Skandal kejatuhan perusahaan besar seperti Enron dan Worldcom di bursa saham Amerika Serikat (AS) tahun 2002, - karena salah urus dan manipulasi ( fraud ) laporan keuangan - mengakibatkan rusaknya kepercayaan publik dan investor khususnya di AS. Dalam upaya mengembalikan kepercayaan pasar, dikeluarkanlah regulasi Sarbanes-Oxley Act of 2002 (SOA) oleh US SEC ( Securities and Exchange Commission ) yang memuat ketentuan-ketentuan baru untuk memperkuat governance dan struktur akuntabilitas perusahaan publik.

Compliance (kepatuhan) terhadap SOA ini bersifat wajib bagi perusahaan publik, terutama yang tercatat di bursa saham AS. SOA telah menjadi 'momok' menakutkan, karena ia menuntut standar operasi bisnis yang lebih tinggi dan memperketat pelaksaan audit kontrol internal. Kalangan eksekutif perusahaan pun secara pribadi dapat terkena hukuman kurungan sampai 25 tahun, kalau perusahaannya terbukti melanggar ketentuan SOA.

Sistem perundangan ini memang hanya berlaku di AS. Namun, SOA telah memberi dampak “ SOA best practice effect ” bagi perusahaan-perusahaan publik di Eropa dan belahan dunia lainnya, yakni sebagai norma yang diharapkan atau standar tata-kelola perusahaan yang baik. Mengapa dampaknya cukup luas? Karena kepatuhan SOA tidak hanya bagi perusahaan AS mapun Non-AS yang tercatat di bursa saham AS, melainkan kepatuhan secara parsial juga dituntut dari setiap perusahaan, baik AS maupun Non-AS, yang ingin berbisnis dengan perusahaan atau anak perusahaan yang tercatat di bursa saham AS.

Basis Utama Ketentuan SOA

SOA utamanya terkait standar pengamanan ( security ) minimun. Pengamanan adalah persyaratan yang cukup jelas dalam SOA, namun tidak begitu jelas seberapa detil security audit yang harus dipenuhi. Ada sedikitnya 4 hal utama dalam regulasi SOA, namun yang perlu dikemukakan di sini adalah Section 302 dan 404. Section 302 menetapkan bahwa pejabat eksekutif harus bertanggung jawab secara pribadi terhadap pernyataan prosedur pengendalian, kontrol internal, dan jaminan atas fraud . Section ini lahir belajar dari kasus Enron, dimana eksekutif perusahan (CEO, CFO) mengelak dari tanggung jawab dengan menyatakan tidak tahu menahu atas penyimpanyan yang terjadi dalam laporan keuangan mereka.

Sedang Section 404 memuat ketentuan yang mewajibkan penyediaan audit SOA tahunan yang menunjukkan efektivitas kontrol internal atas pelaporan keuangan, dan memperoleh pernyataan dari auditor eksternal bahwa kontrol telah berjalan efektif. Ketentuan ini menuntut perusahaan untuk memahami, mendokumentasi, dan menyempurnakan kontrol internal terkait pelaporan keuangan, dengan terus meningkatkan akurasi proses bisnis dan informasi transaksionalnya, serta membangun perbaikan proses secara berkelanjutan.

Pemenuhan Section 404 inilah yang paling banyak membutuhkan biaya dan sumber daya. SOA section 404 menuntut perhatian yang lebih pada aspek pengamanan dan kontrol manajemen risikonya. Penentuan seberapa jauh pengamanan dinyatakan cukup memadai, telah menjadi tantangan terbesar yang dihadapi organisasi. Kepatuhan, pada dasarnya, adalah kesepakatan antara auditor dan audittee , karenanya fokus perhatian ditujukan pada penciptaan posisi yang bisa dipertangungjawabkan ( defensible ) dari sebuah pernyataan kepatuhan.

Implikasi Ketentuan SOA

Sesungguhnya SOA memuat ketentuan-ketentuan yang diungkapkan secara sederhana. Section 404 misalnya, hanya terdiri dari dua paragraf dan mudah dimengerti. Namun, kompleksitas muncul ketika kita menerjemahkan paragraf ini menjadi daftar panjang dari regulasi dan aturannya yang bisa mencapai 900 halaman. Pada dasarnya, regulasi semacam SOA menuntut 3 hal yaitu Transparansi, Akuntabilitas, dan Dapat diukur ( Measurability) .

Transparansi menuntut kemampuan visibilitas dan auditabilitas dari setiap proses dan aktivitas yang terkait dengan keuangan. Akuntabilitas menuntut kejelasan dan ketiadaan konflik atas siapa bertanggung jawab atas informasi apa. Akuntabilitas memastikan pula hak akses atas informasi dan rantai pengambilan keputusan yang sesuai dengan tanggung jawab tugas personil terkait. Measureability bertujuan memberikan basis pengukuran untuk perbaikan berkelanjutan. Kontrol internal yang baik harus memiliki ketiga hal ini.

Implikasi dari kewajiban kepatuhan terhadap SOA mengakibatkan biaya pemenuhannya membengkak bagi setiap organisasi. Dengan ketentuan semacam SOA, maka kepatuhan menjadi komponen baru biaya operasi bisnis. Elemen biaya kepatuhan itu meliputi biaya audit keuangan, biaya kontrol internal, dan biaya audit SOA-nya sendiri. SOA menuntut akuntabilitas pribadi yang lebih tinggi dari para eksekutif senior dan standar sistem akuntasi baru yang lebih ketat.

Dari implementasi yang sudah berjalan di AS mulai tahun 2004 - yaitu tahun pertama SOA - aktivitas pemenuhan ketentuan baru ini bisa menyerap sumber daya dan biaya sangat besar, bahkan sampai 20 kali lebih besar dari apa yang SEC perkirakan di tahun 2003. Ketiadaan pengalaman masa lalu dari hampir semua organisasi membuat persiapan kurang efisien, khususnya menghadapi era dimana proses bisnis dan kontrol atas data transaksional harus didokumentasikan, diuji, dan disahkan. Alasan paling sering diungkapkan adalah interpretasi auditor yang konservatif dari aturan SOA dan aksi sia-sia yang berlebihan, seperti meminta auditor ikut hadir dalam rapat sebagai bukti rapat sudah dilakukan.

Perusahaan yang mulai lebih lambat, khususnya perusahaan Non-AS, seperti TELKOM - dimana kewajiban audit SOA baru mulai diterapkan pada bulan Juli 2006 - dapat menarik pelajaran dari mereka yang telah bersiap lebih dahulu. Pada tahun awal implementasi SOA, umumnya, perusahaan melakukan pembenahan di 4 aspek.

Pertama, segregation of duties yaitu penataan akuntabilitas atas hak kewenangan dan akses user atas informasi perusahaan, serta rantai proses pengambilan keputusan sesuai tanggung jawab tugasnya.

Kedua, perbaikan sumber daya untuk kontrol internal. Perusahaan dituntut untuk menyediakan tambahan staf audit internal dan memberikan mereka kewenangan akses lebih tinggi.

Ketiga, pengetatan siklus pelaporan keuangan. Perusahaan dituntut untuk memaksimalkan otomatisasi pelaporan keuangan dan menghidari semaksimal mungkin proses-proses manual.

Keempat, penghilangan silo-silo dalam organisasi dan bekerja lebih terintegrasi. Silo-silo organisasi membuat proses bisnis tidak standar demikian pula upaya kontrol internal menjadi kompleks dan banyak terjadi duplikasi.

Proses dokumentasi menggiring unit untuk mencari kesamaan dan konsistensi sumber informasi, menghindari redundansi, dan membuat data serta sumber daya lain tersedia bagi lebih banyak pihak baik internal maupun antar unit dalam organisasi. Hal-hal yang semula 'di-desentralisasi', dituntut untuk 'di-sentralisalikan' lagi agar terjadi konsistensi dan standarisasi proses bisnis. Standarisasi proses kontrol akan menekan biaya kepatuhan secara signifikan. Beberapa ahli menyarankan agar fokuskan biaya kontrol pada uji kontrol kritikal ketimbang kontrol pada semua hal, serta menguji ulang secara periodik pada titik kontrol yang paling berisiko tinggi

Peluang Integrasi Kepatuhan, Perbaikan Kinerja, dan Nilai

Tujuan utama dari kepatuhan haruslah tetap pada kinerja bisnis yang lebih baik. Meraih kepatuhan bukanlah tujuan utama, melainkan salah satu aspek dari serangkaian aktivitas yang perlu dilakukan untuk memperbaiki manajemen risiko dan kinerja perusahaan. Saat ini, sudah tentu, energi banyak ditumpahkan oleh perusahaan untuk mematuhi persyaratan regulasi, seperti SOA. Mereka sangat disibukkan oleh pemenuhan tenggat waktu yang mengancam, sehingga tidak sempat melihat implikasi yang lebih luas dari kontrol yang diterapkan, bagaimana kontrol bisa diotomatisasi, sehingga menyederhanakan efektivitas titik kontrol internal.

Organisasi yang prudent akan mengalokasikan dana dan sumberdayanya untuk memelihara kepatuhan setelah memenuhi ketentuan minimal dan melihat kepatuhan dalam jangka panjang membangun kapabilitas nyata dari perusahaan untuk melakukan langkah proaktif, tidak lagi reaktif, dan mengadopsi sistem-sistem yang meningkatkan transparansi, akuntabilitas, dan peningkatan kinerja. Dengan pendekatan ini, perusahan akan merespon lebih baik terhadap perubahan. Misalnya, mengarahkan perhatian pada risiko, mengidentifikasi risiko yang bisa memacu keunggulan kompetisi, dan melindungi nilai dari pemegang saham, sebagaimana terlihat pada gambar.

Dengan kata lain, kepatuhan yang efektif-biaya membutuhkan sudut pandang jangka panjang. Oleh karena itu, kegiatan kepatuhan ( compliance) jangan diperlakukan sebagai proyek, melainkan sebagai sebuah program berkelanjutan dengan dukungan seluruh sistem operasionalnya. Sehingga kepatuhan tidak hanya untuk kepentingan regulator, auditor, dan akuntan, melainkan mampu menciptakan nilai bisnis yang lebih kokoh dengan menekan biaya penyimpanan, biaya perkara, dan biaya dokumentasi; meningkatkan pengamanan perusahaan, optimalisasi proses bisnis dan mengefisiensikan alokasi modal.

Tujuan utama Kepatuhan: Corporate Performance Management (sumber: Gartner)

Strategi dalam Mengefektifkan Biaya Kepatuhan

Bagi perusahan yang mendapat beban kepatuhan yang bertambah, atau frekuensi dan kompleksitas permintaan kepatuhan meningkat, maka perlu dibentuk PMO ( Program Management Office ) untuk mengelola proyek-proyek kepatuhan dari sudut pandang enterprise , antara lain:

•  Agregasi dan konsolidasi kebutuhan kepatuhan dan membangun solusi yang sinergis. Hal ini dalam rangka menghemat waktu dan biaya, sekaligus sebagai antisipasi untuk kebutuhan mendatang. Standar operasi bisnis ditinggikan pada tingkat yang sepadan dengan profil risiko organisasi.

•  Memonitor Total Cost of Compliance terhadap efektivitas implementasinya. Biaya lebih tinggi tidak selalu berarti tingkat kepatuhan meningkat atau menurunkan risiko. Perlu upaya pemahaman, kategorisasi, dan komunikasikan risiko dari ketidakpatuhan. Sepakati profil risiko yang dipilih perusahan.

•  Kepatuhan harus disusun selaras dengan Manajemen Kinerja Perusahaan ( Corporate Performance Management ). Implementasinya mengadop pendekatan Risk-driven Compliance yang bisa berlaku untuk setiap kemungkinan regulasi baru dengan meningkatkan kapabilitas pelaporan. Selanjutnya ciptakan keterpaduan antara kepatuhan, perbaikan kinerja, dan nilai.

Penerapan Risk-driven Compliance memerlukan kajian risiko yang cermat berbasis pada prioritas perusahaan. Proses kajian risiko merupakan suatu proses berkelanjutan. Berikutnya perlu disadari bahwa kondisi alami setiap organisasi tidak sama, sehingga fleksibilitas yang diberikan oleh regulasi perlu dijabarkan menjadi kriteria pemilihan kontrol yang tepat untuk membimbing sejauhmana seharusnya kita melangkah dalam memenuhi kepatuhan. Kriteria pemilihannya meliputi besaran, kompleksitas, dan kapabilitas organisasi. Sementara tidak ada standar bagaimana sesuatu harus dilakukan, maka hal itu merupakan kesempatan untuk membuat argumen yang meyakinkan pada setiap kasus dalam sistem audit, khususnya SOA, sehingga yang penting adalah setiap keputusan harus punya justifikasi dan didokumentasi. Justifikasi harus mencakup keluaran dari kajian risiko dan kriteria seleksi titik-titik kontrol yang dipandang secara kolektif.

Terakhir agar terjadi penciptaan nilai bagi perusahaan dalam jangka panjang, perlu dibangun sebuah program kepatuhan yang proaktif dalam mengantisipasi regulasi dan memetakan praktik-praktik terbaik kepada kebutuhan regulasi secara spesifik. Dari survei yang dilakukan oleh CFO researh services, pada bulan Maret 2005, diindikasikan bahwa masih banyak hal yang perlu dikerjakan bagi organisasi untuk mencapai struktur kepatuhan optimal yang berkelanjutan. Para ekseskutif telah sepakat bahwa otomatisasi berbasis TI harus memainkan peran sentral dalam menyediakan struktur yang optimal, yaitu titik kontrol yang efisien, bisnis proses yang telah dioptimasi, dan beroperasi secara real-time . Untuk meraih kebesaran ( greatness ) dibutuhkan semua elemen kesempurnaan dalam operasi bisnis dengan standar kepatuhan yang tinggi. Sukses butuh biaya. No Pain, No Gain.