Apa yang dimaksud dengan Kepatuhan SOX (Sarbanes-Oxley Act)?

Agar mematuhi SOX, perusahaan publik yang menjalankan bisnis di AS harus:

• Menerapkan pengendalian internal untuk melindungi data keuangan dari gangguan.
   
• Menyerahkan laporan rutin kepada Securities and Exchange Commission (SEC) yang membuktikan keefektifan kontrol keamanan dan keakuratan pengungkapan keuangan.
  
  
• Lulus audit independen tahunan atas laporan dan pengendalian keuangan perusahaan.

SOX juga menetapkan aturan untuk firma akuntansi yang mengaudit perusahaan publik serta analis yang memublikasikan penelitian tentang sekuritas. Undang-undang ini menjatuhkan denda dan hukuman pidana yang signifikan atas aktivitas penipuan keuangan dan bentuk-bentuk ketidakpatuhan tertentu.

Meskipun SOX adalah peraturan keuangan, pemangku kepentingan dari seluruh organisasi terlibat dalam mewujudkan kepatuhan. Departemen TI dan tim keamanan siber menjadi sangat penting, karena organisasi lambat laun beralih ke solusi teknologi untuk melindungi informasi keuangan dalam jaringan perusahaan yang kompleks.

Menurut laporan tahun 2023 dari perusahaan konsultan Protiviti, lebih dari separuh perusahaan menyatakan bahwa perwujudan kepatuhan terhadap SOX memerlukan waktu lebih lama. Rata-rata organisasi menghabiskan lebih dari 1 juta USD dalam upaya mematuhi SOX setiap tahunnya.

Sarbanes-Oxley Act of 2002 adalah undang-undang federal AS yang disponsori bersama oleh Senator Paul Sarbanes dan Perwakilan Michael Oxley. Kongres mengesahkan undang-undang tersebut sebagai respons atas beberapa skandal keuangan pada awal abad ke-21, termasuk runtuhnya Enron, WorldCom, dan Tyco.

Dalam kasus ini dan kasus lainnya, perusahaan publik menggunakan gabungan antara celah akuntansi dan penipuan langsung untuk menggelembungkan nilai mereka, yang menyebabkan investor kehilangan miliaran dolar. Sebagai contoh, ketika penipuan Enron terbongkar, harga sahamnya jatuh dari 90,75 sen USD menjadi hanya 60 sen USD per saham.

Dalam beberapa kasus, perusahaan dibantu oleh firma akuntansi eksternal yang seharusnya mengaudit mereka. Arthur Andersen, yang pernah menjadi salah satu dari "Lima Besar" firma akuntansi, berhenti beroperasi karena keterlibatannya dalam skandal Enron dan WorldCom.

SOX bertujuan untuk mencegah penipuan dalam perusahaan dengan menetapkan kewajiban peraturan yang ketat tentang cara organisasi melindungi data keuangan dari gangguan dan membuat auditor benar-benar tidak memiliki keterkaitan dengan klien (independen).

SOX merupakan undang-undang menyeluruh yang mencakup 11 bab. Beberapa dampaknya yang paling signifikan meliputi: 

1. Mendirikan Public Company Accounting Oversight Board (PCAOB).
2. Memperkuat persyaratan pelaporan keuangan.
3. Menjadikan pejabat eksekutif perusahaan bertanggung jawab secara pribadi atas pengungkapan dan pengendalian keuangan.
4. Meningkatkan independensi auditor dan analis eksternal.
5. Melindungi pelapor.

SOX mendirikan PCAOB, sebuah perusahaan nirlaba yang menetapkan standar audit keuangan dan mengatur firma akuntansi yang mengaudit perusahaan publik.

PCAOB dapat menyelidiki perusahaan yang dicurigai melanggar peraturan dan mendisiplinkan mereka dengan memungut denda hingga 10.000 USD bagi perorangan dan 2.000.000 USD bagi organisasi.

Berdasarkan Securities Exchange Act of 1934, perusahaan publik dengan ukuran tertentu hendaknya telah mengajukan laporan keuangan tahunan dan triwulanan kepada SEC. SOX menekankan bahwa laporan ini harus bebas dari informasi yang menyesatkan.

Laporan harus dibuat sesuai dengan prinsip akuntansi yang berlaku secara umum, yaitu serangkaian standar yang dikelola oleh Financial Accounting Standards Board.

Beberapa transaksi di luar neraca yang sebelumnya dapat diabaikan dari pencatatan laporan keuangan oleh perusahaan, misalnya utang yang dimiliki oleh anak perusahaan yang tidak terkonsolidasi, kini harus dilaporkan jika transaksi tersebut memiliki dampak material terhadap status keuangan perusahaan. Informasi bersifat "material" jika dapat menyebabkan investor yang rasional mempertimbangkan kembali keputusan investasi.

Perusahaan juga harus melaporkan kepada publik, dengan cara yang hampir real-time, hal apa pun yang merupakan perubahan material pada informasi keuangan mereka.

Terakhir, perusahaan harus menerapkan pengendalian internal untuk melindungi data keuangan dari gangguan dan penipuan yang dilakukan oleh pihak internal atau eksternal. Ini termasuk menyimpan catatan keuangan untuk periode waktu tertentu.

Berdasarkan SOX, chief executive officer (CEO), chief financial officer (CFO), dan pejabat perusahaan yang menjalankan peran serupa bertanggung jawab secara pribadi untuk memastikan bahwa laporan keuangan sudah benar dan struktur pengendalian internal berjalan efektif.

Pejabat eksekutif dapat dijatuhi denda dan hukuman pidana jika laporan keuangan tidak akurat, bahkan jika mereka tidak secara sengaja menyesatkan investor.

Konflik kepentingan turut memicu skandal yang mendorong disahkannya SOX. Firma akuntansi yang mengaudit laporan keuangan perusahaan publik sering kali menyediakan layanan konsultasi yang menguntungkan bagi perusahaan tersebut.

Para akuntan merasa terdorong untuk menghasilkan laporan audit yang dapat diterima oleh klien mereka. Jika tidak, mereka berisiko kehilangan proyek yang menguntungkan ini.

Demikian pula, analis yang melaporkan nilai saham sering kali bekerja untuk organisasi yang menyediakan layanan perbankan investasi atau layanan lain bagi perusahaan publik.

SOX bertujuan untuk menghilangkan konflik kepentingan ini dengan beberapa cara. Pertama, undang-undang ini mewajibkan perusahaan publik untuk membentuk komite audit yang tidak memiliki keterkaitan dengan manajemen (independen).

Komite ini bertanggung jawab untuk menyewa dan berkoordinasi dengan auditor independen. SOX juga melarang organisasi untuk mencoba memengaruhi hasil audit.

Firma akuntansi tidak boleh memberikan konsultasi atau layanan lain kepada perusahaan yang sama tempat mereka melakukan audit SOX, dan organisasi harus merotasi auditor eksternal setiap lima tahun.

Analis sekuritas harus beroperasi secara terpisah dari bagian perbankan investasi di instansi mereka. Mereka juga harus mengungkapkan potensi konflik kepentingan saat melaporkan sekuritas.

SOX melarang tindakan pembalasan (misalnya, dengan menurunkan jabatan, memecat, menskors, melecehkan, atau mencelakai dengan cara lain) terhadap karyawan yang melaporkan potensi penipuan.

SOX berlaku untuk semua perusahaan publik yang menjalankan bisnis di AS dan anak perusahaan yang dimiliki sepenuhnya oleh perusahaan tersebut. SOX juga berlaku untuk analis sekuritas dan firma akuntansi yang mengaudit perusahaan publik.

Meskipun perusahaan swasta dan organisasi nirlaba umumnya tidak terikat oleh SOX, ada beberapa pengecualian. Perusahaan swasta yang bersiap untuk "go public" melalui penawaran umum perdana harus mematuhi SOX saat mengajukan pernyataan pendaftaran kepada SEC. Pelapor di perusahaan swasta yang menyediakan layanan bagi perusahaan publik akan dilindungi oleh SOX ketika melaporkan ketidakpatuhan klien publik mereka.

SOX melarang organisasi mana pun, baik publik, swasta, maupun nirlaba, untuk menghancurkan atau memalsukan data keuangan dengan tujuan menghalangi penyelidikan federal.

Meskipun merupakan peraturan yang berlaku di AS, SOX memiliki dampak bagi banyak organisasi di luar negara tersebut. Perusahaan publik yang berkantor pusat di luar AS wajib mematuhi persyaratan SOX ketika melakukan bisnis di AS.

Pengesahan SOX juga mengilhami negara-negara lain untuk mengadopsi undang-undang tersendiri guna memerangi penipuan keuangan. Contohnya adalah Keeping the Promise for a Strong Economy Act di Kanada (disebut juga “C-SOX”) dan Financial Instruments and Exchange Act di Jepang (disebut juga “J-SOX”).

Di Eropa, banyak pihak yang mencatat adanya tumpang tindih yang signifikan antara kepatuhan SOX dan kepatuhan terhadap General Data Protection Regulation (GDPR). Khususnya, banyak kontrol keamanan dan proses perlindungan data yang sama yang memungkinkan kepatuhan terhadap SOX juga mendukung kepatuhan terhadap GDPR. Uni Eropa juga telah menerapkan peraturan yang mirip dengan SOX mengenai independensi auditor keuangan.

Pada intinya, kepatuhan terhadap SOX berarti bahwa semua pengungkapan keuangan organisasi sepenuhnya akurat dan bahwa organisasi tersebut memiliki kontrol dan dokumentasi untuk mendukung laporan keuangannya.

Namun, proses untuk mewujudkan kepatuhan terhadap SOX bisa jadi rumit. SOX tidak menguraikan secara lengkap setiap kontrol yang dibutuhkan perusahaan atau setiap langkah yang harus diambil oleh auditor. Organisasi yang berbeda mewujudkan kepatuhan SOX dengan cara yang berbeda pula.

Umumnya, SOX memiliki tiga persyaratan luas:

1. Menyerahkan laporan keuangan yang akurat dan disahkan oleh pejabat eksekutif perusahaan.
   
2. Menerapkan pengendalian internal yang tepat.
   
3. Lulus audit rutin.

Berdasarkan SOX pasal 302, "Corporate Responsibility for Financial Reports" (Tanggung Jawab Perusahaan atas Laporan Keuangan), CEO, CFO, atau pimpinan perusahaan yang setara harus menandatangani setiap laporan keuangan tahunan dan triwulanan yang diserahkan kepada SEC.

Dalam penandatanganan laporan, CEO dan CFO harus menyatakan bahwa laporan keuangan tersebut benar-benar akurat. Mereka juga harus menyatakan bahwa pengendalian internal yang sesuai telah tersedia dan divalidasi dalam 90 hari terakhir.

Berdasarkan SOX pasal 404, "Management Assessment of Internal Controls" (Penilaian Manajemen atas Pengendalian Internal), setiap laporan keuangan tahunan yang diserahkan kepada SEC harus berisi laporan pengendalian internal yang mendalam. Laporan pengendalian internal menyatakan bahwa manajemen bertanggung jawab atas pengendalian internal dan menilai efektivitas pengendalian internal perusahaan pada akhir tahun fiskal terakhir.

Organisasi harus segera melaporkan setiap perubahan material pada status keuangan mereka. Meskipun insiden keamanan siber dapat dianggap sebagai perubahan material menurut SOX, perlu dicatat bahwa SEC mengadopsi aturan baru pada Juli 2023, yang menjadikan persyaratan pelaporan untuk insiden ini lebih ketat.

Khususnya, organisasi harus melaporkan insiden keamanan siber dalam waktu empat hari setelah memastikan bahwa insiden tersebut memiliki atau dapat memiliki dampak material. Perusahaan harus melaporkan insiden pada pihak ketiga, seperti layanan cloud, jika insiden tersebut dapat memengaruhi organisasi secara material.

Perusahaan menerapkan pengendalian internal SOX untuk mencegah pelaku internal dan eksternal mengubah data keuangan secara curang atau menggunakannya untuk tujuan terlarang.

SOX tidak secara eksplisit mencantumkan semua kontrol yang harus diterapkan oleh perusahaan. Organisasi sering mengandalkan kerangka kerja tata kelola perusahaan, misalnya kerangka kerja Control Objectives for Information and Related Technologies (COBIT) dari Information Systems Audit and Control Association (ISACA).

Kerangka kerja Committee of Sponsoring Organizations of the Treadway Commission (COSO) juga salah satu yang populer. Meskipun kerangka kerja ini tidak dikembangkan secara khusus untuk SOX, skema kontrol yang disajikan biasanya memenuhi persyaratan kepatuhan SOX.

Organisasi menerapkan kontrol pada tingkat proses bisnis dan infrastruktur teknologi informasi.

Pengendalian proses bisnis mencakup hal-hal seperti melatih karyawan tentang persyaratan SOX dan membuat saluran pelaporan yang aman bagi para pelapor.

Banyak perusahaan juga menerapkan pemisahan tugas. Prinsip ini membagi alur kerja menjadi beberapa bagian, dan karyawan yang berbeda memegang tanggung jawab atas setiap langkah.

Ini dimaksudkan agar keseluruhan alur kerja tidak dikendalikan oleh satu karyawan, dan setiap orang yang terlibat dapat bertindak sebagai pemeriksa bagi yang lainnya. Contoh umumnya adalah orang yang menyetujui pembayaran bukanlah orang yang sama yang menulis cek dari rekening perusahaan.

Perusahaan juga dapat membuat proses untuk menyimpan dan melestarikan catatan guna memenuhi persyaratan SOX untuk penyimpanan dokumen. Misalnya, auditor diharuskan menyimpan dokumen kerja yang terkait dengan audit selama tujuh tahun.

Otomatisasi menjadi makin penting bagi upaya kepatuhan SOX, karena jaringan perusahaan menjadi makin kompleks. Menurut Protiviti, rata-rata perusahaan memiliki 36 aplikasi bisnis yang tunduk pada persyaratan SOX. Kontrol keamanan TI dapat membantu menegakkan aturan SOX di semua aplikasi ini.

Beberapa organisasi menggunakan perangkat lunak kepatuhan SOX khusus untuk menyimpan data dan dokumen terkait SOX dengan aman, melacak aktivitas yang relevan, dan menandai kesenjangan dalam pengendalian internal. Namun, perusahaan juga dapat menggunakan alat keamanan siber yang lebih umum untuk tujuan kepatuhan SOX.

Alat perlindungan data, seperti solusi pencegahan kehilangan data (data loss prevention, DLP), dapat melacak lokasi penyimpanan data sensitif, pihak yang mengaksesnya, dan tindakan yang mereka lakukan terhadap data tersebut. Beberapa alat DLP juga dapat memblokir pengguna agar tidak melakukan perubahan yang tidak sah pada data keuangan atau memindahkannya ke lokasi yang tidak sah. Organisasi juga dapat menggunakan pencadangan otomatis sehingga data dapat dipulihkan jika dihancurkan atau dirusak.

Berkat solusi Manajemen identitas dan akses (identity and access management, IAM), organisasi dapat menetapkan kebijakan kontrol akses mendetail dengan mengikuti prinsip hak istimewa terendah. Karyawan hanya diberikan izin terendah yang diperlukan untuk melakukan pekerjaan mereka.

Platform IAM juga dapat merampingkan manajemen perubahan sehingga organisasi dapat dengan cepat memperbarui dan menghapus izin akses ketika seseorang bergabung ke perusahaan, berganti peran, atau keluar dari perusahaan.

Perusahaan dapat menggunakan solusi informasi keamanan dan manajemen peristiwa (security information and event management, SIEM) untuk memantau aktivitas jaringan, mendeteksi pelanggaran keamanan, dan merespons insiden dengan lebih cepat. Solusi SIEM juga menyimpan log keamanan yang membantu organisasi membuktikan kepatuhan selama audit SOX.

Beberapa alat SIEM memiliki fitur khusus SOX bawaan atau terintegrasi dengan alat yang memiliki fitur tersebut, sehingga dapat secara otomatis mencatat informasi yang relevan dan menghasilkan laporan kepatuhan.

Kewajiban keamanan informasi SOX meluas hingga ke pusat data cloud tempat organisasi menyimpan atau memproses informasi keuangan. Perusahaan juga perlu mempertimbangkan kontrol untuk sumber data ini.

Sebagaimana disebutkan di atas, CEO dan CFO harus menjamin keakuratan setiap laporan keuangan dan efektivitas pengendalian internal. Audit rutin memberikan bukti yang dibutuhkan pejabat eksekutif untuk membuat laporan ini.

Dengan melakukan audit internal secara rutin terhadap praktik pelaporan keuangan dan kontrol data, perusahaan dapat memantau kepatuhan dari waktu ke waktu, mengidentifikasi kesenjangan, dan memperbaiki kelemahan.

Temuan audit internal juga dapat membantu auditor eksternal yang melakukan audit kepatuhan SOX tahunan. Dalam audit tahunan, firma akuntansi independen melakukan penilaian mandiri atas pengendalian internal dan pelaporan keuangan. Hasil audit ini sering kali disertakan dengan laporan tahunan perusahaan yang diserahkan kepada SEC.

Di masa lalu, auditor harus melaporkan apakah mereka merasa penilaian manajemen terhadap pengendalian internal telah akurat. Persyaratan ini dihapus ketika SEC mengadopsi Auditing Standard No. 5 pada tahun 2007.

SOX tidak menentukan secara pasti cara melakukan audit bagi manajer dan perusahaan akuntansi. Sebaliknya, SEC menyatakan bahwa auditor dan manajer harus menggunakan penilaian risiko top-down (top-down risk assessment, TDRA) untuk menentukan ruang lingkup audit. TDRA mengidentifikasi akun, pengungkapan, dan area lain yang paling berisiko terhadap penipuan material, serta berfokus pada penilaian kontrol utama yang mengatasi risiko tersebut.

Mematuhi SOX akan memberikan keuntungan. Investor bisa menjadi lebih percaya diri dalam pengungkapan keuangan dan, oleh karena itu, lebih bersedia untuk berinvestasi di perusahaan yang taat SOX. SOX juga mengurangi kemungkinan pemimpin perusahaan melakukan penipuan dengan membebankan tanggung jawab pribadi kepada mereka atas laporan keuangan.

Kepatuhan terhadap SOX dapat membantu organisasi meningkatkan postur keamanan siber secara keseluruhan. Banyak kontrol keamanan data yang digunakan organisasi untuk mencegah gangguan keuangan juga dapat memerangi serangan siber. Sebagai contoh, solusi IAM membantu mencegah peretas menyusupi akun pengguna, dan alat SIEM dapat membantu mendeteksi insiden keamanan yang sedang berlangsung lebih cepat.

Ketidakpatuhan terhadap SOX juga dapat menyebabkan hukuman perdata dan pidana bagi organisasi dan perorangan.

Pejabat eksekutif yang mengesahkan laporan keuangan yang tidak akurat dapat dijatuhi denda hingga 1 juta USD dan hukuman penjara hingga 10 tahun. Pejabat eksekutif yang dengan sengaja mengesahkan laporan yang menyesatkan dapat dikenai denda hingga 5 juta USD dan hukuman penjara hingga 20 tahun.

Kompensasi terkait insentif yang telah diterima pejabat eksekutif dapat ditarik kembali (clawback) jika organisasi harus melakukan penyajian kembali laporan keuangan (financial restatement). Berdasarkan aturan SEC yang diadopsi pada tahun 2022, pejabat eksekutif bahkan tidak harus bersalah atas suatu pelanggaran. Clawback akan secara otomatis dipicu setiap kali penyajian kembali laporan (restatement) menunjukkan bahwa target yang terkait dengan insentif tidak tercapai.

SOX juga melarang tindakan merusak, mengubah, atau mengganggu data keuangan. Seorang karyawan dapat menghadapi hukuman penjara hingga 20 tahun karena melakukan hal tersebut. Pejabat perusahaan yang melakukan pembalasan terhadap pelapor dapat dijatuhi denda dan hukuman penjara hingga 10 tahun.

SEC dapat melarang orang yang melanggar peraturan SOX untuk bertindak sebagai pejabat perusahaan, direktur, broker, penasihat, dan dealer. Perusahaan bahkan dapat dikeluarkan dari pencatatan bursa saham jika melakukan pelanggaran berat.