RINGKASAN MATERI KULIAH

CHAPTER 6
Internal Control

FRAMEWORKS
Kerangka kerja adalah kumpulan prinsip panduan yang membentuk kerangka di mana
organisasi dapat mengevaluasi banyak praktik bisnis. Khusus untuk praktik audit internal,
berbagai kerangka digunakan untuk menilai kecukupan desain dan efektivitas operasi
pengendalian. Kerangka kerja menyediakan struktur di mana kumpulan pengetahuan dan
panduan cocok bersama. Sistem ini memfasilitasi pengembangan, interpretasi, dan penerapan
konsep, metodologi, dan teknik yang konsisten yang berguna untuk suatu disiplin atau
profesi.
Internal Control Frameworks
Tidak ada perbedaan substantif antara COSO dan CoCo. Kedua kerangka tersebut
mencakup definisi pengendalian internal yang menggambarkan proses yang memberikan
jaminan yang wajar untuk mencapai tujuan organisasi dalam tiga kategori khusus: efektivitas
dan efisiensi operasi, keandalan pelaporan, dan kepatuhan.
Kerangka kerja tersebut juga sepakat mengenai tanggung jawab pengendalian
internal, khususnya menempatkan tanggung jawab tidak hanya pada dewan direksi,
manajemen senior, dan auditor internal, tetapi juga pada setiap individu dalam organisasi.
Meskipun kerangka tersebut menggunakan judul yang berbeda untuk mereka, komponen dari
setiap kerangka pengendalian internal pada dasarnya sama dan dapat diperiksa menggunakan
judul COSO untuk setiap komponen. Mereka adalah: Lingkungan Pengendalian, Penilaian
Risiko, Aktivitas Pengendalian, Informasi dan Komunikasi, dan Pemantauan.
Sebagai hasil dari pengawasan publik yang meningkat atas ICFR yang terjadi dari
Sarbanes-Oxley, subjek pengendalian internal telah diangkat menjadi terkenal yang
sebelumnya diperuntukkan bagi topik-topik seperti penjualan, pemasaran, laba (EPS), dan
kecukupan modal di banyak organisasi. Selain menggunakan Pedoman Pengendalian Internal
COSO, CoCo, dan FRC sebagai sarana untuk menilai ICFR, banyak organisasi juga
menggunakan kerangka kerja ini untuk mengevaluasi keseluruhan sistem pengendalian
internal secara lebih luas.

DEFINITION OF INTERNAL CONTROL

COSO secara luas mendefinisikan pengendalian internal sebagai:
. . . suatu proses, yang dipengaruhi oleh dewan direksi, manajemen, dan personel lain suatu
entitas, yang dirancang untuk memberikan keyakinan memadai mengenai pencapaian tujuan
yang berkaitan dengan operasi, pelaporan, dan kepatuhan.

THE OBJECTIVES, COMPONENTS, AND PRINCIPLES OF INTERNAL

CONTROL
COSO menjelaskan, “Hubungan langsung ada antara tujuan, yang ingin dicapai oleh entitas,
komponen [dan prinsip], yang mewakili apa yang diperlukan untuk mencapai tujuan, dan
struktur entitas (unit operasi, entitas hukum, dan struktur lainnya). ). Hubungan tersebut dapat
digambarkan dalam bentuk kubus.”

Objectives
Kerangka kerja [COSO] menetapkan tiga kategori tujuan, yang memungkinkan organisasi
untuk fokus pada aspek pengendalian internal yang berbeda:
 Tujuan Operasi—Ini berkaitan dengan efektivitas dan efisiensi operasi entitas,
termasuk sasaran kinerja operasional dan keuangan, dan menjaga aset dari kerugian.
 Tujuan Pelaporan—Ini berkaitan dengan pelaporan keuangan dan non-keuangan
internal dan eksternal dan dapat mencakup keandalan, ketepatan waktu, transparansi,
atau persyaratan lain sebagaimana ditetapkan oleh regulator, pembuat standar, atau
kebijakan entitas.
 Tujuan Kepatuhan—Ini berkaitan dengan kepatuhan terhadap hukum dan peraturan
yang menjadi subjek entitas.
Components
COSO menunjukkan, “Mendukung organisasi dalam upayanya untuk mencapai tujuan adalah
lima komponen pengendalian internal:
 Kontrol Lingkungan
 Penilaian Risiko
  Aktivitas Kontrol
 Informasi dan Komunikasi
 Kegiatan Pemantauan
Komponen-komponen ini relevan dengan keseluruhan entitas dan tingkat entitas, anak
perusahaan, divisi, atau unit operasi individual, fungsi, atau bagian lain dari entitas tersebut.”
Lingkungan pengendalian menyediakan suasana di mana orang-orang melakukan kegiatan
mereka dan melaksanakan tanggung jawab pengendalian mereka. Ini berfungsi sebagai
fondasi untuk komponen lainnya. Dalam lingkungan ini, manajemen menilai risiko terhadap
pencapaian tujuan tertentu. Aktivitas pengendalian diterapkan untuk membantu memastikan
bahwa arahan manajemen untuk mengatasi risiko telah dilaksanakan. Sementara itu,
informasi yang relevan ditangkap dan dikomunikasikan ke seluruh organisasi. Seluruh proses
dipantau dan dimodifikasi sesuai persyaratan.
Principles
Selain lima komponen yang terintegrasi, COSO juga mendefinisikan 17 prinsip yang
mewakili konsep dasar yang terkait dengan setiap komponen pengendalian internal. COSO
menunjukkan, “ karena prinsip-prinsip ini diambil langsung dari komponen, suatu entitas
dapat mencapai pengendalian internal yang efektif dengan menerapkan semua prinsip. Semua
prinsip berlaku untuk tujuan operasi, pelaporan, dan kepatuhan.” Prinsip-prinsip yang
mendukung lima komponen pengendalian internal diuraikan dalam pameran 6-9.

INTERNAL CONTROL ROLES AND RESPONSIBILITIES

Setiap orang dalam suatu organisasi memiliki tanggung jawab untuk pengendalian internal:
Management
CEO memikul tanggung jawab utama untuk sistem pengendalian internal. "Nada di
atas" (seberapa etis atau seberapa besar integritas yang dimiliki organisasi) ditetapkan oleh
CEO dan turun dari sana ke manajemen senior, manajemen lini, dan akhirnya ke semua
individu dalam organisasi. CEO kurang lebih terlihat dan sedikit banyak memiliki dampak
langsung tergantung pada ukuran organisasi. Dalam organisasi yang lebih kecil, CEO secara
langsung mempengaruhi sistem pengendalian internal. Dalam organisasi yang lebih besar,
CEO memiliki dampak terbesar pada manajemen senior yang pada gilirannya mempengaruhi
bawahan mereka. Dengan cara ini, manajer senior dan lini bertindak sebagai “CEO” di area
yang menjadi tanggung jawab mereka.
Board of Directors
Dewan direksi mengawasi manajemen, memberikan arahan mengenai pengendalian
internal, dan pada akhirnya bertanggung jawab untuk mengawasi sistem pengendalian
internal. Peran dan tanggung jawab dewan direksi seperti yang dijelaskan oleh COSO
membentuk “payung” tata kelola yang efektif untuk sebuah organisasi.
Internal Auditors
Auditor internal memainkan peran penting dalam memverifikasi bahwa manajemen
telah memenuhi tanggung jawabnya. Kerangka kerja COSO mendefinisikan peran auditor
internal dengan cara yang sama, meskipun dalam istilah yang lebih umum: “...auditor internal
memberikan jaminan dan dukungan nasihat kepada manajemen tentang pengendalian
internal… audit internal [fungsi] termasuk mengevaluasi kecukupan dan efektivitas
pengendalian dalam menanggapi risiko dalam pengawasan, operasi, dan sistem informasi
organisasi…” Karena posisi dan wewenang organisasinya dalam suatu entitas, fungsi audit
internal seringkali memainkan peran pemantauan yang signifikan.
Other Personnel
COSO dengan jelas menunjukkan bahwa setiap orang dalam suatu organisasi
memiliki tanggung jawab atas pengendalian internal: “Pengendalian internal adalah tanggung
jawab setiap orang dalam suatu entitas dan oleh karena itu merupakan bagian eksplisit atau
implisit dari deskripsi pekerjaan setiap orang. Personil garis depan merupakan garis
pertahanan pertama dalam pelaksanaan tanggung jawab pengendalian internal.”29 Hampir
semua karyawan menghasilkan informasi yang digunakan dalam sistem pengendalian internal
atau mengambil tindakan lain yang diperlukan untuk mempengaruhi pengendalian.COSO
juga dengan jelas menunjukkan bahwa semua rekanan memikul tanggung jawab
mengomunikasikan masalah dalam operasi, pelanggaran kode etik, atau pelanggaran
kebijakan lainnya atau aktivitas ilegal kepada manajemen atau badan lain yang sesuai.

LIMITATIONS OF INTERNAL CONTROL

Pengendalian internal tidak dapat mencegah penilaian atau keputusan yang buruk, atau
kejadian eksternal yang dapat menyebabkan organisasi gagal mencapai tujuan
operasionalnya. Dengan kata lain, sistem pengendalian internal yang efektif pun dapat
mengalami kegagalan. Keterbatasan dapat diakibatkan oleh:
 Kesesuaian tujuan yang ditetapkan sebagai prasyarat untuk pengendalian internal.
 Kenyataan bahwa penilaian manusia dalam pengambilan keputusan bisa salah dan
  tunduk pada bias.
 Kerusakan yang dapat terjadi karena kegagalan manusia seperti kesalahan sederhana.
 Kemampuan manajemen untuk mengesampingkan pengendalian internal.
 Kemampuan manajemen, personel lain, dan/atau pihak ketiga untuk menghindari
pengendalian melalui kolusi.
 Peristiwa eksternal di luar kendali organisasi.
Inherent Risk, Controllable Risk, and Residual Risk
Kemampuan organisasi untuk mencapai tujuan entitas yang ditetapkan dipengaruhi
oleh risiko internal dan eksternal. Kombinasi risiko internal dan eksternal dalam keadaan
murni dan tidak terkendali disebut sebagai risiko bawaan. Dengan demikian, ada banyak
faktor yang harus dipertimbangkan manajemen ketika menentukan tindakan (kontrol) spesifik
yang harus mereka ambil untuk mengelola risiko bawaan ke tingkat rendah yang dapat
diterima dan menetapkan parameter toleransi. Untuk memulainya, manajemen harus
mempertimbangkan risiko yang dapat dikendalikan.
Risiko terkendali adalah bagian dari risiko bawaan yang dapat secara langsung
dipengaruhi dan dikurangi oleh manajemen melalui aktivitas bisnis sehari-hari. Setelah
manajemen menerapkan pengendalian yang hemat biaya untuk mengatasi risiko yang dapat
dikendalikan, maka mereka dapat menentukan apakah organisasi beroperasi dalam selera
risiko keseluruhan yang ditetapkan oleh manajemen senior dan dewan direksi. Bagian dari
risiko inheren yang tersisa setelah mengurangi semua risiko yang dapat dikendalikan
didefinisikan sebagai risiko residual.

VIEWING INTERNAL CONTROL FROM DIFFERENT PERSPECTIVES

Management
Dari perspektif manajemen, pengendalian internal mencakup sejumlah kegiatan yang
dirancang untuk mengurangi risiko atau memungkinkan peluang yang mempengaruhi
pencapaian tujuan organisasi.
Internal Auditors
Auditor internal ditugaskan untuk memverifikasi secara independen bahwa kontrol organisasi
dirancang secara memadai dan beroperasi secara efektif seperti yang diinginkan manajemen.
Selain itu, auditor internal memiliki posisi yang baik untuk menawarkan perspektif mereka
tentang biaya versus manfaat dari aktivitas pengendalian tertentu dan dapat memberikan
wawasan kepada manajemen tentang pengendalian internal yang dapat dipertimbangkan
untuk dihilangkan karena berlebihan atau karena manfaat yang mereka berikan tidak melebihi
biaya pelaksanaannya.
Independent Outside Auditors
Tanggung jawab utama dari auditor luar independen organisasi adalah untuk membuktikan
kewajaran laporan keuangan dan, di negara-negara tertentu, efektivitas pengendalian internal
atas pelaporan keuangan. Untuk alasan ini, perspektif mereka difokuskan pada pengendalian
internal relatif terhadap bagaimana hal itu mempengaruhi pelaporan keuangan organisasi.
Other External Parties
Pihak eksternal yang memiliki kepentingan dalam pengendalian internal organisasi termasuk
legislator, regulator, investor, dan kreditur. Karena kepentingan mereka berbeda-beda,
demikian pula perspektif mereka tentang pengendalian internal. Akibatnya, berbagai definisi
pengendalian internal telah dikembangkan oleh legislator dan badan pengatur agar sesuai
dengan tanggung jawab khusus mereka relatif terhadap jenis kegiatan yang mereka pantau.
Investor dan kreditur, di sisi lain, terutama membutuhkan jenis informasi keuangan yang
divalidasi oleh auditor luar organisasi yang independen.

TYPES OF CONTROLS
Ada banyak jenis kontrol yang digunakan oleh organisasi untuk meningkatkan
kemungkinan bahwa tujuan akan terpenuhi. Penting untuk dicatat bahwa kontrol khusus
dapat dirujuk oleh organisasi yang berbeda (dan bahkan individu yang berbeda dalam suatu
organisasi) dengan nama yang berbeda. Lebih penting daripada nama yang digunakan untuk
menggambarkan kontrol tertentu adalah jenis kontrol itu. Ini dapat membuat kebingungan
karena banyak kontrol masuk ke lebih dari satu kategori secara bersamaan. Tergantung pada
aplikasi spesifik dari kontrol ini, mereka dapat diklasifikasikan dengan berbagai cara dan
dapat mengambil beberapa klasifikasi secara bersamaan. Bagian berikut menguraikan
berbagai jenis kontrol dan tujuan masing-masing.
Entity-Level, Process-Level, and Transaction-Level Controls
 Kontrol Tingkat Entitas: Kontrol yang beroperasi di seluruh entitas dan, dengan
demikian, tidak terikat oleh, atau terkait dengan, proses individu. Kontrol tingkat
entitas dapat dibagi menjadi dua kategori: kontrol tata kelola dan kontrol pengawasan
manajemen.
 Kontrol Tingkat Proses: Suatu aktivitas yang beroperasi dalam proses tertentu untuk
tujuan mencapai tujuan tingkat proses. Kontrol tingkat proses lebih detail dalam
 fokusnya daripada kontrol tingkat entitas. Mereka didirikan oleh pemilik proses untuk
mengurangi risiko yang mengancam pencapaian tujuan proses.
 Kontrol Tingkat Transaksi: Suatu aktivitas yang mengurangi risiko relatif terhadap
kelompok atau berbagai tugas atau transaksi tingkat operasional dalam suatu
organisasi. Kontrol tingkat transaksi bahkan lebih rinci dalam fokus mereka daripada
kontrol tingkat proses dan mengurangi risiko relatif terhadap kelompok atau berbagai
kegiatan tingkat operasional (tugas) atau transaksi dalam suatu organisasi.
Key Controls and Secondary Controls
Kontrol juga dapat dikategorikan berdasarkan kepentingannya. Dengan demikian,
kontrol dapat dikategorikan sebagai kontrol kunci atau sebagai kontrol sekunder. Kontrol
kunci (sering disebut sebagai kontrol "utama") dirancang untuk mengurangi risiko utama
yang terkait dengan tujuan bisnis. Kegagalan untuk menerapkan pengendalian kunci yang
dirancang secara memadai dan beroperasi secara efektif dapat mengakibatkan kegagalan
organisasi tidak hanya untuk mencapai tujuan bisnis yang penting tetapi juga untuk bertahan
hidup.
Kontrol sekunder adalah kontrol yang dirancang untuk 1) mengurangi risiko yang
bukan merupakan kunci tujuan bisnis, atau 2) mengurangi sebagian tingkat risiko ketika
kontrol utama tidak beroperasi secara efektif. Kontrol sekunder mengurangi tingkat risiko
residual ketika kontrol utama tidak beroperasi secara efektif, tetapi mereka sendiri tidak
memadai untuk mengurangi risiko kunci tertentu ke tingkat yang dapat diterima. Mereka
biasanya merupakan bagian dari kontrol kompensasi.
Compensating Controls
Kontrol kompensasi dirancang untuk melengkapi kontrol utama yang tidak efektif atau tidak
dapat sepenuhnya mengurangi risiko atau kelompok risiko sendiri ke tingkat yang dapat
diterima dalam selera risiko yang ditetapkan oleh manajemen dan dewan.
Preventive and Detective Controls
Kontrol preventif dirancang untuk mencegah kejadian yang tidak diinginkan terjadi di
tempat pertama. Karena sifat dinamis dan kompleksitas operasi bisnis sehari-hari, sulit untuk
merancang pengendalian preventif yang ekonomis dan efisien. Akibatnya, sebagian besar
organisasi menggunakan kombinasi pengendalian preventif dan pengendalian detektif ketika
merancang sistem pengendalian internal yang efektif dan efisien. Sebaliknya, kontrol detektif
dirancang untuk menemukan peristiwa yang tidak diinginkan yang telah terjadi. Kontrol
detektif harus terjadi tepat waktu (sebelum kejadian yang tidak diinginkan memiliki dampak
negatif yang tidak dapat diterima pada organisasi) agar dianggap efektif.
Information Systems (Technology) Controls
Jenis kontrol sistem informasi yang dapat digunakan untuk mengurangi risiko ini:
1. Kontrol komputasi umum. Ini "berlaku untuk banyak jika tidak semua sistem aplikasi dan
membantu memastikan operasi mereka yang berkelanjutan dan tepat."
2. Kontrol aplikasi. Ini "termasuk langkah-langkah terkomputerisasi dalam perangkat lunak
aplikasi dan prosedur manual terkait untuk mengontrol pemrosesan berbagai jenis transaksi."
Simultaneous Categorization of Controls
Kontrol khusus dapat masuk ke dalam beberapa kategori secara bersamaan. Misalnya, kontrol
dapat menjadi kontrol tingkat entitas pada saat yang sama sebagai kontrol kunci. Meskipun
nuansa ini dapat membingungkan pada awalnya, waktu yang dihabiskan untuk bekerja
dengan kontrol akan mengarah pada pemahaman yang lebih baik tentang bagaimana berbagai
kategori dapat ada dalam satu kontrol.

EVALUATING THE SYSTEM OF INTERNAL CONTROLS: AN OVERVIEW

Aktivitas pengendalian proses bisnis dan seluruh entitas yang dirancang khusus untuk
memberikan keyakinan memadai bahwa tujuan pelaporan eksternal tercapai dan mendukung
asersi terkait manajemen yang memiliki elemen umum tertentu. Agar dirancang secara
memadai dan beroperasi secara efektif, pengendalian ini harus membahas konsep inisiasi,
otorisasi, pencatatan, pemrosesan, dan pelaporan. Seperti disebutkan sebelumnya dalam bab
ini, kontrol ini secara kolektif disebut sebagai ICFR. PCAOB dibuat untuk menetapkan
pedoman yang harus dipatuhi oleh auditor luar independen dan, secara tidak langsung,
manajemen untuk mematuhi persyaratan pelaporan ini. Sebagai tanggapan, pada 12 Juni
2007, PCAOB mengeluarkan Auditing Standard No. 5, Audit Pengendalian Internal Atas
Pelaporan Keuangan Yang Terintegrasi dengan Audit Laporan Keuangan. Untuk panduan
spesifik tambahan, lihat Standar Auditing No. 5 itu sendiri.
 Effects of reporting relationship and type of internal control deficiency on internal
auditors’ internal control evaluations
Audrey Gramling & Arnold Schneider

1. Is the article published in a reputable, credible, and high-quality journal?

Ya, artikel tersebut dipublikasikan di jurnal Manajerial Accounting Journal pada
tahun 2018. Menurut Scimagojr.com jurnal tersebut terindex scopus Q3 dan
memiliki h-index 55, sehingga jurnal tersebut merupakan jurnal yang cukup
bereputasi, kredibel, dan berkualitas tinggi.

2. Overall Questions:
a. What is the research question?
Whether an internal auditor’s evaluation of internal control deficiencies are
influenced by the party with primary influence over the internal audit function
and by the type of internal control deficiency?
b. Why is it important? (From both academic and practical perspective)
This study provide important insights into internal auditors’ internal control
evaluations and suggest issues for consideration by regulators, standard
setters, those with primary oversight of an IAF, and researchers. For example,
should regulators and standard setters be concerned that a pervasive control
related to “tone at the top” is viewed as less severe than a process-specific
deficiency, and less likely to be evaluated as a material weakness? While their
experimental results find this outcome, they note that archival analysis also
indicates that pervasive controls are not commonly found to be material
weaknesses (vs process controls related to say revenue recognition, tax
provision, estimates, etc.) (CFGI, 2015).
c. How is it addressed?
This study is the first to address whether the party with primary influence
over the internal audit function influences an internal auditor’s evaluation of
internal control deficiencies. A behavioral experiment is conducted with
internal auditors as participants in a 2x2 between-subjects factorial design.

3. Theory:
a. Is the theory appropriate for the study?
Yes, the theory is appropriate for the study. The theory used in this study is
Motivated reasoning theory. Motivated reasoning theory states that
preferences influence individuals’ judgments and decisions. Even when
individuals are trying to be objective and impartial, they are often
unconsciously influenced by their preferences, in a self-serving manner,
especially when there is uncertainty inherent in the decision. Given that
motivated reasoning theory states that preferences influence individuals’
judgments and decisions, authors posit that when the party with primary
influence over the IAF is top management (audit committee), the IAF will have
a preference to please top management (audit committee) and make
evaluations that suggest management (audit committee) is effectively
performing its job.
b. Is the theory logically consistent?
Yes, the theory is logically consistent
c. Do the hypotheses follow from the theory?
 Yes, the hypotheses follow from the theory. The hyphotheses are:
H1. Internal auditors are less likely to evaluate a pervasive internal control
deficiency reflective of top management tone as a material weakness than a
process-specific internal control deficiency.
H2a. Internal auditors’ evaluation of a pervasive internal control deficiency
reflective of top management tone will not be affected by which party has
primary influence over the IAF.
H2b. Internal auditors are less likely to assess a process-specific internal
control deficiency as a material weakness when top management has primary
influence over the IAF than when the audit committee has primary influence
over the IAF.
d. What are the conceptual independent variables?
The conceptual independent variables are internal control deficiency:
(1) a pervasive deficiency reflective of top management’s tone about the
importance of internal controls; and
(2) a process-specific deficiency.
e. What are the conceptual dependent variables?
The conceptual dependent variables is internal auditors’ evaluations of the
identified internal control deficiency (material weakness).

4. Design:
a. What is the design?
A behavioral experiment is conducted with internal auditors as participants in
a 2x2 between-subjects factorial design. They provided participants with
background information about a hypothetical public company that had been
complying with SOX internal control reporting requirements. All participants
were told that the IAF has a formal reporting relationship with the audit
committee, and they were assigned to one of two conditions regarding who
had primary influence over the IAF: audit committee; or management. These
manipulations are fully shown in Panel A of the Appendix. Authors chose this
manipulation approach based on professional standards and guidance (IIA,
2012) highlighting the need for the IAF to formally report to the audit
committee, while extant research notes that there is variation across
organizations as to whether management or the audit committee has actual
primary IAF oversight responsibility and influence (Abbott et al., 2010).
b. How are the independent variables operationalized?
Authors manipulations of the two independent variables result in four
treatment groups.
c. How are the dependent variables operationalized?
Consistent with prior research (Earley et al., 2008), author first ask
participants how likely it is that they would conclude that the identified
deficiency is a material weakness (i.e. likelihood of concluding MW
assessment) on a scale from 0 = definitely not a material weakness to 100 =
definitely a material weakness. Again, consistent with prior research (Earley et
al., 2008), they also ask participants whether they would classify the deficiency
as a material weakness, yes or no (i.e. MW classification assessment).
d. Were data collection procedures sound?
Names of internal auditors and contact information were obtained from
various IIA chapter websites throughout the USA. Authors contacted the
 internal auditors, requesting them to distribute research questionnaires to
colleagues in their organization. They sent 378 questionnaires to 65 different
organizations and received 155 completed questionnaires from 33 different
organizations.

5. Data Analysis:
a. What data analysis techniques were used?
exploratory analyses, a logistic regression analysis, and the ANCOVA analysis
b. Were the techniques appropriate for addressing the hypotheses?
Yes

6. Results:
a. What were the results?
Results indicate that internal auditors are less likely to evaluate a pervasive
control deficiency related to “tone at the top” as a material weakness than a
process-specific control deficiency. Furthermore, internal auditors are
somewhat less likely to evaluate a process-specific internal control deficiency
as a material weakness when management has primary influence over the
internal audit function than when the audit committee has primary influence.
It is also found that the best practice of internal audit oversight (i.e., primary
oversight of internal auditors by the audit committee) may lead to potential
internal under-reporting of instances where the audit committee represents a
material weakness in internal control.