SOX II : Indepensdensi Auditor

ELEMEN KUNCI COSO ERM

Bagan ini menunjukkan kerangka COSO ERM ini sebagai tiga dimensi kubus dengan komponen-komponen:

1. Empat kolom vertical mewakili tujuan strategis risiko perusahaan. 2. Delapan baris horizontal atau komponen risiko.

3. Beberapa tingkat untuk menggambarkan setiap perusahaan, dari tingkat induk entitas sampai anak perusahaan individual.

Bagian ini menjelaskan komponen horizontal COSO ERM; kemudian bagian lainnya membahas dua dimensi dan bagaimana mereka semua berhubungan satu sama lain. Tujuan kerangka ERM adalah untuk menyediakan model bagi perusahaan untuk mempertimbangkan dan memahami mereka terkait risiko kegiatan di semua tingkat, serta bagaimana dampak risiko komponen satu sama lain. Tujuan bab ini adalah untuk membantu Auditor Internal -dari kepala audit eksekutif (CAE) untuk staf auditor-untuk lebih memahami COSO ERM dan belajar bagaimana dapat membantu mengelola berbagai risiko yang dihadapi perusahaan.

a. Komponen Lingkungan Internal

Komponen lingkungan internal ERM COSO terdiri dari unsur-unsur:  Filosofi Manajemen Risiko.

 Risk Appetite.  Sikap dewan direksi.

 Integritas dan nilai-nilai etika.  Komitmen terhadap kompetensi.  Struktur organisasi.

 Penugasan wewenang dan tanggung jawab.  Standar Sumber daya manusia

b. Menetapkan Tujuan

Peringkat tepat di bawah lingkungan internal dalam kerangka COSO ERM, pengaturan obyektiv yang menguraikan kondisi penting untuk membantu manajemen menciptakan proses ERM yang efektif. Elemen ini mengatakan bahwa, di samping lingkungan internal yang efektif, perusahaan harus

menetapkan serangkaian sasaran strategis, sesuai dengan misi terhadap operasional, pelaporan, dan kepatuhan kegiatan. COSO ERM.Menetapkan tujuan COSO ERM dimulai dengan misi keseluruhan, untuk (1) mengembangkan sasaran strategis untuk mendukung pemenuhan yang misi, (2) menetapkan strategi untuk mencapai tujuan, (3) mendefinisikan tujuan yang terkait, dan (4) mendefinisikan selera risiko untuk menyelesaikan strategi itu. pameran ini diadaptasi dari bahan COSO ERM bimbingan.

c. Identifikasi Peristiwa

Insiden perusahaan atau kejadian-eksternal yang mempengaruhi penerapan strategi ERM dan pencapaian tujuannya. Sementara kecenderungan kita adalah untuk memikirkan peristiwa dalam arti negatif-menentukan apa salah-mereka. Banyak perusahaan saat ini memiliki kinerja perangkat monitoring yang kuat untuk memantau biaya, anggaran, jaminan mutu, kepatuhan, dan sejenisnya. Proses pemantauan harus mencakup: (1) Peristiwa ekonomi eksternal, alam, dan politik, (2) faktor social, (3) peristiwa infrastruktur internal, (4) proses internal, (5) teknologi internal maupun eksternal,

d. Penilaian Risiko

Penilaian risiko memungkinkan perusahaan untuk mempertimbangkan apa efek peristiwa terkait risiko potensial tersebut terhadap prestasi perusahaan terhadap tujuannya. Risiko ini harus dinilai dari dua perspektif: kemungkinan risiko yang terjadi dan dampak potensinya. Sebagai bagian penting dari proses penilaian risiko, juga perlu mempertimbangkan risiko yang melekat:

 Risiko Inheren. Faktor besar yang mempengaruhi risiko inheren perusahaan adalah ukuran dari anggarannya, kekuatan dan kecanggihan manajemen, dan hanya sifat dari kegiatannya. Risiko inheren di luar kendali manajemen dan biasanya berasal dari faktor eksternal.

 Risiko Residual. Ini adalah resiko yang tersisa setelah tanggapan manajemen risiko ancaman dan penanggulangan telah diterapkan. Ada hampir selalu beberapa tingkat risiko residual.

e. Respon Risiko

Setelah dinilai dan mengidentifikasi risiko yang lebih signifikan, COSO ERM diukur mengenai tanggapan terhadap berbagai risiko yang teridentifikasi. tanggapan risiko dapat ditangani dalam salah satu dari empat cara dasar:

1. Penghindaran. Ini adalah strategi berjalan menjauh dari risiko seperti menjual unit bisnis yang menimbulkan risiko, keluar dari wilayah geografis berisiko, atau menjatuhkan lini produk. Kesulitannya adalah bahwa perusahaan seringkali tidak bisa drop garis produk atau berjalan kaki sampai setelah kejadian risiko telah terjadi dengan nya terkait biaya. Penghindaran dapat menjadi berpotensi mahal strategi jika investasi tersebut dilakukan untuk masuk ke suatu daerah dengan penarikan berikutnya untuk menghindari risiko.

2. Pengurangan. Berbagai macam keputusan bisnis mungkin dapat mengurangi risiko tertentu. Diversifikasi lini produk dapat mengurangi resiko terlalu kuat dari ketergantungan pada satu baris kunci produk; membelah operasional TI menjadi dua yang terpisah secara geografis lokasi akan mengurangi risiko beberapa bencana kegagalan.

3. Berbagi. Hampir semua perusahaan secara teratur berbagi risiko mereka melalui pembelian asuransi, tetapi teknik berbagi risiko lainnya juga tersedia. Untuk transaksi keuangan, perusahaan dapat melakukan lindung nilai operasi melindungi dari fluktuasi harga yang mungkin, atau dapat berbagi risiko bisnis potensial dan manfaat melalui perusahaan perjanjian usaha patungan atau struktural lainnya pengaturan. Idenya adalah untuk memiliki pihak lain menerima beberapa potensi risiko serta berbagi dalam penghargaan yang dihasilkan.

4. Penerimaan. Ini adalah strategi tindakan apapun, seperti ketika perusahaan selfinsures dengan mengambil tindakan untuk mengurangi risiko potensial. Pada dasarnya, perusahaan harus melihat kemungkinan risiko dan dampak dalam terang risiko mendirikan toleransi dan kemudian memutuskan apakah akan menerima resiko itu atau tidak.

f. Kegiatan Pengendalian

ERM kegiatan pengendalian adalah kebijakan dan prosedur yang diperlukan untuk memastikan tindakan tanggapan risiko yang diidentifikasi. Setelah memilih respon resiko yang memadai, perusahaan harus memilih kontrol aktivitas yang diperlukan untuk memastikan bahwa risiko tanggapan dijalankan secara tepat waktu dan efisien. Setelah melalui risiko identifikasi kejadian COSO ERM, penilaian, dan respon proses, risiko pemantauan memerlukan empat langkah:

1. Mengembangkan pemahaman yang kuat tentang risiko secara signifikan dan menetapkan pengendalian prosedur untuk memantau atau benar bagi mereka.

2. Buat api prosedur pengujian bor-tipe untuk menentukan apakah mereka terkait pengendalian risiko prosedur yang bekerja secara efektif.

3. Lakukan tes proses pemantauan risiko untuk menentukan apakah mereka bekerja efektif dan seperti yang diharapkan.

4. Membuat penyesuaian atau perbaikan yang diperlukan untuk meningkatkan risiko monitoring proses.

Banyak kegiatan pengendalian di bawah pengendalian COSO internal cukup mudah untuk mengidentifikasi dan uji karena sifat akuntansi. Kegiatan ini umumnya mencakup kontrol daerah-daerah pengendalian internal:

o Pemisahan tugas. Pada dasarnya, orang yang memulai transaksi harus tidak menjadi orang yang sama yang mengotorisasi transaksi tersebut.

o Jejak audit. Proses harus diatur sedemikian rupa sehingga hasil akhir dapat dengan mudah ditelusuri kembali dengan transaksi yang menciptakan hasil tersebut.

o Keamanan dan integritas. Pengendalian proses harus memiliki kontrol yang tepat prosedur seperti bahwa hanya orang-orang yang berwenang dapat meninjau kembali atau memodifikasi mereka. o Dokumentasi. Proses harus didokumentasikan.

g. Informasi dan Komunikasi

Meskipun relatif mudah untuk menggambarkan bagaimana informasi harus dikomunikasikan dari satu komponen COSO ERM ke yang lain dalam diagram alir sederhana, melakukannya merupakan proses yang jauh lebih kompleks dalam praktek. Dasar proses dalam banyak perusahaan terdiri dari web kompleks sistem informasi operasional dan keuangan yang sering tidak terkait dengan baik. Hubungan ini menjadi lebih kompleks untuk proses ERM banyak, mengingat bahwa banyak aplikasi enterprise dasar tidak langsung meminjamkan diri untuk identifikasi risiko, penilaian, dan proses risiko-respon-tipe.

h. Pemantauan

The COSO ERM Framework Aplikasi dokumen menunjukkan bahwa pemantauan dapat meliputi jenis kegiatan:

o Pelaksanaan mekanisme pelaporan manajemen yang berkelanjutan seperti uang tunai posisi, unit penjualan, dan data keuangan kunci.

o Periodik terkait risiko proses pelaporan peringatan akan memantau aspek-aspek kunci dari didirikan risiko kriteria, termasuk tingkat kesalahan dapat diterima atau item diselenggarakan di ketegangan.

o Lancar dan status pelaporan berkala temuan terkait risiko dan rekomendasi dari laporan audit internal dan eksternal, termasuk status ERM terkait SOx mengidentifikasi kesenjangan.

o Perbarui informasi terkait risiko dari sumber seperti peraturan pemerintah-revisi, tren industri, dan berita ekonomi secara umum.