SOA (SARBANES OXLEY-ACT)

LATAR BELAKANG MUNCULNYA SOA

Undang-undang ini diprakarsai oleh Senator Paul Sarbanes (Maryland) dan Representative
Michael Oxley (Ohio), dan telah ditandatangani oleh Presiden George W. Bush pada tanggal 30 Juli
2002. Undang-undang ini dikeluarkan sebagai respons dari Kongres Amerika Serikat terhadap berbagai
skandal pada beberapa korporasi besar seperti: Enron, WorldCom (MCI), AOL TimeWarner, Aura
Systems, Citigroup, Computer Associates International, CMS Energy, Global Crossing, HealthSouth,
Quest Communication, SaIety-Kleen dan Xerox; yang juga melibatkan beberapa KAP yang termasuk
dalam 'the big five seperti: Arthur Andersen, KPMG dan PWC.1 Semua skandal ini merupakan
contoh tragis bagaimana fraud schemes berdampak sangat buruk terhadap pasar, stakeholders dan para
pegawai.
Dengan diterbitkannya undang-undang ini, ditambah dengan beberapa aturan pelaksanaan dari
Securities Exchange Commision (SEC) dan beberapa self regulatory bodies lainnya, diharapkan akan
meningkatkan standar akuntabilitas korporasi, transparansi dalam pelaporan keuangan,3 memperkecil
kemungkinan bagi perusahaan atau organisasi untuk melakukan dan menyembunyikan fraud, serta
membuat perhatian pada tingkat sangat tinggi terhadap corporate governance. Saat ini, corporate
governance dan pengendalian internal bukan lagi sesuatu yang mewah lagi; karena kedua hal ini telah
disyaratkan oleh undang-undang.
A. HAL-HAL YANG DIATUR DALAM SOA
Dalam Sarbanes-Oxley Act diatur tentang akuntansi, pengungkapan dan pembaharuan
governance; yang mensyaratkan adanya pengungkapan yang lebih banyak mengenai inIormasi
keuangan, keterangan tentang hasil-hasil yang dicapai manajemen, kode etik bagi pejabat di bidang
keuangan, pembatasan kompensasi eksekutiI, dan pembentukan komite audit yang independen. Selain
itu diatur pula mengenai hal-hal sebagai berikut:
- Menetapkan beberapa tanggung jawab baru kepada dewan komisaris, komite audit dan pihak
manajemen
- Mendirikan the Public Company Accounting Oversight Board, sebuah dewan yang independen dan
bekerja full-time bagi pelaku pasar modal
- Penambahan tanggung jawab dan anggaran SEC secara signiIikan
- MendeIinisikan jasa 'non-audit yang tidak boleh diberikan oleh KAP kepada klien
- Memperbesar hukuman bagi terjadinya corporate fraud
- Mensyaratkan adanya aturan mengenai cara menghadapi conflicts of interest
- Menetapkan beberapa persyaratan pelaporan yang baru.
Dalam hal pelaporan, Sarbanes-Oxley Act mewajibkan semua perusahaan public untuk membuat
suatu sistem pelaporan yang memungkinkan bagi pegawai atau pengadu (whistleblowers) untuk
melaporkan terjadinya penyimpangan. Sistem pelaporan ini diselenggarakan oleh komite audit.
Sarbanes-Oxley Act juga meningkatkan program perlindungan bagi pegawai yang menjadi pengadu
atau pemberi inIormasi, yang mendapatkan perlakuan buruk dari perusahaannya setelah membeberkan
adanya fraud dan membantu investigasi seperti: dipecat, didemosikan, diskors, diancam, dilecehkan
dan berbagai perlakuan diskriminatiI lainnya Pegawai tersebut dapat mencari perlindungan melalui
Departemen Tenaga Kerja dan pengadilan distrik setempat.
Meskipun Sox adalah seperangkat peraturan perundang-undangan dengan banyak komponen,
sebagian besar perhatian bisnis dan auditor telah terIokus terhadap persyaratan Sox pada bagian 404
mengenai aturan pengesahan pengendalian internal. Auditor Internal harus sangat memperhatikan
bagian 404 Sox sebagaimana halnya peraturan bagian 302, yang membuat manajemen bertanggung
jawab untuk laporan keuangan yang dilaporkan. Kedua bagian ini telah menyebabkan upaya dan
keprihatinan besar perusahaan untuk membangun kepatuhan terhadap Sox. Bagian lain dari undang-
undang tersebut belum menerima banyak perhatian
Ikhtisar Ketetapan Kunci Undang-undang Sarbanes-Oxley
Bagian Subjek Aturan atau Persyaratan
101 Pembentukan PCAOB Aturan secara keseluruhan untuk
pembentukan PCOB, termasuk persyaratan keanggotaan.
104 Inspeksi Kantor Akuntan Jadwal untuk inspeksi kantor
akuntan publik terdaItar
108 Standar Audit PCAOB akan menerima standar saat ini,
tapi akan
mengeluarkan standar audit sediri yang baru.
201 Praktik di Luar Ruang Lingkup Batas yang dilarang/diluar praktik
kantor akuntan
terkait dengan outsorcing audit internal,
pembukuan dan desain sistem keuangan.
203 Rotasi Mitra Audit Mitra Audit dan mitra peninjau harus memutar
tugas
setiap 5 tahun
301 Independensi Komite Audit Semua anggota komite audit harus merupakan
direktur yang independen
302 Tanggung Jawab Perusahaan untuk CEO dan CFO harus mengesahkan laporan
keuangan
Laporan Keuangan periodik
305 Garis Direktur dan Pejabat Jika kompensasi diterima merupakan bagian dari
kecurangan/akuntansi illegal, pejabat atau direktur
wajib mengembalikan dana yang telah diterima
404 Laporan Pengendalian Internal Manajemen bertanggung jawab atas
penilaian tahunan
pengendalian internal
407 Ahli Keuangan Salah satu direktur komite audit harus
merupakan ahli
keuangan yang ditunjuk
408 Peninjuan Mendalam terhadap SEC dapat menjadwalkan peninjauan luas
dari
Pengungkapan Keuangan inIormasi yang dilaporkan berdasarkan Iaktor
khusus tertentu
409 Pengungkapan Real-Time Laporan keuangan harus didistribusikan
dengan cara
secara cepat dan terkini
1105 Larangan Pejabat atau Direktur SEC dapat melarang pejabat atau direktur
melayani di
perusahan publik lainnya apabila bersalah karena
pelanggaran

ERM (ENTERPRISE RISK MANAGEMENT)
Manajemen risiko adalah konsep asuransi yang berhubungan dengan mana seorang individu
atau perusahaan menggunakan mekanisme asuransi untuk menyediakan perlindungan dari timbulnya
suatu risiko. Proses pengelolaan risiko mencakup identiIikasi, evaluasi dan pengendalian risiko yang
dapat mengancam kelangsungan usaha atau aktivitas perusahaan. Sebagai suatu organisasi, perusahaan
pada umumnya memiliki tujuan dalam mengimplementasikan manajemen risiko. Tujuan yang ingin
dicapai antara lain adalah : mengurangi pengeluaran, mencegah perusahaan dari kegagalan, menaikkan
keuntungan perusahaan, menekan biaya produksi dan sebagainya.
Mengapa manajemen resiko itu penting? Sikap orang ketika menghadapi resiko berbeda-beda.
Ada orang yang berusaha untuk menghindari resiko, namun ada juga yang sebaliknya sangat senang
menghadapi resiko sementara yang lain mungkin tidak terpengaruh dengan adanya resiko. Pemahaman
atas sikap orang terhadap resiko ini dapat membantu untuk mengerti betapa resiko itu penting untuk
ditangani dengan baik.
Suatu proses manajemen risiko yang eIektiI memerlukan empat langkah:
1. IdentiIikasi risiko
2. Penilaian risiko/risk assessment
3. Penanganan risiko/risk response
4. Monitoring dan evaluasi
COSO ERM: Manajemen Risiko Perusahaan
COSO Enterprise Risk Management adalah sebuah kerangka kerja untuk membantu perusahaan
untuk memiliki deIinisi yang konsisten terhadap risiko mereka. Ini juga merupakan alat yang penting
untuk memahami dan meningkatkan pengendalian internal SOx.
Sama seperti pengendalian internal COSO dimulai dengan mengusulkan kerangka kerja yang konsisten
deIinisi subyeknya, dokumen kerangka COSO ERM dimulai dengan mendeIinisikan manajemen risiko
perusahaan:
Manajemen risiko Enterprise adalah sebuah proses yang dilakukan oleh entitas yaitu dewan
direktur, manajemen dan personil lainnya ,yang diterapkan dalam pengaturan strategi dan
seluruh perusahaan, yang dirancang untuk mengidentifikasi kejadian potensial yang dapat
mempengaruhi entitas, dan mengelola risiko untuk berada dalam risk appetite, untuk
memberikan keyakinan memadai tentang pencapaian tujuan entitas.

ProIesional harus mempertimbangkan poin-poin penting yang mendukung kerangka COSO ERM
DeIinisi termasuk:
O ERM adalah proses.
O Proses ERM dilaksanakan oleh orang-orang dalam perusahaan.
O ERM diterapkan melalui pengaturan strategi di perusahaan secara keseluruhan.
O Konsep risk appetite harus dipertimbangkan.
O ERM memberikan keyakinan positiI yang masuk akal tapi tidak pada pencapaian objektiI.
O ERM dirancang untuk membantu mencapai tujuan.
Elemen Kunci COSO ERM
Kerangka kerja Pengendalian internal COSO, telah menjadi model di seluruh dunia untuk
menggambarkan dan mendeIinisikan pengendalian internal dan dasar untuk membangun kepatuhan
SOx Bagian 404. Mungkin karena beberapa yang sama dari
anggota tim yang terlibat dengan pengendalian internal COSO dan ERM, ERM COSO
Iramework3-pada pengamatan pertama terlihat sangat mirip dengan pengendalian internal COSO
kerangka.
1. Internal Environment (Lingkungan Internal)
Komponen lingkungan internal ERM COSO terdiri dari unsur-unsur:
O FilosoIi Manajemen Risiko.
O Risk Appetite.
O Sikap dewan direksi.
O Integritas dan nilai-nilai etika.
O Komitmen terhadap kompetensi.
O Struktur organisasi.
O Penugasan wewenang dan tanggung jawab.
O Standar Sumber daya manusia
Dua komponen lingkungan internal COSO ERM, IilosoIi manajemen risiko perusahaan itu dan
selera relatiI untuk risiko, merupakan unsur-unsur lain dari Kerangka kerja COSO ERM. Sementara
IilosoIi manajemen risiko telah dibahas dalam hal sikap dewan direksi dan kebijakan sumber daya
manusia, antara lain, risiko naIsu makan sering merupakan ukuran lebih lembut, dimana perusahaan
menentukan bahwa akan menerima beberapa resiko tapi menolak orang lain dalam hal kemungkinan
dan dampak.
. Objective Setting
Elemen ini mengatakan bahwa, di samping lingkungan internal yang eIektiI, perusahaan harus
menetapkan serangkaian sasaran strategis, sesuai dengan misi terhadap operasional, pelaporan, dan
kepatuhan kegiatan. COSO ERM. Menetapkan tujuan COSO ERM dimulai dengan misi keseluruhan,
untuk (1) mengembangkan sasaran strategis untuk mendukung pemenuhan yang misi, (2) menetapkan
strategi untuk mencapai tujuan, (3) mendeIinisikan tujuan yang terkait,
dan (4) mendeIinisikan selera risiko untuk menyelesaikan strategi itu. pameran ini diadaptasi
dari bahan COSO ERM bimbingan. Bahan-bahan ini harus dirujuk ke untuk
pemahaman yang lebih rinci tentang COSO ERM.

. Event Identification
Insiden perusahaan atau kejadian-eksternal yang mempengaruhi penerapan strategi ERM dan
pencapaian tujuannya. Sementara kecenderungan kita adalah untuk memikirkan peristiwa dalam arti
negatiI-menentukan apa salah-mereka. Banyak perusahaan saat ini memiliki
kinerja perangkat monitoring yang kuat untuk memantau biaya, anggaran, jaminan mutu,
kepatuhan, dan sejenisnya.
4. Risk Assessment
Penilaian risiko memungkinkan perusahaan untuk mempertimbangkan apa eIek peristiwa terkait
risiko potensial tersebut terhadap prestasi perusahaan terhadap tujuannya. Risiko ini harus dinilai dari
dua perspektiI: kemungkinan risiko yang terjadi dan dampak potensinya. Sebagai bagian penting dari
proses penilaian risiko, juga perlu mempertimbangkan risiko yang melekat
5. Risk Response
Setelah dinilai dan mengidentiIikasi risiko yang lebih signiIikan, COSO ERM panggilan untuk
diukur tanggapan terhadap berbagai risiko yang teridentiIikasi. Harus ada pemeriksaan yang seksama
dari kemungkinan estimasi risiko dan dampak potensial, dengan pertimbangan diberikan kepada yang
terkait biaya dan manIaat, untuk mengembangkan strategi penanganan risiko yang tepat. Ini tanggapan
risiko dapat ditangani dalam salah satu dari empat cara dasar yaitu Penghindaran, pengurangan, berbagi
dan penerimaan.
6. Control Activities
ERM kegiatan pengendalian adalah kebijakan dan prosedur yang diperlukan untuk memastikan
tindakan tanggapan risiko yang diidentiIikasi. Meskipun beberapa kegiatan ini mungkin hanya
berhubungan dengan yang diidentiIikasi dan disetujui respon risiko di wilayah perusahaan tersebut,
mereka sering tumpang tindih di beberapa Iungsi dan unit. Kontrol kegiatan komponen COSO ERM
harus terkait erat dengan strategi risiko dan tindakan respon
dibahas sebelumnya.
Setelah memilih respon resiko yang memadai, perusahaan harus memilih kontrol aktivitas yang
diperlukan untuk memastikan bahwa risiko tanggapan dijalankan secara tepat waktu dan eIisien. Proses
menentukan apakah kegiatan kontrol melakukan benar sangat mirip dengan menyelesaikan SOx Bagian
404 penilaian pengendalian internal. COSO ERM panggilan untuk pendekatan mengidentiIikasi,
mendokumentasikan, pengujian, dan kemudian memvalidasi pengendalian risiko perlindungan ini.
7. Information & Communication
Meskipun relatiI mudah untuk menggambarkan bagaimana inIormasi harus dikomunikasikan dari
satu komponen COSO ERM ke yang lain dalam diagram alir sederhana, melakukannya merupakan
proses yang jauh lebih kompleks dalam praktek. Dasar proses dalam banyak perusahaan terdiri dari
web kompleks sistem inIormasi operasional dan keuangan yang sering tidak terkait dengan baik.
Hubungan ini menjadi lebih kompleks untuk
proses ERM banyak, mengingat bahwa banyak aplikasi enterprise dasar tidak langsung meminjamkan
diri untuk identiIikasi risiko, penilaian, dan proses risiko-respon-tipe.
Di luar aplikasi ERM inIormasi yang komprehensiI untuk perusahaan, ada kebutuhan untuk
mengembangkan pemantauan risiko dan sistem komunikasi yang memiliki pranala dengan pelanggan,
pemasok, dan stakeholders lainnya. Sedangkan segmen inIormasi dari ERM inIormasi dan komunikasi
komponen biasanya pemikiran dalam hal TI inIormasi strategis dan operasional sistem, aspek kedua
komponen ini, komunikasi ERM, berbicara tentang komunikasi melebihi sekedar aplikasi IT.
8. Monitoring
Ditempatkan di dasar komponen model kerangka ERM, pemantauan ERM diperlukan untuk
menentukan bahwa semua komponen terpasang ERM bekerja secara eIektiI. Orang dalam perubahan
perusahaan, seperti halnya mendukung proses dan baik internal dan kondisi eksternal, tetapi komponen
pemantauan membantu memastikan bahwa ERM bekerja eIektiI secara terus menerus. Contoh
pemantauan termasuk proses untuk bendera pengecualian atau pelanggaran dalam proses ERM
komponen lainnya. Sebagai contoh, piutang Iungsi penagihan piutang harus mengidentiIikasi
keseluruhan keuangan dan operasional resiko jika tagihan pelanggan tidak dibayar secara tepat waktu.
Sebuah berlangsung-hampir real time-kredit koleksi alat pemantauan dapat memberikan manajemen
senior dengan sehari-hari dan data tren pada status koleksi.
Manajemen Risiko dan ERM COSO dalam Perspektif
Karena dua model kerangka tampak cukup serupa pada pengamatan pertama, sangat mudah
untuk mengabaikan karakteristik unik dari COSO ERM. Butuh waktu bertahun-tahun untuk
pengendalian COSO internal untuk diakui sebagai teknis studi yang lebih menarik. Sudah dikodiIikasi
pertama sebagai standar audit oleh American Institute oI CertiIied Public Akuntan Standar Audit Board
(ASB) dan menerima beberapa yang telah disebutkan dalam publikasi IIA, tapi butuh SOx untuk
memberikan kontrol internal COSO. Undang-undang SOx awal berbicara tentang akuntansi internal
standar "akan didirikan." Kemudian Publik Akuntansi perusahaan Pengawasan Dewan (PCAOB)
mengamanatkan bahwa COSO kontrol internal harus review pengendalian internal standar. Tiba setelah
SOx, COSO ERM belum memiliki tingkat pengakuan yang sama. The IIA adalah pendukung awal
yang penting, dan unsur-unsur ERM dapat dilihat dalam versi baru tujuan Control untuk inIormasi dan
yang terkait Teknologi (COBIT) kerangka kerja, tetapi masih belum pada tingkat yang sama penting
dan signiIikansi hari ini untuk suatu perusahaan sebagai kontrol internal COSO