Kelompok 8 :
Bab ini akan memberikan gambaran umum tentang SOx hari ini, dengan penekanan
pada Bagian 404 dan bidang lainnya yang paling penting bagi auditor dan perusahaan internal.
Dengan penekanan pada kebutuhan auditor internal CBOK, bab ini akan fokus pada tiga aspek
SOx:
1. Elemen-elemen SOx kunci: ikhtisar undang-undang
2. Bagian 404 tinjauan pengendalian akuntansi internal
3. Pendekatan berbasis risiko AS5 SOx.
Sebagian besar dampak SOx tergantung pada aturan terperinci yang dirilis oleh
PCAOB untuk ditafsirkan undang-undang.
1
lagi berdasarkan pengetahuan petugas penandatangan, laporan keuangan cukup mewakili kondisi
keuangan dan hasil operasi perusahaan, petugas penandatangan bertanggung jawab, petugas
penandatangan telah mengungkapkan kepada auditor, komite audit, petugas penandatangan telah
mengindikasikan dalam laporan apakah ada kontrol internal atau perubahan lain yang dapat
secara signifikan mempengaruhi kontrol tersebut, termasuk korektif tindakan, setelah tanggal
evaluasi pengendalian internal
Bagian SOx 404 membutuhkan persiapan dari laporan kontrol internal tahunan sebagai bagian
dari mandat SEC 10-K perusahaan laporan Tahunan. Selain laporan keuangan dan pengungkapan
10-K lainnya, Bagian 404 persyaratan membutuhkan dua elemen informasi dalam masing-
masing 10-K ini:
1. Pernyataan manajemen formal mengakui tanggung jawab mereka untuk membangun dan
mempertahankan struktur dan prosedur pengendalian internal yang memadai untuk
laporan keuangan
2. Suatu penilaian, pada akhir tahun fiskal terbaru, dari keefektifan struktur dan prosedur
pengendalian internal perusahaan untuk pelaporan keuangan
Proses-proses ini biasanya dipertimbangkan dalam hal siklus akuntansi dasar dan termasuk:
● Siklus pendapatan
● Siklus pengeluaran langsung
● Siklus pengeluaran tidak langsung.
● Siklus penggajian
● Siklus persediaan
● Fixed assets cycle.
● Siklus TI umum
AS5 tidak termasuk persyaratan rinci standar AS2 sebelumnya untuk mengevaluasi
proses evaluasi manajemen sendiri dan mengklarifikasi bahwa internal audit kontrol tidak
memerlukan pendapat tentang kecukupan proses manajemen. Sebagai contoh, AS5 berfokus
pada dimensi multilokasi risiko dalam suatu perusahaan dan mengurangi persyaratan bahwa
auditor eksternal harus menguji "sebagian besar" dari operasi perusahaan atau posisi keuangan.
Ini harus memungkinkan pengurangan pekerjaan audit keuangan.
SOx adalah hukum yang penting, dan setiap auditor internal harus memiliki
pemahaman umum kontennya sebagai persyaratan CBOK. Melampaui hanya pemahaman
umum ini, Bagian 404 SOx tentang tinjauan kontrol akuntansi internal harus diterima perhatian
dan pengertian audit yang paling internal. Dalam Bagian 404, suatu perusahaan adalah
bertanggung jawab untuk meninjau, mendokumentasikan, dan menguji akuntansi internalnya
sendiri kontrol, dengan hasil ulasan tersebut kemudian diteruskan ke eksternal perusahaan
auditor, yang ditugasi meninjau dan membuktikan pekerjaan itu sebagai bagian dari mereka
penelaahan atas laporan keuangan yang dilaporkan.
2
CHAPTER 6: COBIT AND OTHER ISACA GUIDANCE
6.1 Pengenalan Cobit
COBIT (awalnya ditulis sebagai CobiT) ialah akronim yang semakin diakui ditandai oleh
banyak auditor internal dan eksternal dan profesional TI. COBIT adalah kerangka kontrol
internal yang penting dapat berdiri sendiri, dan sebagai alat pendukung untuk
mendokumentasikan dan memahami baik kondisi internal COSO maupun Sox troli. Meskipun
penekanan asli COBIT adalah berorientasi pada IT, kerangka kerjanya telah diperluas, dan
auditor internal di banyak perusahaan saat ini setidaknya harus memiliki pemahaman tentang
kerangka kerja COBIT dan penggunaannya sebagai alat untuk mendokumentasikan, mengkaji,
dan memahami kontrol internal SOx. Pengetahuan umum tentang COBIT haruslah suatu
Prinsip-prinsip kerangka kerja COBIT sering digambarkan sebagai pentagon yang
mencakup lima area luas dari kontrol internal. Ini menunjukkan lima area penekanan utama
COBIT yang diatur di sekitar konsep inti penting tata kelola TI:
1. Penyelarasan strategis..
2. Nilai pengiriman.
3. Manajemen risiko.
4. Manajemen sumber daya.
5. Pengukuran kinerja.
Prinsip pertama COBIT hampir jelas, yang menyatakan bahwa suatu perusahaan dan
manajemen utamanya harus menyadari bahwa usaha mereka ada untuk menciptakan nilai bagi
para pemangku kepentingan mereka, apakah mereka investor, pelanggan, karyawan, pengguna,
atau orang lain. Akibatnya, apapun perusahaan, komersial atau tidak, harus memiliki konsep
penciptaan nilai ini sebagai utama tujuan manajemen dan tata kelola. Ini adalah pernyataan yang
terdengar jelas sayangnya tidak selalu benar. Sering kali, pemimpin perusahaan di semua
tingkatan mempertahankannya prioritas pribadi dan organisasi di depan mereka yang memenuhi
kepentingan yang lebih besar dari perusahaan secara keseluruhan.
3
6.4 PRINSIP 2: PENUTUPAN USAHA AKHIR UNTUK AKHIR
COBIT memberikan pandangan holistik dan sistemik mengenai tata kelola dan
manajemen TI perusahaan berdasarkan sejumlah faktor pendukung. Istilah holistic dari COBIT
adalah salah satu istilah yang sering digunakan oleh akademisi tetapi tidak oleh auditor internal
karena mereka membahas kemajuan tinjauan mereka, atau oleh banyak manajer perusahaan. Ini
mengacu pada mengambil pandangan yang mencakup segala hal berdasarkan sifat, fungsi, dan
sifat-sifat komponen dan interaksinya.
4
1. Mengevaluasi, Mengarahkan, dan Memantau (EDM), 2. Menyelaraskan, Merencanakan, dan
Mengatur (APO), 3. Build, Acquire, and Implement (BAI), 4. Memberikan, Layanan, dan
Dukungan (DSS), 5. Monitor, Evaluate, dan Menilai (MEA)
6.9 PEMETAAN COBIT KE KONTROL INTERNAL COSO
Kerangka kerja kontrol internal COSO menyatakan bahwa kontrol internal adalah suatu proses
didirikan oleh dewan direksi, manajemen senior, dan orang lain dan entitas yang dirancang untuk
memberikan jaminan yang masuk akal tentang pencapaian yang disebutkan tujuan. Meskipun
memiliki tujuan yang serupa, COBIT mendekati kontrol TI dengan melihat informasi bukan
hanya informasi keuangan COSO yang diperlukan untuk mendukung bisnis persyaratan dan
sumber daya serta proses TI terkait.
CHAPTER 7 ENTERPRISE RISK MANAGEMENT: COSO ERM
7.1 MANAJEMEN RISIKO FUNDAMENTAL
Setiap perusahaan ada untuk memberikan nilai bagi para pemangku kepentingannya,
tetapi nilai itu dapat terkikis melalui kejadian tak terduga di semua tingkatan perusahaan dan
dalam semua kegiatan, mulai dari operasi sehari-hari hingga menetapkan strategi untuk beberapa
upaya di masa depan tetapi tidak pasti.
(1) Risiko Identifikasi
Tim manajemen perusahaan kemudian harus mengambil daftar potensi yang lebih lengkap ini
risiko perusahaan dan tanyakan pada diri mereka sendiri pertanyaan-pertanyaan berikut:
(2) Penilaian Risiko Utama
(a) Probabilitas dan Ketidakpastian, (b) Saling ketergantungan risiko, (c) Risiko Ranking
(3) Analisis Risiko Kuantitatif:
(a) Nilai yang diharapkan dan Perencanaan Respon, (b) Pemantauan Risiko
7.2 : COSO ERM: Enterprise Risk Management
COSO Enterprise Risk Management adalah suatu kerangka kerja untuk membantu perusahaan
untuk memiliki definisi yang konsisten dari risiko mereka. Hal ini juga merupakan alat penting
untuk memahami dan meningkatkan SOx pengendalian internal.
7.3 ELEMEN KUNCI COSO ERM
Kerangka kerja COSO ERM, seperti yang ditunjukkan dalam Tampilan 7.5, telah
menjadi model di seluruh dunia untuk menggambarkan dan mendefinisikan kontrol internal, dan
telah menjadi dasar untuk membangun Sox Bagian 404 kepatuhan.
COSO ERM
(1) Komponen Lingkungan Internal
Lingkungan internal COSO ERM komponen terdiri dari unsur-unsur berikut: filosofi
manajemen risiko, risk appetite, sikap dewan direksi, integritas dan nilai etika, komitmen
terhadap kompetensi, struktur organisasi, penugasan wewenang dan tanggung jawab, standar
sumber daya manusia
5
(2) Pengaturan Tujuan COSO ERM
COSO ERM menekankan bahwa pernyataan misi merupakan elemen penting untuk
menetapkan tujuan; Ini adalah pernyataan tujuan formal dan formal untuk membangun strategi
fungsional tertentu. Seringkali hanya sebuah pernyataan sederhana dan sederhana, sebuah
pernyataan misi harus merangkum tujuan perusahaan dan keseluruhan sikapnya terhadap risiko.
(3) Identifikasi Peristiwa COSO ERM
Peristiwa adalah insiden atau kejadian perusahaan, internal atau eksternal, yang
mempengaruhi implementasi strategi ERM dan pencapaian tujuannya..
(4) Penilaian Risiko COSO ERM
Risiko-risiko ini harus dinilai dari dua perspektif: kemungkinan risiko terjadi, dan potensi
dampaknya; risiko yang melekat, risiko residu
(5) Elemen Respons Risiko COSO ERM
Setelah menilai dan mengidentifikasi risiko yang lebih signifikan, respons risiko COSO
ERM proses membutuhkan peninjauan yang seksama terhadap estimasi kemungkinan risiko dan
dampak potensial, dengan pertimbangan diberikan pada biaya dan manfaat yang terkait, untuk
mengembangkan risiko yang sesuai strategi respons, mengikuti salah satu dari empat strategi
risiko dasar: penghindaran, pengurangan, berbagi, penerimaan.
(6) Kegiatan Kontrol ERM COSO
Aktivitas kontrol ERM adalah kebijakan dan prosedur yang diperlukan untuk memastikan
tindakan mengidentifikasi respons risiko. Komponen aktivitas kontrol dari COSO ERM
seharusnya terkait erat dengan strategi dan tindakan respons risiko yang telah dibahas
sebelumnya.
(6) COSO ERM Informasi dan Komunikasi
Komponen COSO ERM ini merupakan rangkaian yang terkait dengan risiko yang
terpisah yang menghubungkan COSO lainnya Komponen ERM, seperti digambarkan dalam
Tampilan 7.9 yang menunjukkan arus informasi lintas Komponen COSO ERM.
(7) Pemantauan ERM COSO
Ditempatkan di dasar tumpukan komponen kerangka ERM, pemantauan ERM diperlukan
untuk menentukan bahwa semua komponen ERM yang terpasang bekerja secara efektif.
7.4 DIMENSI LAIN DARI COSO ERM: ENTERPRISE TUJUAN RISIKO
Komponen-komponen strategis, operasi, pelaporan, dan tujuan risiko kepatuhan penting
tujuan manajemen risiko operasional, melaporkan tujuan manajemen risiko, tujuan risiko
kepatuhan hukum dan peraturan
7.5 RISIKO TINGKAT ENTITAS
Dimensi ketiga kerangka kerja COSO ERM memanggil risiko untuk dipertimbangkan
pada tingkat organisasi atau entitas. Kerangka kerja Exhibit 7.2 COSO ERM menunjukkan
6
empat divisi atau irisan dalam dimensi kerangka kerja ini: tingkat entitas, divisi, unit bisnis, dan
anak perusahaan risiko. Risiko Meliputi Seluruh Organisasi & Risiko Tingkat Unit Bisnis
7.6 MENEMPATKAN SEMUA BERSAMA: RISIKO AUDIT DAN PROSES ERM COSO
Mudah bingung dengan kontrol internal COSO, kerangka kerja ERM COSO
menguraikan risiko pendekatan manajemen yang berlaku untuk semua industri dan mencakup
semua jenis risiko.