Undang-undang SOx berisi aturan baru untuk auditor eksternal. Sebelum SOx, American
Institute of Certified Public Accountants (AICPA) memiliki tanggung jawab pengaturan-
panduan untuk semua auditor eksternal dan perusahaan akuntan publik mereka melalui
administrasi tes Certified Public Accountant (CPA) dan pembatasan keanggotaan AICPA untuk
CPA. Standar audit eksternal kemudian ditetapkan oleh Dewan Standar Audit (ASB) AICPA.
Meski standar dasar — disebut Generally Accepted Auditing Standards (GAAS) - telah ada
selama bertahun-tahun, standar yang lebih baru kemudian dirilis oleh AICPA dan disebut
Pernyataan Standar Audit (SAS). PCAOB tidak menggantikan AICPA tetapi bertanggung jawab
atas praktik audit eksternal yang sebelumnya dikelola oleh anggota AICPA.
SOx Judul I mendefinisikan praktik audit PCAOB untuk auditor eksternal, proses audit
lainnya dan aturan tata kelola perusahaan telah mengubah cara auditor internal
mengoordinasikan pekerjaan mereka dengan auditor eksternal.
Adminitrasi PCAOB Dikelola melalui dewan yang terdiri dari lima anggota yang
ditunjuk oleh SEC, dengan 3 anggota diharuskan untuk menjadi publik (anggota non-CPA).
SOx mensyaratkan bahwa PCAOB tidak didominasi oleh CPA dan ketua harus belum
menjadi CPA yang dipraktikkan setidaknya selama lima tahun terakhir.
PCAOB bertanggung jawab untuk mengawasi dan mengatur semua kantor akuntan
publik yang berpraktik di hadapan SEC, termasuk:
SOx menetapkan aturan pengecualian minimum untuk persyaratan izin komite audit,
menyatakan bahwa mereka tidak diharuskan untuk layanan yang tidak dapat diakses jika :
■■ Nilai dolar agregat dari layanan tidak melebihi 5% dari total biaya audit eksternal yang
dibayarkan oleh perusahaan selama tahun fiskal.
■■ Layanan tidak diakui sebagai layanan nonaudit oleh perusahaan pada saat perikatan audit
keseluruhan dimulai.
■■ Layanan tersebut menjadi perhatian komite audit dan disetujui oleh mereka sebelum
penyelesaian audit.
Rotasi Mitra Audit Eksternal
Rotasi mitra audit terkadang membawa tantangan kepada auditor internal yang mungkin
telah bekerja dengan nyaman dengan mitra audit yang ditunjuk untuk waktu yang lama dan
perlu terbiasa bekerja dengan tim audit eksternal baru dari waktu ke waktu.
Laporan Auditor Eksternal kepada Komite Audit
Auditor eksternal sekarang diminta untuk melaporkan secara tepat waktu semua
kebijakan dan praktik akuntansi yang digunakan.
Konflik Kepentingan dan Rotasi Wajib Perusahaan Audit Eksternal
SOx Judul II, Bagian 206 melarang auditor eksternal menyediakan layanan audit apa
pun kepada perusahaan tempat CEO, CFO, atau kepala akuntan berpartisipasi sebagai
anggota perusahaan audit eksternal tersebut pada audit yang sama dalam satu tahun terakhir.
Judul III: Tanggung Jawab Perusahaan
Judul III menjelaskan perubahan peraturan baru yang besar untuk komite audit. Ini
adalah area di mana auditor internal harus memiliki tingkat minat dan peran yang lebih besar.
Peraturan Tata Kelola Komite Audit
Semua perusahaan yang terdaftar harus memiliki komite audit yang hanya terdiri dari
direktur independen. Firma audit eksternal melapor langsung kepada komite audit tersebut,
yang bertanggung jawab atas kompensasi mereka, pengawasan pekerjaan audit, dan
penyelesaian perselisihan audit.
Bagian 302: Tanggung Jawab Perusahaan untuk Laporan Keuangan
Sebelum SOx, perusahaan mengajukan laporan keuangan mereka kepada SEC dan
investor, tetapi pejabat perusahaan yang bertanggung jawab yang "menandatangani" laporan-
laporan itu dapat berargumen bahwa mereka tidak benar-benar secara pribadi bertanggung
jawab atas mereka jika terjadi kesalahan. Namun, SOx telah menaikkan bilah ini. CEO,
CFO, atau orang lain yang melakukan fungsi serupa sekarang harus secara pribadi
menyatakan setiap laporan tahunan dan triwulanan yang diajukan. Petugas penandatangan
harus menyatakan bahwa:
■■ Petugas penandatangan telah meninjau laporan.
■■ Berdasarkan pengetahuan petugas penandatangan itu, laporan keuangan tidak
mengandung informasi yang tidak benar atau menyesatkan.
■■ Sekali lagi berdasarkan pada pengetahuan petugas penandatangan, laporan keuangan
secara adil menggambarkan kondisi keuangan dan hasil operasi perusahaan.
Pengaruh yang Tidak Pantas terhadap Pelaksanaan Audit
SOx melarang semua pejabat, direktur, atau bawahan terkait untuk mengambil tindakan
apa pun, yang bertentangan dengan aturan SEC, untuk “secara curang memengaruhi,
memaksa, memanipulasi, atau menyesatkan” setiap auditor CPA eksternal yang terlibat
dalam audit untuk tujuan rendering laporan keuangan secara material menyesatkan.
Penyitaan, Bar, dan Hukuman
Judul 3 diakhiri dengan serangkaian aturan terperinci dan hukuman yang mencakup tata
kelola perusahaan.
■ Hilangnya bonus yang tidak patut.
■ Bar untuk layanan petugas atau direktur.
■ Periode pemadaman dana pensiun.
■ Tanggung jawab profesional pengacara.
■ Dana yang adil untuk investor.
Tak lama setelah SOx menjadi undang-undang di Amerika Serikat, PCAOB merilis
Auditing Standard No. 2 (AS2), Standar Audit No. 5 (AS5) dikeluarkan pada akhir Mei 2007.
AS5 memperkenalkan aturan berbasis risiko dengan penekanan pada efektivitas kontrol tingkat
perusahaan yang lebih berorientasi pada fakta dan keadaan perusahaan.
SOx adalah hukum yang penting dan setiap auditor internal harus memiliki pemahaman
umum tentang kontennya sebagai persyaratan CBOK. Dalam Bagian 404, suatu perusahaan
bertanggung jawab untuk meninjau, mendokumentasikan, dan menguji kontrol akunting
internalnya sendiri yang kemudian diteruskan ke auditor eksternal untuk ditinjau dan
membuktikan pekerjaan itu sebagai bagian dari mereka.
Chapter 6
Proses TI dan aplikasi perangkat lunak pendukung serta perangkat kerasnya merupakan
komponen utama dalam perusahaan apa pun saat ini. Proses bisnis dan sumber daya TI
pendukungnya bekerja dalam hubungan berbagi informasi yang erat. TI tidak dapat dan tentu
saja tidak boleh memberi tahu operasi bisnis apa jenis proses dan sistem TI yang harus mereka
pertimbangkan untuk diimplementasikan, tetapi TI memberikan informasi untuk membantu
memengaruhi keputusan bisnis. TI memiliki tanggung jawab atas serangkaian area proses terkait
lainnya yang diaudit oleh atau melalui pedoman audit yang ditetapkan, diukur dengan
serangkaian ukuran dan aktivitas indikator kinerja, dan dibuat efektif melalui serangkaian tujuan
aktivitas. Semua ini menjadi bagian dari COBIT, kerangka kerja kontrol termasuk proses TI dan
bisnis.
Informasi dan proses TI pendukung seringkali merupakan aset paling berharga dari
hampir semua perusahaan saat ini, dan manajemen memiliki tanggung jawab utama untuk
menjaga aset TI pendukungnya, termasuk sistem otomatis. Kombinasi manajemen, pengguna
TI, dan auditor internal semuanya perlu memahami proses terkait informasi ini dan kontrol yang
mendukungnya. Kombinasi ini mementingkan efektivitas dan efisiensi sumber daya TI mereka,
proses TI-nya, dan persyaratan bisnis secara keseluruhan, seperti yang ditunjukkan dalam
Tampilan 6.1 yang menggambarkan lima prinsip dasar COBIT, dengan persyaratan bisnis yang
mendorong permintaan akan sumber daya TI dan sumber daya yang memulai proses dan
perusahaan TI informasi secara terus menerus melingkar.
Prinsip pertama COBIT sangat jelas. Menyatakan bahwa sebuah perusahaan dan
manager kuncinya harus mengenali bahwa perusahaan mereka tercipta ada untuk menciptakan
nilai untuk pemegang saham mereka, entah itu investor, pelanggan, pegawai, pengguna, atau
lainnya. Karena itu, semua perusahaan, komersil atau tidak, harus menyetujui konsep
pembuatan nilai sebagai managemen utama dan objektif pemerintahan.
COBIT menyatakan bahwa ini membahas tata kelola dan manajemen informasi dan
teknologi terkait dari perspektif ujung ke ujung perusahaan. Tujuan penciptaan nilai COBIT dari
realisasi manfaat, risiko, dan optimalisasi sumber daya harus mendorong beberapa pemungkin
tata kelola. Enabler ini harus perusahaan-lebar dan ujung ke ujung. Artinya, mereka harus
mencakup segalanya dan semua orang, internal dan eksternal, yang relevan dengan tata kelola
dan manajemen informasi perusahaan dan TI terkait, termasuk kegiatan dan tanggung jawab
baik fungsi TI maupun fungsi bisnis non-TI. Penguat tata kelola adalah sumber daya organisasi
untuk tata kelola, seperti kerangka kerja, prinsip, struktur, proses, dan praktik, melalui atau ke
arah mana tindakan diarahkan dan tujuan dapat dicapai. Enablers juga menyertakan sumber
daya perusahaan.
(3) siklus hidup pemangku kepentingan pemangku kepentingan (the stakeholder enabler
life cycle)
(4) hanya praktik yang baik (just good practices). Stakeholder dapat bersifat internal atau
eksternal bagi perusahaan, semuanya memiliki kepentingan dan kebutuhan mereka
sendiri yang terkadang saling bertentangan. Kebutuhan para pemangku kepentingan
diterjemahkan ke tujuan perusahaan, yang pada gilirannya menerjemahkan tujuan
yang terkait dengan TI untuk perusahaan.
Tujuan dari proses kontrol adalah untuk membantu membuat kasus bisnis untuk
implementasi dan peningkatan tata kelola dan manajemen TI. Tujuan mereka adalah untuk
mengenali titik nyeri yang khas dan memicu kejadian, dengan tujuan keseluruhan menciptakan
lingkungan yang tepat untuk operasi dan implementasi TI.
COBIT menetapkan satu set 17 tujuan terkait TI yang dapat dipetakan ke masing-masing
proses ini, dengan sasaran dibagi menjadi beberapa kategori berlabel Korporat, Pelanggan,
Internal, dan satu yang disebut Pembelajaran dan Pertumbuhan. Sasaran terkait COBIT IT ini
kemudian dipetakan ke faktor-faktor untuk dua proses COBIT, EDM (Evaluate, Direct, and
Monitor) dan DSS (Deliver, Service, and Support). Pemetaan tentang bagaimana setiap tujuan
terkait IT didukung oleh proses terkait COBIT diilustrasikan dalam Tampilan 6.7 dan
diungkapkan menggunakan skala di mana:
■ P berarti koneksi utama antara tujuan terkait TI dan proses terkait COBIT terkait, ketika
ada hubungan penting di mana proses COBIT yang ditunjuk adalah dukungan utama
untuk pencapaian tujuan terkait TI.
■ S adalah singkatan dari secondary, ketika ada hubungan yang kurang penting dan proses
COBIT adalah dukungan sekunder untuk tujuan yang berhubungan dengan IT.
■ Ruang kosong di pameran mengatakan tidak ada hubungan yang kuat di sini.
Pedoman COBIT menekankan bahwa tata kelola dan manajemen adalah jenis kegiatan
yang berbeda, masing-masing dengan tanggung jawab yang berbeda. Namun, mengingat peran
pengarah tata kelola — untuk mengevaluasi, mengarahkan, dan memantau — serangkaian
interaksi diperlukan antara tata kelola dan manajemen untuk menciptakan sistem tata kelola
yang efisien dan efektif. Interaksi ini, menggunakan struktur enabler, kemudian diikat ke proses
review kontrol internal tertentu, kekuatan nyata dari kerangka kerja COBIT.
6.9
COSO dan COBIT melayani audiens yang berbeda. Sementara target audiens COSO
bersifat umum dan diarahkan ke manajemen senior, COBIT lebih ditujukan untuk manajemen
TI, pengguna TI, dan auditor internal dan eksternal TI. Baik COSO dan COBIT melihat internal
kontrol sebagai proses entitas yang luas, tetapi COBIT secara khusus berfokus pada kontrol TI.
Perbedaan ini pada hakekatnya mendefinisikan dan menentukan sebagian besar cakupan dari
setiap kerangka kerja kontrol.
Karena perbedaan-perbedaan ini, manajemen senior tidak perlu mengharapkan hubungan satu-
ke-satu langsung antara 5 komponen kontrol COSO, 17 prinsip COSO, dan 5 domain tujuan
COBIT. Meskipun penggunaan COBIT sering terkonsentrasi dalam fungsi TI di banyak
perusahaan dan kontrol internal COSO lebih menjadi perhatian manajemen senior, kedua fungsi
perusahaan harus menyadari dan mengakui pentingnya setiap kerangka kerja untuk menilai dan
menerapkan kontrol internal yang efektif.
CHAPTER 7
Perusahaan membutuhkan identifikasi setiap risiko yang mungkin mereka hadapi setelah
itu memanage resiko-resiko tersebut, risiko tersebut masuk ketingkatan yang wajar atau dapat
dikendalikan.Pemahaman mengenai risiko ini merupakan komponen utama dalam pencapaian
Sarbanes-Oxley (Sox), dalam Auditing Standards No.5.
Kemudian yang perlu diketahui adalah pengertian dari manajemen risiko itu
sendiri.Manajemen risiko adalah konsep dimana individu ataupun kelompok menggunakan
suatu mekanisme untuk menyediakan suatu perlindungan dari timbulnya suatu resiko.
Mengapa manajemen resiko itu penting? Karena sikap orang ketika menghadapi resiko
berbeda-beda. Ada orang yang berusaha untuk menghindari resiko, namun ada juga yang
sebaliknya sangat senang menghadapi resiko sementara yang lain mungkin tidak terpengaruh
dengan adanya resiko. Pemahaman atas sikap orang terhadap resiko ini dapat membantu untuk
mengerti betapa resiko itu penting untuk ditangani dengan baik.
Untuk mengurangi bahaya dari suatu resiko, maka harus ada jaminan untuk
meminimalkan resiko atau paling tidak resiko tersebut dihilangkan dari setiap aktifitas
organisasi. Suatu proses manajemen risiko yang efektif memerlukan tiga langkah:
1. IDENTIFIKASI RISIKO
Proses identifikasi risiko perlu dipelajari, pendekatan yang disengaja
untuk melihat potensi risiko di setiap daerah operasi dan kemudian
mengidentifikasi lebih daerah risiko signifikan yang dapat mempengaruhi setiap
operasi dalam jangka waktu yang wajar.
Cara yang baik untuk memulai proses identifikasi risiko adalah dengan
memulai dari manajemen tingkat atas korporasi maupun unit operasi. Masing-
masing unit mungkin memiliki fasilitas di berbagai lokasi global dan dapat
terdiri dari beberapa dan berbagai jenis operasi.
Umumnya, model risiko tingkat tinggi ini dapat berfungsi sebagai dasar
untuk menentukan risiko spesifik yang dihadapi berbagai unit perusahaan,
seperti dalam contoh risiko kelangsungan bisnis di bawah ini.
Interdependensi Risiko
Independensi risiko memang sangat penting dan harus
dipertimbangkan dan dievaluasi pada struktur organisasi, karena risiko
seringkali dapat menjadi sangat independen dalam suatu perusahaan.
Setiap unit operasi bertanggung jawab untuk mengelola risikonya sendiri
tetapi konsekuensi dari risiko tsb dapat mempengaruhi unit diatas dan
dibawahnya dalam struktur organisasi.
Risk Ranking
Langkah berikutnya adalah estimasi signifikansi resiko, estimasi
probabilitas terjadinya resiko tersebut, meranking risiko tsb dan
mengidentifikasi risiko yang paling signifikan. Risiko dengan ranking
tertinggi disebut dengan driver risk atau risiko utama dari semua risiko
yang telah diidentifikasi. Maka, organisasi harus berfokus pada risiko
utama ini dan bagaimana cara mengelolanya.
3. ANALISIS RISIKO KUANTITATIF
A. Expected Value and Response Planning
Terdapat sedikit hasil dalam mengindentifikasi resiko yang
signifikan kecuali apabila perusahaan telah memiliki perencanaan awal
untuk tindakan yang diperlukan jika salah satu resiko terjadi. Ide
pokoknya adalah untuk mengestimasi dampak biaya dari timbulnya
beberapa resiko yang teridentifikasi dan kemudian menerapkan biaya itu
untuk probabilitas factor resiko yang berasal dari nilai yang diharapkan
atau biaya dari resiko tersebut.
B. Risk Monitoring
Proses mengidentifikasi resiko sering dilakukan dalam jangka
awaktu satu tahun atau seperempat tahun. Setelah salah satu resiko
teridentifikasi, perusahaan harus mengawasi resiko tersebut dan
membuat penyesuaian berkala jika diperlukan. Pengawasan resiko dapat
dilakukan oleh pemilik perusahaan atau pihak independen.Auditor
internal merupakan sumber yang memiliki kredibilitas dan baik dalam
memantau status dari resiko yang teridentifikasi. Informasi dalam
melakukan pengawasan dapat didapatkan melalui survey ataupun review
tatap muka. Proses pengawasan yang akurat merupakan komponen
esensial dalam manajemen resiko.
Poin – poin penting yang mendukung definisi kerangka kerja COSO ERM:
Penjelasan :
2. Penentuan Tujuan
Penentuan tujuan menggarisbawahi kondisi penting untuk membantu
manajemen menciptakan proses ERM yang efektif. Karena di elemen ini,
sekumpulan tujuan strategis yang ada, selaras dengan misi, termasuk aktivitas
operasional, pelaporan, dan kepatuhan. Dalam memahami resiko filosofi
manajemen dan selera resiko yang terdapat di komponen lingkungan internal
membutuhkan penentuan tujuan agar dapat menentukan tingkat resiko yang bisa
diterima, dengan aturan resiko tertentu, dan sejauh mana ukuran deviasi bisa
ditoleransi.
3. Identifikasi Kejadian
Peristiwa adalah kejadian atau kejadian perusahaan, internal atau eksternal, yang
mempengaruhi implementasi strategi ERM dan pencapaian tujuannya.
Sementara kecenderungan auditor internal adalah memikirkan kejadian dalam
arti negatif - menentukan apa salah - mereka juga bisa bersikap positif. Banyak
perusahaan saat ini memiliki alat pemantauan kinerja yang kuat di penganggaran
biaya, kualitas produksi, dll
4. Penilaian Risiko
Penilaian risiko memungkinkan perusahaan mempertimbangkan dampaknya.
Peristiwa terkait risiko potensial mungkin secara keseluruhan mencapai
pencapaian tujuan perusahaan.
6. Aktifitas Kontrol
Kegiatan pengendalian ERM adalah kebijakan dan prosedur yang diperlukan
untuk memastikan tindakan terhadap respons risiko yang teridentifikasi.
Komponen aktivitas pengendalian COSO ERM harus terkait erat dengan strategi
dan tindakan respons risiko yang telah dibahas sebelumnya
Komunikasi ERM adalah aspek kedua dari komponen ini. Ini berbicara tentang
komunikasi di luar aplikasi IT saja, seperti kebutuhan akan mekanisme untuk
memastikan semua pemangku kepentingan menerima pesan terkait kepentingan
perusahaan dalam mengelola risikonya.
8. Monitoring
Ditempatkan di dasar komponen kerangka ERM, pemantauan ERM diperlukan
untuk menentukan bahwa semua komponen
Ada banyak jenis risiko operasi yang dapat berdampak pada suatu perusahaan.
tujuan risiko tingkat operasi meminta identifikasi risiko untuk masing-masing unit atau
komponen perusahaan. Pengidentifikasi tujuan risiko tingkat operasi ini seringkali
memerlukan pengumpulan informasi terperinci dan analisis, terutama untuk perusahaan
yang lebih besar yang mencakup beberapa wilayah geografis, lini produk, atau proses
bisnis.
1. Proses flowcharting
Flowchart proses dapat berguna dalam menggambarkan bagaimana manajemen
risiko beroperasi di perusahaan. Ini membutuhkan melihat dokumentasi yang
disiapkan untuk proses yang berkaitan dengan risiko.
3. Benchmarking
Benchmarking disini adalah proses melihat fungsi di lingkungan lain untuk
menilai operasi dan mengembangkan pendekatan yang lebih baik berdasarkan
praktik terbaik.
4. Kuesioner
Metode yang baik untuk mengumpulkan informasi mengenai efektivitas ERM
dari banyak orang. Kuesioner dapat dikirim ke pemangku kepentingan yang
ditunjuk permintaan informasi spesifik Ini sering merupakan teknik audit
internal yang berharga.