D IV

STAN

2009

PERBANDINGAN COSO, COBIT, SARBANES OXLEY ACT,BASEL II, DAN
ISO 17799
Kelas 8 A kelompok 4 :
Dedy Surya Winata (06) Desi Arya Darmawan (07) Iduberga Shinta Nur JKJ (12) Imam Ulil Amri (13) M. Baiquni (19) Muhammad Zawawi (20) Riana Arum (23)

PERBANDINGAN ANTARA :
COSO, COBIT, SARBANES OXLEY ACT, BASEL II, ISO 17799
Pengendalian internal konsep mendasar dan terpenting yang perlu dipahami auditor, baik eksternal maupun internal. Auditor meninjau lingkup operasi dan keuangan organisasi dengan tujuan menentukan luas dan dalamnya pemeriksaan atau mengevaluasi pengendalian internalnya. Berikut ini adalah beberapa konsep yang berkembang di dunia.

A. COSO
1. Latar Belakang
COSO atau merupakan akronim dari The Committee of Sponsoring Organizations of The Treadway Commission adalah sebuah organisasi sektor swasta yang sukarela, didirikan di Amerika Serikat, yang bertujuan untuk menyediakan panduan kepada manajemen eksekutif dan pengelola perusahaan tentang aspek-aspek kritis dalam pengelolaan organisasi, etika bisnis, pengendalian internal, manajemen risiko perusahaan, kecurangan, dan pelaporan keuangan. COSO telah menerbitkan sebuah model pengendalian internal yang umum yang dengannya perusahaan dan organisasi dapat menilai sistem pengendalian mereka. Karena adanya praktik-praktik kampanye politik dari keuangan perusahaan dan praktik-praktik korupsi di dalamnya pada pertengahan dekade 1970-an, SEC di Amerika Serikat dan Kongres AS membuat reformasi hukum kampanye keuangan dan Foreign Corrupt Practices Act (FCPA) tahun 1977 yang mengkriminalisasikan praktik penyuapan antar negara dan mensyaratkan program perusahaan-perusahaan pengendalian internal. dan untuk Sebagai membuat mengimplementasikan pada tahun 1985

responsnya, the Treadway Commission, insiasi sektor swasta, dibentuk untuk memeriksa, menganalisa, rekomendasi pada kecurangan dari pelaporan keuangan perusahaan. The Treadwy Commission mempelajari sistem pelaporan informasi keuangan selama periode Oktober 1985 sampai dengan September 1987 dan mengeluarkan laporan temuan dan rekomendasi pada Oktober 1987 yang berjudul Report of the National Commission on Fraudulent Financial

COSO, COBIT, SARBANES OXLEY ACT, BASEL II, ISO 17799

1

Reporting. Sebagai hasil dari laporan resmi tersebut, COSO dibentuk dan membayar Coopers & Lybrand, perusahaan CPA utama, untuk mempelajari masalah-masalah yang ada dan membuat laporan mengenai kerangka kerja pengendalian internal yang terintegrasi. Pada bulan September 1992, laporan sebanyak empat volume yang berjudul Internal Control – Integrated Framework diterbitkan oleh COSO dan kemudian diterbitkan ulang dengan sedikit perubahan pada tahun 1994. Laporan ini menyajikan definisi umum dari pengendalian internal dan menyediakan kerangka kerja yang dengannya pengendalian internal dapat dinilai dan dikembangkan. Laporan ini adalah salah satu standar yang dipakai perusahaan-perusahaan di Amerika Serikat untuk mengevaluasi kepatuhan mereka terhadap FCPA. Berdasarkan sebuah polling oleh majalah CFO yang dikeluarkan pada tahun 2006, 82% responden mengaku mereka menggunakan kerangka kerja COSO untuk pengendalian internal. Kerangka kerja lainnya yang digunakan responden antara lain COBIT, AS2 (Standar Audit No.2, PCAOB), dan SAS 55/78 (AICPA).

2. Pihak yang Berkepentingan (Stakeholder)
Mengaplikasikan model pengendalian internal milik COSO bagi manajemen tidaklah semudah jika dibandingkan dengan menggunakan model tradisional. Model tradisonal, yang utamanya menangani pengendalian keuangan, secara substansial telah meluas. Kerangka kerja COSO mempertimbangkan tidak hanya evaluasi dari pengendalian yang keras (hard control), seperti pemisahan fungsi, tetapi juga pengendalian yang lunak (soft control), seperti kompetensi dan profesionalitas pegawai. Karena mengaplikasikan COSO tidak semudah apa yang ada di teorinya, maka belum ada pendekatan yang standar dalam melakukan audit terhadap pengendalian yang lunak dari COSO seperti integritas dan nilainilai etika dari pegawai, filosofi dan gaya kepemimpinan dari manajemen, dan keefektifan dari komunikasi. Dari hal tersebut dapat diketahui bahwa pengaplikasian COSO sesuai dengan yang diteorikan merupakan hal yang sulit bagi manajemen. Demikian juga bagi auditor internal, audit internal yang dirancang untuk mempertimbangkan kosep pengendalian COSO

COSO, COBIT, SARBANES OXLEY ACT, BASEL II, ISO 17799

1

yang baru akan menjadi lebih rumit dibandingkan audit pengendalian internal yang tradisional. COSO dan produk-produk yang dihasilkannya merupakan pelindung bagi investor, pegawai perusahaan, dan pihak-pihak yang berkepentingan lainnya dari mengalami kerugian dari peristiwa-peritiwa skandal keuangan yang telah terjadi. COSO memberikan kepastian kepada pihak-pihak tersebut sehingga mereka memperoleh bagian haknya dengan sesuai.

3. Apa saja yang diatur?
Kerangka kerja COSO terdiri dari beberapa konsep penting, yaitu: 1. Pengendalian internal adalah sebuah proses. Proses itu merupakan alat untuk mencapai akhir, bukan titik akhir dari proses. 2. Pengendalian internal dipengaruhi oleh orang. Hal itu bukan hanya kebijakan, petunjuk manual, dan format, melainkan juga orang-orang di setiap tingkatan dalam organisasi. 3. Pengendalian internal dapat diharapkan untuk menyediakan keyakinan yang beralasan, bukan keyakinan absolut, bagi manajemen perusahaan. 4. Pengendalian internal dilengkapi dengan satu atau lebih kategori yang terpisah namun tumpang tindih untuk pencapaian tujuan tertentu. Kerangka kerja COSO mendefinisikan pengendalian internal sebagai sebuah proses, dipengaruhi oleh dewan direksi, manajemen, dan orangorang lainnya dalam perusahaan. Menurut COSO, komponen tersebut menyediakan kerangka kerja yang efektif untuk menggambarkan dan menganalisa sistem pengendalian internal yang diimplementasikan dalam sebuah organisasi seperti yang disyaratkan oleh peraturan keuangan. Manajemen Terintegrasi Pada tahun 2001, COSO menginisiasi sebuah proyek, dan meminang PricewaterhouseCoopers, untuk membangun sebuah kerangka kerja yang siap digunakan oleh manajemen untuk mengevaluasi dan mengembangkan manajemen risiko perusahaan mereka. Kegagalan dan skandal bisnis tingkat tinggi (contohnya Enron, Tyco International, Adelphia, Peregrine Systems, dan WorldCom) merupakan penggilan untuk mengembangkan menajemen risiko dan pengelolaan perusahaan. Sebagai Risiko Perusahaan – Kerangka Kerja yang

COSO, COBIT, SARBANES OXLEY ACT, BASEL II, ISO 17799

1

hasilnya, akte Sarbanes-Oxley diterbitkan. Peraturan tersebut memperluas persyaratan jangka panjang dari perusahaan publik untuk menjaga sistem pengendalian internalnya, mensyaratkan manajemen untuk mengakui dan auditor independen untuk menguji kefektifan sistem tersebut. Pengendalian internal – kerangka kerja yang terintegrasi terus melayani sebagai standar yang diterima secara luas untuk mencapai persyaratanpersyaratan laporan tersebut, bagaimanapun juga, pada tahun 2004 COSO menerbitkan manajemen risiko perusahaan – karangka kerja yang terintegrasi. COSO percaya kerangka kerja ini memperluas pengendalian internal, menyediakan fokus yang lebih kuat dan ekstensif dalam subjek yang lebih luas dari manajemen risiko perusahaan. Empat Kategori dari Tujuan Bisnis Kerangka kerja manajemen risiko perusahaan ini masih diperalati untuk pencapaian tujuan-tujuan perusahaan; bagaimanapun juga sekarang ini terdiri dari empat kategori, yaitu: a. Stratejik: sasaran-sasaran tingkat tinggi, dihubungkan dengan dan membantu misi perusahaan. b. Operasi: penggunaan sumber daya perusahaan secara efektif dan efisien. c. Pelaporan: reliabilitas dari pelaporan. d. Kepatuhan: kepatuhan terhadap hukum dan peraturan yang berlaku.

4. Konsep Pengendalian
Kerangka kerja COSO mendefinisikan pengendalian internal sebagai sebuah proses, dipengaruhi oleh dewan direksi, manajemen, dan orangorang lainnya dalam perusahaan. Menurut COSO, komponen tersebut menyediakan kerangka kerja yang efektif untuk menggambarkan dan menganalisa sistem pengendalian internal yang diimplementasikan dalam sebuah organisasi seperti yang disyaratkan oleh peraturan keuangan. Kelima komponen pengendalian internal sebagai berikut: a. Lingkungan pengendalian: Lingkungan pengendalian

membentuk irama dari sebuah organisasi, mempengaruhi kesadaran pengendalian dari para anggotanya. Hal ini merupakan dasar untuk keempat komponen pengendalian internal yang lainnya, yang menyediakan struktur dan disipilin. Faktor lingkungan pengendalian

COSO, COBIT, SARBANES OXLEY ACT, BASEL II, ISO 17799

1

terdiri dari integritas, nilai-nilai etika, gaya kepemompinan manajemen, delegasi sistem kekuasaan, sebagaimana juga proses untuk mengatur dan mengembangkan sumber daya manusia dalam organisasi. b. Pengukuran risiko: Setiap organisasi menghadapi berbagai

macam risiko dari sumber-sumber eksternal dan internal yang harus diukur. Prakondisi untuk pengukuran risiko adalah menetapkan tujuan dan pengukuran risiko tersebut merupakan identifikasi dan analisa dari risiko-risiko ditetapkan. yang relevan dalam risiko pencapaian diwajibkan tujuan untuk yang telah Pengukuran menentukan

bagaimana risiko harus dikelola. c. Aktivitas pengendalian: tujuan untuk Kegiatan-kegiatan dan manajemen mengelola dan fungsi pengendalian yang Aktivitas dapat

merupakan membantu diperlukan terjadi

kebijakan-kebijakan memastikan telah diambil

prosedur-prosedur tercapai. risiko

pengendalian membantu memastikan bahwa tindakan-tindakan yang yang menghambat pencapaian tujuan organisasi. Aktivitas pengendalian pada seluruh tingkatan organisasi. Aktivitas pengendalian mengandung beberapa kegiatan yang berbeda seperti penyetujuan, otorisasi, verifikasi, rekonsiliasi, reviu terhadap kinerja operasional, keamanan aset, dan pemisahan kewenangan. d. Informasi dan komunikasi: Sistem informasi merupakan peran

kunci dalam sistem pengendalian internal disebabkan sistem tersebut menghasilkan laporan, termasuk operasional, keuangan dan informasiinformasi yang beruhubungan lainnya, yang memungkinkan sistem ini membantu menjalankan dan mengendalikan bisnis. Dalam pandangan yang lebih luas, komunikasi yang efektif harus memastikan informasi mengalir dengan lancar ke sluruh aspek organisasi. Komunikasi yang efektif harus juga dapat memberi keyakinan kepada pihak-pihak eksternal, seperti pelanggan, pemasok, pembuat peraturan, dan pemegang saham, tentang posisi kebijakan yang terkait. e. Pemantauan: Sistem pengendalian internal harus dipantau –

sebuah proses yang mengukur kualitas kinerja sistem dalam jangka waktu tertentu. Hal tersebut terpenuhi melalui pemantauan yang terus menerus atau evaluasi yang terpisah. Kelemahan pengendalian internal yang dapat ditemukan melaui kegiatan pemantauan tersebut

COSO, COBIT, SARBANES OXLEY ACT, BASEL II, ISO 17799

1

harus dilaporkan ke tingkat yang paling atas dan tindakan perbaikan harus diambil untuk memastikan pengembangan sistem yang berkesinambungan.

5. Hal- hal yang bisa diterapkan di Indonesia
Definisi pengendalian interen yang dirumuskan oleh COSO, di Indonesia diadopsi dalam SPAP yang dikeluarkan oleh Ikatan Akuntan Indonesia. Dalam SPAP SA Seksi 319, pengendalian interen adalah suatu proses yang dilakukan oleh dewan komisaris, manajemen dan personil dari suatu entitas yang dirancang untuk memberikan kepastian yang memadai bahwa tujuan organisasi berupa efektivitas dan efisiensi usaha, pelaporan keuangan yang dapat diandalkan, dan ketaatan pada peraturan dan perundangan yang berlaku dapat dicapai. Risk appetite berkaitan dengan level risiko yang ditentukan oleh organisasi. Implementasi risk appetite dapat dicontohkan pada penerapan jalur hijau oleh Kantor Pelayanan Bea dan Cukai (KPBC) atas barang impor yang menurut ketentuan tidak diperiksa oleh petugas verifikasi KPBC. Tidak dilakukannya pemeriksaan berpeluang pada penyeludupan barang impor yang seharusnya dikenakan pajak dan bea masuk yang lebih tinggi dari yang dilaporkan yang berpotensi merugikan negara sebesar 5% dari total penerimaan. Kerugian 5% tersebut adalah kerugian yang telah diperkirakan dari penerapan jalur hijau yang bertujuan mengoptimalkan pelayanan, dan dipandang wajar untuk aktivitas pabean secara internasional. DI Indonesia , bagi BUMN keharusan penyelenggaraan internal control berbasis framework COSO (internal control COSO) tertuang dalam pasal 22 Keputusan Menteri BUMN Nomor Kep-117/M-MBU/2002 tentang penerapan good governance pada Badan Usaha Milik Negara (BUMN). Produk Internal Contol COSO untuk BUMN/D yang dikembangkan BPKP secara bertahap saat ini masih berupa I.C level aktivitas Pengadaan Barang dan Jasa (PBJ) pada BUMN/D. Sedangkan untuk produk I. C. Level entitas laporan keuangan BUMN/D masih tahap pengembangan konsep awal.

B. COBIT

COSO, COBIT, SARBANES OXLEY ACT, BASEL II, ISO 17799

1

1. Latar Belakang
Control Objectives of Information and Related Technology (COBIT) merupakan suatu metodologi yang terdiri dari standar dan pengendalian yang dibuat untuk membantu organisasi dalam implementasi, review, administrasi, dan pemantauan lingkungan teknologi informasi. COBIT (Control Objectives of Information and Related Technology) merupakan seperangkat alat bagi managemen IT yang diciptakan oleh Information System Audit and Control Association (ISACA) dan IT Governance Institute (ITGI) pada tahun 1992, dengan misi untuk mengembangkan, melakukan riset, dan mempublikasikan suatu standar teknologi informasi yang diterima umum dan selalu up to date untuk digunakan dalam kegiatan bisnis sehari-hari. COBIT pertama kali diluncurkan pada tahun 1996. COBIT edisi keempat merupakan versi terakhir dari tujuan pengendalian untuk informasi dan teknologi terkait, release pertama diluncurkan oleh yayasan ISACF pada tahun 1996. COBIT edisi kedua, merefleksikan suatu peningkatan sejumlah dokumen sumber, revisi pada tingkat tinggi dan tujuan pengendalian rinci dan tambahan seperangkat alat implementasi (implementation tool set), yang telah dipublikasikan pada tahun 1998. COBIT pada edisi ketiga ditandai dengan masuknya penerbit utama baru COBIT yaitu Institut IT Governance. Institut IT Governance dibentuk oleh ISACA dan yayasan terkait pada tahun 1998 dan memberikan pemahaman lebih dan mengadopsi prinsip-prinsip pengaturan TI. Melalui penambahan pedoman manajemen (management guidelines) untuk COBIT edisi ketiga dikeluarkan pada tahun 2000. Dalam edisi ini terdapat penambahan yang meliputi pedoman bagi manajemen untuk menerapkan COBIT dan fokusnya diperluas dan ditingkatkan pada IT Governance. Institut IT Governance mengambil peranan yang penting dalam pengembangan publikasi.

2. Pihak yang Berkepentingan (Stakeholder)
Manajemen harus memutuskan apa yang harus diinvestasikan untuk pengendalian dan keamanan IT dan bagaimana cara menyeimbangkan risiko dan mengendalikan dalam lingkungan IT yang tidak bisa diramalkan. Pengendalian dan pengamanan sistem informasi dapat membantu mengelola risiko tetapi tidak dapat menghapuskan risiko

COSO, COBIT, SARBANES OXLEY ACT, BASEL II, ISO 17799

1

sama sekali. Tingkat risiko tidak pernah dapat diketahui secara tepat karena selalu ada ketidakpastian. Para pemakai jasa IT ingin memperoleh keyakinan akan adanya pengendalian dan pengamanan yang cukup, melalui akreditasi dan audit jasa IT yang disediakan oleh pihak internal maupun oleh pihak ketiga. Untuk meningkatkan kualitas opini audit dan menyediakan usulan perbaikan pengendalian intern kepada manajemen. Auditor menggunakan kerangka COBIT dalam melakukan audit yaitu dengan cara: a) membentuk dasar dan standar pengendalian b) memfasilitasi dan membuat matriks kinerja untuk penilaian risiko c) mengembangkan rencana audit d) memfasilitasi audit e) mengelola risiko residual f) memberikan saran pengendalian manajemen dan rekomendasi kepada

3. Apa saja yang diatur?
Domain merupakan pengelompokkan secara alami dari proses IT, dan sering sesuai dengan domain tanggung jawab perusahaan. Dalam suatu organisasi, COBIT menggambarkan empat domain khusus: a. Planning and organization Domain ini mencakup strategi dan taktik, dan perhatian atas identifikasi bagaimana IT secara maksimal dapat berkontribusi dalam pencapaian tujuan bisnis. Selain itu, realisasi dari visi strategis perlu direncanakan, dikomunikasikan, dan dikelola untuk berbagai perspektif yang berbeda. Terakhir, sebuah pengorganisasian yang baik serta infrastruktur teknologi harus di tempatkan di tempat yang semestinya. Langkah-langkah:  Menetapkan rencana stratejik TI  Menetapkan susunan informasi  Menetapkan kebijakan teknologi  Menetapkan hubungan dan organisasi TI  Mengelola investasi IT  Mengkomunikasikan arah dan tujuan manajemen  Mengelola sumberdaya manusia  Memastikan pemenuhan keperluan pihak eksternal  Menaksir risiko  Mengelola proyek  Mengelola kualitas b. Acquisition dan implementation

COSO, COBIT, SARBANES OXLEY ACT, BASEL II, ISO 17799

1

Untuk merealisasikan strategi IT, solusi TI perlu diidentifikasi, dikembangkan atau diperoleh, serta diimplementasikan, dan terintegrasi ke dalam proses bisnis. Selain itu, perubahan serta pemeliharaan sistem yang ada harus di cakup dalam domain ini untuk memastikan bahwa siklus hidup akan terus berlangsung untuk sistemsistem ini. Langkah-langkah :  Mengidentifikasi solusi terotomatisasi  Mendapatkan dan memelihara software aplikasi  Mendapatkan dan memelihara infrastruktur teknologi  Mengembangkan dan memelihara prosedur  Memasang dan mengakui sistem  Mengelola perubahan c. Delivery and Support Domain ini

memberikan

fokus

utama

pada

aspek

penyampaian/pengiriman dari IT. Domain ini mencakup area-area seperti pengoperasian aplikasi-aplikasi dalam sistem IT dan hasilnya, dan juga, proses dukungan yang memungkinkan pengoperasian sistem IT tersebut dengan efektif dan efisien. Proses dukungan ini termasuk isu/masalah keamanan dan juga pelatihan. Langkah-langkah :  Menetapkan dan mengelola tingkat pelayanan  Mengelola pelayanan kepada pihak lain  Mengelola kinerja dan kapasitas  Memastikan pelayanan yang kontinyu  Memastikan keamanan sistem  Melakukan identifikasi terhadap atribut biaya  Memberi pelatihan kepada user  Melayani konsumen IT  Mengelola konfigurasi/susunan  Mengelola masalah dan kecelakaan  Mengelola data  Mengelola fasilitas  Mengelola operasi d. Monitoring

COSO, COBIT, SARBANES OXLEY ACT, BASEL II, ISO 17799

1

Semua proses IT perlu dinilai secara teratur sepanjang waktu untuk menjaga kualitas dan pemenuhan atas syarat pengendalian. Domain ini menunjuk pada perlunya pengawasan manajemen atas proses pengendalian dalam organisasi serta penilaian independen yang dilakukan baik auditor internal maupun eksternal atau diperoleh dari sumber-sumber anternatif lainnya. Langkah-langkah:  Memonitor proses  Menaksir kecukupan pengendalian internal  Mendapatkan kepastian yang independen

4. Konsep Pengendalian
COBIT melihat pengendalian dalam tiga dimensi berbeda yaitu sumber IT (resources), proses IT, dan kriteria informasi IT. Tiga dimensi tersebut dimasukkan dalam suatu bentuk yang disebut COBIT Cube. a. Dimensi pertama : IT Roecources Sisi sumber IT, atau dimensi IT pertama dari kotak COBIT

menggambarkan

semua

asset

suatu

perusahaan,

termasuk

orangnya, system aplikasinya, teknologi yang digunakan, fasilitas dan nilai suatu data. Sumberdaya TI yang diidentifikasikan dalam COBIT dapat diterangkan atau diidentifikasikan sebagai berikut : 1) Data, adalah obyek-obyek dalam pengertian yang lebih luas (yakni internal dan eksternal), terstruktur dan tidak terstruktur, grafik, suara dan sebagainya. 2) Sistem aplikasi, dipahami untuk menyimpulkan atau meringkas, baik prosedur manual maupun yang terprogram. 3) Teknologi, mencakup hardware, sistem operasi, sistem manajemen database, jaringan (networking), multimedia, dan lainlain. 4) Fasilitas, adalah semua sumber daya untuk menyimpan dan mendukung sistem informasi. 5) Manusia termasuk staf ahli, kesadaran dan produktivitas untuk merencanakan, mengorganisasikan atau melaksanakan, memperoleh, menyampaikan, mendukung dan memantau layanan sistem informasi. b. Dimensi kedua : IT Process IT

COSO, COBIT, SARBANES OXLEY ACT, BASEL II, ISO 17799

1

Terdiri dari tiga segmen, yaitu domain, proses, dan aktivitas. Domain COBIT sebagaimana telah disebutkan di atas, merupakan bentuk pengelompokkan dari 34 pengendalian sasaran tingkat atas yang menjadi acuan dalam proses pengendalian. Pengelompokkan pengendalian sasaran tingkat atas tersebut meliputi: 1. Perencanaan dan Organisasi  Mendefinisikan rencana strategis IT  Mendefinisikan arsitektur informasi  Menentukan petunjuk teknologis  Mengatur investasi IT  Mengkomunikasikan petunjuk dan tujuan manajemen  Mengelola sumberdaya manusia  Meyakinkan kepatuhan terhadap hubungan luar  Menetapkan risiko  Mengelola proyek-proyek  Menjaga kualitas 2. Akuisisi dan Implementasi  Mengidentifikasikan solusi otomatis  Memperoleh dan menerapkan aplikasi perangkat lunak  Memperoleh dan merawat infrastruktur teknologi  Mengembangkan dan mengelola prosedur  Memasang dan mempercayakan  Mengelola peluang 3. Delivery and Support  Menentukan dan mengelola tingkatan jasa  Mengelola jasa-jasa pihak ketiga  Mengelola penampilan dan kapasitas  Meyakinkan servis yang berkelanjutan  Meyakinkan keamanan sistem  Mengidentifikasi dan mengalokasikan biaya  Mendidik dan melatih pengguna  Mendukung dan memberitahukan kepada pelanggan

COSO, COBIT, SARBANES OXLEY ACT, BASEL II, ISO 17799

1

 Mengelola konfigurasi  Mengelola masalah-masalah dan kejadian-kejadian  Mengelola data  Mengelola fasilitas  Mengelola operasi 4. monitoring  mengawasi proses  mengawasi kecukupan pengendalian internal  mendapatkan keyakinan yang independen  menyiapkan audit yang independen c. Dimensi Ketiga : information criteria Kriteria informasi merupakan satu set faktor yang terdiri dari: 1. Efektifitas, 2. Efisiensi, 3. Kerahasiaan, 4. Integritas, 5. Ketersediaan, 6. Kepatuhan, 7. Keandalan.
B s e sP c s e u in s ro e s s
in rm tio c ria fo a n rite •e c e e s ffe tiv n s • e ie c ffic n y • c n e tia o fid n lity • in g te rity •a a b v ila ility • c m lia c o p ne • re b lia ility

ITR s u e e o rc s
• d ta a •a p a n p lic tio s • te h o g c n lo y • fa ilite c s • p o le ep

M n rin o ito g

P n g& la in O a is tio rg n a n D liv ry& e e Spo u p rt A q is n& c u itio Im le e ta n p m n tio

COSO, COBIT, SARBANES OXLEY ACT, BASEL II, ISO 17799

1

5. Hal- hal yang bisa diterapkan di Indonesia
COBIT bisa diterapkan di semua perusahaan yang mempunyai IT. Namun sayang, perlu investasi yang besar untuk IT dan biasanya hanya dilakukan oleh perusahaan yang besar saja.

C. SARBANES OXLEY ACT
1. Latar Belakang
Sarbanes-Oxley of 2002 adalah nama lain dari undang-undang reformasi perlindungan investor (The Public Company Accounting Reform and Investor Protection Act of 2002) yang ditandatangani pada 30 Juli 2002. Akta ini diberi nama berdasarkan orang yang mengusulkannya: Senator Paul Sarbanes dari Maryland dan Representatif Michael Oxley dari Ohio, dan kadang disingkat menjadi SOx atau Sarbox atau SOA. Undangundang ini disetujui oleh Dewan dengan suara 423-3 dan oleh Senat dengan suara 99-0 serta disahkan menjadi hukum oleh Presiden George W. Bush. Undang-undang ini dikeluarkan sebagai respons Kongres Amerika Serikat terhadap berbagai skandal akuntansi pada beberapa korporasi besar seperti: Enron, WorldCom (MCI), Tyco International, Adelphia, Xerox, dan Peregrine Systems; yang juga melibatkan KAP yang termasuk dalam “the big five” seperti Arthur Andersen. Para pucuk pimpinan dan akuntan publik tersebut melakukan rekayasa keuangan yang sangat merugikan para pemegang saham.Skandal-skandal ini menyebabkan kerugian bilyunan dolar bagi investor karena runtuhnya harga saham perusahaanperusahaan yang terpengaruh dan menimbulkan kepanikan luar biasa di kalangan dunia usaha, serta mengguncang kepercayaan masyarakat terhadap pasar saham nasional. Masyarakat memiliki sentimen negatif terhadap sistem penyusunan dan pemeriksaan laporan keuangan dan mengangap kasus-kasus tersebut merupakan puncak dari kebobrokan perusahaan-perusahaan di Amerika Serikat. Kepercayaan publik sebagai salah satu pilar mekanisme pasar modal telah rusak dan butuh usaha keras untuk memulihkannya kembali. Semua skandal ini merupakan contoh tragis bagaimana fraud schemes berdampak sangat buruk terhadap pasar, stakeholders dan para pegawai.

COSO, COBIT, SARBANES OXLEY ACT, BASEL II, ISO 17799

1

Belajar dari pengalaman itulah, para regulator Amerika Serikat menyusun Sarbanes-Oxley Act untuk mencegah terulangnya kejadian serupa. Konggres berangapan bahwa skandal-skandal keuangan tersebut tidak bisa dilihat sebagai kasus, namun sebuah indikasi perlunya sebuah peraturan yang lebih ketat yang mengatur penyiapan dan pemeriksaan laporan keuangan. Dengan ditetapkan peraturan tersebut diharapkan kepercayaan publik bisa pulih lagi sehingga resesi keuangan yang terjadi di tahun 1929 tidak terjadi lagi. Tujuan utama Sarbox adalah meningkatkan kepercayaan publik terhadap implementasi prinsip pertanggungjawaban keuangan perusahaan publik (good corporate governance - GCG) bagi perusahaan yang telah go publik. Perundang-undangan ini menetapkan suatu standar baru dan lebih baik bagi semua dewan dan manajemen perusahaan publik serta kantor akuntan korporasi, publik (KAP) walaupun dalam tidak berlaku bagi perusahaan tertutup. Sarbox diharapkan akan meningkatkan standar akuntabilitas memperkecil transparansi bagi pelaporan atau keuangan, untuk kemungkinan perusahaan organisasi

melakukan dan menyembunyikan fraud, serta membuat perhatian pada tingkat sangat tinggi terhadap corporate governance. Dalam SarbanexOxley Act diatur tentang akuntansi, pengungkapan dan pembaharuan tatakelola, yang mensyaratkan adanya pengungkapan yang lebih banyak mengenai informasi keuangan, keterangan tentang hasil-hasil yang dicapai manajemen, kode etik bagi pejabat di bidang keuangan, pembatasan kompensasi ekskutif dan pembentukan komite audit yang independen. Perdebatan dan kontroversi mengenai untung rugi penerapan Sarbox masih terus terjadi. Para pendukungnya merasa bahwa aturan ini diperlukan dan memegang peranan penting untuk mengembalikan kepercayaan publik terhadap pasar modal nasional dengan antara lain memperkuat pengawasan akuntansi perusahaan. Sementara para penentangnya berkilah bahwa Sarbox tidak diperlukan dan campur tangan pemerintah dalam manajemen perusahaan menempatkan perusahaanperusahaan AS pada kerugian kompetitif terhadap perusahaan asing. Manfaat Sarbox secara langsung berdampak positif dalam rangka

COSO, COBIT, SARBANES OXLEY ACT, BASEL II, ISO 17799

1

implementasi GCG di perusahaan publik di berbagai belahan dunia lainnya.

2. Pihak yang Berkepentingan (Stakeholder)
Sarbanes-Oxley Act 2002 memiliki dampak yang cukup serius bagi perusahaan yang listed di Bursa Saham Amerika Serikat (NYSE dan NASDAQ) dan berbagai profesi penunjang pasar modal. Pihak-pihak yang kena dampak langsung dan memperoleh tambahan beban/tugas atas diberlakukan Sarbanes-Oxley Act diantaranya: • Akuntan publik bersertifikat (Certified Public Accountants -CPA) dan Kantor Akuntan Publik yang memeriksa perusahaan publik Amerika Serikat (AS), baik berada dalam yuridikasi AS maupun tidak; • Perusahaan yang listed di bursa Amerika Serikat (terutama manajemen, termasuk dewan perusahaan, direksi, karyawan, dan pemegang saham); • Pengacara yang berpraktik untuk perusahaan publik; • Perantara, penyalur, investor perbankan serta analis keuangan.

3. Apa saja yang diatur?
Sarbox terdiri dari 11 judul atau bagian dan dijabarkan lagi dalam 66 sectionyang menetapkan hal-hal mulai dari tanggung jawab tambahan Dewan Perusahaan hingga hukuman pidana, sebagai berikut: . TITLE I section) TITLE II : PUBLIC COMPANY ACCOUNTING OVERSIGHT BOARD (9 : AUDITOR INDEPENDENCE (9 section)

TITLE III : CORPORATE RESPONSIBILITY (8 section) TITLE IV : ENHANCED FINANCIAL DISCLOSURES (9 section) TITLE V : ANALYST CONFLICTS OF INTEREST (1 section)

TITLE VI : COMMISSION RESOURCES AND AUTHORITY (4 section) TITLE VII : STUDIES AND REPORTS (5 section) TITLE VIII: CORPORATE AND CRIMINAL FRAUD ACCOUNTABILITY (7 section) TITLE IX : WHITE-COLLAR CRIME PENALTY ENHANCEMENTS (6 section)

COSO, COBIT, SARBANES OXLEY ACT, BASEL II, ISO 17799

1

TITLE X

: CORPORATE TAX RETURNS (1 section)

TITLE XI : CORPORATE FRAUD AND ACCOUNTABILITY (7 section)

Dalam Sarbanes-Oxley Act diatur tentang akuntansi, pengungkapan dan pembaharuan governance; yang mensyaratkan adanya pengungkapan yang lebih banyak mengenai informasi keuangan, keterangan tentang hasilhasil yang dicapai manajemen, kode etik bagi pejabat di bidang keuangan, pembatasan kompensasi eksekutif, dan pembentukan komite audit yang independen. Selain itu diatur pula mengenai hal-hal sebagai berikut: • Mendirikan the Public Company Accounting Oversight Board, sebuah dewan yang independen dan bekerja full-time bagi pelaku pasar modal • Menetapkan beberapa tanggung jawab baru kepada dewan komisaris, komite audit dan pihak manajemen • Penambahan tanggung jawab dan anggaran SEC secara signifikan • Mendefinisikan jasa non-audit yang tidak boleh diberikan oleh KAP kepada klien • Memperbesar hukuman bagi terjadinya corporate fraud • Mensyaratkan adanya aturan mengenai cara menghadapi conflicts of interest • Menetapkan beberapa persyaratan pelaporan yang baru.

a. Public Company Accounting Oversight Board (PCAOB)
Dewan ini dibentuk berdasarkan amanat Sarbanes-Oxley Act Title I. PCAOB dibentuk untuk mengawasi proses penyusunan, pemeriksaan dan pelaporan laporan keuangan perusahaan publik di Amerika Serikat. Dewan ini mempunyai 5 orang anggota yang dipilih oleh SEC setelah berkonsultasi dengan Menteri Keuangan (Secretary of Treasury) dan Gubernur Bank Sentral (Chairman of the Federal Reserve Board). Masa tugas dari badan tersebut adalah 5 tahun dan dapat tidak dapat dipilih lagi setelah dua periode. Terdapat pembatasan atas keanggotaan tersebut, yaitu hanya dua orang CPA yang boleh menjadi anggota Badan ini pada waktu yang bersamaan, dan mereka tidak boleh berpraktik sebagai CPA selama 5 tahun terakhir sebelum menjabat sebagai anggota PCAOB. Tugas-tugas dari PCAOB adalah: 1) Melakukan registrasi terhadap KAP yang melakukan pemeriksaan terhadap perusaaan yang mencatatkan bursanya pasar modal (perusahaan public)  (Section 102) 2) Menetapkan atau mengadopsi, atau melakukan keduanya: standar audit, quality control, etika, independensi, dan beberapa standar lain yang berkaitan dengan proses penyusunan laporan audit untuk perusahaan public. (Section 103) 3) Melaksanakan inspeksi terhadap KAP-KAP (Section 104) 4) Melakukan investigasi, penegakan disiplin dan pengenaan sanksi terhadap

COSO, COBIT, SARBANES OXLEY ACT, BASEL II, ISO 17799

1

KAP dan partner dari KAP yang melakukan pelanggaran. (Section 105) 5) Melakukan tugas-tugas dan fungsi-fungsi lain sebagai dewan yang dianggap perlu untuk meningkatkan standar professional pada KAP dan pihak terkait untuk melindungi kepentingan investor dan publik. 6) Menegakkan ketaatan terhadap Akta ini, aturan Badan, standar professional dan hukum. 7) Menetapkan anggaran dan mengelola operasional Badan dan staf-stafnya.

b. INDEPENDENSI AUDITOR
Setiap KAP, baik yang beroperasi di USA atau di luar negeri, yang ikut serta dalam penyiapan dan penerbitan laporan audit perusahaan publik wajib terdaftar pada PCAOB. Biaya pendaftaran dan pembayaran iuran tahunan yang dipungut dari masing-masing KAP terdaftar dipergunakan untuk menutupi biaya pemrosesan dan review aplikasi pendaftaran dan laporan tahunan yang disampaikan KAP terdaftar kepada Badan Pengawas. Melalui kewajiban ini, KAP yang terdaftar diwajibkan memelihara kertas kerja audit dan informasi serta dokumen lainnya yang berkaitan dengan laporan audit minimal tujuh tahun. Jasa Tambahan yang Tidak Diperbolehkan. Untuk menjaga independensi auditor maka sebuah kantor akuntan publik atau perseorangan yang berasosiasi dengan kantor tersebut apabila mendapatkan penugasan audit maka dilarang untuk melayani jasa tambahan berikut ini (Section 201): 1) Jasa pembukuan dan jasa lain yang terkait dengan laporan keuangan dan akuntansi klien audit. 2) Desain sistem informasi keuangan dan pemasangannya 3) Apraisal atau jasa penilaian lain 4) Jasa aktuaria 5) Outsourcing jasa audit internal 6) Fungsi manajemen atau personalia 7) Menjadi pialang, penasehat investasi atau jasa konsultasi investasi perbankan 8) Jasa hukum dan jasa tenaga ahli lainnya yang tidak terkait dengan audit. 9) Jasa lain yang ditentukan oleh PCAOB Kantor akuntan publik bisa melakukan jasa lain, kecuali jasa 1-9 diatas, termasuk jasa perpajakan, dengan mendapatkan persetujuan dari Komite Audit terlebih dahulu. Selain aturan mengenai jasa yang tidak diperbolehkan, terdapat beberapa aturan lain untuk menjaga independensi sebagai berikut: 1) Setiap jasa audit yang diberikan kepada emiten harus terlebih dulu mendapatkan persetujuan dari Komite Audit. 2) Setiap persetujuan komite audit atas pemberian jasa non audit oleh KAP yang memberikan jasa audit harus diungkapkan dalam pelaporan kepada

COSO, COBIT, SARBANES OXLEY ACT, BASEL II, ISO 17799

1

SEC. 3) Rotasi partner dilakukan setiap 5 tahun sekali untuk satu klien yang sama dimulai dari tahun fiscal 6 Mei 2003 kecuali sebelumnya telah menjadi partner audit klien tersebut selama 7 tahun berturut-turut. 4) Auditor harus melaporkan kebijakan dan praktek akuntansi yang penting (critical), alternatif pencatatan sesuai GAAP terkait dengan isu penting dalam audit, serta materi lain yang dibahas (komunikasi tertulis) antara auditor dan manajemen. 5) Laporan keuangan harus mengungkapkan fee untuk auditor baik untuk jasa pemeriksaan, jasa lain yang terkait audit, jasa perpajakan, dan jasa yang lainnya. 6) Seorang auditor tidak boleh menjabat sebagai anggota dewan direktur, CEO, CFO, COO, CAO, controller, direktur audit intern dan jabatan-jabatan lainnya tanpa ada tenggang waktu karir. 7) Partner KAP tidak boleh menerima kompensasi dari klien selain jasa audit, perpajakan dan jasa atestasi lainnya.

c. CORPORATE RESPONSIBILITY
Komite Audit Selain KAP, ada kewajiban yang harus dipenuhi oleh setiap emiten.di mana mereka harus memiliki Komite Audit, sesuai dengan ketentuan sebagai berikut: perusahaan yang tidak memiliki komite audit tidak boleh terdaftar di bursa efek. Komite Audit mempunyai tanggung jawab sebagai berikut: • Melakukan seleksi/penunjukan dan menentukan kompensasi (fee) serta mengawasi KAP yang mengaudit korporasi . • Menjadi anggota independen dalam dewan komisaris . • Menyelenggarakan prosedur untuk menangani komplain-komplain yang berkaitan dengan akuntansi, pengendalian internal, dan hal-hal lain yang berkaitan dengan audit. • Menelaah dan menyetujui jasa audit dan jasa-jasa lain yang diberikan oleh KAP. • Mengembankan program penanganan whistleblower bagi pegawai atau pengadu yang melaporkan terjadinya penyimpangan untuk memperoleh perlindungan dan mencegah tindakan pembalasan.

Untuk anggota komite audit independen harus memenuhi persyaratan sebagai berikut: tidak menerima fee untuk kegiatan konsultasi, advisery atau jasa lainnya yang diberikan kepada perusahaan, bukan merupakan pegawai dari perusahaan atau anak perusahaan, serta boleh dibantu oleh tenaga ahli. Pengungkapan Laporan Keuangan Ketentuan ini mengatur direksi, karyawan, dan dewan komisaris dalam kaitannya dengan perannya masing-masing. Direksi, karyawan, komisaris

COSO, COBIT, SARBANES OXLEY ACT, BASEL II, ISO 17799

1

tidak boleh melakukan pembohongan terhadap KAP. Mereka yang bertindak atas nama perusahaan tidak boleh mempengaruhi secara curang, memaksa, memanipulasi atau menyesatkan KAP yang mendapat penugasan audit, melalui PCAOB, SEC diminta mengeluarkan ketentuan yang terkait dengan kode etik bagi petugas/pejabat bagian keuangan. selain itu, SEC juga mengeluarkan aturan yang mewajibkan salah seorang anggota komite audit perusahaan emiten harus memiliki keahlian di bidang keuangan. Hal itu dikaitkan dengan tanggung jawab perusahaan berkaitan dengan pelaporan keuangan. CEO, CFO dan pejabat lain yang mempunyai fungsi yang serupa perlu memberikan pernyataan di dalam laporan triwulan dan laporan tahunan perusahaan yang disampaikan kepada SEC bahwa: Pejabat yang menandatangani laporan telah mereview laporan tersebut. Berdasarkan pengetahuan pejabat yang bersangkutan, laporan tidak berisikan pernyataan yang tidak benar mengenai fakta-fakta yang material atau tidak melaporkan fakta-fakta yang material sehingga laporan perusahaan memuat informasi yang menyesatkan , atau dengan kata lain telah menyajikan secara wajar semua kondisi dan hasil operasi perusahaan yang material. SEC mengeluarkan beberapa peraturan baru terkait dengan pengungkapan laporan keuangan yang lebih transparan dan tepat waktu bagi para investor sebagai berikut:  Semua koreksi keuangan yang material harus terungkap dalam laporan keuangan.  Pengungkapan tambahan terhadap pengungkapan-pengungkapan yang tidak disyaratkan oleh GAAP, antara lain, core earnings, free cash flow, EBITDA, dan pre-FAS 133 income. Pengungkapan informasi tambahan tersebut bisa dicantumkan di laporan tahunan, laporan tertulis lainnya atau dalam web site perusahaan.  Penambahkan pengungkapan transaksi diluar neraca (off balance sheet) yang harus disertakan dalam penjelasan dan analisis manajemen (management’s discussion and analysis - MD&A) yaitu pengungkapan tentang pengaturan transaksi diluar neraca dan tabel yang menjelaskan informasi tentang kewajiban kontraktual yang pasti akan terjadi. Misal:standby LC, performance guarantee dll. Tanggung Jawab Terhadap Internal Control SOA mewajibkan perusahaan yang listing di AS untuk membuat dokumentasi pengendalian kunci dan melaporkan kondisi pengendalian internnya secara periodik.  SOA Section 302 tentang ”Corporate Responsibility for Financial Reports” menetapkan bahwa pejabat eksekutif perusahaan (CEO & CFO) harus bertanggung jawab secara pribadi terhadap pernyataan prosedur pengendalian, internal control, dan jaminan atas kecurangan (fraud).  Sedangkan SOA section 404 tentang “Management Assessment of Internal Controls” mengatur ketentuan yang mewajibkan terselenggaranya audit

COSO, COBIT, SARBANES OXLEY ACT, BASEL II, ISO 17799

1

SOA tahunan yang menunjukkan laporan pengendalian internal (internal control report) sebagai bagian dari laporan keuangan. Laporan pengendalian internal antara lain berisi tanggung jawab manajemen untuk mengembangkan dan memelihara sistem (struktur & prosedur) pengendalian intern atas pelaporan keuangan dan hasil evaluasi atas efektivitas sistem pengendalian internal. Regulasi ini menuntut manajemen perusahaan untuk memahami, mendokumentasikan, dan menyempurnakan pengendalian internal terkait pelaporan keuangan, dengan terus meningkatkan keakuratan proses bisnis (business process) dan informasi transaksionalnya, serta membangun perbaikan proses secara berkelanjutan (continuous improvement process) mengenai pengendalian internal pada laporan keuangan perusahaan. Selain itu, pengendalian harus terkait dengan upaya pencegahan (prevention) dan pendeteksian (detection) kecurangan (fraud) atas pelaporan keuangan termasuk kemungkinan risiko timbulnya kecurangan. Dengan ketentuan baru ini, pengungkapan laporan keuangan yang disampaikan kepada SEC memuat semua transaksi off balance sheet, dan laporan proforma yang disampaikan kepada SEC tidak boleh berisikan informasi yang menyesatkan. Dengan sistem yang dibangun tersebut, SEC mengatur secara matang orang dalam perusahaan tidak boleh melakukan transaksi perdagangan saham atas nama pribadi dengan menggunakan informasi yang hanya diketahui oleh orang dalam sendiri (insider information). Guna memberikan ruang kepada publik terhadap gugatan hukum atas kecurangan dalam perdagangan saham, publik dapat mengajukan gugatan yang berkaitan dengan securities fraud paling lambat dua tahun setelah kecurangan tersebut terungkap atau lima tahun setelah kecurangan tersebut terjadi. Jika ketentuan ini tidak dipenuhi, maka emiten tidak boleh mendaftarkan sahamnya di Bursa Efek USA. Mengingat pembenahan prosedur pengendalian internal sangat rumit dan kompleks, maka perusahaan dapat membentuk Tim SOA yang bekerjasama dengan Komite Audit. Tim SOA bertugas mengembangkan dan membangun kebijakan pengendalian internal, prosedur, bisnis proses dan mekanisme pelaporan pengendalian internal serta pengawasan laporan keuangan internal. Apabila diperlukan Tim SOA dapat minta bantuan konsultan independen dalam penyiapan prosedur dan bisnis proses internal control untuk laporan keuangan

d. ANALISA KONFLIK KEPENTINGAN
Broker dan dealer surat berharga di bursa efek tidak diperbolehkan melakukan balas dendam atau mengancam untuk melakukan balas dendam kepada analis yang bekerja untuk mereka karena laporan analis tersebut berisikan analisis negatif terhadap perusahaan publik tertentu. Analis, broker atau dealer surat berharga harus mengungkapkan konflik kepentingan yang ada pada mereka, seperti:

COSO, COBIT, SARBANES OXLEY ACT, BASEL II, ISO 17799

1

(a)

Apakah analis memiliki investasi atau hutang di dalam perusahaan yang sedang dibuatkan laporan analisisnya; (b) Apakah kompensasi yang diterima oleh broker, dealer atau analis wajar, tidak berlebihan dan tidak bertentangan dengan kepentingan publik serta konsisten dengan perlindungan terhadap kepentingan investor, (c) Apakah emiten merupakan klien dari broker dan dealer, dan (d) Apakah kompensasi yang diterima analis untuk penerbitan suatu laporan didasarkan jumlah pendapatan/keuntungan perusahaan yang dianalisis. Sementara, persyaratan bagi Pengacara yang mewakili Perusahaan Publik, SEC harus menetapkan standar minimal yang harus dipenuhi oleh pengacara yang mewakili perusahaan publik. Standar tersebut harus mengatur: Untuk Pengacara yang dipekerjakan oleh perusahaan publik harus melaporkan kepada kepala biro hukum atau CEO perusahaan apabila diketahui terdapat bukti dari pelanggaran yang material atas undang-undang dan peraturan pasar modal (securities law), yang dilakukan oleh perusahaan atau agen perusahaan. Apabila kepala biro hukum atau CEO perusahaan tidak memberikan respon yang memadai, maka pelanggaran tersebut harus dilaporkan kepada seluruh jajaran komisaris, komite audit dan direksi perusahaan.

e. HUKUMAN ATAS PELANGGARAN
PELANGGARAN Pengubahan, penghancuran, penyembunyian catatan apapun dengan maksud untuk menghambat proses investigasi yang sedang dilakukan pemerintah. Kertas kerja audit dan hasil reviewnya tidak disimpan selama (paling sedikit) lima tahun. Siapapun yang secara sadar melakukan atau berupaya untuk melakukan penipuan terhadap pembeli saham Setiap CEO atau CFO yang karena kelalaiannya menyebabkan ketidak sesuaian antara isi pernyataan yang diberikan berkaitan dengan pelaporan Keuangan dan isi laporan keuangan itu sendiri. Sengaja memberikan isi pernyataan yang berbeda dengan isi laporan keuangan. Dua atau lebih orang yang berkonspirasi untuk melakukan kecurangan atau menipu pemerintah Setiap orang yang sengaja mengubah, menghancurkan, menyembunyikart catatan atau dokumen apapun dengan maksud merusak keutuhan catatan atau dokumen yang digunakan secara resmi. Penipuan melalui surat dan media elektronik.Pelanggaran terhadap pelaksanaan ketentuan Employee Retirement Income Security Act (ERISA). HUKUMAN Denda dan/atau hukuman penjara maksimal 10 tahun. Denda dan/atau hukuman penjara maksimal 5 tahun. Denda dan/atau hukuman penjara maksimal 10 tahun. Denda sampai $1,000,000 dan/atau 10 tahun penjara.

Denda sampai $5 juta dan/atau 20 tahun penjara Denda dan/atau hukuman penjara sampai dengan 10 tahun. Denda dan/atau hukuman penjara sampai dengan 20 tahun.

Hukuman penjara 20 tahun.Lama hukuman bervariasi tergantung jenis pelanggaran.

COSO, COBIT, SARBANES OXLEY ACT, BASEL II, ISO 17799

1

* Sumber: Sarbanes-Oxley Act of 2002 and New York City Office of the Comptroller

4. Konsep Pengendalian
Pada dasarnya SOA menuntut implementasi internal control yang baik atas 3 (tiga) hal yang sangat erat kaitannya dengan GCG, yaitu: a. Transparansi (transparency), menuntut kemampuan untuk dapat ditelusuri (treaceability) dan dapat diaudit dari setiap proses dan aktivitas yang terkait dengan pelaporan keuangan b. Akuntabilitas (accountability), menuntut kejelasan dan ketiadaan benturan kepentingan (conflict of interest) atas informasi apa dan siapa yang bertanggung jawab. Selain itu, menjamin hak akses atas informasi dan rentang pengambilan keputusan yang sesuai dengan tugas dan tanggung jawab terkait. c. Keterukuran (measurability), bertujuan memberikan basis pengukuran untuk perbaikan secara berkelanjutan). Untuk mengimplementasi SOA, perusahaan dan lingkungannya perlu menjalankan hal berikut: a. Pertama, melakukan pemisahan fungsi yaitu pengaturan ruang lingkup tanggung jawab dan kewenangan serta akses pemakai (user) atas informasi perusahaan. Hal ini untuk menjaga independensi antara manajemen perusahaan, auditor, penyedia jasa non audit, Komite Audit, serta pihak-pihak lain yang berkepentingan b. Kedua, meningkatkan kualitas sumber daya manusia terutama yang terkait dengan implementasi pengendalian internal termasuk masalah kewenangan akses yang lebih luas kepada Departemen Audit Internal (Satuan Pengawasan Intern). c. Ketiga, menjaga integritas atas siklus pelaporan keuangan. Dalam hal ini, perusahaan dapat menerapkan pemrosesan data secara elektronik (Electronic Data Processing) dalam pelaporan keuangannya serta meminimalisasi aktivitas atau proses-proses transaksi & pelaporan keuangan secara manual. d. Keempat, penegakan sanksi yang tegas atas setiap pelanggaran atas aturan yang dilakukan. Dari keseluruhan Sarbanes Oxley Act, terdapat dua bagian yang mengatur mengenai internal control, dan sering dibahas, yaitu Section 302 dan Section 404. Seksi 404 secara khusus memberikan perhatian kepada internal kontrol perusahaan atas laporan keuangannya. Section 404 ‘Management Assessments of Internal Controls’ 1. Setiap laporan tahunan yang diserahkan kepada Securities Exchange Commission harus berisi laporan internal control, yang akan:

COSO, COBIT, SARBANES OXLEY ACT, BASEL II, ISO 17799

1

a. Menyatakan tanggung jawab manajemen untuk membuat dan menjaga struktur dan prosedur internal control yang cukup untuk pelaporan keuangan. b. Berisi penilaian efektivitas struktur dan prosedur internal control pada akhir tahun fiscal perusahaan. 2. Setiap kantor akuntan publik beregister yang menyiapkan atau mengeluarkan laporan audit bagi perusahaan harus menguji dan melaporkan penilaian kecukupan dan efektivitas struktur dan prosedur internal control yang dibuat oleh manajemen perusahaan sebagai bagian dari audit laporan keuangan menurut standar atestasi. Sedangkan dalam Section 302, CEO dan CFO secara personal harus menerangkan dengan sebenarnya (certify) bahwa mereka bertanggung jawab untuk prosedur dan control yang diungkapkan. Tiap laporan triwulan harus berisi pernyataan bahwa mereka telah melaksanakan evaluasi design dan efektivitas control. Eksekutif yang menyatakan juga harus menyatakan bahwa mereka mengungkapkan kepada Komite Audit dan auditor independen mengenai kekurangan/kelemahan pengendalian yang signifikan, kelemahan material, dan tindakan fraud. SEC juga mengusulkan persyaratan sertifikasi yang diperluas yang memasukkan prosedur dan internal control untuk pelaporan keuangan, selain persyaratan terkait pengungkapan control dan prosedur. AUDIT INTEGRAL Perbedaan audit integral dan audit keuangan terletak pada pengujian pengendalian internal. Dalam audit keuangan konvensional, pengujian pengendalian bertujuan untuk menentukan bentuk, waktu dan tingkat kedalaman pemeriksaan. Apabila dari hasil pengujian tersebut ditemukan bahwa auditor tidak bisa mengandalkan pengendalian internal klien, maka auditor akan menggunakan pendekatan full substantive. Dalam audit integral, pengujian pengendalian internal merupakan proses untuk menyatakan pendapat terhadap keandalan pengendalian internal klien. Apabila dalam pengujian tersebut auditor menemukan bahwa pengendalian internal klien tidak dapat diandalkan maka temuan bisa menjadi kelemahan mendasar (material weaknesses) dalam pengendalian internal. Kelemahan mendasar akan menyebabkan pendapat tidak wajar (adverse opinion) dalam pengendalian internal. Dengan diundangkannya SOA, auditor saat ini juga memiliki tanggungjawab tambahan untuk mengevalusi pengendalian internal yang secara khusus dapat menekan risiko terjadinya penyelewengan keuangan (fraud) yang kemungkinan secara signifikan bisa mempengaruhi sebuah laporan keuangan. Auditor tidak dapat melakukan pemeriksaan laporan keuangan terhadap perusahaan publik di Amerika Serikat tanpa sekaligus melakukan pemeriksaan terhadap pengendalian internal yang ada di perusahaan tersebut. Penugasan pemeriksaan laporan keuangan dan pengendalian internal merupakan penugasan yang

COSO, COBIT, SARBANES OXLEY ACT, BASEL II, ISO 17799

1

integral dan tidak dapat dipisahkan. Namun perlu diingat, pengendalian internal perusahaan adalah tanggung jawab manajemen perusahaan bukan tanggung jawab auditor. Manajemen harus melakukan penilaian terhadap pengendalian internal mereka sendiri, dan peran tersebut tidak bisa tergantikan dengan pengujian-pengujian yang dilakukan oleh auditor terkait dengan pemeriksaan tahunan. Manajemen perusahaan juga harus membuat dokumentasi terhadap proses signifikan yang ada di perusahaan tersebut. Dokumentasi proses yang signifikan ini kemudian akan menjadi dasar penilaian auditor terhadap pengendalian internal yang dimilliki oleh sebuah perusahaan. Hal-hal yang baru dalam audit integral (Section 404) : a. Auditor harus menyatakan pendapat terhadap kewajaran laporan keuangan sekaligus menyatakan pendapat atas atestasi manajemen terhadap pengendalian internal. Proses pernyataan pendapat tersebut merupakan satu kesatuan yang tidak terpisahkan (audit integral). b. Pekerjaan dalam pemeriksaan untuk menyatakan kewajaran atas laporan keuangan maupun pemeriksaan terhadap pengendalian internal harus saling terkait. c. Standar yang ditetapkan oleh PCAOB merupakan standar yang integral, mencakup pekerjaan yang diperlukan dalam audit laporan keuangan dan audit pengendalian internal. d. Audit integral akan menghasilkan tiga opini :  Pendapat tentang keefektifan pengendalian internal terhadap penyusunan laporan keuangan.  Pendapat tentang keefektifan penilaian manajemen terhadap pengendalian internal.  Pendapat tentang kewajaran laporan keuangan. Pernyataan pendapat atas pengendalian internal ditentukan oleh temuan pada saat pemeriksaan lapangan, tertuang terhadap pengujian pengendalian internal dapat dikategorikann menjadi tiga seperti dibawah ini : a. Internal control deficiencies (kecacatan pengendalian internal) Apabila ditemukan kecacatan dalam desain pengendalian internal, sehingga pengendalian internal tidak akan bisa menangkap atau mencegah salah saji atau kecurangan keuangan. Temuan ini adalah temuan cacat pengendalian internal yang paling parah. Auditor bisa menggunakan COSO framework untuk mengukur apakah desain pengendalian internal di sebuah perusahaan sudah mencukupi atau belum. b. Significant deficiencies (kecacatan mendasar) Kecacatan yang baik berdiri sendiri atau bersama-sama membuat kemungkinan (remote likehood) perusahaan gagal menangkap atau mencegah salah saji dalam laporan keuangannya. Salah saji yang tidak tertangkap tersebut bersiap tidak berpola.

COSO, COBIT, SARBANES OXLEY ACT, BASEL II, ISO 17799

1

c. Material weaknesses (kelemahan mendasar) Kecatatan yang mendasar yang membuat perusahaan gagal untuk mencegah (prevented) atau mendeteksi (detected) sebuah salah saji. Temuan ini bisa mengakibatkan pernyataan pendapat tidak wajar (adverse opinion).

5. Hal- hal yang bisa diterapkan di Indonesia
Hingga saat ini, komisi pasar bursa Indonesia belum mengadopsi peraturan ini untuk diterapkan pada perusahaan yang sahamnya sudah diperdagangkan di pasar bursa dalam negeri. Dengan mengacu kepada pengalaman Amerika Serikat di atas, apalagi mengingat keterpurukan perekonomian Indonesia salah satunya disebabkan oleh buruknya corporate governance dan semakin banyak perusahaan Indonesia go public di dalam maupun luar negeri, sudah seyogyanya pihak-pihak yang berkompeten seperti DPR, Departemen Keuangan (Bapepam), dan Ikatan Akuntan Indonesia segera membuat atau mengadopsi undang-undang dan peraturan yang serupa dengan Sarbanes-Oxley Act. Apabila SOA ini diadopsi di Indonesia, tentunya akan memberikan dampak positif antara lain: • Meningkatkan akuntabilitas pengelolaan keuangan • Meningkatkan kepercayaan investor atas keandalan laporan keuangan, sehingga menggiatkan kegiatan investasi. • Memberikan shock therapy bagi manajemen dan auditor karena dalam UU diatur mengenai sanksi. Namun, tentu saja hal itu bukan perkara mudah. Dibutuhkan waktu, tenaga, dan biaya yang besar termasuk sumber daya manusia yang berkualitas serta memiliki integritas yang tinggi. Selain itu perlu dipertimbangkan apakah sebanding antara manfaat dengan biaya yang harus dikeluarkan. Untuk beberapa bagian, Indonesia sebenarnya sudah membuat aturan yang terdapat dalam SOX, antara lain: a. Pembentukan Komite Audit. Sebagaimana diatur dalam Keputusan Ketua Badan Pengawas Pasar Modal (Bapepam) No. KEP-29/PM/2004 tanggal 24 September 2004 tentang Pembentukan dan Pedoman Pelaksanaan Kerja Komite Audit, yang dimaksud dengan Komite Audit adalah komite yang dibentuk oleh Dewan Komisaris dalam rangka membantu melaksanakan tugas dan fungsinya. Komite Audit bertugas untuk memberikan pendapat kepada Dewan Komisaris terhadap laporan atas hal-hal yang disampaikan oleh direksi kepada Dewan Komisaris, mengidentifikasi hal-hal yang memerlukan perhatian komisaris, dan melaksanakan tugas-tugas lain yang berkaitan dengan tugas Dewan Komisaris, antara lain meliputi:

COSO, COBIT, SARBANES OXLEY ACT, BASEL II, ISO 17799

1

1) Melakukan penelaahan atas informasi keuangan yang akan dikeluarkan perusahaan seperti laporan keuangan, proyeksi, dan informasi keuangan lainnya. 2) Melakukan penelaahan atas ketaatan perusahaan terhadap peraturan perundang-undangan di bidang Pasar Modal dan peraturan perundang-undangan lainnya yang berhubungan dengan kegiatan perusahaan. 3) Melakukan penelaahan atas pelaksanaan pemeriksaan oleh auditor internal. 4) Melaporkan kepada komisaris berbagai risiko yang dihadapi perusahaan dan pelaksanaan manajemen risiko oleh direksi. 5) Melakukan penelaahan dan melaporkan kepada Komisaris atas pengaduan yang berkaitan dengan Emiten atau perusahaan public, dan 6) Menjaga kerahasiaan dokumen, data dan informasi perusahaan.

Untuk Badan Usaha Milik Negara (BUMN) pun, telah diatur melalui Peraturan Meneg BUMN No. PER-05/MBU/2006 tanggal 20 Desember 2006 tentang Komte Audit Bagi Badan Usaha Milik Negara. b. Pembentukan badan sejenis PCAOB Mengenai pembentukan badan semacam PCAOB perlu dibuat semacam kajian apakah badan tersebut merupakan bagian dari Bapepam ataukah badan yang terpisah. Karena pada dasarnya Bapepam telah menjalankan fungsi dan tugas PCAOB. Dalam RUU Akuntan Publik disebutkan bahwa Departemen Keuangan menyelenggarakan fungsi Regulasi Profesi Akuntan Publik dan berwenang untuk menyelenggarakan: 1) 2) 3) 4) 5) 6) 7) Perizinan; Pembinaan dan Pengawasan; Pengenaan Sanksi Perizinan; Kebijakan Pendidikan dan Pelatihan (PPL) & Ujian Profesi; Kebijakan penyusunan dan penetapan standar; Registrasi Asosiasi Profesi; Penyusunan, penetapan & pemberlakuan standar keuangan dan standar teknis profesi akuntan publik; 8) Penyelenggaraan Ujian Profesi; 9) Penyelenggaraan Pendidikan dan Pelatihan (PPL);

akuntansi

Namun, Menteri Keuangan dapat melimpahkan sebagian dari kewenangannya kepada satu asosiasi profesi akuntan, instansi pemerintah, atau lembaga independen yang dibentuk khusus untuk melaksanakan kewenangan tersebut. Dalam RUU juga diatur mengenai sanksi pidana yang akan diterima oleh Akuntan Publik apabila menyatakan pendapat atas laporan keuangan tidak berdasarkan bukti

COSO, COBIT, SARBANES OXLEY ACT, BASEL II, ISO 17799

1

audit yang sah, relevan, dan cukup. Meskipun RUU ini banyak mendapat tanggapan negatif, namun diharapkan dapat meminimalisir peluang profesi akuntan melakukan tindakan kecurangan dalam pelaksaan audit. c. Audit atas pengendalian intern

Untuk pelaporan keuangan, khususnya pada pengelolaan keuangan negara sebagaimana diatur dalam Standar Pemeriksaan Keuangan Negara (SPKN) laporan audit atas laporan keuangan yang diterbitkan tidak hanya laporan opini atas laporan keuangan, melainkan juga laporan atas pengendalian intern dan laporan atas kepatuhan terhadap peraturan perundang-undangan. Dan, ketiganya diterbitkan dengan satu perikatan, yaitu audit. Bapepam-LK pada tahun 2007 telah mengkaji kemungkinan mewajibkan audit terhadap sistem pengendalian internal di perusahaan publik untuk meningkatkan akuntabilitas laporan keuangannya beserta manfaat dan biayanya. Mengingat pentingnya implementasi SOA dalam rangka mencegah praktik kecurangan pelaporan keuangan di perusahaan publik, maka sudah saatnya Bapepam-LK mengadopsi salah satu ketentuan dalam SOA tersebut yaitu pemberlakuan audit pengendalian internal pada perusahaan yang telah go publik. Semoga implementasi GCG melalui SOA di perusahaan publik di Indonesia dapat segera terwujud, sehingga fraudulent financial reporting dapat dicegah atau dihindari. Di Indonesia, praktek pemeriksaan internal kontrol dengan metodologi SOX 404 ini sudah dilakukan, namun hanya oleh segelintir perusahaan yang umumnya adalah perusahaan multinasional yang sahamnya diperdagangkan di pasar bursa AS dan yang beroperasi di Indonesia. Hanya sedikit jumlah orang yang mengetahui bagaimana pemeriksaan dan penilaian internal kontrol atas laporan keuangan menurut metodologi SOX 404 ini. d. Prinsip GCG Surat Keputusan Menteri BUMN Nomor KEP-117/M-MBU/2002 secara resmi memerintahkan seluruh BUMN untuk menerapkan prinsip-prinsip Good Corporate Governance (GCG) secara konsisten dalam day-to-day operasional organisasi BUMN. Dengan demikian, Indonesia merupakan negara lain selain Amerika yang menerapkan mandatory system of corporate governance. Jika membandingkan dengan apa yang terjadi dengan negara-negara seperti Australia, Inggris, Belanda, dan Jerman yang memilih sistem sukarela (voluntary system) yang merupakan terjemahan dari prinsip "setuju atau menjelaskan kenapa tidak setuju"; di Inggris prinsip ini dikenal dengan "comply or explain", sedangkan orang Australia menyebutnya dengan "if not, why not" (Miko: 2006). Mandatory system merupakan prinsip yang mulai diberlakukan di Amerika setelah tragedi runtuhnya perusahan-perusahaan raksasa.

COSO, COBIT, SARBANES OXLEY ACT, BASEL II, ISO 17799

1

D. BASEL II
1. Latar Belakang
Bank merupakan suatu perusahaan yang menjalankan fungsi intermediasi atas dana yang diterima dari nasabah. Jika sebuah bank mengalami kegagalan, dampak yang ditimbulkan akan meluas mempengaruhi nasabah dan lembaga-lembaga yang menyimpan dananya atau menginvestasikan modalnya di bank, dan akan menciptakan dampak ikutan secara domestik maupun pasar internasional. Karena pentingnya peran bank dalam melaksanakan fungsinya maka perlu diatur secara baik dan benar. Hal ini bertujuan utnuk menjaga kepercayaan nasabah terhadap aktivitas perbankan. Salah satu peraturan yang perlu dibuat untuk mengatur perbankan adalah peraturan mengenai permodalan bank yang berfungsi sebagai penyangga terhadap kemungkinan terjadinya kerugian. Mengingat pentingnya modal pada bank, pada tahun 1988 Bank of International Settlements (BIS) mengeluarkan suatu konsep kerangka permodalan yang lebih dikenal dengan the 1988 accord (Basel I). Sistem ini dibuat sebagai penerapan kerangka pengukuran bagi risiko kredit, dengan mensyaratkan standar modal minimum adalah 8%. Komite Basel merancang Basel I sebagai standar yang sederhana, mensyaratkan bankbank untuk memisahkan eksposurnya kedalam kelas yang lebih luas, yang menggambarkan kesamaan tipe debitur. Eksposur kepada nasabah dengan tipe yang sama (seperti eksposur kepada semua nasabah korporasi) akan memiliki persyaratan modal yang sama, tanpa memperhatikan perbedaan yang potensial pada kemampuan pembayaran kredit dan risiko yang dimiliki oleh masing-masing individu nasabah. Sejalan dengan semakin berkembangnya produk-produk yang ada di dunia perbankan, BIS kembali menyempurnakan kerangka permodalan yang ada pada the 1988 accord dengan mengeluarkan konsep permodalan baru yang lebih di kenal dengan Basel II. Basel II dibuat berdasarkan struktur dasar the 1988 accord yang memberikan kerangka perhitungan modal yang bersifat lebih sensitif terhadap risiko (risk sensitive) serta memberikan insentif terhadap peningkatan kualitas penerapan manajemen risiko di bank. Hal ini dicapai dengan cara

COSO, COBIT, SARBANES OXLEY ACT, BASEL II, ISO 17799

1

penyesuaian persyaratan modal dengan risiko dari kerugian kredit dan juga dengan memperkenalkan perubahan perhitungan modal dari eksposur yang disebabkan oleh risiko dari kerugian akibat kegagalan operasional Basel II merupakan ketentuan mengenai manajemen risiko yang dipublikasikan pada bulan Mei 2004 oleh Basel Committee on Banking Supervision, risiko pasar yang dimaksudkan penyisihan untuk modal menyempurnakan untuk Basel I. Ketentuan baru dalam Basel II antara lain: memperkenalkan pengelolaan melalui manajemen risiko operasional, dan beberapa pendekatan dalam pengukuran risiko kredit. Basel II bertujuan meningkatkan dan menjamin kestabilan serta kesehatan sistem keuangan. Untuk itu, upaya yang ditempuh adalah meningkatkan sensitivitas risiko dalam perhitungan modal bank. Upaya ini didukung dengan penguatan pengawasan internal bank dan disiplin pasar. Ketatnya perhitungan risiko dalam Basel II terlihat dari cara perhitungan modal yang tidak lagi didasarkan hanya oleh risiko kredit, tetapi juga risiko pasar, yang meliputi nilai tukar dan suku bunga serta risiko operasional, yang meliputi sistem pengelolaan perbankan, termasuk TI. Tiga tujuan utama yang ingin dicapai dalam Basel II adalah: 1. memastikan bahwa alokasi modal (capital allocation) lebih sensitif terhadap risiko. 2. memisahkan risiko operasional (operational risk) dari risiko kredit (credit risk), dan mengukur keduanya. 3. berusaha untuk menciptakan hubungan/aliansi ekonomi dan pengaturan terhadap modal untuk mengurangi masalah pengaturan arbitrasi.

2. Pihak yang Berkepentingan (Stakeholder)
Para stakeholder Basel II terdiri dari: a. Bank of International Settlements (BIS) sebagai organisasi yang berperan dalam merancang dan menyempurnakan konsep Basel II. b. Pemerintah, yang dalam hal ini diwakili oleh Bank Sentral yang berperan sebagai regulator terhadap penerapan Basel II di suatu Negara. c. Bank Umum sebagai pihak yang akan melaksanakan konsep Basel II. d. Market dan pihak-pihak yang berkaitan dengan industri perbankan, sebagai pihak yang ikut memperhatikan risiko yang dihadapi oleh bank.

COSO, COBIT, SARBANES OXLEY ACT, BASEL II, ISO 17799

1

3. Apa saja yang diatur?

Basel II adalah rekomendasi hukum dan ketentuan perbankan kedua, sebagai penyempurnaan Basel I, yang diterbitkan oleh Komite Basel. Rekomendasi ini ditujukan untuk menciptakan suatu standar internasional yang dapat digunakan regulator perbankan untuk membuat ketentuan berapa banyak modal yang harus disisihkan bank sebagai perlindungan terhadap risiko keuangan dan operasional yang mungkin dihadapi bank. (Wikipedia) Pendukung Basel II percaya bahwa standar internasional seperti ini dapat membantu melindungi sistem keuangan internasional terhadap masalah yang mungkin timbul sewaktu runtuhnya bank-bank utama atau serangkaian bank. Dalam praktiknya, Basel II berupaya mencapai hal ini dengan menyiapkan persyaratan manajemen risiko dan modal yang ketat yang dirancang untuk meyakinkan bahwa suatu bank memiliki cadangan modal yang cukup untuk risiko yang dihadapinya karena praktik pemberian kredit dan investasi yang dilakukannya. Secara umum, aturan-aturan ini menegaskan bahwa semakin besar risiko yang dihadapi bank, semakin besar pula jumlah modal yang dibutuhkan bank untuk menjaga likuiditas bank tersebut serta stabilitas ekonomi pada umumnya. 4. Konsep Pengendalian
Konsep pengendalian internal dalam BASEL II dikenal dengan nama Three Pillar (tiga pilar/ tiang). Pilar 1 berkaitan dengan pengelolaan tiga komponen utama risiko yang dihadapi oleh bank, yaitu: credit risk, operational risk, dan market risk. Sedangkan untuk risiko lainnya tidak terlalu diperhitungkan dalam tahapan ini. Pilar 2 berkaitan dengan tanggapan pengaturan terhadap Pilar 1, memberikan regulator lebih banyak ”tools” jika dibandingkan dengan yang terdapat Basel I. juga menyediakan framework yang berkaitan dengan risiko-risiko lain yang mungkin akan dihadapi oleh bank, seperti: systemic risk, strategic risk, liquidity risk dan legal risk (keseluruhan risiko tersebut dapat disebut sebagai residual risk).

COSO, COBIT, SARBANES OXLEY ACT, BASEL II, ISO 17799

1

Pilar 3 mengharuskan bank untuk meningkatkan keterbukaan terhadap pasar (market). Sehingga memberikan kepada pasar gambaran yang lebih baik mengenai posisi keseluruhan risiko dari bank tersebut. 5. Hal- hal yang bisa diterapkan di Indonesia Jika dilihat, Basel II memiliki berbagai kompleksitas dan prakondisi yang cukup berat bagi perbankan. Prasyarat utama agar Basel II dapat diterapkan dengan baik meliputi:  Penerapan manajemen risiko di bank sebagaimana telah diatur dalam PBI No.5/8/PBI/2003 tanggal 19 Mei 2003 tentang Penerapan Manajemen Risiko Bagi Bank Umum  Penyesuaian standar akuntansi yang mengacu kepada standar akuntansi internasional (IAS) antara lain IAS 32 dan IAS 39.  Penerapan perhitungan permodalan secara konsolidasi dengan perusahaan tertentu dalam sektor keuangan kecuali asuransi  Pengakuan perusahaan pemeringkat oleh Bank Indonesia untuk dapat melakukan rating terhadap debitur bank.

Berikut jadwal rencana penerapan Basel II di Indonesia oleh BI :

E. ISO 17799
1. Latar Belakang
Keamanan data elektronik menjadi hal yang sangat penting di perusahaan penyedia jasa teknologi informasi (TI) maupun industri lainnya, seperti: perusahaan export-import, tranportasi, lembaga pendidikan, pemberitaan, hingga perbankan yang menggunakan fasilitas TI dan menempatkannya sebagai infrastruktur kritikal (penting). Informasi atau data adalah aset bagi perusahaan. Keamanan data secara tidak langsung dapat memastikan kontinuitas bisnis, mengurangi

COSO, COBIT, SARBANES OXLEY ACT, BASEL II, ISO 17799

1

resiko, mengoptimalkan return on investment dan mencari kesempatan bisnis. Semakin banyak informasi perusahaan yang disimpan, dikelola dan di-sharing diinginkan. Bagaimana data atau informasi tersebut dikelola, dipelihara dan diekspose, melatarbelakangi disusunnya ISO 17799, standar untuk sistem manajemen keamanan informasi. Penyusunan standar ini berawal pada tahun 1995, dimana maka semakin besar pula resiko terjadinya kerusakan, kehilangan atau tereksposnya data ke pihak eksternal yang tidak

sekelompok perusahaan besar seperti BOC, BT, Marks & Spencer, Midland Bank, Nationwide Building Society, Shell dan Unilever bekerja sama untuk membuat suatu standar yang dinamakan BS (British Standard) 7799. BS 7799 Part 1: the Code of Practice for Information Security Management. Februari 1998 BS 7799 Part 2: The Specification for Information Security Management Systems (ISMS) menyusul diterbitkan. Desember 2000 ISO (International Organization of Standardization) dan IEC (International Electro-Technical Commission) mengadopsi BS 7799 Part 1 dan menerbitkannya sebagai standar ISO/IEC 17799:2000 yang diakui secara internasional.

2. Pihak yang Berkepentingan (Stakeholder)
Semua pihak dalam organisasi (manajemen dan karyawan) maupun diuar organisasi (pemasok, pelanggan, mitra kerja, dan pemegang saham) bertanggungjawab secara penuh dalam proses keamanan informasi. Hal tersebut disebabkan karena mereka semua terlibat secara langsung dan tidak langsung dalam proses penyediaan, penyimpanan, pemanfaatan, dan penyebarluasan informasi dalam organisasi. Untuk menjamin adanya kesadaran, kemauan, dan komitmen untuk melakukan hal tersebut, maka perlu adanya pihak yang memiliki tugas dan kewajiban khusus untuk memantau efektivitas keamanan informasi tersebut. Keberadaan pihak tersebut mutlak dibutuhkan oleh organisasi dalam berbagai bentuknya, seperti : perusahaan komersial, pemerintah, organisasi publik, lembaga nirlaba, dan lain sebagainya. pada intinya para pengguna ISO 17799 di fokuskan kepada Orang-orang atau pihak-pihak yang bergerak di bidang jasa pelayanan IT, khususnya di bidang manajemen keamanan informasi.

COSO, COBIT, SARBANES OXLEY ACT, BASEL II, ISO 17799

1

3. Apa saja yang diatur?
Isi ISO 17799, meliputi 10 control clauses (10 pasal pengamatan), 36 control objectives (36 objek/sasaran pengamanan), 127 controls securiy (127 pengawasan keamanan). 10 control clouse tersebut, antara lain: 1. Security Policy 2. 3. 4. 5. 6. 7. 8. 9. System Access Control Communication & Operations Management System Development and Maintenance Physical and Environmental Security Compliance Personnel Security Security Organization (Information Security) Asset Classification and Control

10. Business Continuity Management (BCM) Security Policy (kebijakan keamanan), mengarahkan visi dan misi manajemen agar dan kontinuitas menjaga bisnis dapat dipertahankan dengan mengamankan integritas/keutuhan informasi-informasi

krusial yang dimiliki oleh perusahaan. Security Policy sangat diperlukan mengingat banyak ditemuinya masalah-masalah non teknis salah satunya penggunaan password oleh lebih dari satu orang. Hal ini menunjukan tidak adanya kepatuhan dalam menerapkan sistem keamanan informasi. Harus dilakukan inventarisasi data-data perusahaan. Selanjutnya dibuat peraturan yang melibatkan semua departemen sehingga peraturan yang dibuat dapat diterima oleh semua pihak. Setelah itu rancangan peraturan tersebut diajukan ke pihak direksi. Setelah disetujui, peraturan tersebut dapat diterapkan. System Access Control (sistem kontrol akses),

mengendalikan/membatasi akses user terhadap informasi-informasi yang telah diatur kewenangannya, termasuk pengendalian secara mobilecomputing ataupun tele-networking. Mengontrol tata cara akses terhadap informasi dan sumber daya yang ada meliputi berbagai aspek, yaitu : a. Access control. b. User Access Management. c. User Responsibilities. d. Network Access Control

COSO, COBIT, SARBANES OXLEY ACT, BASEL II, ISO 17799

1

e. Operation System access Control f. Application Access Control. g. Monitor system Access and use. h. Mobile Computing and Telenetworking. Communication and Operations Management (manajemen komunikasi infrastruktur berkala, dan sistem dan operasi), informasi memastikan menyediakan melalui ketersediaan guna perlindungan dan panduan terhadap yang perawatan pemeriksaan sistem kesalahan

serta

terdokumentasi

dikomunikasikan

menghindari

operasional. Pengaturan tentang alur komunikasi dan operasi yang terjadi meliputi berbagai aspek, yaitu : a. Operational procedures and reponsibilities. b. System Planning and acceptance. c. Protection against malicious software. d. Housekeeping e. Network Management. f. Media handling and security. g. Exchange of Information and software. System Development and Maintenance (pengembangan sistem dan pemeliharaan), memastikan bahwa sistem operasi maupun aplikasi yang baru diimplementasikan mampu bersinergi melalui verifikasi/validasi terlebih dahulu sebelum diluncurkan ke live environment. Penelitian untuk pengembangan dan perawatan sistem yang ada meliputi berbagai aspek, yaitu : a. Security requirements of system. b. Security in application system. c. Cryptographic control d. Security of system files e. Security in development and support process. Physical and Environmental Security (keamanan fisik dan lingkungan), membahas keamanan dari segi fisik dan lingkungan jaringan, untuk mencegah kehilangan/ kerusakan data yang diakibatkan oleh lingkungan, termasuk bencana alam dan pencurian data dalam media penyimpanan atau fasilitas informasi yang lain. Aspek yang dibahas antara lain: a. Secure Areas b. Equipment security c. General Control Compliance (penyesuaian), memastikan implementasi kebijakankebijakan keamanan selaras dengan peraturan dan perundangan yang

COSO, COBIT, SARBANES OXLEY ACT, BASEL II, ISO 17799

1

berlaku, termasuk persyaratan kontraktual melalui audit sistem secara berkala. Kepatuhan yang mengarah kepada pembentukan prosedur dan aturan – aturan sesuai dengan hukum yang berlaku meliputi berbagai aspek, yaitu : a. Compliance with legal requirements b. Reviews of security policy and technical comliance. c. System audit and consideration Personnel Security (keamanan perorangan), mengatur tentang pengurangan resiko dari penyalahgunaan fungsi penggunaan atau wewenang akibat kesalahan manusia (human error), sehingga mampu mengurangi human error dan manipulasi data dalam pengoperasian sistem serta aplikasi oleh user, melalui pelatihan-pelatihan mengenai security awareness agar setiap user mampu menjaga keamanan informasi dan data dalam lingkup kerja masing-masing. Personnel Security meliputi berbagai aspek, yaitu : a. Security in Job Definition and Resourcing. b. User Training. c. Responding to Security Incidens and Malfunction. Security Organization (organisasi keamanan), mengatur tentang keamanan secara global pada suatu organisasi atau instansi, mengatur dan menjaga integritas sistem informasi internal terhadap keperluan pihak eksternal termasuk pengendalian terhadap pengolahan informasi yang dilakukan oleh pihak ketiga (outsourcing). Aspek yang terlingkupi, yaitu : a. Security of third party access b. Outsourcing Asset Classification and Control (klasifikasi dan kontrol aset), memberikan perlindungan terhadap aset perusahaan dan aset informasi berdasarkan level proteksi yang ditentukan. Membahas tentang penjagaan aset yang ada meliputi berbagai aspek, diantaranya : a. Accountability for Assets. b. Information Classification. Business Continuity Management (manajemen kelanjutan usaha), siap menghadapi resiko yang akan ditemui didalam aktivitas lingkungan bisnis yang bisa mengakibatkan ”major failure” atau resiko kegagalan yang utama ataupun ”disaster” atau kejadian buruk yang tak

COSO, COBIT, SARBANES OXLEY ACT, BASEL II, ISO 17799

1

terduga,

sehingga

diperlukan

pengaturan

dan

manajemen

untuk

kelangsungan proses bisnis. Membangun dan menjaga keamanan sistem manajemen informasi akan terasa jauh lebih mudah dan sederhana dibandingkan dengan memperbaiki sistem yang telah terdisintegrasi. Penerapan standar ISO 17799 akan memberikan benefit yang lebih nyata bagi organisasi bila didukung oleh kerangka kerja manajemen yang baik dan terstruktur serta pengukuran kinerja sistem keamanan informasi, sehingga sistem informasi akan bekerja lebih efektif dan efisien. 36 objek pengamatan/pengawasan keamanan merupakan uraian dari aspek 10 control clouse tersebut.

Gambar Struktur dari kesepuluh wilayah standar (10 control clouse) Untuk 36 control objective-nya adalah sebagai berikut : 1). Control Objectives, 2). Information security policy, 3). Information security infrastructure, 4). Security of third party access,5). Outsourcing,6). Accountability for assets,7). Information classifications, 8). Security in job definition and resourcing, 9). User training, 10).Responding to security incidents and malfunctions, 11).Secure areas, 12).Equipment security, 13).General controls, 14).Operational procedures and responsibilities, 15). System planning and acceptance, 16). Protection against malicious software, 17). Housekeeping, 18). Network management, 19). Media handling and security, 20).Exchanges of information and software, 21).Access Control, 22).Use access

COSO, COBIT, SARBANES OXLEY ACT, BASEL II, ISO 17799

1

management, 23).User responsibilities, 24).Network access control, 25).Operating system access control, 26).Application access control, 27).Monitoring system access and use, 28).Mobile computing and teleworking, 29).Security requirements of systems, 30).Security in application system, 31).Cryptographic controls, 32).Security of systems files, 33).Security in development and support process, 34).Aspects of business continuity management, 35).Compliance with legal requirements, 36).Review of security policy & technical compliance Kendali / Kontrol tersebut diuraikan pada tingkat tinggi, tanpa memasukkan masalah teknologi secara detail, dalam rangka membiarkan perusahaan / organisasi masing-masing secara total bebas untuk memilih kendali yang terdekat ke situasi cultural/technological dan kebutuhan sendiri. Aset dan aspek yang dinilai dalam ISO 17799
• Information assets (aset informasi), • Software assets (aset perangkat lunak yang dimiliki), • Physical assets (aset fisik) dan • Services (pelayanan).

4. Konsep Pengendalian
Keamanan informasi terdiri dari perlindungan terhadap aspek-aspek berikut: a. Confidentiality (kerahasiaan) aspek yang menjamin kerahasiaan data atau informasi, memastikan bahwa informasi hanya dapat diakses oleh orang yang berwenang dan menjamin kerahasiaan data yang dikirim, diterima dan disimpan. b. Integrity (integritas) aspek yang menjamin bahwa data tidak dirubah tanpa ada ijin fihak yang berwenang (authorized), menjaga keakuratan dan keutuhan informasi serta metode prosesnya untuk menjamin aspek integrity ini. c. Availability (ketersediaan) aspek yang menjamin bahwa data akan tersedia saat dibutuhkan, memastikan user yang berhak dapat menggunakan informasi dan perangkat terkait (aset yang berhubungan bilamana diperlukan). Keamanan kebijakan, informasi diperoleh dengan mengimplementasi struktur-struktur seperangkat alat kontrol yang layak, yang dapat berupa kebijakanpraktek-praktek, prosedur-prosedur, organisasi dan piranti lunak.

COSO, COBIT, SARBANES OXLEY ACT, BASEL II, ISO 17799

1

Gambar Elemen-elemen keamanan informasi

Keamanan informasi memproteksi informasi dari ancaman yang luas untuk memastikan kelanjutan usaha, memperkecil rugi perusahaan dan memaksimalkan laba atas investasi dan kesempatan usaha. Manajemen sistem informasi memungkinkan data untuk terdistribusi secara elektronis, sehingga diperlukan sistem untuk memastikan data telah terkirim dan diterima oleh user yang benar.

5. Hal- hal yang bisa diterapkan di Indonesia
Standard ISO 17799 ini diharapkan bisa diterapkan di perusahanperusahaan perumusan bidangnya. yang ada Standard di Indonesia. ISO 17799 yang Hal ini dapat dijamin karena berisi Informasi Security

Management Sistem dibuat oleh

orang–orang yang capable dalam

Penyusun meliputi tenaga ahli keamanan dan auditor

berkualitas. Semua anggota berpengalaman dan sadar akan BS7799 standard, ISO/IEC 17799, sistem manajemen ( secara umum), keamanan informasi, analisis risiko dan asas manajemen dan proses, prinsip auditing. Penerapan standar ISO 17799 akan memberikan benefit yang lebih nyata bagi organisasi bila didukung oleh kerangka kerja manajemen yang baik dan terstruktur serta pengukuran kinerja sistem keamanan informasi, sehingga sistem informasi akan bekerja lebih efektif dan efisien Dalam ISO 17799 terdapat beberapa point penting yang akan diadopsi dalam SNI mengenai system keamanan TI, antara lain pemisahan antara orang-orang yang berkompeten dengan system dan yang tidak, manajemen password, serta pemisahan wewenang operasional dan pengembang.

COSO, COBIT, SARBANES OXLEY ACT, BASEL II, ISO 17799

1

Secara garis besar untuk membentuk sistem manajemen keamanan TI berdasarkan ISO-17799, vulnerability perusahaan management, harus menerapkan identity dan management, manajemen konten,

manajemen informasi. Secara singkat, beberapa konsep di atas bisa di rangkum dalam matriks berikut.

COSO, COBIT, SARBANES OXLEY ACT, BASEL II, ISO 17799

1

NO 1

Komponen Pembanding Latar Belakang Pembentukan Standar

COSO Untuk menghindari terjadinya fraud atas laporan keuangan.

COBIT Dibentuk ISACA dan ITGI dengan tujuan untuk memberikan serangkaian langkah-langkah umum , indikator, proses, dan praktek terbaik dalam memaksimalkan keuntungan yang diperoleh melalui penggunaan TI dan membantu mengembangkan pengelolaan dan kontrol TI dalam sebuah perusahaan

SARBOX • Terbongkarnya skandal pelaporan keuangan oleh beberapa perusahaan besar di Amerika • Untuk menciptakan ”pengelolaan perusahaan yang baik” (corporate governance) dan mengembalikan kepercayaan para investor serta mencegah adanya kecurangan dalam penyajian laporan keuangan. • Pengguna laporan keuangan • Dewan direksi, manajemen, auditor, SEC

BASEL II Untuk menciptakan tandar internasional yang dapat digunakan oleh regulator perbankan untuk menentukan Current Asset Ratio bank sebagai perlindungan terhadap risiko keuangan dan operasional yang dihadapi oleh bank.

ISO 17799 (ISO 27002) Adanya kebutuhan akan manajemen keamanan informasi.

2

Stakeholder: • Pihak yang diuntungkan • Pihak yang menanggung beban

• Pengguna laporan keuangan • Manajemen

• Manajer, auditor, pengguna TI • Bidang TI dalam perusahaan, vendor

• Nasabah • Perbankan

• Manajemen • Bagian IT dalam perusahaan

3

Apa saja yang diatur dalam standar (poin-poin utama)

Model COSO, terbit pertama kali tahun 1992 yang mendefiniskan pengendalian intern sebagai suatu proses yang dipengaruhi oleh dewan komisaris, manajemen dan pegawai lainnya yang didesain untuk memperoleh keyakinan yang memadai terkait dengan tujuan: a. efektivitas dan efisiensi dari aktivitas operasi b. kehandalan dari pelaporan keuangan c. ketaatan peraturan perundangan dan kebijakan terkait Untuk

COBIT memiliki 4 cakupan domain, yaitu : • Perencanaan dan organisasi (plan and organise) • Pengadaan dan implementasi (acquire and implement) • Pengantaran dan dukungan (deliver and support) • Pengawasan dan evaluasi (monitor and evaluate)

Secara keseluruhan, SARBOX terdiri atas 11 Bab dan 1107 Pasal yang dapat disarikan menjadi 3 kategori besar sebagai berikut: 1. Pelaporan, memperbaiki pengungkapan (Disclosure): Section 302, 401, 404, 409, 101, 102, 104, 108, 109, 408, 307 2. Peran, memperkuat tata kelola perusahaan (corporate governance): Section 204, 301, 402, 407, 304, 804, 906, 1102, 105, 802 3. Perilaku, mengembangkan akuntabilitas orang dalam (insider): Section 303, 306, 403, 406, 806, 201, 202, 203, 206

Basel II bertujuan meningkatkan keamanan dan kesehatan sistem keuangan, dengan menitikberatkan pada perhitungan permodalan yang berbasis risiko, supervisory review process, dan market discipline. Framework Basel II disusun berdasarkan forward-looking approach yang memungkinkan untuk dilakukan penyempurnaan dan penyesuaian dari waktu ke waktu. Hal ini untuk memastikan bahwa framework Basel II dapat mengikuti perubahan yang terjadi di pasar maupun perkembangan-

COSO, COBIT, SARBANES OXLEY ACT, BASEL II, ISO 17799

1

4

Konsep pengendalian dalam masingmasing standar

menciptakan pengendalian internal yang baik, COSO memberikan panduan dalam penyusunannya , yaitu dengan menerapkan 5 komponen. Menurut COSO, internal control terdiri dari 5 komponen, yaitu: 1. Lingkungan pengendalia n 2. Penilaian risiko 3. Aktivitas pengendalia n 4. Informasi dan komunikasi 5. Monitoring

perkembangan dalam manajemen risiko.

Fokus pengendalian Pengendalian intern mencakup 4 pilar dari CoBIT adalah utama: sisi teknologi 1. Analisis Antiinformasi, yaitu dengan membangun Kecurangan Level Makro sebuah internal 2. Penaksiran Level kontrol yang Makro terhadap merupakan kesatuan Model Pengendalian dari beberapa proses 3. Penaksiran yang terdiri atas Kecukupan kebijakan, prosedur, Pengendalian Umum penerapan, serta IT atas Berbagai Sistem struktur organisasi.
4. Penaksiran Resiko dan Pengendalian di Tempat untuk Memastikan Keandalan Pengungkapan Ekstern

Internal kontrol dilakukan dengan menggunakan menggunakan 5 elemen utama:

1. Management oversight and the control culture 2. Risk recognition and assessment 3. Control activities and segregation of duties 4. Information and communication 5. Monitoring activities and correcting deficiencies Penggunaan rasiorasio untuk menilai kondisi keuangan

COSO, COBIT, SARBANES OXLEY ACT, BASEL II, ISO 17799

1

perbankan turut menciptakan pengendalian internal yang baik dengan seiring meningkatnya pengendalian risiko.

COSO, COBIT, SARBANES OXLEY ACT, BASEL II, ISO 17799

1

Related Interests