Undang-undang ini diprakarsai oleh Senator Paul Sarbanes (Maryland) dan Representative Michael Oxley (Ohio), dan telah ditandatangani oleh Presiden George W. Bush pada tanggal 30 Juli 2002. Undang-undang ini dikeluarkan sebagai respons dari Kongres Amerika Serikat terhadap berbagai skandal pada beberapa korporasi besar seperti: Enron, WorldCom (MCI), AOL TimeWarner, Aura Systems, Citigroup, Computer Associates International, CMS Energy, Global Crossing, HealthSouth, Quest Communication, SaIety-Kleen dan Xerox; yang juga melibatkan beberapa KAP yang termasuk dalam 'the big five seperti: Arthur Andersen, KPMG dan PWC.1 Semua skandal ini merupakan contoh tragis bagaimana fraud schemes berdampak sangat buruk terhadap pasar, stakeholders dan para pegawai. Dengan diterbitkannya undang-undang ini, ditambah dengan beberapa aturan pelaksanaan dari Securities Exchange Commision (SEC) dan beberapa self regulatory bodies lainnya, diharapkan akan meningkatkan standar akuntabilitas korporasi, transparansi dalam pelaporan keuangan,3 memperkecil kemungkinan bagi perusahaan atau organisasi untuk melakukan dan menyembunyikan fraud, serta membuat perhatian pada tingkat sangat tinggi terhadap corporate governance. Saat ini, corporate governance dan pengendalian internal bukan lagi sesuatu yang mewah lagi; karena kedua hal ini telah disyaratkan oleh undang-undang. A. HAL-HAL YANG DIATUR DALAM SOA Dalam Sarbanes-Oxley Act diatur tentang akuntansi, pengungkapan dan pembaharuan governance; yang mensyaratkan adanya pengungkapan yang lebih banyak mengenai inIormasi keuangan, keterangan tentang hasil-hasil yang dicapai manajemen, kode etik bagi pejabat di bidang keuangan, pembatasan kompensasi eksekutiI, dan pembentukan komite audit yang independen. Selain itu diatur pula mengenai hal-hal sebagai berikut: - Menetapkan beberapa tanggung jawab baru kepada dewan komisaris, komite audit dan pihak manajemen - Mendirikan the Public Company Accounting Oversight Board, sebuah dewan yang independen dan bekerja full-time bagi pelaku pasar modal - Penambahan tanggung jawab dan anggaran SEC secara signiIikan - MendeIinisikan jasa 'non-audit yang tidak boleh diberikan oleh KAP kepada klien - Memperbesar hukuman bagi terjadinya corporate fraud - Mensyaratkan adanya aturan mengenai cara menghadapi conflicts of interest - Menetapkan beberapa persyaratan pelaporan yang baru. Dalam hal pelaporan, Sarbanes-Oxley Act mewajibkan semua perusahaan public untuk membuat suatu sistem pelaporan yang memungkinkan bagi pegawai atau pengadu (whistleblowers) untuk melaporkan terjadinya penyimpangan. Sistem pelaporan ini diselenggarakan oleh komite audit. Sarbanes-Oxley Act juga meningkatkan program perlindungan bagi pegawai yang menjadi pengadu atau pemberi inIormasi, yang mendapatkan perlakuan buruk dari perusahaannya setelah membeberkan adanya fraud dan membantu investigasi seperti: dipecat, didemosikan, diskors, diancam, dilecehkan dan berbagai perlakuan diskriminatiI lainnya Pegawai tersebut dapat mencari perlindungan melalui Departemen Tenaga Kerja dan pengadilan distrik setempat. Meskipun Sox adalah seperangkat peraturan perundang-undangan dengan banyak komponen, sebagian besar perhatian bisnis dan auditor telah terIokus terhadap persyaratan Sox pada bagian 404 mengenai aturan pengesahan pengendalian internal. Auditor Internal harus sangat memperhatikan bagian 404 Sox sebagaimana halnya peraturan bagian 302, yang membuat manajemen bertanggung jawab untuk laporan keuangan yang dilaporkan. Kedua bagian ini telah menyebabkan upaya dan keprihatinan besar perusahaan untuk membangun kepatuhan terhadap Sox. Bagian lain dari undang- undang tersebut belum menerima banyak perhatian Ikhtisar Ketetapan Kunci Undang-undang Sarbanes-Oxley Bagian Subjek Aturan atau Persyaratan 101 Pembentukan PCAOB Aturan secara keseluruhan untuk pembentukan PCOB, termasuk persyaratan keanggotaan. 104 Inspeksi Kantor Akuntan Jadwal untuk inspeksi kantor akuntan publik terdaItar 108 Standar Audit PCAOB akan menerima standar saat ini, tapi akan mengeluarkan standar audit sediri yang baru. 201 Praktik di Luar Ruang Lingkup Batas yang dilarang/diluar praktik kantor akuntan terkait dengan outsorcing audit internal, pembukuan dan desain sistem keuangan. 203 Rotasi Mitra Audit Mitra Audit dan mitra peninjau harus memutar tugas setiap 5 tahun 301 Independensi Komite Audit Semua anggota komite audit harus merupakan direktur yang independen 302 Tanggung Jawab Perusahaan untuk CEO dan CFO harus mengesahkan laporan keuangan Laporan Keuangan periodik 305 Garis Direktur dan Pejabat Jika kompensasi diterima merupakan bagian dari kecurangan/akuntansi illegal, pejabat atau direktur wajib mengembalikan dana yang telah diterima 404 Laporan Pengendalian Internal Manajemen bertanggung jawab atas penilaian tahunan pengendalian internal 407 Ahli Keuangan Salah satu direktur komite audit harus merupakan ahli keuangan yang ditunjuk 408 Peninjuan Mendalam terhadap SEC dapat menjadwalkan peninjauan luas dari Pengungkapan Keuangan inIormasi yang dilaporkan berdasarkan Iaktor khusus tertentu 409 Pengungkapan Real-Time Laporan keuangan harus didistribusikan dengan cara secara cepat dan terkini 1105 Larangan Pejabat atau Direktur SEC dapat melarang pejabat atau direktur melayani di perusahan publik lainnya apabila bersalah karena pelanggaran
ERM (ENTERPRISE RISK MANAGEMENT) Manajemen risiko adalah konsep asuransi yang berhubungan dengan mana seorang individu atau perusahaan menggunakan mekanisme asuransi untuk menyediakan perlindungan dari timbulnya suatu risiko. Proses pengelolaan risiko mencakup identiIikasi, evaluasi dan pengendalian risiko yang dapat mengancam kelangsungan usaha atau aktivitas perusahaan. Sebagai suatu organisasi, perusahaan pada umumnya memiliki tujuan dalam mengimplementasikan manajemen risiko. Tujuan yang ingin dicapai antara lain adalah : mengurangi pengeluaran, mencegah perusahaan dari kegagalan, menaikkan keuntungan perusahaan, menekan biaya produksi dan sebagainya. Mengapa manajemen resiko itu penting? Sikap orang ketika menghadapi resiko berbeda-beda. Ada orang yang berusaha untuk menghindari resiko, namun ada juga yang sebaliknya sangat senang menghadapi resiko sementara yang lain mungkin tidak terpengaruh dengan adanya resiko. Pemahaman atas sikap orang terhadap resiko ini dapat membantu untuk mengerti betapa resiko itu penting untuk ditangani dengan baik. Suatu proses manajemen risiko yang eIektiI memerlukan empat langkah: 1. IdentiIikasi risiko 2. Penilaian risiko/risk assessment 3. Penanganan risiko/risk response 4. Monitoring dan evaluasi COSO ERM: Manajemen Risiko Perusahaan COSO Enterprise Risk Management adalah sebuah kerangka kerja untuk membantu perusahaan untuk memiliki deIinisi yang konsisten terhadap risiko mereka. Ini juga merupakan alat yang penting untuk memahami dan meningkatkan pengendalian internal SOx. Sama seperti pengendalian internal COSO dimulai dengan mengusulkan kerangka kerja yang konsisten deIinisi subyeknya, dokumen kerangka COSO ERM dimulai dengan mendeIinisikan manajemen risiko perusahaan: Manajemen risiko Enterprise adalah sebuah proses yang dilakukan oleh entitas yaitu dewan direktur, manajemen dan personil lainnya ,yang diterapkan dalam pengaturan strategi dan seluruh perusahaan, yang dirancang untuk mengidentifikasi kejadian potensial yang dapat mempengaruhi entitas, dan mengelola risiko untuk berada dalam risk appetite, untuk memberikan keyakinan memadai tentang pencapaian tujuan entitas.
ProIesional harus mempertimbangkan poin-poin penting yang mendukung kerangka COSO ERM DeIinisi termasuk: O ERM adalah proses. O Proses ERM dilaksanakan oleh orang-orang dalam perusahaan. O ERM diterapkan melalui pengaturan strategi di perusahaan secara keseluruhan. O Konsep risk appetite harus dipertimbangkan. O ERM memberikan keyakinan positiI yang masuk akal tapi tidak pada pencapaian objektiI. O ERM dirancang untuk membantu mencapai tujuan. Elemen Kunci COSO ERM Kerangka kerja Pengendalian internal COSO, telah menjadi model di seluruh dunia untuk menggambarkan dan mendeIinisikan pengendalian internal dan dasar untuk membangun kepatuhan SOx Bagian 404. Mungkin karena beberapa yang sama dari anggota tim yang terlibat dengan pengendalian internal COSO dan ERM, ERM COSO Iramework3-pada pengamatan pertama terlihat sangat mirip dengan pengendalian internal COSO kerangka. 1. Internal Environment (Lingkungan Internal) Komponen lingkungan internal ERM COSO terdiri dari unsur-unsur: O FilosoIi Manajemen Risiko. O Risk Appetite. O Sikap dewan direksi. O Integritas dan nilai-nilai etika. O Komitmen terhadap kompetensi. O Struktur organisasi. O Penugasan wewenang dan tanggung jawab. O Standar Sumber daya manusia Dua komponen lingkungan internal COSO ERM, IilosoIi manajemen risiko perusahaan itu dan selera relatiI untuk risiko, merupakan unsur-unsur lain dari Kerangka kerja COSO ERM. Sementara IilosoIi manajemen risiko telah dibahas dalam hal sikap dewan direksi dan kebijakan sumber daya manusia, antara lain, risiko naIsu makan sering merupakan ukuran lebih lembut, dimana perusahaan menentukan bahwa akan menerima beberapa resiko tapi menolak orang lain dalam hal kemungkinan dan dampak. . Objective Setting Elemen ini mengatakan bahwa, di samping lingkungan internal yang eIektiI, perusahaan harus menetapkan serangkaian sasaran strategis, sesuai dengan misi terhadap operasional, pelaporan, dan kepatuhan kegiatan. COSO ERM. Menetapkan tujuan COSO ERM dimulai dengan misi keseluruhan, untuk (1) mengembangkan sasaran strategis untuk mendukung pemenuhan yang misi, (2) menetapkan strategi untuk mencapai tujuan, (3) mendeIinisikan tujuan yang terkait, dan (4) mendeIinisikan selera risiko untuk menyelesaikan strategi itu. pameran ini diadaptasi dari bahan COSO ERM bimbingan. Bahan-bahan ini harus dirujuk ke untuk pemahaman yang lebih rinci tentang COSO ERM.
. Event Identification Insiden perusahaan atau kejadian-eksternal yang mempengaruhi penerapan strategi ERM dan pencapaian tujuannya. Sementara kecenderungan kita adalah untuk memikirkan peristiwa dalam arti negatiI-menentukan apa salah-mereka. Banyak perusahaan saat ini memiliki kinerja perangkat monitoring yang kuat untuk memantau biaya, anggaran, jaminan mutu, kepatuhan, dan sejenisnya. 4. Risk Assessment Penilaian risiko memungkinkan perusahaan untuk mempertimbangkan apa eIek peristiwa terkait risiko potensial tersebut terhadap prestasi perusahaan terhadap tujuannya. Risiko ini harus dinilai dari dua perspektiI: kemungkinan risiko yang terjadi dan dampak potensinya. Sebagai bagian penting dari proses penilaian risiko, juga perlu mempertimbangkan risiko yang melekat 5. Risk Response Setelah dinilai dan mengidentiIikasi risiko yang lebih signiIikan, COSO ERM panggilan untuk diukur tanggapan terhadap berbagai risiko yang teridentiIikasi. Harus ada pemeriksaan yang seksama dari kemungkinan estimasi risiko dan dampak potensial, dengan pertimbangan diberikan kepada yang terkait biaya dan manIaat, untuk mengembangkan strategi penanganan risiko yang tepat. Ini tanggapan risiko dapat ditangani dalam salah satu dari empat cara dasar yaitu Penghindaran, pengurangan, berbagi dan penerimaan. 6. Control Activities ERM kegiatan pengendalian adalah kebijakan dan prosedur yang diperlukan untuk memastikan tindakan tanggapan risiko yang diidentiIikasi. Meskipun beberapa kegiatan ini mungkin hanya berhubungan dengan yang diidentiIikasi dan disetujui respon risiko di wilayah perusahaan tersebut, mereka sering tumpang tindih di beberapa Iungsi dan unit. Kontrol kegiatan komponen COSO ERM harus terkait erat dengan strategi risiko dan tindakan respon dibahas sebelumnya. Setelah memilih respon resiko yang memadai, perusahaan harus memilih kontrol aktivitas yang diperlukan untuk memastikan bahwa risiko tanggapan dijalankan secara tepat waktu dan eIisien. Proses menentukan apakah kegiatan kontrol melakukan benar sangat mirip dengan menyelesaikan SOx Bagian 404 penilaian pengendalian internal. COSO ERM panggilan untuk pendekatan mengidentiIikasi, mendokumentasikan, pengujian, dan kemudian memvalidasi pengendalian risiko perlindungan ini. 7. Information & Communication Meskipun relatiI mudah untuk menggambarkan bagaimana inIormasi harus dikomunikasikan dari satu komponen COSO ERM ke yang lain dalam diagram alir sederhana, melakukannya merupakan proses yang jauh lebih kompleks dalam praktek. Dasar proses dalam banyak perusahaan terdiri dari web kompleks sistem inIormasi operasional dan keuangan yang sering tidak terkait dengan baik. Hubungan ini menjadi lebih kompleks untuk proses ERM banyak, mengingat bahwa banyak aplikasi enterprise dasar tidak langsung meminjamkan diri untuk identiIikasi risiko, penilaian, dan proses risiko-respon-tipe. Di luar aplikasi ERM inIormasi yang komprehensiI untuk perusahaan, ada kebutuhan untuk mengembangkan pemantauan risiko dan sistem komunikasi yang memiliki pranala dengan pelanggan, pemasok, dan stakeholders lainnya. Sedangkan segmen inIormasi dari ERM inIormasi dan komunikasi komponen biasanya pemikiran dalam hal TI inIormasi strategis dan operasional sistem, aspek kedua komponen ini, komunikasi ERM, berbicara tentang komunikasi melebihi sekedar aplikasi IT. 8. Monitoring Ditempatkan di dasar komponen model kerangka ERM, pemantauan ERM diperlukan untuk menentukan bahwa semua komponen terpasang ERM bekerja secara eIektiI. Orang dalam perubahan perusahaan, seperti halnya mendukung proses dan baik internal dan kondisi eksternal, tetapi komponen pemantauan membantu memastikan bahwa ERM bekerja eIektiI secara terus menerus. Contoh pemantauan termasuk proses untuk bendera pengecualian atau pelanggaran dalam proses ERM komponen lainnya. Sebagai contoh, piutang Iungsi penagihan piutang harus mengidentiIikasi keseluruhan keuangan dan operasional resiko jika tagihan pelanggan tidak dibayar secara tepat waktu. Sebuah berlangsung-hampir real time-kredit koleksi alat pemantauan dapat memberikan manajemen senior dengan sehari-hari dan data tren pada status koleksi. Manajemen Risiko dan ERM COSO dalam Perspektif Karena dua model kerangka tampak cukup serupa pada pengamatan pertama, sangat mudah untuk mengabaikan karakteristik unik dari COSO ERM. Butuh waktu bertahun-tahun untuk pengendalian COSO internal untuk diakui sebagai teknis studi yang lebih menarik. Sudah dikodiIikasi pertama sebagai standar audit oleh American Institute oI CertiIied Public Akuntan Standar Audit Board (ASB) dan menerima beberapa yang telah disebutkan dalam publikasi IIA, tapi butuh SOx untuk memberikan kontrol internal COSO. Undang-undang SOx awal berbicara tentang akuntansi internal standar "akan didirikan." Kemudian Publik Akuntansi perusahaan Pengawasan Dewan (PCAOB) mengamanatkan bahwa COSO kontrol internal harus review pengendalian internal standar. Tiba setelah SOx, COSO ERM belum memiliki tingkat pengakuan yang sama. The IIA adalah pendukung awal yang penting, dan unsur-unsur ERM dapat dilihat dalam versi baru tujuan Control untuk inIormasi dan yang terkait Teknologi (COBIT) kerangka kerja, tetapi masih belum pada tingkat yang sama penting dan signiIikansi hari ini untuk suatu perusahaan sebagai kontrol internal COSO
Pendekatan sederhana untuk investasi ekuitas: Panduan pengantar investasi ekuitas untuk memahami apa itu investasi ekuitas, bagaimana cara kerjanya, dan apa strategi utamanya