SARBANES OXLEY AND BEYOND

Sarbanes Oxley Act (SOX) adalah hukum AS yang berlaku pada tahun 2002 untuk
memperbaiki proses pelaporan audit keuangan dan mandat dewan direktur yang baru,
akuntan publik, dan praktIk tata kelola perusahaan lainnya. Ini memiliki dampak besar
pada bisnis pertama di Amerika Serikat dan sekarang di seluruh dunia. Sementara audit
baru SOx dan aturan pengendalian internal telah banyak berubah dalam praktik auditor
eksternal, SOx juga berdampak besar pada auditor internal. Sebuah pemahaman umum
tentang SOx, dengan penekanan pada aturan 404 pengendalian akuntansi Bagian
internal perusahaan, harus menjadi kunci badan umum pengetahuan (CBOK) Persyaratan
untuk semua auditor internal.
Meskipun SOx adalah seperangkat peraturan perundang-undangan dengan
banyak komponen, sebagian besar perhatian bisnis dan auditor dengan persyaratan SOx
telah difokuskan pada 404 bagian yang aturan pengesahan pengendalian internal.
Auditor Internal harus sangat menyadari persyaratan untuk review bagian SOx 404 serta
apa yang kita disebut bagian 302 peraturan, yang membuat manajemen bertanggung
jawab untuk laporan keuangan yang dilaporkan. Kedua bagian ini telah menyebabkan
sejumlah besar upaya dan kepedulian sebagai perusahaan mulai membangun kepatuhan
SOx. Bagian lain dari undang-undang tersebut belum diterima sebagai banyak perhatian
atau disebabkan masalah kepatuhan utama. Contohnya adalah persyaratan SOx yang
membentuk komite audit program yang disebut whistle blower untuk melaporkan
penipuan akuntansi secara anonim. Meskipun saat pertama kali muncul menjadi
kebutuhan yang signifikan, hal ini belum menerima banyak perhatian atau kegiatan
sampai saat ini.
1. Elemen Kunci Sox: ikhtisar undang-undang.
Hal ini diringkas aturan SOx di berbagai bidang seperti prosedur komite audit
dan aturan baru auditor eksternal. Ikhtisar ini akan membantu auditor internal
untuk lebih memahami beberapa aturan SOx.
2. Pasal 404 tinjauan akuntansi internal kontrol.
Persyaratan SOx untuk review dari pengendalian akuntansi internal telah
menyebabkan banyak kerja keras dan turnoil di perusahaan. Kami menjelaskan
proses review dan pentingnya bagi auditor internal.
 3. Audit SOx's standar No.5 (AS 5) pendekatan berbasis risiko.
Satu set yang relatif baru standar auditing PCAOB disebut AS 5. Aturan-aturan ini
membutuhkan pendekatan yang lebih dari audit yang berbasis risiko. Dan
menekankan pentingnya kerja internal audit dalam melakukan kajian keuangan
pelaporan pengendalian internal.

4.1 Elemen Kunci Sarbanes Oxley Act

SOx memperkenalkan serangkaian proses yang benar-benar berubah untuk audit
eksternal dan memberikan tanggung jawab pemerintahan baru untuk eksekutif senior
dan anggota dewan. SOx juga mendirikan PCAOB, aturan pengaturan kewenangan sesuai
dengan SEC bahwa isu-isu standar audit keuangan dan memantau tata auditor eksternal.
a) Title I: Public Company Accounting Oversight Board
Undang-undang Sox mulai dengan aturan baru yang signifikan untuk auditor
eksternal. Sebelum SOx, American Institute Akuntan Publik (AICPA) memiliki pedoman
pengaturan merespon untuk semua auditor eksternal dan perusahaan publik akuntansi
melalui administrasi uji Akuntan Publik Bersertifikat (BPA) dan pembatasan atas
keanggotaan AICPA untuk CPA. sedangkan negara dewan akuntansi sebenarnya berlisensi
CPA. AICPA memiliki tanggung jawab keseluruhan untuk profesi. standar audit eksternal
yang ditetapkan oleh Dewan Standar Auditing AICPAs (ASB). Meskipun standar dasar
yang disebut dengan standar audit yang berlaku umum (GaAs) telah berlaku selama
bertahun-tahun, standar yang lebih baru dirilis sebagai standar auditing yang disebut
nomor laporan audit Standard (SASS)

(i) PCAOB Administration and Public Accounting Firm Registration

PCAOB ini dikelola melalui lima anggota dewan yang ditunjuk oleh SEC dengan tiga
anggota yang diperlukan untuk umum, non-anggota CPA. SOx mensyaratkan bahwa
PCAOB tidak didominasi oleh CPA dan kepentingan perusahaan akuntan publik, dan
ketuanya tidak boleh telah berpraktik menjadi CPA untuk setidaknya lima tahun
terakhir. The PCAOB bertanggung jawab untuk mengawasi dan mengatur semua
perusahaan akuntan publik bahwa praktek sebelum SEC, termasuk:
Pendaftaran dari kantor akuntan publik yang melakukan audit perusahaan
Menetapkan standar audit
 Melakukan pemeriksaan dari kantor akuntan publik terdaftar
Melakukan penyelidikan dan pendisiplinan prosedur
Lakukan standar kualitas dan fungsi sebagai dewan menentukan
Menegakkan Sox kepatuhan

(ii)Auditing, Quality Control, and Independence Standards

Title 1. Pasal 103, memberikan wewenang PCAOB untuk menetapkan audit dan
standar atestasi terkait, standar pengendalian mutu, dan standar etika untuk
perusahaan akuntan publik terdaftar. Sox menerima standar auditing yang telah
diterbitkan sebelumnya AICPA dan menyatakan bahwa standar auditing yang baru
mungkin akan didasarkan atas "usulan dari satu atau lebih kelompok profesional
akuntan atau kelompok penasihat". Standar PCAOB meliputi bidang-bidang:
Audit retensi kertas kerja
Concurring mitra persetujuan
Ruang lingkup uji pengendalian internal
Evaluasi struktur pengendalian internal dan prosedur
Standar kualitas kontrol Audit

(iii) Inspections,investigations, and Disciplinary Procedures

PCAOB melakukan pemeriksaan akuntansi perusahaan untuk menilai kepatuhan
terhadap peraturan Sox dan standar profesional. Ini terjadi setiap tahun di kantor
akuntan publik yang lebih besar dan sekali setiap tiga tahun jika sebuah perusahaan
yang terdaftar melakukan kurang dari 100 laporan audit keuangan tahunan. Review
ini mengevaluasi sistem pengendalian perusahaan dengan baik sebagai standar
komunikasi dan dokumentasi.

(iv) Accounting Standard

Title I menegaskan bahwa SEC memiliki otoritas atas PCAOB, termasuk
persetujuan akhir peraturan, kemampuan untuk mengubah tindakan PCAOB, dan
kemudian penghapusan anggota dewan.. Sox mengakui standar akuntansi FASB,
bahwa SEC akan mengakui standar akuntansi "yang berlaku umum" yang ditetapkan
oleh "badan swasta" yang memenuhi kriteria tertentu. bertindak kemudian
 melanjutkan dengan menguraikan kriteria umum bahwa FASB telah digunakan untuk
menetapkan standar akuntansi.

b) Title II : Auditor Independence

Konflik yang terjadi di Enron merupakan isu pembentukan Sox. Fungsi audit internal
perusahaan Enron dioutsource pada auditor eksternalnya, yaitu Arthur Andersen. Hal ini
sangat memengaruhi independensi dari Andersen. Terlebih investigator pada lingkungan
internal audit sangat sulit untuk mengangkat permasalahan ke komite audit mengenai
auditor eksternal mereka.
(i) Limitations on Internal Auditor Services
Sox Section 201 melarang kantor akuntan publik yang terdaftar dari kinerja
secara kontemporer antara audit dan jasa nonaudit pada klien. Larangan
termasuk mengaudit internal, area konsultasi, dan perencanaan keuangan
pekerja senior. Selain itu Sox juga melarang jasa lain seperti :
Merancang sistem informasi keuangan dan mengimplementasikannya
KAP memasang system informasi perusahaan tetapi dia sendiri yang
melakukan review atas pengendalian internal perusahaan tersebut.
Jasa bookkeeping dan laporan keuangan
Sebelumnya banyak KAP yang menawarkan jasa akuntansi pada kliennya
selain melakukan audit perusahaan yang sama.
Fungsi manajemen dan sumberdaya manusia
Sebelum Sox, kantor eksternal audit sering membantu profesionalnya
untuk menempati posisi senior manajer keuangan kliennya.
Jasa lain yang dilarang
Sox secara khusus melarang offering actuarial, penasihat investasi, dan
audit jasa terkait.
(ii) Audit Committee Preapproval of Services
Section 202 mengatakan bahwa komite audit harus menyetujui sterlebih dulu
semua jasa audit eksternal dan non audit. Dahulu, komite audit sering
menerima tidak lebih sekedar laporan singkat dari auditor eksternaldan
menyetujuinya dengan cara yang tidak sungguh-sungguh.
(iii) External Audit Partner Rotation
Partner akuntan publik tidak boleh memimpin suatu perikatan lebih dari
lima tahun.
(iv) External Auditor Reports to Audit Commitees
Auditor eksternal kini diharuskan untuk melaporkan dasar semua kebijakan
akuntansi, praktik yang digunakan, lanGkah alternative dan laporan
 keuangan yang didiskusikan oleh manajema, dan pendekatan yang dipilih
oleh auditor eksternal.
(v) Confict of Interest and Mandatory Rotations of External Audit Firms
Sctioin 206 melarang auditor eksternal untuk menyediakan jasa audit kepada
perusahaan dimana CEO, CFO, CAO yang diikutkan sebagai anggota kantor
akuntan publik pada waktu audit sampai akhir tahun.

(c) Sox Title III : Corporate Responsibility

Title III menjelaskan perubahan besar peraturan baru untuk komite audit. Ini
merupakan area di mana auditor internal harus memiliki tingkat kepentingan yang
lebih besar. Walaupun komite audit pada umumnya terdiri dari direktur independen,
ada banyak pengecualian, Sox memperkenalkan berbagai aturan tata kelola
perusahaan yang meliputi dewan dan komite audit mereka.
(i) AUDIT COMMITTEE GOVERNANCE RULES

Semua perusahaan yang terdaftar harus memiliki komite audit terdiri dari
direktur independen saja, perusahaan audit eksternal bertanggung jawab
langsung kepada komite audit atas kompensasi perusahaan, pengawasan
pekerjaan audit, dan resolusi dari setiap perselisihan audit
(ii) SECTION 302 : CORPORATE RESPONSIBILITY FOR FINANCIAL REPORTS

Sebelum SOx, perusahaan mengajukan laporan keuangan mereka dengan SEC

dan investor tetapi dalam hal terjadi kesalahan,pegawai perusahaan yang
bertanggung jawab menandatangani laporan tersebut bisa membantah mereka
tidak bertanggung jawab secara pribadi. Mereka bisa mengklaim tidak
memahami detail dan setiap kesalahan atau masalah adalah tanggung jawab
bawahannya.
(iii) IMPROPER INFLUENCE OVER THE CONDUCT OF AUDITS
SOx membuatnya melanggar hukum untuk setiap pejabat, direktur, atau
bawahan terkait untuk mengambil tindakan dari aturan SEC, untuk "menipu,
mempengaruhi, memaksa, memanipulasi, atau menyesatkan. CPA auditor
eksternal terlibat dalam audit untuk tujuan penerjemahan laporan keuangan
secara materiil menyesatkan.
(iv) FORFEITURES ,BARS,AND PENALTIES
 Title III diakhiri dengan serangkaian aturan rinci dan denda yang meliputi tata
kelola perusahaan, mereka mengusulkan untuk memperketat aturan yang ada
di tempat sebelum SOx atau untuk menambahkan aturan baru untuk apa yang
sering tampak keterlaluanHal ini, tidak mempengaruhi komite audit, auditor
internal atau eksternal secara langsung, Mereka diarahkan pada daerah-daerah
lain dari apa yang diyakini kelebihan tata kelola perusahaan penyitaan bonus
yang tidak tepat, bar untuk layanan pejabat atau direktur,pemadaman dana
pensiun periode,pengacara profesional tanggung jawab.wajar dana untuk
investor.

(d) Title IV : Enhance Financial Disclosure

Title IV Sox dirancang untuk memperbaiki beberapa masalah pengungkapan
pelaporan keuangan, diantaranya untuk memperketat konflikkepentingan bagi pejabat
perusahaan dan direktur, untuk penilaian manajemen pengendalian internal, untuk
meminta kode etik pegawai senior,dan hal-hal lainnya. Sox mengetatkan banyak
peraturan dan membuat beberapa taktik pengungkapan keuangan yang sulit atau ilegal
(i) Expanded Conflict of Interest Provisions and Disclosure
Dalam pengaturan yang sering muncul menjadi konflik kepentingan,yaitu
tunjangan relokasi besar atau pinjaman pribadi Eksekutif perusahaan diberikan
dan kemudian selanjutnya diampuni oleh dewan perusahaan.
(ii) Managements Assesment of Internal Controls: Section 404

Sox mengharuskan semua 10K laporan tahunan harus berisi laporan

pengendalian internal yang menyatakan tanggung jawab manajemen untuk
membangun dan menjaga sistem yang memadai pengendalian internal serta
asersi manajemen,pada tahun buku yang berakhir pada tanggal efektivitas dari
prosedur pengendalian internal yang terpasang.
(iii)Financial Officer Codes of Ethics.
Sox mengharuskan perusahaan mengadopsi kode etik untuk CEO
mereka,CFO,dan petugas senior lainnya yang mengungkapkan permintaan
mereka dengan kode sebagai bagian dari laporan tahunan keuangan mereka.
Sementara telah membuat persyaratan kode etik untuk perwira senior, karyawan
atau telah berada di perusahaan selama bertahun-tahun Jika perusahaan
 memiliki kode etik, manajemen harus memastikan bahwa ini berlaku untuk
semua anggota perusahaan,konsisten dengan Sox dan bahwa aturan etika
dikomunikasikan kepada seluruh anggota dari perusahaan, termasuk senior
manajer.
(iv) Other Title IV Required Disclosure
Semua entitas SEC-terdaftar diwajibkan untuk membentuk 10K laporan tahunan
serta laporan keuangan SEC lainnya. Perusahaan menerbitkan laporan yang berisi
antisipasi tinjauan SEC secara rinci, sidang pimpinan untuk
Sox,bagaimanapun,mengungkapkan bahwa tinjauan SEC tidak selalu tepat waktu
atau komprehensif.

(e)Title V : Analyst Conflicts of Interest

Title V dirancang untuk memperbaiki beberapa pelanggaran efek analis. Investor
telah mengandalkan rekomendasi dari analis sekuritas selama bertahun-tahun, namun
sering para analis menyerah pada broker besar, dan menganalisis dan
merekomendasikan efek kepada kalangan investor dan pengusaha lembaga keuangan
mereka.Title V adalah upaya untuk memperbaiki pelanggaran analis.SOx telah
direformasi dan diatur berdasar praktek-praktek analis sekuritas. Aturan perilaku telah
membetuk hukuman terhadap pelanggara dan hasilnya investor harus lebih informative.

(f) Title VI X : Fraud Accountability and White Collar Crime

Title ini mencakup isu-isu mulai dari dana alokasi SEC untuk rencana untuk studi
di masa depan, dan mereka termasuk aturan baru untuk memperketat apa yang telah
dilihat sebagai celah peraturan masa lalu.Aturan terakhir memberikan SEC wewenang
untuk secara efektif melarang suatu kantor akuntan publik dari bertindak sebagai auditor
eksternal bagi perusahaan.
Title SOx VIII dan IX tampaknya sangat banyak reaksi terhadap kegagalan Enron
dan runtuhnya berikutnya Arthur Andersen. Title VIII dari SOx telah menetapkan spesifik
aturan dan hukuman untuk penghancuran catatan audit perusahaan.Title IX
berhubungan dengan kejahatan kerah putih serta hukuman maksimum di dalamnya.Title
X kemudian adalah "kepekaan Senat" bahwa pajak penghasilan perusahaan harus
ditandatangani oleh CEO. Sekali lagi, tanggung jawab ditempatkan pada individual
officer, bukan anonim pada entitas perusahaan
(g) Title XI : Corporate Fraud Accountability
SOx terakhir meliputi tanggung jawab perusahaan untuk penipuan
pelaporan keuangan.Title ini ditetapkan untuk memperbaiki pelanggaran yang dilaporkan
dimana beberapa perusahaan sedang diselidiki untuk penipuan keuangan tersebut
secara bersamaan mengeluarkan pembayaran kas besar untuk individu.

4.2 Performing Section 404 Reviws under A 5

Pada section 404, sebuah perusahaan bertanggungjawab untuk melakukan review,
mendokumentasi, dan menguji pengendalian internalnya. Awal pertengahan 2007,
section 404 ini dubah menjadi AS 5, yang merupakan pendekatan audit lebih berisiko
yang lebih baik penggunaannya olehh internal auditor dalam melakukan penilaian.
(a) Section Internal Controls Assessment Today
Manajemen memiliki tanggung jawab untuk merancang dan mengimplementasikan
pengenadalian internaldalam operasi perusahaan. Section 404 mensyaratkan
persiapan laporan pengendalian internal tahunansebagai bagian dari mandate SEC
10K laporan tahunan perusahaan.
(b) Launching the Section 404 Compliance Review
(i) Identify Key Processes
Mempertimbangkan system teknilogi informasi, prosedur manual utama lainnya
yang berbasis regular, selain itu termasuk siklus pendapatan, silkus pengeluaran
langsung dan tak langsun, siklus pembayaran gaji, dan siklus persediaan.
(ii) Internal Audits Role

Aturan pengendalian internal dalam Section $ yaitu antara lain auditor

internal dapat bertindak sebagai konsultan internal dalam perusahaan untuk
mengidentifikasi dokumentasi, mereka dapat merievew dan menguji proses
pengendalian internal , serta dapat membantu sumberdaya perusahaan baik
internal maupun eksternal namun tidak lang sung terlibat melakukan review.

(iii) Organizing The Project

 Usaha yang diperlukan untuk pendaftar baru didasarkan pada kekuatan dan
kecanggihan dari pemrosesan pengendalian internal suatu perusahaan dan harus
mengikuti delapan langkah:
Langkah 1: Mengatur pendekatan proyek seksi kepatuhan 404.
Menetapkan satu tim proyek untuk memimpin usaha. Seorang eksekutif senior, seperti
CFO harus bertindak sebagai pendukung proyek dengan tim dari kedua sumber daya
internal dan extetnal untuk berpartisipasi dalam usaha.
Langkah 2: Mengembangkan rencana proyek.
Pengendalian internal kepatuhan proyek seharusnya baik dalam proses sebelum akhir
tahun keuangan. Rencana tersebut harus fokus pada bidang yang signifikan dari operasi
perusahaan dan mencakup semua unit bisnis yang signifikan.
Langkah 3: Memilih Kunci Proses untuk tinjauan. Audit internal dapat membantu dalam
mengembangkan prosedur terdokumentasi untuk membenarkan mengapa satu proses
yang lebih layak atau signifikan untuk ditinjau rinci dibandingkan dengan yang lain.
Namun, perusahaan harus mengembangkan beberapa kriteria basis risiko mengapa
beberapa proses telah atau tidak dipilih untuk ditinjau. Pendekatan ini selanjutnya harus
diterapkan secara konsisten.
Langkah 4: Dokumen yang dipilih proses arus transaksi. Menyiapkan dokumentasi
transaksi aliran untuk kunci proses yang dipilih. Perusahaan harus menetapkan prosedur
untuk memastikan bahwa dokumentasi terbaharui atas semua perubahan sistem
sebelumnya jika dokumen diperlukan. Dokumentasi dapat dilakukan secara deskripsi
verbal, tetapi biasanya lebih baik bila menggunakan beberapa jenis teknik flowchart.
Langkah 5: Menilai risiko proses yang dipilih. Idenya adalah untuk bertanya tentang risiko
potensial di sekitar setiap proses review.Tim review SOx harus melalui setiap proses yang
dipilih dan menyorot potensi risiko menggunakan pertanyaan terbuka dan kemudian
fokus pada kontrol pendukung yang diharapkan.
Langkah 6: Menilai efektifitas control melalui prosedur uji yang sesuai. Sistem kontrol
memiliki nilai kecil jika mereka tidak bekerja secara efektif. Wawancara dan persiapan
dokumentasi proses kadang bisa menentukan apakah kontrol yang tepat tidak pada
tempatnya atau tidak efektif. Kesimpulan dari penilaian harus didokumentasikan dan
didiskusikan dengan pemilik proses, dan rencana harus dikembangkan untuk mengambil
tindakan korektif untuk meningkatkan kontrol.
Langkah 7: Tijauan hasil kepatuhan atas stakeholder kunci. Tim proyek harus meninjau
kemajuan manajemen senior, menyoroti tinjauan pendekatan dan tindakan perbaikan
jangka pendek yang diprakarsai. Koordinasi dengan para pemangku kepentingan kunci
adalah penting di sini.
Langkah 8: Melengkapi laporan mengenai efektivitas struktur pengendalian internal.
Laporan ini, bersama dengan kerja pembuktian auditor eksternal, akan diajukan ke SEC
sebagai bagian dari laporan tahunan 10K perusahaan. Semua pekerjaan harus
didokumentasikan mirip dengan workpapers audit internal.

4.3 AS 5 Rules and Internal Audit

AS 5 memperkenalkan aturan-aturan berbasis risiko dengan penekanan pada
efektivitas pengendalian tingkat perusahaan yang lebih berorientasi pada fakta
perusahaan dan keadaan. selain itu, standar auditing panggilan untuk auditor eksternal
untuk mempertimbangkan termasuk kajian terhadap sesuai dengan laporan audit
internal di review audit laporan keuangan mereka. AS 5 memungkinkan auditor eksternal
untuk lebih menekankan pada kemampuan manajemen untuk membangun dan
mendokumentasikan kunci pengendalian internal. Auditor keuangan internal
managemen perlu memahami risiko dan aturan baru berdasarkan scalable untuk audit
keuangan perusahaan mereka.
1. Fokus Audit Pengendalian Internal pada Hal yang Paling Penting.
2. Menghilangkan prosedur audit yang diperlukan untuk mencapai manfaat yang
dimaksudkan.
3. Membuat audit jelas scalable agar sesuai dengan ukuran dan kompleksitas
perusahaan apapun.