Audit Sistem Informasi Berbasis Komputer 1
AUDIT SISTEM INFORMASI BERBASIS KOMPUTER
PENERAPAN SARBANES-OXLEY DI INDONESIA
I.PENDAHULUAN
Audit sistem informasi merupakan proses pengumpulan dan evaluasi bukti-bukti untuk menentukan apakah sistem komputer yang digunakan telah dapat melindungi aset milik organisasi, mampu menjaga integritas data, dapat membantu pencapaian tujuan organisasi secara efektif, serta menggunakan sumber daya yang dimiliki secara efisien. Audit SI/TI relative baru ditemukan dibanding audit keuangan, seiring dengan meningkatnya penggunan TI untuk mensupport aktifitas bisnis.
Ada beberapa aspek yang diperiksa pada audit sistem teknologi informasi: Audit secara keseluruhan menyangkut efektifitas, efisiensi, availability system, reliability, confidentiality, dan integrity, serta aspek security. Selanjutnya adalah audit atas proses, modifikasi program, audit atas sumber data, dan data file.
Beberapa aturan mengenai IT audit sudah disusun di Amerika Serikat yang meliputi beberapa aturan penting seperti Sarbanes Oxley Act. Sarbanes-Oxley Act (SOA) merupakan sebuah produk hukum (Undang-Undang) di Amerika Serikat (AS) yang mengatur tentang akuntabilitas, praktik akuntansi dan keterbukaan informasi, termasuk tata cara pengelolaan data di perusahaan publik. Namun di Indonesia baru sebagian kecil yang baru menerapkan aturan tersebut.
A. Latar Belakang Munculnya Sarbanes – Oxley
Sarbanes-Oxley atau kadang disingkat SOx atau SOA adalah hukum federal Amerika Serikat
Audit Sistem Informasi Berbasis Komputer 2 Skandal-skandal yang menyebabkan kerugian bilyunan dolar bagi investor karena runtuhnya harga saham perusahaan-perusahaan yang terpengaruh ini mengguncang kepercayaan masyarakat terhadap pasar saham. Semua skandal
ini merupakan contoh tragis bagaimana kecurangan (fraud
schemes) berdampak sangat buruk
terhadap pasar, stakeholders dan para pegawai.
Dengan diterbitkannya undang-undang ini, ditambah dengan beberapa aturan pelaksanaan dari Securities Exchange Commision (SEC) dan
beberapa self regulatory bodies lainnya, diharapkan akan meningkatkan standar akuntabilitas perusahaan, transparansi dalam pelaporan keuangan, memperkecil kemungkinan bagi perusahaan atau organisasi untuk melakukan dan menyembunyikan fraud, serta membuat perhatian pada tingkat sangat tinggi terhadap corporate governance.
Perundang-undangan ini menetapkan suatu standar baru dan lebih baik bagi semua dewan dan manajemen perusahaan publik serta kantor akuntan publik walaupun tidak berlaku bagi perusahaan tertutup. Akta ini terdiri dari 11 bab atau bagian yang menetapkan hal-hal mulai dari tanggung jawab tambahan Dewan Perusahaan hingga hukuman pidana. Sarbox juga menuntut Securities and Exchange Commission (SEC) untuk menerapkan aturan persyaratan baru untuk menaati hukum ini. Saat ini, corporate governance dan pengendalian internal bukan lagi sesuatu yang mewah lagi karena kedua hal ini telah disyaratkan oleh undang-undang.
B. Audit Sistem informasi
Audit Sistem Informasi Berbasis Komputer 3 digunakan adalah: Audit sistem informasi (teknologi informasi) merupakan proses pengumpulan dan evaluasi bukti-bukti untuk menentukan apakah sistem computer yang digunakan telah dapat melindungi asset milik organisasi mampu menjaga integritas data, dapat membantu pencapaian tujuan organisasi secara efektif, serta dapat menggunakan sumber daya yang dimiliki secara efektif, serta dapat menggunakan sumber daya yang dimilki secara efisien
Audit TI dikelompokkan berdasarkan letak kendalinya yaitu : Pengendalian umum (general kontrol).
Audit secara keseluruhan yang menyangkut availability sistem, reliability, confidentiality, integrity dan security.
Audit proses meliputi modifikasi pada program audit, atas sumber data, audit file data, audit storage, serta alur data dan infomasi dalam perusahaan.
Pada dasarnya, tahapan-tahapan dalam audit TI tidak berbeda dengan audit pada umumnya. Perbedaan dengan audit biasa, seringkali auditor TI menerapakan teknik audit berbantuan komputer. Teknik ini digunakan untuk menganalisis data. Secara garis besar terdapat 5 tahapan utama dalam metodologi audit TI yaitu ;
Fase 1 : Perencanaan
Fase 2 : Indentifikasi Resiko dan Kendali Fase 3 : Evaluasi Kendali dan Bukti Fase 4 : Dokumentasi dan Rapat Fase 5 : Laporan dan Presentasi
C. Aktivitas SOA pada perusahaan
Dalam Sarbanes Oxley Act diatur tentang akuntansi, pengungkapan dan pembaharuan governance yang mensyaratkan adanya pengungkapan yang lebih banyak mengenai informasi keuangan, keterangan tentang hasil-hasil yang dicapai manajemen, kode etik bagi pejabat di bidang keuangan, pembatasan kompensasi eksekutif, dan pembentukan komite audit yang independen. Selain itu diatur pula mengenai hal-hal sebagai berikut:
a. Menetapkan beberapa tanggung jawab baru kepada dewan komisaris, komite audit, dan pihak manajemen
Audit Sistem Informasi Berbasis Komputer 4 c. Penambahan tanggung jawab dan anggaran SEC (Securities Exchange Co isio ) se ara sig ifika d. Me defi isika jasa o -audit ya g tidak oleh diberikan oleh KAP kepada klien .
d. Memperbesar hukuman bagi terjadinya corporate fraud (manipulasi perusahaan) e. Mensyaratkan adanya aturan mengenai cara menghadapi conflicts of interest f. Menetapkan beberapa persyaratan pelaporan yang baru
Dalam hal pelaporan, Sarbanes-Oxley Act mewajibkan semua perusahaan publik untuk membuat suatu sistem pelaporan yang memungkinkan bagi pegawai atau pengadu untuk melaporkan terjadinya penyimpangan. Sistem pelaporan ini diselenggarakan oleh komite audit.
Perusahaa dapat e ggu aka jasa pelapora hotli es seperti ACFE s Ethi sLi e. ACFE dapat
membantu menyusun hotlines pengaduan yang akan menerima dan merahasiakan pengaduan, dan memberikan informasi kepada perusahaan agar dapat mengambil tindakan yang tepat. Sistem hotlines ini akan mendorong para pegawai untuk melaporkan karena mereka merasa aman dari tindakan pembalasan dari yang dilaporkan, dan inilah elemen penting dan kritis bagi program pencegahan fraud yang kuat.
II. SOX’S ACT
“e ara keseluruha “OX s A t terdiri dari Title dan 69 Sections, yaitu:
Sec. 1. Short title; table of contents. Sec. 2. Definitions.
Sec. 3. Commission rules and enforcement.
TITLE I—PUBLIC COMPANY ACCOUNTING OVERSIGHT BOARD
Sec. 101. Establishment; administrative provisions. Sec. 102. Registration with the Board.
Sec. 103. Auditing, quality control, and independence standards and rules. Sec. 104. Inspections of registered public accounting firms.
Sec. 105. Investigations and disciplinary proceedings. Sec. 106. Foreign public accounting firms.
Sec. 107. Commission oversight of the Board. Sec. 108. Accounting standards.
Sec. 109. Funding.
TITLE II—AUDITOR INDEPENDENCE
Sec. 201. Services outside the scope of practice of auditors. Sec. 202. Preapproval requirements.
Sec. 203. Audit partner rotation.
Sec. 204. Auditor reports to audit committees. Sec. 205. Conforming amendments.
Sec. 206. Conflicts of interest.
Audit Sistem Informasi Berbasis Komputer 5 Sec. 208. Commission authority.
Sec. 209. Considerations by appropriate State regulatory authorities. TITLE III—CORPORATE RESPONSIBILITY
Sec. 301. Public company audit committees.
Sec. 302. Corporate responsibility for financial reports. Sec. 303. Improper influence on conduct of audits. Sec. 304. Forfeiture of certain bonuses and profits. Sec. 305. Officer and director bars and penalties.
Sec. 306. Insider trades during pension fund blackout periods. Sec. 307. Rules of professional responsibility for attorneys. Sec. 308. Fair funds for investors.
TITLE IV—ENHANCED FINANCIAL DISCLOSURES Sec. 401. Disclosures in periodic reports.
Sec. 402. Enhanced conflict of interest provisions.
Sec. 403. Disclosures of transactions involving management and principal stockholders. Sec. 404. Management assessment of internal controls.
Sec. 405. Exemption.
Sec. 406. Code of ethics for senior financial officers. Sec. 407. Disclosure of audit committee financial expert. Sec. 408. Enhanced review of periodic disclosures by issuers. Sec. 409. Real time issuer disclosures.
TITLE V—ANALYST CONFLICTS OF INTEREST
Sec. 501. Treatment of securities analysts by registered securities associations and national securities exchanges.
TITLE VI—COMMISSION RESOURCES AND AUTHORITY
Sec. 601. Authorization of appropriations.
Sec. 602. Appearance and practice before the Commission. Sec. 603. Federal court authority to impose penny stock bars.
Sec. 604. Qualifications of associated persons of brokers and dealers. TITLE VII—STUDIES AND REPORTS
Sec. 701. GAO study and report regarding consolidation of public accounting firms. Sec. 702. Commission study and report regarding credit rating agencies.
Sec. 703. Study and report on violators and violations Sec. 704. Study of enforcement actions.
Sec. 705. Study of investment banks.
TITLE VIII—CORPORATE AND CRIMINAL FRAUD ACCOUNTABILITY
Sec. 801. Short title.
Sec. 802. Criminal penalties for altering documents.
Sec. 803. Debts nondischargeable if incurred in violation of securities fraud laws. Sec. 804. Statute of limitations for securities fraud.
Sec. 805. Review of Federal Sentencing Guidelines for obstruction of justice and extensive criminal fraud.
Sec. 806. Protection for employees of publicly traded companies who provide evidence of fraud. Sec. 807. Criminal penalties for defrauding shareholders of publicly traded companies.
TITLE IX—WHITE-COLLAR CRIME PENALTY ENHANCEMENTS
Sec. 901. Short title.
Sec. 902. Attempts and conspiracies to commit criminal fraud offenses. Sec. 903. Criminal penalties for mail and wire fraud.
Sec. 904. Criminal penalties for violations of the Employee Retirement Income Security Act of 1974.
Audit Sistem Informasi Berbasis Komputer 6 Sec. 906. Corporate responsibility for financial reports.
TITLE X—CORPORATE TAX RETURNS
Sec. 1001. Sense of the Senate regarding the signing of corporate tax returns by chief executive officers.
TITLE XI—CORPORATE FRAUD AND ACCOUNTABILITY
Sec. 1101. Short title.
Sec. 1102. Tampering with a record or otherwise impeding an official proceeding. Sec. 1103. Temporary freeze authority for the Securities and Exchange Commission. Sec. 1104. Amendment to the Federal Sentencing Guidelines.
Sec. 1105. Authority of the Commission to prohibit persons from serving as officers or directors.
Sec. 1106. Increased criminal penalties under Securities Exchange Act of 1934. Sec. 1107. Retaliation against informants.
Secara umum “OX s A t terdiri dari tiga agia pe ti g ya g harus diperhatika oleh manajemen perusahaan publik, yaitu: Seksi 404, 906, dan 302. Peraturan ini sudah mulai dilaksanakan oleh perusahaan-perusahaan publik di AS sejak dikeluarkannya peraturan tersebut, Juli 2002, namun yang menjadi penekanan adalah seksi 302 dan seksi 404.
Seksi 404 berisi peraturan yang mewajibkan manajemen untuk menilai internal kontrol yang sudah dilaksanakan atas laporan keuangannya serta pengesahan dari auditor eksternal. Seksi 906 berisi peraturan yang mewajibkan manajemen perusahaan secara periodik untuk melaporkan segala sesuatu menyangkut informasi keuangan yang juga tunduk kepada peraturan bursa saham, serta menyatakan dengan benar kondisi laporan keuangan dan hasil operasi
perusahaa . “OX s a t seksi erisi peratura ya g ha pir sa a de ga seksi 6, tetapi seksi
302 berisi tambahan atas pengungkapan yang berhubungan dengan pengungkapan internal kontrol dan prsodurnya, serta internal kontrol dan penipuan/kecurangan.
Berikut ini dijelaskan beberapa bagian (section) dari Sarbanes-Oxley Act yang perlu mendapat perhatian.
A. Seksi 101
“eksi “OX e gatur te ta g pe e tuka da ad i istrati e pro isio s dari Pu li Company Accounting Oversight Board (PCAOB). PCAOB memiliki 5 anggota yang menguasai keuangan (financially-literate), menjabat selama 5 tahun. Dua anggota dari PCAOB harus CPA (Certified Public Accountant), dan sisa tiga anggotanya tidak harus dan dapat bukan CPA.
B. Seksi 102
Seksi 102 SOX mengatur tentang pendaftaran atau registrasi dengan PCAOB. Kantor akuntan publik (audit firms) yang terlibat dalam audit perusahaan publik harus terdaftar dalam audit perusahaan publik harus terdaftar pada PCAOB.
C. Seksi 103
Audit Sistem Informasi Berbasis Komputer 7 standar pengendalian mutu, dan standar etik yang digunakan kantor akuntan publik dalam penyusunan dan penerbitan laporan audit dari emiten (issuers) sebagaimana yang disyaratkan oleh Sarbones-Oxley Act (SOX) dan peraturan SEC. PCAOB akan memasukkan standar auditing suatu persyaratan bahwa kantor akuntan publik harus menyusun dan memelihara kertas kerja untuk periode paling sedikit 7 tahun.
D. Seksi 104
Seksi 104 SOX mengatur tentang inspeksi kantor akuntan publik. Inspeksi pengendalian mutu tahunan harus dilakukan setiap tahun untuk kantor akuntan publik yang melakukan audit lebih dari 100 emiten. Kantor akuntan publik yang lain harus diinspeksi paling sedikit 3 tahun sekali. Inspeksi khusus dapat dilakukan berdasarkan permintaan SEC atau PCAOB.
E. Seksi 105
Seksi 105 SOX mengatur tentang investigasi dan tindakan disipliner (disciplinary procedings). Apabila PCAOB telah menentukan bahwa sebuah kantor akuntan publik melakukan praktik yang melanggar Sarbanes-Oxley Act (SOX), peraturan-peraturan PCAOB, atau peraturan pasar modal yang berkaitan dengan penerbitan laporan audit, PCAOB dapat menjatuhkan sanksi, mencakup suspensi sementara atau pencabutan (revocation) izin permanen atau dikeluarkan dsari asosiasi akuntan publik, denda financial, pemberian hukuman (censure), pendidikan atau pelatihan tambahan, atau sanksi lain yang diberikan berdasarkan peraturan PCAOB.
F. Seksi 201
Seksi 201 mengatur jasa di luar ruang lingkup praktik auditor. Adalah melanggar hukum bagi sebuah kantor akuntan publik yang memberikan jasa non audit kepada emiten, yang mencakup:
a) Bookkeeping or other services related to the accounting records or financial statement of the audit client;
b) Financial information systems design and implementation;
c) Appraisal or valuation services, fairness opinions, or contribution-in kind reports; d) Actuarial services;
e) Internal audit outsourcing services;
f) Management functions or human resources;
g) Broker or dealer, investment adviser, or investment banking services; h) Any other services that PCAOB determines, by regulation, is impermissible.
Jasa non-audit dapat diberikan apabila jasa tersebut disetujui terlebih dahulu oleh komite audit. Komite audit akan mengungkapkan kepada investor dalam laporan berkala keputusannya dalam pemberian persetujuan pendahuluan untuk jasa non-audit.
G. Seksi 203
Seksi 203 SOX mengatur rotasi partner audit. Partner yang mengepalai atau mengkoordinasi dan partner penelaah (reviewing partner) harus dirotasikan setiap 5 tahun.
H. Seksi 204
Seksi 204 SOX mengatur tentang laporan auditor kepala komite audit. Kantor akuntan publik harus melaporkan kepada komite audit semua:
a. Kebijakan dan praktik akuntansi kritikal yang digunakan;
Audit Sistem Informasi Berbasis Komputer 8 I. Seksi 206
Seksi 206 SOX mengatur tentang benturan kepentingan (conflicts of interest) CEO, kontroler, CFO, Chief Accounting Officer atau orang yang berada dalam posisi ekuivalen tidak boleh dijabat oleh kantor akuntan publik perusahaan selam periode satu tahun setelah audit (1 years period preceding audit).
J. Seksi 207
Seksi 207 SOX mengatur tentang studi keharusan rotasi akuntan publik terdaftar. GAO akan melakukan studi atas pengaruh potensial dari mensyaratkan keharusan rotasi dari kantor akuntan publik.
K. Seksi 301
Seksi 301 SOX mengatur tentang komite audit perusahaan publik. Setiap anggota dari komite audit harus merupakan anggota independen dari board of directors emiten. Komite audit harus secara langsung bertanggung jawab atas penunjukan, kompensasi, dan pengawasan dari pekerjaan kantor akuntan publik yang ditunjuk oleh emiten.
L. Seksi 302
“OX s A t seksi i i erupaka doku e pe jelasa manajemen atas internal kontrol yang ada pada perusahaan. Pihak manajemen yang bertanggungjawab dalam pengungkapan ini adalah direktur utama dan direktur keuangan perusahaan.
Dibawa ini adalah contoh pernyataan manajemen:
Ka i sudah erancang internal kontrol atas laporan keungan perusahaan kami,dan kami sudah memantau pelaksanaan internal kontrol tersebut, dengan tujuan untuk menyediakan jaminan kepada pihak luar atas keandalan laporan keuangan perusahaan kami, dan memberikan jaminan lebih lanjut bahwa laporan keuangan perusahaan kami sudah sesuai dengan prinsip
aku ta si erlaku u u di A erika “erikat .
M. Seksi 303
Seksi 303 SOX mengatur tentang pengaruh yang tidak tepat atas pelaksanaan audit. Adalah melanggar hukum bagi setiap pejabat atau direktur dari emiten melakukan tindakan apapun untuk secara curabg mempengaruhi, memaksakan, memanipulasi, atau menyesatkan siapapun auditornya yang ditunjuk dalam pelaksanaan suatu audit dengan tujuan untuk membuat laporan keuangan secara material menyesatkan.
N. Seksi 404
“OX s A t seksi i i erisi ke aji a agi a aje e perusahaa u tuk e ilai i ter al
Audit Sistem Informasi Berbasis Komputer 9 1. Perusahaan harus mengevaluasi internal kontrol atas laporan keuangannya setiap
tahun. Manajemen harus menyimpulkan efektifitas dari internal kontrol setiap akhir tahun. Pihak yang bertanggungjawab untuk mengevaluasi internal kontrol perusahaan adalah departemen internal control/audit
2. Akuntan publik yang disewa perusahaan harus menegaskan dan melaporkan hasil evaluasi atas internal kontrol atas laporan keuangan perusahaan.
Seksi 404 secara khusus memberikan perhatian kepada internal kontrol perusahaan atas laporan keuangannya. Dalam mengevaluasi internal kontrol yang dilaksanakan perusahaan, manajemen melalui departemen internal kontrol/audit perlu menggunakan kerangka yang disusun oleh COSO (Committee of Sponsoring Organization of the Tradeway Commission).
O. Siklus SOX’s Act Seksi 404
1. Tahap Pere ca aa I ple e tasi SOX’s Seksi 404
Audit Sistem Informasi Berbasis Komputer 10 bisnislah yang merupakan pemilik atas pengendalian internal dalam proses bisnis yang menjadi tanggungjawabnya.
Pemilik proses bisnis ini nantinya harus mengesahkan kontrol yang sudah dipetakan oleh auditor. Lebih lanjut, pada tahapan ini auditor harus menentukan sumber daya yang dibutuhkan untuk me-review proses bisnis yang kegiatannya mempengaruhi laporan keuangan perusahaan.
Pada tahap perencanaan, auditor harus menentukan cakupan atas pemeriksaan yang dilakukan. Sesuai dengan standard audit (PCAOB; Public Company Accounting Oversight Board),
akupa pe eriksaa “OX s harus e perhatika :
1. Lokasi-lokasi atas unit-unit bisnis dalam perusahaan yang memiliki porsi besar dari aktifitas perusahaan secara keseluruhan. Menurut PCAOB unit-unit bisnis yang besar operasinya 60 sampai 75% dari total operasi perusahaan dan dipertimbangkan mempengaruhi posisi keuangan perusahan untuk hal-hal berikut:
Pendapatan (Revenue) Laba operasi
Pendapatan bersih (Net Income) Total Assets
Ekuitas pemegang saham
2. Lokasi unit-unit bisnis yang memiliki resiko signifikan (misalnya; unit bisnis yang baru diakuisisi, pusat jasa layanan, dsb.)
Contoh ruang lingkup pemeriksaan SOX 404, sebagai berikut: Siklus utama
- Aktiva tetap (Fixed Assets); - Pembelian;
- Pendapatan; - Pajak Penghasilan; - Persediaan;
- Pelaporan Keuangan; - Dana pensiun, dsb.
Siklus Teknologi Informasi
Audit Sistem Informasi Berbasis Komputer 11
- Pengembangan dan implementasi sistem - Pengelolaan atas perubahaan sistem - Keamanan
- Operasi sistem
Siklus lain juga dapat ditambahkan sesuai dengan kondisi bisnis perusahaan (besar perusahaan dan tingkat kompleksitas operasi perusahaan); misalnya: Royalti, ekuitas perusahaan, dsb.
2. Tahap Dokumentasi Proses Bisnis
Dalam tahap dokumentasi proses bisnis yang sudah termasuk dalam cakupan evaluasi SOX 404, maka hal-hal yang harus diperhatikan adalah:
a. Tujuan dari pemeriksaan. Tujuan dari pemeriksaan SOX 404 adalah untuk mengevaluasi dan mendokumentasi kontrol yang dilaksanakan manajemen dalam aktifitas kesehariannya
b. Identifikasi dan dokumentasi pengendalian internal yang ada yang relevan dengan proses bisnis dan sub-proses bisnis dari setiap siklus yang akan direview oleh departemen internal kontrol
c. Pendokumentasian proses bisnis dalam bentuk bagan (flow chart), narasi yang didukung oleh contoh dari dokumen yang digunakan dalam proses bisnis tersebut d. Dokumentasi ketidakcukupan kontrol untuk proses yang bersangkutan
3. Tahap Pengujian
Dalam tahap ini, auditor perlu memperhatikan hal-hal berikut:
a. Tujuan dari evaluasi kontrol adalah untuk meyakinkan kesesuaian kontrol yang dirancang manajemen terhadap operasi bisnis yang dilaksanakannya
b. Pemilihan sampel (besar sampel) untuk pengujian kontrol yang ada
c. Identifikasi dan dokumentasi kontrol yang tidak berjalan dengan sepenuhnya (control deficiency)
d. Evaluasi dan melaporkan defisiensi kontrol untuk menentukan waktu dan area perbaikan
e. Berdasarkan evaluasi dan hasil pengujian, evaluasi kembali kontrol yang dibutuhkan untuk memperbaiki kontrol yang ada atau menciptakan kontrol yang baru
Audit Sistem Informasi Berbasis Komputer 12 4. Tahap Perbaikan
Tujuan dari tahap perbaikan ini adalah untuk memberikan kesempatan kepada manajemen memperbaiki kontrol yang ada. Untuk itu, auditor perlu mengkomunikasikan hasil pengujiannya kepada manajemen dan mengembangkan rencana perbaikan (penentuan waktu perbaikan dan batas waktu perbaikan).
5. Tahap Pengujian Kembali
a. Setelah melalui masa perbaikan, auditor harus menguji kembali kontrol yang ada melalui contoh dokumen (sampel) untuk memastikan bahwa manajemen sudah melakukan perbaikan atas pelaksanaan kontrol yang ada;
b. Jumlah dokumen (jumlah sampel) yang akan diuji tidak sama dengan jumlah sampel seperti pada waktu auditor melakukan pengujian sebelumnya
c. Departemen internal kontrol/audit harus menentukan standard terhadap besarnya jumlah sampel yang diperlukan untuk tahap pengujian kembali ini. Jumlah sampel didasarkan atas pertimbangan auditor terhadap kondisi perusahaan (jumlah transaksi, kompleksitas perusahaan) d. Auditor harus menyiapkan kertas kerja terpisah untuk tahap pengujian kembali
e. Jika dari hasil pengujian kembali ini, auditor menemukan bahwa pelaksanaan kontrol sudah diperbaiki dan dilakukan secara konsisten, maka auditor dapat menyimpulkan bahwa internal kontrol atas aktifitas tersebut sudah berjalan dengan baik (isu yang ada bisa ditutup). Tetapi jika dari hasil pengujian kembali tersebut auditor menemukan bahwa manajemen masih melaksanakan kontrol tersebut dengan tidak konsisten, maka auditor dapat menyimpulkan bahwa pelaksanaan kontrol untuk aktifitas tersebut tidak berjalan dengan baik. Hal ini sering dianggap sebagai issue yang masih belum terpecahkan (open issue). Apapun hasil dan kesimpulan auditor terhadap pelaksanaan internal kontrol atas aktifitas yang dievaluasinya harus dilaporkan kepada manajemen perusahaan, Top Manajemen (Direktrur Internal Kontrol, Direktur Keuangan, dan Direktur Utama perusahaan).
6. Tahap Pengelompokan Hasil
Pada tahap ini semaua hasil dikelompokkan dengan kriteria yang ditetapkan untuk mempermudah menyusun laporan.
7. Tahap Pelaporan
Audit Sistem Informasi Berbasis Komputer 13 masih ada dan rencana untuk penyelesaian defisiensi tersebut, serta isu-isu terkait dengan defisiens kontrol yang ditemukan.
P. Seksi 407
Seksi 407 SOX mengatur tentang pengungkapan dari keahlian keuangan komite audit. SEC akan menerbitkan peraturan yang mensyaratkan emiten mengungkapkan apakah paling sedikit satu anggota dari komite audit adalah ahli keuangan seperti yang didefinisikan dalam seksi 407 SOX.
Q. Seksi 701
Seksi 701 SOX mengatur tentang studi GAO dan laporan yang berkaitan dengan konsolidasi dari kantor akuntan publik. GAO akan melakukan studi untuk mengidentifikasi faktor-faktor yang menuntun konsolidasi kantor akuntan sejak 1989, pengaruh dari konsolidasi atas pembentukan modal dan pasar ekuitas, dan solusi terhadap setiap masalah yang diidentifikasi, mencakup cara-cara untuk meningkatkan kompetensi dan jumlah perusahaan yang mampu untuk menyediakan jasa audit kepada organisasi usaha besar yang bergantung pada peraturan sekuritas.
R. Seksi 802
Seksi 802 SOX mengatur tentang hukuman kriminal untuk mngubah dokumen. Adalah tindak pidana yang tergolong berat (felony) secara sengaja merusak atau menciptakan dokumen untuk menghalangi (impede/obstruct) atau mempengaruhi setiap investigasi federal yang sedang berlangsung atau akan diadakan.
S. Seksi 806
Seksi 806 SOX mengatur te ta g E ployee Whistle lo er Prote tio . “eksi 6 memungkinkan suatu aksi sipil bagi pekerja perusahaan publik yang mendapatkan pembalasan (retailiation) dari pemberi kerja karena mengungkapkan aktivitas illegal. Seksi 806 dari Sarbanes-Oxley Act melarang perusahaan publik membebaskan (discharging), menurunkan jabatan (threatening), mengganggu (harassing) atau dengan cara-cara lain melakukan diskriminasi terhadap setiap pejabat, karyawan, kontraktor, subkontraktor, atau agen, karena suatu tindakan yang sesuai dengan hukum (lawful act) yang dilakukan oleh orang tersebut, memberikan informasi, menyebabkan informasi diberikan, ataupun membantu dalam menyelidiki setiap tindakan tersebut yang melanggar hukum, seperti mail, Wire, bank dan securities fraud.
T. Seksi 906
Sarbanes Oxley Act section 906 berisi :
1. CEO da CFO elakuka sertifikasi ah a, lapora periodik fully o plies peraturan yang dikeluarkan oleh US SEC, informasi yang terkandung pada laporan periodik tersebut disajikan secara wajar, dalam keseluruhan hal yang material, terhadap kondisi keuangan dan hasil operasi perusahaan.
Audit Sistem Informasi Berbasis Komputer 14 U. Seksi 1102
Seksi 1102 SOX mengatur tentang perusakan catatan ataupun penghilangan acara kerja (official proceeding). Setiap orang yang secara korup mengubah, merusak (destroy/mutilate) atau menyembunyikan setiap catatan, dokumen atau objek lain dengan maksud untuk merusak integritas objek tersebut atau ketersediaanya untuk penggunaan dalam acara kerja pejabat atau merusak, mempengaruhi atau menghalangi setiap acara kerja pejabat akan didenda dan/atau dipenjarakan samapai dengan 20 tahun.
III. IMPLIKASI SARBANES-OXLEY ACT
A. Manfaat Sarbanes Oxley Act dalam Audit Sistem Informasi
Manfaat SOA dalam Audit Sistem Informasi adalah untuk meningkatkan program perlindungan bagi pegawai yang menjadi pengadu atau pemberi informasi, yang mendapatkan perlakuan buruk dari perusahaannya setelah membeberkan adanya fraud manipulasi dan membantu investigasi seperti: dipecat, didemosikan, diskors, diancam, dilecehkan dan berbagai perlakuan diskriminatif lainnya. Selain itu juga menuntut perusahaan untuk memahami, mendokumentasi, dan menyempurnakan kontrol internal terkait pelaporan keuangan, dengan terus meningkatkan akurasi proses bisnis dan informasi transaksionalnya, serta membangun perbaikan proses secara berkelanjutan.
Dalam Sarbanes-Oxley Act diatur tentang akuntansi, pengungkapan dan pembaharuan governance; yang mensyaratkan adanya pengungkapan yang lebih banyak mengenai informasi keuangan, keterangan tentang hasil-hasilyang dicapai manajemen, kode etik bagi pejabat di bidang keuangan, pembatasan kompensasi eksekutif, dan pembentukan komite audit yang independen. Selain itu diatur pula mengenai hal-hal sebagai berikut:
Menetapkan beberapa tanggung jawab baru kepada dewan komisaris, komite audit dan pihak manajemen
Mendirikan the Public Company Accounting Oversight Board, sebuah dewan yang independen dan bekerja full-time bagi pelaku pasar modal
Penambahan tanggung jawab dan anggaran SEC secara signifikan
Me defi isika jasa o -audit ya g tidak oleh di erika oleh KAP kepada klie Memperbesar hukuman bagi terjadinya corporate fraud
Mensyaratkan adanya aturan mengenai cara menghadapi conflicts of interest Menetapkan beberapa persyaratan pelaporan yang baru.
Audit Sistem Informasi Berbasis Komputer 15 Manfaat Penerapan Sarbanes Oxley Bagi Perusahaan
Perusahaan publik akan memiliki sistem pengendalian intern yang lebih baik, sehingga akuntabilitas dan integritas pelaporan keuangannya lebih dapat dipercaya dan diandalkan. Kepercayaan investor lebih meningkat.
Memiliki citra (image) yang positif di mata publik dan pemangku kepentingan lainnya. Membantu perusahaan untuk melakukan Good Governance Corporation dengan baik
Manfaat Penerapan Sarbanes Oxley Bagi Konsumen
Meningkatkan kepercayaan konsumen terhadap perusahaan Menghindari adanya kebohongan publik oleh perusahaan
Konsumen dapat memastikan akurasi laporan keuangan perusahaan
B. Kebutuhan akan Penerapan Sarbanes – Oxley Act pada Perusahaan
Sarbaness-Oxley Act (SOA) diterbitkan untuk memproteksi kepentingan investor dengan cara menciptakan tata kelola perusahaan yang baik (good corporate governance), full disclosure, dan akuntabilitas dalam perusahaan (Sarbanes dan Oxley, 2002). SOA khususnya section 404 mensyaratkan adanya laporan manajemen tahunan (annual management report) tentang pengendalian intern perusahaan atas pelaporan keuangan dan laporan manajemen tersebut merupakan subjek yang akan diaudit.
Pada dasarnya SOA ditujukan kepada perusahaan publik yang terdaftar dalam bursa saham. Namun juga dapat diterapkan pada perusahaan non-publik. Karena Dalam SOA diatur tentang akuntansi, pengungkapan dan pembaharuan governance yang mensyaratkan adanya pengungkapan yang lebih banyak mengenai informasi keuangan, keterangan tentang hasil-hasil yang dicapai manajemen, kode etik bagi pejabat di bidang keuangan, pembatasan kompensasi eksekutif, dan pembentukan komite audit yang independen.
Audit Sistem Informasi Berbasis Komputer 16 karena mereka merasa aman dari tindakan pembalasan dari yang dilaporkan, dan inilah elemen penting dan kritis bagi program pencegahan frauds (manipulasi).
C. Resiko tidak Complience (mematuhi) terhadap SOA bagi Perusahaan
1. Dalam Financial
Resiko tidak complience (mematuhi) terhadap SOA bagi perusahaan dalam hal financial adalah dapat menyebabkan kebangkrutan bagi perusahaan khususnya perusahaan publik jika ternyata terdapat fraud (manipulasi) dalam perusahaan tersebut. Karena dapat mengakibatkan hilangnya kepercayaan masyarakat dan menarik semua saham-sahamnya dan akan menyebabkan kebangkrutan bagi perusahaan.
2. Dalam Non-Financial
Resiko tidak complience (mematuhi) terhadap SOA bagi perusahaan dalam hal non-financial adalah dapat menyebabkan perlakuan buruk bagi pegawai jika terjadi pengakuan/membeberkan dan memberi informasi jika terjadi fraud (manipulasi) dan membantu investigasi di dalam perusahaan. seperti dipecat, didemosikan, dilecehkan dan berbagai perlakuan diskrimatif lainnya.
IV. PENERAPAN SOA DI INDONESIA
Audit Sistem Informasi Berbasis Komputer 17 V. KEUNGGULAN DAN KETERBATASAN SOA
A. Keunggulan Penerapan SOA
1) Tanggung Jawab Perusahaan
Undang-undang ini menekankan dan meminta perusahaan untuk bertanggungjawab secara terafiliasi. Manajemen harus membuat pernyataan bahwa laporan keuangan telah disajikan secara akurat dan tidak menimbulkan salah tafsir. Selain itu, pernyataan manajemen juga harus mencakup bahwa laporan keuangan yang disajikan telah menerapkan sistem pengawasan internal yang sehat. Komite Audit harus berperan aktif antara lain dengan melakukan pengawasan ketat terhadap auditor, melakukan pemisahan antara audit service dengan non-audit service, dan melakukan persetujuan dan pengungkapan atas semua jasa non-audit.
2) Auditor
Walaupun selama ini sudah diatur tentang independensi akuntan publik tetapi dalam undang-undang ini diperketat lagi kewajiban mempertahankan independensi akuntan dan membentuk Dewan Pengawas Akuntan Publik. Undang-undang ini melarang pemberian jasa non-audit diluar jasa perpajakan dan juga mencantumkan adanya kewajiban untuk melakukan tugas bergilir terhadap pelaksana dan penanggung jawab audit.
3) Perluasan Pengungkapan
Dalam undang-undang ini ada beberapa hal yang wajib diungkapkan, antara lain: penilaian setiap tahun oleh manajemen dan auditor terhadap sistem pengawasan internal, kewajiban untuk menyajikan laporan proforma, pelaporan transaksi saham internal dalam jangka waktu dua hari, pengungkapan semua pembiayaan yang bersifat off-balance sheet dan pembiayaan yang bersifat kontingensi (seperti pada industri perbankan), dan beberapa informasi tertentu yang dianggap penting harus di laporkan secara real time.
4) Analis Saham
Analis saham harus mendapatkan pengungkapan terhadap informasi yang berkenaan dengan kemungkinan adanya konflik kepentingan (conflict of interest).
5) Securities Exchange Committee (SEC)
Audit Sistem Informasi Berbasis Komputer 18 B. Keterbatasan SOA
Sarbanes Oxley Act memberikan beberapa perhatian untuk pengendalian internal terbukti dengan adanya jasa hotlines yang disediakan untuk proses pelaporan frauds yang disaksikan oleh pegawai dan perlindungan terhadap pegawai tersebut atas pelaporannya. Tapi sayangnya SOA memiliki beberapa kelemahan, yang pertama adalah memfokuskan pada pemberian sanksi dan perlakuan terhadap subject, namun pada kenyataanya kebanyakan kasus fraud yang terjadi bukan hanya terjadi karena individu yang melakukannya (Moral Hazard) tapi lebih dikarenakan adanya permainan dalam sistem.
Oleh karena itu, terdapatlah limitation of Internal Controls yang berarti kebanyakan kegagalan yang terjadi dalam internal controls terjadi karena masing-masing individu, yang seharusnya menerapkan prinsip internal controls ini dengan baik, dengan sengaja melakukan pelanggaran dan bersepakat secara bersama-sama menyeleweng. Dan sampai saat ini belum ada sistem yang dapat menakut-nakuti orang-orang yang memiliki peluang untuk melakukan kecurangan baik dalam lingkup manajemen ataupun individu.
Efek sanksi dengan adanya SOA nampaknya tidak terlalu ampuh untuk dipopulerkan. Ini terbukti dengan terjadinya kasus frauds untuk kesekian kalinya di Amerika yang secara menyeluruh mengadopsi SOA. Bahkan terjadi beberapa kasus fraud lebih parah dan sampai-sampai menyebabkan kerusakan ekonomi global. Ada komponen lain yang menyebabkan internal controls tidak berjalan secara semestinya, yaitu ketika moral hazard atas individu yang terjadi dalam sebuah perusahaan sudah tersistem. Contoh kasusnya adalah AIG yang merupakan salah satu perusahaan asuransi besar didunia. Hedge Fund dan peluang pengendalian uang yang besar oleh manajemen menjadi daya tarik tersendiri untuk melakukan skandal keuangan.
Audit Sistem Informasi Berbasis Komputer 19 VI. SIMPULAN
Sarbanes Oxley Act bertujuan untuk mengembalikan kepercayaan investor pasca skandal akuntansi
dan kebangkrutan perusahaan2 besar di Amerika. Secara umum SOA mengatur tentang Akuntansi, pengungkapan dan pembaharuan governance, yang mensyaratkan adanya pengungkapan yang lebih banyak mengenai informasi keuangan, keterangan tentang hasil-hasil yang dicapai manajemen, kode etik bagi pejabat di bidang keuangan, pembatasan komite audit yang independen, pembatasan kompensasi eksekutif dan lain-lain. Sehingga pada intinya SOA memberikan persyaratan bagi sebuah perusahaan terhadap pengendalian internalnya.
