Kepatuhan SOX adalah tindakan mematuhi persyaratan pelaporan keuangan, keamanan informasi, dan audit dari Sarbanes-Oxley Act (SOX Act), undang-undang AS yang bertujuan untuk mencegah penipuan perusahaan.
Agar mematuhi SOX, perusahaan publik yang menjalankan bisnis di AS harus:
- Menerapkan kontrol internal untuk melindungi data keuangan dari gangguan.
- Mengajukan laporan rutin kepada Securities and Exchange Commission (SEC) yang membuktikan keefektifan kontrol keamanan dan keakuratan pengungkapan keuangan.
- Lulus audit independen tahunan atas laporan keuangan dan kontrol mereka.
Undang-undang SOX juga menetapkan aturan untuk firma akuntansi yang mengaudit perusahaan publik dan analis yang memublikasikan penelitian tentang sekuritas. Undang-undang tersebut mengenakan denda dan hukuman pidana yang signifikan untuk aktivitas keuangan penipuan dan bentuk ketidakpatuhan tertentu.
Meskipun SOX adalah peraturan keuangan, pemangku kepentingan dari seluruh organisasi terlibat dalam mencapai kepatuhan. Departemen IT dan tim keamanan siber menjadi sangat penting karena organisasi seiring dengan semakin banyaknya organisasi yang beralih ke solusi teknologi untuk melindungi informasi keuangan dalam jaringan perusahaan yang kompleks.
Menurut laporan tahun 2023 oleh perusahaan konsultan Protiviti (tautan berada di luar ibm.com), lebih dari separuh perusahaan mengatakan bahwa kepatuhan terhadap SOX memerlukan waktu yang lebih lama untuk mencapainya. Rata-rata organisasi menghabiskan lebih dari USD 1 juta untuk upaya kepatuhan SOX setiap tahun.
Dapatkan wawasan untuk mempersiapkan dan merespons serangan siber dengan lebih cepat dan efektif dengan Indeks Intelijen Ancaman IBM Security X-Force.
Daftar untuk memperoleh laporan Biaya Pelanggaran Data
Sarbanes-Oxley Act of 2002 adalah undang-undang federal AS yang disponsori bersama oleh Senator Paul Sarbanes dan Perwakilan Michael Oxley. Kongres mengesahkan undang-undang tersebut setelah beberapa skandal keuangan pada awal abad ke-21, termasuk runtuhnya Enron, WorldCom, dan Tyco.
Dalam kasus ini dan kasus lainnya, perusahaan publik menggunakan gabungan antara celah akuntansi dan penipuan langsung untuk menggelembungkan nilai mereka, menyebabkan investor kehilangan miliaran dolar. Sebagai contoh, ketika penipuan Enron terbongkar, harga sahamnya jatuh dari USD 90,75 sen menjadi hanya 60 sen per saham.
Dalam beberapa kasus, perusahaan dibantu oleh firma akuntansi eksternal yang seharusnya mengaudit mereka. Arthur Andersen, yang pernah menjadi salah satu dari "Lima Besar" firma akuntansi, berhenti beroperasi karena perannya dalam skandal Enron dan WorldCom.
SOX bertujuan untuk mencegah kecurangan perusahaan dengan menetapkan mandat peraturan yang ketat tentang bagaimana organisasi melindungi catatan keuangan dari gangguan dan membuat auditor lebih independen dari klien mereka.
Undang-undang ini merupakan undang-undang yang besar dengan total 11 judul. Beberapa dampaknya yang paling signifikan meliputi:
- Membentuk Dewan Pengawas Akuntansi Perusahaan Publik (PCAOB)
- Memperkuat persyaratan pelaporan keuangan
- Menjadikan eksekutif perusahaan secara pribadi bertanggung jawab atas pengungkapan dan pengendalian keuangan
- Meningkatkan independensi untuk auditor dan analis eksternal
- Melindungi pelapor
SOX mendirikan PCAOB, sebuah perusahaan nirlaba yang menetapkan standar audit keuangan dan mengatur firma akuntansi yang mengaudit perusahaan publik. PCAOB dapat menyelidiki perusahaan yang dicurigai melakukan ketidakpatuhan dan mendisiplinkan mereka dengan memungut denda hingga USD 10.000 untuk perorangan dan USD 2.000.000 untuk organisasi.
Di bawah Securities Exchange Act of 1934, perusahaan publik dengan ukuran tertentu sudah harus mengajukan laporan keuangan tahunan dan triwulanan kepada SEC. SOX menekankan bahwa laporan ini harus bebas dari pernyataan yang menyesatkan. Laporan harus disiapkan sesuai dengan prinsip akuntansi yang berlaku umum, serangkaian standar yang dikelola oleh Dewan Standar Akuntansi Keuangan (tautan berada di luar ibm.com).
Beberapa transaksi di luar saldo yang sebelumnya dapat diabaikan oleh perusahaan dari laporan keuangan, seperti utang yang dimiliki oleh anak perusahaan yang tidak dikonsolidasi, kini harus dilaporkan jika transaksi tersebut memiliki dampak material terhadap status keuangan perusahaan. Informasi bersifat "material" jika dapat menyebabkan investor yang masuk akal mempertimbangkan kembali keputusan investasi.
Perusahaan juga harus melaporkan kepada publik, dengan cara yang hampir real-time, apa pun yang merupakan perubahan material pada informasi keuangan mereka.
Terakhir, perusahaan harus menerapkan kontrol internal untuk melindungi data keuangan dari gangguan dan penipuan yang dilakukan oleh pihak internal atau eksternal. Termasuk menyimpan catatan keuangan untuk periode waktu tertentu.
Berdasarkan SOX, chief executive officer (CEO), chief financial officer (CFO), dan pejabat perusahaan yang menjalankan peran serupa bertanggung jawab secara pribadi untuk memastikan bahwa laporan keuangan benar dan struktur pengendalian internal berjalan efektif. Para eksekutif dapat dikenakan denda dan hukuman pidana jika laporan keuangan tidak akurat, bahkan jika mereka tidak secara sengaja menyesatkan investor.
Konflik kepentingan berkontribusi pada skandal yang mendorong lahirnya SOX. Firma akuntansi yang mengaudit laporan keuangan perusahaan publik sering kali menyediakan layanan konsultasi yang menguntungkan bagi perusahaan tersebut. Para akuntan merasa terdorong untuk menghasilkan laporan audit yang dapat diterima oleh klien mereka, atau mereka akan mengambil risiko kehilangan pengaturan yang menguntungkan ini.
Demikian pula, analis yang melaporkan nilai saham sering kali bekerja untuk organisasi yang menyediakan layanan perbankan investasi atau layanan lain untuk perusahaan publik.
SOX bertujuan untuk menghilangkan konflik kepentingan ini dengan beberapa cara. Pertama, peraturan ini mewajibkan perusahaan publik membentuk komite audit yang independen terhadap manajemen. Komite ini bertanggung jawab untuk merekrut dan berkoordinasi dengan auditor independen. SOX juga melarang organisasi untuk mencoba memengaruhi hasil audit.
Firma akuntansi tidak dapat memberikan konsultasi atau layanan lain kepada perusahaan yang sama tempat mereka melakukan audit SOX, dan organisasi harus merotasi auditor eksternal setiap lima tahun.
Analis sekuritas harus beroperasi secara independen dari bagian perbankan investasi institusi mereka. Mereka juga harus mengungkapkan potensi konflik kepentingan saat melaporkan sekuritas.
SOX membuat tindakan pembalasan terhadap karyawan yang melaporkan potensi kecurangan dengan menurunkan pangkat, memecat, menangguhkan, melecehkan, atau merugikan mereka menjadi tindakan yang melanggar hukum.
SOX berlaku untuk semua perusahaan publik yang menjalankan bisnis di AS dan anak perusahaan yang dimiliki sepenuhnya. SOX juga berlaku untuk analis sekuritas dan firma akuntansi yang mengaudit perusahaan publik.
Meskipun perusahaan swasta dan organisasi nirlaba umumnya tidak terikat oleh SOX, ada beberapa pengecualian. Perusahaan swasta yang bersiap untuk go public melalui penawaran umum perdana tunduk pada SOX ketika mereka mengajukan pernyataan pendaftaran ke SEC. Pelapor di perusahaan swasta yang menyediakan layanan untuk perusahaan publik dilindungi oleh SOX ketika melaporkan kesalahan klien publik mereka.
SOX melarang organisasi mana pun, publik, swasta, atau nirlaba, untuk menghancurkan atau memalsukan catatan keuangan untuk menghalangi penyelidikan federal.
Meskipun SOX adalah peraturan AS, namun peraturan ini memiliki dampak bagi organisasi di luar negara tersebut. Perusahaan publik yang berkantor pusat di luar AS harus mematuhi persyaratan SOX jika mereka melakukan bisnis di AS. Pengesahan SOX juga mengilhami negara-negara lain untuk mengadopsi undang-undang mereka sendiri yang memerangi penipuan keuangan, seperti Undang-Undang Menepati Janji untuk Ekonomi yang Kuat di Kanada (disebut juga "C-SOX") dan Undang-Undang Instrumen Keuangan dan Pertukaran di Jepang (disebut juga "J-SOX").
Di Eropa, banyak pihak yang mencatat adanya tumpang tindih yang signifikan antara kepatuhan SOX dan kepatuhan terhadap Peraturan Perlindungan Data Umum (GDPR). Khususnya, banyak kontrol keamanan dan proses perlindungan data yang sama yang memungkinkan kepatuhan terhadap SOX juga mendukung kepatuhan terhadap GDPR. Uni Eropa juga telah menerapkan peraturan yang mirip dengan SOX mengenai independensi auditor keuangan.
Pada intinya, kepatuhan terhadap SOX berarti bahwa semua pengungkapan keuangan organisasi sepenuhnya akurat dan bahwa organisasi tersebut memiliki kontrol dan dokumentasi untuk mendukung laporan keuangannya.
Namun, proses untuk mencapai kepatuhan terhadap SOX bisa jadi rumit. SOX tidak menguraikan secara lengkap setiap pengendalian yang dibutuhkan perusahaan atau setiap langkah yang harus diambil oleh auditor. Organisasi yang berbeda mencapai kepatuhan SOX dengan cara yang berbeda.
Pada tingkat tinggi, SOX memiliki tiga persyaratan luas:
- Mengarsipkan laporan keuangan yang akurat yang disertifikasi oleh eksekutif perusahaan
- Menerapkan pengendalian internal yang tepat
- Lulus audit rutin
Berdasarkan SOX pasal 302, "Tanggung Jawab Perusahaan atas Laporan Keuangan," CEO, CFO, atau pimpinan perusahaan yang setara harus menandatangani setiap laporan keuangan tahunan dan triwulanan yang diajukan ke SEC.
Dalam menandatangani laporan, CEO dan CFO harus menyatakan bahwa laporan keuangan benar-benar akurat. Mereka juga harus menyatakan bahwa kontrol internal yang sesuai telah tersedia dan telah divalidasi dalam waktu 90 hari terakhir.
Berdasarkan SOX bagian 404, "Penilaian Manajemen Pengendalian Internal," setiap laporan keuangan tahunan yang diajukan ke SEC harus berisi laporan pengendalian internal yang mendalam. Laporan pengendalian internal menyatakan bahwa manajemen bertanggung jawab atas pengendalian internal dan menilai efektivitas pengendalian internal perusahaan pada akhir tahun fiskal terakhir.
Organisasi harus segera melaporkan setiap perubahan material pada status keuangan mereka. Meskipun insiden keamanan siber dapat dianggap sebagai perubahan material di bawah SOX, perlu dicatat bahwa SEC mengadopsi aturan baru pada bulan Juli 2023 yang membuat persyaratan pelaporan untuk insiden ini menjadi lebih ketat (tautan berada di luar ibm.com).
Khususnya, organisasi harus melaporkan insiden keamanan siber dalam waktu empat hari setelah menentukan bahwa insiden tersebut memiliki atau dapat memiliki dampak material. Perusahaan harus melaporkan insiden pada pihak ketiga, seperti layanan cloud, jika insiden tersebut dapat memengaruhi organisasi secara material.
Perusahaan menerapkan kontrol internal SOX untuk mencegah pelaku internal dan eksternal mengubah data keuangan secara curang atau menggunakannya untuk tujuan terlarang.
SOX tidak secara eksplisit mencantumkan semua kontrol yang harus diterapkan oleh perusahaan. Organisasi sering mengandalkan kerangka kerja tata kelola perusahaan seperti kerangka kerja Tujuan Kontrol untuk Informasi dan Teknologi Terkait yang dimiliki oleh Asosiasi Audit dan Kontrol Sistem Informasi. Komite Organisasi Sponsor dari kerangka Komisi Treadway juga populer. Meskipun kerangka kerja ini tidak dikembangkan secara khusus untuk SOX, skema kontrol yang disajikan biasanya memenuhi persyaratan kepatuhan SOX.
Organisasi menerapkan kontrol pada tingkat proses bisnis dan infrastruktur teknologi informasi.
Pengendalian proses bisnis mencakup hal-hal seperti melatih karyawan tentang persyaratan SOX dan membuat saluran pelaporan yang aman bagi para pelapor.
Banyak perusahaan juga menerapkan pemisahan tugas, sebuah prinsip dengan alur kerja dibagi menjadi beberapa bagian, dan karyawan yang berbeda bertanggung jawab untuk setiap langkah. Idenya adalah bahwa tidak ada satu pun karyawan yang mengendalikan seluruh alur kerja, dan setiap orang yang terlibat bertindak sebagai pemeriksa bagi yang lainnya. Contoh umumnya adalah orang yang menyetujui pembayaran bukanlah orang yang sama yang menulis cek dari rekening perusahaan.
Perusahaan juga dapat membuat proses untuk menyimpan dan melestarikan catatan guna memenuhi persyaratan SOX untuk penyimpanan dokumen. Misalnya, auditor diharuskan menyimpan kertas kerja yang terkait dengan audit selama tujuh tahun.
Otomatisasi menjadi semakin penting dalam upaya kepatuhan terhadap SOX seiring dengan semakin kompleksnya jaringan perusahaan. Menurut Protiviti, rata-rata perusahaan memiliki 36 aplikasi bisnis yang termasuk dalam persyaratan SOX (tautan berada di luar ibm.com). Kontrol keamanan IT dapat membantu menegakkan aturan SOX di semua aplikasi ini.
Beberapa organisasi menggunakan perangkat lunak kepatuhan SOX khusus untuk menyimpan data dan dokumen terkait SOX dengan aman, melacak aktivitas yang relevan, dan menandai kesenjangan dalam kontrol internal. Namun, perusahaan juga dapat menggunakan alat keamanan siber yang lebih umum untuk tujuan kepatuhan SOX.
Alat perlindungan data, seperti solusi pencegahan kehilangan data (DLP), dapat melacak tempat data sensitif disimpan, siapa yang mengaksesnya, dan apa yang mereka lakukan dengan data tersebut. Beberapa alat DLP juga dapat memblokir pengguna agar tidak melakukan perubahan yang tidak sah pada data keuangan atau memindahkannya ke lokasi yang tidak sah. Organisasi juga dapat menggunakan pencadangan otomatis sehingga data dapat dipulihkan jika dihancurkan atau dirusak.
Solusi manajemen identitas dan akses (IAM) memungkinkan organisasi menetapkan kebijakan kontrol akses granular dengan mengikuti prinsip hak istimewa yang paling sedikit. Karyawan hanya diberikan izin paling rendah yang mereka perlukan untuk melakukan pekerjaan mereka. Platform IAM juga dapat merampingkan manajemen perubahan sehingga organisasi dapat dengan cepat memperbarui dan menghapus izin akses ketika seseorang bergabung dengan perusahaan, berganti peran, atau keluar.
Perusahaan dapat menggunakan solusi manajemen informasi dan peristiwa keamanan (SIEM) untuk memantau aktivitas jaringan, mendeteksi pelanggaran keamanan, dan merespons insiden dengan lebih cepat. Solusi SIEM juga menyimpan log keamanan yang membantu organisasi membuktikan kepatuhan selama audit SOX. Beberapa alat SIEM memiliki fitur khusus SOX bawaan atau terintegrasi dengan alat yang memiliki fitur tersebut, yang memungkinkan mereka untuk secara otomatis mencatat informasi yang relevan dan menghasilkan laporan kepatuhan.
Kewajiban keamanan informasi SOX meluas hingga ke pusat data cloud tempat organisasi menyimpan atau memproses informasi keuangan. Perusahaan juga perlu mempertimbangkan kontrol untuk sumber data ini.
Sebagaimana disebutkan di atas, CEO dan CFO harus menjamin keakuratan setiap laporan keuangan dan efektivitas pengendalian internal. Audit rutin memberikan bukti yang dibutuhkan para eksekutif untuk membuat pernyataan ini.
Dengan melakukan audit internal secara rutin terhadap praktik pelaporan keuangan dan kontrol data, perusahaan dapat memantau kepatuhan dari waktu ke waktu, mengidentifikasi kesenjangan, dan memperbaiki kelemahan.
Temuan audit internal juga dapat membantu auditor eksternal yang melakukan audit kepatuhan SOX tahunan. Dalam audit tahunan, firma akuntansi independen melakukan penilaian sendiri atas pengendalian internal dan pelaporan keuangan. Hasil audit ini sering kali disertakan dengan laporan tahunan SEC perusahaan.
Di masa lalu, auditor harus melaporkan apakah mereka merasa penilaian manajemen terhadap pengendalian internal akurat. Persyaratan ini dihapus ketika SEC mengadopsi Standar Audit No. 5 pada tahun 2007 (tautan berada di luar ibm.com).
SOX tidak menjelaskan secara spesifik bagaimana manajer dan firma akuntansi harus melakukan audit. Sebaliknya, SEC menyatakan (tautan berada di luar ibm.com) bahwa auditor dan manajer harus menggunakan penilaian risiko dari atas ke bawah (TDRA) untuk menentukan ruang lingkup audit mereka. TDRA mengidentifikasi akun, pengungkapan, dan area lain yang paling berisiko terhadap kecurangan material dan berfokus pada penilaian kontrol utama yang mengatasi risiko tersebut.
Manfaat mematuhi SOX. Investor mungkin lebih percaya diri dalam pengungkapan keuangan dan, oleh karena itu, lebih bersedia untuk berinvestasi di perusahaan yang sesuai dengan SOX. SOX juga mengurangi insentif bagi para pemimpin perusahaan untuk melakukan penipuan dengan meminta mereka bertanggung jawab secara pribadi atas laporan keuangan.
Kepatuhan terhadap SOX dapat membantu organisasi meningkatkan postur keamanan siber mereka secara keseluruhan. Banyak kontrol keamanan data yang digunakan organisasi untuk mencegah gangguan keuangan juga dapat memerangi serangan siber. Misalnya, solusi IAM membantu mencegah peretas memasuki akun pengguna, dan alat SIEM dapat membantu mendeteksi insiden keamanan yang sedang berlangsung lebih cepat.
Ketidakpatuhan terhadap SOX juga dapat menyebabkan hukuman perdata dan pidana bagi organisasi dan individu.
Para eksekutif yang mengesahkan laporan keuangan yang tidak akurat dapat didenda hingga USD 1 juta dan dipenjara hingga 10 tahun. Para eksekutif yang dengan sengaja mengesahkan pernyataan yang menyesatkan dapat didenda hingga USD 5 juta dan dipenjara hingga 20 tahun.
Para eksekutif juga dapat memperoleh kembali kompensasi terkait insentif jika organisasi harus menerbitkan penyajian kembali keuangan. Berdasarkan aturan SEC yang diadopsi pada tahun 2022 (tautan berada di luar ibm.com), eksekutif bahkan tidak perlu bersalah atas pelanggaran. Clawback secara otomatis dipicu setiap kali laporan menunjukkan bahwa sasaran yang terkait dengan insentif tidak tercapai.
SOX juga melarang tindakan merusak, mengubah, atau mengganggu catatan keuangan. Karyawan perorangan dapat menghadapi hukuman penjara hingga 20 tahun karena melakukan hal tersebut. Pejabat perusahaan yang melakukan pembalasan terhadap pelapor dapat dikenai denda dan hukuman penjara hingga 10 tahun.
SEC dapat melarang orang yang melanggar peraturan SOX untuk menjabat sebagai pejabat perusahaan, direktur, pialang, penasihat, dan dealer. Perusahaan bahkan dapat dikeluarkan dari bursa saham karena ketidakpatuhan yang signifikan.
Solusi kepatuhan IBM® Security QRadar SIEM mengurangi risiko dan membantu mengelola persyaratan kepatuhan yang kompleks dengan menjalankan data log SIEM Anda melalui ekstensi kepatuhan untuk sebagian besar standar peraturan, termasuk SOX.
IBM Security Guardium Insights memungkinkan Anda untuk mengotomatiskan dan merampingkan perjalanan Anda menuju keamanan data dan kepatuhan dengan perangkat lunak yang melindungi data Anda, di mana pun data itu berada.
AIX, sistem operasi Unix milik IBM, mendorong inovasi dengan kemampuan cloud hybrid dan sumber terbuka yang membantu Anda membangun dan menerapkan aplikasi modern yang sesuai dalam lingkungan yang aman dan tangguh.
IBM Security X-Force Threat Intelligence Index 2023 menawarkan wawasan yang dapat ditindaklanjuti untuk membantu Anda memahami cara melindungi organisasi Anda secara proaktif.
GRC adalah strategi organisasi untuk mengelola tata kelola, manajemen risiko, dan kepatuhan terhadap peraturan industri dan pemerintah.
SIEM adalah solusi keamanan yang membantu organisasi mengenali dan mengatasi potensi ancaman dan kerentanan keamanan sebelum mengganggu operasi bisnis.