coso cobit sarbox basel ii

55
SARBANES 2009 Kelas 8 A kelompok 4 : Dedy Surya Winata (06) Desi Arya Darmawan (07) Iduberga Shinta Nur JKJ (12) Imam Ulil Amri D IV

Upload: muhammad-zawawi

Post on 13-Jun-2015

3.193 views

Category:

Documents


24 download

DESCRIPTION

Compare and contrast among COSO, COBIT, SARBOX, BASEL II, nd ISO 17799.Perbandingan antara COSO, COBIT, SARBOX, BASEL II, nd ISO 17799.

TRANSCRIPT

Page 1: Coso Cobit Sarbox Basel II

PERBANDINGAN COSO, COBIT, SARBANES OXLEY ACT,BASEL II, DAN ISO 17799

2009

Kelas 8 A kelompok 4 :

Dedy Surya Winata (06)Desi Arya Darmawan (07)Iduberga Shinta Nur JKJ (12)Imam Ulil Amri (13)M. Baiquni (19)Muhammad Zawawi (20) Riana Arum (23)

D IV STAN

Page 2: Coso Cobit Sarbox Basel II

1

PERBANDINGAN ANTARA :COSO, COBIT, SARBANES OXLEY ACT, BASEL II, ISO 17799

Pengendalian internal konsep mendasar dan terpenting yang perlu dipahami auditor,

baik eksternal maupun internal. Auditor meninjau lingkup operasi dan keuangan organisasi

dengan tujuan menentukan luas dan dalamnya pemeriksaan atau mengevaluasi pengendalian

internalnya. Berikut ini adalah beberapa konsep yang berkembang di dunia.

A. COSO1. Latar Belakang

COSO atau merupakan akronim dari The Committee of Sponsoring Organizations of

The Treadway Commission adalah sebuah organisasi sektor swasta yang sukarela, didirikan

di Amerika Serikat, yang bertujuan untuk menyediakan panduan kepada manajemen

eksekutif dan pengelola perusahaan tentang aspek-aspek kritis dalam pengelolaan

organisasi, etika bisnis, pengendalian internal, manajemen risiko perusahaan, kecurangan,

dan pelaporan keuangan. COSO telah menerbitkan sebuah model pengendalian internal

yang umum yang dengannya perusahaan dan organisasi dapat menilai sistem pengendalian

mereka.

Karena adanya praktik-praktik kampanye politik dari keuangan perusahaan dan

praktik-praktik korupsi di dalamnya pada pertengahan dekade 1970-an, SEC di Amerika

Serikat dan Kongres AS membuat reformasi hukum kampanye keuangan dan Foreign Corrupt

Practices Act (FCPA) tahun 1977 yang mengkriminalisasikan praktik penyuapan antar negara

dan mensyaratkan perusahaan-perusahaan untuk mengimplementasikan program

pengendalian internal. Sebagai responsnya, the Treadway Commission, insiasi sektor swasta,

dibentuk pada tahun 1985 untuk memeriksa, menganalisa, dan membuat rekomendasi pada

kecurangan dari pelaporan keuangan perusahaan.

The Treadwy Commission mempelajari sistem pelaporan informasi keuangan selama

periode Oktober 1985 sampai dengan September 1987 dan mengeluarkan laporan temuan

dan rekomendasi pada Oktober 1987 yang berjudul Report of the National Commission on

Fraudulent Financial Reporting. Sebagai hasil dari laporan resmi tersebut, COSO dibentuk

dan membayar Coopers & Lybrand, perusahaan CPA utama, untuk mempelajari masalah-

masalah yang ada dan membuat laporan mengenai kerangka kerja pengendalian internal

yang terintegrasi.

COSO, COBIT, SARBANES OXLEY ACT, BASEL II, ISO 17799

Page 3: Coso Cobit Sarbox Basel II

1

Pada bulan September 1992, laporan sebanyak empat volume yang berjudul Internal

Control – Integrated Framework diterbitkan oleh COSO dan kemudian diterbitkan ulang

dengan sedikit perubahan pada tahun 1994. Laporan ini menyajikan definisi umum dari

pengendalian internal dan menyediakan kerangka kerja yang dengannya pengendalian

internal dapat dinilai dan dikembangkan. Laporan ini adalah salah satu standar yang dipakai

perusahaan-perusahaan di Amerika Serikat untuk mengevaluasi kepatuhan mereka terhadap

FCPA. Berdasarkan sebuah polling oleh majalah CFO yang dikeluarkan pada tahun 2006, 82%

responden mengaku mereka menggunakan kerangka kerja COSO untuk pengendalian

internal. Kerangka kerja lainnya yang digunakan responden antara lain COBIT, AS2 (Standar

Audit No.2, PCAOB), dan SAS 55/78 (AICPA).

2. Pihak yang Berkepentingan (Stakeholder)

Mengaplikasikan model pengendalian internal milik COSO bagi manajemen tidaklah

semudah jika dibandingkan dengan menggunakan model tradisional. Model tradisonal, yang

utamanya menangani pengendalian keuangan, secara substansial telah meluas. Kerangka

kerja COSO mempertimbangkan tidak hanya evaluasi dari pengendalian yang keras (hard

control), seperti pemisahan fungsi, tetapi juga pengendalian yang lunak (soft control), seperti

kompetensi dan profesionalitas pegawai. Karena mengaplikasikan COSO tidak semudah apa

yang ada di teorinya, maka belum ada pendekatan yang standar dalam melakukan audit

terhadap pengendalian yang lunak dari COSO seperti integritas dan nilai-nilai etika dari

pegawai, filosofi dan gaya kepemimpinan dari manajemen, dan keefektifan dari komunikasi.

Dari hal tersebut dapat diketahui bahwa pengaplikasian COSO sesuai dengan yang diteorikan

merupakan hal yang sulit bagi manajemen. Demikian juga bagi auditor internal, audit

internal yang dirancang untuk mempertimbangkan kosep pengendalian COSO yang baru

akan menjadi lebih rumit dibandingkan audit pengendalian internal yang tradisional.

COSO dan produk-produk yang dihasilkannya merupakan pelindung bagi investor,

pegawai perusahaan, dan pihak-pihak yang berkepentingan lainnya dari mengalami kerugian

dari peristiwa-peritiwa skandal keuangan yang telah terjadi. COSO memberikan kepastian

kepada pihak-pihak tersebut sehingga mereka memperoleh bagian haknya dengan sesuai.

3. Apa saja yang diatur?

Kerangka kerja COSO terdiri dari beberapa konsep penting, yaitu:

1. Pengendalian internal adalah sebuah proses. Proses itu merupakan alat untuk mencapai

akhir, bukan titik akhir dari proses.

COSO, COBIT, SARBANES OXLEY ACT, BASEL II, ISO 17799

Page 4: Coso Cobit Sarbox Basel II

1

2. Pengendalian internal dipengaruhi oleh orang. Hal itu bukan hanya kebijakan, petunjuk

manual, dan format, melainkan juga orang-orang di setiap tingkatan dalam organisasi.

3. Pengendalian internal dapat diharapkan untuk menyediakan keyakinan yang beralasan,

bukan keyakinan absolut, bagi manajemen perusahaan.

4. Pengendalian internal dilengkapi dengan satu atau lebih kategori yang terpisah namun

tumpang tindih untuk pencapaian tujuan tertentu.

Kerangka kerja COSO mendefinisikan pengendalian internal sebagai sebuah proses,

dipengaruhi oleh dewan direksi, manajemen, dan orang-orang lainnya dalam perusahaan.

Menurut COSO, komponen tersebut menyediakan kerangka kerja yang efektif untuk

menggambarkan dan menganalisa sistem pengendalian internal yang diimplementasikan

dalam sebuah organisasi seperti yang disyaratkan oleh peraturan keuangan.

Manajemen Risiko Perusahaan – Kerangka Kerja yang Terintegrasi

Pada tahun 2001, COSO menginisiasi sebuah proyek, dan meminang

PricewaterhouseCoopers, untuk membangun sebuah kerangka kerja yang siap digunakan

oleh manajemen untuk mengevaluasi dan mengembangkan manajemen risiko perusahaan

mereka. Kegagalan dan skandal bisnis tingkat tinggi (contohnya Enron, Tyco International,

Adelphia, Peregrine Systems, dan WorldCom) merupakan penggilan untuk mengembangkan

menajemen risiko dan pengelolaan perusahaan. Sebagai hasilnya, akte Sarbanes-Oxley

diterbitkan. Peraturan tersebut memperluas persyaratan jangka panjang dari perusahaan

publik untuk menjaga sistem pengendalian internalnya, mensyaratkan manajemen untuk

mengakui dan auditor independen untuk menguji kefektifan sistem tersebut. Pengendalian

internal – kerangka kerja yang terintegrasi terus melayani sebagai standar yang diterima

secara luas untuk mencapai persyaratan-persyaratan laporan tersebut, bagaimanapun juga,

pada tahun 2004 COSO menerbitkan manajemen risiko perusahaan – karangka kerja yang

terintegrasi. COSO percaya kerangka kerja ini memperluas pengendalian internal,

menyediakan fokus yang lebih kuat dan ekstensif dalam subjek yang lebih luas dari

manajemen risiko perusahaan.

Empat Kategori dari Tujuan Bisnis

Kerangka kerja manajemen risiko perusahaan ini masih diperalati untuk pencapaian

tujuan-tujuan perusahaan; bagaimanapun juga sekarang ini terdiri dari empat kategori,

yaitu:

a. Stratejik: sasaran-sasaran tingkat tinggi, dihubungkan dengan dan membantu misi

perusahaan.

b. Operasi: penggunaan sumber daya perusahaan secara efektif dan efisien.

COSO, COBIT, SARBANES OXLEY ACT, BASEL II, ISO 17799

Page 5: Coso Cobit Sarbox Basel II

1

c. Pelaporan: reliabilitas dari pelaporan.

d. Kepatuhan: kepatuhan terhadap hukum dan peraturan yang berlaku.

4. Konsep PengendalianKerangka kerja COSO mendefinisikan pengendalian internal sebagai sebuah proses,

dipengaruhi oleh dewan direksi, manajemen, dan orang-orang lainnya dalam perusahaan.

Menurut COSO, komponen tersebut menyediakan kerangka kerja yang efektif untuk

menggambarkan dan menganalisa sistem pengendalian internal yang diimplementasikan

dalam sebuah organisasi seperti yang disyaratkan oleh peraturan keuangan. Kelima

komponen pengendalian internal sebagai berikut:

a. Lingkungan pengendalian: Lingkungan pengendalian membentuk irama dari sebuah

organisasi, mempengaruhi kesadaran pengendalian dari para anggotanya. Hal ini

merupakan dasar untuk keempat komponen pengendalian internal yang lainnya, yang

menyediakan struktur dan disipilin. Faktor lingkungan pengendalian terdiri dari

integritas, nilai-nilai etika, gaya kepemompinan manajemen, delegasi sistem kekuasaan,

sebagaimana juga proses untuk mengatur dan mengembangkan sumber daya manusia

dalam organisasi.

b. Pengukuran risiko: Setiap organisasi menghadapi berbagai macam risiko dari sumber-

sumber eksternal dan internal yang harus diukur. Prakondisi untuk pengukuran risiko

adalah menetapkan tujuan dan pengukuran risiko tersebut merupakan identifikasi dan

analisa dari risiko-risiko yang relevan dalam pencapaian tujuan yang telah ditetapkan.

Pengukuran risiko diwajibkan untuk menentukan bagaimana risiko harus dikelola.

c. Aktivitas pengendalian: Kegiatan-kegiatan pengendalian merupakan kebijakan-

kebijakan dan prosedur-prosedur yang membantu memastikan tujuan manajemen

tercapai. Aktivitas pengendalian membantu memastikan bahwa tindakan-tindakan yang

diperlukan telah diambil untuk mengelola risiko yang dapat menghambat pencapaian

tujuan organisasi. Aktivitas pengendalian terjadi pada seluruh tingkatan dan fungsi

organisasi. Aktivitas pengendalian mengandung beberapa kegiatan yang berbeda seperti

penyetujuan, otorisasi, verifikasi, rekonsiliasi, reviu terhadap kinerja operasional,

keamanan aset, dan pemisahan kewenangan.

d. Informasi dan komunikasi: Sistem informasi merupakan peran kunci dalam sistem

pengendalian internal disebabkan sistem tersebut menghasilkan laporan, termasuk

operasional, keuangan dan informasi-informasi yang beruhubungan lainnya, yang

COSO, COBIT, SARBANES OXLEY ACT, BASEL II, ISO 17799

Page 6: Coso Cobit Sarbox Basel II

1

memungkinkan sistem ini membantu menjalankan dan mengendalikan bisnis. Dalam

pandangan yang lebih luas, komunikasi yang efektif harus memastikan informasi

mengalir dengan lancar ke sluruh aspek organisasi. Komunikasi yang efektif harus juga

dapat memberi keyakinan kepada pihak-pihak eksternal, seperti pelanggan, pemasok,

pembuat peraturan, dan pemegang saham, tentang posisi kebijakan yang terkait.

e. Pemantauan: Sistem pengendalian internal harus dipantau – sebuah proses yang

mengukur kualitas kinerja sistem dalam jangka waktu tertentu. Hal tersebut terpenuhi

melalui pemantauan yang terus menerus atau evaluasi yang terpisah. Kelemahan

pengendalian internal yang dapat ditemukan melaui kegiatan pemantauan tersebut

harus dilaporkan ke tingkat yang paling atas dan tindakan perbaikan harus diambil untuk

memastikan pengembangan sistem yang berkesinambungan.

5. Hal- hal yang bisa diterapkan di IndonesiaDefinisi pengendalian interen yang dirumuskan oleh COSO, di Indonesia diadopsi

dalam SPAP yang dikeluarkan oleh Ikatan Akuntan Indonesia. Dalam SPAP SA Seksi 319,

pengendalian interen adalah suatu proses yang dilakukan oleh dewan komisaris, manajemen

dan personil dari suatu entitas yang dirancang untuk memberikan kepastian yang memadai

bahwa tujuan organisasi berupa efektivitas dan efisiensi usaha, pelaporan keuangan yang

dapat diandalkan, dan ketaatan pada peraturan dan perundangan yang berlaku dapat

dicapai.

Risk appetite berkaitan dengan level risiko yang ditentukan oleh organisasi.

Implementasi risk appetite dapat dicontohkan pada penerapan jalur hijau oleh Kantor

Pelayanan Bea dan Cukai (KPBC) atas barang impor yang menurut ketentuan tidak diperiksa

oleh petugas verifikasi KPBC. Tidak dilakukannya pemeriksaan berpeluang pada

penyeludupan barang impor yang seharusnya dikenakan pajak dan bea masuk yang lebih

tinggi dari yang dilaporkan yang berpotensi merugikan negara sebesar 5% dari total

penerimaan. Kerugian 5% tersebut adalah kerugian yang telah diperkirakan dari penerapan

jalur hijau yang bertujuan mengoptimalkan pelayanan, dan dipandang wajar untuk aktivitas

pabean secara internasional.

DI Indonesia , bagi BUMN keharusan penyelenggaraan internal control berbasis

framework COSO (internal control COSO) tertuang dalam pasal 22 Keputusan Menteri BUMN

Nomor Kep-117/M-MBU/2002 tentang penerapan good governance pada Badan Usaha Milik

Negara (BUMN). Produk Internal Contol COSO untuk BUMN/D yang dikembangkan BPKP

secara bertahap saat ini masih berupa I.C level aktivitas Pengadaan Barang dan Jasa (PBJ)

COSO, COBIT, SARBANES OXLEY ACT, BASEL II, ISO 17799

Page 7: Coso Cobit Sarbox Basel II

1

pada BUMN/D. Sedangkan untuk produk I. C. Level entitas laporan keuangan BUMN/D masih

tahap pengembangan konsep awal.

B. COBIT1. Latar Belakang

Control Objectives of Information and Related Technology (COBIT) merupakan suatu

metodologi yang terdiri dari standar dan pengendalian yang dibuat untuk membantu

organisasi dalam implementasi, review, administrasi, dan pemantauan lingkungan teknologi

informasi.

COBIT (Control Objectives of Information and Related Technology) merupakan

seperangkat alat bagi managemen IT yang diciptakan oleh Information System Audit and

Control Association (ISACA) dan IT Governance Institute (ITGI) pada tahun 1992, dengan misi

untuk mengembangkan, melakukan riset, dan mempublikasikan suatu standar teknologi

informasi yang diterima umum dan selalu up to date untuk digunakan dalam kegiatan bisnis

sehari-hari.

COBIT pertama kali diluncurkan pada tahun 1996. COBIT edisi keempat merupakan

versi terakhir dari tujuan pengendalian untuk informasi dan teknologi terkait, release

pertama diluncurkan oleh yayasan ISACF pada tahun 1996. COBIT edisi kedua, merefleksikan

suatu peningkatan sejumlah dokumen sumber, revisi pada tingkat tinggi dan tujuan

pengendalian rinci dan tambahan seperangkat alat implementasi (implementation tool set),

yang telah dipublikasikan pada tahun 1998. COBIT pada edisi ketiga ditandai dengan

masuknya penerbit utama baru COBIT yaitu Institut IT Governance.

Institut IT Governance dibentuk oleh ISACA dan yayasan terkait pada tahun 1998

dan memberikan pemahaman lebih dan mengadopsi prinsip-prinsip pengaturan TI. Melalui

penambahan pedoman manajemen (management guidelines) untuk COBIT edisi ketiga

dikeluarkan pada tahun 2000. Dalam edisi ini terdapat penambahan yang meliputi pedoman

bagi manajemen untuk menerapkan COBIT dan fokusnya diperluas dan ditingkatkan pada IT

Governance. Institut IT Governance mengambil peranan yang penting dalam pengembangan

publikasi.

2. Pihak yang Berkepentingan (Stakeholder)Manajemen harus memutuskan apa yang harus diinvestasikan untuk pengendalian

dan keamanan IT dan bagaimana cara menyeimbangkan risiko dan mengendalikan dalam lingkungan IT yang tidak bisa diramalkan. Pengendalian dan pengamanan sistem informasi

COSO, COBIT, SARBANES OXLEY ACT, BASEL II, ISO 17799

Page 8: Coso Cobit Sarbox Basel II

1

dapat membantu mengelola risiko tetapi tidak dapat menghapuskan risiko sama sekali. Tingkat risiko tidak pernah dapat diketahui secara tepat karena selalu ada ketidakpastian.

Para pemakai jasa IT ingin memperoleh keyakinan akan adanya pengendalian dan pengamanan yang cukup, melalui akreditasi dan audit jasa IT yang disediakan oleh pihak internal maupun oleh pihak ketiga.

Untuk meningkatkan kualitas opini audit dan menyediakan usulan perbaikan pengendalian intern kepada manajemen. Auditor menggunakan kerangka COBIT dalam melakukan audit yaitu dengan cara:

a) membentuk dasar dan standar pengendalian

b) memfasilitasi dan membuat matriks kinerja untuk penilaian risiko

c) mengembangkan rencana audit

d) memfasilitasi audit

e) mengelola risiko residual

f) memberikan saran pengendalian dan rekomendasi kepada manajemen

3. Apa saja yang diatur?Domain merupakan pengelompokkan secara alami dari proses IT, dan sering sesuai

dengan domain tanggung jawab perusahaan. Dalam suatu organisasi, COBIT menggambarkan empat domain khusus:

a. Planning and organization

Domain ini mencakup strategi dan taktik, dan perhatian atas identifikasi bagaimana

IT secara maksimal dapat berkontribusi dalam pencapaian tujuan bisnis. Selain itu,

realisasi dari visi strategis perlu direncanakan, dikomunikasikan, dan dikelola untuk

berbagai perspektif yang berbeda. Terakhir, sebuah pengorganisasian yang baik serta

infrastruktur teknologi harus di tempatkan di tempat yang semestinya.

Langkah-langkah:

Menetapkan rencana stratejik TI

Menetapkan susunan informasi

Menetapkan kebijakan teknologi

Menetapkan hubungan dan organisasi TI

Mengelola investasi IT

Mengkomunikasikan arah dan tujuan manajemen

Mengelola sumberdaya manusia

Memastikan pemenuhan keperluan pihak eksternal

Menaksir risiko

Mengelola proyek

Mengelola kualitas

b. Acquisition dan implementation

COSO, COBIT, SARBANES OXLEY ACT, BASEL II, ISO 17799

Page 9: Coso Cobit Sarbox Basel II

1

Untuk merealisasikan strategi IT, solusi TI perlu diidentifikasi, dikembangkan atau

diperoleh, serta diimplementasikan, dan terintegrasi ke dalam proses bisnis. Selain itu,

perubahan serta pemeliharaan sistem yang ada harus di cakup dalam domain ini untuk

memastikan bahwa siklus hidup akan terus berlangsung untuk sistem-sistem ini.

Langkah-langkah :

Mengidentifikasi solusi terotomatisasi

Mendapatkan dan memelihara software aplikasi

Mendapatkan dan memelihara infrastruktur teknologi

Mengembangkan dan memelihara prosedur

Memasang dan mengakui sistem

Mengelola perubahan

c. Delivery and Support

Domain ini memberikan fokus utama pada aspek penyampaian/pengiriman dari

IT. Domain ini mencakup area-area seperti pengoperasian aplikasi-aplikasi dalam sistem

IT dan hasilnya, dan juga, proses dukungan yang memungkinkan pengoperasian sistem IT

tersebut dengan efektif dan efisien. Proses dukungan ini termasuk isu/masalah

keamanan dan juga pelatihan.

Langkah-langkah :

Menetapkan dan mengelola tingkat pelayanan

Mengelola pelayanan kepada pihak lain

Mengelola kinerja dan kapasitas

Memastikan pelayanan yang kontinyu

Memastikan keamanan sistem

Melakukan identifikasi terhadap atribut biaya

Memberi pelatihan kepada user

Melayani konsumen IT

Mengelola konfigurasi/susunan

Mengelola masalah dan kecelakaan

Mengelola data

Mengelola fasilitas

Mengelola operasi

d. Monitoring

Semua proses IT perlu dinilai secara teratur sepanjang waktu untuk menjaga

kualitas dan pemenuhan atas syarat pengendalian. Domain ini menunjuk pada perlunya

pengawasan manajemen atas proses pengendalian dalam organisasi serta penilaian

COSO, COBIT, SARBANES OXLEY ACT, BASEL II, ISO 17799

Page 10: Coso Cobit Sarbox Basel II

1

independen yang dilakukan baik auditor internal maupun eksternal atau diperoleh dari

sumber-sumber anternatif lainnya.

Langkah-langkah:

Memonitor proses

Menaksir kecukupan pengendalian internal

Mendapatkan kepastian yang independen

4. Konsep PengendalianCOBIT melihat pengendalian dalam tiga dimensi berbeda yaitu sumber IT

(resources), proses IT, dan kriteria informasi IT. Tiga dimensi tersebut dimasukkan dalam

suatu bentuk yang disebut COBIT Cube.

a. Dimensi pertama : IT Roecources

Sisi sumber IT, atau dimensi pertama dari kotak COBIT menggambarkan semua

asset IT suatu perusahaan, termasuk orangnya, system aplikasinya, teknologi yang

digunakan, fasilitas dan nilai suatu data. Sumberdaya TI yang diidentifikasikan dalam

COBIT dapat diterangkan atau diidentifikasikan sebagai berikut :

1) Data, adalah obyek-obyek dalam pengertian yang lebih luas (yakni internal dan eksternal), terstruktur dan tidak terstruktur, grafik, suara dan sebagainya.

2) Sistem aplikasi, dipahami untuk menyimpulkan atau meringkas, baik prosedur manual maupun yang terprogram.

3) Teknologi, mencakup hardware, sistem operasi, sistem manajemen database, jaringan (networking), multimedia, dan lain-lain.

4) Fasilitas, adalah semua sumber daya untuk menyimpan dan mendukung sistem informasi.

5) Manusia termasuk staf ahli, kesadaran dan produktivitas untuk merencanakan, mengorganisasikan atau melaksanakan, memperoleh, menyampaikan, mendukung dan memantau layanan sistem informasi.

b. Dimensi kedua : IT Process IT

Terdiri dari tiga segmen, yaitu domain, proses, dan aktivitas. Domain COBIT

sebagaimana telah disebutkan di atas, merupakan bentuk pengelompokkan dari 34

pengendalian sasaran tingkat atas yang menjadi acuan dalam proses pengendalian.

Pengelompokkan pengendalian sasaran tingkat atas tersebut meliputi:

1. Perencanaan dan Organisasi

Mendefinisikan rencana strategis IT

COSO, COBIT, SARBANES OXLEY ACT, BASEL II, ISO 17799

Page 11: Coso Cobit Sarbox Basel II

1

Mendefinisikan arsitektur informasi

Menentukan petunjuk teknologis

Mengatur investasi IT

Mengkomunikasikan petunjuk dan tujuan manajemen

Mengelola sumberdaya manusia

Meyakinkan kepatuhan terhadap hubungan luar

Menetapkan risiko

Mengelola proyek-proyek

Menjaga kualitas

2. Akuisisi dan Implementasi

Mengidentifikasikan solusi otomatis

Memperoleh dan menerapkan aplikasi perangkat lunak

Memperoleh dan merawat infrastruktur teknologi

Mengembangkan dan mengelola prosedur

Memasang dan mempercayakan

Mengelola peluang

3. Delivery and Support

Menentukan dan mengelola tingkatan jasa

Mengelola jasa-jasa pihak ketiga

Mengelola penampilan dan kapasitas

Meyakinkan servis yang berkelanjutan

Meyakinkan keamanan sistem

Mengidentifikasi dan mengalokasikan biaya

Mendidik dan melatih pengguna

Mendukung dan memberitahukan kepada pelanggan

Mengelola konfigurasi

Mengelola masalah-masalah dan kejadian-kejadian

Mengelola data

Mengelola fasilitas

Mengelola operasi

4. monitoring

mengawasi proses

mengawasi kecukupan pengendalian internal

mendapatkan keyakinan yang independen

COSO, COBIT, SARBANES OXLEY ACT, BASEL II, ISO 17799

Page 12: Coso Cobit Sarbox Basel II

1

menyiapkan audit yang independen

c. Dimensi Ketiga : information criteria

Kriteria informasi merupakan satu set faktor yang terdiri dari:

1. Efektifitas,

2. Efisiensi,

3. Kerahasiaan,

4. Integritas,

5. Ketersediaan,

6. Kepatuhan,

7. Keandalan.

Business Processes

IT Resources

information criteria • effectiveness • efficiency • confidentiality • integrity • availability • compliance • reliability

Monitoring

Delivery &Support

Acquisition &Implementation

Planing &Organisation

• data • applications • technology • facilites • people

5. Hal- hal yang bisa diterapkan di Indonesia COBIT bisa diterapkan di semua perusahaan yang mempunyai IT. Namun sayang,

perlu investasi yang besar untuk IT dan biasanya hanya dilakukan oleh perusahaan yang

besar saja.

C. SARBANES OXLEY ACT1. Latar Belakang

COSO, COBIT, SARBANES OXLEY ACT, BASEL II, ISO 17799

Page 13: Coso Cobit Sarbox Basel II

1

Sarbanes-Oxley of 2002 adalah nama lain dari undang-undang reformasi

perlindungan investor (The Public Company Accounting Reform and Investor Protection Act

of 2002) yang ditandatangani pada 30 Juli 2002. Akta ini diberi nama berdasarkan orang

yang mengusulkannya: Senator Paul Sarbanes dari Maryland dan Representatif Michael

Oxley dari Ohio, dan kadang disingkat menjadi SOx atau Sarbox atau SOA. Undang-undang

ini disetujui oleh Dewan dengan suara 423-3 dan oleh Senat dengan suara 99-0 serta

disahkan menjadi hukum oleh Presiden George W. Bush.

Undang-undang ini dikeluarkan sebagai respons Kongres Amerika Serikat terhadap

berbagai skandal akuntansi pada beberapa korporasi besar seperti: Enron, WorldCom (MCI),

Tyco International, Adelphia, Xerox, dan Peregrine Systems; yang juga melibatkan KAP yang

termasuk dalam “the big five” seperti Arthur Andersen. Para pucuk pimpinan dan akuntan

publik tersebut melakukan rekayasa keuangan yang sangat merugikan para pemegang

saham.Skandal-skandal ini menyebabkan kerugian bilyunan dolar bagi investor karena

runtuhnya harga saham perusahaan-perusahaan yang terpengaruh dan menimbulkan

kepanikan luar biasa di kalangan dunia usaha, serta mengguncang kepercayaan masyarakat

terhadap pasar saham nasional. Masyarakat memiliki sentimen negatif terhadap sistem

penyusunan dan pemeriksaan laporan keuangan dan mengangap kasus-kasus tersebut

merupakan puncak dari kebobrokan perusahaan-perusahaan di Amerika Serikat.

Kepercayaan publik sebagai salah satu pilar mekanisme pasar modal telah rusak dan butuh

usaha keras untuk memulihkannya kembali. Semua skandal ini merupakan contoh tragis

bagaimana fraud schemes berdampak sangat buruk terhadap pasar, stakeholders dan para

pegawai.

Belajar dari pengalaman itulah, para regulator Amerika Serikat menyusun Sarbanes-

Oxley Act untuk mencegah terulangnya kejadian serupa. Konggres berangapan bahwa

skandal-skandal keuangan tersebut tidak bisa dilihat sebagai kasus, namun sebuah indikasi

perlunya sebuah peraturan yang lebih ketat yang mengatur penyiapan dan pemeriksaan

laporan keuangan. Dengan ditetapkan peraturan tersebut diharapkan kepercayaan publik

bisa pulih lagi sehingga resesi keuangan yang terjadi di tahun 1929 tidak terjadi lagi.

Tujuan utama Sarbox adalah meningkatkan kepercayaan publik terhadap

implementasi prinsip pertanggungjawaban keuangan perusahaan publik (good corporate

governance - GCG) bagi perusahaan yang telah go publik. Perundang-undangan ini

menetapkan suatu standar baru dan lebih baik bagi semua dewan dan manajemen

COSO, COBIT, SARBANES OXLEY ACT, BASEL II, ISO 17799

Page 14: Coso Cobit Sarbox Basel II

1

perusahaan publik serta kantor akuntan publik (KAP) walaupun tidak berlaku bagi

perusahaan tertutup. Sarbox diharapkan akan meningkatkan standar akuntabilitas korporasi,

transparansi dalam pelaporan keuangan, memperkecil kemungkinan bagi perusahaan atau

organisasi untuk melakukan dan menyembunyikan fraud, serta membuat perhatian pada

tingkat sangat tinggi terhadap corporate governance. Dalam Sarbanex-Oxley Act diatur

tentang akuntansi, pengungkapan dan pembaharuan tatakelola, yang mensyaratkan adanya

pengungkapan yang lebih banyak mengenai informasi keuangan, keterangan tentang hasil-

hasil yang dicapai manajemen, kode etik bagi pejabat di bidang keuangan, pembatasan

kompensasi ekskutif dan pembentukan komite audit yang independen.

Perdebatan dan kontroversi mengenai untung rugi penerapan Sarbox masih terus

terjadi. Para pendukungnya merasa bahwa aturan ini diperlukan dan memegang peranan

penting untuk mengembalikan kepercayaan publik terhadap pasar modal nasional dengan

antara lain memperkuat pengawasan akuntansi perusahaan. Sementara para penentangnya

berkilah bahwa Sarbox tidak diperlukan dan campur tangan pemerintah dalam manajemen

perusahaan menempatkan perusahaan-perusahaan AS pada kerugian kompetitif terhadap

perusahaan asing. Manfaat Sarbox secara langsung berdampak positif dalam rangka

implementasi GCG di perusahaan publik di berbagai belahan dunia lainnya.

2. Pihak yang Berkepentingan (Stakeholder)Sarbanes-Oxley Act 2002 memiliki dampak yang cukup serius bagi perusahaan yang

listed di Bursa Saham Amerika Serikat (NYSE dan NASDAQ) dan berbagai profesi penunjang

pasar modal. Pihak-pihak yang kena dampak langsung dan memperoleh tambahan

beban/tugas atas diberlakukan Sarbanes-Oxley Act diantaranya:

Akuntan publik bersertifikat (Certified Public Accountants -CPA) dan Kantor Akuntan Publik yang memeriksa perusahaan publik Amerika Serikat (AS), baik berada dalam yuridikasi AS maupun tidak;

Perusahaan yang listed di bursa Amerika Serikat (terutama manajemen, termasuk dewan perusahaan, direksi, karyawan, dan pemegang saham);

Pengacara yang berpraktik untuk perusahaan publik; Perantara, penyalur, investor perbankan serta analis keuangan.

3. Apa saja yang diatur?Sarbox terdiri dari 11 judul atau bagian dan dijabarkan lagi dalam 66 sectionyang

menetapkan hal-hal mulai dari tanggung jawab tambahan Dewan Perusahaan hingga

hukuman pidana, sebagai berikut: .

COSO, COBIT, SARBANES OXLEY ACT, BASEL II, ISO 17799

Page 15: Coso Cobit Sarbox Basel II

1

TITLE I : PUBLIC COMPANY ACCOUNTING OVERSIGHT BOARD (9 section)TITLE II : AUDITOR INDEPENDENCE (9 section)TITLE III : CORPORATE RESPONSIBILITY (8 section)TITLE IV : ENHANCED FINANCIAL DISCLOSURES (9 section)TITLE V : ANALYST CONFLICTS OF INTEREST (1 section)TITLE VI : COMMISSION RESOURCES AND AUTHORITY (4 section)TITLE VII : STUDIES AND REPORTS (5 section)TITLE VIII : CORPORATE AND CRIMINAL FRAUD ACCOUNTABILITY (7 section)TITLE IX : WHITE-COLLAR CRIME PENALTY ENHANCEMENTS (6 section)TITLE X : CORPORATE TAX RETURNS (1 section)TITLE XI : CORPORATE FRAUD AND ACCOUNTABILITY (7 section)

Dalam Sarbanes-Oxley Act diatur tentang akuntansi, pengungkapan dan pembaharuan governance; yang mensyaratkan adanya pengungkapan yang lebih banyak mengenai informasi keuangan, keterangan tentang hasil-hasil yang dicapai manajemen, kode etik bagi pejabat di bidang keuangan, pembatasan kompensasi eksekutif, dan pembentukan komite audit yang independen. Selain itu diatur pula mengenai hal-hal sebagai berikut: • Mendirikan the Public Company Accounting Oversight Board, sebuah dewan yang

independen dan bekerja full-time bagi pelaku pasar modal • Menetapkan beberapa tanggung jawab baru kepada dewan komisaris, komite audit dan

pihak manajemen • Penambahan tanggung jawab dan anggaran SEC secara signifikan • Mendefinisikan jasa non-audit yang tidak boleh diberikan oleh KAP kepada klien • Memperbesar hukuman bagi terjadinya corporate fraud • Mensyaratkan adanya aturan mengenai cara menghadapi conflicts of interest • Menetapkan beberapa persyaratan pelaporan yang baru.

a. Public Company Accounting Oversight Board (PCAOB)

Dewan ini dibentuk berdasarkan amanat Sarbanes-Oxley Act Title I. PCAOB dibentuk untuk mengawasi proses penyusunan, pemeriksaan dan pelaporan laporan keuangan perusahaan publik di Amerika Serikat. Dewan ini mempunyai 5 orang anggota yang dipilih oleh SEC setelah berkonsultasi dengan Menteri Keuangan (Secretary of Treasury) dan Gubernur Bank Sentral (Chairman of the Federal Reserve Board). Masa tugas dari badan tersebut adalah 5 tahun dan dapat tidak dapat dipilih lagi setelah dua periode. Terdapat pembatasan atas keanggotaan tersebut, yaitu hanya dua orang CPA yang boleh menjadi anggota Badan ini pada waktu yang bersamaan, dan mereka tidak boleh berpraktik sebagai CPA selama 5 tahun terakhir sebelum menjabat sebagai anggota PCAOB.

Tugas-tugas dari PCAOB adalah:

1) Melakukan registrasi terhadap KAP yang melakukan pemeriksaan terhadap perusaaan yang mencatatkan bursanya pasar modal (perusahaan public) (Section 102)

2) Menetapkan atau mengadopsi, atau melakukan keduanya: standar audit, quality control, etika, independensi, dan beberapa standar lain yang berkaitan dengan proses penyusunan

COSO, COBIT, SARBANES OXLEY ACT, BASEL II, ISO 17799

Page 16: Coso Cobit Sarbox Basel II

1

laporan audit untuk perusahaan public. (Section 103) 3) Melaksanakan inspeksi terhadap KAP-KAP (Section 104)4) Melakukan investigasi, penegakan disiplin dan pengenaan sanksi terhadap KAP dan partner

dari KAP yang melakukan pelanggaran. (Section 105)5) Melakukan tugas-tugas dan fungsi-fungsi lain sebagai dewan yang dianggap perlu untuk

meningkatkan standar professional pada KAP dan pihak terkait untuk melindungi kepentingan investor dan publik.

6) Menegakkan ketaatan terhadap Akta ini, aturan Badan, standar professional dan hukum.7) Menetapkan anggaran dan mengelola operasional Badan dan staf-stafnya. b. INDEPENDENSI AUDITOR

Setiap KAP, baik yang beroperasi di USA atau di luar negeri, yang ikut serta dalam penyiapan dan penerbitan laporan audit perusahaan publik wajib terdaftar pada PCAOB. Biaya pendaftaran dan pembayaran iuran tahunan yang dipungut dari masing-masing KAP terdaftar dipergunakan untuk menutupi biaya pemrosesan dan review aplikasi pendaftaran dan laporan tahunan yang disampaikan KAP terdaftar kepada Badan Pengawas. Melalui kewajiban ini, KAP yang terdaftar diwajibkan memelihara kertas kerja audit dan informasi serta dokumen lainnya yang berkaitan dengan laporan audit minimal tujuh tahun.

Jasa Tambahan yang Tidak Diperbolehkan.

Untuk menjaga independensi auditor maka sebuah kantor akuntan publik atau perseorangan yang berasosiasi dengan kantor tersebut apabila mendapatkan penugasan audit maka dilarang untuk melayani jasa tambahan berikut ini (Section 201):

1) Jasa pembukuan dan jasa lain yang terkait dengan laporan keuangan dan akuntansi klien audit.

2) Desain sistem informasi keuangan dan pemasangannya 3) Apraisal atau jasa penilaian lain 4) Jasa aktuaria 5) Outsourcing jasa audit internal 6) Fungsi manajemen atau personalia 7) Menjadi pialang, penasehat investasi atau jasa konsultasi investasi perbankan 8) Jasa hukum dan jasa tenaga ahli lainnya yang tidak terkait dengan audit. 9) Jasa lain yang ditentukan oleh PCAOB

Kantor akuntan publik bisa melakukan jasa lain, kecuali jasa 1-9 diatas, termasuk jasa perpajakan, dengan mendapatkan persetujuan dari Komite Audit terlebih dahulu.

Selain aturan mengenai jasa yang tidak diperbolehkan, terdapat beberapa aturan lain untuk menjaga independensi sebagai berikut:1) Setiap jasa audit yang diberikan kepada emiten harus terlebih dulu mendapatkan

persetujuan dari Komite Audit. 2) Setiap persetujuan komite audit atas pemberian jasa non audit oleh KAP yang memberikan

jasa audit harus diungkapkan dalam pelaporan kepada SEC.3) Rotasi partner dilakukan setiap 5 tahun sekali untuk satu klien yang sama dimulai dari tahun

COSO, COBIT, SARBANES OXLEY ACT, BASEL II, ISO 17799

Page 17: Coso Cobit Sarbox Basel II

1

fiscal 6 Mei 2003 kecuali sebelumnya telah menjadi partner audit klien tersebut selama 7 tahun berturut-turut.

4) Auditor harus melaporkan kebijakan dan praktek akuntansi yang penting (critical), alternatif pencatatan sesuai GAAP terkait dengan isu penting dalam audit, serta materi lain yang dibahas (komunikasi tertulis) antara auditor dan manajemen.

5) Laporan keuangan harus mengungkapkan fee untuk auditor baik untuk jasa pemeriksaan, jasa lain yang terkait audit, jasa perpajakan, dan jasa yang lainnya.

6) Seorang auditor tidak boleh menjabat sebagai anggota dewan direktur, CEO, CFO, COO, CAO, controller, direktur audit intern dan jabatan-jabatan lainnya tanpa ada tenggang waktu karir.

7) Partner KAP tidak boleh menerima kompensasi dari klien selain jasa audit, perpajakan dan jasa atestasi lainnya.

c. CORPORATE RESPONSIBILITY

Komite Audit Selain KAP, ada kewajiban yang harus dipenuhi oleh setiap emiten.di mana mereka harus

memiliki Komite Audit, sesuai dengan ketentuan sebagai berikut: perusahaan yang tidak memiliki komite audit tidak boleh terdaftar di bursa efek. Komite Audit mempunyai tanggung jawab sebagai berikut: • Melakukan seleksi/penunjukan dan menentukan kompensasi (fee) serta mengawasi KAP

yang mengaudit korporasi .• Menjadi anggota independen dalam dewan komisaris .• Menyelenggarakan prosedur untuk menangani komplain-komplain yang berkaitan dengan

akuntansi, pengendalian internal, dan hal-hal lain yang berkaitan dengan audit.• Menelaah dan menyetujui jasa audit dan jasa-jasa lain yang diberikan oleh KAP. • Mengembankan program penanganan whistleblower bagi pegawai atau pengadu yang

melaporkan terjadinya penyimpangan untuk memperoleh perlindungan dan mencegah tindakan pembalasan.

Untuk anggota komite audit independen harus memenuhi persyaratan sebagai berikut: tidak menerima fee untuk kegiatan konsultasi, advisery atau jasa lainnya yang diberikan kepada perusahaan, bukan merupakan pegawai dari perusahaan atau anak perusahaan, serta boleh dibantu oleh tenaga ahli.

Pengungkapan Laporan Keuangan

Ketentuan ini mengatur direksi, karyawan, dan dewan komisaris dalam kaitannya dengan perannya masing-masing. Direksi, karyawan, komisaris tidak boleh melakukan pembohongan terhadap KAP. Mereka yang bertindak atas nama perusahaan tidak boleh mempengaruhi secara curang, memaksa, memanipulasi atau menyesatkan KAP yang mendapat penugasan audit, melalui PCAOB, SEC diminta mengeluarkan ketentuan yang terkait dengan kode etik bagi petugas/pejabat bagian keuangan. selain itu, SEC juga mengeluarkan aturan yang mewajibkan salah seorang anggota komite audit perusahaan emiten harus memiliki keahlian di bidang keuangan.

COSO, COBIT, SARBANES OXLEY ACT, BASEL II, ISO 17799

Page 18: Coso Cobit Sarbox Basel II

1

Hal itu dikaitkan dengan tanggung jawab perusahaan berkaitan dengan pelaporan keuangan. CEO, CFO dan pejabat lain yang mempunyai fungsi yang serupa perlu memberikan pernyataan di dalam laporan triwulan dan laporan tahunan perusahaan yang disampaikan kepada SEC bahwa: Pejabat yang menandatangani laporan telah mereview laporan tersebut. Berdasarkan pengetahuan pejabat yang bersangkutan, laporan tidak berisikan pernyataan yang tidak benar mengenai fakta-fakta yang material atau tidak melaporkan fakta-fakta yang material sehingga laporan perusahaan memuat informasi yang menyesatkan , atau dengan kata lain telah menyajikan secara wajar semua kondisi dan hasil operasi perusahaan yang material.

SEC mengeluarkan beberapa peraturan baru terkait dengan pengungkapan laporan keuangan yang lebih transparan dan tepat waktu bagi para investor sebagai berikut: Semua koreksi keuangan yang material harus terungkap dalam laporan keuangan. Pengungkapan tambahan terhadap pengungkapan-pengungkapan yang tidak disyaratkan

oleh GAAP, antara lain, core earnings, free cash flow, EBITDA, dan pre-FAS 133 income. Pengungkapan informasi tambahan tersebut bisa dicantumkan di laporan tahunan, laporan tertulis lainnya atau dalam web site perusahaan.

Penambahkan pengungkapan transaksi diluar neraca (off balance sheet) yang harus disertakan dalam penjelasan dan analisis manajemen (management’s discussion and analysis - MD&A) yaitu pengungkapan tentang pengaturan transaksi diluar neraca dan tabel yang menjelaskan informasi tentang kewajiban kontraktual yang pasti akan terjadi. Misal:standby LC, performance guarantee dll.

Tanggung Jawab Terhadap Internal Control

SOA mewajibkan perusahaan yang listing di AS untuk membuat dokumentasi pengendalian kunci dan melaporkan kondisi pengendalian internnya secara periodik. SOA Section 302 tentang ”Corporate Responsibility for Financial Reports” menetapkan bahwa

pejabat eksekutif perusahaan (CEO & CFO) harus bertanggung jawab secara pribadi terhadap pernyataan prosedur pengendalian, internal control, dan jaminan atas kecurangan (fraud).

Sedangkan SOA section 404 tentang “Management Assessment of Internal Controls” mengatur ketentuan yang mewajibkan terselenggaranya audit SOA tahunan yang menunjukkan laporan pengendalian internal (internal control report) sebagai bagian dari laporan keuangan.

Laporan pengendalian internal antara lain berisi tanggung jawab manajemen untuk mengembangkan dan memelihara sistem (struktur & prosedur) pengendalian intern atas pelaporan keuangan dan hasil evaluasi atas efektivitas sistem pengendalian internal. Regulasi ini menuntut manajemen perusahaan untuk memahami, mendokumentasikan, dan menyempurnakan pengendalian internal terkait pelaporan keuangan, dengan terus meningkatkan keakuratan proses bisnis (business process) dan informasi transaksionalnya, serta membangun perbaikan proses secara berkelanjutan (continuous improvement process) mengenai pengendalian internal pada laporan keuangan perusahaan. Selain itu, pengendalian harus terkait dengan upaya pencegahan (prevention) dan pendeteksian (detection) kecurangan (fraud) atas pelaporan keuangan termasuk kemungkinan risiko timbulnya kecurangan.

Dengan ketentuan baru ini, pengungkapan laporan keuangan yang disampaikan kepada SEC memuat semua transaksi off balance sheet, dan laporan proforma yang disampaikan kepada

COSO, COBIT, SARBANES OXLEY ACT, BASEL II, ISO 17799

Page 19: Coso Cobit Sarbox Basel II

1

SEC tidak boleh berisikan informasi yang menyesatkan. Dengan sistem yang dibangun tersebut, SEC mengatur secara matang orang dalam perusahaan tidak boleh melakukan transaksi perdagangan saham atas nama pribadi dengan menggunakan informasi yang hanya diketahui oleh orang dalam sendiri (insider information). Guna memberikan ruang kepada publik terhadap gugatan hukum atas kecurangan dalam perdagangan saham, publik dapat mengajukan gugatan yang berkaitan dengan securities fraud paling lambat dua tahun setelah kecurangan tersebut terungkap atau lima tahun setelah kecurangan tersebut terjadi. Jika ketentuan ini tidak dipenuhi, maka emiten tidak boleh mendaftarkan sahamnya di Bursa Efek USA.

Mengingat pembenahan prosedur pengendalian internal sangat rumit dan kompleks, maka perusahaan dapat membentuk Tim SOA yang bekerjasama dengan Komite Audit. Tim SOA bertugas mengembangkan dan membangun kebijakan pengendalian internal, prosedur, bisnis proses dan mekanisme pelaporan pengendalian internal serta pengawasan laporan keuangan internal. Apabila diperlukan Tim SOA dapat minta bantuan konsultan independen dalam penyiapan prosedur dan bisnis proses internal control untuk laporan keuangan

d. ANALISA KONFLIK KEPENTINGANBroker dan dealer surat berharga di bursa efek tidak diperbolehkan melakukan balas dendam

atau mengancam untuk melakukan balas dendam kepada analis yang bekerja untuk mereka karena laporan analis tersebut berisikan analisis negatif terhadap perusahaan publik tertentu. Analis, broker atau dealer surat berharga harus mengungkapkan konflik kepentingan yang ada pada mereka, seperti: (a) Apakah analis memiliki investasi atau hutang di dalam perusahaan yang sedang dibuatkan

laporan analisisnya; (b) Apakah kompensasi yang diterima oleh broker, dealer atau analis wajar, tidak berlebihan dan

tidak bertentangan dengan kepentingan publik serta konsisten dengan perlindungan terhadap kepentingan investor,

(c) Apakah emiten merupakan klien dari broker dan dealer, dan (d) Apakah kompensasi yang diterima analis untuk penerbitan suatu laporan didasarkan jumlah

pendapatan/keuntungan perusahaan yang dianalisis.Sementara, persyaratan bagi Pengacara yang mewakili Perusahaan Publik, SEC harus

menetapkan standar minimal yang harus dipenuhi oleh pengacara yang mewakili perusahaan publik. Standar tersebut harus mengatur: Untuk Pengacara yang dipekerjakan oleh perusahaan publik harus melaporkan kepada kepala biro hukum atau CEO perusahaan apabila diketahui terdapat bukti dari pelanggaran yang material atas undang-undang dan peraturan pasar modal (securities law), yang dilakukan oleh perusahaan atau agen perusahaan. Apabila kepala biro hukum atau CEO perusahaan tidak memberikan respon yang memadai, maka pelanggaran tersebut harus dilaporkan kepada seluruh jajaran komisaris, komite audit dan direksi perusahaan.

e. HUKUMAN ATAS PELANGGARAN

PELANGGARAN HUKUMAN

Pengubahan, penghancuran, penyembunyian catatan apapun dengan maksud untuk menghambat proses

Denda dan/atau hukuman penjara maksimal 10 tahun.

COSO, COBIT, SARBANES OXLEY ACT, BASEL II, ISO 17799

Page 20: Coso Cobit Sarbox Basel II

1

investigasi yang sedang dilakukan pemerintah.

Kertas kerja audit dan hasil reviewnya tidak disimpan selama (paling sedikit) lima tahun.

Denda dan/atau hukuman penjara maksimal 5 tahun.

Siapapun yang secara sadar melakukan atau berupaya untuk melakukan penipuan terhadap pembeli saham

Denda dan/atau hukuman penjara maksimal 10 tahun.

Setiap CEO atau CFO yang karena kelalaiannya menyebabkan ketidak sesuaian antara isi pernyataan yang diberikan berkaitan dengan pelaporan Keuangan dan isi laporan keuangan itu sendiri.

Denda sampai $1,000,000 dan/atau 10 tahun penjara.

Sengaja memberikan isi pernyataan yang berbeda dengan isi laporan keuangan.

Denda sampai $5 juta dan/atau 20 tahun penjara

Dua atau lebih orang yang berkonspirasi untuk melakukan kecurangan atau menipu pemerintah

Denda dan/atau hukuman penjara sampai dengan 10 tahun.

Setiap orang yang sengaja mengubah, menghancurkan, menyembunyikart catatan atau dokumen apapun dengan maksud merusak keutuhan catatan atau dokumen yang digunakan secara resmi.

Denda dan/atau hukuman penjara sampai dengan 20 tahun.

Penipuan melalui surat dan media elektron-ik.Pelanggaran terhadap pelaksanaan ketentuan Employee Retirement Income Security Act (ERISA).

Hukuman penjara 20 tahun.Lama hukuman bervariasi tergantung jenis pelanggaran.

* Sumber: Sarbanes-Oxley Act of 2002 and New York City Office of the Comptroller

4. Konsep Pengendalian

Pada dasarnya SOA menuntut implementasi internal control yang baik atas 3 (tiga) hal yang sangat erat kaitannya dengan GCG, yaitu:a. Transparansi (transparency), menuntut kemampuan untuk dapat ditelusuri

(treaceability) dan dapat diaudit dari setiap proses dan aktivitas yang terkait dengan pelaporan keuangan

b. Akuntabilitas (accountability), menuntut kejelasan dan ketiadaan benturan kepentingan (conflict of interest) atas informasi apa dan siapa yang bertanggung jawab. Selain itu, menjamin hak akses atas informasi dan rentang pengambilan keputusan yang sesuai dengan tugas dan tanggung jawab terkait.

c. Keterukuran (measurability), bertujuan memberikan basis pengukuran untuk perbaikan secara berkelanjutan).

Untuk mengimplementasi SOA, perusahaan dan lingkungannya perlu menjalankan hal berikut: a. Pertama, melakukan pemisahan fungsi yaitu pengaturan ruang lingkup tanggung jawab

dan kewenangan serta akses pemakai (user) atas informasi perusahaan. Hal ini untuk menjaga independensi antara manajemen perusahaan, auditor, penyedia jasa non audit, Komite Audit, serta pihak-pihak lain yang berkepentingan

COSO, COBIT, SARBANES OXLEY ACT, BASEL II, ISO 17799

Page 21: Coso Cobit Sarbox Basel II

1

b. Kedua, meningkatkan kualitas sumber daya manusia terutama yang terkait dengan implementasi pengendalian internal termasuk masalah kewenangan akses yang lebih luas kepada Departemen Audit Internal (Satuan Pengawasan Intern).

c. Ketiga, menjaga integritas atas siklus pelaporan keuangan. Dalam hal ini, perusahaan dapat menerapkan pemrosesan data secara elektronik (Electronic Data Processing) dalam pelaporan keuangannya serta meminimalisasi aktivitas atau proses-proses transaksi & pelaporan keuangan secara manual.

d. Keempat, penegakan sanksi yang tegas atas setiap pelanggaran atas aturan yang dilakukan.

Dari keseluruhan Sarbanes Oxley Act, terdapat dua bagian yang mengatur mengenai internal control, dan sering dibahas, yaitu Section 302 dan Section 404. Seksi 404 secara khusus memberikan perhatian kepada internal kontrol perusahaan atas laporan keuangannya.

Section 404 ‘Management Assessments of Internal Controls’1. Setiap laporan tahunan yang diserahkan kepada Securities Exchange Commission harus

berisi laporan internal control, yang akan:a. Menyatakan tanggung jawab manajemen untuk membuat dan menjaga struktur dan

prosedur internal control yang cukup untuk pelaporan keuangan.b. Berisi penilaian efektivitas struktur dan prosedur internal control pada akhir tahun

fiscal perusahaan.2. Setiap kantor akuntan publik beregister yang menyiapkan atau mengeluarkan laporan

audit bagi perusahaan harus menguji dan melaporkan penilaian kecukupan dan efektivitas struktur dan prosedur internal control yang dibuat oleh manajemen perusahaan sebagai bagian dari audit laporan keuangan menurut standar atestasi.

Sedangkan dalam Section 302, CEO dan CFO secara personal harus menerangkan dengan sebenarnya (certify) bahwa mereka bertanggung jawab untuk prosedur dan control yang diungkapkan. Tiap laporan triwulan harus berisi pernyataan bahwa mereka telah melaksanakan evaluasi design dan efektivitas control. Eksekutif yang menyatakan juga harus menyatakan bahwa mereka mengungkapkan kepada Komite Audit dan auditor independen mengenai kekurangan/kelemahan pengendalian yang signifikan, kelemahan material, dan tindakan fraud. SEC juga mengusulkan persyaratan sertifikasi yang diperluas yang memasukkan prosedur dan internal control untuk pelaporan keuangan, selain persyaratan terkait pengungkapan control dan prosedur.

AUDIT INTEGRAL

Perbedaan audit integral dan audit keuangan terletak pada pengujian pengendalian internal. Dalam audit keuangan konvensional, pengujian pengendalian bertujuan untuk menentukan bentuk, waktu dan tingkat kedalaman pemeriksaan. Apabila dari hasil pengujian tersebut ditemukan bahwa auditor tidak bisa mengandalkan pengendalian internal klien, maka auditor akan menggunakan pendekatan full substantive. Dalam audit integral, pengujian pengendalian internal merupakan proses untuk menyatakan pendapat

COSO, COBIT, SARBANES OXLEY ACT, BASEL II, ISO 17799

Page 22: Coso Cobit Sarbox Basel II

1

terhadap keandalan pengendalian internal klien. Apabila dalam pengujian tersebut auditor menemukan bahwa pengendalian internal klien tidak dapat diandalkan maka temuan bisa menjadi kelemahan mendasar (material weaknesses) dalam pengendalian internal. Kelemahan mendasar akan menyebabkan pendapat tidak wajar (adverse opinion) dalam pengendalian internal.

Dengan diundangkannya SOA, auditor saat ini juga memiliki tanggungjawab tambahan untuk mengevalusi pengendalian internal yang secara khusus dapat menekan risiko terjadinya penyelewengan keuangan (fraud) yang kemungkinan secara signifikan bisa mempengaruhi sebuah laporan keuangan. Auditor tidak dapat melakukan pemeriksaan laporan keuangan terhadap perusahaan publik di Amerika Serikat tanpa sekaligus melakukan pemeriksaan terhadap pengendalian internal yang ada di perusahaan tersebut. Penugasan pemeriksaan laporan keuangan dan pengendalian internal merupakan penugasan yang integral dan tidak dapat dipisahkan.

Namun perlu diingat, pengendalian internal perusahaan adalah tanggung jawab manajemen perusahaan bukan tanggung jawab auditor. Manajemen harus melakukan penilaian terhadap pengendalian internal mereka sendiri, dan peran tersebut tidak bisa tergantikan dengan pengujian-pengujian yang dilakukan oleh auditor terkait dengan pemeriksaan tahunan. Manajemen perusahaan juga harus membuat dokumentasi terhadap proses signifikan yang ada di perusahaan tersebut. Dokumentasi proses yang signifikan ini kemudian akan menjadi dasar penilaian auditor terhadap pengendalian internal yang dimilliki oleh sebuah perusahaan.

Hal-hal yang baru dalam audit integral (Section 404) :a. Auditor harus menyatakan pendapat terhadap kewajaran laporan keuangan sekaligus

menyatakan pendapat atas atestasi manajemen terhadap pengendalian internal. Proses pernyataan pendapat tersebut merupakan satu kesatuan yang tidak terpisahkan (audit integral).

b. Pekerjaan dalam pemeriksaan untuk menyatakan kewajaran atas laporan keuangan maupun pemeriksaan terhadap pengendalian internal harus saling terkait.

c. Standar yang ditetapkan oleh PCAOB merupakan standar yang integral, mencakup pekerjaan yang diperlukan dalam audit laporan keuangan dan audit pengendalian internal.

d. Audit integral akan menghasilkan tiga opini : Pendapat tentang keefektifan pengendalian internal terhadap penyusunan laporan

keuangan. Pendapat tentang keefektifan penilaian manajemen terhadap pengendalian internal. Pendapat tentang kewajaran laporan keuangan.

Pernyataan pendapat atas pengendalian internal ditentukan oleh temuan pada saat pemeriksaan lapangan, tertuang terhadap pengujian pengendalian internal dapat dikategorikann menjadi tiga seperti dibawah ini : a. Internal control deficiencies (kecacatan pengendalian internal)

Apabila ditemukan kecacatan dalam desain pengendalian internal, sehingga pengendalian internal tidak akan bisa menangkap atau mencegah salah saji atau kecurangan keuangan. Temuan ini adalah temuan cacat pengendalian internal yang

COSO, COBIT, SARBANES OXLEY ACT, BASEL II, ISO 17799

Page 23: Coso Cobit Sarbox Basel II

1

paling parah. Auditor bisa menggunakan COSO framework untuk mengukur apakah desain pengendalian internal di sebuah perusahaan sudah mencukupi atau belum.

b. Significant deficiencies (kecacatan mendasar) Kecacatan yang baik berdiri sendiri atau bersama-sama membuat kemungkinan (remote likehood) perusahaan gagal menangkap atau mencegah salah saji dalam laporan keuangannya. Salah saji yang tidak tertangkap tersebut bersiap tidak berpola.

c. Material weaknesses (kelemahan mendasar) Kecatatan yang mendasar yang membuat perusahaan gagal untuk mencegah (prevented) atau mendeteksi (detected) sebuah salah saji. Temuan ini bisa mengakibatkan pernyataan pendapat tidak wajar (adverse opinion).

5. Hal- hal yang bisa diterapkan di IndonesiaHingga saat ini, komisi pasar bursa Indonesia belum mengadopsi peraturan ini untuk

diterapkan pada perusahaan yang sahamnya sudah diperdagangkan di pasar bursa dalam negeri. Dengan mengacu kepada pengalaman Amerika Serikat di atas, apalagi mengingat keterpurukan perekonomian Indonesia salah satunya disebabkan oleh buruknya corporate governance dan semakin banyak perusahaan Indonesia go public di dalam maupun luar negeri, sudah seyogyanya pihak-pihak yang berkompeten seperti DPR, Departemen Keuangan (Bapepam), dan Ikatan Akuntan Indonesia segera membuat atau mengadopsi undang-undang dan peraturan yang serupa dengan Sarbanes-Oxley Act.

Apabila SOA ini diadopsi di Indonesia, tentunya akan memberikan dampak positif antara lain:• Meningkatkan akuntabilitas pengelolaan keuangan• Meningkatkan kepercayaan investor atas keandalan laporan keuangan, sehingga

menggiatkan kegiatan investasi.• Memberikan shock therapy bagi manajemen dan auditor karena dalam UU diatur

mengenai sanksi.

Namun, tentu saja hal itu bukan perkara mudah. Dibutuhkan waktu, tenaga, dan biaya yang besar termasuk sumber daya manusia yang berkualitas serta memiliki integritas yang tinggi. Selain itu perlu dipertimbangkan apakah sebanding antara manfaat dengan biaya yang harus dikeluarkan.

Untuk beberapa bagian, Indonesia sebenarnya sudah membuat aturan yang terdapat dalam SOX, antara lain:

a. Pembentukan Komite Audit. Sebagaimana diatur dalam Keputusan Ketua Badan Pengawas Pasar Modal

(Bapepam) No. KEP-29/PM/2004 tanggal 24 September 2004 tentang Pembentukan dan Pedoman Pelaksanaan Kerja Komite Audit, yang dimaksud dengan Komite Audit adalah komite yang dibentuk oleh Dewan Komisaris dalam rangka membantu melaksanakan tugas dan fungsinya. Komite Audit bertugas untuk memberikan pendapat kepada Dewan Komisaris terhadap laporan atas hal-hal yang disampaikan oleh direksi kepada Dewan Komisaris, mengidentifikasi hal-hal yang memerlukan perhatian komisaris, dan melaksanakan tugas-tugas lain yang berkaitan dengan tugas Dewan Komisaris, antara lain meliputi:

COSO, COBIT, SARBANES OXLEY ACT, BASEL II, ISO 17799

Page 24: Coso Cobit Sarbox Basel II

1

1) Melakukan penelaahan atas informasi keuangan yang akan dikeluarkan perusahaan seperti laporan keuangan, proyeksi, dan informasi keuangan lainnya.

2) Melakukan penelaahan atas ketaatan perusahaan terhadap peraturan perundang-undangan di bidang Pasar Modal dan peraturan perundang-undangan lainnya yang berhubungan dengan kegiatan perusahaan.

3) Melakukan penelaahan atas pelaksanaan pemeriksaan oleh auditor internal.4) Melaporkan kepada komisaris berbagai risiko yang dihadapi perusahaan dan

pelaksanaan manajemen risiko oleh direksi.5) Melakukan penelaahan dan melaporkan kepada Komisaris atas pengaduan yang

berkaitan dengan Emiten atau perusahaan public, dan6) Menjaga kerahasiaan dokumen, data dan informasi perusahaan.

Untuk Badan Usaha Milik Negara (BUMN) pun, telah diatur melalui Peraturan Meneg BUMN No. PER-05/MBU/2006 tanggal 20 Desember 2006 tentang Komte Audit Bagi Badan Usaha Milik Negara.

b. Pembentukan badan sejenis PCAOB

Mengenai pembentukan badan semacam PCAOB perlu dibuat semacam kajian apakah badan tersebut merupakan bagian dari Bapepam ataukah badan yang terpisah. Karena pada dasarnya Bapepam telah menjalankan fungsi dan tugas PCAOB.

Dalam RUU Akuntan Publik disebutkan bahwa Departemen Keuangan menyelenggarakan fungsi Regulasi Profesi Akuntan Publik dan berwenang untuk menyelenggarakan:

1) Perizinan;2) Pembinaan dan Pengawasan;3) Pengenaan Sanksi Perizinan;4) Kebijakan Pendidikan dan Pelatihan (PPL) & Ujian Profesi;5) Kebijakan penyusunan dan penetapan standar;6) Registrasi Asosiasi Profesi;7) Penyusunan, penetapan & pemberlakuan standar akuntansi keuangan dan standar

teknis profesi akuntan publik;8) Penyelenggaraan Ujian Profesi;9) Penyelenggaraan Pendidikan dan Pelatihan (PPL);

Namun, Menteri Keuangan dapat melimpahkan sebagian dari kewenangannya kepada satu asosiasi profesi akuntan, instansi pemerintah, atau lembaga independen yang dibentuk khusus untuk melaksanakan kewenangan tersebut. Dalam RUU juga diatur mengenai sanksi pidana yang akan diterima oleh Akuntan Publik apabila menyatakan pendapat atas laporan keuangan tidak berdasarkan bukti audit yang sah, relevan, dan cukup. Meskipun RUU ini banyak mendapat tanggapan negatif, namun diharapkan dapat meminimalisir peluang profesi akuntan melakukan tindakan kecurangan dalam pelaksaan audit.

c. Audit atas pengendalian intern

Untuk pelaporan keuangan, khususnya pada pengelolaan keuangan negara sebagaimana diatur dalam Standar Pemeriksaan Keuangan Negara (SPKN) laporan audit atas laporan keuangan yang diterbitkan tidak hanya laporan opini atas laporan keuangan,

COSO, COBIT, SARBANES OXLEY ACT, BASEL II, ISO 17799

Page 25: Coso Cobit Sarbox Basel II

1

melainkan juga laporan atas pengendalian intern dan laporan atas kepatuhan terhadap peraturan perundang-undangan. Dan, ketiganya diterbitkan dengan satu perikatan, yaitu audit.

Bapepam-LK pada tahun 2007 telah mengkaji kemungkinan mewajibkan audit terhadap sistem pengendalian internal di perusahaan publik untuk meningkatkan akuntabilitas laporan keuangannya beserta manfaat dan biayanya. Mengingat pentingnya implementasi SOA dalam rangka mencegah praktik kecurangan pelaporan keuangan di perusahaan publik, maka sudah saatnya Bapepam-LK mengadopsi salah satu ketentuan dalam SOA tersebut yaitu pemberlakuan audit pengendalian internal pada perusahaan yang telah go publik. Semoga implementasi GCG melalui SOA di perusahaan publik di Indonesia dapat segera terwujud, sehingga fraudulent financial reporting dapat dicegah atau dihindari.

Di Indonesia, praktek pemeriksaan internal kontrol dengan metodologi SOX 404 ini sudah dilakukan, namun hanya oleh segelintir perusahaan yang umumnya adalah perusahaan multinasional yang sahamnya diperdagangkan di pasar bursa AS dan yang beroperasi di Indonesia. Hanya sedikit jumlah orang yang mengetahui bagaimana pemeriksaan dan penilaian internal kontrol atas laporan keuangan menurut metodologi SOX 404 ini.

d. Prinsip GCG

Surat Keputusan Menteri BUMN Nomor KEP-117/M-MBU/2002 secara resmi memerintahkan seluruh BUMN untuk menerapkan prinsip-prinsip Good Corporate Governance (GCG) secara konsisten dalam day-to-day operasional organisasi BUMN. Dengan demikian, Indonesia merupakan negara lain selain Amerika yang menerapkan mandatory system of corporate governance. Jika membandingkan dengan apa yang terjadi dengan negara-negara seperti Australia, Inggris, Belanda, dan Jerman yang memilih sistem sukarela (voluntary system) yang merupakan terjemahan dari prinsip "setuju atau menjelaskan kenapa tidak setuju"; di Inggris prinsip ini dikenal dengan "comply or explain", sedangkan orang Australia menyebutnya dengan "if not, why not" (Miko: 2006). Mandatory system merupakan prinsip yang mulai diberlakukan di Amerika setelah tragedi runtuhnya perusahan-perusahaan raksasa.

D. BASEL II1. Latar Belakang

Bank merupakan suatu perusahaan yang menjalankan fungsi intermediasi atas dana

yang diterima dari nasabah. Jika sebuah bank mengalami kegagalan, dampak yang

ditimbulkan akan meluas mempengaruhi nasabah dan lembaga-lembaga yang menyimpan

dananya atau menginvestasikan modalnya di bank, dan akan menciptakan dampak ikutan

secara domestik maupun pasar internasional. Karena pentingnya peran bank dalam

melaksanakan fungsinya maka perlu diatur secara baik dan benar. Hal ini bertujuan utnuk

menjaga kepercayaan nasabah terhadap aktivitas perbankan. Salah satu peraturan yang

COSO, COBIT, SARBANES OXLEY ACT, BASEL II, ISO 17799

Page 26: Coso Cobit Sarbox Basel II

1

perlu dibuat untuk mengatur perbankan adalah peraturan mengenai permodalan bank yang

berfungsi sebagai penyangga terhadap kemungkinan terjadinya kerugian.

Mengingat pentingnya modal pada bank, pada tahun 1988 Bank of International

Settlements (BIS) mengeluarkan suatu konsep kerangka permodalan yang lebih dikenal

dengan the 1988 accord (Basel I). Sistem ini dibuat sebagai penerapan kerangka pengukuran

bagi risiko kredit, dengan mensyaratkan standar modal minimum adalah 8%. Komite Basel

merancang Basel I sebagai standar yang sederhana, mensyaratkan bank-bank untuk

memisahkan eksposurnya kedalam kelas yang lebih luas, yang menggambarkan kesamaan

tipe debitur. Eksposur kepada nasabah dengan tipe yang sama (seperti eksposur kepada

semua nasabah korporasi) akan memiliki persyaratan modal yang sama, tanpa

memperhatikan perbedaan yang potensial pada kemampuan pembayaran kredit dan risiko

yang dimiliki oleh masing-masing individu nasabah.

Sejalan dengan semakin berkembangnya produk-produk yang ada di dunia

perbankan, BIS kembali menyempurnakan kerangka permodalan yang ada pada the 1988

accord dengan mengeluarkan konsep permodalan baru yang lebih di kenal dengan Basel II.

Basel II dibuat berdasarkan struktur dasar the 1988 accord yang memberikan kerangka

perhitungan modal yang bersifat lebih sensitif terhadap risiko (risk sensitive) serta

memberikan insentif terhadap peningkatan kualitas penerapan manajemen risiko di bank.

Hal ini dicapai dengan cara penyesuaian persyaratan modal dengan risiko dari kerugian

kredit dan juga dengan memperkenalkan perubahan perhitungan modal dari eksposur yang

disebabkan oleh risiko dari kerugian akibat kegagalan operasional

Basel II merupakan ketentuan mengenai manajemen risiko yang dipublikasikan pada

bulan Mei 2004 oleh Basel Committee on Banking Supervision, yang dimaksudkan untuk

menyempurnakan Basel I. Ketentuan baru dalam Basel II antara lain: memperkenalkan

pengelolaan risiko pasar melalui penyisihan modal untuk manajemen risiko operasional, dan

beberapa pendekatan dalam pengukuran risiko kredit. Basel II bertujuan meningkatkan dan

menjamin kestabilan serta kesehatan sistem keuangan. Untuk itu, upaya yang ditempuh

adalah meningkatkan sensitivitas risiko dalam perhitungan modal bank. Upaya ini didukung

dengan penguatan pengawasan internal bank dan disiplin pasar.

Ketatnya perhitungan risiko dalam Basel II terlihat dari cara perhitungan modal yang

tidak lagi didasarkan hanya oleh risiko kredit, tetapi juga risiko pasar, yang meliputi nilai

COSO, COBIT, SARBANES OXLEY ACT, BASEL II, ISO 17799

Page 27: Coso Cobit Sarbox Basel II

1

tukar dan suku bunga serta risiko operasional, yang meliputi sistem pengelolaan perbankan,

termasuk TI.

Tiga tujuan utama yang ingin dicapai dalam Basel II adalah:

1. memastikan bahwa alokasi modal (capital allocation) lebih sensitif terhadap risiko.2. memisahkan risiko operasional (operational risk) dari risiko kredit (credit risk), dan

mengukur keduanya.3. berusaha untuk menciptakan hubungan/aliansi ekonomi dan pengaturan terhadap

modal untuk mengurangi masalah pengaturan arbitrasi.

2. Pihak yang Berkepentingan (Stakeholder)Para stakeholder Basel II terdiri dari:

a. Bank of International Settlements (BIS) sebagai organisasi yang berperan dalam merancang dan menyempurnakan konsep Basel II.

b. Pemerintah, yang dalam hal ini diwakili oleh Bank Sentral yang berperan sebagai regulator terhadap penerapan Basel II di suatu Negara.

c. Bank Umum sebagai pihak yang akan melaksanakan konsep Basel II.d. Market dan pihak-pihak yang berkaitan dengan industri perbankan, sebagai pihak yang

ikut memperhatikan risiko yang dihadapi oleh bank.

3. Apa saja yang diatur?

Basel II adalah rekomendasi hukum dan ketentuan perbankan kedua, sebagai penyempurnaan Basel I, yang diterbitkan oleh Komite Basel. Rekomendasi ini ditujukan untuk menciptakan suatu standar internasional yang dapat digunakan regulator perbankan untuk membuat ketentuan berapa banyak modal yang harus disisihkan bank sebagai perlindungan terhadap risiko keuangan dan operasional yang mungkin dihadapi bank. (Wikipedia)

Pendukung Basel II percaya bahwa standar internasional seperti ini dapat membantu melindungi sistem keuangan internasional terhadap masalah yang mungkin timbul sewaktu runtuhnya bank-bank utama atau serangkaian bank. Dalam praktiknya, Basel II berupaya mencapai hal ini dengan menyiapkan persyaratan manajemen risiko dan modal yang ketat yang dirancang untuk meyakinkan bahwa suatu bank memiliki cadangan modal yang cukup untuk risiko yang dihadapinya karena praktik pemberian kredit dan investasi yang dilakukannya. Secara umum, aturan-aturan ini menegaskan bahwa semakin besar risiko yang dihadapi bank, semakin besar pula jumlah modal yang dibutuhkan bank untuk menjaga likuiditas bank tersebut serta stabilitas ekonomi pada umumnya.

4. Konsep PengendalianKonsep pengendalian internal dalam BASEL II dikenal dengan nama Three Pillar (tiga

pilar/ tiang).

COSO, COBIT, SARBANES OXLEY ACT, BASEL II, ISO 17799

Page 28: Coso Cobit Sarbox Basel II

1

Pilar 1 berkaitan dengan pengelolaan tiga komponen utama risiko yang dihadapi

oleh bank, yaitu: credit risk, operational risk, dan market risk. Sedangkan untuk risiko lainnya

tidak terlalu diperhitungkan dalam tahapan ini.

Pilar 2 berkaitan dengan tanggapan pengaturan terhadap Pilar 1, memberikan

regulator lebih banyak ”tools” jika dibandingkan dengan yang terdapat Basel I. juga

menyediakan framework yang berkaitan dengan risiko-risiko lain yang mungkin akan

dihadapi oleh bank, seperti: systemic risk, strategic risk, liquidity risk dan legal risk

(keseluruhan risiko tersebut dapat disebut sebagai residual risk).

Pilar 3 mengharuskan bank untuk meningkatkan keterbukaan terhadap pasar

(market). Sehingga memberikan kepada pasar gambaran yang lebih baik mengenai posisi

keseluruhan risiko dari bank tersebut.

5. Hal- hal yang bisa diterapkan di Indonesia

Jika dilihat, Basel II memiliki berbagai kompleksitas dan prakondisi yang cukup berat bagi perbankan. Prasyarat utama agar Basel II dapat diterapkan dengan baik meliputi:

Penerapan manajemen risiko di bank sebagaimana telah diatur dalam PBI No.5/8/PBI/2003 tanggal 19 Mei 2003 tentang Penerapan Manajemen Risiko Bagi Bank Umum

Penyesuaian standar akuntansi yang mengacu kepada standar akuntansi internasional (IAS) antara lain IAS 32 dan IAS 39.

Penerapan perhitungan permodalan secara konsolidasi dengan perusahaan tertentu dalam sektor keuangan kecuali asuransi

Pengakuan perusahaan pemeringkat oleh Bank Indonesia untuk dapat melakukan rating terhadap debitur bank.

Berikut jadwal rencana penerapan Basel II di Indonesia oleh BI :

E. ISO 17799

COSO, COBIT, SARBANES OXLEY ACT, BASEL II, ISO 17799

Page 29: Coso Cobit Sarbox Basel II

1

1. Latar Belakang

Keamanan data elektronik menjadi hal yang sangat penting di perusahaan penyedia

jasa teknologi informasi (TI) maupun industri lainnya, seperti: perusahaan export-import,

tranportasi, lembaga pendidikan, pemberitaan, hingga perbankan yang menggunakan

fasilitas TI dan menempatkannya sebagai infrastruktur kritikal (penting).

Informasi atau data adalah aset bagi perusahaan. Keamanan data secara tidak

langsung dapat memastikan kontinuitas bisnis, mengurangi resiko, mengoptimalkan return

on investment dan mencari kesempatan bisnis. Semakin banyak informasi perusahaan yang

disimpan, dikelola dan di-sharing maka semakin besar pula resiko terjadinya kerusakan,

kehilangan atau tereksposnya data ke pihak eksternal yang tidak diinginkan.

Bagaimana data atau informasi tersebut dikelola, dipelihara dan diekspose,

melatarbelakangi disusunnya ISO 17799, standar untuk sistem manajemen keamanan

informasi.

Penyusunan standar ini berawal pada tahun 1995, dimana sekelompok perusahaan

besar seperti BOC, BT, Marks & Spencer, Midland Bank, Nationwide Building Society, Shell

dan Unilever bekerja sama untuk membuat suatu standar yang dinamakan BS (British

Standard) 7799.

BS 7799 Part 1: the Code of Practice for Information Security Management. Februari

1998 BS 7799 Part 2: The Specification for Information Security Management Systems (ISMS)

menyusul diterbitkan. Desember 2000 ISO (International Organization of Standardization)

dan IEC (International Electro-Technical Commission) mengadopsi BS 7799 Part 1 dan

menerbitkannya sebagai standar ISO/IEC 17799:2000 yang diakui secara internasional.

2. Pihak yang Berkepentingan (Stakeholder)Semua pihak dalam organisasi (manajemen dan karyawan) maupun diuar organisasi

(pemasok, pelanggan, mitra kerja, dan pemegang saham) bertanggungjawab secara penuh

dalam proses keamanan informasi. Hal tersebut disebabkan karena mereka semua terlibat

secara langsung dan tidak langsung dalam proses penyediaan, penyimpanan, pemanfaatan,

dan penyebarluasan informasi dalam organisasi. Untuk menjamin adanya kesadaran,

kemauan, dan komitmen untuk melakukan hal tersebut, maka perlu adanya pihak yang

memiliki tugas dan kewajiban khusus untuk memantau efektivitas keamanan informasi

tersebut. Keberadaan pihak tersebut mutlak dibutuhkan oleh organisasi dalam berbagai

bentuknya, seperti : perusahaan komersial, pemerintah, organisasi publik, lembaga nirlaba,

COSO, COBIT, SARBANES OXLEY ACT, BASEL II, ISO 17799

Page 30: Coso Cobit Sarbox Basel II

1

dan lain sebagainya. pada intinya para pengguna ISO 17799 di fokuskan kepada Orang-orang

atau pihak-pihak yang bergerak di bidang jasa pelayanan IT, khususnya di bidang manajemen

keamanan informasi.

3. Apa saja yang diatur?Isi ISO 17799, meliputi 10 control clauses (10 pasal pengamatan), 36 control

objectives (36 objek/sasaran pengamanan), 127 controls securiy (127 pengawasan

keamanan).

10 control clouse tersebut, antara lain:

1. Security Policy

2. System Access Control

3. Communication & Operations Management

4. System Development and Maintenance

5. Physical and Environmental Security

6. Compliance

7. Personnel Security

8. Security Organization (Information Security)

9. Asset Classification and Control

10. Business Continuity Management (BCM)

Security Policy (kebijakan keamanan), mengarahkan visi dan misi manajemen agar

kontinuitas bisnis dapat dipertahankan dengan mengamankan dan menjaga

integritas/keutuhan informasi-informasi krusial yang dimiliki oleh perusahaan.

Security Policy sangat diperlukan mengingat banyak ditemuinya masalah-masalah

non teknis salah satunya penggunaan password oleh lebih dari satu orang. Hal ini

menunjukan tidak adanya kepatuhan dalam menerapkan sistem keamanan informasi. Harus

dilakukan inventarisasi data-data perusahaan. Selanjutnya dibuat peraturan yang melibatkan

semua departemen sehingga peraturan yang dibuat dapat diterima oleh semua pihak.

Setelah itu rancangan peraturan tersebut diajukan ke pihak direksi. Setelah disetujui,

peraturan tersebut dapat diterapkan.

System Access Control (sistem kontrol akses), mengendalikan/membatasi akses user

terhadap informasi-informasi yang telah diatur kewenangannya, termasuk pengendalian

secara mobile-computing ataupun tele-networking. Mengontrol tata cara akses terhadap

informasi dan sumber daya yang ada meliputi berbagai aspek, yaitu :

a. Access control.

b. User Access Management.

COSO, COBIT, SARBANES OXLEY ACT, BASEL II, ISO 17799

Page 31: Coso Cobit Sarbox Basel II

1

c. User Responsibilities.

d. Network Access Control

e. Operation System access Control

f. Application Access Control.

g. Monitor system Access and use.

h. Mobile Computing and Telenetworking.

Communication and Operations Management (manajemen komunikasi dan

operasi), menyediakan perlindungan terhadap infrastruktur sistem informasi melalui

perawatan dan pemeriksaan berkala, serta memastikan ketersediaan panduan sistem yang

terdokumentasi dan dikomunikasikan guna menghindari kesalahan operasional. Pengaturan

tentang alur komunikasi dan operasi yang terjadi meliputi berbagai aspek, yaitu :

a. Operational procedures and reponsibilities.

b. System Planning and acceptance.

c. Protection against malicious software.

d. Housekeeping

e. Network Management.

f. Media handling and security.

g. Exchange of Information and software.

System Development and Maintenance (pengembangan sistem dan pemeliharaan),

memastikan bahwa sistem operasi maupun aplikasi yang baru diimplementasikan mampu

bersinergi melalui verifikasi/validasi terlebih dahulu sebelum diluncurkan ke live

environment.

Penelitian untuk pengembangan dan perawatan sistem yang ada meliputi berbagai aspek, yaitu :

a. Security requirements of system.

b. Security in application system.

c. Cryptographic control

d. Security of system files

e. Security in development and support process.

Physical and Environmental Security (keamanan fisik dan lingkungan), membahas keamanan dari segi fisik dan lingkungan jaringan, untuk mencegah kehilangan/ kerusakan data yang diakibatkan oleh lingkungan, termasuk bencana alam dan pencurian data dalam media penyimpanan atau fasilitas informasi yang lain. Aspek yang dibahas antara lain:

a. Secure Areas

b. Equipment security

c. General Control

Compliance (penyesuaian), memastikan implementasi kebijakan-kebijakan

keamanan selaras dengan peraturan dan perundangan yang berlaku, termasuk persyaratan

COSO, COBIT, SARBANES OXLEY ACT, BASEL II, ISO 17799

Page 32: Coso Cobit Sarbox Basel II

1

kontraktual melalui audit sistem secara berkala. Kepatuhan yang mengarah kepada

pembentukan prosedur dan aturan – aturan sesuai dengan hukum yang berlaku meliputi

berbagai aspek, yaitu :

a. Compliance with legal requirements

b. Reviews of security policy and technical comliance.

c. System audit and consideration

Personnel Security (keamanan perorangan), mengatur tentang pengurangan resiko

dari penyalahgunaan fungsi penggunaan atau wewenang akibat kesalahan manusia (human

error), sehingga mampu mengurangi human error dan manipulasi data dalam pengoperasian

sistem serta aplikasi oleh user, melalui pelatihan-pelatihan mengenai security awareness

agar setiap user mampu menjaga keamanan informasi dan data dalam lingkup kerja masing-

masing.

Personnel Security meliputi berbagai aspek, yaitu :

a. Security in Job Definition and Resourcing.

b. User Training.

c. Responding to Security Incidens and Malfunction.

Security Organization (organisasi keamanan), mengatur tentang keamanan secara

global pada suatu organisasi atau instansi, mengatur dan menjaga integritas sistem

informasi internal terhadap keperluan pihak eksternal termasuk pengendalian terhadap

pengolahan informasi yang dilakukan oleh pihak ketiga (outsourcing). Aspek yang

terlingkupi, yaitu :

a. Security of third party access

b. Outsourcing

Asset Classification and Control (klasifikasi dan kontrol aset), memberikan

perlindungan terhadap aset perusahaan dan aset informasi berdasarkan level proteksi yang

ditentukan. Membahas tentang penjagaan aset yang ada meliputi berbagai aspek,

diantaranya :

a. Accountability for Assets.

b. Information Classification.

Business Continuity Management (manajemen kelanjutan usaha), siap menghadapi

resiko yang akan ditemui didalam aktivitas lingkungan bisnis yang bisa mengakibatkan

”major failure” atau resiko kegagalan yang utama ataupun ”disaster” atau kejadian buruk

yang tak terduga, sehingga diperlukan pengaturan dan manajemen untuk kelangsungan

proses bisnis.

COSO, COBIT, SARBANES OXLEY ACT, BASEL II, ISO 17799

Page 33: Coso Cobit Sarbox Basel II

1

Membangun dan menjaga keamanan sistem manajemen informasi akan terasa jauh

lebih mudah dan sederhana dibandingkan dengan memperbaiki sistem yang telah

terdisintegrasi. Penerapan standar ISO 17799 akan memberikan benefit yang lebih nyata

bagi organisasi bila didukung oleh kerangka kerja manajemen yang baik dan terstruktur serta

pengukuran kinerja sistem keamanan informasi, sehingga sistem informasi akan bekerja

lebih efektif dan efisien.

36 objek pengamatan/pengawasan keamanan merupakan uraian dari aspek 10

control clouse tersebut.

Gambar Struktur dari kesepuluh wilayah standar (10 control clouse)

Untuk 36 control objective-nya adalah sebagai berikut : 1). Control Objectives, 2).

Information security policy, 3). Information security infrastructure, 4). Security of third

party access,5). Outsourcing,6). Accountability for assets,7). Information classifications,

8). Security in job definition and resourcing, 9). User training, 10).Responding to security

incidents and malfunctions, 11).Secure areas, 12).Equipment security, 13).General

controls, 14).Operational procedures and responsibilities, 15). System planning and

acceptance, 16). Protection against malicious software, 17). Housekeeping, 18). Network

management, 19). Media handling and security, 20).Exchanges of information and

software, 21).Access Control, 22).Use access management, 23).User responsibilities,

24).Network access control, 25).Operating system access control, 26).Application access

control, 27).Monitoring system access and use, 28).Mobile computing and teleworking,

29).Security requirements of systems, 30).Security in application system,

31).Cryptographic controls, 32).Security of systems files, 33).Security in development and

COSO, COBIT, SARBANES OXLEY ACT, BASEL II, ISO 17799

Page 34: Coso Cobit Sarbox Basel II

1

support process, 34).Aspects of business continuity management, 35).Compliance with

legal requirements, 36).Review of security policy & technical compliance

Kendali / Kontrol tersebut diuraikan pada tingkat tinggi, tanpa memasukkan

masalah teknologi secara detail, dalam rangka membiarkan perusahaan / organisasi

masing-masing secara total bebas untuk memilih kendali yang terdekat ke situasi

cultural/technological dan kebutuhan sendiri.

Aset dan aspek yang dinilai dalam ISO 17799

Information assets (aset informasi),

Software assets (aset perangkat lunak yang dimiliki),

Physical assets (aset fisik) dan

Services (pelayanan).

4. Konsep PengendalianKeamanan informasi terdiri dari perlindungan terhadap aspek-aspek berikut:

a. Confidentiality (kerahasiaan) aspek yang menjamin kerahasiaan data atau informasi, memastikan bahwa informasi hanya dapat diakses oleh orang yang berwenang dan menjamin kerahasiaan data yang dikirim, diterima dan disimpan.

b. Integrity (integritas) aspek yang menjamin bahwa data tidak dirubah tanpa ada ijin fihak yang berwenang (authorized), menjaga keakuratan dan keutuhan informasi serta metode prosesnya untuk menjamin aspek integrity ini.

c. Availability (ketersediaan) aspek yang menjamin bahwa data akan tersedia saat dibutuhkan, memastikan user yang berhak dapat menggunakan informasi dan perangkat terkait (aset yang berhubungan bilamana diperlukan).

Keamanan informasi diperoleh dengan mengimplementasi seperangkat alat kontrol

yang layak, yang dapat berupa kebijakan-kebijakan, praktek-praktek, prosedur-prosedur,

struktur-struktur organisasi dan piranti lunak.

Gambar Elemen-elemen keamanan informasi

Keamanan informasi memproteksi informasi dari ancaman yang luas untuk

memastikan kelanjutan usaha, memperkecil rugi perusahaan dan memaksimalkan laba atas

COSO, COBIT, SARBANES OXLEY ACT, BASEL II, ISO 17799

Page 35: Coso Cobit Sarbox Basel II

1

investasi dan kesempatan usaha. Manajemen sistem informasi memungkinkan data untuk

terdistribusi secara elektronis, sehingga diperlukan sistem untuk memastikan data telah

terkirim dan diterima oleh user yang benar.

5. Hal- hal yang bisa diterapkan di IndonesiaStandard ISO 17799 ini diharapkan bisa diterapkan di perusahan-perusahaan yang

ada di Indonesia. Hal ini dapat dijamin karena perumusan Standard ISO 17799 yang berisi

Informasi Security Management Sistem dibuat oleh orang–orang yang capable dalam

bidangnya. Penyusun meliputi tenaga ahli keamanan dan auditor berkualitas. Semua

anggota berpengalaman dan sadar akan BS7799 standard, ISO/IEC 17799, sistem

manajemen ( secara umum), keamanan informasi, analisis risiko dan asas manajemen dan

proses, prinsip auditing.

Penerapan standar ISO 17799 akan memberikan benefit yang lebih nyata bagi

organisasi bila didukung oleh kerangka kerja manajemen yang baik dan terstruktur serta

pengukuran kinerja sistem keamanan informasi, sehingga sistem informasi akan bekerja

lebih efektif dan efisien

Dalam ISO 17799 terdapat beberapa point penting yang akan diadopsi dalam SNI

mengenai system keamanan TI, antara lain pemisahan antara orang-orang yang

berkompeten dengan system dan yang tidak, manajemen password, serta pemisahan

wewenang operasional dan pengembang.

Secara garis besar untuk membentuk sistem manajemen keamanan TI berdasarkan

ISO-17799, perusahaan harus menerapkan identity management, vulnerability

management, manajemen konten, dan manajemen informasi.

Secara singkat, beberapa konsep di atas bisa di rangkum dalam matriks berikut.

COSO, COBIT, SARBANES OXLEY ACT, BASEL II, ISO 17799

Page 36: Coso Cobit Sarbox Basel II

NO Komponen Pembanding COSO COBIT SARBOX BASEL II ISO 17799 (ISO 27002)1 Latar Belakang

Pembentukan StandarUntuk menghindari terjadinya fraud atas laporan keuangan.

Dibentuk ISACA dan ITGI dengan tujuan untuk memberikan serangkaian langkah-langkah umum , indikator, proses, dan praktek terbaik dalam memaksimalkan keuntungan yang diperoleh melalui penggunaan TI dan membantu mengembangkan pengelolaan dan kontrol TI dalam sebuah perusahaan

Terbongkarnya skandal pelaporan keuangan oleh beberapa perusahaan besar di Amerika

Untuk menciptakan ”pengelolaan perusahaan yang baik” (corporate governance) dan mengembalikan kepercayaan para investor serta mencegah adanya kecurangan dalam penyajian laporan keuangan.

Untuk menciptakan tandar internasional yang dapat digunakan oleh regulator perbankan untuk menentukan Current Asset Ratio bank sebagai perlindungan terhadap risiko keuangan dan operasional yang dihadapi oleh bank.

Adanya kebutuhan akan manajemen keamanan informasi.

2 Stakeholder: Pihak yang

diuntungkan Pihak yang

menanggung beban

Pengguna laporan keuangan

Manajemen

Manajer, auditor, pengguna TI

Bidang TI dalam perusahaan, vendor

Pengguna laporan keuangan

Dewan direksi, manajemen, auditor, SEC

Nasabah Perbankan

Manajemen Bagian IT dalam

perusahaan

3 Apa saja yang diatur dalam standar (poin-poin utama)

Model COSO, terbit pertama kali tahun 1992 yang mendefiniskan pengendalian intern sebagai suatu proses yang dipengaruhi oleh dewan komisaris,

COBIT memiliki 4 cakupan domain, yaitu :

Perencanaan dan organisasi (plan and organise)

Pengadaan dan implementasi

Secara keseluruhan, SARBOX terdiri atas 11 Bab dan 1107 Pasal yang dapat disarikan menjadi 3 kategori besar sebagai berikut:1. Pelaporan,

memperbaiki pengungkapan

Basel II bertujuan meningkatkan keamanan dan kesehatan sistem keuangan, dengan menitikberatkan pada perhitungan permodalan yang berbasis risiko,

Page 37: Coso Cobit Sarbox Basel II

1

manajemen dan pegawai lainnya yang didesain untuk memperoleh keyakinan yang memadai terkait dengan tujuan:a. efektivitas dan efisiensi dari aktivitas operasib. kehandalan dari pelaporan keuanganc. ketaatan peraturan perundangan dan kebijakan terkaitUntuk menciptakan pengendalian internal yang baik, COSO memberikan panduan dalam penyusunannya, yaitu dengan menerapkan 5 komponen.

(acquire and implement)

Pengantaran dan dukungan (deliver and support)

Pengawasan dan evaluasi (monitor and evaluate)

(Disclosure): Section 302, 401, 404, 409, 101, 102, 104, 108, 109, 408, 307

2. Peran, memperkuat tata kelola perusahaan (corporate governance): Section 204, 301, 402, 407, 304, 804, 906, 1102, 105, 802

3. Perilaku, mengembangkan akuntabilitas orang dalam (insider): Section 303, 306, 403, 406, 806, 201, 202, 203, 206

supervisory review process, dan market discipline. Framework Basel II disusun berdasarkan forward-looking approach yang memungkinkan untuk dilakukan penyempurnaan dan penyesuaian dari waktu ke waktu. Hal ini untuk memastikan bahwa framework Basel II dapat mengikuti perubahan yang terjadi di pasar maupun perkembangan-perkembangan dalam manajemen risiko.

4 Konsep pengendalian dalam masing-masing standar

Menurut COSO, internal control terdiri dari 5 komponen, yaitu:1. Lingkungan

pengendalian

Fokus pengendalian dari CoBIT adalah sisi teknologi informasi, yaitu dengan membangun sebuah internal

Pengendalian intern mencakup 4 pilar utama:1. Analisis Anti-

Kecurangan Level Makro

2. Penaksiran Level

Internal kontrol dilakukan dengan menggunakan menggunakan 5 elemen utama:1. Management

COSO, COBIT, SARBANES OXLEY ACT, BASEL II, ISO 17799

Page 38: Coso Cobit Sarbox Basel II

1

2. Penilaian risiko3. Aktivitas

pengendalian4. Informasi dan

komunikasi5. Monitoring

kontrol yang merupakan kesatuan dari beberapa proses yang terdiri atas kebijakan, prosedur, penerapan, serta struktur organisasi.

Makro terhadap Model Pengendalian

3. Penaksiran Kecukupan Pengendalian Umum IT atas Berbagai Sistem

4. Penaksiran Resiko dan Pengendalian di Tempat untuk Memastikan Keandalan Pengungkapan Ekstern

oversight and the control culture

2. Risk recognition and assessment

3. Control activities and segregation of duties

4. Information and communication

5. Monitoring activities and correcting deficiencies

Penggunaan rasio-rasio untuk menilai kondisi keuangan perbankan turut menciptakan pengendalian internal yang baik dengan seiring meningkatnya pengendalian risiko.

COSO, COBIT, SARBANES OXLEY ACT, BASEL II, ISO 17799

Page 39: Coso Cobit Sarbox Basel II

1

COSO, COBIT, SARBANES OXLEY ACT, BASEL II, ISO 17799