Gambaran Umum SOX Bagian 302 dan 404

SOX tahun 2002 menetapkan peraturan dan standar tata kelola perusahaan baru untuk perusahaan
publik yang terdaftar di Securities and Exchange Commission (SEC). Meskipun tindakan tersebut
mengandung banyak bagian, bab ini dan dua bab berikut berkonsentrasi pada pengendalian internal dan
tanggung jawab audit sesuai dengan Bagian 302 dan 404.

Bagian 302 mewajibkan manajemen perusahaan (termasuk chief executive officer [CEO]) untuk
mengesahkan informasi keuangan dan informasi lainnya yang terdapat dalam laporan tahunan dan
tahunan organisasi. Aturan tersebut juga mewajibkan mereka untuk mengesahkan pengendalian
internal atas pelaporan keuangan. Petugas sertifikasi diharuskan untuk merancang pengendalian
internal, atau membuat kontrol semacam itu dirancang, dan memberikan kepastian yang memadai
mengenai keandalan proses pelaporan keuangan. Selanjutnya, mereka harus mengungkapkan setiap
perubahan material dalam pengendalian internal perusahaan yang telah terjadi selama kuartal fiskal
terakhir.

Bagian 404 mewajibkan manajemen perusahaan publik untuk menilai efektivitas pengendalian internal
organisasi mereka atas pelaporan keuangan. Berdasarkan bagian tindakan ini, manajemen diharuskan
memberikan laporan tahunan yang membahas hal-hal berikut:

1. Jelaskan alur transaksi, termasuk aspek TI, dengan detail yang cukup untuk mengidentifikasi
titik di mana salah saji bisa timbul.
2. Dengan menggunakan pendekatan berbasis risiko, tentukan baik disain dan efektivitas operasi
pengendalian internal terpilih yang terkait dengan akun material.
3. Menilai potensi kecurangan dalam sistem dan mengevaluasi kontrol yang dirancang untuk
mencegah atau mendeteksi kecurangan.
4. Mengevaluasi dan menyimpulkan kecukupan pengendalian atas proses pelaporan laporan
keuangan.
5. Evaluasi kontrol keseluruhan entitas (umum) yang sesuai dengan komponen kerangka
Pernyataan Standar Auditing No. 78 (SAS 78) / COSO.

Sebelum SOX, auditor eksternal tidak diharuskan untuk menguji pengendalian internal sebagai bagian
dari fungsi pengesahannya. Mereka diharuskan untuk mengenal kontrol internal organisasi klien, namun
memiliki pilihan untuk tidak bergantung pada mereka dan karena itu tidak melakukan tes kontrol. Audit
bisa, dan sering dilakukan, oleh karena itu terutama terdiri dari tes substantif.

Perundang-undangan SOX secara dramatis memperluas peran auditor eksternal dengan mewajibkan
mereka untuk menilai penilaian manajemen terhadap pengendalian internal. Ini merupakan penerbitan
opini audit terpisah di samping pendapat atas kewajaran laporan keuangan. Standar opini audit baru ini
tinggi. Memang, auditor dilarang mengeluarkan opini yang tidak wajar jika hanya satu kelemahan
material dalam pengendalian internal yang terdeteksi. Menariknya, auditor diijinkan untuk sekaligus
memberikan pendapat yang memenuhi syarat mengenai penilaian manajemen terhadap pengendalian
internal dan opini wajar tanpa pengecualian atas laporan keuangan. Dengan kata lain,
secara teknis mungkin bagi auditor untuk menemukan pengendalian internal atas pelaporan keuangan
menjadi lemah, namun disimpulkan melalui pengujian substantif bahwa kelemahan tersebut tidak
menyebabkan laporan keuangan menjadi salah secara material.

Kepatuhan terhadap Bagian 404 mewajibkan manajemen untuk memberikan kepada auditor eksternal
bukti terdokumentasi tentang pengendalian fungsi yang terkait dengan akun material terpilih dalam
laporannya mengenai efektivitas pengendalian. Fungsi audit internal organisasi atau kelompok SOX
khusus kemungkinan akan melakukan tes ini. Oleh karena itu, manajemen harus benarbenar melakukan
tes kontrolnya sendiri sebelum auditor melakukan kinerjanya.

Bagian 302 juga membawa implikasi auditor yang signifikan. Selain mengungkapkan pendapat mengenai
efektivitas pengendalian internal, auditor memiliki tanggung jawab mengenai sertifikasi kuartalan
manajemen internal oleh manajemen. Secara khusus, auditor harus melakukan prosedur berikut setiap
tiga bulan untuk mengidentifikasi modifikasi material dalam kontrol atas pelaporan keuangan:

 Manajemen wawancara mengenai adanya perubahan signifikan dalam perancangan atau

pengoperasian pengendalian internal yang terjadi setelah audit tahunan sebelumnya atau
tinjauan sebelumnya atas informasi keuangan sementara.
 Evaluasi implikasi salah saji yang diidentifikasi oleh auditor sebagai bagian dari tinjauan interim
yang terkait dengan pengendalian internal yang efektif.
 Menentukan apakah perubahan dalam pengendalian internal cenderung mempengaruhi
pengendalian internal atas pelaporan keuangan secara material.

Akhirnya, SOX menempatkan tanggung jawab pada auditor untuk mendeteksi aktivitas penipuan dan
menekankan pentingnya kontrol yang dirancang untuk mencegah atau mendeteksi kecurangan yang
dapat menyebabkan salah saji material atas laporan keuangan. Manajemen bertanggung jawab untuk
menerapkan kontrol semacam itu, dan auditor secara tegas diminta untuk mengujinya. Karena
komputer berada di jantung sistem pelaporan keuangan dan pelaporan organisasi modern, topik
penipuan komputer termasuk dalam tanggung jawab manajemen dan audit yang diberlakukan oleh SOX.
Bagian berikut membahas beberapa masalah penipuan komputer.