REVIEW QUESTIONS

1. What is a framework? What are the internal control frameworks

recognized globally by management, independent outside

accountants/auditors, and internal audit professionals?

Jawaban : Sesuai dengan namanya sendiri, framework adalah kerangka kerja untuk mengembangkan
aplikasi berbasis website maupun desktop. Kerangka kerja disini sangat membantu developer dalam
menuliskan sebuah dengan lebih terstruktur dan tersusun rapi. Kerangka kerja diciptakan untuk
mempermudah kinerja dari programmer. Pengendalian Internal adalah suatu proses yang dijalanka oleh
dewan komisaris, manajemen, dan personel lain entitas yang didesain untuk memberikan keyakinan
memadai tentang pencapaian tiga golongan tujuan berikut ini:
(a) keandalan pelaporan keuangan
(b) efektifitas dan efisiensi operasi
(c) kepatuhan terhadap hukum dan peraturan yang berlaku.

2. What must the CEO and CFO of a publicly traded company do to comply with the U. S. Sarbanes-Oxley
Act of 2002?

Jawab : Dalam hal pelaporan, Sarbanes-Oxley Act mewajibkan semua perusahaan publik untuk
membuat suatu sistem pelaporan yang memungkinkan bagi pegawai atau pengadu (whistleblowers)
untuk melaporkan terjadinya penyimpangan. Sistem pelaporan ini diselenggarakan oleh komite audit.

3. How does COSO define internal control?

Jawab : Pada edisi yang baru ini, COSO (2013:3) mendefinisikan pengendalian internal adalah pengaruh
dari dewan direksi, entitas manajemen dan personil lainnya terhadap proses yang terjadi sebagai
penjamin dalam pencapaian tujuan perusahaan baik terkait dengan operasi, pelaporan maupun
kepatuhan.

4. What are objectives? What three categories of objectives are set

forth in the COSO framework?

Jawab : Tujuan, sasaran, atau matalamat adalah gagasan tentang masa depan atau hasil yang diinginkan,
dibayangkan, direncanakan, dan dimaksudkan untuk dicapai seseorang atau sekelompok orang. Orang-
orang berusaha untuk mencapai tujuan dalam waktu yang terbatas dengan menetapkan tenggat. Tujuan
yang hendak dicapai organisasi menurut COSO IC 2013 terdiri dari tiga kategori yaitu tujuan terkait
operasi (operations), pelaporan (reporting), dan kepatuhan (compliance).
5. What are the five components of internal control covered in the

COSO framework?

Jawab : Penjelasan singkat dari komponen-komponen tersebut adalah sebagai berikut.

a. Lingkungan Pengendalian (Control Environment) ...

b. Penilaian Risiko (Risk Assessment) ...
c. Kegiatan Pengendalian (Control Activities) ...
d. Informasi dan komunikasi (information and communication) ...
e. Kegiatan Pemantauan (Monitoring Activites)

6. What does the control environment comprise?

Jawab : Lingkungan pengendalian merupakan seluruh aspek mulai dari perilaku, struktur, dan pedoman
yang ada pada sebuah operasional perusahaan. Dengan adanya lingkungan pengendalian ini suatu
perusahaan dapat menjadi lebih disiplin dan terstruktur.

7. What does risk assessment involve?

Jawab : Penilaian risiko merupakan proses yang dilakukan oleh suatu instansi atau organisasi dan
merupakan bagian yang integral dari proses pengelolaan risiko dalam pengambilan keputusan risiko
dengan melakukan tahap identifikasi risiko, analisis risiko, dan evaluasi risiko.

8. What are control activities? What types of control activities are

present in a well-designed system of internal controls?

Jawab : Kegiatan Pengendalian adalah tindakan yang diperlukan untuk mengatasi risiko serta penetapan
dan pelaksanaan kebijakan dan prosedur untuk memastikan bahwa tindakan mengatasi risiko telah
dilaksanakan secara efektif. Pengendalian intern yang baik merupakan cara bagi suatu sistem untuk
melindungi diri dari tindakan-tindakan yang merugikan. Dalam arti sempit, pengendalian intern hanya
dibatasi pada kegiatan pengecekan, penjumlahan, baik penjumlahan mendatar maupun penjumlahan
menurun.

9. What is high-quality information? Why must high-quality

information be communicated?

Jawab : Informasi yang berkualitas merupakan informasi yang dapat digunakan dalam menyelesaikan
tugas serta diperlukan dalam pengambilan keputusan. Informasi berkualitas mempunyai karakteristik
antara lain relevan, akurat, tepat waktu dan lengkap. Semakin tinggi kualitas informasi yang dihasilkan
suatu sistem informasi, akan semakin meningkatkan kepuasan pengguna
10. When are monitoring activities most effective? Who performs

monitoring activities? What distinguishes separate evaluations from

ongoing monitoring activities?

Jawab : Kegiatan monitoring dilakukan setelah penetapan perencanaan di awal tahun, sehingga dapat
diketahui tujuan akhir yang akan dicapai pada tahun yang bersangkutan. Secara prinsip, monitoring
dilakukan sementara kegiatan sedang berlangsung guna memastikan kesesuain proses dan capaian
sesuai rencana atau tidak. Bila ditemukan penyimpangan atau kelambanan maka segera dibenahi
sehingga kegiatan dapat berjalan sesuai rencana dan targetnya.

Pihak yang melakukan monitoring adalah pengelola program dan/atau tenaga profesional yang diberi
tugas khusus untuk memantau pelaksanaan program. Hasil monitoring digunakan untuk meluruskan
atau memperbaiki program. Perbaikan program itu sendiri dilakukan dalam kegiatan supervisi, bukan
dalam kegiatan monitoring.

Monitoring bersifat spesifik program. Sedangkan evaluasi tidak hanya dipengaruhi oleh program itu
sendiri, melainkan varibel-varibel dari luar. Tujuan dari Evaluasi adalah evalausi efektifitas dan cost
effectiveness. Inputs, Process dan output merupakan suatu monitoring.

11. What are the 17 principles of internal control defined by COSO?

Jawab : Prinsip dalam Lingkungan Pengendalian

 Organisasi menunjukkan komitmen terhadap integritas dan nilai-nilai etika.
 Dewan pengawas menunjukkan independensinya dari manajemen dan melaksanakan
pengawasan atas pengembangan dan kinerja pengendalian intern.
 Manajemen dengan pengawasan dari dewan pengawas menetapkan struktur organisasi,
garis pelaporan, serta wewenang dan tanggung jawab yang tepat dalam rangka pencapaian
tujuan.
 Organisasi menunjukkan komitmen dalam merekrut, mengembangkan, dan
mempertahankan individu-individu yang kompeten sesuai dengan tujuan yang ditetapkan.
 Organisasi memegang akuntabilitas individu-individu atas pelaksanaan pengendalian intern
dalam rangka pencapaian tujuan.
Prinsip dalam Penilaian Risiko
 Organisasi menetapkan tujuan-tujuan yang jelas agar dapat dilakukan identifikasi dan
penilaian risiko terkait tujuan tersebut.
 Organisasi mengidentifikasi risiko atas pencapaian tujuan secara menyeluruh dan
menganalisis risiko sebagai landasan pengelolaan risiko.
 Organisasi mempertimbangkan potensi kecurangan (fraud) dalam melakukan penilaian
risiko atas pencapaian tujuan.
 Organisasi mengidentifikasi dan menilai perubahan-perubahan yang dapat berdampak
signifikan terhadap sistem pengendalian intern.
Prinsip dalam Kegiatan Pengendalian
  Organisasi memilih dan mengembangkan kegiatan pengendalian yang berkontribusi
meminimalkan risiko atas pencapaian tujuan sampai pada level yang dapat diterima.
 Organisasi memilih dan mengembangkan kegiatan pengendalian umum atas teknologi
untuk mendukung pencapaian tujuan.
 Organisasi memberlakukan kegiatan pengendalian melalui kebijakan yang menetapkan apa
yang diharapkan dan melalui prosedur yang menjabarkan kebijakan menjadi tindakan.
Prinsip dalam Informasi dan Komunikasi
 Organisasi memperoleh, menghasilkan dan menggunakan informasi yang relevan dan
berkualitas untuk mendukung berfungsinya komponen pengendalian intern lainnya.
 Organisasi melakukan komunikasi informasi secara intern, termasuk tujuan dan tanggung
jawab pengendalian intern, yang diperlukan untuk mendukung berfungsinya pengendalian
intern.
 Organisasi menjalin komunikasi dengan pihak-pihak eksternal terkait hal-hal yang
mempengaruhi berfungsinya komponen pengendalian intern lainnya.
Prinsip dalam Kegiatan Pemantauan
 Organisasi memilih, mengembangkan, dan melaksanakan evaluasi secara terus-menerus
(berkelanjutan) dan/atau secara terpisah untuk memastikan bahwa komponen-komponen
pengendalian intern benar-benar ada dan berfungsi.
 Organisasi mengevaluasi dan mengkomunikasikan kelemahan pengendalian intern secara
tepat waktu kepada pihak-pihak yang bertanggung jawab untuk mengambil tindakan
korektif, termasuk manajemen puncak dan dewan pengawas, sebagaimana mestinya.

12. What responsibilities do the following groups of people have

regarding internal control?

Jawab :
Manajemen : Tanggung jawab atas pengendalian internal berbeda antara manajemen dan auditor.
Menejemen bertangung jawab dalam menetapkan dan menyelenggarakan pengendalian internal
entitas. Sedangkan auditor bertanggung jawab untuk memahami dan menguji pengendalian internal
atas pelaporan keuangan

Direksi : Direksi adalah organ perusahaan yang berwenang dan bertanggung jawab penuh atas
pengurusan perseroan untuk kepentingan perseroan Sesuai dengan maksud dan tujuan perseroan serta
mewakili perseroan, baik di dalam maupun di luar pengadilan sesuai ketentuan Anggaran Dasar.

Internal Auditor : Salah satu tugas dan tanggung jawab Departemen Internal Audit adalah melaksanakan
pemeriksaan dan penilaian efisiensi dan efektivitas di bidang operasional, keuangan, akuntansi, sumber
daya manusia dan kegiatan lainnya.

13. What does “limitations of internal control” mean? Provide examples

of limitations that are inherent to internal control.

Jawab : keterbatasan pengendalian internal, tiga di antaranya yaitu; kesalahan manusia,

pengesampingan prosedur dan kebijakan, dan kolusi.
Bagaimana contoh dari keterbatasan SPI?
Keterbatasan SPI

Pelanggaran sistem (breakdowns), baik disengaja atau tidak, misalnya karena kesalahan interpretasi,
kecerobohan, gangguan lingkungan, perubahan personalia, atau perubahan sistem dan prosedur. Kolusi,
atau kerjasama negatif sekelompok orang.

14. What is inherent risk? What is controllable risk? What is residual

risk?

Jawab: Risiko bawaan meliputi suatu kententuan saldo rekening atau golongan transaksi terhadap suatu
salah saji material, dengan asumsi bahwa tidak terdapat kebijakan dan prosedur struktur pengendalian
intern yang terkait.

Risiko Yang Bisa Dikendalikan: Pemasokan produk di pasaran siap dilaksanakan, kemudian selama
berbulan-bulan produk tersebut belum mendapatkan keuntungan apalagi pengembalian atas modal.
Tentu akan terjadi kerugian. Namun hal tersebut bisa dikendalikan dengan cara mengevaluasi produk
serta strategi marketingnya.

Residual risk adalah risiko yang tetap ada setelah manajemen merespon risiko, misal dengan
mengurangi atau memindahkan risiko. Penilaian risiko pertama harus dilakukan terhadap inherent risk.

15. How does internal auditors’ perspective of internal control differ

from management’s perspective?

Jawab:

16. How do entity-level controls differ from process-level and

transaction-level controls?

Jawab :

17. What is a key control? What is a secondary control? What is a

compensating control?

Jawab :

18. What is the difference between a preventive and a detective control?

Jawab :

19. What are the two broad types of information systems (technology)

controls?

Jawab :
20. How is the system of internal controls evaluated?

Jawab : Evaluasi pengendalian internal sangat diperlukan guna mempermudah dan memberikan arahan
dalam proses kegiatan perusahaan dmana dalam hal ini Kas adalah salah satu unsur aktiva yang paling
penting karena kas merupakan alat pertukaran dan pembayaran yang siap dan bebas digunakan untuk
membiayai kegiatan operasional perusahaan. Manajemen bertanggung jawab atas penerimaan dan
pengeluaran kas.
MULTIPLE-CHOICE

QUESTIONS

Select the best answer for each of the following questions.

1. Which of the following best describes an internal auditor’s purpose

in reviewing the organization’s existing governance, risk

management, and control processes?

a. To help determine the nature, timing, and extent of tests

necessary to achieve engagement objectives.

b. To ensure that weaknesses in the internal control system are

corrected.

c. To provide reasonable assurance that the processes will enable the

organization’s objectives and goals to be met efficiently and

economically.

d. To determine whether the processes ensure that the accounting

records are correct and that financial statements are fairly stated.

2. What is residual risk?

a. Impact of risk.

b. Risk that is under control.

c. Risk that is not managed.

d. Underlying risk in the environment.

3. The requirement that purchases be made from suppliers on an

approved vendor list is an example of a:

a. Preventive control.

b. Detective control.

c. Compensating control.

d. Monitoring control.

4. An effective system of internal controls is most likely to detect a

fraud perpetrated by a:

a. Group of employees in collusion.

b. Single employee.

c. Group of managers in collusion.

d. Single manager.

5. The control that would most likely ensure that payroll checks are

written only for authorized amounts is to:

a. Conduct periodic floor verification of employees on the payroll.

b. Require the return of undelivered checks to the cashier.

c. Require supervisory approval of employee time cards.

d. Periodically witness the distribution of payroll checks.

6. An internal auditor plans to conduct an audit of the adequacy of

controls over investments in new financial instruments. Which of the

following would not be required as part of such an engagement?

a. Determine whether policies exist that describe the risks the

treasurer may take and the types of instruments in which the

treasurer may invest.

b. Determine the extent of management oversight over investments

in sophisticated instruments.

c. Determine whether the treasurer is getting higher or lower rates of

return on investments than treasurers in comparable

organizations.

d. Determine the nature of monitoring activities related to the

investment portfolio.

7. Appropriate internal control for a multinational corporation’s branch

office that has a department responsible for the transfer of money

requires that:

a. The individual who initiates wire transfers does not reconcile the
bank statement.

b. The branch manager must receive all wire transfers.

c. Foreign currency rates must be computed separately by two

different employees.

d. Corporate management approves the hiring of employees in this

department.

8. Who has primary responsibility for the monitoring component of

internal control?

a. The organization’s independent outside auditor.

b. The organization’s internal audit function.

c. The organization’s management.

d. The organization’s board of directors.

9. Reasonable assurance, as it pertains to internal control, means that:

a. The objectives of internal control vary depending on the method

of data processing used.

b. A well-designed system of internal controls will prevent or detect

all errors and fraud.

c. Inherent limitations of internal control preclude a system of

internal control from providing absolute assurance that objectives

will be achieved.

d. Management cannot override controls, and employees cannot

circumvent controls through collusion.

10. Which of the following best exemplifies a control activity referred

to as independent verification?

a. Reconciliation of bank accounts by someone who does not handle

cash or record cash transactions.

b. Identification badges and security codes used to restrict entry to

the production facility.

c. Accounting records and documents that provide a trail of sales and

cash receipt transactions.

d. Separating the physical custody of inventory from inventory

accounting.

11. The risk assessment component of internal control involves the:

a. Independent outside auditor’s assessment of residual risk.

b. Internal audit function’s assessment of control deficiencies.

c. Organization’s identification and analysis of the risks that threaten

the achievement of its objectives.

d. Organization’s monitoring of financial information for potential

material misstatements.

12. COSO’s Internal Control Framework consists of five internal control

components and 17 principles for achieving effective internal

control. Which of the following is/are (a) principle(s)?

I. The organization demonstrates a commitment to integrity and

ethical values.

II. Monitoring activities.

III. A level of assurance that is supported by generally accepted

auditing procedures and judgments.

IV. A body of guiding principles that form a template against which

organizations can evaluate a multitude of business practices.

V. The organization selects, develops, and performs ongoing and/or

separate evaluations to ascertain whether the components of

internal control are present and functioning.

a. II only.

b. I and V only.

c. II and IV only.

d. I, II, III, IV, and V.

13. When assessing the risk associated with an activity, an internal

auditor should:

a. Determine how the risk should best be managed.

b. Provide assurance on the management of the risk.

c. Update the risk management process based on risk exposures.

d. Design controls to mitigate the identified risks.

14. Determining that engagement objectives have been met is

ultimately the responsibility of the:

a. Internal auditor.

b. Audit committee.

c. Internal audit supervisor.

d. CAE.

15. An adequate system of internal controls is most likely to detect an

irregularity perpetrated by a:

a. Group of employees in collusion.

b. Single employee.

c. Group of managers in collusion.

d. Single manager.