Coso Cobit Sarbox Basel II

D IV STAN
2009
PERBANDINGAN COSO, COBIT,

SARBANES OXLEY ACT,BASEL II, DAN
ISO 17799
Kelas 8 A kelompok 4 :
Dedy Surya Winata (06)
Desi Arya Darmawan (07)
Iduberga Shinta Nur JKJ (12)
Imam Ulil Amri (13)
M. Baiquni (19)
Muhammad Zawawi (20)
Riana Arum (23)
PERBANDINGAN ANTARA :
COSO, COBIT, SARBANES OXLEY ACT, BASEL II, ISO 17799
Pengendalian internal konsep mendasar dan terpenting yang perlu

dipahami auditor, baik eksternal maupun internal. Auditor meninjau lingkup
operasi dan keuangan organisasi dengan tujuan menentukan luas dan
dalamnya pemeriksaan atau mengevaluasi pengendalian internalnya. Berikut
ini adalah beberapa konsep yang berkembang di dunia.
A. COSO
1. Latar Belakang
COSO atau merupakan akronim dari The Committee of Sponsoring
Organizations of The Treadway Commission adalah sebuah organisasi
sektor swasta yang sukarela, didirikan di Amerika Serikat, yang bertujuan
untuk menyediakan panduan kepada manajemen eksekutif dan pengelola
perusahaan tentang aspek-aspek kritis dalam pengelolaan organisasi,
etika bisnis, pengendalian internal, manajemen risiko perusahaan,
kecurangan, dan pelaporan keuangan. COSO telah menerbitkan sebuah
model pengendalian internal yang umum yang dengannya perusahaan
dan organisasi dapat menilai sistem pengendalian mereka.
Karena adanya praktik-praktik kampanye politik dari keuangan

perusahaan dan praktik-praktik korupsi di dalamnya pada pertengahan
dekade 1970-an, SEC di Amerika Serikat dan Kongres AS membuat
reformasi hukum kampanye keuangan dan Foreign Corrupt Practices Act
(FCPA) tahun 1977 yang mengkriminalisasikan praktik penyuapan antar
negara dan mensyaratkan perusahaan-perusahaan untuk
mengimplementasikan program pengendalian internal. Sebagai
responsnya, the Treadway Commission, insiasi sektor swasta, dibentuk
pada tahun 1985 untuk memeriksa, menganalisa, dan membuat
rekomendasi pada kecurangan dari pelaporan keuangan perusahaan.
The Treadwy Commission mempelajari sistem pelaporan informasi

keuangan selama periode Oktober 1985 sampai dengan September 1987
dan mengeluarkan laporan temuan dan rekomendasi pada Oktober 1987
yang berjudul Report of the National Commission on Fraudulent Financial
COSO, COBIT, SARBANES OXLEY ACT, BASEL II, ISO 17799 1

Reporting. Sebagai hasil dari laporan resmi tersebut, COSO dibentuk dan
membayar Coopers & Lybrand, perusahaan CPA utama, untuk
mempelajari masalah-masalah yang ada dan membuat laporan mengenai
kerangka kerja pengendalian internal yang terintegrasi.
Pada bulan September 1992, laporan sebanyak empat volume yang

berjudul Internal Control – Integrated Framework diterbitkan oleh COSO
dan kemudian diterbitkan ulang dengan sedikit perubahan pada tahun
1994. Laporan ini menyajikan definisi umum dari pengendalian internal
dan menyediakan kerangka kerja yang dengannya pengendalian internal
dapat dinilai dan dikembangkan. Laporan ini adalah salah satu standar
yang dipakai perusahaan-perusahaan di Amerika Serikat untuk
mengevaluasi kepatuhan mereka terhadap FCPA. Berdasarkan sebuah
polling oleh majalah CFO yang dikeluarkan pada tahun 2006, 82%
responden mengaku mereka menggunakan kerangka kerja COSO untuk
pengendalian internal. Kerangka kerja lainnya yang digunakan responden
antara lain COBIT, AS2 (Standar Audit No.2, PCAOB), dan SAS 55/78
(AICPA).
2. Pihak yang Berkepentingan (Stakeholder)

Mengaplikasikan model pengendalian internal milik COSO bagi
manajemen tidaklah semudah jika dibandingkan dengan menggunakan
model tradisional. Model tradisonal, yang utamanya menangani
pengendalian keuangan, secara substansial telah meluas. Kerangka kerja
COSO mempertimbangkan tidak hanya evaluasi dari pengendalian yang
keras (hard control), seperti pemisahan fungsi, tetapi juga pengendalian
yang lunak (soft control), seperti kompetensi dan profesionalitas pegawai.
Karena mengaplikasikan COSO tidak semudah apa yang ada di teorinya,
maka belum ada pendekatan yang standar dalam melakukan audit
terhadap pengendalian yang lunak dari COSO seperti integritas dan nilai-
nilai etika dari pegawai, filosofi dan gaya kepemimpinan dari manajemen,
dan keefektifan dari komunikasi. Dari hal tersebut dapat diketahui bahwa
pengaplikasian COSO sesuai dengan yang diteorikan merupakan hal yang
sulit bagi manajemen. Demikian juga bagi auditor internal, audit internal
yang dirancang untuk mempertimbangkan kosep pengendalian COSO

yang baru akan menjadi lebih rumit dibandingkan audit pengendalian
internal yang tradisional.
COSO dan produk-produk yang dihasilkannya merupakan pelindung

bagi investor, pegawai perusahaan, dan pihak-pihak yang berkepentingan
lainnya dari mengalami kerugian dari peristiwa-peritiwa skandal keuangan
yang telah terjadi. COSO memberikan kepastian kepada pihak-pihak
tersebut sehingga mereka memperoleh bagian haknya dengan sesuai.
3. Apa saja yang diatur?

Kerangka kerja COSO terdiri dari beberapa konsep penting, yaitu:
1. Pengendalian internal adalah sebuah proses. Proses itu merupakan alat
untuk mencapai akhir, bukan titik akhir dari proses.
2. Pengendalian internal dipengaruhi oleh orang. Hal itu bukan hanya
kebijakan, petunjuk manual, dan format, melainkan juga orang-orang di
setiap tingkatan dalam organisasi.
3. Pengendalian internal dapat diharapkan untuk menyediakan keyakinan
yang beralasan, bukan keyakinan absolut, bagi manajemen
perusahaan.
4. Pengendalian internal dilengkapi dengan satu atau lebih kategori yang
terpisah namun tumpang tindih untuk pencapaian tujuan tertentu.
Kerangka kerja COSO mendefinisikan pengendalian internal sebagai
sebuah proses, dipengaruhi oleh dewan direksi, manajemen, dan orang-
orang lainnya dalam perusahaan. Menurut COSO, komponen tersebut
menyediakan kerangka kerja yang efektif untuk menggambarkan dan
menganalisa sistem pengendalian internal yang diimplementasikan dalam
sebuah organisasi seperti yang disyaratkan oleh peraturan keuangan.
Manajemen Risiko Perusahaan – Kerangka Kerja yang
Terintegrasi
Pada tahun 2001, COSO menginisiasi sebuah proyek, dan
meminang PricewaterhouseCoopers, untuk membangun sebuah kerangka
kerja yang siap digunakan oleh manajemen untuk mengevaluasi dan
mengembangkan manajemen risiko perusahaan mereka. Kegagalan dan
skandal bisnis tingkat tinggi (contohnya Enron, Tyco International,
Adelphia, Peregrine Systems, dan WorldCom) merupakan penggilan untuk
mengembangkan menajemen risiko dan pengelolaan perusahaan. Sebagai

hasilnya, akte Sarbanes-Oxley diterbitkan. Peraturan tersebut memperluas
persyaratan jangka panjang dari perusahaan publik untuk menjaga sistem
pengendalian internalnya, mensyaratkan manajemen untuk mengakui dan
auditor independen untuk menguji kefektifan sistem tersebut.
Pengendalian internal – kerangka kerja yang terintegrasi terus melayani
sebagai standar yang diterima secara luas untuk mencapai persyaratan-
persyaratan laporan tersebut, bagaimanapun juga, pada tahun 2004
COSO menerbitkan manajemen risiko perusahaan – karangka kerja yang
terintegrasi. COSO percaya kerangka kerja ini memperluas pengendalian
internal, menyediakan fokus yang lebih kuat dan ekstensif dalam subjek
yang lebih luas dari manajemen risiko perusahaan.
Empat Kategori dari Tujuan Bisnis
Kerangka kerja manajemen risiko perusahaan ini masih diperalati
untuk pencapaian tujuan-tujuan perusahaan; bagaimanapun juga
sekarang ini terdiri dari empat kategori, yaitu:
a. Stratejik: sasaran-sasaran tingkat tinggi, dihubungkan dengan dan
membantu misi perusahaan.
b. Operasi: penggunaan sumber daya perusahaan secara efektif dan
efisien.
c. Pelaporan: reliabilitas dari pelaporan.
d. Kepatuhan: kepatuhan terhadap hukum dan peraturan yang berlaku.
4. Konsep Pengendalian
Kerangka kerja COSO mendefinisikan pengendalian internal sebagai
sebuah proses, dipengaruhi oleh dewan direksi, manajemen, dan orang-
orang lainnya dalam perusahaan. Menurut COSO, komponen tersebut
menyediakan kerangka kerja yang efektif untuk menggambarkan dan
menganalisa sistem pengendalian internal yang diimplementasikan dalam
sebuah organisasi seperti yang disyaratkan oleh peraturan keuangan.
Kelima komponen pengendalian internal sebagai berikut:
a. Lingkungan pengendalian: Lingkungan pengendalian

membentuk irama dari sebuah organisasi, mempengaruhi kesadaran
pengendalian dari para anggotanya. Hal ini merupakan dasar untuk
keempat komponen pengendalian internal yang lainnya, yang
menyediakan struktur dan disipilin. Faktor lingkungan pengendalian

terdiri dari integritas, nilai-nilai etika, gaya kepemompinan manajemen,
delegasi sistem kekuasaan, sebagaimana juga proses untuk mengatur
dan mengembangkan sumber daya manusia dalam organisasi.
b. Pengukuran risiko: Setiap organisasi menghadapi berbagai

macam risiko dari sumber-sumber eksternal dan internal yang harus
diukur. Prakondisi untuk pengukuran risiko adalah menetapkan tujuan
dan pengukuran risiko tersebut merupakan identifikasi dan analisa dari
risiko-risiko yang relevan dalam pencapaian tujuan yang telah
ditetapkan. Pengukuran risiko diwajibkan untuk menentukan
bagaimana risiko harus dikelola.
c. Aktivitas pengendalian: Kegiatan-kegiatan pengendalian

merupakan kebijakan-kebijakan dan prosedur-prosedur yang
membantu memastikan tujuan manajemen tercapai. Aktivitas
pengendalian membantu memastikan bahwa tindakan-tindakan yang
diperlukan telah diambil untuk mengelola risiko yang dapat
menghambat pencapaian tujuan organisasi. Aktivitas pengendalian
terjadi pada seluruh tingkatan dan fungsi organisasi. Aktivitas
pengendalian mengandung beberapa kegiatan yang berbeda seperti
penyetujuan, otorisasi, verifikasi, rekonsiliasi, reviu terhadap kinerja
operasional, keamanan aset, dan pemisahan kewenangan.
d. Informasi dan komunikasi: Sistem informasi merupakan peran

kunci dalam sistem pengendalian internal disebabkan sistem tersebut
menghasilkan laporan, termasuk operasional, keuangan dan informasi-
informasi yang beruhubungan lainnya, yang memungkinkan sistem ini
membantu menjalankan dan mengendalikan bisnis. Dalam pandangan
yang lebih luas, komunikasi yang efektif harus memastikan informasi
mengalir dengan lancar ke sluruh aspek organisasi. Komunikasi yang
efektif harus juga dapat memberi keyakinan kepada pihak-pihak
eksternal, seperti pelanggan, pemasok, pembuat peraturan, dan
pemegang saham, tentang posisi kebijakan yang terkait.
e. Pemantauan: Sistem pengendalian internal harus dipantau –

sebuah proses yang mengukur kualitas kinerja sistem dalam jangka
waktu tertentu. Hal tersebut terpenuhi melalui pemantauan yang terus
menerus atau evaluasi yang terpisah. Kelemahan pengendalian
internal yang dapat ditemukan melaui kegiatan pemantauan tersebut

harus dilaporkan ke tingkat yang paling atas dan tindakan perbaikan
harus diambil untuk memastikan pengembangan sistem yang
berkesinambungan.
5. Hal- hal yang bisa diterapkan di Indonesia

Definisi pengendalian interen yang dirumuskan oleh COSO, di
Indonesia diadopsi dalam SPAP yang dikeluarkan oleh Ikatan Akuntan
Indonesia. Dalam SPAP SA Seksi 319, pengendalian interen adalah suatu
proses yang dilakukan oleh dewan komisaris, manajemen dan personil
dari suatu entitas yang dirancang untuk memberikan kepastian yang
memadai bahwa tujuan organisasi berupa efektivitas dan efisiensi usaha,
pelaporan keuangan yang dapat diandalkan, dan ketaatan pada peraturan
dan perundangan yang berlaku dapat dicapai.
Risk appetite berkaitan dengan level risiko yang ditentukan oleh
organisasi. Implementasi risk appetite dapat dicontohkan pada penerapan
jalur hijau oleh Kantor Pelayanan Bea dan Cukai (KPBC) atas barang impor
yang menurut ketentuan tidak diperiksa oleh petugas verifikasi KPBC.
Tidak dilakukannya pemeriksaan berpeluang pada penyeludupan barang
impor yang seharusnya dikenakan pajak dan bea masuk yang lebih tinggi
dari yang dilaporkan yang berpotensi merugikan negara sebesar 5% dari
total penerimaan. Kerugian 5% tersebut adalah kerugian yang telah
diperkirakan dari penerapan jalur hijau yang bertujuan mengoptimalkan
pelayanan, dan dipandang wajar untuk aktivitas pabean secara
internasional.
DI Indonesia , bagi BUMN keharusan penyelenggaraan internal
control berbasis framework COSO (internal control COSO) tertuang dalam
pasal 22 Keputusan Menteri BUMN Nomor Kep-117/M-MBU/2002 tentang
penerapan good governance pada Badan Usaha Milik Negara (BUMN).
Produk Internal Contol COSO untuk BUMN/D yang dikembangkan BPKP
secara bertahap saat ini masih berupa I.C level aktivitas Pengadaan
Barang dan Jasa (PBJ) pada BUMN/D. Sedangkan untuk produk I. C. Level
entitas laporan keuangan BUMN/D masih tahap pengembangan konsep
awal.
B. COBIT

1. Latar Belakang
Control Objectives of Information and Related Technology (COBIT)
merupakan suatu metodologi yang terdiri dari standar dan pengendalian
yang dibuat untuk membantu organisasi dalam implementasi, review,
administrasi, dan pemantauan lingkungan teknologi informasi.
COBIT (Control Objectives of Information and Related Technology)

merupakan seperangkat alat bagi managemen IT yang diciptakan oleh
Information System Audit and Control Association (ISACA) dan IT
Governance Institute (ITGI) pada tahun 1992, dengan misi untuk
mengembangkan, melakukan riset, dan mempublikasikan suatu standar
teknologi informasi yang diterima umum dan selalu up to date untuk
digunakan dalam kegiatan bisnis sehari-hari.
COBIT pertama kali diluncurkan pada tahun 1996. COBIT edisi

keempat merupakan versi terakhir dari tujuan pengendalian untuk
informasi dan teknologi terkait, release pertama diluncurkan oleh yayasan
ISACF pada tahun 1996. COBIT edisi kedua, merefleksikan suatu
peningkatan sejumlah dokumen sumber, revisi pada tingkat tinggi dan
tujuan pengendalian rinci dan tambahan seperangkat alat implementasi
(implementation tool set), yang telah dipublikasikan pada tahun 1998.
COBIT pada edisi ketiga ditandai dengan masuknya penerbit utama baru
COBIT yaitu Institut IT Governance.
Institut IT Governance dibentuk oleh ISACA dan yayasan terkait

pada tahun 1998 dan memberikan pemahaman lebih dan mengadopsi
prinsip-prinsip pengaturan TI. Melalui penambahan pedoman manajemen
(management guidelines) untuk COBIT edisi ketiga dikeluarkan pada
tahun 2000. Dalam edisi ini terdapat penambahan yang meliputi pedoman
bagi manajemen untuk menerapkan COBIT dan fokusnya diperluas dan
ditingkatkan pada IT Governance. Institut IT Governance mengambil
peranan yang penting dalam pengembangan publikasi.

Manajemen harus memutuskan apa yang harus diinvestasikan
untuk pengendalian dan keamanan IT dan bagaimana cara
menyeimbangkan risiko dan mengendalikan dalam lingkungan IT yang
tidak bisa diramalkan. Pengendalian dan pengamanan sistem informasi
dapat membantu mengelola risiko tetapi tidak dapat menghapuskan risiko

sama sekali. Tingkat risiko tidak pernah dapat diketahui secara tepat
karena selalu ada ketidakpastian.
Para pemakai jasa IT ingin memperoleh keyakinan akan adanya
pengendalian dan pengamanan yang cukup, melalui akreditasi dan audit
jasa IT yang disediakan oleh pihak internal maupun oleh pihak ketiga.
Untuk meningkatkan kualitas opini audit dan menyediakan usulan
perbaikan pengendalian intern kepada manajemen. Auditor
menggunakan kerangka COBIT dalam melakukan audit yaitu dengan cara:
a) membentuk dasar dan standar pengendalian
b) memfasilitasi dan membuat matriks kinerja untuk penilaian risiko
c) mengembangkan rencana audit
d) memfasilitasi audit
e) mengelola risiko residual
f) memberikan saran pengendalian dan rekomendasi kepada
manajemen

Domain merupakan pengelompokkan secara alami dari proses IT,
dan sering sesuai dengan domain tanggung jawab perusahaan. Dalam
suatu organisasi, COBIT menggambarkan empat domain khusus:
a. Planning and organization
Domain ini mencakup strategi dan taktik, dan perhatian atas
identifikasi bagaimana IT secara maksimal dapat berkontribusi dalam
pencapaian tujuan bisnis. Selain itu, realisasi dari visi strategis perlu
direncanakan, dikomunikasikan, dan dikelola untuk berbagai perspektif
yang berbeda. Terakhir, sebuah pengorganisasian yang baik serta
infrastruktur teknologi harus di tempatkan di tempat yang semestinya.
Langkah-langkah:
 Menetapkan rencana stratejik TI
 Menetapkan susunan informasi
 Menetapkan kebijakan teknologi
 Menetapkan hubungan dan organisasi TI
 Mengelola investasi IT
 Mengkomunikasikan arah dan tujuan manajemen
 Mengelola sumberdaya manusia
 Memastikan pemenuhan keperluan pihak eksternal
 Menaksir risiko
 Mengelola proyek
 Mengelola kualitas
b. Acquisition dan implementation

Untuk merealisasikan strategi IT, solusi TI perlu diidentifikasi,
dikembangkan atau diperoleh, serta diimplementasikan, dan
terintegrasi ke dalam proses bisnis. Selain itu, perubahan serta
pemeliharaan sistem yang ada harus di cakup dalam domain ini untuk
memastikan bahwa siklus hidup akan terus berlangsung untuk sistem-
sistem ini.
Langkah-langkah :
 Mengidentifikasi solusi terotomatisasi
 Mendapatkan dan memelihara software aplikasi
 Mendapatkan dan memelihara infrastruktur teknologi
 Mengembangkan dan memelihara prosedur
 Memasang dan mengakui sistem
 Mengelola perubahan
c. Delivery and Support

Domain ini memberikan fokus utama pada aspek
penyampaian/pengiriman dari IT. Domain ini mencakup area-area
seperti pengoperasian aplikasi-aplikasi dalam sistem IT dan hasilnya,
dan juga, proses dukungan yang memungkinkan pengoperasian sistem
IT tersebut dengan efektif dan efisien. Proses dukungan ini termasuk
isu/masalah keamanan dan juga pelatihan.
Langkah-langkah :
 Menetapkan dan mengelola tingkat pelayanan
 Mengelola pelayanan kepada pihak lain
 Mengelola kinerja dan kapasitas
 Memastikan pelayanan yang kontinyu
 Memastikan keamanan sistem
 Melakukan identifikasi terhadap atribut biaya
 Memberi pelatihan kepada user
 Melayani konsumen IT
 Mengelola konfigurasi/susunan
 Mengelola masalah dan kecelakaan
 Mengelola data
 Mengelola fasilitas
 Mengelola operasi
d. Monitoring

Semua proses IT perlu dinilai secara teratur sepanjang waktu
untuk menjaga kualitas dan pemenuhan atas syarat pengendalian.
Domain ini menunjuk pada perlunya pengawasan manajemen atas
proses pengendalian dalam organisasi serta penilaian independen yang
dilakukan baik auditor internal maupun eksternal atau diperoleh dari
sumber-sumber anternatif lainnya.
Langkah-langkah:
 Memonitor proses
 Menaksir kecukupan pengendalian internal
 Mendapatkan kepastian yang independen
COBIT melihat pengendalian dalam tiga dimensi berbeda yaitu
sumber IT (resources), proses IT, dan kriteria informasi IT. Tiga dimensi
tersebut dimasukkan dalam suatu bentuk yang disebut COBIT Cube.
a. Dimensi pertama : IT Roecources
Sisi sumber IT, atau dimensi pertama dari kotak COBIT

menggambarkan semua asset IT suatu perusahaan, termasuk
orangnya, system aplikasinya, teknologi yang digunakan, fasilitas dan
nilai suatu data. Sumberdaya TI yang diidentifikasikan dalam COBIT
dapat diterangkan atau diidentifikasikan sebagai berikut :
1) Data, adalah obyek-obyek dalam pengertian yang lebih luas

(yakni internal dan eksternal), terstruktur dan tidak terstruktur,
grafik, suara dan sebagainya.
2) Sistem aplikasi, dipahami untuk menyimpulkan atau meringkas,

baik prosedur manual maupun yang terprogram.
3) Teknologi, mencakup hardware, sistem operasi, sistem

manajemen database, jaringan (networking), multimedia, dan lain-
lain.
4) Fasilitas, adalah semua sumber daya untuk menyimpan dan

mendukung sistem informasi.
5) Manusia termasuk staf ahli, kesadaran dan produktivitas untuk

merencanakan, mengorganisasikan atau melaksanakan,
memperoleh, menyampaikan, mendukung dan memantau layanan
sistem informasi.
b. Dimensi kedua : IT Process IT

Terdiri dari tiga segmen, yaitu domain, proses, dan aktivitas.
Domain COBIT sebagaimana telah disebutkan di atas, merupakan
bentuk pengelompokkan dari 34 pengendalian sasaran tingkat atas
yang menjadi acuan dalam proses pengendalian.
Pengelompokkan pengendalian sasaran tingkat atas tersebut
meliputi:
1. Perencanaan dan Organisasi
 Mendefinisikan rencana strategis IT
 Mendefinisikan arsitektur informasi
 Menentukan petunjuk teknologis
 Mengatur investasi IT
 Mengkomunikasikan petunjuk dan tujuan manajemen
 Mengelola sumberdaya manusia
 Meyakinkan kepatuhan terhadap hubungan luar
 Menetapkan risiko
 Mengelola proyek-proyek
 Menjaga kualitas
2. Akuisisi dan Implementasi
 Mengidentifikasikan solusi otomatis
 Memperoleh dan menerapkan aplikasi perangkat lunak
 Memperoleh dan merawat infrastruktur teknologi
 Mengembangkan dan mengelola prosedur
 Memasang dan mempercayakan
 Mengelola peluang
3. Delivery and Support
 Menentukan dan mengelola tingkatan jasa
 Mengelola jasa-jasa pihak ketiga
 Mengelola penampilan dan kapasitas
 Meyakinkan servis yang berkelanjutan
 Meyakinkan keamanan sistem
 Mengidentifikasi dan mengalokasikan biaya
 Mendidik dan melatih pengguna
 Mendukung dan memberitahukan kepada pelanggan

 Mengelola konfigurasi
 Mengelola masalah-masalah dan kejadian-kejadian
 Mengelola data
 Mengelola fasilitas
 Mengelola operasi
4. monitoring
 mengawasi proses
 mengawasi kecukupan pengendalian internal
 mendapatkan keyakinan yang independen
 menyiapkan audit yang independen
c. Dimensi Ketiga : information criteria

Kriteria informasi merupakan satu set faktor yang terdiri dari:
1. Efektifitas,
2. Efisiensi,
3. Kerahasiaan,
4. Integritas,
5. Ketersediaan,
6. Kepatuhan,
7. Keandalan.
information criteria
• effectiveness
BusinessProcesses • efficiency
• confidentiality
• integrity
• availability
• compliance
• reliability
ITResources
• data
• applications
• technology
• facilites
• people
Monitoring
Planing&
Organisation
Delivery&
Support
Acquisition&
Implementation

COBIT bisa diterapkan di semua perusahaan yang mempunyai IT.
Namun sayang, perlu investasi yang besar untuk IT dan biasanya hanya
dilakukan oleh perusahaan yang besar saja.
C. SARBANES OXLEY ACT

1. Latar Belakang
Sarbanes-Oxley of 2002 adalah nama lain dari undang-undang
reformasi perlindungan investor (The Public Company Accounting Reform
and Investor Protection Act of 2002) yang ditandatangani pada 30 Juli
2002. Akta ini diberi nama berdasarkan orang yang mengusulkannya:
Senator Paul Sarbanes dari Maryland dan Representatif Michael Oxley dari
Ohio, dan kadang disingkat menjadi SOx atau Sarbox atau SOA. Undang-
undang ini disetujui oleh Dewan dengan suara 423-3 dan oleh Senat
dengan suara 99-0 serta disahkan menjadi hukum oleh Presiden George
W. Bush.
Undang-undang ini dikeluarkan sebagai respons Kongres Amerika

Serikat terhadap berbagai skandal akuntansi pada beberapa korporasi
besar seperti: Enron, WorldCom (MCI), Tyco International, Adelphia, Xerox,
dan Peregrine Systems; yang juga melibatkan KAP yang termasuk dalam
“the big five” seperti Arthur Andersen. Para pucuk pimpinan dan akuntan
publik tersebut melakukan rekayasa keuangan yang sangat merugikan
para pemegang saham.Skandal-skandal ini menyebabkan kerugian
bilyunan dolar bagi investor karena runtuhnya harga saham perusahaan-
perusahaan yang terpengaruh dan menimbulkan kepanikan luar biasa di
kalangan dunia usaha, serta mengguncang kepercayaan masyarakat
terhadap pasar saham nasional. Masyarakat memiliki sentimen negatif
terhadap sistem penyusunan dan pemeriksaan laporan keuangan dan
mengangap kasus-kasus tersebut merupakan puncak dari kebobrokan
perusahaan-perusahaan di Amerika Serikat. Kepercayaan publik sebagai
salah satu pilar mekanisme pasar modal telah rusak dan butuh usaha
keras untuk memulihkannya kembali. Semua skandal ini merupakan
contoh tragis bagaimana fraud schemes berdampak sangat buruk
terhadap pasar, stakeholders dan para pegawai.

Belajar dari pengalaman itulah, para regulator Amerika Serikat
menyusun Sarbanes-Oxley Act untuk mencegah terulangnya kejadian
serupa. Konggres berangapan bahwa skandal-skandal keuangan tersebut
tidak bisa dilihat sebagai kasus, namun sebuah indikasi perlunya sebuah
peraturan yang lebih ketat yang mengatur penyiapan dan pemeriksaan
laporan keuangan. Dengan ditetapkan peraturan tersebut diharapkan
kepercayaan publik bisa pulih lagi sehingga resesi keuangan yang terjadi
di tahun 1929 tidak terjadi lagi.
Tujuan utama Sarbox adalah meningkatkan kepercayaan publik

terhadap implementasi prinsip pertanggungjawaban keuangan
perusahaan publik (good corporate governance - GCG) bagi perusahaan
yang telah go publik. Perundang-undangan ini menetapkan suatu standar
baru dan lebih baik bagi semua dewan dan manajemen perusahaan publik
serta kantor akuntan publik (KAP) walaupun tidak berlaku bagi
perusahaan tertutup. Sarbox diharapkan akan meningkatkan standar
akuntabilitas korporasi, transparansi dalam pelaporan keuangan,
memperkecil kemungkinan bagi perusahaan atau organisasi untuk
melakukan dan menyembunyikan fraud, serta membuat perhatian pada
tingkat sangat tinggi terhadap corporate governance. Dalam Sarbanex-
Oxley Act diatur tentang akuntansi, pengungkapan dan pembaharuan
tatakelola, yang mensyaratkan adanya pengungkapan yang lebih banyak
mengenai informasi keuangan, keterangan tentang hasil-hasil yang
dicapai manajemen, kode etik bagi pejabat di bidang keuangan,
pembatasan kompensasi ekskutif dan pembentukan komite audit yang
independen.
Perdebatan dan kontroversi mengenai untung rugi penerapan

Sarbox masih terus terjadi. Para pendukungnya merasa bahwa aturan ini
diperlukan dan memegang peranan penting untuk mengembalikan
kepercayaan publik terhadap pasar modal nasional dengan antara lain
memperkuat pengawasan akuntansi perusahaan. Sementara para
penentangnya berkilah bahwa Sarbox tidak diperlukan dan campur tangan
pemerintah dalam manajemen perusahaan menempatkan perusahaan-
perusahaan AS pada kerugian kompetitif terhadap perusahaan asing.
Manfaat Sarbox secara langsung berdampak positif dalam rangka

implementasi GCG di perusahaan publik di berbagai belahan dunia
lainnya.

Sarbanes-Oxley Act 2002 memiliki dampak yang cukup serius bagi
perusahaan yang listed di Bursa Saham Amerika Serikat (NYSE dan
NASDAQ) dan berbagai profesi penunjang pasar modal. Pihak-pihak yang
kena dampak langsung dan memperoleh tambahan beban/tugas atas
diberlakukan Sarbanes-Oxley Act diantaranya:
• Akuntan publik bersertifikat (Certified Public Accountants -CPA) dan

Kantor Akuntan Publik yang memeriksa perusahaan publik Amerika
Serikat (AS), baik berada dalam yuridikasi AS maupun tidak;
• Perusahaan yang listed di bursa Amerika Serikat (terutama manajemen,

termasuk dewan perusahaan, direksi, karyawan, dan pemegang
saham);
• Pengacara yang berpraktik untuk perusahaan publik;
• Perantara, penyalur, investor perbankan serta analis keuangan.

Sarbox terdiri dari 11 judul atau bagian dan dijabarkan lagi dalam
66 sectionyang menetapkan hal-hal mulai dari tanggung jawab tambahan
Dewan Perusahaan hingga hukuman pidana, sebagai berikut: .
TITLE I : PUBLIC COMPANY ACCOUNTING OVERSIGHT BOARD (9

section)
TITLE II : AUDITOR INDEPENDENCE (9 section)
TITLE III : CORPORATE RESPONSIBILITY (8 section)
TITLE IV : ENHANCED FINANCIAL DISCLOSURES (9 section)
TITLE V : ANALYST CONFLICTS OF INTEREST (1 section)
TITLE VI : COMMISSION RESOURCES AND AUTHORITY (4 section)
TITLE VII : STUDIES AND REPORTS (5 section)
TITLE VIII: CORPORATE AND CRIMINAL FRAUD ACCOUNTABILITY (7

section)
TITLE IX : WHITE-COLLAR CRIME PENALTY ENHANCEMENTS (6 section)

TITLE X : CORPORATE TAX RETURNS (1 section)
TITLE XI : CORPORATE FRAUD AND ACCOUNTABILITY (7 section)
Dalam Sarbanes-Oxley Act diatur tentang akuntansi, pengungkapan

dan pembaharuan governance; yang mensyaratkan adanya pengungkapan
yang lebih banyak mengenai informasi keuangan, keterangan tentang hasil-
hasil yang dicapai manajemen, kode etik bagi pejabat di bidang keuangan,
pembatasan kompensasi eksekutif, dan pembentukan komite audit yang
independen. Selain itu diatur pula mengenai hal-hal sebagai berikut:
• Mendirikan the Public Company Accounting Oversight Board, sebuah
dewan yang independen dan bekerja full-time bagi pelaku pasar modal
• Menetapkan beberapa tanggung jawab baru kepada dewan komisaris,
komite audit dan pihak manajemen
• Penambahan tanggung jawab dan anggaran SEC secara signifikan
• Mendefinisikan jasa non-audit yang tidak boleh diberikan oleh KAP kepada
klien
• Memperbesar hukuman bagi terjadinya corporate fraud
• Mensyaratkan adanya aturan mengenai cara menghadapi conflicts of
interest
• Menetapkan beberapa persyaratan pelaporan yang baru.
a. Public Company Accounting Oversight Board (PCAOB)

Dewan ini dibentuk berdasarkan amanat Sarbanes-Oxley Act Title I.
PCAOB dibentuk untuk mengawasi proses penyusunan, pemeriksaan dan
pelaporan laporan keuangan perusahaan publik di Amerika Serikat. Dewan ini
mempunyai 5 orang anggota yang dipilih oleh SEC setelah berkonsultasi
dengan Menteri Keuangan (Secretary of Treasury) dan Gubernur Bank Sentral
(Chairman of the Federal Reserve Board). Masa tugas dari badan tersebut
adalah 5 tahun dan dapat tidak dapat dipilih lagi setelah dua periode.
Terdapat pembatasan atas keanggotaan tersebut, yaitu hanya dua orang CPA
yang boleh menjadi anggota Badan ini pada waktu yang bersamaan, dan
mereka tidak boleh berpraktik sebagai CPA selama 5 tahun terakhir sebelum
menjabat sebagai anggota PCAOB.
Tugas-tugas dari PCAOB adalah:
1) Melakukan registrasi terhadap KAP yang melakukan pemeriksaan terhadap
perusaaan yang mencatatkan bursanya pasar modal (perusahaan public)
 (Section 102)
2) Menetapkan atau mengadopsi, atau melakukan keduanya: standar audit,
quality control, etika, independensi, dan beberapa standar lain yang
berkaitan dengan proses penyusunan laporan audit untuk perusahaan
public. (Section 103)
3) Melaksanakan inspeksi terhadap KAP-KAP (Section 104)
4) Melakukan investigasi, penegakan disiplin dan pengenaan sanksi terhadap

KAP dan partner dari KAP yang melakukan pelanggaran. (Section 105)
5) Melakukan tugas-tugas dan fungsi-fungsi lain sebagai dewan yang
dianggap perlu untuk meningkatkan standar professional pada KAP dan
pihak terkait untuk melindungi kepentingan investor dan publik.
6) Menegakkan ketaatan terhadap Akta ini, aturan Badan, standar
professional dan hukum.
7) Menetapkan anggaran dan mengelola operasional Badan dan staf-stafnya.
b. INDEPENDENSI AUDITOR
Setiap KAP, baik yang beroperasi di USA atau di luar negeri, yang ikut
serta dalam penyiapan dan penerbitan laporan audit perusahaan publik wajib
terdaftar pada PCAOB. Biaya pendaftaran dan pembayaran iuran tahunan
yang dipungut dari masing-masing KAP terdaftar dipergunakan untuk
menutupi biaya pemrosesan dan review aplikasi pendaftaran dan laporan
tahunan yang disampaikan KAP terdaftar kepada Badan Pengawas. Melalui
kewajiban ini, KAP yang terdaftar diwajibkan memelihara kertas kerja audit
dan informasi serta dokumen lainnya yang berkaitan dengan laporan audit
minimal tujuh tahun.
Jasa Tambahan yang Tidak Diperbolehkan.

Untuk menjaga independensi auditor maka sebuah kantor akuntan
publik atau perseorangan yang berasosiasi dengan kantor tersebut apabila
mendapatkan penugasan audit maka dilarang untuk melayani jasa tambahan
berikut ini (Section 201):
1) Jasa pembukuan dan jasa lain yang terkait dengan laporan keuangan dan
akuntansi klien audit.
2) Desain sistem informasi keuangan dan pemasangannya
3) Apraisal atau jasa penilaian lain
4) Jasa aktuaria
5) Outsourcing jasa audit internal
6) Fungsi manajemen atau personalia
7) Menjadi pialang, penasehat investasi atau jasa konsultasi investasi
perbankan
8) Jasa hukum dan jasa tenaga ahli lainnya yang tidak terkait dengan audit.
9) Jasa lain yang ditentukan oleh PCAOB
Kantor akuntan publik bisa melakukan jasa lain, kecuali jasa 1-9 diatas,
termasuk jasa perpajakan, dengan mendapatkan persetujuan dari Komite
Audit terlebih dahulu.
Selain aturan mengenai jasa yang tidak diperbolehkan, terdapat
beberapa aturan lain untuk menjaga independensi sebagai berikut:
1) Setiap jasa audit yang diberikan kepada emiten harus terlebih dulu
mendapatkan persetujuan dari Komite Audit.
2) Setiap persetujuan komite audit atas pemberian jasa non audit oleh KAP
yang memberikan jasa audit harus diungkapkan dalam pelaporan kepada

SEC.
3) Rotasi partner dilakukan setiap 5 tahun sekali untuk satu klien yang sama
dimulai dari tahun fiscal 6 Mei 2003 kecuali sebelumnya telah menjadi
partner audit klien tersebut selama 7 tahun berturut-turut.
4) Auditor harus melaporkan kebijakan dan praktek akuntansi yang penting
(critical), alternatif pencatatan sesuai GAAP terkait dengan isu penting
dalam audit, serta materi lain yang dibahas (komunikasi tertulis) antara
auditor dan manajemen.
5) Laporan keuangan harus mengungkapkan fee untuk auditor baik untuk
jasa pemeriksaan, jasa lain yang terkait audit, jasa perpajakan, dan jasa
yang lainnya.
6) Seorang auditor tidak boleh menjabat sebagai anggota dewan direktur,
CEO, CFO, COO, CAO, controller, direktur audit intern dan jabatan-jabatan
lainnya tanpa ada tenggang waktu karir.
7) Partner KAP tidak boleh menerima kompensasi dari klien selain jasa audit,
perpajakan dan jasa atestasi lainnya.
c. CORPORATE RESPONSIBILITY
Komite Audit
Selain KAP, ada kewajiban yang harus dipenuhi oleh setiap emiten.di mana
mereka harus memiliki Komite Audit, sesuai dengan ketentuan sebagai
berikut: perusahaan yang tidak memiliki komite audit tidak boleh terdaftar di
bursa efek. Komite Audit mempunyai tanggung jawab sebagai berikut:
• Melakukan seleksi/penunjukan dan menentukan kompensasi (fee) serta
mengawasi KAP yang mengaudit korporasi .
• Menjadi anggota independen dalam dewan komisaris .
• Menyelenggarakan prosedur untuk menangani komplain-komplain yang
berkaitan dengan akuntansi, pengendalian internal, dan hal-hal lain yang
berkaitan dengan audit.
• Menelaah dan menyetujui jasa audit dan jasa-jasa lain yang diberikan oleh
KAP.
• Mengembankan program penanganan whistleblower bagi pegawai atau
pengadu yang melaporkan terjadinya penyimpangan untuk memperoleh
perlindungan dan mencegah tindakan pembalasan.
Untuk anggota komite audit independen harus memenuhi persyaratan

sebagai berikut: tidak menerima fee untuk kegiatan konsultasi, advisery atau
jasa lainnya yang diberikan kepada perusahaan, bukan merupakan pegawai
dari perusahaan atau anak perusahaan, serta boleh dibantu oleh tenaga ahli.
Pengungkapan Laporan Keuangan
Ketentuan ini mengatur direksi, karyawan, dan dewan komisaris dalam

kaitannya dengan perannya masing-masing. Direksi, karyawan, komisaris

tidak boleh melakukan pembohongan terhadap KAP. Mereka yang bertindak
atas nama perusahaan tidak boleh mempengaruhi secara curang, memaksa,
memanipulasi atau menyesatkan KAP yang mendapat penugasan audit,
melalui PCAOB, SEC diminta mengeluarkan ketentuan yang terkait dengan
kode etik bagi petugas/pejabat bagian keuangan. selain itu, SEC juga
mengeluarkan aturan yang mewajibkan salah seorang anggota komite audit
perusahaan emiten harus memiliki keahlian di bidang keuangan.
Hal itu dikaitkan dengan tanggung jawab perusahaan berkaitan dengan

pelaporan keuangan. CEO, CFO dan pejabat lain yang mempunyai fungsi yang
serupa perlu memberikan pernyataan di dalam laporan triwulan dan laporan
tahunan perusahaan yang disampaikan kepada SEC bahwa: Pejabat yang
menandatangani laporan telah mereview laporan tersebut. Berdasarkan
pengetahuan pejabat yang bersangkutan, laporan tidak berisikan pernyataan
yang tidak benar mengenai fakta-fakta yang material atau tidak melaporkan
fakta-fakta yang material sehingga laporan perusahaan memuat informasi
yang menyesatkan , atau dengan kata lain telah menyajikan secara wajar
semua kondisi dan hasil operasi perusahaan yang material.
SEC mengeluarkan beberapa peraturan baru terkait dengan

pengungkapan laporan keuangan yang lebih transparan dan tepat waktu bagi
para investor sebagai berikut:
 Semua koreksi keuangan yang material harus terungkap dalam
laporan keuangan.
 Pengungkapan tambahan terhadap pengungkapan-pengungkapan yang
tidak disyaratkan oleh GAAP, antara lain, core earnings, free cash flow,
EBITDA, dan pre-FAS 133 income. Pengungkapan informasi tambahan
tersebut bisa dicantumkan di laporan tahunan, laporan tertulis lainnya
atau dalam web site perusahaan.
 Penambahkan pengungkapan transaksi diluar neraca (off balance sheet)
yang harus disertakan dalam penjelasan dan analisis manajemen
(management’s discussion and analysis - MD&A) yaitu pengungkapan
tentang pengaturan transaksi diluar neraca dan tabel yang menjelaskan
informasi tentang kewajiban kontraktual yang pasti akan terjadi.
Misal:standby LC, performance guarantee dll.
Tanggung Jawab Terhadap Internal Control
SOA mewajibkan perusahaan yang listing di AS untuk membuat dokumentasi

pengendalian kunci dan melaporkan kondisi pengendalian internnya secara
periodik.
 SOA Section 302 tentang ”Corporate Responsibility for Financial Reports”
menetapkan bahwa pejabat eksekutif perusahaan (CEO & CFO) harus
bertanggung jawab secara pribadi terhadap pernyataan prosedur
pengendalian, internal control, dan jaminan atas kecurangan (fraud).
 Sedangkan SOA section 404 tentang “Management Assessment of Internal
Controls” mengatur ketentuan yang mewajibkan terselenggaranya audit

SOA tahunan yang menunjukkan laporan pengendalian internal (internal
control report) sebagai bagian dari laporan keuangan.
Laporan pengendalian internal antara lain berisi tanggung jawab
manajemen untuk mengembangkan dan memelihara sistem (struktur &
prosedur) pengendalian intern atas pelaporan keuangan dan hasil evaluasi
atas efektivitas sistem pengendalian internal. Regulasi ini menuntut
manajemen perusahaan untuk memahami, mendokumentasikan, dan
menyempurnakan pengendalian internal terkait pelaporan keuangan, dengan
terus meningkatkan keakuratan proses bisnis (business process) dan
informasi transaksionalnya, serta membangun perbaikan proses secara
berkelanjutan (continuous improvement process) mengenai pengendalian
internal pada laporan keuangan perusahaan. Selain itu, pengendalian harus
terkait dengan upaya pencegahan (prevention) dan pendeteksian (detection)
kecurangan (fraud) atas pelaporan keuangan termasuk kemungkinan risiko
timbulnya kecurangan.
Dengan ketentuan baru ini, pengungkapan laporan keuangan yang
disampaikan kepada SEC memuat semua transaksi off balance sheet, dan
laporan proforma yang disampaikan kepada SEC tidak boleh berisikan
informasi yang menyesatkan. Dengan sistem yang dibangun tersebut, SEC
mengatur secara matang orang dalam perusahaan tidak boleh melakukan
transaksi perdagangan saham atas nama pribadi dengan menggunakan
informasi yang hanya diketahui oleh orang dalam sendiri (insider information).
Guna memberikan ruang kepada publik terhadap gugatan hukum atas
kecurangan dalam perdagangan saham, publik dapat mengajukan gugatan
yang berkaitan dengan securities fraud paling lambat dua tahun setelah
kecurangan tersebut terungkap atau lima tahun setelah kecurangan tersebut
terjadi. Jika ketentuan ini tidak dipenuhi, maka emiten tidak boleh
mendaftarkan sahamnya di Bursa Efek USA.
Mengingat pembenahan prosedur pengendalian internal sangat rumit
dan kompleks, maka perusahaan dapat membentuk Tim SOA yang
bekerjasama dengan Komite Audit. Tim SOA bertugas mengembangkan dan
membangun kebijakan pengendalian internal, prosedur, bisnis proses dan
mekanisme pelaporan pengendalian internal serta pengawasan laporan
keuangan internal. Apabila diperlukan Tim SOA dapat minta bantuan
konsultan independen dalam penyiapan prosedur dan bisnis proses internal
control untuk laporan keuangan
d. ANALISA KONFLIK KEPENTINGAN

Broker dan dealer surat berharga di bursa efek tidak diperbolehkan
melakukan balas dendam atau mengancam untuk melakukan balas dendam
kepada analis yang bekerja untuk mereka karena laporan analis tersebut
berisikan analisis negatif terhadap perusahaan publik tertentu. Analis, broker
atau dealer surat berharga harus mengungkapkan konflik kepentingan yang
ada pada mereka, seperti:

(a) Apakah analis memiliki investasi atau hutang di dalam perusahaan
yang sedang dibuatkan laporan analisisnya;
(b) Apakah kompensasi yang diterima oleh broker, dealer atau analis wajar,
tidak berlebihan dan tidak bertentangan dengan kepentingan publik serta
konsisten dengan perlindungan terhadap kepentingan investor,
(c) Apakah emiten merupakan klien dari broker dan dealer, dan
(d) Apakah kompensasi yang diterima analis untuk penerbitan suatu laporan
didasarkan jumlah pendapatan/keuntungan perusahaan yang dianalisis.
Sementara, persyaratan bagi Pengacara yang mewakili Perusahaan
Publik, SEC harus menetapkan standar minimal yang harus dipenuhi oleh
pengacara yang mewakili perusahaan publik. Standar tersebut harus
mengatur: Untuk Pengacara yang dipekerjakan oleh perusahaan publik harus
melaporkan kepada kepala biro hukum atau CEO perusahaan apabila
diketahui terdapat bukti dari pelanggaran yang material atas undang-undang
dan peraturan pasar modal (securities law), yang dilakukan oleh perusahaan
atau agen perusahaan. Apabila kepala biro hukum atau CEO perusahaan tidak
memberikan respon yang memadai, maka pelanggaran tersebut harus
dilaporkan kepada seluruh jajaran komisaris, komite audit dan direksi
perusahaan.
e. HUKUMAN ATAS PELANGGARAN
PELANGGARAN HUKUMAN
Pengubahan, penghancuran, penyembunyian catatan Denda dan/atau hukuman penjara

apapun dengan maksud untuk menghambat proses maksimal 10 tahun.
investigasi yang sedang dilakukan pemerintah.
Kertas kerja audit dan hasil reviewnya tidak disimpan Denda dan/atau hukuman penjara
selama (paling sedikit) lima tahun. maksimal 5 tahun.
Siapapun yang secara sadar melakukan atau berupaya Denda dan/atau hukuman penjara
untuk melakukan penipuan terhadap pembeli saham maksimal 10 tahun.
Setiap CEO atau CFO yang karena kelalaiannya Denda sampai $1,000,000
menyebabkan ketidak sesuaian antara isi pernyataan dan/atau 10 tahun penjara.
yang diberikan berkaitan dengan pelaporan Keuangan dan
isi laporan keuangan itu sendiri.
Sengaja memberikan isi pernyataan yang berbeda Denda sampai $5 juta dan/atau 20
dengan isi laporan keuangan. tahun penjara
Dua atau lebih orang yang berkonspirasi untuk Denda dan/atau hukuman penjara
melakukan kecurangan atau menipu pemerintah sampai dengan 10 tahun.
Setiap orang yang sengaja mengubah, menghancurkan, Denda dan/atau hukuman penjara
menyembunyikart catatan atau dokumen apapun dengan sampai dengan 20 tahun.
maksud merusak keutuhan catatan atau dokumen yang
digunakan secara resmi.
Penipuan melalui surat dan media elektron- Hukuman penjara 20 tahun.Lama
ik.Pelanggaran terhadap pelaksanaan ketentuan Employee hukuman bervariasi tergantung jenis
Retirement Income Security Act (ERISA). pelanggaran.

* Sumber: Sarbanes-Oxley Act of 2002 and New York City Office of the
Comptroller
Pada dasarnya SOA menuntut implementasi internal control yang
baik atas 3 (tiga) hal yang sangat erat kaitannya dengan GCG, yaitu:
a. Transparansi (transparency), menuntut kemampuan untuk dapat
ditelusuri (treaceability) dan dapat diaudit dari setiap proses dan
aktivitas yang terkait dengan pelaporan keuangan
b. Akuntabilitas (accountability), menuntut kejelasan dan ketiadaan
benturan kepentingan (conflict of interest) atas informasi apa dan
siapa yang bertanggung jawab. Selain itu, menjamin hak akses atas
informasi dan rentang pengambilan keputusan yang sesuai dengan
tugas dan tanggung jawab terkait.
c. Keterukuran (measurability), bertujuan memberikan basis pengukuran
untuk perbaikan secara berkelanjutan).
Untuk mengimplementasi SOA, perusahaan dan lingkungannya
perlu menjalankan hal berikut:
a. Pertama, melakukan pemisahan fungsi yaitu pengaturan ruang lingkup
tanggung jawab dan kewenangan serta akses pemakai (user) atas
informasi perusahaan. Hal ini untuk menjaga independensi antara
manajemen perusahaan, auditor, penyedia jasa non audit, Komite
Audit, serta pihak-pihak lain yang berkepentingan
b. Kedua, meningkatkan kualitas sumber daya manusia terutama yang
terkait dengan implementasi pengendalian internal termasuk masalah
kewenangan akses yang lebih luas kepada Departemen Audit Internal
(Satuan Pengawasan Intern).
c. Ketiga, menjaga integritas atas siklus pelaporan keuangan. Dalam hal
ini, perusahaan dapat menerapkan pemrosesan data secara elektronik
(Electronic Data Processing) dalam pelaporan keuangannya serta
meminimalisasi aktivitas atau proses-proses transaksi & pelaporan
keuangan secara manual.
d. Keempat, penegakan sanksi yang tegas atas setiap pelanggaran atas
aturan yang dilakukan.
Dari keseluruhan Sarbanes Oxley Act, terdapat dua bagian yang

mengatur mengenai internal control, dan sering dibahas, yaitu Section
302 dan Section 404. Seksi 404 secara khusus memberikan perhatian
kepada internal kontrol perusahaan atas laporan keuangannya.
Section 404 ‘Management Assessments of Internal Controls’
1. Setiap laporan tahunan yang diserahkan kepada Securities Exchange
Commission harus berisi laporan internal control, yang akan:

a. Menyatakan tanggung jawab manajemen untuk membuat dan
menjaga struktur dan prosedur internal control yang cukup untuk
pelaporan keuangan.
b. Berisi penilaian efektivitas struktur dan prosedur internal control
pada akhir tahun fiscal perusahaan.
2. Setiap kantor akuntan publik beregister yang menyiapkan atau
mengeluarkan laporan audit bagi perusahaan harus menguji dan
melaporkan penilaian kecukupan dan efektivitas struktur dan prosedur
internal control yang dibuat oleh manajemen perusahaan sebagai
bagian dari audit laporan keuangan menurut standar atestasi.
Sedangkan dalam Section 302, CEO dan CFO secara personal harus
menerangkan dengan sebenarnya (certify) bahwa mereka bertanggung
jawab untuk prosedur dan control yang diungkapkan. Tiap laporan
triwulan harus berisi pernyataan bahwa mereka telah melaksanakan
evaluasi design dan efektivitas control. Eksekutif yang menyatakan juga
harus menyatakan bahwa mereka mengungkapkan kepada Komite Audit
dan auditor independen mengenai kekurangan/kelemahan pengendalian
yang signifikan, kelemahan material, dan tindakan fraud. SEC juga
mengusulkan persyaratan sertifikasi yang diperluas yang memasukkan
prosedur dan internal control untuk pelaporan keuangan, selain
persyaratan terkait pengungkapan control dan prosedur.
AUDIT INTEGRAL
Perbedaan audit integral dan audit keuangan terletak pada
pengujian pengendalian internal. Dalam audit keuangan konvensional,
pengujian pengendalian bertujuan untuk menentukan bentuk, waktu dan
tingkat kedalaman pemeriksaan. Apabila dari hasil pengujian tersebut
ditemukan bahwa auditor tidak bisa mengandalkan pengendalian
internal klien, maka auditor akan menggunakan pendekatan full
substantive. Dalam audit integral, pengujian pengendalian internal
merupakan proses untuk menyatakan pendapat terhadap keandalan
pengendalian internal klien. Apabila dalam pengujian tersebut auditor
menemukan bahwa pengendalian internal klien tidak dapat diandalkan
maka temuan bisa menjadi kelemahan mendasar (material weaknesses)
dalam pengendalian internal. Kelemahan mendasar akan menyebabkan
pendapat tidak wajar (adverse opinion) dalam pengendalian internal.
Dengan diundangkannya SOA, auditor saat ini juga memiliki
tanggungjawab tambahan untuk mengevalusi pengendalian internal
yang secara khusus dapat menekan risiko terjadinya penyelewengan
keuangan (fraud) yang kemungkinan secara signifikan bisa
mempengaruhi sebuah laporan keuangan. Auditor tidak dapat melakukan
pemeriksaan laporan keuangan terhadap perusahaan publik di Amerika
Serikat tanpa sekaligus melakukan pemeriksaan terhadap pengendalian
internal yang ada di perusahaan tersebut. Penugasan pemeriksaan
laporan keuangan dan pengendalian internal merupakan penugasan yang

integral dan tidak dapat dipisahkan.
Namun perlu diingat, pengendalian internal perusahaan adalah
tanggung jawab manajemen perusahaan bukan tanggung jawab auditor.
Manajemen harus melakukan penilaian terhadap pengendalian internal
mereka sendiri, dan peran tersebut tidak bisa tergantikan dengan
pengujian-pengujian yang dilakukan oleh auditor terkait dengan
pemeriksaan tahunan. Manajemen perusahaan juga harus membuat
dokumentasi terhadap proses signifikan yang ada di perusahaan
tersebut. Dokumentasi proses yang signifikan ini kemudian akan menjadi
dasar penilaian auditor terhadap pengendalian internal yang dimilliki oleh
sebuah perusahaan.
Hal-hal yang baru dalam audit integral (Section 404) :
a. Auditor harus menyatakan pendapat terhadap kewajaran laporan
keuangan sekaligus menyatakan pendapat atas atestasi manajemen
terhadap pengendalian internal. Proses pernyataan pendapat tersebut
merupakan satu kesatuan yang tidak terpisahkan (audit integral).
b. Pekerjaan dalam pemeriksaan untuk menyatakan kewajaran atas
laporan keuangan maupun pemeriksaan terhadap pengendalian
internal harus saling terkait.
c. Standar yang ditetapkan oleh PCAOB merupakan standar
yang integral, mencakup pekerjaan yang diperlukan dalam audit
laporan keuangan dan audit pengendalian internal.
d. Audit integral akan menghasilkan tiga opini :
 Pendapat tentang keefektifan pengendalian internal terhadap
penyusunan laporan keuangan.
 Pendapat tentang keefektifan penilaian manajemen terhadap
pengendalian internal.
 Pendapat tentang kewajaran laporan keuangan.
Pernyataan pendapat atas pengendalian internal ditentukan oleh
temuan pada saat pemeriksaan lapangan, tertuang terhadap pengujian
pengendalian internal dapat dikategorikann menjadi tiga seperti dibawah
ini :
a. Internal control deficiencies (kecacatan pengendalian internal)
Apabila ditemukan kecacatan dalam desain pengendalian internal,
sehingga pengendalian internal tidak akan bisa menangkap atau
mencegah salah saji atau kecurangan keuangan. Temuan ini adalah
temuan cacat pengendalian internal yang paling parah. Auditor bisa
menggunakan COSO framework untuk mengukur apakah desain
pengendalian internal di sebuah perusahaan sudah mencukupi atau
belum.
b. Significant deficiencies (kecacatan mendasar)
Kecacatan yang baik berdiri sendiri atau bersama-sama membuat
kemungkinan (remote likehood) perusahaan gagal menangkap atau
mencegah salah saji dalam laporan keuangannya. Salah saji yang tidak
tertangkap tersebut bersiap tidak berpola.

c. Material weaknesses (kelemahan mendasar)
Kecatatan yang mendasar yang membuat perusahaan gagal untuk
mencegah (prevented) atau mendeteksi (detected) sebuah salah saji.
Temuan ini bisa mengakibatkan pernyataan pendapat tidak wajar
(adverse opinion).

Hingga saat ini, komisi pasar bursa Indonesia belum mengadopsi
peraturan ini untuk diterapkan pada perusahaan yang sahamnya sudah
diperdagangkan di pasar bursa dalam negeri. Dengan mengacu kepada
pengalaman Amerika Serikat di atas, apalagi mengingat keterpurukan
perekonomian Indonesia salah satunya disebabkan oleh buruknya
corporate governance dan semakin banyak perusahaan Indonesia go
public di dalam maupun luar negeri, sudah seyogyanya pihak-pihak yang
berkompeten seperti DPR, Departemen Keuangan (Bapepam), dan Ikatan
Akuntan Indonesia segera membuat atau mengadopsi undang-undang dan
peraturan yang serupa dengan Sarbanes-Oxley Act.
Apabila SOA ini diadopsi di Indonesia, tentunya akan memberikan
dampak positif antara lain:
• Meningkatkan akuntabilitas pengelolaan keuangan
• Meningkatkan kepercayaan investor atas keandalan laporan
keuangan, sehingga menggiatkan kegiatan investasi.
• Memberikan shock therapy bagi manajemen dan auditor karena
dalam UU diatur mengenai sanksi.
Namun, tentu saja hal itu bukan perkara mudah. Dibutuhkan waktu,
tenaga, dan biaya yang besar termasuk sumber daya manusia yang
berkualitas serta memiliki integritas yang tinggi. Selain itu perlu
dipertimbangkan apakah sebanding antara manfaat dengan biaya yang
harus dikeluarkan.
Untuk beberapa bagian, Indonesia sebenarnya sudah membuat
aturan yang terdapat dalam SOX, antara lain:
a. Pembentukan Komite Audit.
Sebagaimana diatur dalam Keputusan Ketua Badan Pengawas Pasar
Modal (Bapepam) No. KEP-29/PM/2004 tanggal 24 September 2004
tentang Pembentukan dan Pedoman Pelaksanaan Kerja Komite Audit,
yang dimaksud dengan Komite Audit adalah komite yang dibentuk oleh
Dewan Komisaris dalam rangka membantu melaksanakan tugas dan
fungsinya. Komite Audit bertugas untuk memberikan pendapat kepada
Dewan Komisaris terhadap laporan atas hal-hal yang disampaikan oleh
direksi kepada Dewan Komisaris, mengidentifikasi hal-hal yang
memerlukan perhatian komisaris, dan melaksanakan tugas-tugas lain
yang berkaitan dengan tugas Dewan Komisaris, antara lain meliputi:

1) Melakukan penelaahan atas informasi keuangan yang akan
dikeluarkan perusahaan seperti laporan keuangan, proyeksi, dan
informasi keuangan lainnya.
2) Melakukan penelaahan atas ketaatan perusahaan terhadap
peraturan perundang-undangan di bidang Pasar Modal dan peraturan
perundang-undangan lainnya yang berhubungan dengan kegiatan
perusahaan.
3) Melakukan penelaahan atas pelaksanaan pemeriksaan oleh
auditor internal.
4) Melaporkan kepada komisaris berbagai risiko yang dihadapi
perusahaan dan pelaksanaan manajemen risiko oleh direksi.
5) Melakukan penelaahan dan melaporkan kepada Komisaris atas
pengaduan yang berkaitan dengan Emiten atau perusahaan public,
dan
6) Menjaga kerahasiaan dokumen, data dan informasi perusahaan.
Untuk Badan Usaha Milik Negara (BUMN) pun, telah diatur melalui
Peraturan Meneg BUMN No. PER-05/MBU/2006 tanggal 20 Desember 2006
tentang Komte Audit Bagi Badan Usaha Milik Negara.
b. Pembentukan badan sejenis PCAOB
Mengenai pembentukan badan semacam PCAOB perlu dibuat
semacam kajian apakah badan tersebut merupakan bagian dari Bapepam
ataukah badan yang terpisah. Karena pada dasarnya Bapepam telah
menjalankan fungsi dan tugas PCAOB.
Dalam RUU Akuntan Publik disebutkan bahwa Departemen Keuangan
menyelenggarakan fungsi Regulasi Profesi Akuntan Publik dan berwenang
untuk menyelenggarakan:
1) Perizinan;
2) Pembinaan dan Pengawasan;
3) Pengenaan Sanksi Perizinan;
4) Kebijakan Pendidikan dan Pelatihan (PPL) & Ujian Profesi;
5) Kebijakan penyusunan dan penetapan standar;
6) Registrasi Asosiasi Profesi;
7) Penyusunan, penetapan & pemberlakuan standar akuntansi
keuangan dan standar teknis profesi akuntan publik;
8) Penyelenggaraan Ujian Profesi;
9) Penyelenggaraan Pendidikan dan Pelatihan (PPL);
Namun, Menteri Keuangan dapat melimpahkan sebagian dari
kewenangannya kepada satu asosiasi profesi akuntan, instansi
pemerintah, atau lembaga independen yang dibentuk khusus untuk
melaksanakan kewenangan tersebut. Dalam RUU juga diatur mengenai
sanksi pidana yang akan diterima oleh Akuntan Publik apabila
menyatakan pendapat atas laporan keuangan tidak berdasarkan bukti

audit yang sah, relevan, dan cukup. Meskipun RUU ini banyak mendapat
tanggapan negatif, namun diharapkan dapat meminimalisir peluang
profesi akuntan melakukan tindakan kecurangan dalam pelaksaan audit.
c. Audit atas pengendalian intern

Untuk pelaporan keuangan, khususnya pada pengelolaan keuangan
negara sebagaimana diatur dalam Standar Pemeriksaan Keuangan Negara
(SPKN) laporan audit atas laporan keuangan yang diterbitkan tidak hanya
laporan opini atas laporan keuangan, melainkan juga laporan atas
pengendalian intern dan laporan atas kepatuhan terhadap peraturan
perundang-undangan. Dan, ketiganya diterbitkan dengan satu perikatan,
yaitu audit.
Bapepam-LK pada tahun 2007 telah mengkaji kemungkinan
mewajibkan audit terhadap sistem pengendalian internal di perusahaan
publik untuk meningkatkan akuntabilitas laporan keuangannya beserta
manfaat dan biayanya. Mengingat pentingnya implementasi SOA dalam
rangka mencegah praktik kecurangan pelaporan keuangan di perusahaan
publik, maka sudah saatnya Bapepam-LK mengadopsi salah satu
ketentuan dalam SOA tersebut yaitu pemberlakuan audit pengendalian
internal pada perusahaan yang telah go publik. Semoga implementasi
GCG melalui SOA di perusahaan publik di Indonesia dapat segera
terwujud, sehingga fraudulent financial reporting dapat dicegah atau
dihindari.
Di Indonesia, praktek pemeriksaan internal kontrol dengan
metodologi SOX 404 ini sudah dilakukan, namun hanya oleh segelintir
perusahaan yang umumnya adalah perusahaan multinasional yang
sahamnya diperdagangkan di pasar bursa AS dan yang beroperasi di
Indonesia. Hanya sedikit jumlah orang yang mengetahui bagaimana
pemeriksaan dan penilaian internal kontrol atas laporan keuangan
menurut metodologi SOX 404 ini.
d. Prinsip GCG
Surat Keputusan Menteri BUMN Nomor KEP-117/M-MBU/2002 secara
resmi memerintahkan seluruh BUMN untuk menerapkan prinsip-prinsip
Good Corporate Governance (GCG) secara konsisten dalam day-to-day
operasional organisasi BUMN. Dengan demikian, Indonesia merupakan
negara lain selain Amerika yang menerapkan mandatory system of
corporate governance. Jika membandingkan dengan apa yang terjadi
dengan negara-negara seperti Australia, Inggris, Belanda, dan Jerman
yang memilih sistem sukarela (voluntary system) yang merupakan
terjemahan dari prinsip "setuju atau menjelaskan kenapa tidak setuju"; di
Inggris prinsip ini dikenal dengan "comply or explain", sedangkan orang
Australia menyebutnya dengan "if not, why not" (Miko: 2006). Mandatory
system merupakan prinsip yang mulai diberlakukan di Amerika setelah
tragedi runtuhnya perusahan-perusahaan raksasa.

D. BASEL II
1. Latar Belakang
Bank merupakan suatu perusahaan yang menjalankan fungsi
intermediasi atas dana yang diterima dari nasabah. Jika sebuah bank
mengalami kegagalan, dampak yang ditimbulkan akan meluas
mempengaruhi nasabah dan lembaga-lembaga yang menyimpan dananya
atau menginvestasikan modalnya di bank, dan akan menciptakan dampak
ikutan secara domestik maupun pasar internasional. Karena pentingnya
peran bank dalam melaksanakan fungsinya maka perlu diatur secara baik
dan benar. Hal ini bertujuan utnuk menjaga kepercayaan nasabah
terhadap aktivitas perbankan. Salah satu peraturan yang perlu dibuat
untuk mengatur perbankan adalah peraturan mengenai permodalan bank
yang berfungsi sebagai penyangga terhadap kemungkinan terjadinya
kerugian.
Mengingat pentingnya modal pada bank, pada tahun 1988 Bank of

International Settlements (BIS) mengeluarkan suatu konsep kerangka
permodalan yang lebih dikenal dengan the 1988 accord (Basel I). Sistem
ini dibuat sebagai penerapan kerangka pengukuran bagi risiko kredit,
dengan mensyaratkan standar modal minimum adalah 8%. Komite Basel
merancang Basel I sebagai standar yang sederhana, mensyaratkan bank-
bank untuk memisahkan eksposurnya kedalam kelas yang lebih luas, yang
menggambarkan kesamaan tipe debitur. Eksposur kepada nasabah
dengan tipe yang sama (seperti eksposur kepada semua nasabah
korporasi) akan memiliki persyaratan modal yang sama, tanpa
memperhatikan perbedaan yang potensial pada kemampuan pembayaran
kredit dan risiko yang dimiliki oleh masing-masing individu nasabah.
Sejalan dengan semakin berkembangnya produk-produk yang ada

di dunia perbankan, BIS kembali menyempurnakan kerangka permodalan
yang ada pada the 1988 accord dengan mengeluarkan konsep
permodalan baru yang lebih di kenal dengan Basel II. Basel II dibuat
berdasarkan struktur dasar the 1988 accord yang memberikan kerangka
perhitungan modal yang bersifat lebih sensitif terhadap risiko (risk
sensitive) serta memberikan insentif terhadap peningkatan kualitas
penerapan manajemen risiko di bank. Hal ini dicapai dengan cara

penyesuaian persyaratan modal dengan risiko dari kerugian kredit dan
juga dengan memperkenalkan perubahan perhitungan modal dari
eksposur yang disebabkan oleh risiko dari kerugian akibat kegagalan
operasional
Basel II merupakan ketentuan mengenai manajemen risiko yang

dipublikasikan pada bulan Mei 2004 oleh Basel Committee on Banking
Supervision, yang dimaksudkan untuk menyempurnakan Basel I.
Ketentuan baru dalam Basel II antara lain: memperkenalkan pengelolaan
risiko pasar melalui penyisihan modal untuk manajemen risiko
operasional, dan beberapa pendekatan dalam pengukuran risiko kredit.
Basel II bertujuan meningkatkan dan menjamin kestabilan serta kesehatan
sistem keuangan. Untuk itu, upaya yang ditempuh adalah meningkatkan
sensitivitas risiko dalam perhitungan modal bank. Upaya ini didukung
dengan penguatan pengawasan internal bank dan disiplin pasar.
Ketatnya perhitungan risiko dalam Basel II terlihat dari cara

perhitungan modal yang tidak lagi didasarkan hanya oleh risiko kredit,
tetapi juga risiko pasar, yang meliputi nilai tukar dan suku bunga serta
risiko operasional, yang meliputi sistem pengelolaan perbankan, termasuk
TI.
Tiga tujuan utama yang ingin dicapai dalam Basel II adalah:
1. memastikan bahwa alokasi modal (capital allocation) lebih sensitif

terhadap risiko.
2. memisahkan risiko operasional (operational risk) dari risiko kredit
(credit risk), dan mengukur keduanya.
3. berusaha untuk menciptakan hubungan/aliansi ekonomi dan
pengaturan terhadap modal untuk mengurangi masalah pengaturan
arbitrasi.

Para stakeholder Basel II terdiri dari:
a. Bank of International Settlements (BIS) sebagai organisasi yang

berperan dalam merancang dan menyempurnakan konsep Basel II.
b. Pemerintah, yang dalam hal ini diwakili oleh Bank Sentral yang
berperan sebagai regulator terhadap penerapan Basel II di suatu
Negara.
c. Bank Umum sebagai pihak yang akan melaksanakan konsep Basel II.
d. Market dan pihak-pihak yang berkaitan dengan industri perbankan,
sebagai pihak yang ikut memperhatikan risiko yang dihadapi oleh bank.

Basel II adalah rekomendasi hukum dan ketentuan perbankan
kedua, sebagai penyempurnaan Basel I, yang diterbitkan oleh
Komite Basel. Rekomendasi ini ditujukan untuk menciptakan suatu
standar internasional yang dapat digunakan regulator perbankan
untuk membuat ketentuan berapa banyak modal yang harus
disisihkan bank sebagai perlindungan terhadap risiko keuangan dan
operasional yang mungkin dihadapi bank. (Wikipedia)
Pendukung Basel II percaya bahwa standar internasional

seperti ini dapat membantu melindungi sistem keuangan
internasional terhadap masalah yang mungkin timbul sewaktu
runtuhnya bank-bank utama atau serangkaian bank. Dalam
praktiknya, Basel II berupaya mencapai hal ini dengan menyiapkan
persyaratan manajemen risiko dan modal yang ketat yang
dirancang untuk meyakinkan bahwa suatu bank memiliki cadangan
modal yang cukup untuk risiko yang dihadapinya karena praktik
pemberian kredit dan investasi yang dilakukannya. Secara umum,
aturan-aturan ini menegaskan bahwa semakin besar risiko yang
dihadapi bank, semakin besar pula jumlah modal yang dibutuhkan
bank untuk menjaga likuiditas bank tersebut serta stabilitas
ekonomi pada umumnya.
Konsep pengendalian internal dalam BASEL II dikenal dengan nama
Three Pillar (tiga pilar/ tiang).
Pilar 1 berkaitan dengan pengelolaan tiga komponen utama risiko

yang dihadapi oleh bank, yaitu: credit risk, operational risk, dan market
risk. Sedangkan untuk risiko lainnya tidak terlalu diperhitungkan dalam
tahapan ini.
Pilar 2 berkaitan dengan tanggapan pengaturan terhadap Pilar 1,

memberikan regulator lebih banyak ”tools” jika dibandingkan dengan
yang terdapat Basel I. juga menyediakan framework yang berkaitan
dengan risiko-risiko lain yang mungkin akan dihadapi oleh bank, seperti:
systemic risk, strategic risk, liquidity risk dan legal risk (keseluruhan risiko
tersebut dapat disebut sebagai residual risk).

Pilar 3 mengharuskan bank untuk meningkatkan keterbukaan
terhadap pasar (market). Sehingga memberikan kepada pasar gambaran
yang lebih baik mengenai posisi keseluruhan risiko dari bank tersebut.

Jika dilihat, Basel II memiliki berbagai kompleksitas dan prakondisi
yang cukup berat bagi perbankan. Prasyarat utama agar Basel II dapat
diterapkan dengan baik meliputi:
 Penerapan manajemen risiko di bank sebagaimana telah diatur dalam
PBI No.5/8/PBI/2003 tanggal 19 Mei 2003 tentang Penerapan
Manajemen Risiko Bagi Bank Umum
 Penyesuaian standar akuntansi yang mengacu kepada standar
akuntansi internasional (IAS) antara lain IAS 32 dan IAS 39.
 Penerapan perhitungan permodalan secara konsolidasi dengan
perusahaan tertentu dalam sektor keuangan kecuali asuransi
 Pengakuan perusahaan pemeringkat oleh Bank Indonesia untuk dapat
melakukan rating terhadap debitur bank.
Berikut jadwal rencana penerapan Basel II di Indonesia oleh BI :
E. ISO 17799
1. Latar Belakang
Keamanan data elektronik menjadi hal yang sangat penting di
perusahaan penyedia jasa teknologi informasi (TI) maupun industri
lainnya, seperti: perusahaan export-import, tranportasi, lembaga
pendidikan, pemberitaan, hingga perbankan yang menggunakan fasilitas
TI dan menempatkannya sebagai infrastruktur kritikal (penting).
Informasi atau data adalah aset bagi perusahaan. Keamanan data

secara tidak langsung dapat memastikan kontinuitas bisnis, mengurangi

resiko, mengoptimalkan return on investment dan mencari kesempatan
bisnis. Semakin banyak informasi perusahaan yang disimpan, dikelola dan
di-sharing maka semakin besar pula resiko terjadinya kerusakan,
kehilangan atau tereksposnya data ke pihak eksternal yang tidak
diinginkan.
Bagaimana data atau informasi tersebut dikelola, dipelihara dan

diekspose, melatarbelakangi disusunnya ISO 17799, standar untuk sistem
manajemen keamanan informasi.
Penyusunan standar ini berawal pada tahun 1995, dimana

sekelompok perusahaan besar seperti BOC, BT, Marks & Spencer, Midland
Bank, Nationwide Building Society, Shell dan Unilever bekerja sama untuk
membuat suatu standar yang dinamakan BS (British Standard) 7799.
BS 7799 Part 1: the Code of Practice for Information Security

Management. Februari 1998 BS 7799 Part 2: The Specification for
Information Security Management Systems (ISMS) menyusul diterbitkan.
Desember 2000 ISO (International Organization of Standardization) dan
IEC (International Electro-Technical Commission) mengadopsi BS 7799
Part 1 dan menerbitkannya sebagai standar ISO/IEC 17799:2000 yang
diakui secara internasional.

Semua pihak dalam organisasi (manajemen dan karyawan) maupun
diuar organisasi (pemasok, pelanggan, mitra kerja, dan pemegang saham)
bertanggungjawab secara penuh dalam proses keamanan informasi. Hal
tersebut disebabkan karena mereka semua terlibat secara langsung dan
tidak langsung dalam proses penyediaan, penyimpanan, pemanfaatan,
dan penyebarluasan informasi dalam organisasi. Untuk menjamin adanya
kesadaran, kemauan, dan komitmen untuk melakukan hal tersebut, maka
perlu adanya pihak yang memiliki tugas dan kewajiban khusus untuk
memantau efektivitas keamanan informasi tersebut. Keberadaan pihak
tersebut mutlak dibutuhkan oleh organisasi dalam berbagai bentuknya,
seperti : perusahaan komersial, pemerintah, organisasi publik, lembaga
nirlaba, dan lain sebagainya. pada intinya para pengguna ISO 17799 di
fokuskan kepada Orang-orang atau pihak-pihak yang bergerak di bidang
jasa pelayanan IT, khususnya di bidang manajemen keamanan informasi.

Isi ISO 17799, meliputi 10 control clauses (10 pasal pengamatan),
36 control objectives (36 objek/sasaran pengamanan), 127 controls
securiy (127 pengawasan keamanan).
10 control clouse tersebut, antara lain:

1. Security Policy
2. System Access Control
3. Communication & Operations Management
4. System Development and Maintenance
5. Physical and Environmental Security
6. Compliance
7. Personnel Security
8. Security Organization (Information Security)
9. Asset Classification and Control
10. Business Continuity Management (BCM)
Security Policy (kebijakan keamanan), mengarahkan visi dan misi
manajemen agar kontinuitas bisnis dapat dipertahankan dengan
mengamankan dan menjaga integritas/keutuhan informasi-informasi
krusial yang dimiliki oleh perusahaan.
Security Policy sangat diperlukan mengingat banyak ditemuinya

masalah-masalah non teknis salah satunya penggunaan password oleh
lebih dari satu orang. Hal ini menunjukan tidak adanya kepatuhan dalam
menerapkan sistem keamanan informasi. Harus dilakukan inventarisasi
data-data perusahaan. Selanjutnya dibuat peraturan yang melibatkan
semua departemen sehingga peraturan yang dibuat dapat diterima oleh
semua pihak. Setelah itu rancangan peraturan tersebut diajukan ke pihak
direksi. Setelah disetujui, peraturan tersebut dapat diterapkan.
System Access Control (sistem kontrol akses),

mengendalikan/membatasi akses user terhadap informasi-informasi yang
telah diatur kewenangannya, termasuk pengendalian secara mobile-
computing ataupun tele-networking. Mengontrol tata cara akses terhadap
informasi dan sumber daya yang ada meliputi berbagai aspek, yaitu :
a. Access control.
b. User Access Management.
c. User Responsibilities.
d. Network Access Control

e. Operation System access Control
f. Application Access Control.
g. Monitor system Access and use.
h. Mobile Computing and Telenetworking.
Communication and Operations Management (manajemen
komunikasi dan operasi), menyediakan perlindungan terhadap
infrastruktur sistem informasi melalui perawatan dan pemeriksaan
berkala, serta memastikan ketersediaan panduan sistem yang
terdokumentasi dan dikomunikasikan guna menghindari kesalahan
operasional. Pengaturan tentang alur komunikasi dan operasi yang terjadi
meliputi berbagai aspek, yaitu :
a. Operational procedures and reponsibilities.

b. System Planning and acceptance.
c. Protection against malicious software.
d. Housekeeping
e. Network Management.
f. Media handling and security.
g. Exchange of Information and software.
System Development and Maintenance (pengembangan sistem
dan pemeliharaan), memastikan bahwa sistem operasi maupun aplikasi
yang baru diimplementasikan mampu bersinergi melalui verifikasi/validasi
terlebih dahulu sebelum diluncurkan ke live environment.
Penelitian untuk pengembangan dan perawatan sistem yang ada

meliputi berbagai aspek, yaitu :
a. Security requirements of system.
b. Security in application system.
c. Cryptographic control
d. Security of system files
e. Security in development and support process.
Physical and Environmental Security (keamanan fisik dan
lingkungan), membahas keamanan dari segi fisik dan lingkungan jaringan,
untuk mencegah kehilangan/ kerusakan data yang diakibatkan oleh
lingkungan, termasuk bencana alam dan pencurian data dalam media
penyimpanan atau fasilitas informasi yang lain. Aspek yang dibahas
antara lain:
a. Secure Areas
b. Equipment security
c. General Control
Compliance (penyesuaian), memastikan implementasi kebijakan-
kebijakan keamanan selaras dengan peraturan dan perundangan yang

berlaku, termasuk persyaratan kontraktual melalui audit sistem secara
berkala. Kepatuhan yang mengarah kepada pembentukan prosedur dan
aturan – aturan sesuai dengan hukum yang berlaku meliputi berbagai
aspek, yaitu :
a. Compliance with legal requirements

b. Reviews of security policy and technical comliance.
c. System audit and consideration
Personnel Security (keamanan perorangan), mengatur tentang
pengurangan resiko dari penyalahgunaan fungsi penggunaan atau
wewenang akibat kesalahan manusia (human error), sehingga mampu
mengurangi human error dan manipulasi data dalam pengoperasian
sistem serta aplikasi oleh user, melalui pelatihan-pelatihan mengenai
security awareness agar setiap user mampu menjaga keamanan informasi
dan data dalam lingkup kerja masing-masing.
Personnel Security meliputi berbagai aspek, yaitu :

a. Security in Job Definition and Resourcing.
b. User Training.
c. Responding to Security Incidens and Malfunction.
Security Organization (organisasi keamanan), mengatur tentang
keamanan secara global pada suatu organisasi atau instansi, mengatur
dan menjaga integritas sistem informasi internal terhadap keperluan pihak
eksternal termasuk pengendalian terhadap pengolahan informasi yang
dilakukan oleh pihak ketiga (outsourcing). Aspek yang terlingkupi, yaitu :
a. Security of third party access

b. Outsourcing
Asset Classification and Control (klasifikasi dan kontrol aset),
memberikan perlindungan terhadap aset perusahaan dan aset informasi
berdasarkan level proteksi yang ditentukan. Membahas tentang
penjagaan aset yang ada meliputi berbagai aspek, diantaranya :
a. Accountability for Assets.

b. Information Classification.
Business Continuity Management (manajemen kelanjutan
usaha), siap menghadapi resiko yang akan ditemui didalam aktivitas
lingkungan bisnis yang bisa mengakibatkan ”major failure” atau resiko
kegagalan yang utama ataupun ”disaster” atau kejadian buruk yang tak

terduga, sehingga diperlukan pengaturan dan manajemen untuk
kelangsungan proses bisnis.
Membangun dan menjaga keamanan sistem manajemen informasi

akan terasa jauh lebih mudah dan sederhana dibandingkan dengan
memperbaiki sistem yang telah terdisintegrasi. Penerapan standar ISO
17799 akan memberikan benefit yang lebih nyata bagi organisasi bila
didukung oleh kerangka kerja manajemen yang baik dan terstruktur serta
pengukuran kinerja sistem keamanan informasi, sehingga sistem
informasi akan bekerja lebih efektif dan efisien.
36 objek pengamatan/pengawasan keamanan merupakan uraian

dari aspek 10 control clouse tersebut.
Gambar Struktur dari kesepuluh wilayah standar (10 control

clouse)
Untuk 36 control objective-nya adalah sebagai berikut : 1).

Control Objectives, 2). Information security policy, 3). Information
security infrastructure, 4). Security of third party access,5).
Outsourcing,6). Accountability for assets,7). Information classifications,
8). Security in job definition and resourcing, 9). User training,
10).Responding to security incidents and malfunctions, 11).Secure
areas, 12).Equipment security, 13).General controls, 14).Operational
procedures and responsibilities, 15). System planning and acceptance,
16). Protection against malicious software, 17). Housekeeping, 18).
Network management, 19). Media handling and security, 20).Exchanges
of information and software, 21).Access Control, 22).Use access

management, 23).User responsibilities, 24).Network access control,
25).Operating system access control, 26).Application access control,
27).Monitoring system access and use, 28).Mobile computing and
teleworking, 29).Security requirements of systems, 30).Security in
application system, 31).Cryptographic controls, 32).Security of systems
files, 33).Security in development and support process, 34).Aspects of
business continuity management, 35).Compliance with legal
requirements, 36).Review of security policy & technical compliance
Kendali / Kontrol tersebut diuraikan pada tingkat tinggi, tanpa

memasukkan masalah teknologi secara detail, dalam rangka
membiarkan perusahaan / organisasi masing-masing secara total bebas
untuk memilih kendali yang terdekat ke situasi cultural/technological
dan kebutuhan sendiri.
Aset dan aspek yang dinilai dalam ISO 17799

• Information assets (aset informasi),
• Software assets (aset perangkat lunak yang dimiliki),
• Physical assets (aset fisik) dan
• Services (pelayanan).
Keamanan informasi terdiri dari perlindungan terhadap aspek-aspek
berikut:
a. Confidentiality (kerahasiaan) aspek yang menjamin kerahasiaan data atau
informasi, memastikan bahwa informasi hanya dapat diakses oleh orang yang
berwenang dan menjamin kerahasiaan data yang dikirim, diterima dan
disimpan.
b. Integrity (integritas) aspek yang menjamin bahwa data tidak dirubah tanpa
ada ijin fihak yang berwenang (authorized), menjaga keakuratan dan
keutuhan informasi serta metode prosesnya untuk menjamin aspek integrity
ini.
c. Availability (ketersediaan) aspek yang menjamin bahwa data akan tersedia
saat dibutuhkan, memastikan user yang berhak dapat menggunakan
informasi dan perangkat terkait (aset yang berhubungan bilamana
diperlukan).
Keamanan informasi diperoleh dengan mengimplementasi
seperangkat alat kontrol yang layak, yang dapat berupa kebijakan-
kebijakan, praktek-praktek, prosedur-prosedur, struktur-struktur
organisasi dan piranti lunak.

Gambar Elemen-elemen keamanan informasi
Keamanan informasi memproteksi informasi dari ancaman yang

luas untuk memastikan kelanjutan usaha, memperkecil rugi perusahaan
dan memaksimalkan laba atas investasi dan kesempatan usaha.
Manajemen sistem informasi memungkinkan data untuk terdistribusi
secara elektronis, sehingga diperlukan sistem untuk memastikan data
telah terkirim dan diterima oleh user yang benar.

Standard ISO 17799 ini diharapkan bisa diterapkan di perusahan-
perusahaan yang ada di Indonesia. Hal ini dapat dijamin karena
perumusan Standard ISO 17799 yang berisi Informasi Security
Management Sistem dibuat oleh orang–orang yang capable dalam
bidangnya. Penyusun meliputi tenaga ahli keamanan dan auditor
berkualitas. Semua anggota berpengalaman dan sadar akan BS7799
standard, ISO/IEC 17799, sistem manajemen ( secara umum), keamanan
informasi, analisis risiko dan asas manajemen dan proses, prinsip auditing.
Penerapan standar ISO 17799 akan memberikan benefit yang lebih

nyata bagi organisasi bila didukung oleh kerangka kerja manajemen yang
baik dan terstruktur serta pengukuran kinerja sistem keamanan informasi,
sehingga sistem informasi akan bekerja lebih efektif dan efisien
Dalam ISO 17799 terdapat beberapa point penting yang akan

diadopsi dalam SNI mengenai system keamanan TI, antara lain pemisahan
antara orang-orang yang berkompeten dengan system dan yang tidak,
manajemen password, serta pemisahan wewenang operasional dan
pengembang.

Secara garis besar untuk membentuk sistem manajemen keamanan
TI berdasarkan ISO-17799, perusahaan harus menerapkan identity
management, vulnerability management, manajemen konten, dan
manajemen informasi.
Secara singkat, beberapa konsep di atas bisa di rangkum dalam

matriks berikut.

NO Komponen COSO COBIT SARBOX BASEL II ISO 17799 (ISO
Pembanding 27002)
1 Latar Belakang Untuk Dibentuk ISACA • Terbongkarnya Untuk Adanya
Pembentukan menghindari dan ITGI dengan skandal menciptakan kebutuhan akan
Standar terjadinya fraud tujuan untuk pelaporan tandar manajemen
atas laporan memberikan keuangan oleh internasional yang keamanan
keuangan. serangkaian beberapa dapat digunakan informasi.
langkah-langkah perusahaan besar oleh regulator
umum , indikator, di Amerika perbankan untuk
proses, dan • Untuk menentukan
praktek terbaik menciptakan Current Asset
dalam ”pengelolaan Ratio bank
memaksimalkan perusahaan yang sebagai
keuntungan yang baik” (corporate perlindungan
diperoleh melalui governance) dan terhadap risiko
penggunaan TI mengembalikan keuangan dan
dan membantu kepercayaan para operasional yang
mengembangkan investor serta dihadapi oleh
pengelolaan dan mencegah bank.
kontrol TI dalam adanya
sebuah kecurangan
perusahaan dalam penyajian
laporan
keuangan.
2 Stakeholder: • Pengguna • Manajer, • Pengguna laporan • Nasabah • Manajemen
• Pihak yang laporan auditor, keuangan • Perbankan • Bagian IT
diuntungkan keuangan pengguna TI • Dewan direksi, dalam
• Pihak yang • Manajemen • Bidang TI manajemen, perusahaan
menanggung dalam auditor, SEC
beban perusahaan,
vendor
3 Apa saja yang Model COSO, COBIT memiliki 4 Secara keseluruhan, Basel II bertujuan
diatur dalam terbit pertama cakupan domain, SARBOX terdiri atas meningkatkan
standar (poin-poin kali tahun 1992 yaitu : 11 Bab dan 1107 keamanan dan
utama) yang • Perencanaan dan Pasal yang dapat kesehatan sistem
mendefiniskan organisasi (plan disarikan menjadi 3 keuangan,
pengendalian kategori besar dengan
and organise)
intern sebagai sebagai berikut: menitikberatkan
• Pengadaan dan
suatu proses 1. Pelaporan, pada perhitungan
yang implementasi memperbaiki permodalan yang
dipengaruhi (acquire and pengungkapan berbasis risiko,
oleh dewan implement) (Disclosure): supervisory
komisaris, • Pengantaran dan Section 302, 401, review process,
manajemen dukungan 404, 409, 101, dan market
dan pegawai (deliver and 102, 104, 108, discipline.
lainnya yang support) 109, 408, 307 Framework Basel
didesain untuk • Pengawasan dan 2. Peran, II disusun
memperoleh evaluasi (monitor memperkuat tata berdasarkan
keyakinan yang and evaluate) kelola forward-looking
memadai perusahaan approach yang
terkait dengan (corporate memungkinkan
tujuan: governance): untuk dilakukan
a. efektivitas Section 204, 301, penyempurnaan
dan efisiensi 402, 407, 304, dan penyesuaian
dari aktivitas 804, 906, 1102, dari waktu ke
operasi 105, 802 waktu. Hal ini
b. kehandalan 3. Perilaku, untuk
dari pelaporan mengembangkan memastikan
keuangan akuntabilitas bahwa framework
c. ketaatan orang dalam Basel II dapat
peraturan (insider): Section mengikuti
perundangan 303, 306, 403, perubahan yang
dan kebijakan 406, 806, 201, terjadi di pasar
terkait 202, 203, 206 maupun
Untuk perkembangan-
1
menciptakan perkembangan
pengendalian dalam
internal yang manajemen risiko.
baik, COSO
memberikan
panduan dalam
penyusunannya
, yaitu dengan
menerapkan 5
komponen.
4 Konsep Menurut COSO, Fokus pengendalian Pengendalian intern Internal kontrol
pengendalian internal control dari CoBIT adalah mencakup 4 pilar dilakukan dengan
dalam masing- terdiri dari 5 sisi teknologi utama: menggunakan
masing standar komponen, informasi, yaitu 1. Analisis Anti- menggunakan 5
yaitu: dengan membangun Kecurangan Level elemen utama:
1. Lingkungan Makro 1. Management
sebuah internal
pengendalia 2. Penaksiran Level oversight and the
n
kontrol yang Makro terhadap
merupakan kesatuan Model Pengendalian control culture
2. Penilaian 2. Risk recognition
risiko dari beberapa proses 3. Penaksiran
yang terdiri atas and assessment
3. Aktivitas Kecukupan
kebijakan, prosedur, Pengendalian Umum 3. Control activities
pengendalia
n penerapan, serta IT atas Berbagai
and segregation
4. Informasi struktur organisasi. Sistem of duties
dan 4. Penaksiran 4. Information and
komunikasi Resiko dan communication
5. Monitoring Pengendalian di 5. Monitoring
Tempat untuk activities and
Memastikan correcting
Keandalan deficiencies
Pengungkapan Penggunaan rasio-
Ekstern rasio untuk menilai
kondisi keuangan
1
perbankan turut
menciptakan
pengendalian
internal yang baik
dengan seiring
meningkatnya
pengendalian risiko.

Coso Cobit Sarbox Basel II

Uploaded by

Document Information

Copyright

Available Formats

Share this document

Share or Embed Document

Sharing Options

Did you find this document useful?

Is this content inappropriate?

Copyright:

Available Formats

Coso Cobit Sarbox Basel II

Uploaded by

Copyright:

Available Formats

D IV STAN

PERBANDINGAN COSO, COBIT,

Pengendalian internal konsep mendasar dan terpenting yang perlu

Karena adanya praktik-praktik kampanye politik dari keuangan

The Treadwy Commission mempelajari sistem pelaporan informasi

COSO, COBIT, SARBANES OXLEY ACT, BASEL II, ISO 17799 1

Pada bulan September 1992, laporan sebanyak empat volume yang

2. Pihak yang Berkepentingan (Stakeholder)

COSO, COBIT, SARBANES OXLEY ACT, BASEL II, ISO 17799 1

COSO dan produk-produk yang dihasilkannya merupakan pelindung

3. Apa saja yang diatur?

COSO, COBIT, SARBANES OXLEY ACT, BASEL II, ISO 17799 1

a. Lingkungan pengendalian: Lingkungan pengendalian

COSO, COBIT, SARBANES OXLEY ACT, BASEL II, ISO 17799 1

b. Pengukuran risiko: Setiap organisasi menghadapi berbagai

c. Aktivitas pengendalian: Kegiatan-kegiatan pengendalian

d. Informasi dan komunikasi: Sistem informasi merupakan peran

e. Pemantauan: Sistem pengendalian internal harus dipantau –

COSO, COBIT, SARBANES OXLEY ACT, BASEL II, ISO 17799 1

5. Hal- hal yang bisa diterapkan di Indonesia

COSO, COBIT, SARBANES OXLEY ACT, BASEL II, ISO 17799 1

COBIT (Control Objectives of Information and Related Technology)

COBIT pertama kali diluncurkan pada tahun 1996. COBIT edisi

Institut IT Governance dibentuk oleh ISACA dan yayasan terkait

2. Pihak yang Berkepentingan (Stakeholder)

COSO, COBIT, SARBANES OXLEY ACT, BASEL II, ISO 17799 1

3. Apa saja yang diatur?

b. Acquisition dan implementation

COSO, COBIT, SARBANES OXLEY ACT, BASEL II, ISO 17799 1

c. Delivery and Support

COSO, COBIT, SARBANES OXLEY ACT, BASEL II, ISO 17799 1

a. Dimensi pertama : IT Roecources

Sisi sumber IT, atau dimensi pertama dari kotak COBIT

1) Data, adalah obyek-obyek dalam pengertian yang lebih luas

2) Sistem aplikasi, dipahami untuk menyimpulkan atau meringkas,

3) Teknologi, mencakup hardware, sistem operasi, sistem

4) Fasilitas, adalah semua sumber daya untuk menyimpan dan

5) Manusia termasuk staf ahli, kesadaran dan produktivitas untuk

b. Dimensi kedua : IT Process IT

COSO, COBIT, SARBANES OXLEY ACT, BASEL II, ISO 17799 1

COSO, COBIT, SARBANES OXLEY ACT, BASEL II, ISO 17799 1

c. Dimensi Ketiga : information criteria

COSO, COBIT, SARBANES OXLEY ACT, BASEL II, ISO 17799 1

C. SARBANES OXLEY ACT

Undang-undang ini dikeluarkan sebagai respons Kongres Amerika

COSO, COBIT, SARBANES OXLEY ACT, BASEL II, ISO 17799 1

Tujuan utama Sarbox adalah meningkatkan kepercayaan publik

Perdebatan dan kontroversi mengenai untung rugi penerapan

COSO, COBIT, SARBANES OXLEY ACT, BASEL II, ISO 17799 1

2. Pihak yang Berkepentingan (Stakeholder)

• Akuntan publik bersertifikat (Certified Public Accountants -CPA) dan

• Perusahaan yang listed di bursa Amerika Serikat (terutama manajemen,

• Pengacara yang berpraktik untuk perusahaan publik;

• Perantara, penyalur, investor perbankan serta analis keuangan.

3. Apa saja yang diatur?

TITLE I : PUBLIC COMPANY ACCOUNTING OVERSIGHT BOARD (9

TITLE II : AUDITOR INDEPENDENCE (9 section)

TITLE III : CORPORATE RESPONSIBILITY (8 section)

TITLE IV : ENHANCED FINANCIAL DISCLOSURES (9 section)

TITLE V : ANALYST CONFLICTS OF INTEREST (1 section)

TITLE VI : COMMISSION RESOURCES AND AUTHORITY (4 section)

TITLE VII : STUDIES AND REPORTS (5 section)

TITLE VIII: CORPORATE AND CRIMINAL FRAUD ACCOUNTABILITY (7

TITLE IX : WHITE-COLLAR CRIME PENALTY ENHANCEMENTS (6 section)