting Standard
b. Title II : Auditor Independence
Konflik yang terjadi di Enron merupakan isu pembentukan Sox. Fungsi audit internal
perusahaan Enron dioutsource pada auditor eksternalnya, yaitu Arthur Andersen. Hal ini
sangat memengaruhi independensi dari Andersen. Terlebih investigator pada lingkungan
internal audit sangat sulit untuk mengangkat permasalahan ke komite audit mengenai auditor
eksternal mereka.
i. Limitations on Internal Auditor Services
Sox Section 201 melarang kantor akuntan publik yang terdaftar dari kinerja secara
kontemporer antara audit dan jasa nonaudit pada klien. Larangan termasuk mengaudit
internal, area konsultasi, dan perencanaan keuangan pekerja senior. Selain itu Sox
juga melarang jasa lain seperti :
 Merancang sistem informasi keuangan dan mengimplementasikannya
 Jasa bookkeeping dan laporan keuangan
 Fungsi manajemen dan sumberdaya manusia
 Jasa lain yang dilarang
ii. Audit Committee Preapproval of Services
Section 202 mengatakan bahwa komite audit harus menyetujui terlebih dulu semua
jasa audit eksternal dan non audit.
iii. External Audit Partner Rotation
Partner akuntan publik tidak boleh memimpin suatu perikatan lebih dari lima tahun.
iv. External Auditor Reports to Audit Commitees
Auditor eksternal kini diharuskan untuk melaporkan dasar semua kebijakan akuntansi,
praktik yang digunakan, langkah alternative dan laporan keuangan yang didiskusikan
oleh manajema, dan pendekatan yang dipilih oleh auditor eksternal.
v. Confict of Interest and Mandatory Rotations of External Audit Firms
Sctioin 206 melarang auditor eksternal untuk menyediakan jasa audit kepada
perusahaan dimana CEO, CFO, CAO yang diikutkan sebagai anggota kantor akuntan
publik pada waktu audit sampai akhir tahun.
c. Sox Title III : Corporate Responsibility
Title III menjelaskan perubahan besar peraturan baru untuk komite audit. Ini merupakan area
di mana auditor internal harus memiliki tingkat kepentingan yang lebih besar. Walaupun
komite audit pada umumnya terdiri dari direktur independent, ada banyak pengecualian,
Sox memperkenalkan berbagai aturan tata kelola perusahaan yang meliputi dewan
dan komite audit mereka.
i. Audit Committee Governance Rules
Semua perusahaan yang terdaftar harus memiliki komite audit terdiri dari direktur
independen saja, perusahaan audit ekternal bertanggung jawab langsung kepada
komite audit atas kompensasi perusahaan pengawasan pekerjaan audit, dan reolusi
dari setiap perselisihan audit
ii. SECTION 302 : Corporate Responsibility For Financial Reports
Sebelum SOx, perusahaan mengajukan laporan keuangan mereka dengan SEC dan
investor tetapi dalam hal terjadi kesalahan, pegawai  perusahaan yang bertanggung
jawab menandatangani laporan tersebut bisa membantah mereka tidak bertanggung
jawab secara pribadi.
iii. Imporer Influence Over The Conduct of Audits
SOx membuatnya melanggar hukum untuk setiap pejabat, direktur, atau bawahan
terkait untuk mengambil tindakan dari aturan SEC, untuk “menipu, mempengaruhi,
memaksa, memanipulasi, atau menyesatkan”.
iv. Forfeitures, Bars, and Penalties
Title III  diakhiri dengan serangkaian aturan rinci dandenda yang meliputi tata kelola
perusahaan, mereka mengusulkan untuk memperketataturan yang ada ditempat
sebelum Sox atau untuk menambahkan aturan baru untuk apa yang sering tampak
keterlaluan.
d. Title IV : Enhance Financial Disclosure
Title IV Sox dirancang untuk memperbaiki bebrapa masalah pengungkapan pelaporan
keunangan, diantaranya untuk memperketat konflik kepentingan bagi pejabat perusahaan dan
direktur, untuk penilaian manajemen pengendalian internal,untuk meminta kode etik pegawai
senior, dan hal-hal lainnya. Sox  mengetatkan banyak peraturan dan membuat beberapa taktik
pengungkapan keuangan yang sulit atau ilegal
i. Expanded Conflict of Interest Provisions and Disclosure
Dalam pengaturan yang sering muncul menjadi konflik kepentingan, yaitu tunjangan
relokasi besar atau pinjaman pribadi Eksekutif perusahaan diberikan dan kemudian
selanjutnya diampuni oleh dewan perusahaan.
 ii. Management’s Assesment of Internal Controls: Section 404
Sox mengharuskan semua 10K laporan tahunan harus berisi laporan pengendalian
internal yang menyatakan tanggung jawab manajemen untuk membangun dan
menajga system yang memadai pengendalian internal serta asersi manajemen, pada
tahun buku yang berakhir pada tanggal efektivitas dari prosedur pengendalian internal
yang terpasang.
iii. Financial Officer Codes of Ethics.
Sox mengharuskan perusahaan mengadopsi kode etik untuk CEO mereka, CFO, dan
petugas senior lainnya yang mengungkapkan permintaan mereka dengan kode sebagai
bagian dari laporan tahunan keuangan mereka.
iv. Other Title IV Required Disclosure
Semua entittas SEC terdaftar diwajibkan untuk membentuk 10K laporan
tahunan serta laporan keuangan SEC lainnya.
Perusahaan menerbitkan laporan yang berisi antisipasi tinjauan SEC secara rinci,
siding pimpinan untuk Sox,
bagaimanapun, mengungkapkan bahwa tinjauan SEC tidak selalu tepat waktu atau
komprehensif.
e. Title V : Analyst Conflicts of Interest
Title V dirancang untuk memperbaiki beberapa pelanggaran efek analis. Investor telah me
ngandalkan rekomendasi dari analis sekuritas selama bertahun-tahun, namun sering para
analis menyerah pada broker besar, dan menganalisis dan merekomendasikan efek kepada
kalangan investor dan pengusaha Lembaga keuangan mereka. Title V adalah upaya untuk
memperbaiki pelanggaran analisis. Sox telah direformasi dan diatur berdasar praktek-
praktek analysis sekuritas. Aturan perilaku telah membetuk hukuman terhadap pelanggara
dan hasilnya investor harus lebih informative.
f. Title VI – X : Fraud Accountability and White Collar Crime
Title ini mencakup isu-isu mulai dari dana alokasi SEC untuk rencana untuk studi di masa
depan, dan mereka termasuk aturan baru untuk memperketat apa yang telah dilihat sebagai
celah peraturan masa lalu. Aturan terakhir memberikan SEC wewenang untuk secara
efektif melarang suatu kantor akuntan publik dari bertindak sebagai auditor ekternal bagi
perusahaan. Title Sox VIII dan IX tampaknya sangat banyak reaksi terhadap kegagalan
Enron dan runtuhnya berikutnya Arthur Andersen. Title VIII dari Sox telah menetapkan
spesifik aturan dan hukuman untuk penghancuran catatan audit perusahaan.
 Title IX berhubungan dengan kejahatan kerah putih serta hukuman maksimum di
dalamnya. Title X kemudian adalah “kepekaan sehat” bahwa pajak pengahssilan
perusahaan harus ditandantangi oleh CEO. Sekali lagi, tanggung jawab ditempatkan pada
individual officer, bukan anonim pada entitas perusahaan
g. Title XI : Corporate Fraud Accountability
Sox terakhir meliputi tanggung jawab perusahaan untuk penipuan pelaporan
keuangan.Title ini ditetapkan untuk memperbaiki pelanggaran yang dilaporkan dimana
beberapa perusahaan sedang diselidiki untuk penipuan keuangan tersebut secara
bersamaan mengeluarkan pembayaran kas besar untuk individu.

2. Perfoming Section 404 Under Reviws A5

Pada section 404, sebuah perusahaan bertanggungjawab untuk melakukan review,
mendokumentasi, dan menguji  pengendalian internalnya.  Awal pertengahan 2007, section
404 ini dubah menjadi AS 5, yang merupakan pendekatan audit lebih berisiko yang lebih baik
penggunaannya olehh internal auditor dalam melakukan penilaian.
i. Section Internal Controls Assessment Today
Manajemen memiliki tanggung jawab untuk merancang dan meng implementasikan
pengenadalian internaldalam operasi perusahaan.  Section 404 mensyaratkan
persiapan laporan pengendalian internal tahunan sebagai bagian dari mandate SEC
10K laporan tahunan perusahaan.
ii. Launching the Section 404 Compliance Review
a. Identify Key Processes
Mempertimbangkan system teknilogi informasi, prosedur manual utama
lainnya yang berbasis regular, selain itu termasuk siklus pendapatan, silkus
pengeluaran langsung dan tak langsun, siklus pembayaran gaji, dan siklus
persediaan.
b. Internal Audits Role
Aturan pengendalian internal dalam Section $ yaitu antara lain auditor internal
dapat bertindak sebagai konsultan internal dalam perusahaan untuk
mengidentifikasi dokumentasi, mereka dapat merievew dan menguji proses
pengendalian internal , serta dapat membantu sumberdaya perusahaan baik
internal maupun eksternal namun tidak lang sung terlibat melakukan review.
iii. Organizing The Project
 Usaha yang diperlukan untuk pendaftar baru didasarkan pada kekuatan dan
kecanggihan dari pemrosesan pengendalian internal suatu perusahaan dan harus
mengikuti delapan langkah:
Langkah 1: Mengatur pendekatan proyek seksi kepatuhan 404.
Langkah 2: Mengembangkan rencana proyek.
Langkah 3: Memilih Kunci Proses untuk tinjauan.
Langkah 4: Dokumen yang dipilih proses arus transaksi.
Langkah 5: Menilai risiko proses yang dipilih.
Langkah 6: Menilai efektifitas control melalui prosedur uji yang sesuai.
Langkah 7: Tinjauan  hasil kepatuhan atas stakeholder kunci.
Langkah 8: Melengkapi laporan mengenai efektivitas struktur pengendalian internal.

3. AS 5 Rules and Internal Audit

AS 5 memperkenalkan aturan-aturan berbasis risiko dengan penekanan pada efektivitas
penegndalian tingkat perusahaan yang lebih berorientasi pada fakta perusahaan dan
keadaan. Selain itu, standar auditing panggilan untuk mempertimbangkan termasuk kajian
terhadap sesuai dengan laporan laporan audit internal di review audit laporan keuangan
mereka. AS 5 memungkinkan auditor eksternal untuk lebih
menekankan pada kemampuan manajemen untuk membangun dan mendokumentasi
kunci pengendalian internal.
Auditor keuangan internal managemen perlu memahami risiko dan aturan baru berdasark
an scalable untuk audit keuangan perusahaan mereka.
1. Fokus Audit Pengendalian Internal pada Hal yang Paling Penting.
2. Menghilangkan prosedur audit yang diperlukan untuk mencapai manfaat yang
dimaksudkan
3. Membuat audit jelas scalable agar sesuai dengan ukuran dan kompleksitas
perusahaan apapun.
 CHAPTER 6
COBIT AND OTHER ISACA GUIDANCE
Control Objective for Information & Related Technology (COBIT) adalah sekumpulan
dokumentasi best practicesuntuk IT Governance yang dapat membantu auditor,
pengguna(user), dan manajemen, untuk menjembatani gap antara risiko bisnis, kebutuhan
control dan masalah-masalah teknis IT.  COBIT bermanfaat bagi auditor karena merupakan
teknik yang dapat membantu dalam identifikasi IT control issues. (Sasongko, 2009)

COBIT memiliki fungsi tidak saja dalam mengelola Teknologi Informasi, tetapi juga sebagai
Pengendali investasi dan risiko pada lingkungan TI.
COBIT mendukung tata kelola TI dengan menyediakan kerangka kerja (framework) untuk
mengatur keselaran TI dengan bisnis dimana teknologi informasi dikelola dengan baik.

Kerangka Kerja COBIT terdiri dari beberapa arahan/pedoman, yakni :

1. Control Objectives (Pengendalian Tujuan); yang terdiri dari 4 domain yaitu: Planing
& Organization, Aquisition & Implementation, Delivery & Support, dan Monitoring
& Evaluation.
2. Audit Guidelines (Arahan Auditor); berisi tujuan-tujuan pengendalian yang bersifat
rinci untuk membantu para auditor dalam memberikan saran perbaikan kepada
manajemen.
3. Management Guidelaines ( (Arahan Manajemen); berisi arahan, baik secara umum
maupun spesific mengenai apasaja yang mesti dilakukan, agar dapat menjawab
pertanyaan-pertanyaan:
 Bagaimana biaya pengelolaan dan manfaat TI yang dikelola
 Apa saja indikator untuk suatu kinerja yang baik
 Apa saja indikator atau kondisi yang harus diciptakan agar dapat mencapai
kesuksesan
 Risiko-risiko apa saja yang mungkin timbal
 Apa yang dilakukan oleh pesaing
 Bagaimana mengukur keberhasilan dan bagaimana membandingkannya
Dari uraian singkat diatas maka Manfaat untuk pengguna COBIT adalah :
 1. Manajemen
Untuk pengambilan keputusan investasi TI, untuk pertimbangan
keseimbangan antara risiko dan kontrol investasi serta untuk bencmark
lingkungan TI sekarang dan ke depan.
2. Pengguna (User)
Untuk memperoleh jaminan keamanan dan kontrol produk dan jasa yang
dibutuh secara internal maupun eksternal
3. Auditor
Untuk memperkuat simpulan (Opini) untuk manajemen dalam hal Control
internal, dan untuk memberikan saran pada contol minimum yang diperlukan.

Sedangkan lingkup kriteria informasi yang menjadi perhatian COBIT adala :

 Effectiveness
 Efficiency
 Confidentiality
 Availability
 Complience dan Reability.
 CHAPTER 7
COSO ERM

 Enterprise Risk Management (ERM) merupakan sebuah proses yang

diterapkan  dalam penentuan startegi perusahaan, didesain untuk mengidentifikasi
kemungkinan yang potensial yang mungkin mempengaruhi entitas (Pedrusahaan), dan
mengelola risiko-risiko dan kecendrungan risiko yng mungkin terjadi, untuk
menyediakan jaminan yang layak mengenai pencapaian tujuan entitas (Perusahaan)
 Manfaat dari penerapan ERM adalah untuk meningkatkan kemampuan sebuah
perusahaan untuk menyelaraskan risk appetite dengan strategi dan arah kebijakan
perusahaan sehingga dapat meningkatkan kualitas keputusan yang diambil oleh
manajemen perusahaan dalam merespon risiko.
 Tujuan COSO ERM adalah memberikan model bagi perusahaan untuk
mempertimbangkan dan memahami kegiatan yang berhubungan dengan risiko
disemua tingkat sebagai dinding bagaimana komponen risiko ini berdampak satu
sama lain
 Elemen-elemen ERM yang mempengaruhi sekaligus mendukung ERM adalah :
1. Lingkungan Internal Perusahaan :
 berkaitan dengan budaya risiko yang ada dalam perusahaan serta
bagaimana nantinya enterprise risk manajemen diterapkan.
 filosofi manajemen risiko
 Risk appetite (tingkat kewajaran yang dapat diterima)
 Sikap Direksi dalam membimbing dan mengawasi lingkungan risiko
 Integritas dan nilai-nilai etika; untuk membangun budaya kuat dan
membantu membuat keputusan berbasis risiko
 Komitmen untuk kompetensi
Kompetensi menyebabkan manajemen harus mengambil langkah untuk
mencapai tujuan yang dijanjikan dan mengacu pada pengetahuan dan
keterampilan untuk melakukan tugas yang diberikan
 Struktur Organisasi:
Perusahaan harus mengembangkan struktur organisasi dengan garis
wewenang, tanggung jawab, dan pelaporan yang tepat.
 Tugas wewenang dan tanggung jawab:
 sejauh mana wewenang dan tanggung jawab yang ditugaskan atau
didelegasikan
 Standar sumber daya manusia :
Contoh: perekrutan karyawan, pelatihan, kompensasi, promosi, disiplin
2. Penentuan Tujuan :
 Identifikasi risiko-risiko pada masing-masing tujuan harus dapat
dilakukan sebelum tujuan tersebut ditetapkan menjadi tujuan
perusahaan.
 Penentuan Tujuan antara lain :
 Mendefinisikan tujuan yang terkait
 Menetapkan strategi untuk mencapai tujuan
 Mengembangkan sasaran strategis
 Mendefinisikan risiko untuk menyelesaikan strategi
3. Identifikasi kejadian risiko;
 tujuannnya adalah agar dapat dilakukan pemetaan yang jelas atas
risiko-risiko yang mungkin terjadi serta bagaimana
meminimalisasinya.
 Risiko Inheren, dipengruhi oleh ukuran dari anggaran, kekuatan dan
kecanggihan manajemen, dan sifat kegiatan
 Risiko Residual, Risiko yang tersisa setelah melakukan manajemen
risiko
4. Respon Resiko :
 Penghindaran, menghindari penggunaan kegiatan tsb karena terlalu
berisiko untuk mendapatkan tujuan perusahaan
 Pengurangan, berbagai macam keputusan bisnis mungkin dapat
mengurangi risiko tertentu
 Berbagi, perjanjian usaha perusahaan dapat membagi risiko
 Penerimaan, kedang risiko pada tingkat tertentu masih dapat diterima
oleh perusahaan
5. Identifikasi Peristiwa
 Banyak perusahaan memiliki perangkat monitoring kinerja yang kuat
untuk memantau biaya, anggaran, jaminan mutu, kepatuhan, dan
sejenisnya
 Proses pemantauan harus mencakup :
 i. Peristiwa ekonomi eksternal, alam, dan politik.
ii. Faktor social
iii. Peristiwa infrastruktur internal
iv. Proses internal
v. Teknologi internal dan eksternal
6. Kontrol dan komonikasi:
 dilakuakn secara terus menerus untuk mengelola risiko dalam
perusahaan sehingga risiko yang sama tidak terjadi secara berulang.
7. Kegiatan Pengendalian
 adalah kebijakan dan prosedur yang diperlukan untuk memastikan
tindakan dalam merespon risiko.
i. memahami secara penuh tentang risiko dan menetapkan prosed
ur pengendalian untuk memantau
ii. Buat Jenis prosedur pengujian fire-drill untuk menentukan
apakah pengendalian risiko terkait berjalan secara efektif.
 Proses COSO ERM
Audit internal harus meninjau luas ERM perusahaan dengan :
i. Proses diagram alur : bagaimana manajemen risiko beroperasi di perusahaan
ii. Peninjauan tentang risiko dan bahan pengendali
iii. Benchmarking  : proses melihat fungsi dari lingkungan lain untuk menilai dan
mengembangkan operasinya
iv. Kuisioner : metode untuk mengumpulkan informasi tentang efektifitas ERM
dari berbagai orang