P. 1
Penerapan Sarbanes Oxley di Indonesia

Penerapan Sarbanes Oxley di Indonesia

|Views: 6,034|Likes:
Audit EDP Penerapan SarbOx di Indonesia
Audit EDP Penerapan SarbOx di Indonesia

More info:

Published by: Agaphilaksmo Parayudha on May 13, 2010
Copyright:Attribution Non-commercial

Availability:

Read on Scribd mobile: iPhone, iPad and Android.
download as PDF, TXT or read online from Scribd
See more
See less

06/29/2013

pdf

text

original

AUDIT SISTEM INFORMASI BERBASIS KOMPUTER

PENERAPAN SARBANES-OXLEY DI INDONESIA

I. PENDAHULUAN Audit sistem informasi merupakan proses pengumpulan dan evaluasi bukti-bukti untuk menentukan apakah sistem komputer yang digunakan telah dapat melindungi aset milik organisasi, mampu menjaga integritas data, dapat membantu pencapaian tujuan organisasi secara efektif, serta menggunakan sumber daya yang dimiliki secara efisien. Audit SI/TI relative baru ditemukan dibanding audit keuangan, seiring dengan meningkatnya penggunan TI untuk mensupport aktifitas bisnis. Ada beberapa aspek yang diperiksa pada audit sistem teknologi informasi: Audit secara keseluruhan menyangkut efektifitas, efisiensi, availability system, reliability, confidentiality, dan integrity, serta aspek security. Selanjutnya adalah audit atas proses, modifikasi program, audit atas sumber data, dan data file. Beberapa aturan mengenai IT audit sudah disusun di Amerika Serikat yang meliputi beberapa aturan penting seperti Sarbanes Oxley Act. Sarbanes-Oxley Act (SOA) merupakan sebuah produk hukum (Undang-Undang) di Amerika Serikat (AS) yang mengatur tentang akuntabilitas, praktik akuntansi dan keterbukaan informasi, termasuk tata cara pengelolaan data di perusahaan publik. Namun di Indonesia baru sebagian kecil yang baru menerapkan aturan tersebut. A. Latar Belakang Munculnya Sarbanes – Oxley

Sarbanes-Oxley atau kadang disingkat SOx atau SOA adalah hukum federal Amerika Serikat yang ditetapkan pada 30 Juli 2002. Undang-undang ini diprakarsai oleh Senator Paul Sarbanes (Maryland) dan Representative Michael Oxley (Ohio) yang disetujui oleh Dewan dengan suara 423-3 dan oleh Senat dengan suara 99-0 serta disahkan menjadi hukum oleh Presiden George W. Bush. Undang-undang ini dikeluarkan sebagai respons dari Kongres Amerika Serikat terhadap berbagai skandal pada beberapa perusahaan besar seperti: Enron, Tyco International, Adelphia, Peregrine Systems, WorldCom (MCI), AOL TimeWarner, Aura Systems, Citigroup, Computer Associates International, CMS Energy, Global Crossing, HealthSouth, Quest Communication, Safety-Kleen dan Xerox, yang juga melibatkan beberapa KAP yang termasuk dalam “the big five” seperti: Arthur Andersen, KPMG dan PWC. Audit Sistem Informasi Berbasis Komputer 1

Skandal-skandal yang menyebabkan kerugian bilyunan dolar bagi investor karena runtuhnya harga saham perusahaan-perusahaan yang terpengaruh ini mengguncang kepercayaan masyarakat terhadap pasar saham. Semua skandal ini merupakan contoh tragis (fraud

bagaimana

kecurangan

schemes) berdampak sangat buruk terhadap pasar, stakeholders dan para pegawai. Dengan diterbitkannya undangundang ini, ditambah dengan beberapa aturan pelaksanaan dari Securities Exchange Commision (SEC) dan

beberapa self regulatory bodies lainnya, diharapkan akan meningkatkan standar akuntabilitas perusahaan, transparansi dalam pelaporan keuangan, memperkecil kemungkinan bagi perusahaan atau organisasi untuk melakukan dan menyembunyikan fraud, serta membuat perhatian pada tingkat sangat tinggi terhadap corporate governance. Perundang-undangan ini menetapkan suatu standar baru dan lebih baik bagi semua dewan dan manajemen perusahaan publik serta kantor akuntan publik walaupun tidak berlaku bagi perusahaan tertutup. Akta ini terdiri dari 11 bab atau bagian yang menetapkan hal-hal mulai dari tanggung jawab tambahan Dewan Perusahaan hingga hukuman pidana. Sarbox juga menuntut Securities and Exchange Commission (SEC) untuk menerapkan aturan persyaratan baru untuk menaati hukum ini. Saat ini, corporate governance dan pengendalian internal bukan lagi sesuatu yang mewah lagi karena kedua hal ini telah disyaratkan oleh undang-undang.

B. Audit Sistem informasi Audit pada dasarnya adalah sebuah proses yang sistematis dan objektif dalam mengevaluasi kegiatan ekonomi serta memperolah bukti-bukti yang relevan, guna memberikan asersi dan menilai sejauh apakah tindakan ekonomi yang dijalankan sesuai dengan kriteria yang berlaku dan melaporkannya kepada pihak yang berkepentingan. Terdiri dari dua dimensi utama, yaitu Audit keuangan dan Audit operasional terhadap sumber daya informasi, Audit TI dapat diartikan secara harfiah menjadi dua. Yang pertama, audit keuangan bertujuan untuk memastikan tidak adanya salah saji material pada laporan keuanggan dengan menggunakan sistem audit berbasis komputer. Sementara pemahaman kedua mengaudit efektivitas, efisiensi, serta tepat guna atau tidaknya unit fungsional sestem serta kinerja manajemen TI pada suatu perusahaan. Sehingga definisi yang Audit Sistem Informasi Berbasis Komputer 2

digunakan adalah: Audit sistem informasi (teknologi informasi) merupakan proses pengumpulan dan evaluasi bukti-bukti untuk menentukan apakah sistem computer yang digunakan telah dapat melindungi asset milik organisasi mampu menjaga integritas data, dapat membantu pencapaian tujuan organisasi secara efektif, serta dapat menggunakan sumber daya yang dimiliki secara efektif, serta dapat menggunakan sumber daya yang dimilki secara efisien Audit TI dikelompokkan berdasarkan letak kendalinya yaitu : Pengendalian umum (general kontrol). Audit secara keseluruhan yang menyangkut availability sistem, reliability, confidentiality, integrity dan security. Audit proses meliputi modifikasi pada program audit, atas sumber data, audit file data, audit storage, serta alur data dan infomasi dalam perusahaan. Pada dasarnya, tahapan-tahapan dalam audit TI tidak berbeda dengan audit pada umumnya. Perbedaan dengan audit biasa, seringkali auditor TI menerapakan teknik audit berbantuan komputer. Teknik ini digunakan untuk menganalisis data. Secara garis besar terdapat 5 tahapan utama dalam metodologi audit TI yaitu ; Fase 1 : Perencanaan Fase 2 : Indentifikasi Resiko dan Kendali Fase 3 : Evaluasi Kendali dan Bukti Fase 4 : Dokumentasi dan Rapat Fase 5 : Laporan dan Presentasi

C. Aktivitas SOA pada perusahaan Dalam Sarbanes Oxley Act diatur tentang akuntansi, pengungkapan dan pembaharuan governance yang mensyaratkan adanya pengungkapan yang lebih banyak mengenai informasi keuangan, keterangan tentang hasil-hasil yang dicapai manajemen, kode etik bagi pejabat di bidang keuangan, pembatasan kompensasi eksekutif, dan pembentukan komite audit yang independen. Selain itu diatur pula mengenai hal-hal sebagai berikut: a. Menetapkan beberapa tanggung jawab baru kepada dewan komisaris, komite audit, dan pihak manajemen b. Mendirikan the Public Company Accounting Oversight Board, sebuah dewan yang independen dan bekerja full-time bagi pelaku pasar modal

Audit Sistem Informasi Berbasis Komputer

3

c. Penambahan

tanggung

jawab

dan

anggaran

SEC

(Securities

Exchange

Commision) secara signifikand. Mendefinisikan jasa “non-audit” yang tidak boleh diberikan oleh KAP kepada klien . d. Memperbesar hukuman bagi terjadinya corporate fraud (manipulasi perusahaan) e. Mensyaratkan adanya aturan mengenai cara menghadapi conflicts of interest f. Menetapkan beberapa persyaratan pelaporan yang baru

Dalam hal pelaporan, Sarbanes-Oxley Act mewajibkan semua perusahaan publik untuk membuat suatu sistem pelaporan yang memungkinkan bagi pegawai atau pengadu untuk melaporkan terjadinya penyimpangan. Sistem pelaporan ini diselenggarakan oleh komite audit. Perusahaan dapat menggunakan jasa pelaporan hotlines seperti ACFE’s EthicsLine. ACFE dapat membantu menyusun hotlines pengaduan yang akan menerima dan merahasiakan pengaduan, dan memberikan informasi kepada perusahaan agar dapat mengambil tindakan yang tepat. Sistem hotlines ini akan mendorong para pegawai untuk melaporkan karena mereka merasa aman dari tindakan pembalasan dari yang dilaporkan, dan inilah elemen penting dan kritis bagi program pencegahan fraud yang kuat.

II. SOX’S ACT Secara keseluruhan SOX’s Act terdiri dari 11 Title dan 69 Sections, yaitu: Sec. 1. Short title; table of contents. Sec. 2. Definitions. Sec. 3. Commission rules and enforcement. TITLE I—PUBLIC COMPANY ACCOUNTING OVERSIGHT BOARD Sec. 101. Establishment; administrative provisions. Sec. 102. Registration with the Board. Sec. 103. Auditing, quality control, and independence standards and rules. Sec. 104. Inspections of registered public accounting firms. Sec. 105. Investigations and disciplinary proceedings. Sec. 106. Foreign public accounting firms. Sec. 107. Commission oversight of the Board. Sec. 108. Accounting standards. Sec. 109. Funding. TITLE II—AUDITOR INDEPENDENCE Sec. 201. Services outside the scope of practice of auditors. Sec. 202. Preapproval requirements. Sec. 203. Audit partner rotation. Sec. 204. Auditor reports to audit committees. Sec. 205. Conforming amendments. Sec. 206. Conflicts of interest. Sec. 207. Study of mandatory rotation of registered public accounting firms. Audit Sistem Informasi Berbasis Komputer 4

Sec. 208. Commission authority. Sec. 209. Considerations by appropriate State regulatory authorities. TITLE III—CORPORATE RESPONSIBILITY Sec. 301. Public company audit committees. Sec. 302. Corporate responsibility for financial reports. Sec. 303. Improper influence on conduct of audits. Sec. 304. Forfeiture of certain bonuses and profits. Sec. 305. Officer and director bars and penalties. Sec. 306. Insider trades during pension fund blackout periods. Sec. 307. Rules of professional responsibility for attorneys. Sec. 308. Fair funds for investors. TITLE IV—ENHANCED FINANCIAL DISCLOSURES Sec. 401. Disclosures in periodic reports. Sec. 402. Enhanced conflict of interest provisions. Sec. 403. Disclosures of transactions involving management and principal stockholders. Sec. 404. Management assessment of internal controls. Sec. 405. Exemption. Sec. 406. Code of ethics for senior financial officers. Sec. 407. Disclosure of audit committee financial expert. Sec. 408. Enhanced review of periodic disclosures by issuers. Sec. 409. Real time issuer disclosures. TITLE V—ANALYST CONFLICTS OF INTEREST Sec. 501. Treatment of securities analysts by registered securities associations and national securities exchanges. TITLE VI—COMMISSION RESOURCES AND AUTHORITY Sec. 601. Authorization of appropriations. Sec. 602. Appearance and practice before the Commission. Sec. 603. Federal court authority to impose penny stock bars. Sec. 604. Qualifications of associated persons of brokers and dealers. TITLE VII—STUDIES AND REPORTS Sec. 701. GAO study and report regarding consolidation of public accounting firms. Sec. 702. Commission study and report regarding credit rating agencies. Sec. 703. Study and report on violators and violations Sec. 704. Study of enforcement actions. Sec. 705. Study of investment banks. TITLE VIII—CORPORATE AND CRIMINAL FRAUD ACCOUNTABILITY Sec. 801. Short title. Sec. 802. Criminal penalties for altering documents. Sec. 803. Debts nondischargeable if incurred in violation of securities fraud laws. Sec. 804. Statute of limitations for securities fraud. Sec. 805. Review of Federal Sentencing Guidelines for obstruction of justice and extensive criminal fraud. Sec. 806. Protection for employees of publicly traded companies who provide evidence of fraud. Sec. 807. Criminal penalties for defrauding shareholders of publicly traded companies. TITLE IX—WHITE-COLLAR CRIME PENALTY ENHANCEMENTS Sec. 901. Short title. Sec. 902. Attempts and conspiracies to commit criminal fraud offenses. Sec. 903. Criminal penalties for mail and wire fraud. Sec. 904. Criminal penalties for violations of the Employee Retirement Income Security Act of 1974. Sec. 905. Amendment to sentencing guidelines relating to certain white-collar offenses. Audit Sistem Informasi Berbasis Komputer 5

Sec. 906. Corporate responsibility for financial reports. TITLE X—CORPORATE TAX RETURNS Sec. 1001. Sense of the Senate regarding the signing of corporate tax returns by chief executive officers. TITLE XI—CORPORATE FRAUD AND ACCOUNTABILITY Sec. 1101. Short title. Sec. 1102. Tampering with a record or otherwise impeding an official proceeding. Sec. 1103. Temporary freeze authority for the Securities and Exchange Commission. Sec. 1104. Amendment to the Federal Sentencing Guidelines. Sec. 1105. Authority of the Commission to prohibit persons from serving as officers or directors. Sec. 1106. Increased criminal penalties under Securities Exchange Act of 1934. Sec. 1107. Retaliation against informants. Secara umum SOX’s Act terdiri dari tiga bagian penting yang harus diperhatikan oleh manajemen perusahaan publik, yaitu: Seksi 404, 906, dan 302. Peraturan ini sudah mulai dilaksanakan oleh perusahaan-perusahaan publik di AS sejak dikeluarkannya peraturan

tersebut, Juli 2002, namun yang menjadi penekanan adalah seksi 302 dan seksi 404. Seksi 404 berisi peraturan yang mewajibkan manajemen untuk menilai internal kontrol yang sudah dilaksanakan atas laporan keuangannya serta pengesahan dari auditor eksternal. Seksi 906 berisi peraturan yang mewajibkan manajemen perusahaan secara periodik untuk melaporkan segala sesuatu menyangkut informasi keuangan yang juga tunduk kepada peraturan bursa saham, serta menyatakan dengan benar kondisi laporan keuangan dan hasil operasi perusahaan. SOX’s act seksi 302 berisi peraturan yang hampir sama dengan seksi 906, tetapi seksi 302 berisi tambahan atas pengungkapan yang berhubungan dengan pengungkapan internal kontrol dan prsodurnya, serta internal kontrol dan penipuan/kecurangan. Berikut ini dijelaskan beberapa bagian (section) dari Sarbanes-Oxley mendapat perhatian. A. Seksi 101 Seksi 101 SOX mengatur tentang pembentukan dan ”administrative provisions” dari Public Company Accounting Oversight Board (PCAOB). PCAOB memiliki 5 anggota yang menguasai keuangan (financially-literate), menjabat selama 5 tahun. Dua anggota dari PCAOB harus CPA (Certified Public Accountant), dan sisa tiga anggotanya tidak harus dan dapat bukan CPA. B. Seksi 102 Seksi 102 SOX mengatur tentang pendaftaran atau registrasi dengan PCAOB. Kantor akuntan publik (audit firms) yang terlibat dalam audit perusahaan publik harus terdaftar dalam audit perusahaan publik harus terdaftar pada PCAOB. C. Seksi 103 Seksi 103 SOX mengatur tentang auditing, pengendalian mutu, dan aturan, aturan dan standar indenpendensi. PCAOB akan membuat standar auditing dan standar atestasi yang berkaitan, Audit Sistem Informasi Berbasis Komputer 6 Act yang perlu

standar pengendalian mutu, dan standar etik yang digunakan kantor akuntan publik dalam penyusunan dan penerbitan laporan audit dari emiten (issuers) sebagaimana yang disyaratkan oleh Sarbones-Oxley Act (SOX) dan peraturan SEC. PCAOB akan memasukkan standar auditing suatu persyaratan bahwa kantor akuntan publik harus menyusun dan memelihara kertas kerja untuk periode paling sedikit 7 tahun. D. Seksi 104 Seksi 104 SOX mengatur tentang inspeksi kantor akuntan publik. Inspeksi pengendalian mutu tahunan harus dilakukan setiap tahun untuk kantor akuntan publik yang melakukan audit lebih dari 100 emiten. Kantor akuntan publik yang lain harus diinspeksi paling sedikit 3 tahun sekali. Inspeksi khusus dapat dilakukan berdasarkan permintaan SEC atau PCAOB. E. Seksi 105 Seksi 105 SOX mengatur tentang investigasi dan tindakan disipliner (disciplinary procedings). Apabila PCAOB telah menentukan bahwa sebuah kantor akuntan publik melakukan praktik yang melanggar Sarbanes-Oxley Act (SOX), peraturan-peraturan PCAOB, atau peraturan pasar modal yang berkaitan dengan penerbitan laporan audit, PCAOB dapat menjatuhkan sanksi, mencakup suspensi sementara atau pencabutan (revocation) izin permanen atau dikeluarkan dsari asosiasi akuntan publik, denda financial, pemberian hukuman (censure), pendidikan atau pelatihan tambahan, atau sanksi lain yang diberikan berdasarkan peraturan PCAOB. F. Seksi 201 Seksi 201 mengatur jasa di luar ruang lingkup praktik auditor. Adalah melanggar hukum bagi sebuah kantor akuntan publik yang memberikan jasa non audit kepada emiten, yang mencakup: a) Bookkeeping or other services related to the accounting records or financial statement of the audit client; b) Financial information systems design and implementation; c) Appraisal or valuation services, fairness opinions, or contribution-in kind reports; d) Actuarial services; e) Internal audit outsourcing services; f) Management functions or human resources; g) Broker or dealer, investment adviser, or investment banking services; h) Any other services that PCAOB determines, by regulation, is impermissible. Jasa non-audit dapat diberikan apabila jasa tersebut disetujui terlebih dahulu oleh komite audit. Komite audit akan mengungkapkan kepada investor dalam laporan berkala keputusannya dalam pemberian persetujuan pendahuluan untuk jasa non-audit. G. Seksi 203 Seksi 203 SOX mengatur rotasi partner audit. Partner yang mengepalai atau mengkoordinasi dan partner penelaah (reviewing partner) harus dirotasikan setiap 5 tahun. H. Seksi 204 Seksi 204 SOX mengatur tentang laporan auditor kepala komite audit. Kantor akuntan publik harus melaporkan kepada komite audit semua: a. Kebijakan dan praktik akuntansi kritikal yang digunakan; b. Seluruh perlakuan alternatif dari informasi keuangan dalam prinsip-prinsip akuntansi yang berlaku umum (Generally Accepted Accounting Principle/GAAP) yang telah didiskusikan dengan manajemen.

Audit Sistem Informasi Berbasis Komputer

7

Seksi 206 Seksi 206 SOX mengatur tentang benturan kepentingan (conflicts of interest) CEO, kontroler, CFO, Chief Accounting Officer atau orang yang berada dalam posisi ekuivalen tidak boleh dijabat oleh kantor akuntan publik perusahaan selam periode satu tahun setelah audit (1 years period preceding audit). J. Seksi 207 Seksi 207 SOX mengatur tentang studi keharusan rotasi akuntan publik terdaftar. GAO akan melakukan studi atas pengaruh potensial dari mensyaratkan keharusan rotasi dari kantor akuntan publik. K. Seksi 301 Seksi 301 SOX mengatur tentang komite audit perusahaan publik. Setiap anggota dari komite audit harus merupakan anggota independen dari board of directors emiten. Komite audit harus secara langsung bertanggung jawab atas penunjukan, kompensasi, dan pengawasan dari pekerjaan kantor akuntan publik yang ditunjuk oleh emiten. L. Seksi 302 SOX’s Act 2002 seksi 302 ini merupakan dokumen penjelasan manajemen atas internal kontrol yang ada pada perusahaan. Pihak manajemen yang bertanggungjawab dalam pengungkapan ini adalah direktur utama dan direktur keuangan perusahaan. Dibawa ini adalah contoh pernyataan manajemen: “Kami sudah merancang internal kontrol atas laporan keungan perusahaan kami,dan kami sudah memantau pelaksanaan internal kontrol tersebut, dengan tujuan untuk menyediakan jaminan kepada pihak luar atas keandalan laporan keuangan perusahaan kami, dan memberikan jaminan lebih lanjut bahwa laporan keuangan perusahaan kami sudah sesuai dengan prinsip akuntansi berlaku umum di Amerika Serikat”. M. Seksi 303 Seksi 303 SOX mengatur tentang pengaruh yang tidak tepat atas pelaksanaan audit. Adalah melanggar hukum bagi setiap pejabat atau direktur dari emiten melakukan tindakan apapun untuk secara curabg mempengaruhi, memaksakan, memanipulasi, atau menyesatkan siapapun auditornya yang ditunjuk dalam pelaksanaan suatu audit dengan tujuan untuk membuat laporan keuangan secara material menyesatkan. N. Seksi 404 SOX’s Act seksi 404 ini berisi kewajiban bagi manajemen perusahaan untuk menilai internal control yang sudah dilaksanakan atas laporan keuangannya;

I.

Audit Sistem Informasi Berbasis Komputer

8

1. Perusahaan harus mengevaluasi internal kontrol atas laporan keuangannya setiap tahun. Manajemen harus menyimpulkan efektifitas dari internal kontrol setiap akhir tahun. Pihak yang bertanggungjawab untuk mengevaluasi internal kontrol perusahaan adalah departemen internal control/audit 2. Akuntan publik yang disewa perusahaan harus menegaskan dan melaporkan hasil evaluasi atas internal kontrol atas laporan keuangan perusahaan. Seksi 404 secara khusus memberikan perhatian kepada internal kontrol perusahaan atas laporan keuangannya. Dalam mengevaluasi internal kontrol yang dilaksanakan perusahaan, manajemen melalui departemen internal kontrol/audit perlu menggunakan kerangka yang disusun oleh COSO (Committee of Sponsoring Organization of the Tradeway Commission). O. Siklus SOX’s Act Seksi 404

1.

Tahap Perencanaan Implementasi SOX’s Seksi 404 Dalam tahap perencanaan untuk implementasi SOX, departemen internal control/audit

harus bekerja sama dengan pemilik proses bisnis (Business Process Owner) sebab pemilik proses

Audit Sistem Informasi Berbasis Komputer

9

bisnislah yang merupakan pemilik atas pengendalian internal dalam proses bisnis yang menjadi tanggungjawabnya. Pemilik proses bisnis ini nantinya harus mengesahkan kontrol yang sudah dipetakan oleh auditor. Lebih lanjut, pada tahapan ini auditor harus menentukan sumber daya yang dibutuhkan untuk me-review proses bisnis yang kegiatannya mempengaruhi laporan keuangan perusahaan. Pada tahap perencanaan, auditor harus menentukan cakupan atas pemeriksaan yang dilakukan. Sesuai dengan standard audit (PCAOB; Public Company Accounting Oversight Board), cakupan pemeriksaan SOX’s harus memperhatikan: 1. Lokasi-lokasi atas unit-unit bisnis dalam perusahaan yang memiliki porsi besar dari aktifitas perusahaan secara keseluruhan. Menurut PCAOB unit-unit bisnis yang besar operasinya 60 sampai 75% dari total operasi perusahaan dan dipertimbangkan mempengaruhi posisi keuangan perusahan untuk hal-hal berikut: Pendapatan (Revenue) Laba operasi Pendapatan bersih (Net Income) Total Assets Ekuitas pemegang saham 2. Lokasi unit-unit bisnis yang memiliki resiko signifikan (misalnya; unit bisnis yang baru diakuisisi, pusat jasa layanan, dsb.) Contoh ruang lingkup pemeriksaan SOX 404, sebagai berikut: Siklus utama Aktiva tetap (Fixed Assets); Pembelian; Pendapatan; Pajak Penghasilan; Persediaan; Pelaporan Keuangan; Dana pensiun, dsb.

Siklus Teknologi Informasi Merupakan kontrol umum atas penggunaan komputer perusahaan:

Audit Sistem Informasi Berbasis Komputer

10

-

Pengembangan dan implementasi sistem Pengelolaan atas perubahaan sistem Keamanan Operasi sistem

Siklus lain juga dapat ditambahkan sesuai dengan kondisi bisnis perusahaan (besar perusahaan dan tingkat kompleksitas operasi perusahaan); misalnya: Royalti, ekuitas perusahaan, dsb. 2. Tahap Dokumentasi Proses Bisnis Dalam tahap dokumentasi proses bisnis yang sudah termasuk dalam cakupan evaluasi SOX 404, maka hal-hal yang harus diperhatikan adalah: a. Tujuan dari pemeriksaan. Tujuan dari pemeriksaan SOX 404 adalah untuk mengevaluasi dan mendokumentasi kontrol yang dilaksanakan manajemen dalam aktifitas kesehariannya b. Identifikasi dan dokumentasi pengendalian internal yang ada yang relevan dengan proses bisnis dan sub-proses bisnis dari setiap siklus yang akan direview oleh departemen internal kontrol c. Pendokumentasian proses bisnis dalam bentuk bagan (flow chart), narasi yang didukung oleh contoh dari dokumen yang digunakan dalam proses bisnis tersebut d. Dokumentasi ketidakcukupan kontrol untuk proses yang bersangkutan 3. Tahap Pengujian Dalam tahap ini, auditor perlu memperhatikan hal-hal berikut: a. Tujuan dari evaluasi kontrol adalah untuk meyakinkan kesesuaian kontrol yang dirancang manajemen terhadap operasi bisnis yang dilaksanakannya b. Pemilihan sampel (besar sampel) untuk pengujian kontrol yang ada c. Identifikasi dan dokumentasi kontrol yang tidak berjalan dengan sepenuhnya (control deficiency) d. Evaluasi dan melaporkan defisiensi kontrol untuk menentukan waktu dan area perbaikan e. Berdasarkan evaluasi dan hasil pengujian, evaluasi kembali kontrol yang dibutuhkan untuk memperbaiki kontrol yang ada atau menciptakan kontrol yang baru f. Pada tahapan testing ini, auditor perlu mendapatkan persetujuan dari pemilik proses bisnis (manajemen bersangkutan) atas kontrol yang sudah diidentifikasi oleh auditor serta rencana pengujian atas kontrol tersebut Audit Sistem Informasi Berbasis Komputer 11

4.

Tahap Perbaikan Tujuan dari tahap perbaikan ini adalah untuk memberikan kesempatan kepada

manajemen memperbaiki kontrol yang ada. Untuk itu, auditor perlu mengkomunikasikan hasil pengujiannya kepada manajemen dan mengembangkan rencana perbaikan (penentuan waktu perbaikan dan batas waktu perbaikan). 5. Tahap Pengujian Kembali

a. Setelah melalui masa perbaikan, auditor harus menguji kembali kontrol yang ada melalui contoh dokumen (sampel) untuk memastikan bahwa manajemen sudah melakukan perbaikan atas pelaksanaan kontrol yang ada; b. Jumlah dokumen (jumlah sampel) yang akan diuji tidak sama dengan jumlah sampel seperti pada waktu auditor melakukan pengujian sebelumnya c. Departemen internal kontrol/audit harus menentukan standard terhadap besarnya jumlah sampel yang diperlukan untuk tahap pengujian kembali ini. Jumlah sampel didasarkan atas pertimbangan auditor terhadap kondisi perusahaan (jumlah transaksi, kompleksitas perusahaan) d. Auditor harus menyiapkan kertas kerja terpisah untuk tahap pengujian kembali e. Jika dari hasil pengujian kembali ini, auditor menemukan bahwa pelaksanaan kontrol sudah diperbaiki dan dilakukan secara konsisten, maka auditor dapat menyimpulkan bahwa internal kontrol atas aktifitas tersebut sudah berjalan dengan baik (isu yang ada bisa ditutup). Tetapi jika dari hasil pengujian kembali tersebut auditor menemukan bahwa manajemen masih melaksanakan kontrol tersebut dengan tidak konsisten, maka auditor dapat menyimpulkan bahwa pelaksanaan kontrol untuk aktifitas tersebut tidak berjalan dengan baik. Hal ini sering dianggap sebagai issue yang masih belum terpecahkan (open issue). Apapun hasil dan kesimpulan auditor terhadap pelaksanaan internal kontrol atas aktifitas yang dievaluasinya harus dilaporkan kepada manajemen perusahaan, Top Manajemen (Direktrur Internal Kontrol, Direktur Keuangan, dan Direktur Utama perusahaan).

6. Tahap Pengelompokan Hasil Pada tahap ini semaua hasil dikelompokkan dengan kriteria yang ditetapkan untuk mempermudah menyusun laporan. 7. Tahap Pelaporan Pada tahapan ini, manajemen harus melaporkan hasil evaluasi internal kontrol yang ada pada perusahaan tersebut. Manajemen harus melaporkan defisiensi kontrol yang ada dan

Audit Sistem Informasi Berbasis Komputer

12

masih ada dan rencana untuk penyelesaian defisiensi tersebut, serta isu-isu terkait dengan defisiens kontrol yang ditemukan. P. Seksi 407 Seksi 407 SOX mengatur tentang pengungkapan dari keahlian keuangan komite audit. SEC akan menerbitkan peraturan yang mensyaratkan emiten mengungkapkan apakah paling sedikit satu anggota dari komite audit adalah ahli keuangan seperti yang didefinisikan dalam seksi 407 SOX. Q. Seksi 701 Seksi 701 SOX mengatur tentang studi GAO dan laporan yang berkaitan dengan konsolidasi dari kantor akuntan publik. GAO akan melakukan studi untuk mengidentifikasi faktor-faktor yang menuntun konsolidasi kantor akuntan sejak 1989, pengaruh dari konsolidasi atas pembentukan modal dan pasar ekuitas, dan solusi terhadap setiap masalah yang diidentifikasi, mencakup cara-cara untuk meningkatkan kompetensi dan jumlah perusahaan yang mampu untuk menyediakan jasa audit kepada organisasi usaha besar yang bergantung pada peraturan sekuritas. R. Seksi 802 Seksi 802 SOX mengatur tentang hukuman kriminal untuk mngubah dokumen. Adalah tindak pidana yang tergolong berat (felony) secara sengaja merusak atau menciptakan dokumen untuk menghalangi (impede/obstruct) atau mempengaruhi setiap investigasi federal yang sedang berlangsung atau akan diadakan. S. Seksi 806 Seksi 806 SOX mengatur tentang ”Employee Whistleblower Protection”. Seksi 806 memungkinkan suatu aksi sipil bagi pekerja perusahaan publik yang mendapatkan pembalasan (retailiation) dari pemberi kerja karena mengungkapkan aktivitas illegal. Seksi 806 dari SarbanesOxley Act melarang perusahaan publik membebaskan (discharging), menurunkan jabatan (threatening), mengganggu (harassing) atau dengan cara-cara lain melakukan diskriminasi terhadap setiap pejabat, karyawan, kontraktor, subkontraktor, atau agen, karena suatu tindakan yang sesuai dengan hukum (lawful act) yang dilakukan oleh orang tersebut, memberikan informasi, menyebabkan informasi diberikan, ataupun membantu dalam menyelidiki setiap tindakan tersebut yang melanggar hukum, seperti mail, Wire, bank dan securities fraud. T. Seksi 906 Sarbanes Oxley Act section 906 berisi : 1. CEO dan CFO melakukan sertifikasi bahwa, laporan periodik ‘fully complies’ peraturan yang

dikeluarkan oleh US SEC, informasi yang terkandung pada laporan periodik tersebut disajikan secara wajar, dalam keseluruhan hal yang material, terhadap kondisi keuangan dan hasil operasi perusahaan. 2. Hukuman atas penyimpangan dalam section 906 bagi individu yang secara sadar melakukan

penyimpangan dikenakan denda sampai dengan $1 juta dan hukuman penjara sampai dengan 10 tahun. Dan, bagi individu yang dengan sengaja dan secara sadar melakukan penyimpangan, akan dikenakan denda sampai dengan $5 juta dan hukuman penjara sampai dengan 20 tahun.

Audit Sistem Informasi Berbasis Komputer

13

U. Seksi 1102 Seksi 1102 SOX mengatur tentang perusakan catatan ataupun penghilangan acara kerja (official proceeding). Setiap orang yang secara korup mengubah, merusak (destroy/mutilate) atau menyembunyikan setiap catatan, dokumen atau objek lain dengan maksud untuk merusak integritas objek tersebut atau ketersediaanya untuk penggunaan dalam acara kerja pejabat atau merusak, mempengaruhi atau menghalangi setiap acara kerja pejabat akan didenda dan/atau dipenjarakan samapai dengan 20 tahun.

III. IMPLIKASI SARBANES-OXLEY ACT A. Manfaat Sarbanes Oxley Act dalam Audit Sistem Informasi Manfaat SOA dalam Audit Sistem Informasi adalah untuk meningkatkan program perlindungan bagi pegawai yang menjadi pengadu atau pemberi informasi, yang mendapatkan perlakuan buruk dari perusahaannya setelah membeberkan adanya fraud manipulasi dan membantu investigasi seperti: dipecat, didemosikan, diskors, diancam, dilecehkan dan berbagai perlakuan diskriminatif lainnya. Selain itu juga menuntut perusahaan untuk memahami, mendokumentasi, dan menyempurnakan kontrol internal terkait pelaporan keuangan, dengan terus meningkatkan akurasi proses bisnis dan informasi transaksionalnya, serta membangun perbaikan proses secara berkelanjutan. Dalam Sarbanes-Oxley Act diatur tentang akuntansi, pengungkapan dan pembaharuan governance; yang mensyaratkan adanya pengungkapan yang lebih banyak mengenai informasi keuangan, keterangan tentang hasil-hasilyang dicapai manajemen, kode etik bagi pejabat di bidang keuangan, pembatasan kompensasi eksekutif, dan pembentukan komite audit yang independen. Selain itu diatur pula mengenai hal-hal sebagai berikut: Menetapkan beberapa tanggung jawab baru kepada dewan komisaris, komite audit dan pihak manajemen Mendirikan the Public Company Accounting Oversight Board, sebuah dewan yang independen dan bekerja full-time bagi pelaku pasar modal Penambahan tanggung jawab dan anggaran SEC secara signifikan Mendefinisikan jasa “non-audit” yang tidak boleh diberikan oleh KAP kepada klien Memperbesar hukuman bagi terjadinya corporate fraud Mensyaratkan adanya aturan mengenai cara menghadapi conflicts of interest Menetapkan beberapa persyaratan pelaporan yang baru.

Pengaturan yang ketat dalam Sarbanes Oxley akan memberikan manfaat bagi perusahaan yang menerapkan Sarbanes Oxley dan bagi konsumen dalam perusahaan tersebut. Audit Sistem Informasi Berbasis Komputer 14

Manfaat Penerapan Sarbanes Oxley Bagi Perusahaan Perusahaan publik akan memiliki sistem pengendalian intern yang lebih baik, sehingga akuntabilitas dan integritas pelaporan keuangannya lebih dapat dipercaya dan diandalkan. Kepercayaan investor lebih meningkat. Memiliki citra (image) yang positif di mata publik dan pemangku kepentingan lainnya. Membantu perusahaan untuk melakukan Good Governance Corporation dengan baik

Manfaat Penerapan Sarbanes Oxley Bagi Konsumen Meningkatkan kepercayaan konsumen terhadap perusahaan Menghindari adanya kebohongan publik oleh perusahaan Konsumen dapat memastikan akurasi laporan keuangan perusahaan

B.

Kebutuhan akan Penerapan Sarbanes – Oxley Act pada Perusahaan Sarbaness-Oxley Act (SOA) diterbitkan untuk memproteksi kepentingan investor

dengan cara menciptakan tata kelola perusahaan yang baik (good corporate governance), full disclosure, dan akuntabilitas dalam perusahaan (Sarbanes dan Oxley, 2002). SOA khususnya section 404 mensyaratkan adanya laporan manajemen tahunan (annual management report) tentang pengendalian intern perusahaan atas pelaporan keuangan dan laporan manajemen tersebut merupakan subjek yang akan diaudit. Pada dasarnya SOA ditujukan kepada perusahaan publik yang terdaftar dalam bursa saham. Namun juga dapat diterapkan pada perusahaan non-publik. Karena Dalam SOA diatur tentang akuntansi, pengungkapan dan pembaharuan governance yang mensyaratkan adanya pengungkapan yang lebih banyak mengenai informasi keuangan, keterangan tentang hasil-hasil yang dicapai manajemen, kode etik bagi pejabat di bidang keuangan, pembatasan kompensasi eksekutif, dan pembentukan komite audit yang independen. Perusahaan sangat perlu Sarbanes Oxley untuk menunjukkan kepada masyarakat bahwa perusahaan tersebut tidak ada unsur fraud (manipulasi) didalamnya khususnya pada perusahaan publik yang harus mempunyai kepercayaan terhadap masyarakat. Sarbanes Oxley Act juga meningkatkan perlindungan bagi pegawai karena SOA mewajibkan semua perusahaan publik untuk membuat suatu sistem pelaporan yang memungkinkan bagi pegawai untuk melaporkan terjadinya penyimpangan. Sistem pelaporan hotlines ini akan mendorong para pegawai untuk melaporkan

Audit Sistem Informasi Berbasis Komputer

15

karena mereka merasa aman dari tindakan pembalasan dari yang dilaporkan, dan inilah elemen penting dan kritis bagi program pencegahan frauds (manipulasi).

C.

Resiko tidak Complience (mematuhi) terhadap SOA bagi Perusahaan

1. Dalam Financial Resiko tidak complience (mematuhi) terhadap SOA bagi perusahaan dalam hal financial adalah dapat menyebabkan kebangkrutan bagi perusahaan khususnya perusahaan publik jika ternyata terdapat fraud (manipulasi) dalam perusahaan tersebut. Karena dapat mengakibatkan hilangnya kepercayaan masyarakat dan menarik semua saham-sahamnya dan akan menyebabkan kebangkrutan bagi perusahaan. 2. Dalam Non-Financial Resiko tidak complience (mematuhi) terhadap SOA bagi perusahaan dalam hal nonfinancial adalah dapat menyebabkan perlakuan buruk bagi pegawai jika terjadi

pengakuan/membeberkan dan memberi informasi jika terjadi fraud (manipulasi) dan membantu investigasi di dalam perusahaan. seperti perlakuan diskrimatif lainnya. IV. PENERAPAN SOA DI INDONESIA PT Telekomunikasi Indonesia, Tbk sebagai perusahaan yang telah tercatat di bursa saham dalam negeri dan luar negeri berkomitmen penuh untuk mengembangkan dan menerapkan kebijakan serta praktek tata kelola perusahaan dengan pembenahan internal dan pemenuhan standard internasional. Standard internasional khususnya aturan yang ditetapkan oleh US Securities and Exchange Commission (US SEC) yang harus diadopsi oleh PT. Telekomunikasi Indonesia, Tbk, sebagai salah satu perusahaan yang telah listing di New York Stock Exchange (NYSE), adalah Sarbanes Oxley Act (SOA). Sistem pengendalian internal yang tercantum dalam Sarbanes Oxley Act merupakan unsur penting dalam praktek Good Corporate Governance. PT Telekomunikasi Indonesia, Tbk saat ini menerapkan tiga section Sarbanes Oxley Act, yaitu section 302, section 404, dan section 906. Hal ini dilakukan dengan pertimbangan tiga section tersebut dapat diterapkan sebagai langkah awal implementasi Sarbanes Oxley Act. Sedangkan untuk section lainnya, kemungkinan di masa mendatang juga akan diterapkan secara bertahap bila perusahaan telah mampu menjalankan tiga section tersebut dengan lengkap dan benar, serta adanya pertimbangan manajemen terhadap benefit yang diperoleh. Audit Sistem Informasi Berbasis Komputer 16 dipecat, didemosikan, dilecehkan dan berbagai

V. KEUNGGULAN DAN KETERBATASAN SOA A. Keunggulan Penerapan SOA 1) Tanggung Jawab Perusahaan Undang-undang ini menekankan dan meminta perusahaan untuk bertanggungjawab secara terafiliasi. Manajemen harus membuat pernyataan bahwa laporan keuangan telah disajikan secara akurat dan tidak menimbulkan salah tafsir. Selain itu, pernyataan manajemen juga harus mencakup bahwa laporan keuangan yang disajikan telah menerapkan sistem pengawasan internal yang sehat. Komite Audit harus berperan aktif antara lain dengan melakukan pengawasan ketat terhadap auditor, melakukan pemisahan antara audit service dengan non-audit service, dan melakukan persetujuan dan pengungkapan atas semua jasa non-audit. 2) Auditor Walaupun selama ini sudah diatur tentang independensi akuntan publik tetapi dalam undangundang ini diperketat lagi kewajiban mempertahankan independensi akuntan dan membentuk Dewan Pengawas Akuntan Publik. Undang-undang ini melarang pemberian jasa non-audit diluar jasa perpajakan dan juga mencantumkan adanya kewajiban untuk melakukan tugas bergilir terhadap pelaksana dan penanggung jawab audit. 3) Perluasan Pengungkapan Dalam undang-undang ini ada beberapa hal yang wajib diungkapkan, antara lain: penilaian setiap tahun oleh manajemen dan auditor terhadap sistem pengawasan internal, kewajiban untuk menyajikan laporan proforma, pelaporan transaksi saham internal dalam jangka waktu dua hari, pengungkapan semua pembiayaan yang bersifat off-balance sheet dan pembiayaan yang bersifat kontingensi (seperti pada industri perbankan), dan beberapa informasi tertentu yang dianggap penting harus di laporkan secara real time. 4) Analis Saham Analis saham harus mendapatkan pengungkapan terhadap informasi yang berkenaan dengan kemungkinan adanya konflik kepentingan (conflict of interest). 5) Securities Exchange Committee (SEC) SEC memperluas objek reviewnya terhadap laporan keuangan perusahaan, meningkatkan kekuasaan untuk memaksa perusahaan melaksanakan peraturannnya dan menaikkan biaya hukuman terhadap setiap pelanggaran UU pasar modal.

Audit Sistem Informasi Berbasis Komputer

17

B. Keterbatasan SOA Sarbanes Oxley Act memberikan beberapa perhatian untuk pengendalian internal terbukti dengan adanya jasa hotlines yang disediakan untuk proses pelaporan frauds yang disaksikan oleh pegawai dan perlindungan terhadap pegawai tersebut atas pelaporannya. Tapi sayangnya SOA memiliki beberapa kelemahan, yang pertama adalah memfokuskan pada pemberian sanksi dan perlakuan terhadap subject, namun pada kenyataanya kebanyakan kasus fraud yang terjadi bukan hanya terjadi karena individu yang melakukannya (Moral Hazard) tapi lebih dikarenakan adanya permainan dalam sistem. Oleh karena itu, terdapatlah limitation of Internal Controls yang berarti kebanyakan kegagalan yang terjadi dalam internal controls terjadi karena masing-masing individu, yang seharusnya menerapkan prinsip internal controls ini dengan baik, dengan sengaja melakukan pelanggaran dan bersepakat secara bersama-sama menyeleweng. Dan sampai saat ini belum ada sistem yang dapat menakut-nakuti orang-orang yang memiliki peluang untuk melakukan kecurangan baik dalam lingkup manajemen ataupun individu. Efek sanksi dengan adanya SOA nampaknya tidak terlalu ampuh untuk dipopulerkan. Ini terbukti dengan terjadinya kasus frauds untuk kesekian kalinya di Amerika yang secara menyeluruh mengadopsi SOA. Bahkan terjadi beberapa kasus fraud lebih parah dan sampai-sampai

menyebabkan kerusakan ekonomi global. Ada komponen lain yang menyebabkan internal controls tidak berjalan secara semestinya, yaitu ketika moral hazard atas individu yang terjadi dalam sebuah perusahaan sudah tersistem. Contoh kasusnya adalah AIG yang merupakan salah satu perusahaan asuransi besar didunia. Hedge Fund dan peluang pengendalian uang yang besar oleh manajemen menjadi daya tarik tersendiri untuk melakukan skandal keuangan. Pengendalian dan pengontrolan terhadap manajemen perusahan tidak hanya dilakukan oleh komite audit tapi juga harus sejalan dengan regulasi dan pengontrolan yang dilakukan oleh pemerintah. Selain itu, daya pikir kritis terhadap kondisi sebuah perusahaan yang sudah dianggap baik haruslah ditingkatkan. Inspeksi keuangan pada sebuah perusahaan harus dilakukan secara berkala agar pendeteksian kecurangan bisa ditemukan lebih awal. Pembuatan regulasi dan sanksi luar biasa dalam pengendalian moral hazard harus dilakukan agar tidak terjadi suatu kegagalan sistemik yang akan mengakibatkan semua instrument pengendalian baik regulasi pemerintah, kode etik perusahaan, maupun nilai-nilai/budaya dalam perusahaaan harus kembali diperbaiki lagi dari awal.

Audit Sistem Informasi Berbasis Komputer

18

VI. SIMPULAN Sarbanes Oxley Act bertujuan untuk mengembalikan kepercayaan investor pasca skandal akuntansi dan kebangkrutan perusahaan2 besar di Amerika. Secara umum SOA mengatur tentang Akuntansi, pengungkapan dan pembaharuan governance, yang mensyaratkan adanya pengungkapan yang lebih banyak mengenai informasi keuangan, keterangan tentang hasil-hasil yang dicapai manajemen, kode etik bagi pejabat di bidang keuangan, pembatasan komite audit yang independen, pembatasan kompensasi eksekutif dan lain-lain. Sehingga pada intinya SOA memberikan persyaratan bagi sebuah perusahaan terhadap pengendalian internalnya. Perdebatan mengenai untung rugi penerapan SOA masih terus terjadi. Para pendukungnya merasa bahwa aturan ini diperlukan dan memegang peranan penting untuk mengembalikan kepercayaan publik terhadap pasar modal nasional dengan antara lain memperkuat pengawasan akuntansi perusahaan. Sementara para penentangnya berkilah bahwa SOA tidak diperlukan dan campur tangan pemerintah dalam manajemen perusahaan menempatkan perusahaan-perusahaan pada kerugian kompetitif terhadap perusahaan asing.

Audit Sistem Informasi Berbasis Komputer

19

You're Reading a Free Preview

Download
scribd
/*********** DO NOT ALTER ANYTHING BELOW THIS LINE ! ************/ var s_code=s.t();if(s_code)document.write(s_code)//-->