AUDIT SISTEM INFORMASI BERBASIS KOMPUTER

PENERAPAN SARBANES-OXLEY DI INDONESIA

I. PENDAHULUAN

Audit sistem informasi merupakan proses pengumpulan dan evaluasi bukti-bukti untuk
menentukan apakah sistem komputer yang digunakan telah dapat melindungi aset milik organisasi,
mampu menjaga integritas data, dapat membantu pencapaian tujuan organisasi secara efektif, serta
menggunakan sumber daya yang dimiliki secara efisien. Audit SI/TI relative baru ditemukan
dibanding audit keuangan, seiring dengan meningkatnya penggunan TI untuk mensupport aktifitas
bisnis.
Ada beberapa aspek yang diperiksa pada audit sistem teknologi informasi: Audit secara
keseluruhan menyangkut efektifitas, efisiensi, availability system, reliability, confidentiality, dan
integrity, serta aspek security. Selanjutnya adalah audit atas proses, modifikasi program, audit atas
sumber data, dan data file.
Beberapa aturan mengenai IT audit sudah disusun di Amerika Serikat yang meliputi
beberapa aturan penting seperti Sarbanes Oxley Act. Sarbanes-Oxley Act (SOA) merupakan sebuah
produk hukum (Undang-Undang) di Amerika Serikat (AS) yang mengatur tentang akuntabilitas,
praktik akuntansi dan keterbukaan informasi, termasuk tata cara pengelolaan data di perusahaan
publik. Namun di Indonesia baru sebagian kecil yang baru menerapkan aturan tersebut.

A. Latar Belakang Munculnya Sarbanes – Oxley

Sarbanes-Oxley atau kadang disingkat SOx atau SOA adalah hukum federal Amerika Serikat
yang ditetapkan pada 30 Juli 2002. Undang-undang ini diprakarsai oleh Senator Paul Sarbanes
(Maryland) dan Representative Michael Oxley (Ohio) yang disetujui oleh Dewan dengan suara 423-3
dan oleh Senat dengan suara 99-0 serta disahkan menjadi hukum oleh Presiden George W. Bush.
Undang-undang ini dikeluarkan sebagai respons dari Kongres Amerika Serikat terhadap berbagai
skandal pada beberapa perusahaan besar seperti: Enron, Tyco International, Adelphia, Peregrine
Systems, WorldCom (MCI), AOL TimeWarner, Aura Systems, Citigroup, Computer Associates
International, CMS Energy, Global Crossing, HealthSouth, Quest Communication, Safety-Kleen dan
Xerox, yang juga melibatkan beberapa KAP yang termasuk dalam “the big five” seperti: Arthur
Andersen, KPMG dan PWC.

Audit Sistem Informasi Berbasis Komputer 1

 Skandal-skandal yang menyebabkan kerugian bilyunan dolar bagi investor karena runtuhnya
harga saham perusahaan-perusahaan yang terpengaruh ini mengguncang kepercayaan masyarakat
terhadap pasar saham. Semua skandal
ini merupakan contoh tragis
bagaimana kecurangan (fraud
schemes) berdampak sangat buruk
terhadap pasar, stakeholders dan para
pegawai.
Dengan diterbitkannya undang-
undang ini, ditambah dengan beberapa
aturan pelaksanaan dari Securities
Exchange Commision (SEC) dan
beberapa self regulatory bodies lainnya, diharapkan akan meningkatkan standar akuntabilitas
perusahaan, transparansi dalam pelaporan keuangan, memperkecil kemungkinan bagi perusahaan
atau organisasi untuk melakukan dan menyembunyikan fraud, serta membuat perhatian pada
tingkat sangat tinggi terhadap corporate governance.
Perundang-undangan ini menetapkan suatu standar baru dan lebih baik bagi semua dewan
dan manajemen perusahaan publik serta kantor akuntan publik walaupun tidak berlaku bagi
perusahaan tertutup. Akta ini terdiri dari 11 bab atau bagian yang menetapkan hal-hal mulai dari
tanggung jawab tambahan Dewan Perusahaan hingga hukuman pidana. Sarbox juga menuntut
Securities and Exchange Commission (SEC) untuk menerapkan aturan persyaratan baru untuk
menaati hukum ini. Saat ini, corporate governance dan pengendalian internal bukan lagi sesuatu
yang mewah lagi karena kedua hal ini telah disyaratkan oleh undang-undang.

B. Audit Sistem informasi

Audit pada dasarnya adalah sebuah proses yang sistematis dan objektif dalam mengevaluasi
kegiatan ekonomi serta memperolah bukti-bukti yang relevan, guna memberikan asersi dan menilai
sejauh apakah tindakan ekonomi yang dijalankan sesuai dengan kriteria yang berlaku dan
melaporkannya kepada pihak yang berkepentingan. Terdiri dari dua dimensi utama, yaitu Audit
keuangan dan Audit operasional terhadap sumber daya informasi, Audit TI dapat diartikan secara
harfiah menjadi dua. Yang pertama, audit keuangan bertujuan untuk memastikan tidak adanya salah
saji material pada laporan keuanggan dengan menggunakan sistem audit berbasis komputer.
Sementara pemahaman kedua mengaudit efektivitas, efisiensi, serta tepat guna atau tidaknya unit
fungsional sestem serta kinerja manajemen TI pada suatu perusahaan. Sehingga definisi yang

Audit Sistem Informasi Berbasis Komputer 2

digunakan adalah: Audit sistem informasi (teknologi informasi) merupakan proses pengumpulan dan
evaluasi bukti-bukti untuk menentukan apakah sistem computer yang digunakan telah dapat
melindungi asset milik organisasi mampu menjaga integritas data, dapat membantu pencapaian
tujuan organisasi secara efektif, serta dapat menggunakan sumber daya yang dimiliki secara efektif,
serta dapat menggunakan sumber daya yang dimilki secara efisien
Audit TI dikelompokkan berdasarkan letak kendalinya yaitu :
Pengendalian umum (general kontrol).
Audit secara keseluruhan yang menyangkut availability sistem, reliability, confidentiality,
integrity dan security.
Audit proses meliputi modifikasi pada program audit, atas sumber data, audit file data, audit
storage, serta alur data dan infomasi dalam perusahaan.
Pada dasarnya, tahapan-tahapan dalam audit TI tidak berbeda dengan audit pada umumnya.
Perbedaan dengan audit biasa, seringkali auditor TI menerapakan teknik audit berbantuan
komputer. Teknik ini digunakan untuk menganalisis data. Secara garis besar terdapat 5 tahapan
utama dalam metodologi audit TI yaitu ;
Fase 1 : Perencanaan
Fase 2 : Indentifikasi Resiko dan Kendali
Fase 3 : Evaluasi Kendali dan Bukti
Fase 4 : Dokumentasi dan Rapat
Fase 5 : Laporan dan Presentasi

C. Aktivitas SOA pada perusahaan

Dalam Sarbanes Oxley Act diatur tentang akuntansi, pengungkapan dan pembaharuan
governance yang mensyaratkan adanya pengungkapan yang lebih banyak mengenai informasi
keuangan, keterangan tentang hasil-hasil yang dicapai manajemen, kode etik bagi pejabat di
bidang keuangan, pembatasan kompensasi eksekutif, dan pembentukan komite audit yang
independen. Selain itu diatur pula mengenai hal-hal sebagai berikut:

a. Menetapkan beberapa tanggung jawab baru kepada dewan komisaris, komite

audit, dan pihak manajemen
b. Mendirikan the Public Company Accounting Oversight Board, sebuah dewan
yang independen dan bekerja full-time bagi pelaku pasar modal

Audit Sistem Informasi Berbasis Komputer 3

 c. Penambahan tanggung jawab dan anggaran SEC (Securities Exchange
Commision) secara signifikand. Mendefinisikan jasa “non-audit” yang tidak boleh
diberikan oleh KAP kepada klien .
d. Memperbesar hukuman bagi terjadinya corporate fraud (manipulasi perusahaan)
e. Mensyaratkan adanya aturan mengenai cara menghadapi conflicts of interest
f. Menetapkan beberapa persyaratan pelaporan yang baru

Dalam hal pelaporan, Sarbanes-Oxley Act mewajibkan semua perusahaan publik untuk
membuat suatu sistem pelaporan yang memungkinkan bagi pegawai atau pengadu untuk
melaporkan terjadinya penyimpangan. Sistem pelaporan ini diselenggarakan oleh komite audit.
Perusahaan dapat menggunakan jasa pelaporan hotlines seperti ACFE’s EthicsLine. ACFE dapat
membantu menyusun hotlines pengaduan yang akan menerima dan merahasiakan pengaduan,
dan memberikan informasi kepada perusahaan agar dapat mengambil tindakan yang tepat. Sistem
hotlines ini akan mendorong para pegawai untuk melaporkan karena mereka merasa aman dari
tindakan pembalasan dari yang dilaporkan, dan inilah elemen penting dan kritis bagi program
pencegahan fraud yang kuat.

II. SOX’S ACT

Secara keseluruhan SOX’s Act terdiri dari 11 Title dan 69 Sections, yaitu:

Sec. 1. Short title; table of contents.

Sec. 2. Definitions.
Sec. 3. Commission rules and enforcement.
TITLE I—PUBLIC COMPANY ACCOUNTING OVERSIGHT BOARD
Sec. 101. Establishment; administrative provisions.
Sec. 102. Registration with the Board.
Sec. 103. Auditing, quality control, and independence standards and rules.
Sec. 104. Inspections of registered public accounting firms.
Sec. 105. Investigations and disciplinary proceedings.
Sec. 106. Foreign public accounting firms.
Sec. 107. Commission oversight of the Board.
Sec. 108. Accounting standards.
Sec. 109. Funding.
TITLE II—AUDITOR INDEPENDENCE
Sec. 201. Services outside the scope of practice of auditors.
Sec. 202. Preapproval requirements.
Sec. 203. Audit partner rotation.
Sec. 204. Auditor reports to audit committees.
Sec. 205. Conforming amendments.
Sec. 206. Conflicts of interest.
Sec. 207. Study of mandatory rotation of registered public accounting firms.

Audit Sistem Informasi Berbasis Komputer 4

Sec. 208. Commission authority.
Sec. 209. Considerations by appropriate State regulatory authorities.
TITLE III—CORPORATE RESPONSIBILITY
Sec. 301. Public company audit committees.
Sec. 302. Corporate responsibility for financial reports.
Sec. 303. Improper influence on conduct of audits.
Sec. 304. Forfeiture of certain bonuses and profits.
Sec. 305. Officer and director bars and penalties.
Sec. 306. Insider trades during pension fund blackout periods.
Sec. 307. Rules of professional responsibility for attorneys.
Sec. 308. Fair funds for investors.
TITLE IV—ENHANCED FINANCIAL DISCLOSURES
Sec. 401. Disclosures in periodic reports.
Sec. 402. Enhanced conflict of interest provisions.
Sec. 403. Disclosures of transactions involving management and principal stockholders.
Sec. 404. Management assessment of internal controls.
Sec. 405. Exemption.
Sec. 406. Code of ethics for senior financial officers.
Sec. 407. Disclosure of audit committee financial expert.
Sec. 408. Enhanced review of periodic disclosures by issuers.
Sec. 409. Real time issuer disclosures.
TITLE V—ANALYST CONFLICTS OF INTEREST
Sec. 501. Treatment of securities analysts by registered securities associations and
national securities exchanges.
TITLE VI—COMMISSION RESOURCES AND AUTHORITY
Sec. 601. Authorization of appropriations.
Sec. 602. Appearance and practice before the Commission.
Sec. 603. Federal court authority to impose penny stock bars.
Sec. 604. Qualifications of associated persons of brokers and dealers.
TITLE VII—STUDIES AND REPORTS
Sec. 701. GAO study and report regarding consolidation of public accounting firms.
Sec. 702. Commission study and report regarding credit rating agencies.
Sec. 703. Study and report on violators and violations
Sec. 704. Study of enforcement actions.
Sec. 705. Study of investment banks.
TITLE VIII—CORPORATE AND CRIMINAL FRAUD ACCOUNTABILITY
Sec. 801. Short title.
Sec. 802. Criminal penalties for altering documents.
Sec. 803. Debts nondischargeable if incurred in violation of securities fraud laws.
Sec. 804. Statute of limitations for securities fraud.
Sec. 805. Review of Federal Sentencing Guidelines for obstruction of justice and extensive criminal
fraud.
Sec. 806. Protection for employees of publicly traded companies who provide evidence of fraud.
Sec. 807. Criminal penalties for defrauding shareholders of publicly traded companies.
TITLE IX—WHITE-COLLAR CRIME PENALTY ENHANCEMENTS
Sec. 901. Short title.
Sec. 902. Attempts and conspiracies to commit criminal fraud offenses.
Sec. 903. Criminal penalties for mail and wire fraud.
Sec. 904. Criminal penalties for violations of the Employee Retirement Income Security
Act of 1974.
Sec. 905. Amendment to sentencing guidelines relating to certain white-collar offenses.

Audit Sistem Informasi Berbasis Komputer 5

Sec. 906. Corporate responsibility for financial reports.
TITLE X—CORPORATE TAX RETURNS
Sec. 1001. Sense of the Senate regarding the signing of corporate tax returns by
chief executive officers.
TITLE XI—CORPORATE FRAUD AND ACCOUNTABILITY
Sec. 1101. Short title.
Sec. 1102. Tampering with a record or otherwise impeding an official proceeding.
Sec. 1103. Temporary freeze authority for the Securities and Exchange Commission.
Sec. 1104. Amendment to the Federal Sentencing Guidelines.
Sec. 1105. Authority of the Commission to prohibit persons from serving as officers
or directors.
Sec. 1106. Increased criminal penalties under Securities Exchange Act of 1934.
Sec. 1107. Retaliation against informants.

Secara umum SOX’s Act terdiri dari tiga bagian penting yang harus diperhatikan oleh
manajemen perusahaan publik, yaitu: Seksi 404, 906, dan 302. Peraturan ini sudah mulai
dilaksanakan oleh perusahaan-perusahaan publik di AS sejak dikeluarkannya peraturan
tersebut, Juli 2002, namun yang menjadi penekanan adalah seksi 302 dan seksi 404.

Seksi 404 berisi peraturan yang mewajibkan manajemen untuk menilai internal kontrol
yang sudah dilaksanakan atas laporan keuangannya serta pengesahan dari auditor eksternal.
Seksi 906 berisi peraturan yang mewajibkan manajemen perusahaan secara periodik untuk
melaporkan segala sesuatu menyangkut informasi keuangan yang juga tunduk kepada peraturan
bursa saham, serta menyatakan dengan benar kondisi laporan keuangan dan hasil operasi
perusahaan. SOX’s act seksi 302 berisi peraturan yang hampir sama dengan seksi 906, tetapi seksi
302 berisi tambahan atas pengungkapan yang berhubungan dengan pengungkapan internal
kontrol dan prsodurnya, serta internal kontrol dan penipuan/kecurangan.

Berikut ini dijelaskan beberapa bagian (section) dari Sarbanes-Oxley Act yang perlu
mendapat perhatian.

A. Seksi 101
Seksi 101 SOX mengatur tentang pembentukan dan ”administrative provisions” dari Public
Company Accounting Oversight Board (PCAOB). PCAOB memiliki 5 anggota yang menguasai
keuangan (financially-literate), menjabat selama 5 tahun. Dua anggota dari PCAOB harus CPA
(Certified Public Accountant), dan sisa tiga anggotanya tidak harus dan dapat bukan CPA.
B. Seksi 102
Seksi 102 SOX mengatur tentang pendaftaran atau registrasi dengan PCAOB. Kantor akuntan
publik (audit firms) yang terlibat dalam audit perusahaan publik harus terdaftar dalam audit
perusahaan publik harus terdaftar pada PCAOB.
C. Seksi 103
Seksi 103 SOX mengatur tentang auditing, pengendalian mutu, dan aturan, aturan dan
standar indenpendensi. PCAOB akan membuat standar auditing dan standar atestasi yang berkaitan,

Audit Sistem Informasi Berbasis Komputer 6

standar pengendalian mutu, dan standar etik yang digunakan kantor akuntan publik dalam
penyusunan dan penerbitan laporan audit dari emiten (issuers) sebagaimana yang disyaratkan oleh
Sarbones-Oxley Act (SOX) dan peraturan SEC. PCAOB akan memasukkan standar auditing suatu
persyaratan bahwa kantor akuntan publik harus menyusun dan memelihara kertas kerja untuk
periode paling sedikit 7 tahun.
D. Seksi 104
Seksi 104 SOX mengatur tentang inspeksi kantor akuntan publik. Inspeksi pengendalian mutu
tahunan harus dilakukan setiap tahun untuk kantor akuntan publik yang melakukan audit lebih dari
100 emiten. Kantor akuntan publik yang lain harus diinspeksi paling sedikit 3 tahun sekali. Inspeksi
khusus dapat dilakukan berdasarkan permintaan SEC atau PCAOB.
E. Seksi 105
Seksi 105 SOX mengatur tentang investigasi dan tindakan disipliner (disciplinary procedings).
Apabila PCAOB telah menentukan bahwa sebuah kantor akuntan publik melakukan praktik yang
melanggar Sarbanes-Oxley Act (SOX), peraturan-peraturan PCAOB, atau peraturan pasar modal yang
berkaitan dengan penerbitan laporan audit, PCAOB dapat menjatuhkan sanksi, mencakup suspensi
sementara atau pencabutan (revocation) izin permanen atau dikeluarkan dsari asosiasi akuntan
publik, denda financial, pemberian hukuman (censure), pendidikan atau pelatihan tambahan, atau
sanksi lain yang diberikan berdasarkan peraturan PCAOB.
F. Seksi 201
Seksi 201 mengatur jasa di luar ruang lingkup praktik auditor. Adalah melanggar hukum bagi
sebuah kantor akuntan publik yang memberikan jasa non audit kepada emiten, yang mencakup:
a) Bookkeeping or other services related to the accounting records or financial statement
of the audit client;
b) Financial information systems design and implementation;
c) Appraisal or valuation services, fairness opinions, or contribution-in kind reports;
d) Actuarial services;
e) Internal audit outsourcing services;
f) Management functions or human resources;
g) Broker or dealer, investment adviser, or investment banking services;
h) Any other services that PCAOB determines, by regulation, is impermissible.
Jasa non-audit dapat diberikan apabila jasa tersebut disetujui terlebih dahulu oleh komite audit.
Komite audit akan mengungkapkan kepada investor dalam laporan berkala keputusannya dalam
pemberian persetujuan pendahuluan untuk jasa non-audit.
G. Seksi 203
Seksi 203 SOX mengatur rotasi partner audit. Partner yang mengepalai atau mengkoordinasi
dan partner penelaah (reviewing partner) harus dirotasikan setiap 5 tahun.
H. Seksi 204
Seksi 204 SOX mengatur tentang laporan auditor kepala komite audit. Kantor akuntan publik
harus melaporkan kepada komite audit semua:
a. Kebijakan dan praktik akuntansi kritikal yang digunakan;
b. Seluruh perlakuan alternatif dari informasi keuangan dalam prinsip-prinsip akuntansi yang
berlaku umum (Generally Accepted Accounting Principle/GAAP) yang telah didiskusikan
dengan manajemen.

Audit Sistem Informasi Berbasis Komputer 7

I. Seksi 206
Seksi 206 SOX mengatur tentang benturan kepentingan (conflicts of interest) CEO, kontroler,
CFO, Chief Accounting Officer atau orang yang berada dalam posisi ekuivalen tidak boleh dijabat
oleh kantor akuntan publik perusahaan selam periode satu tahun setelah audit (1 years period
preceding audit).
J. Seksi 207
Seksi 207 SOX mengatur tentang studi keharusan rotasi akuntan publik terdaftar. GAO akan
melakukan studi atas pengaruh potensial dari mensyaratkan keharusan rotasi dari kantor akuntan
publik.
K. Seksi 301
Seksi 301 SOX mengatur tentang komite audit perusahaan publik. Setiap anggota dari komite
audit harus merupakan anggota independen dari board of directors emiten. Komite audit harus
secara langsung bertanggung jawab atas penunjukan, kompensasi, dan pengawasan dari pekerjaan
kantor akuntan publik yang ditunjuk oleh emiten.

L. Seksi 302

SOX’s Act 2002 seksi 302 ini merupakan dokumen penjelasan manajemen atas internal
kontrol yang ada pada perusahaan. Pihak manajemen yang bertanggungjawab dalam
pengungkapan ini adalah direktur utama dan direktur keuangan perusahaan.

Dibawa ini adalah contoh pernyataan manajemen:

“Kami sudah merancang internal kontrol atas laporan keungan perusahaan kami,dan kami
sudah memantau pelaksanaan internal kontrol tersebut, dengan tujuan untuk menyediakan
jaminan kepada pihak luar atas keandalan laporan keuangan perusahaan kami, dan memberikan
jaminan lebih lanjut bahwa laporan keuangan perusahaan kami sudah sesuai dengan prinsip
akuntansi berlaku umum di Amerika Serikat”.

M. Seksi 303
Seksi 303 SOX mengatur tentang pengaruh yang tidak tepat atas pelaksanaan audit. Adalah
melanggar hukum bagi setiap pejabat atau direktur dari emiten melakukan tindakan apapun untuk
secara curabg mempengaruhi, memaksakan, memanipulasi, atau menyesatkan siapapun auditornya
yang ditunjuk dalam pelaksanaan suatu audit dengan tujuan untuk membuat laporan keuangan
secara material menyesatkan.

N. Seksi 404

SOX’s Act seksi 404 ini berisi kewajiban bagi manajemen perusahaan untuk menilai internal
control yang sudah dilaksanakan atas laporan keuangannya;

Audit Sistem Informasi Berbasis Komputer 8

 1. Perusahaan harus mengevaluasi internal kontrol atas laporan keuangannya setiap
tahun. Manajemen harus menyimpulkan efektifitas dari internal kontrol setiap akhir
tahun. Pihak yang bertanggungjawab untuk mengevaluasi internal kontrol perusahaan
adalah departemen internal control/audit
2. Akuntan publik yang disewa perusahaan harus menegaskan dan melaporkan hasil
evaluasi atas internal kontrol atas laporan keuangan perusahaan.

Seksi 404 secara khusus memberikan perhatian kepada internal kontrol perusahaan
atas laporan keuangannya. Dalam mengevaluasi internal kontrol yang dilaksanakan perusahaan,

manajemen melalui departemen internal kontrol/audit perlu menggunakan kerangka yang disusun
oleh COSO (Committee of Sponsoring Organization of the Tradeway Commission).

O. Siklus SOX’s Act Seksi 404

1. Tahap Perencanaan Implementasi SOX’s Seksi 404

Dalam tahap perencanaan untuk implementasi SOX, departemen internal control/audit

harus bekerja sama dengan pemilik proses bisnis (Business Process Owner) sebab pemilik proses

Audit Sistem Informasi Berbasis Komputer 9

bisnislah yang merupakan pemilik atas pengendalian internal dalam proses bisnis yang menjadi
tanggungjawabnya.

Pemilik proses bisnis ini nantinya harus mengesahkan kontrol yang sudah dipetakan oleh auditor.
Lebih lanjut, pada tahapan ini auditor harus menentukan sumber daya yang dibutuhkan untuk
me-review proses bisnis yang kegiatannya mempengaruhi laporan keuangan perusahaan.

Pada tahap perencanaan, auditor harus menentukan cakupan atas pemeriksaan yang
dilakukan. Sesuai dengan standard audit (PCAOB; Public Company Accounting Oversight Board),
cakupan pemeriksaan SOX’s harus memperhatikan:

1. Lokasi-lokasi atas unit-unit bisnis dalam perusahaan yang memiliki porsi besar dari aktifitas
perusahaan secara keseluruhan. Menurut PCAOB unit-unit bisnis yang besar operasinya 60
sampai 75% dari total operasi perusahaan dan dipertimbangkan mempengaruhi posisi
keuangan perusahan untuk hal-hal berikut:
Pendapatan (Revenue)
Laba operasi
Pendapatan bersih (Net Income)
Total Assets
Ekuitas pemegang saham
2. Lokasi unit-unit bisnis yang memiliki resiko signifikan (misalnya; unit bisnis yang baru
diakuisisi, pusat jasa layanan, dsb.)

Contoh ruang lingkup pemeriksaan SOX 404, sebagai berikut:

Siklus utama

- Aktiva tetap (Fixed Assets);

- Pembelian;
- Pendapatan;
- Pajak Penghasilan;
- Persediaan;
- Pelaporan Keuangan;
- Dana pensiun, dsb.
Siklus Teknologi Informasi

Merupakan kontrol umum atas penggunaan komputer perusahaan:

Audit Sistem Informasi Berbasis Komputer 10

- Pengembangan dan implementasi sistem
- Pengelolaan atas perubahaan sistem
- Keamanan
- Operasi sistem
Siklus lain juga dapat ditambahkan sesuai dengan kondisi bisnis perusahaan (besar perusahaan dan
tingkat kompleksitas operasi perusahaan); misalnya: Royalti, ekuitas perusahaan, dsb.

2. Tahap Dokumentasi Proses Bisnis

Dalam tahap dokumentasi proses bisnis yang sudah termasuk dalam cakupan evaluasi
SOX 404, maka hal-hal yang harus diperhatikan adalah:

a. Tujuan dari pemeriksaan. Tujuan dari pemeriksaan SOX 404 adalah untuk mengevaluasi
dan mendokumentasi kontrol yang dilaksanakan manajemen dalam aktifitas
kesehariannya
b. Identifikasi dan dokumentasi pengendalian internal yang ada yang relevan dengan
proses bisnis dan sub-proses bisnis dari setiap siklus yang akan direview oleh
departemen internal kontrol
c. Pendokumentasian proses bisnis dalam bentuk bagan (flow chart), narasi yang
didukung oleh contoh dari dokumen yang digunakan dalam proses bisnis tersebut
d. Dokumentasi ketidakcukupan kontrol untuk proses yang bersangkutan
3. Tahap Pengujian

Dalam tahap ini, auditor perlu memperhatikan hal-hal berikut:

a. Tujuan dari evaluasi kontrol adalah untuk meyakinkan kesesuaian kontrol yang
dirancang manajemen terhadap operasi bisnis yang dilaksanakannya
b. Pemilihan sampel (besar sampel) untuk pengujian kontrol yang ada
c. Identifikasi dan dokumentasi kontrol yang tidak berjalan dengan sepenuhnya
(control deficiency)
d. Evaluasi dan melaporkan defisiensi kontrol untuk menentukan waktu dan area
perbaikan
e. Berdasarkan evaluasi dan hasil pengujian, evaluasi kembali kontrol yang dibutuhkan
untuk memperbaiki kontrol yang ada atau menciptakan kontrol yang baru
f. Pada tahapan testing ini, auditor perlu mendapatkan persetujuan dari pemilik
proses bisnis (manajemen bersangkutan) atas kontrol yang sudah diidentifikasi oleh
auditor serta rencana pengujian atas kontrol tersebut

Audit Sistem Informasi Berbasis Komputer 11

4. Tahap Perbaikan

Tujuan dari tahap perbaikan ini adalah untuk memberikan kesempatan kepada
manajemen memperbaiki kontrol yang ada. Untuk itu, auditor perlu mengkomunikasikan hasil
pengujiannya kepada manajemen dan mengembangkan rencana perbaikan (penentuan waktu
perbaikan dan batas waktu perbaikan).

5. Tahap Pengujian Kembali

a. Setelah melalui masa perbaikan, auditor harus menguji kembali kontrol yang ada melalui contoh
dokumen (sampel) untuk memastikan bahwa manajemen sudah melakukan perbaikan atas
pelaksanaan kontrol yang ada;
b. Jumlah dokumen (jumlah sampel) yang akan diuji tidak sama dengan jumlah sampel seperti pada
waktu auditor melakukan pengujian sebelumnya
c. Departemen internal kontrol/audit harus menentukan standard terhadap besarnya jumlah
sampel yang diperlukan untuk tahap pengujian kembali ini. Jumlah sampel didasarkan atas
pertimbangan auditor terhadap kondisi perusahaan (jumlah transaksi, kompleksitas perusahaan)
d. Auditor harus menyiapkan kertas kerja terpisah untuk tahap pengujian kembali
e. Jika dari hasil pengujian kembali ini, auditor menemukan bahwa pelaksanaan kontrol sudah
diperbaiki dan dilakukan secara konsisten, maka auditor dapat menyimpulkan bahwa internal
kontrol atas aktifitas tersebut sudah berjalan dengan baik (isu yang ada bisa ditutup). Tetapi jika
dari hasil pengujian kembali tersebut auditor menemukan bahwa manajemen masih
melaksanakan kontrol tersebut dengan tidak konsisten, maka auditor dapat menyimpulkan
bahwa pelaksanaan kontrol untuk aktifitas tersebut tidak berjalan dengan baik. Hal ini sering
dianggap sebagai issue yang masih belum terpecahkan (open issue). Apapun hasil dan
kesimpulan auditor terhadap pelaksanaan internal kontrol atas aktifitas yang dievaluasinya
harus dilaporkan kepada manajemen perusahaan, Top Manajemen (Direktrur Internal Kontrol,
Direktur Keuangan, dan Direktur Utama perusahaan).

6. Tahap Pengelompokan Hasil

Pada tahap ini semaua hasil dikelompokkan dengan kriteria yang ditetapkan untuk
mempermudah menyusun laporan.
7. Tahap Pelaporan

Pada tahapan ini, manajemen harus melaporkan hasil evaluasi internal kontrol yang
ada pada perusahaan tersebut. Manajemen harus melaporkan defisiensi kontrol yang ada dan

Audit Sistem Informasi Berbasis Komputer 12

masih ada dan rencana untuk penyelesaian defisiensi tersebut, serta isu-isu terkait dengan
defisiens kontrol yang ditemukan.

P. Seksi 407
Seksi 407 SOX mengatur tentang pengungkapan dari keahlian keuangan komite audit. SEC
akan menerbitkan peraturan yang mensyaratkan emiten mengungkapkan apakah paling sedikit satu
anggota dari komite audit adalah ahli keuangan seperti yang didefinisikan dalam seksi 407 SOX.
Q. Seksi 701
Seksi 701 SOX mengatur tentang studi GAO dan laporan yang berkaitan dengan konsolidasi
dari kantor akuntan publik. GAO akan melakukan studi untuk mengidentifikasi faktor-faktor yang
menuntun konsolidasi kantor akuntan sejak 1989, pengaruh dari konsolidasi atas pembentukan
modal dan pasar ekuitas, dan solusi terhadap setiap masalah yang diidentifikasi, mencakup cara-cara
untuk meningkatkan kompetensi dan jumlah perusahaan yang mampu untuk menyediakan jasa
audit kepada organisasi usaha besar yang bergantung pada peraturan sekuritas.
R. Seksi 802
Seksi 802 SOX mengatur tentang hukuman kriminal untuk mngubah dokumen. Adalah tindak
pidana yang tergolong berat (felony) secara sengaja merusak atau menciptakan dokumen untuk
menghalangi (impede/obstruct) atau mempengaruhi setiap investigasi federal yang sedang
berlangsung atau akan diadakan.
S. Seksi 806
Seksi 806 SOX mengatur tentang ”Employee Whistleblower Protection”. Seksi 806
memungkinkan suatu aksi sipil bagi pekerja perusahaan publik yang mendapatkan pembalasan
(retailiation) dari pemberi kerja karena mengungkapkan aktivitas illegal. Seksi 806 dari Sarbanes-
Oxley Act melarang perusahaan publik membebaskan (discharging), menurunkan jabatan
(threatening), mengganggu (harassing) atau dengan cara-cara lain melakukan diskriminasi terhadap
setiap pejabat, karyawan, kontraktor, subkontraktor, atau agen, karena suatu tindakan yang sesuai
dengan hukum (lawful act) yang dilakukan oleh orang tersebut, memberikan informasi,
menyebabkan informasi diberikan, ataupun membantu dalam menyelidiki setiap tindakan tersebut
yang melanggar hukum, seperti mail, Wire, bank dan securities fraud.

T. Seksi 906
Sarbanes Oxley Act section 906 berisi :
1. CEO dan CFO melakukan sertifikasi bahwa, laporan periodik ‘fully complies’ peraturan yang
dikeluarkan oleh US SEC, informasi yang terkandung pada laporan periodik tersebut disajikan secara
wajar, dalam keseluruhan hal yang material, terhadap kondisi keuangan dan hasil operasi
perusahaan.
2. Hukuman atas penyimpangan dalam section 906 bagi individu yang secara sadar melakukan
penyimpangan dikenakan denda sampai dengan $1 juta dan hukuman penjara sampai dengan 10
tahun. Dan, bagi individu yang dengan sengaja dan secara sadar melakukan penyimpangan, akan
dikenakan denda sampai dengan $5 juta dan hukuman penjara sampai dengan 20 tahun.

Audit Sistem Informasi Berbasis Komputer 13

 U. Seksi 1102
Seksi 1102 SOX mengatur tentang perusakan catatan ataupun penghilangan acara kerja (official
proceeding). Setiap orang yang secara korup mengubah, merusak (destroy/mutilate) atau
menyembunyikan setiap catatan, dokumen atau objek lain dengan maksud untuk merusak integritas
objek tersebut atau ketersediaanya untuk penggunaan dalam acara kerja pejabat atau merusak,
mempengaruhi atau menghalangi setiap acara kerja pejabat akan didenda dan/atau dipenjarakan
samapai dengan 20 tahun.

III. IMPLIKASI SARBANES-OXLEY ACT

A. Manfaat Sarbanes Oxley Act dalam Audit Sistem Informasi
Manfaat SOA dalam Audit Sistem Informasi adalah untuk meningkatkan program
perlindungan bagi pegawai yang menjadi pengadu atau pemberi informasi, yang mendapatkan
perlakuan buruk dari perusahaannya setelah membeberkan adanya fraud manipulasi dan membantu
investigasi seperti: dipecat, didemosikan, diskors, diancam, dilecehkan dan berbagai perlakuan
diskriminatif lainnya. Selain itu juga menuntut perusahaan untuk memahami, mendokumentasi, dan
menyempurnakan kontrol internal terkait pelaporan keuangan, dengan terus meningkatkan akurasi
proses bisnis dan informasi transaksionalnya, serta membangun perbaikan proses secara
berkelanjutan.
Dalam Sarbanes-Oxley Act diatur tentang akuntansi, pengungkapan dan pembaharuan
governance; yang mensyaratkan adanya pengungkapan yang lebih banyak mengenai informasi
keuangan, keterangan tentang hasil-hasilyang dicapai manajemen, kode etik bagi pejabat di bidang
keuangan, pembatasan kompensasi eksekutif, dan pembentukan komite audit yang independen.
Selain itu diatur pula mengenai hal-hal sebagai berikut:
Menetapkan beberapa tanggung jawab baru kepada dewan komisaris, komite audit dan pihak
manajemen
Mendirikan the Public Company Accounting Oversight Board, sebuah dewan yang independen
dan bekerja full-time bagi pelaku pasar modal
Penambahan tanggung jawab dan anggaran SEC secara signifikan
Mendefinisikan jasa “non-audit” yang tidak boleh diberikan oleh KAP kepada klien
Memperbesar hukuman bagi terjadinya corporate fraud
Mensyaratkan adanya aturan mengenai cara menghadapi conflicts of interest
Menetapkan beberapa persyaratan pelaporan yang baru.

Pengaturan yang ketat dalam Sarbanes Oxley akan memberikan manfaat bagi perusahaan
yang menerapkan Sarbanes Oxley dan bagi konsumen dalam perusahaan tersebut.

Audit Sistem Informasi Berbasis Komputer 14

 Manfaat Penerapan Sarbanes Oxley Bagi Perusahaan
Perusahaan publik akan memiliki sistem pengendalian intern yang lebih baik, sehingga
akuntabilitas dan integritas pelaporan keuangannya lebih dapat dipercaya dan diandalkan.
Kepercayaan investor lebih meningkat.
Memiliki citra (image) yang positif di mata publik dan pemangku kepentingan lainnya.
Membantu perusahaan untuk melakukan Good Governance Corporation dengan baik

Manfaat Penerapan Sarbanes Oxley Bagi Konsumen

Meningkatkan kepercayaan konsumen terhadap perusahaan
Menghindari adanya kebohongan publik oleh perusahaan
Konsumen dapat memastikan akurasi laporan keuangan perusahaan

B. Kebutuhan akan Penerapan Sarbanes – Oxley Act pada Perusahaan

Sarbaness-Oxley Act (SOA) diterbitkan untuk memproteksi kepentingan investor

dengan cara menciptakan tata kelola perusahaan yang baik (good corporate governance), full
disclosure, dan akuntabilitas dalam perusahaan (Sarbanes dan Oxley, 2002). SOA khususnya section
404 mensyaratkan adanya laporan manajemen tahunan (annual management report) tentang
pengendalian intern perusahaan atas pelaporan keuangan dan laporan manajemen tersebut
merupakan subjek yang akan diaudit.

Pada dasarnya SOA ditujukan kepada perusahaan publik yang terdaftar dalam bursa saham.
Namun juga dapat diterapkan pada perusahaan non-publik. Karena Dalam SOA diatur tentang
akuntansi, pengungkapan dan pembaharuan governance yang mensyaratkan adanya pengungkapan
yang lebih banyak mengenai informasi keuangan, keterangan tentang hasil-hasil yang dicapai
manajemen, kode etik bagi pejabat di bidang keuangan, pembatasan kompensasi eksekutif, dan
pembentukan komite audit yang independen.
Perusahaan sangat perlu Sarbanes Oxley untuk menunjukkan kepada masyarakat bahwa
perusahaan tersebut tidak ada unsur fraud (manipulasi) didalamnya khususnya pada perusahaan
publik yang harus mempunyai kepercayaan terhadap masyarakat. Sarbanes Oxley Act juga
meningkatkan perlindungan bagi pegawai karena SOA mewajibkan semua perusahaan publik untuk
membuat suatu sistem pelaporan yang memungkinkan bagi pegawai untuk melaporkan terjadinya
penyimpangan. Sistem pelaporan hotlines ini akan mendorong para pegawai untuk melaporkan

Audit Sistem Informasi Berbasis Komputer 15

karena mereka merasa aman dari tindakan pembalasan dari yang dilaporkan, dan inilah elemen
penting dan kritis bagi program pencegahan frauds (manipulasi).

C. Resiko tidak Complience (mematuhi) terhadap SOA bagi Perusahaan

1. Dalam Financial

Resiko tidak complience (mematuhi) terhadap SOA bagi perusahaan dalam hal financial
adalah dapat menyebabkan kebangkrutan bagi perusahaan khususnya perusahaan publik jika
ternyata terdapat fraud (manipulasi) dalam perusahaan tersebut. Karena dapat mengakibatkan
hilangnya kepercayaan masyarakat dan menarik semua saham-sahamnya dan akan menyebabkan
kebangkrutan bagi perusahaan.

2. Dalam Non-Financial

Resiko tidak complience (mematuhi) terhadap SOA bagi perusahaan dalam hal non-
financial adalah dapat menyebabkan perlakuan buruk bagi pegawai jika terjadi
pengakuan/membeberkan dan memberi informasi jika terjadi fraud (manipulasi) dan membantu
investigasi di dalam perusahaan. seperti dipecat, didemosikan, dilecehkan dan berbagai
perlakuan diskrimatif lainnya.

IV. PENERAPAN SOA DI INDONESIA

PT Telekomunikasi Indonesia, Tbk sebagai perusahaan yang telah tercatat di bursa saham
dalam negeri dan luar negeri berkomitmen penuh untuk mengembangkan dan menerapkan
kebijakan serta praktek tata kelola perusahaan dengan pembenahan internal dan pemenuhan
standard internasional. Standard internasional khususnya aturan yang ditetapkan oleh US Securities
and Exchange Commission (US SEC) yang harus diadopsi oleh PT. Telekomunikasi Indonesia, Tbk,
sebagai salah satu perusahaan yang telah listing di New York Stock Exchange (NYSE), adalah
Sarbanes Oxley Act (SOA). Sistem pengendalian internal yang tercantum dalam Sarbanes Oxley Act
merupakan unsur penting dalam praktek Good Corporate Governance. PT Telekomunikasi Indonesia,
Tbk saat ini menerapkan tiga section Sarbanes Oxley Act, yaitu section 302, section 404, dan section
906. Hal ini dilakukan dengan pertimbangan tiga section tersebut dapat diterapkan sebagai langkah
awal implementasi Sarbanes Oxley Act. Sedangkan untuk section lainnya, kemungkinan di masa
mendatang juga akan diterapkan secara bertahap bila perusahaan telah mampu menjalankan tiga
section tersebut dengan lengkap dan benar, serta adanya pertimbangan manajemen terhadap
benefit yang diperoleh.

Audit Sistem Informasi Berbasis Komputer 16

V. KEUNGGULAN DAN KETERBATASAN SOA

A. Keunggulan Penerapan SOA

1) Tanggung Jawab Perusahaan

Undang-undang ini menekankan dan meminta perusahaan untuk bertanggungjawab secara
terafiliasi. Manajemen harus membuat pernyataan bahwa laporan keuangan telah disajikan secara
akurat dan tidak menimbulkan salah tafsir. Selain itu, pernyataan manajemen juga harus mencakup
bahwa laporan keuangan yang disajikan telah menerapkan sistem pengawasan internal yang sehat.
Komite Audit harus berperan aktif antara lain dengan melakukan pengawasan ketat terhadap
auditor, melakukan pemisahan antara audit service dengan non-audit service, dan melakukan
persetujuan dan pengungkapan atas semua jasa non-audit.

2) Auditor
Walaupun selama ini sudah diatur tentang independensi akuntan publik tetapi dalam undang-
undang ini diperketat lagi kewajiban mempertahankan independensi akuntan dan membentuk
Dewan Pengawas Akuntan Publik. Undang-undang ini melarang pemberian jasa non-audit diluar jasa
perpajakan dan juga mencantumkan adanya kewajiban untuk melakukan tugas bergilir terhadap
pelaksana dan penanggung jawab audit.

3) Perluasan Pengungkapan
Dalam undang-undang ini ada beberapa hal yang wajib diungkapkan, antara lain: penilaian setiap
tahun oleh manajemen dan auditor terhadap sistem pengawasan internal, kewajiban untuk
menyajikan laporan proforma, pelaporan transaksi saham internal dalam jangka waktu dua hari,
pengungkapan semua pembiayaan yang bersifat off-balance sheet dan pembiayaan yang bersifat
kontingensi (seperti pada industri perbankan), dan beberapa informasi tertentu yang dianggap
penting harus di laporkan secara real time.

4) Analis Saham
Analis saham harus mendapatkan pengungkapan terhadap informasi yang berkenaan dengan
kemungkinan adanya konflik kepentingan (conflict of interest).

5) Securities Exchange Committee (SEC)

SEC memperluas objek reviewnya terhadap laporan keuangan perusahaan, meningkatkan kekuasaan
untuk memaksa perusahaan melaksanakan peraturannnya dan menaikkan biaya hukuman terhadap
setiap pelanggaran UU pasar modal.

Audit Sistem Informasi Berbasis Komputer 17

B. Keterbatasan SOA

Sarbanes Oxley Act memberikan beberapa perhatian untuk pengendalian internal terbukti
dengan adanya jasa hotlines yang disediakan untuk proses pelaporan frauds yang disaksikan oleh
pegawai dan perlindungan terhadap pegawai tersebut atas pelaporannya. Tapi sayangnya SOA
memiliki beberapa kelemahan, yang pertama adalah memfokuskan pada pemberian sanksi dan
perlakuan terhadap subject, namun pada kenyataanya kebanyakan kasus fraud yang terjadi bukan
hanya terjadi karena individu yang melakukannya (Moral Hazard) tapi lebih dikarenakan adanya
permainan dalam sistem.
Oleh karena itu, terdapatlah limitation of Internal Controls yang berarti kebanyakan
kegagalan yang terjadi dalam internal controls terjadi karena masing-masing individu, yang
seharusnya menerapkan prinsip internal controls ini dengan baik, dengan sengaja melakukan
pelanggaran dan bersepakat secara bersama-sama menyeleweng. Dan sampai saat ini belum ada
sistem yang dapat menakut-nakuti orang-orang yang memiliki peluang untuk melakukan kecurangan
baik dalam lingkup manajemen ataupun individu.
Efek sanksi dengan adanya SOA nampaknya tidak terlalu ampuh untuk dipopulerkan. Ini
terbukti dengan terjadinya kasus frauds untuk kesekian kalinya di Amerika yang secara menyeluruh
mengadopsi SOA. Bahkan terjadi beberapa kasus fraud lebih parah dan sampai-sampai
menyebabkan kerusakan ekonomi global. Ada komponen lain yang menyebabkan internal controls
tidak berjalan secara semestinya, yaitu ketika moral hazard atas individu yang terjadi dalam sebuah
perusahaan sudah tersistem. Contoh kasusnya adalah AIG yang merupakan salah satu perusahaan
asuransi besar didunia. Hedge Fund dan peluang pengendalian uang yang besar oleh manajemen
menjadi daya tarik tersendiri untuk melakukan skandal keuangan.
Pengendalian dan pengontrolan terhadap manajemen perusahan tidak hanya dilakukan oleh
komite audit tapi juga harus sejalan dengan regulasi dan pengontrolan yang dilakukan oleh
pemerintah. Selain itu, daya pikir kritis terhadap kondisi sebuah perusahaan yang sudah dianggap
baik haruslah ditingkatkan. Inspeksi keuangan pada sebuah perusahaan harus dilakukan secara
berkala agar pendeteksian kecurangan bisa ditemukan lebih awal. Pembuatan regulasi dan sanksi
luar biasa dalam pengendalian moral hazard harus dilakukan agar tidak terjadi suatu kegagalan
sistemik yang akan mengakibatkan semua instrument pengendalian baik regulasi pemerintah, kode
etik perusahaan, maupun nilai-nilai/budaya dalam perusahaaan harus kembali diperbaiki lagi dari
awal.

Audit Sistem Informasi Berbasis Komputer 18

VI. SIMPULAN

Sarbanes Oxley Act bertujuan untuk mengembalikan kepercayaan investor pasca skandal akuntansi
dan kebangkrutan perusahaan2 besar di Amerika. Secara umum SOA mengatur tentang Akuntansi,
pengungkapan dan pembaharuan governance, yang mensyaratkan adanya pengungkapan yang lebih
banyak mengenai informasi keuangan, keterangan tentang hasil-hasil yang dicapai manajemen, kode
etik bagi pejabat di bidang keuangan, pembatasan komite audit yang independen, pembatasan
kompensasi eksekutif dan lain-lain. Sehingga pada intinya SOA memberikan persyaratan bagi sebuah
perusahaan terhadap pengendalian internalnya.
Perdebatan mengenai untung rugi penerapan SOA masih terus terjadi. Para pendukungnya merasa
bahwa aturan ini diperlukan dan memegang peranan penting untuk mengembalikan kepercayaan
publik terhadap pasar modal nasional dengan antara lain memperkuat pengawasan akuntansi
perusahaan. Sementara para penentangnya berkilah bahwa SOA tidak diperlukan dan campur
tangan pemerintah dalam manajemen perusahaan menempatkan perusahaan-perusahaan pada
kerugian kompetitif terhadap perusahaan asing.

Audit Sistem Informasi Berbasis Komputer 19