Embed Size (px)
Citation preview
BAB I
PENDAHULUAN
A. Latar Belakang
Audit sistem informasi merupakan proses pengumpulan dan evaluasi
bukti-bukti untuk menentukan apakah sistem komputer yang digunakan telah
dapat melindungi aset milik organisasi, mampu menjaga integritas data, dapat
membantu pencapaian tujuan organisasi secara efektif, serta menggunakan sumber
daya yang dimiliki secara efisien. Audit SI/TI relative baru ditemukan dibanding
audit keuangan, seiring dengan meningkatnya penggunan TI untuk mensupport
aktifitas bisnis.
Ada beberapa aspek yang diperiksa pada audit sistem teknologi informasi:
Audit secara keseluruhan menyangkut efektifitas, efisiensi, availability system,
reliability, confidentiality, dan integrity, serta aspek security. Selanjutnya adalah
audit atas proses, modifikasi program, audit atas sumber data, dan data file.
Beberapa aturan mengenai IT audit sudah disusun di Amerika Serikat yang
meliputi beberapa aturan penting seperti Sarbanes Oxley Act. Sarbanes-Oxley Act
(SOA) merupakan sebuah produk hukum (Undang-Undang) di Amerika Serikat
(AS) yang mengatur tentang akuntabilitas, praktik akuntansi dan keterbukaan
informasi, termasuk tata cara pengelolaan data di perusahaan publik. Namun di
Indonesia baru sebagian kecil yang baru menerapkan aturan tersebut.
1
BAB II
ISI
A. Latar Belakang Munculnya Sarbanes – Oxley
Sarbanes-Oxley atau kadang disingkat SOx atau SOA adalah hukum
federal Amerika Serikat yang ditetapkan pada 30 Juli 2002. Undang-undang ini
diprakarsai oleh Senator Paul Sarbanes (Maryland) dan Representative Michael
Oxley (Ohio) yang disetujui oleh Dewan dengan suara 423-3 dan oleh Senat
dengan suara 99-0 serta disahkan menjadi hukum oleh Presiden George W. Bush.
Undang-undang ini dikeluarkan sebagai respons dari Kongres Amerika Serikat
terhadap berbagai skandal pada beberapa perusahaan besar seperti: Enron, Tyco
International, Adelphia, Peregrine Systems, WorldCom (MCI), AOL
TimeWarner, Aura Systems, Citigroup, Computer Associates International, CMS
Energy, Global Crossing, HealthSouth, Quest Communication, Safety-Kleen dan
Xerox, yang juga melibatkan beberapa KAP yang termasuk dalam “the big
five” seperti: Arthur Andersen, KPMG dan PWC.
Skandal-skandal yang menyebabkan kerugian bilyunan dolar bagi investor
karena runtuhnya harga saham perusahaan-perusahaan yang terpengaruh ini
mengguncang kepercayaan masyarakat terhadap pasar saham. Semua skandal ini
merupakan contoh tragis bagaimana kecurangan (fraud schemes) berdampak
sangat buruk terhadap pasar, stakeholders dan para pegawai. Dengan
diterbitkannya undang-undang ini, ditambah dengan beberapa aturan pelaksanaan
dari Securities Exchange Commision (SEC) dan beberapa self regulatory bodies
lainnya, diharapkan akan meningkatkan standar akuntabilitas perusahaan,
transparansi dalam pelaporan keuangan, memperkecil kemungkinan bagi
perusahaan atau organisasi untuk melakukan dan menyembunyikan fraud, serta
membuat perhatian pada tingkat sangat tinggi terhadap corporate governance.
Perundang-undangan ini menetapkan suatu standar baru dan lebih baik bagi
semua dewan dan manajemen perusahaan publik serta kantor akuntan publik
walaupun tidak berlaku bagi perusahaan tertutup. Akta ini terdiri dari 11 bab atau
bagian yang menetapkan hal-hal mulai dari tanggung jawab tambahan Dewan
Perusahaan hingga hukuman pidana.
2
Sarbox juga menuntut Securities and Exchange Commission (SEC) untuk
menerapkan aturan persyaratan baru untuk menaati hukum ini. Saat ini, corporate
governance dan pengendalian internal bukan lagi sesuatu yang mewah lagi karena
kedua hal ini telah disyaratkan oleh undang-undang.
B. Aktivitas SOA pada perusahaan
Dalam Sarbanes Oxley Act diatur tentang akuntansi, pengungkapan
dan pembaharuan governance yang mensyaratkan adanya pengungkapan yang
lebih banyak mengenai informasi keuangan, keterangan tentang hasil-hasil
yang dicapai manajemen, kode etik bagi pejabat di bidang keuangan,
pembatasan kompensasi eksekutif, dan pembentukan komite audit yang
independen. Selain itu diatur pula mengenai hal-hal sebagai berikut:
a. Menetapkan beberapa tanggung jawab baru kepada dewan
komisaris, komite audit, dan pihak manajemen.
b. Mendirikan the Public Company Accounting Oversight Board,
sebuah dewan yang independen dan bekerja full-time bagi pelaku pasar
modal.
c. Penambahan tanggung jawab dan anggaran SEC (Securities
Exchange Commision) secara signifikand. Mendefinisikan jasa “non-
audit” yang tidak boleh diberikan oleh KAP kepada klien.
d. Memperbesar hukuman bagi terjadinya corporate fraud (manipulasi
perusahaan).
e. Mensyaratkan adanya aturan mengenai cara menghadapi conflicts
of interest.
f. Menetapkan beberapa persyaratan pelaporan yang baru.
Dalam hal pelaporan, Sarbanes-Oxley Act mewajibkan semua
perusahaan publik untuk membuat suatu sistem pelaporan yang
memungkinkan bagi pegawai atau pengadu untuk melaporkan terjadinya
penyimpangan. Sistem pelaporan ini diselenggarakan oleh komite audit.
Perusahaan dapat menggunakan jasa pelaporan hotlines seperti ACFE’s
EthicsLine. ACFE dapat membantu menyusun hotlines pengaduan yang akan
menerima dan merahasiakan pengaduan, dan memberikan informasi kepada
3
perusahaan agar dapat mengambil tindakan yang tepat. Sistem hotlines ini akan
mendorong para pegawai untuk melaporkan karena mereka merasa aman dari
tindakan pembalasan dari yang dilaporkan, dan inilah elemen penting dan kritis
bagi program pencegahan fraud yang kuat.
C. SOX’ ACT
Secara umum SOX’s Act terdiri dari tiga bagian penting yang
harus diperhatikan oleh manajemen perusahaan publik, yaitu: Seksi 404,
906, dan 302. Peraturan ini sudah mulai dilaksanakan oleh perusahaan-
perusahaan publik di AS sejak dikeluarkannya peraturan tersebut, Juli 2002,
namun yang menjadi penekanan adalah seksi 302 dan seksi 404. Seksi 404
berisi peraturan yang mewajibkan manajemen untuk menilai internal kontrol
yang sudah dilaksanakan atas laporan keuangannya serta pengesahan dari
auditor eksternal. Seksi 906 berisi peraturan yang mewajibkan manajemen
perusahaan secara periodik untuk melaporkan segala sesuatu menyangkut
informasi keuangan yang juga tunduk kepada peraturan bursa saham, serta
menyatakan dengan benar kondisi laporan keuangan dan hasil operasi
perusahaan.
SOX’s act seksi 302 berisi peraturan yang hampir sama dengan seksi 906,
tetapi seksi 302 berisi tambahan atas pengungkapan yang berhubungan
dengan pengungkapan internal kontrol dan prsodurnya, serta internal kontrol dan
penipuan/kecurangan. Berikut ini dijelaskan beberapa bagian (section) dari
Sarbanes-Oxley Act yang perlu mendapat perhatian.
1. Seksi 101
Seksi 101 SOX mengatur tentang pembentukan dan
”administrative provisions” dari Public Company Accounting Oversight
Board (PCAOB). PCAOB memiliki 5 anggota yang menguasai keuangan
(financially-literate), menjabat selama 5 tahun. Dua anggota dari PCAOB
harus CPA (Certified Public Accountant), dan sisa tiga anggotanya tidak
harus dan dapat bukan CPA.
2. Seksi 102
4
Seksi 102 SOX mengatur tentang pendaftaran atau registrasi
dengan PCAOB. Kantor akuntan publik (audit firms) yang terlibat dalam
audit perusahaan publik harus terdaftar dalam audit perusahaan publik
harus terdaftar pada PCAOB.
3. Seksi 103
Seksi 103 SOX mengatur tentang auditing, pengendalian mutu, dan
aturan, aturan dan standar indenpendensi. PCAOB akan membuat standar
auditing dan standar atestasi yang berkaitan,standar pengendalian mutu,
dan standar etik yang digunakan kantor akuntan publik dalam penyusunan
dan penerbitan laporan audit dari emiten (issuers) sebagaimana yang
disyaratkan oleh Sarbones-Oxley Act (SOX) dan peraturan SEC.
4. Seksi 104
Seksi 104 SOX mengatur tentang inspeksi kantor akuntan publik.
Inspeksi pengendalian mutu tahunan harus dilakukan setiap tahun untuk
kantor akuntan publik yang melakukan audit lebih dari 100 emiten. Kantor
akuntan publik yang lain harus diinspeksi paling sedikit 3 tahun sekali.
Inspeksi khusus dapat dilakukan berdasarkan permintaan SEC atau
PCAOB.
5. Seksi 105
Seksi 105 SOX mengatur tentang investigasi dan tindakan
disipliner (disciplinary procedings). Apabila PCAOB telah menentukan
bahwa sebuah kantor akuntan publik melakukan praktik yang melanggar
Sarbanes-Oxley Act (SOX), peraturan-peraturan PCAOB, atau peraturan
pasar modal yang berkaitan dengan penerbitan laporan audit, PCAOB
dapat menjatuhkan sanksi, mencakup suspensi sementara atau pencabutan
(revocation) izin permanen atau dikeluarkan dsari asosiasi akuntan publik,
denda financial, pemberian hukuman (censure), pendidikan atau pelatihan
tambahan, atau sanksi lain yang diberikan berdasarkan peraturan PCAOB.
6. Seksi 201
Seksi 201 mengatur jasa di luar ruang lingkup praktik auditor.
Adalah melanggar hukum bagi sebuah kantor akuntan publik yang
memberikan jasa non audit kepada emiten, yang mencakup:
5
a. Bookkeeping or other services related to the accounting records or
financial statement of the audit client;
b. Financial information systems design and implementation;
c. Appraisal or valuation services, fairness opinions, or contribution-in kind
reports;
d. Actuarial services;
e. Internal audit outsourcing services;
f. Management functions or human resources;
g. Broker or dealer, investment adviser, or investment banking services;
h. Any other services that PCAOB determines, by regulation, is
impermissible.
7. Seksi 203
Seksi 203 SOX mengatur rotasi partner audit. Partner yang mengepalai
atau mengkoordinasi dan partner penelaah (reviewing partner) harus
dirotasikan setiap 5 tahun.
8. Seksi 204
Seksi 204 SOX mengatur tentang laporan auditor kepala komite audit.
Kantor akuntan publik harus melaporkan kepada komite audit semua:
a. Kebijakan dan praktik akuntansi kritikal yang digunakan;
b. Seluruh perlakuan alternatif dari informasi keuangan dalam
prinsip-prinsip akuntansi yang berlaku umum (Generally Accepted
Accounting Principle/GAAP) yang telah didiskusikan dengan
manajemen.
9. Seksi 206
Seksi 206 SOX mengatur tentang benturan kepentingan (conflicts of
interest) CEO, kontr CFO, Chief Accounting Officer atau orang yang berada
dalam posisi ekuivalen tidak boleh dijoleh kantor akuntan publik perusahaan
selam periode satu tahun setelah audit (1 years pepreceding audit).
10. Seksi 207
Seksi 207 SOX mengatur tentang studi keharusan rotasi akuntan
publik terdaftar. GAO melakukan studi atas pengaruh potensial dari
mensyaratkan keharusan rotasi dari kantor akuntan publik.
6
11. Seksi 301
Seksi 301 SOX mengatur tentang komite audit perusahaan publik.
Setiap anggota dari ko audit harus merupakan anggota independen dari board
of directors emiten. Komite audit secara langsung bertanggung jawab atas
penunjukan, kompensasi, dan pengawasan dari pekerja kantor akuntan publik
yang ditunjuk oleh emiten.
12. Seksi 302
SOX’s Act 2002 seksi 302 ini merupakan dokumen penjelasan
manajemen atas internal kontrol yang ada pada perusahaan. Pihak
manajemen yang bertanggungjawab dalam pengungkapan ini adalah
direktur utama dan direktur keuangan perusahaan.
13. Seksi 303
Seksi 303 SOX mengatur tentang pengaruh yang tidak tepat atas
pelaksanaan audit. Adalah dalam hal melanggar hukum bagi setiap pejabat
atau direktur dari emiten melakukan tindakan apapun untuk melaporkan secara
curang mempengaruhi, memaksakan, memanipulasi, atau menyesatkan
siapapun auditor yang ditunjuk dalam pelaksanaan suatu audit dengan tujuan
untuk membuat laporan keuan secara material menyesatkan.
14. Seksi 404
SOX’s Act seksi 404 ini berisi kewajiban bagi manajemen perusahaan
untuk menilai internal control yang sudah dilaksanakan atas laporan
keuangannya;
a. Perusahaan harus mengevaluasi internal kontrol atas laporan
keuangannya setiap tahun. Manajemen harus menyimpulkan
efektifitas dari internal kontrol setiap akhir tahun. Pihak yang
bertanggungjawab untuk mengevaluasi internal kontrol perusahaan
adalah departemen internal control/audit.
b. Akuntan publik yang disewa perusahaan harus menegaskan dan
melaporkan hasil evaluasi atas internal kontrol atas laporan keuangan
perusahaan. Seksi 404 secara khusus memberikan perhatian kepada
internal kontrol perusahaan atas laporan keuangannya. Dalam
mengevaluasi internal kontrol yang dilaksanakan perusahaan,
7
manajemen melalui departemen internal kontrol/audit perlu
menggunakan kerangka yang disusun oleh COSO (Committee of
Sponsoring Organization of the Tradeway Commission).
15. Seksi 407
Seksi 407 SOX mengatur tentang pengungkapan dari keahlian
keuangan komite audit. SEC akan menerbitkan peraturan yang mensyaratkan
emiten mengungkapkan apakah paling sedikit satu anggota dari komite audit
adalah ahli keuangan seperti yang didefinisikan dalam seksi 407 SOX.
16. Seksi 701
Seksi 701 SOX mengatur tentang studi GAO dan laporan yang
berkaitan dengan konsolidasi dari kantor akuntan publik. GAO akan
melakukan studi untuk mengidentifikasi faktor-faktor yang menuntun
konsolidasi kantor akuntan sejak 1989, pengaruh dari konsolidasi atas
pembentukan modal dan pasar ekuitas, dan solusi terhadap setiap masalah
yang diidentifikasi, mencakup cara-cara untuk meningkatkan kompetensi dan
jumlah perusahaan yang mampu untuk menyediakan jasa audit kepada
organisasi usaha besar yang bergantung pada peraturan sekuritas.
17. Seksi 802
Seksi 802 SOX mengatur tentang hukuman kriminal untuk mngubah
dokumen. Adalah tindak pidana yang tergolong berat (felony) secara sengaja
merusak atau menciptakan dokumen untuk menghalangi (impede/obstruct)
atau mempengaruhi setiap investigasi federal yang sedang berlangsung atau
akan diadakan.
18. Seksi 806
Seksi 806 SOX mengatur tentang ”Employee Whistleblower
Protection”. Seksi 806 memungkinkan suatu aksi sipil bagi pekerja
perusahaan publik yang mendapatkan pembalasan (retailiation) dari pemberi
kerja karena mengungkapkan aktivitas illegal. Seksi 806 dari Sarbanes-Oxley
Act melarang perusahaan publik membebaskan (discharging), menurunkan
jabatan (threatening), mengganggu (harassing) atau dengan cara-cara lain
melakukan diskriminasi terhadap setiap pejabat, karyawan, kontraktor,
subkontraktor, atau agen, karena suatu tindakan yang sesuai dengan hukum
8
(lawful act) yang dilakukan oleh orang tersebut, memberikan informasi,
menyebabkan informasi diberikan, ataupun membantu dalam menyelidiki
setiap tindakan tersebut yang melanggar hukum, seperti mail, Wire, bank dan
securities fraud.
19. Seksi 906
Sarbanes Oxley Act section 906 berisi :
a. CEO dan CFO melakukan sertifikasi bahwa, laporan periodik ‘fully
complies’ peraturan yang dikeluarkan oleh US SEC, informasi yang
terkandung pada laporan periodik tersebut disajikan secara wajar,
dalam keseluruhan hal yang material, terhadap kondisi keuangan dan
hasil operasi perusahaan.
b. Hukuman atas penyimpangan dalam section 906 bagi individu yang
secara sadar melakukan penyimpangan dikenakan denda sampai
dengan $1 juta dan hukuman penjara sampai dengan 10 tahun. Dan,
bagi individu yang dengan sengaja dan secara sadar melakukan
penyimpangan, akan dikenakan denda sampai dengan $5 juta dan
hukuman penjara sampai dengan 20 tahun.
20. Seksi 1102
Seksi 1102 SOX mengatur tentang perusakan catatan ataupun
penghilangan acara kerja (official proceeding). Setiap orang yang secara korup
mengubah, merusak (destroy/mutilate) atau menyembunyikan setiap catatan,
dokumen atau objek lain dengan maksud untuk merusak integritas objek
tersebut atau ketersediaanya untuk penggunaan dalam acara kerja pejabat atau
merusak, mempengaruhi atau menghalangi setiap acara kerja pejabat akan
didenda dan/atau dipenjarakan samapai dengan 20 tahun.
D. ERM (Enterprise Risk Management)
Enterprise Risk Management (ERM) adalah “suatu proses yang
dipengaruhi oleh board of director, dan personel lain dari suatu organisasi,
diterapkan dalam setting strategi, dan mencakup organisasi secara keseluruhan,
didesain untuk mengidentifikasi kejadian potensial yang mempengaruhi suatu
9
organisasi, untuk memberikan jaminan yang cukup pantas berkaitan dengan
pencapaian tujuan organisasi” (COSO ERP, 2004).
Dua buah framework Enterprise Risk Management (ERM) adalah COSO
dan RIMS. Keduanya mendeskripsikan pendekatan untuk mengidentifikasi,
menganalisa, bertanggung jawab, dan memonitor risiko ataupun peluang di dalam
maupun di luar lingkungan yang dihadapi perusahaan. COSO memiliki delapan
komponen dan empat kategori objek. Delapan komponen tersebut antara lain:
1. Lingkungan Internal
Komponen ini meliputi sikap manajemen di semua tingkatan
terhadap operasi secara umum dan konsep kontrol secara khusus. Hal ini
mencakup: etika, kompetensi, serta integritas dan kepentingan terhadap
kesejahteraan organisasi. Juga tercakup struktur organisasi serta kebijakan
dan filosofi manajemen. Bagaimanapun, inti dari berbagai kegiatan adalah
orangnya dan lingkungan dimana dia beraktivitas. Faktor manusia yang
dimaksudkan disini adalah atribut yang melekat di orang tersebut,
misalnya: integritas, nilai etika, dan kompetensi. Lingkungan internal
merupakan dasar dari seluruh komponen ERM yang menyajikan disiplin
dan struktur. Lingkungan internal mempengaruhi bagaimana strategi dan
tujuan organisasi ditetapkan, aktivitas kegiatan dibangun, dan bagaimana
risiko diidentifikasi, dinilai, dan ditindaklanjuti. Lingkungan internal juga
mempengaruhi bagaimana desain dan fungsi dari aktivitas pengendalian,
sistem informasi dan komunikasi, dan aktivitas pemantauan. Lingkungan
internal ini terbentuknya sangat dipengaruhi oleh latar belakang sejarah
dan kultur atau budaya orang dan masyarakat sekitar yang membentuknya.
Lingkungan internal terdiri dari berbagai sub komponen, yaitu:
a. Filosofi manajemen risiko yaitu seperangkat keyakinan dan sikap yang
mencirikan bagaimana organisasi memandang risiko organisasi dalam
segala hal;
b. Harapan risiko yang diinginkan (risk appetite) yaitu besaran dan
jumlah risiko yang diharapkan dan diterima organisasi;
c. Pimpinan yaitu struktur, pengalaman, independensi, dan peran
pengawasan (oversight) yang dimainkan.
10
d. Integritas dan nilai etika yaitu preferensi, standar perilaku, dan gaya;
e. Komitmen kompetensi yaitu pengetahuan dan keahlian yang
dibutuhkan untuk melaksanakan tugas dan pekerjaan;
f. Struktur Organisasi yaitu kerangka fungsi manajemen yang berupa
perencanaan, pelaksanaan, pengendalian, dan aktivitas pemantauan;
g. Wewenang dan tanggung jawab yaitu tingkatan dimana individu dan
tim di dalam organisasi memiliki wewenang dan didorong untuk
menggunakan inisiatifnya untuk mengarahkan berbagai hal penting
dan mengatasi permasalahan sebatas wewenang yang dimilikinya;
h. Standar SDM yaitu praktik-praktik berkaitan dengan rekrutasi,
orientasi, training, evaluasi, konseling, promosi, kompensasi, dan
pengambilan tindakan perbaikan yang segera berkaitan dengan
masalah SDM.
2. Penetapan Tujuan
Tujuan ditetapkan pada tingkat strategis yang menjadi dasar untuk
penetapan tujuan operasional. Pelaporan, dan ketaatan. Setiap organisasi
menghadapi berbagai risiko baik yang bersumber dari internal maupun
eksternal. Penetapan tujuan merupakan langkah awal untuk nantinya dapat
mengidentifikasi kejadian, menilai risiko, dan menentukan respon terhadap
risiko.
3. Identifikasi Kejadian
Manajemen mengidentifikasi kejadian potensial yang dapat
mempengaruhi organisasi dalam mencapai tujuannya dan juga memastikan
apakah kejadian yang mempengaruhi kegiatan organisasi dalam mencapai
tujuannya, juga membuka peluang bagi organisasi untuk menerapkan strategi
yang lebih baik dalam upaya untuk mencapai tujuan organisasi. Umumnya,
kejadian yang mengakibatkan dampak negatif merupakan risiko yang harus
dinilai dan direspon manajemen untuk bagaimana mengurangi dampak risiko
yang terjadi dan mencegah kemungkinan terjadinya. Sedangkan kejadian yang
memberikan dampak positif merupakan peluang yang perlu dihubungkan
strategi dan proses pencapaian tujuan.
11
Manajemen perlu mempertimbangkan faktor internal dan eksternal
mengenai kemungkinan terjadinya risiko dan peluang yang dapat
dimanfaatkan organisasi. Dalam mengidentifikasi kejadian (events),
manajemen perlu mempertimbangkan berbagai faktor baik internal maupun
eksternal yang menimbulkan terjadinya risiko ataupun peluang yang
mempengaruhi organisasi dalam pencapaian tujuannya. Berikut beberapa
contoh faktor eksternal yang dipertimbangkan:
a. Ekonomi, seperti perubahan harga, ketersediaan modal, perdagangan
bebas, ekonomi global, dan sebagainya;
b. Lingkungan alam, seperti banjir, kebakaran, gempa bumi, cuaca atau
iklim, dan sebagainya;
c. Politik, seperti pemilihan umum, reformasi pemerintahan, peraturan
perundang-undangan yang baru, dan sebagainya;
d. Sosial, seperti perubahan demografi, kultur budaya dan masyarakat,
gaya hidup individu dan masyarakat, dan sebagainya;
e. Teknologi, seperti perubahan yang cepat peralatan komputer, proses
penyimpanan data, dan sebagainya.
Berikut beberapa contoh faktor internal yang dipertimbangkan:
a. Infrastruktur, seperti peningkatan alokasi modal untuk pemeliharaan
dan dukungan kegiatan operasional, dan sebagainya;
b. Personil, seperti kecelakaan di tempat kerja, kegiatan yang mengarah
pada kecurangan dan pelanggaran, unjuk rasa buruh atau tenaga kerja,
dan sebagainya;
c. Proses, seperti modifikasi proses, kesalahan dalam pemrosesan,
keputusan outsourcing, dan sebagainya;
d. Teknologi, seperti peningkatan sumber-sumber untuk menangani
volume kerentanan yang terjadi, pelanggaran dalam sistem
pengamanan, sistem komputer mengalami kerusakan, dan sebagainya.
4. Penilaian Risiko
Penilaian risiko memungkinkan setiap organisasi untuk
mempertimbangkan luasnya kejadian yang dapat mempengaruhi pencapaian
tujuan organisasi. Untuk menilai kejadian yang dapat menimbulkan risiko,
12
manajemen menilainya dari dua perspektif, yaitu kemungkinan terjadinya
kejadian tersebut (likelihood) dan dampak yang ditimbulkan dari kejadian
tersebut (impact). Dampak dari kejadian harus diuji baik untuk masing-masing
kejadian yang mengandung risiko maupun kelompok risiko yang
mempengaruhi kegiatan untuk pencapaian tujuan organisasi. Risiko dinilai
beik berdasarkan keberadaan risiko yang melekat (inherent risk) maupun
risiko yang tidak dapat dikurangi lagi kemungkinan terjadinya atau dampak
yang ditimbulkan (residual risk).
5. Respon terhadap Risiko (risk response)
Setelah risiko dinilai, manajemen menentukan bagaimana risiko
direspon, yaitu bagaimana tindakan-tindakan dilakukan untuk mengelola
risiko yang terjadi atau berpotensi akan terjadi. Strategi untuk mengelola
risiko terbagi menjadi empat, yaitu:
a. Strategi menghindar (avoidance)
Keluar atau melepaskan diri dari kegiatan yang berisiko.
Upaya-upaya yang dilakukan melalui strategi ini, antara lain:
keluar atau tidak ikut dalam produk atau pelayanan tertentu,
mengurangi perluasan pada areal pasar yang baru, atau
menjual/melepaskan (divestasi) divisi yang mengandung risiko
tinggi;
b. Strategi mengurangi (reduction)
Tindakan yang diambil difokuskan pada bagaimana
mengurangi kemungkinan terjadi, dampak yang ditimbulkan, atau
keduanya atas risiko yang sudah diidentifikasi dan dinilai.
Penerapan pengendalian internal yang efektif merupakan satu
tindakan untuk mengurangi risiko yang terjadi;
c. Strategi membagi/memindahkan (sharing/transfer)
Mengurangi kemungkinan atau dampak risiko dengan
membagi atau memindahkan risiko ke area lain yang risikonya
lebih rendah. Tindakan yang dilakukan meliputi: mengasuransikan
produk, jasa, atau kegiatan yang dilaksanakan, menggunakan jasa
13
pihak lain untuk melakukan kegiatan (outsourcing), dan
sebagainya;
d. Strategi menerima (acceptance)
Tidak ada tindakan yang dilakukan untuk menangani risiko,
baik berkaitan dengan kemungkinan terjadi maupun dampak yang
ditimbulkan. Artinya, kejadian yang terjadi diterima apa adanya.
Umumnya, strategi ini diambil terhadap kegiatan-kegiatan yang
berisiko rendah. Dalam mempertimbangkan strategi mengelola
risiko (risk response) apa yang dipilih, harus dinilai bagaimana
pengaruh kemungkinan risiko dan dampak yang ditimbulkan,
begitu pula pertimbangan biaya dan manfaat yang ditimbulkan.
Strategi mengelola risiko yang dipilih harus mampu menghasilkan
risiko residual dalam batas harapan risiko yang dapat ditolerir atau
diterima. Strategi mengelola risiko yang digunakan harus dapat
membawa risiko dimaksud ke dalam batas risiko yang diharapkan
(risk appetite). Strategi menangani risiko tidak boleh dilakukan
secara individual atau parsial, melainkan harus menempatkan
risiko dalam portofolio, agregat, atau besarannya sebagai satu
keseluruhan di dalam organisasi.
e. Aktivitas Pengendalian
Merupakan kebijakan dan prosedur yang membantu
memastikan bahwa risk response yang dipilih dilaksanakan dengan
memadai. Meskipun aktivitas pengendalian umumnya dikenal
sebagai strategi untuk mengurangi risiko, namun aktivitas
pengendalian tertentu juga dipakai pada strategi risk response lain.
Aktivitas pengendalian dipasangkan di seluruh organisasi, yaitu
disetiap tingkatan maupun fungsi dalam organisasi. Aktivitas
pengendalian dikelompokkan dalam berbagai ccara dan mencakup
areal aktivitas yang mungkin bersifat preventif atau detektif,
manual atau terkomputerisasi, serta di tingkatan proses atau
manajemen.
f. Informasi dan Komunikasi
14
Informasi diidentifikasi, diperoleh, dan dikomunikasikan
dalam bentuk dan kerangka waktu yang tepat dan sesuai sehingga
memungkinkan setiap orang untuk dapat melaksanakan tugas dan
tanggung jawab yang dibebankan kepadanya. Informasi harus
cukup atau sufisien dan konsisten dengan kebutuhan organisasi
untuk mengidentifikasi, menilai, dan merespon atau mengelola
risiko, yaitu dengan tetap dalam batas toleransi risiko yang
ditetapkan. Sistem informasi yang menggunakan data dan
informasi yang umumnya diperoleh dari sumber-sumber eksternal,
menyajikan informasi untuk mengelola risiko dan membuat
keputusan berkenaan dengan tujuan yang ingin dicapai organisasi.
Di samping itu, informasi harus berkualitas dalam rangka untuk
mendukung pengambilan keputusan.
g. Monitoring
Penerapan manajemen risiko (ERM) dimonitor atau
dipantau terus dalam rangka untuk memastikan keberadaannya dan
apakah komponen-komponennya berfungsi dengan memadai setiap
saat. Monitoring dapat dilakukan melalui berbagai bentuk, yaitu:
monitoring terus-menerus (on going), penilaian terpisah (separate
evaluation), atau kombinasi diantara keduanya. Monitoring terus-
menerus terjadi dalam pelaksanaan aktivitas kegiatan yang
dilakukan. Sementara itu, ruang lingkup dan frekuensi penilaian
terpisah tergantung pada hasil penilaian (assessment) risiko dan
efektivitas dari prosedur monitoring terus-menerus yang dilakukan.
15
BAB III
PENUTUP
A. Kesimpulan
Sarbanes Oxley Act bertujuan untuk mengembalikan kepercayaan investor
pasca skandal akuntansi dan kebangkrutan perusahaan2 besar di Amerika. Secara
umum SOA mengatur tentang Akuntansi, pengungkapan dan pembaharuan
governance, yang mensyaratkan adanya pengungkapan yang lebih banyak
mengenai informasi keuangan, keterangan tentang hasil-hasil yang dicapai
manajemen, kode etik bagi pejabat di bidang keuangan, pembatasan komite audit
yang independen, pembatasan kompensasi eksekutif dan lain-lain. Sehingga pada
intinya SOA memberikan persyaratan bagi sebuah perusahaan terhadap
pengendalian internalnya.
Perdebatan mengenai untung rugi penerapan SOA masih terus terjadi. Para
pendukungnya merasa bahwa aturan ini diperlukan dan memegang peranan
penting untuk mengembalikan kepercayaan publik terhadap pasar modal nasional
dengan antara lain memperkuat pengawasan akuntansi perusahaan. Sementara
para penentangnya berkilah bahwa SOA tidak diperlukan dan campur tangan
pemerintah dalam manajemen perusahaan menempatkan perusahaan-perusahaan
pada kerugian kompetitif terhadap perusahaan asing.
16
DAFTAR PUSTAKA
Chan Fhi, (2012). Enterprise Risk Management. http://yuukichan-lovelypink.blogspot.com/2012/10/erm-enterprise-risk-management.html/ (10 April 2013)
Danar , (2011). Pengertian SOX. http://danar-pake.blogspot.com/2011/11/pengertian-sox-sarbanes-oxley-act.html/ (10 April 2013)
Evi, (2012). Sarbanes Oxley Act. http://evi-komalasari.blogspot.com/2012/01/sarbanes-oxley-act.html/ (10 April 2013)
Hidayat Syamsul, (2010). Pengertian ERM dan Normalisasi. http://leonboys.blogspot.com/2010/11/pengertian-erm-dan-normalisasi.html/ (10 April 2013)
Moeller, Robbert R. 2009. “Brink’s Modern Internal Auditing, A Common Body of Knowledge”. John Wiley & Sons, Inc., Hoboken. New Jersey. Canada.
Munandar Asdar, (2012). Penerapan Sox di Indonesia. http://asdarmunandar.blogspot.com/2012/02/penerapan-sarbanes-oxley-di-indonesia.html/ (10 April 2013)
17
