BAB IIPEMBAHASAN

2.1 SARBANES OXLEY ACT

Sarbanes-Oxley Act (SOA) merupakan sebuah produk hukum (Undang-Undang) di Amerika Serikat (AS) yang mengatur tentang akuntabilitas, praktik akuntansi dan keterbukaan informasi, termasuk tata cara pengelolaan data di perusahaan publik. Namun di Indonesia baru sebagian kecil yang baru menerapkan aturan tersebut.

2.2 SEJARAH MUNCULNYA SARBANES - OXLEY

Sarbanes-Oxley atau kadang disingkat SOx atau SOA adalah hukum federal Amerika Serikat yang ditetapkan pada 30 Juli 2002. Undang-undang ini diprakarsai oleh Senator Paul Sarbanes (Maryland) dan Representative Michael Oxley (Ohio) yang disetujui oleh Dewan dengan suara 423-3 dan oleh Senat dengan suara 99-0 serta disahkan menjadi hukum oleh Presiden George W. Bush. Undang-undang ini dikeluarkan sebagai respons dari Kongres Amerika Serikat terhadap berbagai skandal pada beberapa perusahaan besar seperti: Enron, Tyco International, Adelphia, Peregrine Systems, WorldCom (MCI), AOL TimeWarner, Aura Systems, Citigroup, Computer Associates International, CMS Energy, Global Crossing, HealthSouth, Quest Communication, Safety-Kleen dan Xerox, yang juga melibatkan beberapa KAP yang termasuk dalam the big five seperti: Arthur Andersen, KPMG dan PWC.

Skandal-skandal yang menyebabkan kerugian bilyunan dolar bagi investor karena runtuhnya harga saham perusahaan-perusahaan yang terpengaruh ini mengguncang kepercayaan masyarakat terhadap pasar saham. Semua skandal ini merupakan contoh tragis bagaimana kecurangan (fraud schemes) berdampak sangat buruk terhadap pasar, stakeholders dan para pegawai. Dengan diterbitkannya undang-undang ini, ditambah dengan beberapa aturan pelaksanaan dari Securities Exchange Commision (SEC) dan beberapa self regulatory bodies lainnya, diharapkan akan meningkatkan standar akuntabilitas perusahaan, transparansi dalam pelaporan keuangan, memperkecil kemungkinan bagi perusahaan atau organisasi untuk melakukan dan menyembunyikan fraud, serta membuat perhatian pada tingkat sangat tinggi terhadap corporate governance. Perundang-undangan ini menetapkan suatu standar baru dan lebih baik bagi semua dewan dan manajemen perusahaan publik serta kantor akuntan publik walaupun tidak berlaku bagi perusahaan tertutup. Akta ini terdiri dari 11 bab atau bagian yang menetapkan hal-hal mulai dari tanggung jawab tambahan Dewan Perusahaan hingga hukuman pidana. Sarbox juga menuntut Securities and Exchange Commission (SEC) untuk menerapkan aturan persyaratan baru untuk menaati hukum ini. Saat ini, corporate governance dan pengendalian internal bukan lagi sesuatu yang mewah lagi karena kedua hal ini telah disyaratkan oleh undang-undang.

2.3 AKTIVITAS SOA PADA PERUSAHAAN

Dalam Sarbanes Oxley Act diatur tentang akuntansi, pengungkapan dan pembaharuan governance yang mensyaratkan adanya pengungkapan yang lebih banyak mengenai informasi keuangan, keterangan tentang hasil-hasil yang dicapai manajemen, kode etik bagi pejabat di bidang keuangan, pembatasan kompensasi eksekutif, dan pembentukan komite audit yang independen. Selain itu diatur pula mengenai hal-hal sebagai berikut:

a. Menetapkan beberapa tanggung jawab baru kepada dewan komisaris, komite audit, dan pihak manajemen. b. Mendirikan the Public Company Accounting Oversight Board, sebuah dewan yang independen dan bekerja full-time bagi pelaku pasar modal.PCAOB bertugas menetapkan standar audit bagi auditor eksternal perusahaan publik yang terdaftar di SEC. Standar audit tersebut meliputi standar etika dan independensi, supervisi, rekrutmen dan pengembangan audit staff, dan penerimaan klien baru atau berkelanjutan (client acceptance and continuation.PCAOB juga melakukan fungsi pengawasan apakah akuntan publik sudah mematuhi standar audit. Fungsi pengawasan itu termasuk melakukan investigasi, menjatuhkan sanksi pencabutan izin akuntan publik, dll.c. Penambahan tanggung jawab dan anggaran SEC(Securities Exchange Commision) secara signifikand. Mendefinisikan jasa non-audit yang tidak boleh diberikan oleh KAP kepada klien . d. Memperbesar hukuman bagi terjadinya corporate fraud (manipulasi perusahaan) e. Mensyaratkan adanya aturan mengenai cara menghadapi conflicts of interest f. Menetapkan beberapa persyaratan pelaporan yang baru

Dalam hal pelaporan, Sarbanes-Oxley Act mewajibkan semua perusahaan publik untuk membuat suatu sistem pelaporan yang memungkinkan bagi pegawai atau pengadu untuk melaporkan terjadinya penyimpangan. Sistem pelaporan ini diselenggarakan oleh komite audit. Perusahaan dapat menggunakan jasa pelaporan hotlines seperti ACFEs EthicsLine. ACFE dapat membantu menyusun hotlines pengaduan yang akan menerima dan merahasiakan pengaduan, dan memberikan informasi kepada perusahaan agar dapat mengambil tindakan yang tepat. Sistem hotlines ini akan mendorong para pegawai untuk melaporkan karena mereka merasa aman dari tindakan pembalasan dari yang dilaporkan, dan inilah elemen penting dan kritis bagi program pencegahan fraud yang kuat.

2.4 ISI SARBANES OXLEY ACT

Secara umum SOXs Act terdiri dari tiga bagian penting yang harus diperhatikan oleh manajemen perusahaan publik, yaitu: Seksi 404, 906, dan 302. Peraturan ini sudah mulai dilaksanakan oleh perusahaan-perusahaan publik di AS sejak dikeluarkannya peraturan tersebut, Juli 2002, namun yang menjadi penekanan adalah seksi 302 dan seksi 404. Seksi 404 berisi peraturan yang mewajibkan manajemen untuk menilai internal kontrol yang sudah dilaksanakan atas laporan keuangannya serta pengesahan dari auditor eksternal. Seksi 906 berisi peraturan yang mewajibkan manajemen perusahaan secara periodik untuk melaporkan segala sesuatu menyangkut informasi keuangan yang juga tunduk kepada peraturan bursa saham, serta menyatakan dengan benar kondisi laporan keuangan dan hasil operasi perusahaan. SOXs act seksi 302 berisi peraturan yang hampir sama dengan seksi 906, tetapi seksi 302 berisi tambahan atas pengungkapan yang berhubungan dengan pengungkapan internal kontrol dan prsodurnya, serta internal kontrol dan penipuan/kecurangan.

Berikut ini dijelaskan beberapa bagian(section) dari Sarbanes-Oxley Act yang perlu mendapat perhatian.A. Seksi 101 Seksi 101 SOX mengatur tentang pembentukan dan administrative provisions dari Public Company Accounting Oversight Board (PCAOB). PCAOB memiliki 5 anggota yang menguasai keuangan (financially-literate), menjabat selama 5 tahun. Dua anggota dari PCAOB harus CPA (Certified Public Accountant), dan sisa tiga anggotanya tidak harus dan dapat bukan CPA. B. Seksi 102 Seksi 102 SOX mengatur tentang pendaftaran atau registrasi dengan PCAOB. Kantor akuntan publik (audit firms) yang terlibat dalam audit perusahaan publik harus terdaftar dalam audit perusahaan publik harus terdaftar pada PCAOB. C. Seksi 103 Seksi 103 SOX mengatur tentang auditing, pengendalian mutu, dan aturan, aturan dan standar indenpendensi. PCAOB akan membuat standar auditing dan standar atestasi yang berkaitan, standar pengendalian mutu, dan standar etik yang digunakan kantor akuntan publik dalam penyusunan dan penerbitan laporan audit dari emiten (issuers) sebagaimana yang disyaratkan oleh Sarbones-Oxley Act (SOX) dan peraturan SEC. PCAOB akan memasukkan standar auditing suatu persyaratan bahwa kantor akuntan publik harus menyusun dan memelihara kertas kerja untuk periode paling sedikit 7 tahun. D. Seksi 104 Seksi 104 SOX mengatur tentang inspeksi kantor akuntan publik. Inspeksi pengendalian mutu tahunan harus dilakukan setiap tahun untuk kantor akuntan publik yang melakukan audit lebih dari 100 emiten. Kantor akuntan publik yang lain harus diinspeksi paling sedikit 3 tahun sekali. Inspeksi khusus dapat dilakukan berdasarkan permintaan SEC atau PCAOB.

E. Seksi 105 Seksi 105 SOX mengatur tentang investigasi dan tindakan disipliner (disciplinary procedings). Apabila PCAOB telah menentukan bahwa sebuah kantor akuntan publik melakukan praktik yang melanggar Sarbanes-Oxley Act (SOX), peraturan-peraturan PCAOB, atau peraturan pasar modal yang berkaitan dengan penerbitan laporan audit, PCAOB dapat menjatuhkan sanksi, mencakup suspensi sementara atau pencabutan (revocation) izin permanen atau dikeluarkan dsari asosiasi akuntan publik, denda financial, pemberian hukuman (censure), pendidikan atau pelatihan tambahan, atau sanksi lain yang diberikan berdasarkan peraturan PCAOB.F. Seksi 201 Seksi 201 mengatur jasa di luar ruang lingkup praktik auditor. Adalah melanggar hukum bagi sebuah kantor akuntan publik yang memberikan jasa non audit kepada emiten. Jasa non-audit dapat diberikan apabila jasa tersebut disetujui terlebih dahulu oleh komite audit. Komite audit akan mengungkapkan kepada investor dalam laporan berkala keputusannya dalam pemberian persetujuan pendahuluan untuk jasa non-audit. G. Seksi 203 Seksi 203 SOX mengatur rotasi partner audit. Partner yang mengepalai atau mengkoordinasi dan partner penelaah (reviewing partner) harus dirotasikan setiap 5 tahun. H. Seksi 204 Seksi 204 SOX mengatur tentang laporan auditor kepala komite audit. Kantor akuntan publik harus melaporkan kepada komite audit semua: a. Kebijakan dan praktik akuntansi kritikal yang digunakan; b. Seluruh perlakuan alternatif dari informasi keuangan dalam prinsip-prinsip akuntansi yang berlaku umum (Generally Accepted Accounting Principle/GAAP) yang telah didiskusikan dengan manajemen. I. Seksi 206Seksi 206 SOX mengatur tentang benturan kepentingan (conflicts of interest) CEO, kontroler, CFO, Chief Accounting Officer atau orang yang berada dalam posisi ekuivalen tidak boleh dijabat oleh kantor akuntan publik perusahaan selam periode satu tahun setelah audit (1 years period preceding audit). J. Seksi 207Seksi 207 SOX mengatur tentang studi keharusan rotasi akuntan publik terdaftar. GAO akan melakukan studi atas pengaruh potensial dari mensyaratkan keharusan rotasi dari kantor akuntan publik. K. Seksi 301 Seksi 301 SOX mengatur tentang komite audit perusahaan publik. Setiap anggota dari komite audit harus merupakan anggota independen dari board of directors emiten. Komite audit harus secara langsung bertanggung jawab atas penunjukan, kompensasi, dan pengawasan dari pekerjaan kantor akuntan publik yang ditunjuk oleh emiten. L. Seksi 302 SOXs Act 2002 seksi 302 ini merupakan dokumen penjelasan manajemen atas internal kontrol yang ada pada perusahaan. Pihak manajemen yang bertanggungjawab dalam pengungkapan ini adalah direktur utama dan direktur keuangan perusahaan. Dibawa ini adalah contoh pernyataan manajemen: Kami sudah merancang internal kontrol atas laporan keungan perusahaan kami,dan kami sudah memantau pelaksanaan internal kontrol tersebut, dengan tujuan untuk menyediakan jaminan kepada pihak luar atas keandalan laporan keuangan perusahaan kami, dan memberikan jaminan lebih lanjut bahwa laporan keuangan perusahaan kami sudah sesuai dengan prinsip akuntansi berlaku umum di Amerika Serikat. M. Seksi 303 Seksi 303 SOX mengatur tentang pengaruh yang tidak tepat atas pelaksanaan audit. Adalah melanggar hukum bagi setiap pejabat atau direktur dari emiten melakukan tindakan apapun untuk secara curabg mempengaruhi, memaksakan, memanipulasi, atau menyesatkan siapapun auditornya yang ditunjuk dalam pelaksanaan suatu audit dengan tujuan untuk membuat laporan keuangan secara material menyesatkan. N. Seksi 404 SOXs Act seksi 404 ini berisi kewajiban bagi manajemen perusahaan untuk menilai internal control yang sudah dilaksanakan atas laporan keuangannya; 1. Perusahaan harus mengevaluasi internal kontrol atas laporan keuangannya setiap tahun. Manajemen harus menyimpulkan efektifitas dari internal kontrol setiap akhir tahun. Pihak yang bertanggungjawab untuk mengevaluasi internal kontrol perusahaan adalah departemen internal control/audit 2. Akuntan publik yang disewa perusahaan harus menegaskan dan melaporkan hasil evaluasi atas internal kontrol atas laporan keuangan perusahaan.

Seksi 404 secara khusus memberikan perhatian kepada internal kontrol perusahaan atas laporan keuangannya. Dalam mengevaluasi internal kontrol yang dilaksanakan perusahaan, manajemen melalui departemen internal kontrol/audit perlu menggunakan kerangka yang disusun oleh COSO (Committee of Sponsoring Organization of the Tradeway Commission).

O. Seksi 407 Seksi 407 SOX mengatur tentang pengungkapan dari keahlian keuangan komite audit. SEC akan menerbitkan peraturan yang mensyaratkan emiten mengungkapkan apakah paling sedikit satu anggota dari komite audit adalah ahli keuangan seperti yang didefinisikan dalam seksi 407 SOX. P. Seksi 701 Seksi 701 SOX mengatur tentang studi GAO dan laporan yang berkaitan dengan konsolidasi dari kantor akuntan publik. GAO akan melakukan studi untuk mengidentifikasi faktor-faktor yang menuntun konsolidasi kantor akuntan sejak 1989, pengaruh dari konsolidasi atas pembentukan modal dan pasar ekuitas, dan solusi terhadap setiap masalah yang diidentifikasi, mencakup cara-cara untuk meningkatkan kompetensi dan jumlah perusahaan yang mampu untuk menyediakan jasa audit kepada organisasi usaha besar yang bergantung pada peraturan sekuritas. Q. Seksi 802 Seksi 802 SOX mengatur tentang hukuman kriminal untuk mngubah dokumen. Adalah tindak pidana yang tergolong berat (felony) secara sengaja merusak atau menciptakan dokumen untuk menghalangi (impede/obstruct) atau mempengaruhi setiap investigasi federal yang sedang berlangsung atau akan diadakan. R. Seksi 806 Seksi 806 SOX mengatur tentang Employee Whistleblower Protection. Seksi 806 memungkinkan suatu aksi sipil bagi pekerja perusahaan publik yang mendapatkan pembalasan (retailiation) dari pemberi kerja karena mengungkapkan aktivitas illegal. Seksi 806 dari Sarbanes-Oxley Act melarang perusahaan publik membebaskan (discharging), menurunkan jabatan (threatening), mengganggu (harassing) atau dengan cara-cara lain melakukan diskriminasi terhadap setiap pejabat, karyawan, kontraktor, subkontraktor, atau agen, karena suatu tindakan yang sesuai dengan hukum (lawful act) yang dilakukan oleh orang tersebut, memberikan informasi, menyebabkan informasi diberikan, ataupun membantu dalam menyelidiki setiap tindakan tersebut yang melanggar hukum, seperti mail, Wire, bank dan securities fraud. S. Seksi 906 Sarbanes Oxley Act section 906 berisi : 1. CEO dan CFO melakukan sertifikasi bahwa, laporan periodik fully complies peraturan yang dikeluarkan oleh US SEC, informasi yang terkandung pada laporan periodik tersebut disajikan secara wajar, dalam keseluruhan hal yang material, terhadap kondisi keuangan dan hasil operasi perusahaan. 2. Hukuman atas penyimpangan dalam section 906 bagi individu yang secara sadar melakukanpenyimpangan dikenakan denda sampai dengan $1 juta dan hukuman penjara sampai dengan 10 tahun. Dan, bagi individu yang dengan sengaja dan secara sadar melakukan penyimpangan, akan dikenakan denda sampai dengan $5 juta dan hukuman penjara sampai dengan 20 tahun.T. Seksi 1102 Seksi 1102 SOX mengatur tentang perusakan catatan ataupun penghilangan acara kerja (official proceeding). Setiap orang yang secara korup mengubah, merusak (destroy/mutilate) atau menyembunyikan setiap catatan, dokumen atau objek lain dengan maksud untuk merusak integritas objek tersebut atau ketersediaanya untuk penggunaan dalam acara kerja pejabat atau merusak, mempengaruhi atau menghalangi setiap acara kerja pejabat akan didenda dan/atau dipenjarakan samapai dengan 20 tahun.

COSOThe Committee of Sponsoring Organizations of the Treadway Commissions (COSO) didirikan pada tahun 1985, yang merupakan aliansi dari lima organisasi profesi diantaranya : Financial Executives International (FEI) The American Accounting Association (AAA) The American Institute of Certified Public Accountants (AICPA) The Institute of Internal Auditors (IIA) The Institute of Management Accountants (IMA) (formerly the National Association of Accountants).Misi utama dari COSO adalah Memperbaiki/meningkatkan kualitas laporan keuangan entitas melalui etika bisnis, pengendalian internal yang efektif, dan corporate governance.Untuk menindaklanjuti rekomendasi dari komisi treadway, COSO mengembangkan studi mengenai sebuah model untuk mengevaluasi pengendalian internal. Pada tehun 1992, telah diselesaikan studi tersebut dengan memperkenalkan sebuah kerangka kerja pengendalian internal yang akhirnya menjadi sebuah pedoman bagi para eksekutif, dewan direksi, regulator, penyusun standar, organisasi profesi , dan lainnya sebagai kerangka kerja yang komprehensif untuk mengukur efektifitas pengendalian internal mereka.

Kerangka Kerja Pengendalian Internal (Internal Control-Integrated Framework)

Dua tujuan utama dari laporan COSO adalah (1) untuk menetapkan definisi umum pengendalian internal yang melayani berbagai pihak, dan (2) menyediakan standar terhadap organisasi yang dapat menilai sistem pengendalian dan menentukan cara untuk meningkatkan/memperbaiki sistem tersebut.Definisi Pengendalian Internal COSO suatu proses, yang dipengaruhi oleh dewan komisaris, manajemen, dan personil lainnya dari sebuah entitas, yang dirancang untuk memberikan keyakinan/jaminan yang wajar berkaitan dengan pencapaian tujuan dalam beberapa kategori.Kategori-kategori dalam pencapaian tujuan Pengendalian Internal Efektivitas dan efisiensi operasi Keandalan laporan keuangan Kepatuhan terhadap hukum dan peraturan yang berlakuLaporan ini menekankan bahwa sistem pengendalian internal merupakan alat/perangkat dari manajemen dan bukan pengganti manajemen. Jadi manajemen dan sistem pengendalian seharusnya dibentuk didalam kegiatan operasi.Definisi COSOSuatu proses yang dijalankan oleh dewan direksi, manajemen, dan staff, untuk membuat reasonable assurance mengenai: Efektifitas dan efisiensi operasional Reliabilitas pelaporan keuangan Kepatuhan atas hukum dan peraturan yang berlakuCOSO menekankan Pengendalian Internal sebagai suatu proses yang merupakan bagian tidak terpisahkan dari aktivitas bisnis entitas yang berkelanjutan (on going business activities). Untuk tujuan pelaporan manajemen kepada publik.Pengendalian Internal terkait penjagaan asset dari pengambilan, penggunaan, atau penghilangan yang tidak terotorisasi adalah suatu proses yang dipengaruhi oleh dewan komisaris, manajemen, dan personil lainnya dari sebuah entitas, yang dirancang untuk memberikan keyakinan/jaminan yang wajar berkaitan dengan pencegahan atau deteksi dini terhadap pengambilan, penggunaan, atau penghilangan yang tidak terotorisasi terhadap asset entitas sehingga dapat memberikan pengaruh/efek yang material terhadap laporan keuangan.

Pihak yang terlibatDidalam dokumen COSO dikatakan bahwa pihak-pihak yang terlibat dalam Pengendalian Internal adalah dewan komisaris, manajemen, dan pihak-pihak lainnya yang mendukung pencapaian tujuan organisasi. Serta menyatakan bahwa tanggung jawab atas penetapan, penjagaan, dan pengawasan sistem Pengendalian Internal adalah tanggung jawab manajemen.

Tujuan Pengendalian Internal bagi Organisasi Asumsi COSO, bahwa entitas telah menetapkan sendiri tujuan dari aktivitas operasinya. Namun COSO mengidentifikasikan tiga tujuan utama dari entitas, antara lain : Efektivitas dan efisiensi operasi Keandalan laporan keuangan Kepatuhan terhadap hukum dan peraturan yang berlaku

Komponen yang saling terkait dalam internal control menurut COSO framework, yaitu:COSO mengidentifikasi Sistem Pengendalian Internal yang efektif meliputi lima komponen yang saling berhubungan untuk mendukung pencapaian tujuan entitas, yaitu:

(a) Lingkungan Pengendalian (Control Environment)Pondasi dari komponen lainnya dan meliputi beberapa faktor diantaranya :Integritas dan Etika Komitmen untuk meningkatkan kompetensi Dewan komisaris dan komite audit Filosofi manajemen dan jenis operasi Kebijakan dan praktek sumber daya manusia

COSO menyediakan pedoman untuk mengevaluasi tiap faktor yang ada. Misal, filosofi manajemen dan jenis operasi dapat dinilai dengan cara menguji sifat dari penerimaan risiko bisnis, frekuensi interaksi dari tiap subordinat, dan pengaruhnya terhadap laporan keuangan.

(b) Penilaian Risiko (Risk Assessment)Terdiri dari identifikasi risiko dan analisis risiko. Identifikasi risiko merupakan pengujian terhadap faktor-faktor eksternal seperti perkembangan teknologi, persaingan, dan perubahan ekonomi. Factor internal diantaranya kompetensi karyawan, sifat dari aktivitas bisnis, dan karakteristik pengelolaan sistim informasi. Sedangkan Analisis Risiko dilakukan dengan mengestimasi signifikansi risiko, menilai kemungkinan terjadinya risik, dan bagaimana mengelola risiko tersebut.

(c) Aktivitas Pengendalian (Control Activities)Terdiri dari kebijakan dan prosedur yang menjamin karyawan melaksanakan arahan manajemen. Aktivitas Pengendalian meliputi review terhadap sistim pengendalian, pemisahan tugas, dan pengendalian terhadap sistim informasi. Pengendalian terhadap sistim informasi meliputi dua cara :General controls, mencakup kontrol terhadap akses, perangkat lunak, dan system development.Application controls, mencakup pencegahan dan deteksi transaksi yang tidak terotorisasi. Berfungsi untuk menjamin completeness, accuracy, authorization and validity dari proses transaksi yang terjadi.

(d) Informasi dan komunikasiSistem yang memungkinkan orang atau entitas, memperoleh dan menukar informasi yang diperlukan untuk melaksanakan, mengelola, dan mengendalikan operasinya dan adanya jalan untuk dapat mengakses informasi dari dalam dan luar, dengan mengembangkan strategi yang potensial dan sistem terintegrasi, serta perlunya data yang berkualitas. Sedangkan diskusi mengenai komunikasi berfokus kepada menyampaikan permasalahan Pengendalian Internal, dan mengumpulkan informasi pesaing.

(e) Pengawasan (Monitoring)Sistem pengendalian internal perlu dipantau sepanjang waktu, proses ini bertujuan untuk menilai mutu kinerja sistem sepanjang waktu. Ini dijalankan melalui aktivitas pemantauan yang terus-menerus, evaluasi yang terpisah atau kombinasi dari keduanya, melalui aktivitas yang berkelanjutan dan melalui evaluasi yang ditujukan terhadap aktivitas atau area yang khusus.Di tahun 2004, COSO mengeluarkan report Enterprise Risk Management Integrated Framework, sebagai pengembangan COSO framework di atas. Dijelaskan ada 8 komponen dalam Enterprise Risk Management, yaitu:

1. Lingkungan Internal (Internal Environment), Sangat menentukan warna dari sebuah organisasi dan memberi dasar bagi cara pandang terhadap risiko dari setiap orang dalam organisasi tersebut. Didalam lingkungan internal ini termasuk, filosofi manajemen risikodan risk appetite, nilai-nilai etika dan integritas, dan lingkungan dimana kesemuanya tersebut berjalan.

2. Penentuan Tujuan (Objective Setting), tujuan perusahaan harus ada terlebih dahulusebelum manajemen dapat mengidentifikasi kejadian-kejadian yang berpotensi mempengaruhi dalam pencapaian tujuan tersebut. ERM memastikan bahwa manajemen memiliki sebuah proses untuk menetapkan tujuan dan tujuan tersebut terkait serta mendukung misi perusahaan dan konsisten dengan risk appetite-nya.

3. Identifikasi Kejadian (Event Identification), Kejadian internal dan eksternal yang mempengaruhi pencapaian tujuan perusahaan harus diidentifikasi, dan dibedakan antara risiko dan peluang yang dapat terjadi. Peluang dikembalikan kepada proses penetapan strategi atau tujuan manajemen.

4. Penilaian Risiko (Risiko Assessment), Risiko dianalisis dengan memperhitungkan kemungkinan terjadi (likelihood) dan dampaknya (impact), sebagai dasar bagi penentuan pengelolaan risiko.

5. Respons Risiko (Risk Response), manajemen memilih respons risiko, menghindar, menerima, mengurangi, mengalihkan, dan mengembangkan suatu kegiatan agar risiko yang terjadi masih sesuai dengan toleransi dan risk appetite.

6. Kegiatan Pengendalian (Control Activities), kebijakan serta prosedur yang ditetapkan dan diimplementasikan untuk membantu memastikan respons risiko berjalan dengan efektif.

7. Informasi dan Komunikasi (Information and Communication), Informasi yang relevan diidentifikasi, ditangkap, dan dikomunikasikan dalam bentuk dan waktu yang memungkinkan setiap orang menjalankan tanggung jawabnya.

8. Pengawasan (Monitoring), Keseluruhan proses ERM dimonitor dan modifikasi dilakukan apabila perlu. Pengawasan dilakukan secara melekat pada kegiatan manajemen yang berjalan terus-menerus, melalui evaluasi secara khusus, atau dengan keduanya.

Fokus utamaCOSO menyatakan Pengendalian Internal merupakan partisipasi dari semua stakeholder (pemangku kepentingan) entitas yang meliputi seluruh/semua area atau fungsi dari bisnis entitas.

Evaluasi keefektifan Pengendalian InternalMeskipun COSO menekankan Pengendalian Internal sebagai suatu proses namun keefektifan dari pelaksanaannya dinyatakan sebagai sebuah kondisi dalam suatu titik waktu tertentu. Jika defisiensi Pengendalian Internal telah dikoreksi/dibetulkan pada saat pelaporan, COSO menyetujui apabila laporan manajemen pada pihak luar menyatakan bahwa Pengendalian Internal telah berjalan efektif.

Bagaimana pelaporan masalah Pengendalian InternalCOSO menjelaskan bagaimana manajemen memperoleh dan mengolah informasi jika terjadi defisiensi Pengendalian Internal. COSO merekomendasikan kepada personil yang mengidentifikasi terjadinya defisiensi untuk segera melaporkannya kepada atasan langsungnya, namun jika informasinya sensitif maka perlu adanya jalur khusus penyampaian informasi.

COBITControl Objective for Information and related Technology, disingkatCOBIT, adalah suatu panduan standar praktikmanajementeknologi informasi. Cobit dirancang sebagai alat penguasaan IT yang membantu dalam pemahaman dan memanage resiko, manfaat serta evaluasi yang berhubungan dengan IT. Standar COBIT dikeluarkan oleh IT Governance Institute yang merupakan bagian dari ISACA. COBIT 4.0 merupakan versi terbaru. Disusun olehInformation Systems Audit and Control Foundation(ISACF) pada tahun 1996. Edisi kedua dari COBIT diterbitkan pada tahun 1998. Pada tahun 2000 dirilis COBIT 3.0 oleh ITGI (Information Technology Governance Institute) dan COBIT 4.0 pada tahun 2005. Rilis terakhir COBIT 4.1 dirilis pada tahun 2007.COBIT merupakan standar yang dinilai paling lengkap dan menyeluruh sebagai framework IT audit karena dikembangkan secara berkelanjutan oleh lembaga swadaya profesional auditor yang tersebar di hampir seluruh negara. Dimana di setiap negara dibangun chapter yang dapat mengelola para profesional tersebut. Target pengguna dari framework COBIT adalah organisasi/perusahaan dari berbagai latar belakang dan para profesional external assurance. Secara manajerial target pengguna COBIT adalah manajer, pengguna dan profesional TI serta pengawas/pengendali profesional. Secara resmi tidak ada sertifikasi profesional resmi yang diterbitkan oleh ITGI atau organisasi manapun sebagai penyusun standar COBIT. Di Amerika Serikat standar COBIT sering digunakan dalam standar sertifikasiCertified Public Accountants(CPAs) danChartered Accountants(CAs) berdasarkanStatement on Auditing Standards (SAS) No. 70 Service Organisations review, Systrust certification or Sarbanes-Oxley compliance.Lingkup kriteria informasi yang sering menjadi perhatian dalam COBIT adalah:o EffectivenessMenitikberatkan pada sejauh mana efektifitas informasi dikelola dari data-data yang diproses oleh sistem informasi yang dibangun.o EfficiencyMenitikberatkan pada sejauh mana efisiensi investasi terhadap informasi yang diproses oleh sistem.o ConfidentialityMenitikberatkan pada pengelolaan kerahasiaan informasi secara hierarkis.o IntegrityMenitikberatkan pada integritas data/informasi dalam sistem.o AvailabilityMenitikberatkan pada ketersediaan data/informasi dalam sistem informasi.o ComplianceMenitikberatkan pada kesesuaian data/informasi dalam sistem informasi.o ReliabilityMenitikberatkan pada kemampuan/ketangguhan sistem informasi dalam pengelolaan data/informasi.

Framework COBIT

Framework COBIT terdiri dari 34 high-level control objective, dimana tiap-tiap IT proses dikelompokkan dalam empat domain utama: 1. Planning and Organizationmencakup strategi dan taktik yang menyangkut identifikasi tentang bagaimana TI dapat memberikan kontribusi terbaik dalam pencapaian tujuan bisnis organisasi sehingga terbentuk sebuah organisasi yang baik dengan infrastruktur teknologi yang baik pula.PO1 Define a strategic information technology planPO2 Define the information architecturePO3 Determine the technological directionPO4 Define the IT organisation and relationships PO5 Manage the investment in information technologyPO6 Communicate management aims and direction PO7 Manage human resourcesPO8 Ensure compliance with external requirementsPO9 Assess risks PO10 Manage projects PO11 Manage quality2. Acquisition and Implementationidentifikasi solusi TI dan kemudian diimplementasikan dan diintegrasikan dalam proses bisnis untuk mewujudkan strategi TI.AI1 Identify automated solutions AI2 Acquire and maintain application softwareAI3 Acquire and maintain technology infrastructureAI4 Develop and maintain IT proceduresAI5 Install and accredit systems AI6 Manage changes 3. Delivery and Supportdomain yang berhubungan dengan penyampaian layanan yang diinginkan, yang terdiri dari operasi pada sistem keamanan dan aspek kesinambungan bisnis sampai dengan pengadaan training.DS1 Define and manage service levelsDS2 Manage third-party services DS3 Manage performance and capacity DS4 Ensure continuous service DS5 Ensure systems security DS6 Identify and allocate costsDS7 Educate and train users DS8 Assist and advise customersDS9 Manage the configuration DS10 Manage problems and incidents DS11 Manage data DS12 Manage facilities DS13 Manage operations4. Monitoringsemua proses TI perlu dinilai secara teratur dan berkala bagaimana kualitas dan kesesuaiannya dengan kebutuhan kontrolM1 Monitor the processM2 Assess internal control adequacyM3 Obtain independent assuranceM4 Provide for independent audit

ISO 27002ISO/ IEC 27002:2005 menetapkan pedoman dan prinsip-prinsip umum untuk memulai, melaksanakan, memelihara, dan meningkatkan manajemen keamanan informasi dalam suatu organisasi. Tujuan diuraikan memberikan panduan umum tentang tujuan umum diterima manajemen keamanan informasi. ISO / IEC 27002:2005 berisi praktik terbaik dari tujuan pengendalian dan kontrol dalam bidang manajemen keamanan informasi.ISO/IEC 27002 yang mendukung pencapaian ISO/IEC 27001 atau ISMS ini secara umum memiliki 11 area berkaitan dengan pengendalian keamanan informasi yaitu :1. Security policyUntuk memberikan arahan manajemen dan dukungan untuk keamanan informasi sesuai dengan kebutuhan bisnis dan hukum dan peraturan. Manajemen harus menetapkan arah kebijakan yang jelas yang selaras dengan tujuan bisnis dan menunjukkan dukungan untuk, dan komitmen untuk, keamanan informasi melalui isu dan pemeliharaan dari kebijakan keamanan informasi di seluruh organisasi.2. Organization of Information SecurityUntuk mengelola keamanan informasi dalam organisasi. Kerangka manajemen harus ditetapkan untuk memulai dan mengendalikan pelaksanaan keamanan informasi dalam organisasi. Manajemen harus menyetujui kebijakan keamanan informasi, memberikan peran keamanan dan koordinasi dan meninjau pelaksanaan keamanan di seluruh organisasi. Jika perlu, sumber nasihat spesialis keamanan informasi harus ditetapkan dan tersedia dalam organisasi. Kontak dengan spesialis keamanan eksternal atau kelompok, termasuk otoritas terkait, harus dikembangkan untuk bersaing dengan tren industri, memantau standar dan metode penilaian dan memberikan poin penghubung yang cocok saat menangani insiden keamanan informasi. Sebuah pendekatan multi-disiplin untuk keamanan informasi harus didorong.3. Asset ManagementUntuk mencapai dan mempertahankan perlindungan yang tepat aset organisasi. Semua aset harus dipertanggungjawabkan dan memiliki pemilik dinominasikan. Pemilik harus diidentifikasi untuk seluruh aset dan tanggung jawab untuk pemeliharaan kontrol yang tepat harus diberikan. Pelaksanaan kontrol tertentu dapat didelegasikan oleh pemilik sesuai tapi pemilik tetap bertanggung jawab untuk perlindungan yang tepat dari aset.4. Human Resources SecurityUntuk memastikan bahwa karyawan, kontraktor dan pengguna pihak ketiga memahami mereka tanggung jawab, dan cocok untuk peran mereka dianggap untuk, dan untuk mengurangi risiko pencurian, penipuan atau penyalahgunaan fasilitas. Tanggung jawab keamanan harus ditangani sebelum pekerjaan di deskripsi pekerjaan yang memadai dan dalam syarat dan kondisi kerja. Semua calon tenaga kerja, kontraktor dan pengguna pihak ketiga harus cukup diskrining, terutama untuk pekerjaan yang sensitif. Karyawan, kontraktor dan pengguna pihak ketiga fasilitas pengolahan informasi harus menandatangani kesepakatan mengenai peran keamanan dan tanggung jawab mereka5. Physical and Environmental SecurityUntuk mencegah akses yang tidak sah fisik, kerusakan, dan interferensi ke lokasi dan informasi organisasi. Fasilitas pengolahan informasi penting atau sensitif harus ditempatkan di daerah yang aman, dilindungi oleh perimeter keamanan yang ditetapkan, dengan hambatan keamanan yang sesuai dan kontrol entri. Mereka harus secara fisik dilindungi dari akses yang tidak sah, kerusakan, dan interferensi. Perlindungan yang diberikan harus sepadan dengan risiko yang teridentifikasi.6. Communications and Operations ManagementUntuk memastikan operasi yang benar dan aman fasilitas pengolahan informasi. Tanggung jawab dan prosedur untuk pengelolaan dan pengoperasian semua pengolahan informasi Fasilitas harus ditetapkan. Ini termasuk pengembangan prosedur operasi yang sesuai. Pemisahan tugas harus dilaksanakan, bila sesuai, untuk mengurangi resiko penyalahgunaan sistem lalai atau sengaja.7. Access ControlUntuk mengontrol akses ke informasi. Akses terhadap informasi, pengolahan informasi, dan proses bisnis harus dikontrol atas dasar bisnis dan persyaratan keamanan. Aturan kontrol akses harus mempertimbangkan kebijakan untuk penyebaran informasi dan otorisasi.8. Information System Acquisition, Development and MaintenanceUntuk menjamin keamanan yang merupakan bagian integral dari sistem informasi. Sistem informasi mencakup sistem operasi, infrastruktur, aplikasi bisnis, off-the-rak produk, layanan, dan aplikasi-pengguna dikembangkan. Desain dan implementasi sistem informasi yang mendukung proses bisnis dapat menjadi sangat penting untuk keamanan. Persyaratan keamanan harus diidentifikasi dan disepakati sebelum pengembangan dan / atau penerapan sistem informasi. Semua persyaratan keamanan harus diidentifikasi pada fase persyaratan proyek dan dibenarkan, setuju, dan didokumentasikan sebagai bagian dari kasus bisnis secara keseluruhan untuk sistem informasi.9. Information Security Incident ManagementUntuk memastikan kejadian keamanan informasi dan kelemahan yang terkait dengan sistem informasi dikomunikasikan dengan cara yang memungkinkan tindakan korektif yang tepat waktu yang akan diambil. Pelaporan kejadian dan eskalasi prosedur formal harus di tempat. Semua karyawan, kontraktor dan pengguna pihak ketiga harus dibuat sadar akan prosedur pelaporan berbagai jenis acara dan kelemahan yang mungkin berdampak pada keamanan aset organisasi. Mereka harus diminta untuk melaporkan setiap kejadian keamanan informasi dan kelemahan secepat mungkin ke titik yang ditunjuk kontak.10. Business Continuity ManagementUntuk mengatasi gangguan kegiatan bisnis dan untuk melindungi proses bisnis kritis dari efek kegagalan utama sistem informasi atau bencana dan untuk menjamin kembalinya mereka tepat waktu . Suatu proses manajemen kelangsungan bisnis harus dilaksanakan untuk meminimalkan dampak pada organisasi dan pulih dari hilangnya aset informasi (yang mungkin merupakan hasil dari , misalnya , bencana alam , kecelakaan , kegagalan peralatan , dan tindakan yang disengaja ) ke tingkat yang dapat diterima melalui kombinasi kontrol pencegahan dan pemulihan . Proses ini harus mengidentifikasi proses bisnis kritis dan mengintegrasikan persyaratan manajemen keamanan informasi kontinuitas bisnis dengan persyaratan kontinuitas lain yang berhubungan dengan aspek-aspek seperti operasi , staf , bahan , transportasi dan fasilitas . Konsekuensi dari bencana , kegagalan keamanan , hilangnya layanan , dan ketersediaan layanan harus tunduk pada analisis dampak bisnis . Rencana kesinambungan bisnis harus dikembangkan dan dilaksanakan untuk memastikan dimulainya kembali tepat waktu operasi penting . Keamanan informasi harus menjadi bagian integral dari proses kelangsungan bisnis secara keseluruhan , dan proses manajemen lainnya dalam organisasi. Manajemen kontinuitas bisnis harus mencakup kontrol untuk mengidentifikasi dan mengurangi risiko , di samping umum proses penilaian risiko , membatasi konsekuensi dari insiden merusak , dan memastikan bahwa informasi yang diperlukan untuk proses bisnis sudah tersedia .11. ComplianceUntuk menghindari pelanggaran hukum, kewajiban hukum, peraturan atau kontrak, dan dari setiap persyaratan keamanan. Desain, operasi, penggunaan, dan pengelolaan sistem informasi dapat dikenakan persyaratan keamanan hukum, peraturan, dan kontrak.PERBANDINGAN BERBAGAI MODEL UNTUK PENERAPAN CONTROLBerbagai model yang dibahas dalam bagian sebelumnya saling melengkapi. Pedoman hukuman federal memberikan garis minimum untuk hukuman atas kegagalan mematuhi peraturan SOX. Laporan COSO menyediakan konsep dasar pengawasan kerangka kerja. COBIT dan ISO 27002 melangkah lebih jauh dan memberikan kode untuk tata kelola TI, kontrol dan praktik terbaik dalam pengelolaan keamanan.

Perbandingan Internal Control antara COBIT dan COSO. Konsep serta framework yang terkait dengan internal control yang populer saat ini yaitu COBIT dan COSO terdapat perbedaan dan persamaan di dalamnya.

PERBEDAAN:

COBIT 1. Fokus Pengguna Utama adalah manajemen, operator dan auditor sistem informasi.2. Sudut pandang atas internal control adalah kesatuan beberapa proses yang terdiri atas kebijakan, prosedur, penerapan serta struktur organisasi.3. Tujuan yang ingin dicapai dari sebuah internal control adalah pengoperasian sistem yang efektif dan efisien, kerahasiaan, kesatuan dan ketersediaan informasi yang dilengkapi dengan sistem pelaporan keuangan yang handal disesuaikan dengan peraturan yang berlaku.4. Komponen/domain yang dituju adalah perencanaan dan pengorganisasian, pemaduan dan penerapan, pengawasan atas dukungan serta pendistribusian.5. Fokus pengendalian dari COBIT adalah sisi teknologi informasi.6. Evaluasi atas internal control ditujukan atas seberapa efektif pengendalian tersebut diterapkan dalam periode waktu yang sudah ditetapkan.7. Pertanggungjawaban atas sistem pengendalian dari COBIT ditujukan kepada manajemen.

COSO :1. Fokus Pengguna Utama adalah manajemen.2. Sudut pandang atas internal control adalah kesatuan beberapa proses secara umum.3. Tujuan yang ingin dicapai dari sebuah internal control adalah pengoperasian sistem yang efektif dan efisien, pelaporan laporan keuangan yang handal serta kesesuaian dengan peraturan yang berlaku.4. Komponen/domain yang dituju adalah pengendalian atas lingkungan, manajemen resiko, pengawasan serta pengendalian atas aktivitas informasi dan komunikasi.5. Fokus pengendalian dari eSAC adalah keseluruhan entitas.6. Evaluasi atas internal control ditujukan atas seberapa efektif pengendalian tersebut diterapkan dalam poin waktu tertentu.7. Pertanggungjawaban atas sistem pengendalian dari eSAC ditujukan kepada manajemen.PERSAMAAN: Seluruh tujuan dari framework COBIT dan COSO adalah pengendalian serta pengawasan atas proses dan lingkungan. Pertanggungjawaban ditujukan kepada manajemen. Seluruh sistem pelaporan dan prosedur wajib mengikuti aturan yang berlaku.

2.5 IMPLIKASI SARBANES-OXLEY ACT

Manfaat Penerapan Sarbanes Oxley Bagi Perusahaan Perusahaan publik akan memiliki sistem pengendalian intern yang lebih baik, sehingga akuntabilitas dan integritas pelaporan keuangannya lebih dapat dipercaya dan diandalkan. Kepercayaan investor lebih meningkat. Memiliki citra (image) yang positif di mata publik dan pemangku kepentingan lainnya. Membantu perusahaan untuk melakukan Good Governance Corporation dengan baik

Manfaat Penerapan Sarbanes Oxley Bagi Konsumen Meningkatkan kepercayaan konsumen terhadap perusahaan Menghindari adanya kebohongan publik oleh perusahaan Konsumen dapat memastikan akurasi laporan keuangan perusahaan

2.6 KEBUTUHAN AKAN PENERAPAN SARBANES - OXLEY ACT PADA PERUSAHAAN

Sarbaness-Oxley Act (SOA) diterbitkan untuk memproteksi kepentingan investor dengan cara menciptakan tata kelola perusahaan yang baik (good corporate governance), full disclosure, dan akuntabilitas dalam perusahaan (Sarbanes dan Oxley, 2002). SOA khususnya section 404 mensyaratkan adanya laporan manajemen tahunan (annual management report) tentang pengendalian intern perusahaan atas pelaporan keuangan dan laporan manajemen tersebut merupakan subjek yang akan diaudit. Pada dasarnya SOA ditujukan kepada perusahaan publik yang terdaftar dalam bursa saham. Namun juga dapat diterapkan pada perusahaan non-publik. Karena Dalam SOA diatur tentang akuntansi, pengungkapan dan pembaharuan governance yang mensyaratkan adanya pengungkapan yang lebih banyak mengenai informasi keuangan, keterangan tentang hasil-hasil yang dicapai manajemen, kode etik bagi pejabat di bidang keuangan, pembatasan kompensasi eksekutif, dan pembentukan komite audit yang independen. Perusahaan sangat perlu Sarbanes Oxley untuk menunjukkan kepada masyarakat bahwa perusahaan tersebut tidak ada unsur fraud (manipulasi) didalamnya khususnya pada perusahaan publik yang harus mempunyai kepercayaan terhadap masyarakat. Sarbanes Oxley Act juga meningkatkan perlindungan bagi pegawai karena SOA mewajibkan semua perusahaan publik untuk membuat suatu sistem pelaporan yang memungkinkan bagi pegawai untuk melaporkan terjadinya penyimpangan. Sistem pelaporan hotlines ini akan mendorong para pegawai untuk melaporkan karena mereka merasa aman dari tindakan pembalasan dari yang dilaporkan, dan inilah elemen penting dan kritis bagi program pencegahan frauds (manipulasi).

2.7 RESIKO TIDAK COMPLIENCE (MEMATUHI) SOA BAGI PERUSAHAAN

1. Dalam Financial

Resiko tidak complience (mematuhi) terhadap SOA bagi perusahaan dalam hal financial adalah dapat menyebabkan kebangkrutan bagi perusahaan khususnya perusahaan publik jika ternyata terdapat fraud (manipulasi) dalam perusahaan tersebut. Karena dapat mengakibatkan hilangnya kepercayaan masyarakat dan menarik semua saham-sahamnya dan akan menyebabkan kebangkrutan bagi perusahaan.

2. Dalam Non-Financial

Resiko tidak complience (mematuhi) terhadap SOA bagi perusahaan dalam hal non-financial adalah dapat menyebabkan perlakuan buruk bagi pegawai jika terjadi pengakuan/membeberkan dan memberi informasi jika terjadi fraud (manipulasi) dan membantu investigasi di dalam perusahaan. seperti dipecat, didemosikan, dilecehkan dan berbagai perlakuan diskrimatif lainnya.

2.8 PENERAPAN SOA DI INDONESIA

PT Telekomunikasi Indonesia, Tbk sebagai perusahaan yang telah tercatat di bursa saham dalam negeri dan luar negeri berkomitmen penuh untuk mengembangkan dan menerapkan kebijakan serta praktek tata kelola perusahaan dengan pembenahan internal dan pemenuhan standard internasional. Standard internasional khususnya aturan yang ditetapkan oleh US Securities and Exchange Commission (US SEC) yang harus diadopsi oleh PT. Telekomunikasi Indonesia, Tbk, sebagai salah satu perusahaan yang telah listing di New York Stock Exchange (NYSE), adalah Sarbanes Oxley Act (SOA).Sistem pengendalian internal yang tercantum dalam Sarbanes Oxley Act merupakan unsur penting dalam praktek Good Corporate Governance. PT Telekomunikasi Indonesia, Tbk saat ini menerapkan tiga section Sarbanes Oxley Act, yaitu section 302, section 404, dan section 906. Hal ini dilakukan dengan pertimbangan tiga section tersebut dapat diterapkan sebagai langkah awal implementasi Sarbanes Oxley Act. Sedangkan untuk section lainnya, kemungkinan di masa mendatang juga akan diterapkan secara bertahap bila perusahaan telah mampu menjalankan tiga section tersebut dengan lengkap dan benar, serta adanya pertimbangan manajemen terhadap benefit yang diperoleh.

2.9 KEUNGGULAN DAN KETERBATASAN SOA

Keunggulan Penerapan SOA

1) Tanggung Jawab Perusahaan Undang-undang ini menekankan dan meminta perusahaan untuk bertanggungjawab secara terafiliasi. Manajemen harus membuat pernyataan bahwa laporan keuangan telah disajikan secara akurat dan tidak menimbulkan salah tafsir. Selain itu, pernyataan manajemen juga harus mencakup bahwa laporan keuangan yang disajikan telah menerapkan sistem pengawasan internal yang sehat. Komite Audit harus berperan aktif antara lain dengan melakukan pengawasan ketat terhadap auditor, melakukan pemisahan antara audit service dengan non-audit service, dan melakukan persetujuan dan pengungkapan atas semua jasa non-audit. 2) Auditor Walaupun selama ini sudah diatur tentang independensi akuntan publik tetapi dalam undangundang ini diperketat lagi kewajiban mempertahankan independensi akuntan dan membentuk Dewan Pengawas Akuntan Publik. Undang-undang ini melarang pemberian jasa non-audit diluar jasa perpajakan dan juga mencantumkan adanya kewajiban untuk melakukan tugas bergilir terhadap pelaksana dan penanggung jawab audit. 3) Perluasan Pengungkapan Dalam undang-undang ini ada beberapa hal yang wajib diungkapkan, antara lain: penilaian setiap tahun oleh manajemen dan auditor terhadap sistem pengawasan internal, kewajiban untuk menyajikan laporan proforma, pelaporan transaksi saham internal dalam jangka waktu dua hari, pengungkapan semua pembiayaan yang bersifat off-balance sheet dan pembiayaan yang bersifat kontingensi (seperti pada industri perbankan), dan beberapa informasi tertentu yang dianggap penting harus di laporkan secara real time. 4) Analis Saham Analis saham harus mendapatkan pengungkapan terhadap informasi yang berkenaan dengan kemungkinan adanya konflik kepentingan (conflict of interest). 5) Securities Exchange Committee (SEC) SEC memperluas objek reviewnya terhadap laporan keuangan perusahaan, meningkatkan kekuasaan untuk memaksa perusahaan melaksanakan peraturannnya dan menaikkan biaya hukuman terhadap setiap pelanggaran UU pasar modal.

Keterbatasan SOA

Sarbanes Oxley Act memberikan beberapa perhatian untuk pengendalian internal terbukti dengan adanya jasa hotlines yang disediakan untuk proses pelaporan frauds yang disaksikan oleh pegawai dan perlindungan terhadap pegawai tersebut atas pelaporannya. Tapi sayangnya SOA memiliki beberapa kelemahan, yang pertama adalah memfokuskan pada pemberian sanksi dan perlakuan terhadap subject, namun pada kenyataanya kebanyakan kasus fraud yang terjadi bukan hanya terjadi karena individu yang melakukannya (Moral Hazard) tapi lebih dikarenakan adanya permainan dalam sistem. Oleh karena itu, terdapatlah limitation of Internal Controls yang berarti kebanyakan kegagalan yang terjadi dalam internal controls terjadi karena masing-masing individu, yang seharusnya menerapkan prinsip internal controls ini dengan baik, dengan sengaja melakukan pelanggaran dan bersepakat secara bersama-sama menyeleweng. Dan sampai saat ini belum ada sistem yang dapat menakut-nakuti orang-orang yang memiliki peluang untuk melakukan kecurangan baik dalam lingkup manajemen ataupun individu. Efek sanksi dengan adanya SOA nampaknya tidak terlalu ampuh untuk dipopulerkan. Ini terbukti dengan terjadinya kasus frauds untuk kesekian kalinya di Amerika yang secara menyeluruh mengadopsi SOA. Bahkan terjadi beberapa kasus fraud lebih parah dan sampai-sampai menyebabkan kerusakan ekonomi global. Ada komponen lain yang menyebabkan internal controls tidak berjalan secara semestinya, yaitu ketika moral hazard atas individu yang terjadi dalam sebuah perusahaan sudah tersistem. Contoh kasusnya adalah AIG yang merupakan salah satu perusahaan asuransi besar didunia. Hedge Fund dan peluang pengendalian uang yang besar oleh manajemen menjadi daya tarik tersendiri untuk melakukan skandal keuangan. Pengendalian dan pengontrolan terhadap manajemen perusahan tidak hanya dilakukan oleh komite audit tapi juga harus sejalan dengan regulasi dan pengontrolan yang dilakukan oleh pemerintah. Selain itu, daya pikir kritis terhadap kondisi sebuah perusahaan yang sudah dianggap baik haruslah ditingkatkan. Inspeksi keuangan pada sebuah perusahaan harus dilakukan secara berkala agar pendeteksian kecurangan bisa ditemukan lebih awal. Pembuatan regulasi dan sanksi luar biasa dalam pengendalian moral hazard harus dilakukan agar tidak terjadi suatu kegagalan sistemik yang akan mengakibatkan semua instrument pengendalian baik regulasi pemerintah, kode etik perusahaan, maupun nilai-nilai/budaya dalam perusahaaan harus kembali diperbaiki lagi dari awal.

BAB IIIPENUTUP

3.1 KESIMPULAN

Sarbanes Oxley Act bertujuan untuk mengembalikan kepercayaan investor pasca skandal akuntansi dan kebangkrutan perusahaan2 besar di Amerika. Secara umum SOA mengatur tentang Akuntansi, pengungkapan dan pembaharuan governance, yang mensyaratkan adanya pengungkapan yang lebih banyak mengenai informasi keuangan, keterangan tentang hasil-hasil yang dicapai manajemen, kode etik bagi pejabat di bidang keuangan, pembatasan komite audit yang independen, pembatasan kompensasi eksekutif dan lain-lain. Sehingga pada intinya SOA memberikan persyaratan bagi sebuah perusahaan terhadap pengendalian internalnya.

Perdebatan mengenai untung rugi penerapan SOA masih terus terjadi. Para pendukungnya merasa bahwa aturan ini diperlukan dan memegang peranan penting untuk mengembalikan kepercayaan publik terhadap pasar modal nasional dengan antara lain memperkuat pengawasan akuntansi perusahaan. Sementara para penentangnya berkilah bahwa SOA tidak diperlukan dan campur tangan pemerintah dalam manajemen perusahaan menempatkan perusahaan-perusahaan pada kerugian kompetitif terhadap perusahaan asing.

DAFTAR PUSTAKA

Agoes, Sukrisno.2012. Auditing Edisi 4. Jakarta:Salemba Empat. Arens, dkk.2010. Auditing and Assurance Service, An Integrated Approach, 19th Edition. New Jersey : Practice Hall, Englewood Cliffs . Suradi. 2011. Artikel Mengenal Sarbanes Oxley Act (Sox/Soa). www.bppk.depkeu.go.id/bdk/.../146_ARTIKEL-SOA-WEB.pdf

14Sarbanes Oxley Act Pemeriksaan Akuntansi II